CovaSyn

Datenschutzerklärung der CovaSyn

Gültig ab: 19. Mai 2026 · Letzte Änderung: 19. Mai 2026

English version: Privacy Policy.

1. Wer wir sind

Diese Datenschutzerklärung gilt für die Dienste von CovaSyn, einschliesslich der Website covasyn.com, der Workspace-Anwendung auf workspace.covasyn.com, unserer MCP-Server-Endpunkte sowie der CovaSyn-Anwendung im ChatGPT App Directory (gemeinsam "CovaSyn").

Verantwortlich im Sinne der DSGVO ist:

CovaSyn GmbH
Naunhofer Straße 67, 04299 Leipzig, Sachsen, Deutschland
Eingetragen im Handelsregister, Amtsgericht Leipzig, HRB 43655
Geschäftsführer: Dr. Oliver Kraft
E-Mail: privacy@covasyn.com
Web: https://covasyn.com

Bei Fragen zu dieser Erklärung oder zu Ihren Daten erreichen Sie uns unter privacy@covasyn.com.

2. Geltungsbereich

Diese Erklärung beschreibt die personenbezogenen Daten, die wir verarbeiten, wenn Sie mit CovaSyn interagieren, einschliesslich über unsere MCP-Server-Endpunkte und über die CovaSyn-Anwendung innerhalb von ChatGPT. Nicht erfasst ist die separate Verarbeitung Ihrer ChatGPT-Konversation durch OpenAI, die der eigenen Datenschutzerklärung von OpenAI unterliegt. Ebenso wenig erfasst sind Verarbeitungen durch andere MCP-Clients (z.B. Claude Desktop, Cursor, VS Code), die durch die jeweilige Datenschutzerklärung des Anbieters geregelt sind.

3. Welche Daten wir verarbeiten

Wenn Sie ein CovaSyn-Tool aufrufen, fliessen folgende Daten zu uns:

Wissenschaftliche Eingabedaten. Chemische Strukturen (SMILES, InChI, MOL, SDF), biologische Sequenzen (Protein, RNA, DNA), Spektren (NMR, IR, MS, UV-Vis), experimentelle Messungen sowie alle weiteren wissenschaftlichen Eingaben, die Sie einem Tool übergeben. Diese Daten können in seltenen Fällen personenbezogene Informationen enthalten oder implizieren (z.B. Patientenkennungen in klinischen Daten). Wir bitten Nutzerinnen und Nutzer, solche Daten nicht einzureichen.

Authentifizierungs- und Account-Daten. Wenn Sie sich registrieren (auch im Free-Tier): API-Schlüssel (gehasht gespeichert), Account-E-Mail-Adresse, Tarifstufe, Spracheinstellung.

Technische Metadaten. Zeitstempel, Name des aufgerufenen Tools, Request-Grösse, Response-Status, IP-Adresse (nach 24 Stunden auf /24 gekürzt) sowie, bei Aufrufen über die ChatGPT-Integration, die von ChatGPT übermittelte Session-Kennung. Diese Daten benötigen wir für Rate-Limiting, Missbrauchsprävention, Abrechnung und Sicherheit.

Wir erheben NICHT: ChatGPT-Konversationen ausserhalb des konkreten Tool-Aufrufs, Ihre OpenAI-Account-Identität über das hinaus, was OpenAI uns übermittelt, oder Inhalte aus anderen ChatGPT-Apps. Wir erfassen keine biometrischen Daten, betreiben kein Advertising-Tracking auf den Anwendungsflächen und verkaufen keine personenbezogenen Daten.

4. Zwecke und Rechtsgrundlagen (Art. 6 DSGVO)

ZweckRechtsgrundlage
Bereitstellung des angeforderten RechenergebnissesArt. 6 Abs. 1 lit. b DSGVO — Vertragsdurchführung
Rate-Limiting, Missbrauchsprävention, SicherheitArt. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse
Abrechnung und Account-Management (kostenpflichtige Tarife)Art. 6 Abs. 1 lit. b DSGVO — Vertragsdurchführung
Aufbewahrung von Steuer- und BuchhaltungsunterlagenArt. 6 Abs. 1 lit. c DSGVO — rechtliche Verpflichtung (§ 147 AO)
Aggregierte, nicht identifizierende NutzungsstatistikArt. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse

5. Wir trainieren keine Modelle auf Ihren Daten

Wissenschaftliche Eingaben, die Sie übermitteln, werden ausschliesslich zur Berechnung des angeforderten Ergebnisses verwendet. Wir nutzen Kundendaten weder zum Training noch zum Fine-Tuning oder zur sonstigen Verbesserung unserer Modelle.

