Datenschutzerklärung

Version 2026-07-01-v7 (Entwurf) - anwaltliche Endprüfung vor Go-Live erforderlich. Diese Fassung bildet die tatsächlich im Code aufgerufenen Auftragsverarbeiter ab (subprozessor-ehrlich) und benennt für US-Anbieter das EU-US Data Privacy Framework sowie Standardvertragsklauseln als Transfergrundlage.

Hinweis an den Betreiber (vor Live-Schaltung entfernen): Die gelb markierten Felder [FOUNDER: ...] müssen mit echten Pflichtangaben befüllt werden; bis dahin blockt das Legal-Gate das Production-Deployment. Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist der Inhaber des Einzelunternehmens als natürliche Person, keine haftungsbeschränkte Gesellschaft. Inhaber-Name und Anschrift bestimmen die Wirksamkeit sämtlicher Auftragsverarbeitungsverträge und müssen vor Go-Live final feststehen und mit dem Impressum übereinstimmen.

§ 1 Verantwortlicher (Art. 4 Nr. 7 DSGVO)

Verantwortlicher im Sinne der Datenschutz-Grundverordnung ist der Inhaber des Einzelunternehmens als natürliche Person:
Papierfrei Postservice, Inhaber [FOUNDER: Name des Inhabers bestätigen (Wladislaw Reiswich)]
[FOUNDER: Straße + Hausnummer der ladungsfähigen Anschrift]
[FOUNDER: PLZ + Ort der ladungsfähigen Anschrift]
Bundesrepublik Deutschland
E-Mail: datenschutz@papierfrei.net

Papierfrei Postservice wird als Einzelunternehmen geführt; es besteht keine haftungsbeschränkte Gesellschaft. Verantwortlicher und datenschutzrechtlicher Ansprechpartner ist der Inhaber persönlich.

§ 2 Datenschutzbeauftragter

Ein Datenschutzbeauftragter ist nach Art. 37 DSGVO nicht zwingend zu benennen, solange die Voraussetzungen des § 38 BDSG (in der Regel mindestens 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind) nicht erfüllt sind. Diese Voraussetzungen liegen derzeit nicht vor. Datenschutz-Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist der Inhaber des Einzelunternehmens persönlich. Anfragen zum Datenschutz richten Sie an datenschutz@papierfrei.net.

§ 3 Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten unserer Nutzerinnen und Nutzer ausschließlich, soweit dies zur Bereitstellung eines funktionsfähigen Dienstes sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung erfolgt nach Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO), aufgrund rechtlicher Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) oder aufgrund berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO).

§ 4 Kategorien verarbeiteter Daten

  • Stammdaten (Name, Anschrift, Geburtsdatum)
  • Kontaktdaten (E-Mail, Telefon)
  • Vertragsdaten (Tarif, Vertragslaufzeit, Zahlungsdaten)
  • Inhaltsdaten: gescannte Briefe und Dokumente, daraus erkannter Text (OCR), KI-erstellte Kurzzusammenfassungen und Header-Kacheln, Metadaten (Absender, Datum, Kategorie, Beträge, Fristen) sowie semantische Vektoren (Embeddings) für die interne Suche
  • Nutzungsdaten (IP-Adresse, Zugriffszeitpunkt, Geräteinformationen, App-Logs, Fehler-/Diagnosedaten)
  • Zahlungsdaten (über Stripe - siehe § 8)
  • Selbstgepflegte Vertragsmetadaten (Sender-Leistungen und Tarif-Bezeichnungen je Geschäftspartner sowie Verträge im Detail-Panel: Versicherungen, Telekommunikation, Energie, Streaming, Abos, Vertragsnummern, Konditionen; Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO; keine Gesundheits- oder besonderen Kategorien nach Art. 9 zulässig - Hinweis im UI)
  • Besondere Kategorien nach Art. 9 DSGVO (Gesundheitsdaten aus Medizin-Briefen) - nur im abgestuften Two-Stage-Modell, siehe § 16b

§ 5 Zwecke und Rechtsgrundlagen (Art. 13 DSGVO)

