Kontodaten: Name, E-Mail-Adresse, Spracheinstellung, Passwort-Hash (bei Anmeldung mit E-Mail/Passwort), Kennung des Authentifizierungsanbieters (z. B. Google, Apple, GitHub), Abonnementstufe, Empfehlungscode, Sicherheitsereignisse wie Anmeldezeit, IP-Adresse, Browser, Betriebssystem und ungefähre geografische Region, die aus der IP abgeleitet wird.

Arbeitsbereichsdaten: Chat-Nachrichten und Eingaben, hochgeladene Dateien (PDF, Bild, Excel, Klartext), Molekülskizzen, gezeichnete Strukturen (SMILES/InChI), gespeicherte Berichtsentwürfe, Lernsitzungen, Karteikarten, Quizversuche, Fehlerhistorie, aus offenen wissenschaftlichen APIs abgerufene Literaturhinweise und von Ihnen erzeugte Exporte.

Dateien und Embeddings: Wenn Sie eine Datei hochladen, wird die Binärdatei in unserem privaten Objektspeicher abgelegt und in Text- und Bildabschnitte zerlegt. Wir berechnen Vektor-Embeddings (1024-dim, BGE-M3, auf unserem eigenen Server in Deutschland erzeugt), damit die Datei für Ihre künftigen Fragen durchsuchbar wird. Chemiebilder können zusätzlich von einem lokalen DECIMER-Modell verarbeitet werden, um SMILES zu extrahieren.

Nutzungs- und Telemetriedaten: pro Modell verbrauchte Credits, Warteschlangenlatenz, Modellkennungen, Fehlercodes, Funktionsinteraktionen, Seitenaufrufe, Web-Vitals und Missbrauchsschutzsignale. Ein Teil der Telemetrie wird über Vercel Analytics, Firebase Analytics und einen selbst gehosteten Fehlermonitor erfasst, sofern aktiviert.

Zahlungsmetadaten: Abonnementstatus, Tarif, Rechnungen, Steuerregion, die von Stripe vergebene Kundenkennung sowie eingeschränkte Kartenmetadaten wie Marke und letzte vier Ziffern, die von Stripe zurückgegeben werden. Wir speichern niemals vollständige Kartennummern, CVCs oder Bankzugangsdaten.

Kommunikation: Support-Tickets und -Antworten, Opt-in-Marketingpräferenzen, Sprachpräferenz für transaktionale E-Mails.

Vertragserfüllung (Art. 6 Abs. 1 lit. b) – zur Bereitstellung des Arbeitsbereichs, Ausführung von Prompts, Erstellung von Berichten, Speicherung Ihrer Projekte, Zahlungsabwicklung und Bereitstellung kostenpflichtiger Funktionen.

Berechtigte Interessen (Art. 6 Abs. 1 lit. f) – zur Überwachung der Servicezuverlässigkeit, zur Missbrauchsverhinderung, zur Absicherung der Infrastruktur, zur Ableitung aggregierter Nutzungsstatistiken und zur Verbesserung des Produkts in einer Weise, die Ihre Rechte nicht überwiegt.

Einwilligung (Art. 6 Abs. 1 lit. a) – für nicht erforderliche Cookies, Marketing-E-Mails und optionale Analysen, sofern lokales Recht eine Einwilligung verlangt. Sie können die Einwilligung jederzeit widerrufen.

Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c) – Steuerunterlagen, behördliche Anfragen, rechtmäßige Anfragen von Strafverfolgungsbehörden.

Nach KVKK entsprechen die Grundlagen Art. 5 Abs. 2 lit. c (Vertragserforderlichkeit), Art. 5 Abs. 2 lit. f (berechtigtes Interesse), Art. 5 Abs. 1 (ausdrückliche Einwilligung) und Art. 5 Abs. 2 lit. a (gesetzliche Pflicht).

Servicebereitstellung: Speichern und Fortsetzen von Projekten, Rendern von Molekülstrukturen mit RDKit, Ausführen des Multi-Agenten-Orchestrators, Abrufen von Publikationen aus offenen wissenschaftlichen APIs, Erstellen von Berichten, Auslieferung über die Web-App und Pflege von Molls Bewusstsein für den aktuellen Arbeitsbereich.

Abonnementbetrieb: Verbrauchszählung gegen Ihr wöchentliches Guthaben, Anzeige des Zählers, Rechnungsstellung, Verarbeitung von Verlängerungen und Kündigungen über Stripe, Anwendung von Bildungsrabatten bei Berechtigung, Verhinderung betrügerischen Zahlungsverhaltens.