CovaSyn-Tools sind deterministische Rechenfunktionen, die auf unseren eigenen Chemie-, Spektroskopie- und Struktur-Engines aufsetzen. In der Tool-Ausführung sind weder externe Large Language Models noch Foundation-Models noch andere Modellanbieter im Datenpfad eingebunden. Ihre Eingaben werden ausschliesslich von CovaSyn-eigenen, deterministischen Engines verarbeitet.

Soweit wir intern eigene Vorhersagemodelle entwickeln, verwenden wir dafür ausschliesslich öffentliche Datensätze (z.B. USPTO, PubChem, ChEMBL) sowie Daten, die wir hierfür ausdrücklich lizenziert haben.

6. Aufbewahrungsfristen

  • Wissenschaftliche Eingaben und Ausgaben: Verarbeitung im Arbeitsspeicher, keine langfristige Persistierung. Kurzfristige operative Logs, die ggf. Payload enthalten, werden innerhalb von 30 Tagen verworfen.
  • Technische Metadaten (gekürzte IP, Toolname, Zeitstempel, Credit-Verbrauch): 90 Tage zu Sicherheits- und Missbrauchspräventionszwecken.
  • Account-Daten: Gespeichert, solange der Account aktiv ist, gelöscht bei Account-Löschung, soweit nicht gesetzliche Aufbewahrungsfristen entgegenstehen.
  • Abrechnungsunterlagen (kostenpflichtige Tarife): 10 Jahre gemäss § 147 AO.
  • Free-Tier-Interaktionen: Über das 90-Tage-Metadaten-Fenster hinaus keine payload-bezogene Speicherung.

7. Empfänger und Auftragsverarbeiter

Wir geben Daten ausschliesslich an die nachfolgenden Kategorien von Empfängern weiter, die als Auftragsverarbeiter im Sinne von Art. 28 DSGVO handeln. Auftragsverarbeitungsverträge (AVV / DPA) liegen mit jedem Auftragsverarbeiter vor und sind auf Anfrage unter privacy@covasyn.com einsehbar.

  • Hetzner Online GmbH (Industriestraße 25, 91710 Gunzenhausen, Deutschland) — primäres Hosting in Leipzig für covasyn.com, workspace.covasyn.com, das MCP-Gateway, das Application-Backend, die Datenbankserver und interne Systeme. Verarbeitung in der EU.
  • Cloudflare, Inc. (USA, EU-Präsenz) — autoritativer DNS für covasyn.com. Kein Reverse-Proxy und keine Web-Application-Firewall im Verkehrspfad; Anfragen werden direkt zu unserem Hetzner-Origin aufgelöst. Standardvertragsklauseln (SCC) abgeschlossen.
  • Supabase Inc. (USA, EU-Region für unser Projekt) — Authentifizierung und Datenbank für den Workspace. Verarbeitete Daten: E-Mail, Passwort-Hash, Profil, Tool-Aufruf-Metadaten, API-Schlüssel-Hashes. SCC abgeschlossen, EU-Datenresidenz.
  • Stripe Payments Europe Ltd. (Irland) — Zahlungsabwicklung, Rechnungserstellung, Stripe Tax. Verarbeitete Daten: E-Mail, Rechnungsadresse, USt-ID (sofern angegeben), Kartendaten (ausschliesslich Stripe-seitig).
  • Resend Inc. (USA, Versand über AWS-Infrastruktur in Europa) — transaktionale E-Mails (Account-Bestätigung, Zahlungsbestätigung, Passwort-Reset). Verarbeitete Daten: E-Mail-Adresse, Mail-Inhalt. SCC abgeschlossen.
  • Google Workspace (Google Ireland Ltd.) — unternehmensinterne E-Mail und Zusammenarbeit. Wird ausschliesslich für unsere eigene Geschäftskommunikation eingesetzt, nicht zur Verarbeitung von Nutzer-Payloads.