ZweckRechtsgrundlageSpeicherdauer
Bereitstellung von Website und AppArt. 6 Abs. 1 lit. f DSGVOServer-Logs: 14 Tage
Registrierung / Account-VerwaltungArt. 6 Abs. 1 lit. b DSGVOFür Vertragsdauer + gesetzliche Aufbewahrung
Dokumenten-Upload, OCR, KI-Analyse und -ZusammenfassungArt. 6 Abs. 1 lit. b DSGVOBis Löschung durch Nutzer bzw. Ablauf gesetzlicher Aufbewahrung
BriefversandArt. 6 Abs. 1 lit. b DSGVO10 Jahre (§ 147 AO), soweit buchungsbegründend
Video-Beratungstermin (TeamViewer, nur bei Wahl des Video-Kanals)Art. 6 Abs. 1 lit. b DSGVODauer des Beratungsgesprächs (keine dauerhafte Aufzeichnung); Buchungsmetadaten bis Widerruf bzw. Kontolöschung
Zahlungsabwicklung (Stripe)Art. 6 Abs. 1 lit. b und c DSGVO10 Jahre (§ 147 AO)
Audit-Trail / SicherheitsprotokolleArt. 6 Abs. 1 lit. c und f DSGVO, Art. 30, 32 DSGVO3 Jahre
Fehler-/Stabilitäts-Monitoring (Sentry)Art. 6 Abs. 1 lit. f DSGVOBis zu 90 Tage (Anbieter-Standard)
Interaktions-Analyse im Einrichtungsprozess (Onboarding)Art. 6 Abs. 1 lit. f DSGVOBis auf Widerruf/Widerspruch (keine feste Löschfrist; siehe § 16d)
Reichweitenmessung Landing Page (cookielos)Art. 6 Abs. 1 lit. f DSGVOAggregiert, keine personenbezogene Speicherung
Statistik-/Marketing-Cookies (falls gesetzt)Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDGBis Widerruf, max. 12 Monate

§ 6 Auftragsverarbeiter und Empfänger (Art. 28, Art. 13 Abs. 1 lit. e DSGVO)

Wir setzen sorgfältig ausgewählte Dienstleister im Rahmen einer Auftragsverarbeitung ein. Mit jedem besteht bzw. wird vor produktiver Nutzung ein Vertrag nach Art. 28 DSGVO geschlossen. Nicht jeder Dienstleister erhält alle Datenkategorien; maßgeblich ist die in der Spalte „Zweck“ genannte Verarbeitung. Die vollständige interne Übersicht wird unter docs/legal/AVV-Subprozessoren.md geführt.