Sicherheit und Missbrauchsverhinderung: Erkennung von Credential Stuffing, Drosselung aggressiver Clients, Ablehnung von Prompts, die gegen die Richtlinie zur akzeptablen Nutzung verstoßen, Untersuchung verdächtiger Kontoaktivitäten, Einhaltung rechtlicher Verfahren.

Produktverbesserung: Fehlerbehebung, Reduzierung der Latenz, Überwachung fehlgeschlagener Jobs, Priorisierung von Fixes und Analyse aggregierter, nicht identifizierender Nutzungsmuster.

Kommunikation: Beantwortung von Supportanfragen, Versand transaktionaler E-Mails zu Abrechnung und Sicherheit und – nur mit Ihrer Einwilligung – Versand von Produktneuigkeiten.

Wir verkaufen keine Nutzer-Prompts, hochgeladenen Dateien, gespeicherten Projekte, Molekülskizzen, Berichte, Embeddings oder daraus abgeleiteten Datensätze an Werbetreibende, Datenhändler, Datenmarktplätze oder Scraper.

Standardmäßig werden Ihre Arbeitsbereichsinhalte ausschließlich zur Bereitstellung und Verbesserung Ihrer eigenen Cheemly-Erfahrung verwendet. Wir veröffentlichen keine Kunden-Prompts oder -Moleküle in öffentlichen Datensätzen.

Wenn Drittanbieter-Modellanbieter Ihre Prompts verarbeiten (siehe Unterauftragsverarbeiter), konfigurieren wir die Anbietereinstellungen so, dass dem Training mit Kunden-API-Eingaben widersprochen wird, sofern der Anbieter diese Steuerung bietet (Google AI Studio API: Training ist für bezahlten API-Verkehr deaktiviert; Anthropic API: Training ist standardmäßig deaktiviert; OpenAI API: Training ist standardmäßig deaktiviert). Enterprise-Kunden können eine schriftliche Bestätigung im Bestellformular anfordern.

Hetzner Online GmbH (Falkenstein, Deutschland) – Hauptinfrastruktur: virtuelle Maschinen, auf denen die Datenbank (PostgreSQL mit pgvector), der Objektspeicher (Supabase Storage auf unserer eigenen VM), das Embeddings-Modell (BGE-M3, TEI), die Chemie-OCSR (DECIMER), der API-Dienst und der Reverse-Proxy laufen. Alle Arbeitsbereichsinhalte werden hier gespeichert.

Vercel Inc. (Delaware, USA; Rechenzentren in mehreren Regionen) – Hosting und globales CDN für die Marketing-Website und die Next.js-Anwendung; Vercel Analytics, sofern aktiviert.

Cloudflare, Inc. (San Francisco, USA) – autoritatives DNS, DDoS-Schutz, Edge-TLS, Bot-Management und Proxy für api.cheemly.com / auth.cheemly.com. Cloudflare kann Anfragemetadaten (IP, Header, User-Agent) kurzzeitig verarbeiten, um diese Dienste bereitzustellen.

OpenRouter, Inc. (USA) – LLM-Gateway, das Prompts an ausgewählte zugrunde liegende Anbieter weiterleitet. Zu den derzeit verwendeten zugrunde liegenden Anbietern zählen Google (Gemini-Familie), Anthropic (Claude-Familie), OpenAI und Meta (Llama, über kostenlose Tarife). Die Liste kann sich ändern, wenn wir Modelle hinzufügen oder entfernen; die aktuellste Modellliste spiegelt sich in der Modellauswahl im Produkt wider.

Stripe, Inc. (USA) und Stripe Payments Europe Ltd. (Irland, für EU-/UK-Kunden) – Zahlungsabwicklung, Abonnementabrechnung, Rechnungsstellung, Betrugserkennungssignale. Stripe ist nach PCI-DSS Level 1 zertifiziert.

Resend, Inc. (USA) – Zustellung transaktionaler E-Mails (Registrierungsbestätigung, Passwort-Reset, Abrechnungsbelege).

Google LLC (Firebase Analytics, Google Sign-In) – Analyseereignisse und Google-OAuth-Authentifizierung, sofern vom Nutzer gewählt.

PostHog Inc. (EU-Region) – Produktanalysen (Ereignisebene), sofern aktiviert; Sie können in Ihren Kontoeinstellungen widersprechen.

Sentry – Fehlerüberwachung, sofern aktiviert.

Offene wissenschaftliche APIs, die wir in Ihrem Auftrag abfragen, ausschließlich mit öffentlichen bibliografischen Anfragen (keine personenbezogenen Daten werden übermittelt): Semantic Scholar (Allen Institute for AI), OpenAlex (OurResearch), Crossref, Europe PMC, arXiv, Unpaywall, PubChem (NIH/NLM), ChEMBL.