Wir verkaufen keine personenbezogenen Daten. Wir geben keine Daten an Werbetreibende weiter. Die Liste wird bei Änderungen aktualisiert; die obige Fassung entspricht dem Stand des oben angegebenen Aktualisierungs-Datums.

8. Internationale Datentransfers

Wenn Sie CovaSyn über die ChatGPT-Integration nutzen, empfängt OpenAI (USA) Ihren Tool-Aufruf als Bestandteil des ChatGPT-Flows. Dieser Transfer wird durch die Vereinbarungen geregelt, die OpenAI mit Ihnen selbst getroffen hat, sowie durch den EU–U.S. Data Privacy Framework, unter dem OpenAI selbstzertifiziert ist.

Soweit wir US-basierte Auftragsverarbeiter einsetzen (z.B. Stripe, Supabase, Resend, Cloudflare), beruhen Transfers auf Standardvertragsklauseln (SCC) gemäss Art. 46 Abs. 2 lit. c DSGVO und, sofern anwendbar, auf dem EU–U.S. Data Privacy Framework.

9. Ihre Rechte (Art. 15–22 DSGVO)

Sie haben das Recht auf:

  • Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15)
  • Berichtigung unrichtiger Daten (Art. 16)
  • Löschung (Art. 17), vorbehaltlich gesetzlicher Aufbewahrungspflichten
  • Einschränkung der Verarbeitung (Art. 18)
  • Datenübertragbarkeit (Art. 20)
  • Widerspruch gegen Verarbeitung auf Grundlage berechtigter Interessen (Art. 21)
  • Widerruf einer Einwilligung jederzeit, ohne dass die Rechtmässigkeit der bisherigen Verarbeitung berührt wird
  • Beschwerde bei einer Aufsichtsbehörde. Zuständig für die CovaSyn GmbH ist der Sächsische Datenschutzbeauftragte, Bernhard-von-Lindenau-Platz 1, 01067 Dresden.

Anfragen richten Sie bitte an privacy@covasyn.com. Wir antworten innerhalb eines Monats gemäss Art. 12 Abs. 3 DSGVO.

10. Sicherheit

Wir setzen TLS 1.3 für sämtliche Daten in Übertragung ein. Die Authentifizierung erfolgt über Bearer-Token via HTTPS; API-Schlüssel werden als Argon2id-Hashes gespeichert. Interne Systeme arbeiten nach dem Prinzip der minimalen Berechtigung, alle Storage-Volumes nutzen Full-Disk-Verschlüsselung, und wir führen regelmässig Sicherheits-Reviews durch. Bei einer Verletzung des Schutzes personenbezogener Daten benachrichtigen wir betroffene Nutzerinnen und Nutzer sowie die zuständige Aufsichtsbehörde innerhalb von 72 Stunden ab Kenntniserlangung (Art. 33–34 DSGVO).

Weitere Details zur Sicherheitsarchitektur finden Sie auf der Security-Seite.

11. Kinder

CovaSyn richtet sich an den professionellen Einsatz in Chemie und pharmazeutischer Forschung & Entwicklung. Es richtet sich nicht an Kinder unter 16 Jahren, und wir verarbeiten wissentlich keine Daten von Kindern.

12. Änderungen

Wesentliche Änderungen dieser Erklärung veröffentlichen wir mindestens 30 Tage vor ihrem Wirksamwerden auf dieser Seite. Die weitere Nutzung nach dem Geltungsbeginn gilt als Zustimmung.

13. Datenschutzbeauftragter

Die CovaSyn GmbH liegt derzeit unter den gesetzlichen Schwellenwerten für die verpflichtende Bestellung eines Datenschutzbeauftragten nach Art. 37 DSGVO in Verbindung mit § 38 BDSG. Wir haben daher derzeit keinen Datenschutzbeauftragten bestellt. Alle Datenschutz-Anfragen und Betroffenenrechte werden durch die Geschäftsführung unter privacy@covasyn.com bearbeitet. Sollten wir den Schwellenwert überschreiten oder Verarbeitungstätigkeiten aufnehmen, die einen Datenschutzbeauftragten erfordern, werden wir einen bestellen und diesen Abschnitt entsprechend aktualisieren.

Datenschutzerklärung | CovaSyn