DienstleisterZweckSitz / DatenstandortTransfergrundlage
Supabase Inc.Datenbank, Authentifizierung, Datei-Speicher und Backend-Funktionen (Speicherung praktisch aller Nutzer- und Inhaltsdaten)USA (Anbieter), Hosting EU-Region FrankfurtArt. 28 DSGVO (DPA in den Supabase-Terms); für den US-Bezug EU-US Data Privacy Framework (Art. 45) + EU-SCC (Art. 46)
Anthropic PBC (Claude)KI-Kurzzusammenfassung und Header-Kacheln aus dem erkannten Brieftext (primärer Verarbeitungspfad)USA (api.anthropic.com)Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); Art. 28 DPA; EU-US Data Privacy Framework (Art. 45) + EU-SCC (Art. 46)
OpenAI Ireland Ltd. / OpenAI L.L.C.Erzeugung semantischer Vektoren (Embeddings) für die interne Suche sowie Fallback-Zusammenfassung/Header-KachelnIrland / USA (api.openai.com)Art. 6 Abs. 1 lit. b DSGVO; Art. 28 DPA; EU-US Data Privacy Framework (Art. 45) + EU-SCC (Art. 46)
Google Ireland Ltd. / Google LLCKI-Postfach-Assistent (Chat) sowie optionale Übersetzung in Leichte Sprache. Bei aktivem EU-Backend (Google Cloud Vertex AI) erfolgt die Verarbeitung in Frankfurt (europe-west3); im Standardpfad der Gemini-Developer-API über einen US-Endpunkt.EU (Frankfurt, europe-west3) bei aktivem Vertex-Backend, sonst USAArt. 6 Abs. 1 lit. b DSGVO; Google Cloud DPA (Art. 28); für den US-Bezug EU-US Data Privacy Framework (Art. 45) + EU-SCC (Art. 46)
Stripe Payments Europe Ltd.ZahlungsabwicklungIrland (Muttergesellschaft USA)Art. 28 DSGVO; EU-US Data Privacy Framework (Art. 45) + EU-SCC (Art. 46 Abs. 2 lit. c)
LetterXpress (wdv GmbH)Druck und Versand physischer BriefeDeutschlandEU-Verarbeitung; Art. 28 DSGVO; kein Drittlandtransfer
Hetzner Online GmbHServer-Hosting für Backend und OCR-VerarbeitungDeutschlandEU-Verarbeitung; Art. 28 DSGVO; kein Drittlandtransfer
TeamViewer Germany GmbHDurchführung der kostenlosen Video-Beratungstermine (Video-, Ton- und Bildschirmübertragung während des von Ihnen gebuchten Beratungsgesprächs). Nur bei ausdrücklicher Wahl des Video-Kanals; alternativ findet die Beratung telefonisch ohne diesen Dienstleister statt.Deutschland (Göppingen, Baden-Württemberg); Verarbeitung und Hosting laut TeamViewer-Subprozessorenliste innerhalb der EU bzw. des EWR (u.a. Deutschland, Irland, Österreich, Luxemburg)Art. 6 Abs. 1 lit. b DSGVO (Durchführung des von Ihnen angefragten Beratungsgesprächs); Art. 28 DSGVO. Die Auftragsverarbeitung besteht über das in die TeamViewer-Nutzungsbedingungen einbezogene Data Processing Agreement (DPA), das mit der geschäftlichen Nutzung wirksam wird. Nach der TeamViewer-Subprozessorenliste erfolgt die Verarbeitung für das von uns eingesetzte Produkt ausschließlich in der EU bzw. im EWR; es findet kein Drittlandtransfer statt. Ein optionaler US-Dienstleister für das Video-/Ton-Signal wird von uns ausdrücklich nicht in Anspruch genommen.
Sentry (Functional Software Inc.)Fehler- und Stabilitäts-Monitoring (Stacktraces, IP-Adresse, User-Agent); personenbezogene Merkmale werden vor Übermittlung serverseitig gefiltertUSA (EU-Region-Option)Art. 6 Abs. 1 lit. f DSGVO; Art. 28 DPA; EU-US Data Privacy Framework (Art. 45) + EU-SCC (Art. 46)
[FOUNDER: Name + Sitz des E-Mail-Versand-Dienstleisters (SMTP-Provider) eintragen]Versand von Transaktions-E-Mails[FOUNDER: Sitz/Datenstandort des E-Mail-Providers]Art. 28 DSGVO; Transfergrundlage je nach Sitz des Anbieters
sevDesk GmbH / Haufe-Lexware GmbH / BuchhaltungsButler GmbHOptionaler Export von Buchungsdaten (nur nach ausdrücklicher Aktivierung pro Nutzer)DeutschlandArt. 6 Abs. 1 lit. a und b DSGVO; Art. 28 DSGVO; kein Drittlandtransfer
Plausible Insights OÜCookielose Reichweitenmessung der Landing Page (keine personenbezogene Profilbildung)Estland (EU), Hosting EUArt. 6 Abs. 1 lit. f DSGVO; kein Drittlandtransfer (AVV in Beschaffung)

Die Namen und Endpunkte der KI-Verarbeiter sind an die tatsächlich im Backend aufgerufenen Dienste angeglichen (OCR-Worker: Claude Haiku und OpenAI; Postfach-Chat und Leichte Sprache: Google Gemini bzw. Vertex AI). Einzelheiten zur KI-Verarbeitung siehe § 9.

§ 7 Drittlandübermittlung (Art. 44 ff. DSGVO)

Ein Teil unserer Verarbeitung findet bei Anbietern statt, deren Muttergesellschaft in den USA sitzt (Anthropic, OpenAI, Google, Stripe, Supabase, Sentry). Soweit dabei personenbezogene Daten in ein Drittland übermittelt werden, stützen wir dies auf einen Angemessenheitsbeschluss der EU-Kommission (EU-US Data Privacy Framework, Art. 45 DSGVO), sofern der Anbieter zertifiziert ist, sowie ergänzend auf die Standardvertragsklauseln der EU-Kommission (Durchführungsbeschluss (EU) 2021/914, Art. 46 DSGVO) und ergänzende technische und organisatorische Maßnahmen (Verschlüsselung in Übertragung und Ruhe, Datenminimierung, Filterung direkt identifizierender Merkmale vor der Übermittlung).