Apple Inc. wird nur kontaktiert, wenn der Nutzer ausdrücklich „Sign in with Apple“ wählt.

Hinweise auf neue oder ersetzende Unterauftragsverarbeiter werden auf dieser Seite vermerkt; wesentliche Änderungen werden per produktinterner Mitteilung oder E-Mail kommuniziert. Enterprise-Kunden können eine vorherige schriftliche Mitteilung im Bestellformular vereinbaren.

Arbeitsbereichsdaten (Konto, Chats, Dateien, Embeddings, Literaturhinweise, Berichte, Abrechnungsmetadaten, Aktivitätsprotokoll) werden in Deutschland auf der Infrastruktur der Hetzner Online GmbH (Regionen Falkenstein/Helsinki) gehostet, die innerhalb des Europäischen Wirtschaftsraums (EWR) liegt. Die primäre Datenbank ist PostgreSQL 16 mit pgvector.

Web-Traffic wird über das globale CDN von Vercel ausgeliefert; statische und Edge-Regionen sind aus Performance-Gründen weltweit verteilt. Cloudflare leitet API- und Auth-Anfragen über sein globales Edge.

LLM-Inferenz erfolgt in den Rechenzentren der zugrunde liegenden Anbieter, zu denen heute je nach Modell Standorte in den Vereinigten Staaten und in der Europäischen Union gehören. Wir kontrollieren das genaue Datenzentrum-Routing der vorgelagerten Anbieter nicht.

Bei Übermittlungen außerhalb des EWR (z. B. Stripe, OpenRouter, Resend, Vercel, Cloudflare, Sentry, die zugrunde liegenden LLM-Anbieter) stützen wir uns auf die Standardvertragsklauseln der Europäischen Kommission (Durchführungsbeschluss 2021/914) und, sofern anwendbar, auf den Angemessenheitsbeschluss zum EU-US Data Privacy Framework. Wir führen eine grundlegende Folgenabschätzung für Übermittlungen durch, und zusätzliche Schutzmaßnahmen (Verschlüsselung bei der Übertragung, eingeschränkte Geltungsbereiche) werden angewendet.

Kontodaten: werden gespeichert, solange das Konto aktiv ist. Nach Kontoschließung löschen wir Konto, Projekte, Dateien, Embeddings, Literaturhinweise und gespeicherte Berichte innerhalb von 30 Tagen, sofern das Gesetz keine längere Aufbewahrung verlangt (z. B. werden Steuerrechnungen gegebenenfalls zehn Jahre aufbewahrt).

Betriebsprotokolle: Fehler-, Zugriffs- und Sicherheitsprotokolle werden bis zu 90 Tage zur Fehlerbehebung und Missbrauchsverhinderung gespeichert und danach gelöscht oder aggregiert.

Authentifizierungsereignisse (Anmelde-IP, User-Agent, Zeitstempel): werden bis zu 180 Tage zur Sicherheitsüberprüfung gespeichert.

Rechnungen und Abrechnungen: werden für den nach geltendem Steuerrecht erforderlichen Zeitraum aufbewahrt (in der Regel 5–10 Jahre).

Verschlüsselte Backups: werden in einer 30-Tage-Rotation aufbewahrt. Gelöschte Nutzerinhalte können in einem Backup verbleiben, bis die Rotation sie entfernt; wir stellen gelöschte Inhalte nicht in der Produktion wieder her, außer wenn dies aus Sicherheits- oder Rechtsgründen erforderlich ist.

Opt-in-Aufzeichnungen für Marketing-E-Mails: werden gespeichert, solange das Opt-in aktiv ist, sowie für 12 Monate nach dem Widerruf als Nachweis der Einwilligung.

Unbedingt erforderliche Cookies und lokaler Speicher: Sitzungstoken, Authentifizierungsstatus (Supabase-SSR-Cookie), Spracheinstellung (NEXT_LOCALE), Theme-Einstellung, CSRF-Schutz. Diese können nicht deaktiviert werden, ohne die Website zu beeinträchtigen.

Funktionsspeicher: Arbeitsbereichsentwurf (lokaler zustand-State), angeheftete Literaturhinweise, Fortschritt der Lernsitzung – im lokalen/Sitzungsspeicher Ihres Browsers gespeichert, damit der Arbeitsbereich zwischen Seitenladevorgängen reaktionsfähig bleibt.

Analyse: Vercel Analytics und Firebase Analytics können Erstanbieter-Cookies zur aggregierten Seitenaufrufmessung setzen. PostHog-Ereignisanalyse wird nur mit Einwilligung aktiviert, sofern lokales Recht dies verlangt.