Die inhaltliche KI-Auswertung kann in EU-Rechenzentren (Google Cloud Vertex AI, Frankfurt, Region europe-west3) erfolgen, sofern das EU-Backend aktiv geschaltet ist. Wo dies nicht der Fall ist, greifen für die genannten US-Anbieter die vorstehenden Garantien. Ein Restrisiko des Zugriffs durch US-Behörden (z.B. CLOUD Act, FISA Section 702) lässt sich nicht vollständig ausschließen; es wird über die verbindlichen Zusagen des Data Privacy Framework und die Standardvertragsklauseln adressiert. Einzelheiten: Drittland-Information.

§ 8 Stripe - Zahlungsabwicklung

Beim Abschluss kostenpflichtiger Tarife werden Zahlungsdaten direkt an Stripe Payments Europe Ltd. übermittelt. Wir selbst speichern keine vollständigen Kreditkartendaten. Datenschutzhinweise: stripe.com/de/privacy.

§ 9 KI-Verarbeitung der Briefinhalte

Die Texterkennung (OCR) erfolgt zunächst lokal auf unserer Infrastruktur (PaddleOCR, Tesseract) - hierbei findet keine Drittlandübermittlung statt. Für die inhaltliche Weiterverarbeitung setzen wir folgende KI-Auftragsverarbeiter ein:

  • Kurzzusammenfassung und Header-Kacheln: Anthropic Claude Haiku (primär), mit OpenAI (gpt-4o-mini) als Fallback. Verarbeitet wird der erkannte Brieftext. US-Anbieter (siehe § 6, § 7).
  • Interne Ähnlichkeits- und Suchfunktion: semantische Vektoren (Embeddings) über OpenAI (text-embedding-3-small).
  • Postfach-KI-Assistent und Leichte Sprache: Google Gemini bzw. Google Cloud Vertex AI. Bei aktivem EU-Backend (Vertex, europe-west3) EU-resident; sonst über einen US-Endpunkt der Gemini-Developer-API.

Die KI-Auswertung ist Kernbestandteil des Dienstes und erfolgt zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO); ohne sie kann die Poststelle nicht bereitgestellt werden. Vor der Übermittlung an externe Modelle filtert ein serverseitiger Mechanismus direkt identifizierende Merkmale (z.B. Steuer-IDs, IBANs, Geburtsdaten), soweit technisch möglich. Die API-Daten werden gemäß den jeweiligen Auftragsverarbeitungsverträgen verarbeitet und nach Zusicherung der Anbieter nicht zum Training der allgemeinen Modelle genutzt. Für die Übermittlung in Drittländer gelten die Garantien nach § 7.

Datei-Anhänge im KI-Chat: Wenn Sie im KI-Chat eine Datei (Bild oder PDF) anhängen und eine Auswertung anfordern, wird diese Datei im Original an Google Cloud Vertex AI (EU-Region) übermittelt. Für diesen Anhang-Pfad greift die oben beschriebene automatische Redaktion direkt identifizierender Merkmale nicht, weil die Datei als Originalbild bzw. Original-PDF verarbeitet wird. Rechtsgrundlage ist Ihre Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO, bei besonderen Kategorien zusätzlich Art. 9 Abs. 2 lit. a DSGVO. Ohne Einwilligung wird der Datei-Inhalt nicht an die KI übermittelt; die Datei bleibt dann ausschließlich in Ihrem eigenen Konto-Speicher.

Hinweis zur EU-Datenresidenz: Ob die inhaltliche KI-Verarbeitung vollständig in der EU stattfindet, hängt von der aktiven Backend-Konfiguration ab (EU-Only-Modus / Vertex-Backend). Der Betreiber stellt vor Go-Live sicher, dass die produktive Konfiguration mit den Angaben dieser Erklärung übereinstimmt.

§ 10 Hosting und Server-Logfiles

Bei jedem Aufruf werden technisch notwendige Daten (IP-Adresse, Zeitstempel, User-Agent, Referrer) in Server-Logs gespeichert (Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO). Speicherdauer: 14 Tage. Eine Zusammenführung mit anderen Datenquellen findet nicht statt.

§ 11 Cookies und ähnliche Technologien (§ 25 TDDDG)

Wir setzen technisch notwendige Cookies ohne Einwilligung. Statistik- und Marketing-Cookies werden ausschließlich nach Ihrer ausdrücklichen Einwilligung über unser Consent-Banner gesetzt. Die Reichweitenmessung der Landing Page (Plausible) erfolgt cookielos und ohne Zugriff auf Endgeräte-Informationen. Ihre Einwilligung können Sie jederzeit über das Cookie-Banner widerrufen.

§ 12 Audit-Trail und Sicherheit (Art. 30, 32 DSGVO)

Zugriffe auf personenbezogene Daten werden gemäß Art. 30 DSGVO protokolliert (Verarbeitungsverzeichnis). Der Audit-Trail enthält Zeitstempel, Akteur, Datenobjekt und Aktionstyp. Schutzmaßnahmen nach Art. 32 DSGVO: Verschlüsselung at rest (AES-256) und in transit (TLS 1.3), rollenbasierte Zugriffskontrolle (RLS, Tenant-Isolation), Rate-Limiting, Mehrfaktor-Authentifizierung für Administratoren.

§ 13 Rechte der betroffenen Personen (Art. 15-22 DSGVO)

  • Auskunftsrecht (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruchsrecht (Art. 21 DSGVO)
  • Recht, einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung nicht unterworfen zu werden (Art. 22 DSGVO)
  • Recht auf Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)

Zur Ausübung Ihrer Rechte genügt eine formlose Mitteilung per E-Mail an datenschutz@papierfrei.net. Auskunft, Export und Löschung können Sie zusätzlich im DSGVO-Selbstservice-Bereich Ihres Accounts (Einstellungen > Datenschutz) auslösen. Ein Löschungsantrag wird über die serverseitige Funktion request_dsgvo_erasure() mit anschließender Anonymisierung (anonymize_user_data_for_erasure) verarbeitet.

Bei einem Löschungsantrag nach Art. 17 DSGVO werden auch selbstgepflegte Vertragsmetadaten (Sender-Leistungen je Geschäftspartner sowie Verträge im Detail-Panel: Versicherungen, Telekommunikation, Energie, Streaming, Abos) vollständig entfernt (keine GoBD-Aufbewahrung) sowie die zwischengespeicherten Leichte-Sprache-Varianten gelöscht. Der Widerruf der Art-9-Einwilligung (§ 16b) ist jederzeit möglich und löst den dort beschriebenen Re-Redact-Lauf aus. Buchungsbegründende Belege unterliegen der handels- und steuerrechtlichen Aufbewahrungspflicht (bis zu 10 Jahre, § 147 AO, § 257 HGB) und werden bis zum Ablauf dieser Frist gesperrt statt gelöscht.

Bereits in den anonymisierten Trainings-Korpus übernommene Datensätze sind nach ordnungsgemäßer Anonymisierung kein personenbezogenes Datum mehr (Art. 4 Nr. 1 DSGVO, Erwägungsgrund 26) und unterliegen daher nicht der Löschungspflicht. Die Anonymisierung erfolgt irreversibel vor der Übernahme in den Korpus (Vernichtung des Zuordnungs-Salts, Schwellenwert-Gate, Entfernung direkter Identifikatoren). Personen- bezogene Kundendaten und anonymisierte Trainingsdaten werden strikt getrennt behandelt.

§ 14 Beschwerderecht bei der Aufsichtsbehörde (Art. 77 DSGVO)

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig ist die Behörde Ihres Wohnsitzes oder unseres Sitzes: [FOUNDER: zuständige Landesdatenschutzbehörde nach Sitz eintragen (z.B. bei Sitz in NRW: LDI NRW, Postfach 20 04 44, 40102 Düsseldorf)].