Drittanbieter-Cookies werden nur gesetzt, wenn Sie „Sign in with Google“ oder Apple verwenden, und sind auf den Authentifizierungsablauf des Anbieters beschränkt.

Sie können Cookies in Ihrem Browser steuern. Das Deaktivieren erforderlicher Cookies macht die Anmeldung unmöglich.

Nach DSGVO / UK GDPR (Art. 15–22) haben Sie das Recht auf Auskunft, Berichtigung, Löschung (Recht auf Vergessenwerden), Einschränkung der Verarbeitung, Datenübertragbarkeit (maschinenlesbarer Export Ihres Kontos und Arbeitsbereichs), Widerspruch gegen eine auf berechtigte Interessen gestützte Verarbeitung sowie das Recht, nicht einer ausschließlich automatisierten Entscheidung unterworfen zu werden, die rechtliche oder ähnlich erhebliche Wirkung entfaltet. Cheemly trifft in diesem Sinne keine ausschließlich automatisierten Entscheidungen.

Nach KVKK (Türkiye, Art. 11) können Sie Auskunft darüber verlangen, ob Ihre Daten verarbeitet werden, zu welchen Zwecken, an welche Empfänger und aus welcher Quelle; Sie können Berichtigung, Löschung und Anonymisierung verlangen und Ergebnissen widersprechen, die ausschließlich aus automatisierter Analyse stammen.

Nach CCPA/CPRA (Kalifornien) haben Sie das Recht auf Auskunft, das Recht auf Löschung, das Recht auf Berichtigung, das Recht, dem Verkauf oder Teilen zu widersprechen (wir verkaufen oder teilen keine personenbezogenen Daten im Sinne des CCPA), und das Recht, die Verwendung sensibler personenbezogener Daten einzuschränken.

Um ein Recht auszuüben, schreiben Sie von Ihrer Konto-E-Mail aus an privacy@cheemly.com. Wir überprüfen Ihre Identität, antworten innerhalb von 30 Tagen und benachrichtigen Sie, falls wir eine Fristverlängerung benötigen. Die erste Anfrage in einem Zeitraum von 12 Monaten ist kostenlos. Sie haben außerdem das Recht, Beschwerde bei Ihrer Aufsichtsbehörde einzureichen – beispielsweise bei der Kişisel Verileri Koruma Kurumu (KVKK Kurumu) in der Türkei oder bei der Datenschutzbehörde Ihres EU-Mitgliedstaats.

Cheemly richtet sich nicht an Kinder unter 13 Jahren (bzw. unter 16 Jahren im EWR, sofern die lokale Umsetzung von Art. 8 DSGVO dies vorsieht). Nutzer unter diesem Alter dürfen Cheemly nur mit nachweisbarer Einwilligung eines Elternteils, Erziehungsberechtigten oder einer Bildungseinrichtung mit entsprechender Befugnis verwenden.

Lehrkräfte, die Cheemly im Unterricht einsetzen, sollten keine personenbezogenen Daten von Schülern hochladen, sofern sie nicht über eine rechtliche Befugnis und einen klaren pädagogischen Bedarf verfügen. Cheemly übernimmt ohne schriftliche Zusatzvereinbarung nicht die Rolle eines „school official“ im Sinne von FERPA.

Erfahren wir, dass ein Kind ohne entsprechende Einwilligung personenbezogene Daten bereitgestellt hat, löschen wir das Konto und die zugehörigen Inhalte.

Werden wir uns einer Verletzung des Schutzes personenbezogener Daten bewusst, die voraussichtlich ein Risiko für die Rechte und Freiheiten der Nutzer mit sich bringt, benachrichtigen wir die zuständige Aufsichtsbehörde innerhalb von 72 Stunden (Art. 33 DSGVO) und, wenn das Risiko hoch ist, die betroffenen Nutzer unverzüglich (Art. 34 DSGVO).

Art. 12 Abs. 5 KVKK verlangt ebenfalls eine schnellstmögliche Benachrichtigung der Kurum und der betroffenen Person – wir behandeln dieselbe 72-Stunden-Frist als verbindliches Ziel.

Die Benachrichtigungen enthalten, was geschehen ist, welche Daten betroffen waren, welche Maßnahmen wir ergriffen haben, was die Nutzer tun sollten und wie sie uns kontaktieren können.

Datenschutzanfragen: privacy@cheemly.com

Rechtliche Mitteilungen, einschließlich Hinweisen auf Verletzungen geistigen Eigentums: legal@cheemly.com

Sicherheitsmeldungen: security@cheemly.com (siehe auch /.well-known/security.txt)

Allgemeiner Support: support@cheemly.com