§ 15 Einsatz von KI-Systemen, Transparenz (Art. 50 KI-Verordnung, Art. 22 DSGVO)

Wir setzen KI-Systeme zur Texterkennung (OCR), zur automatisierten Klassifikation von Dokumenten sowie zur Erkennung von Fristen und Absendern und zur Erstellung von Kurzzusammenfassungen ein. Nach Art. 50 der Verordnung (EU) 2024/1689 (KI-Verordnung, Transparenz- pflichten wirksam ab 02.08.2026) kennzeichnen wir sämtliche KI-erzeugten oder KI-bearbeiteten Inhalte (z.B. extrahierte Absender, Kategorien, Zusammenfassungen, Fristen) in der Benutzeroberfläche als KI-generiert. Diese Inhalte sind jederzeit durch Sie korrigierbar. Bei Interaktion mit einem KI-System (z.B. Assistenz-Funktionen) werden Sie vorab sichtbar darauf hingewiesen.

Die KI-gestützte Klassifikation, Zusammenfassung und Fristenerkennung stellt keine ausschließlich automatisierte Entscheidung mit rechtlicher Wirkung im Sinne von Art. 22 Abs. 1 DSGVO dar. Sämtliche rechtlich oder finanziell relevanten Entscheidungen verbleiben bei Ihnen; jede KI-Empfehlung muss von Ihnen bestätigt werden. Sie haben das Recht, KI-Ergebnisse zu korrigieren, zu widersprechen (Art. 21 DSGVO) oder die Verarbeitung einschränken zu lassen (Art. 18 DSGVO). Eine Profilbildung im Sinne von Art. 4 Nr. 4 DSGVO findet nicht statt. Unsere Einstufung nach der KI-Verordnung: begrenztes Risiko (limited risk) nach Art. 50, kein Hochrisiko-KI-System nach Anhang III. Weitere Einzelheiten: KI-Transparenz.

§ 16 Datenherkunft (Art. 14 DSGVO)

Soweit wir personenbezogene Daten Dritter (z.B. Absender Ihrer Briefe) verarbeiten, erfolgt dies ausschließlich im Auftrag des Nutzers. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Die Daten stammen aus dem vom Nutzer hochgeladenen Schriftverkehr.

§ 16a Adressbuch- und Kontakt-Daten Dritter

Wenn Sie Adressdaten, Telefonnummern oder E-Mail-Adressen anderer Personen (Korrespondenten, Empfänger, Lieferanten etc.) in Ihrem Adressbuch (Tabelle user_contacts) bei uns speichern, handeln Sie selbst als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO in Bezug auf diese Drittpersonen.

Wir verarbeiten diese Drittdaten lediglich auf Ihre Weisung gemäß Art. 28 DSGVO (Auftragsverarbeitung). Sie sind verpflichtet, die rechtlichen Grundlagen für die Verarbeitung dieser Drittdaten eigenständig sicherzustellen, insbesondere:

  • Vorliegen einer Rechtsgrundlage nach Art. 6 DSGVO (z.B. Einwilligung, Vertrag, berechtigtes Interesse)
  • Erfüllung der Informationspflichten nach Art. 13/14 DSGVO gegenüber den Drittpersonen
  • Beachtung der Betroffenenrechte (Auskunft, Löschung, Widerspruch) gegenüber den Drittpersonen

Bei einem Löschverlangen einer Drittperson nach Art. 17 DSGVO haben Sie die Datenverarbeitung in unserer Software zu stoppen, indem Sie den entsprechenden Adressbuch-Eintrag selbst löschen. Wir unterstützen Sie dabei über den DSGVO-Selbstservice-Bereich Ihres Accounts.

§ 16b Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) - Gesundheitsdaten aus Medizin-Briefen

Bestimmte Briefe enthalten Informationen, die Art. 9 Abs. 1 DSGVO als besondere Kategorien personenbezogener Daten einstuft, bei Papierfrei insbesondere Gesundheitsdaten. Die Verarbeitung ist grundsätzlich verboten und nur zulässig, wenn eine Ausnahme nach Art. 9 Abs. 2 DSGVO vorliegt. Wir stützen uns ausschließlich auf Art. 9 Abs. 2 lit. a DSGVO (Ihre ausdrückliche Einwilligung für einen festgelegten Zweck).

Folgende Brief-Kategorien werden automatisch als besonders schützenswert markiert und durch das Two-Stage-Modell geführt: Arzt-Rechnung, Arztbrief/Befund/Diagnose-Schreiben/Laborbericht, Klinik- und Krankenhaus-Korrespondenz, Krankenkassen-Bescheid und -Widerspruch, Psychotherapie-Korrespondenz, Apotheken-Rezepte und -Rechnungen, Reha- und Pflegegrad-Bescheide sowie Schreiben von Gesundheits- und Versorgungsämtern mit Gesundheitsbezug. Die kanonische Kategorienliste wird im Backend gepflegt; bei Erweiterung wird diese Erklärung mit neuer Versions-ID angepasst und der Nutzer in der App informiert.

Stufe 1 (immer, auch ohne Art-9-Einwilligung): Es werden ausschließlich Kategorie, Absender und Brief-Datum verarbeitet, damit Sie den Brief in Ihrer Inbox wiederfinden, sortieren und fristgerecht bearbeiten können. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung Postservice). Alle übrigen Felder werden auf Stufe 1 unterdrückt; das gescannte Original-PDF verbleibt ausschließlich in Ihrem persönlichen verschlüsselten Speicher.

Stufe 2 (nur mit Ihrer ausdrücklichen Einwilligung "Erweiterte Verarbeitung von Gesundheitsdaten nach Art. 9 DSGVO"): Zusätzlich werden strukturiert extrahiert: Rechnungs-Positionen, Behandlungs-Datum, Diagnose-Codes (ICD, falls erkannt), Gesamt-Betrag, Eigenanteil, Versicherten-Anteil, Fristen und Widerspruchsfristen, Behandler-Name und Fachgebiet sowie buchungsrelevante Felder für den optionalen Export an die Steuerberatung. Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO in Verbindung mit Art. 6 Abs. 1 lit. a DSGVO. Ohne diese Einwilligung findet Stufe 2 nicht statt.

Die Einwilligung erteilen und widerrufen Sie aktiv über Einstellungen > DSGVO-Bereich > Erweiterte Verarbeitung von Gesundheitsdaten. Erst nach Bestätigung im Modal-Dialog wird die Einwilligung serverseitig gespeichert (Zeitpunkt und Versions-ID in public.users). Der Widerruf wirkt sofort und startet automatisch einen Re-Redact-Lauf: bereits auf Stufe 2 extrahierte strukturierte Felder werden irreversibel gelöscht, ein Marker verhindert eine erneute Stufe-2-Anhebung, Field-Position-Daten im Trainings-Speicher werden gestrippt und für jeden betroffenen Brief wird ein Audit-Log-Eintrag geschrieben. Das gescannte Original-PDF bleibt unberührt (Vertragsgrundlage Postservice, Art. 6 Abs. 1 lit. b DSGVO); zur Entfernung des Originals nutzen Sie zusätzlich das allgemeine Löschungsrecht nach Art. 17 DSGVO (§ 13).

§ 16c Leichte Sprache (optionale KI-Übersetzung)

Sie können in der App pro Brief, für künftige Briefe oder für alle Briefe die KI-Zusammenfassung in Leichte Sprache übersetzen lassen. Diese Funktion ist eine bewusst durch Klick ausgelöste Aktion und nutzt Google Cloud Vertex AI in EU-Rechenzentren (Frankfurt, Region europe-west3), sofern das EU-Backend aktiv ist. Ist die Standardsprache "Leichte Sprache" aktiviert, wird die Zusammenfassung jedes neu eingehenden Briefs automatisch übersetzt (Scope auto). Die Funktion ist optional und standardmäßig deaktiviert; Sie können sie jederzeit pro Brief, für künftige Briefe oder für alle Briefe ein- und ausschalten.

Übermittelt wird ausschließlich die bereits vorhandene KI-Kurzzusammenfassung (typischerweise 50 bis 200 Wörter) - keine Volltexte, keine Scans, keine Originaldokumente. Rechtsgrundlage: Durchführung der von Ihnen angeforderten Übersetzungsfunktion zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO); für einen etwaigen Drittlandbezug gelten die Garantien nach § 7. Die übersetzten Varianten werden serverseitig zwischengespeichert; bei einem Löschungsantrag nach Art. 17 DSGVO werden diese Caches in jedem Fall vollständig entfernt, auch bei Briefen unter handels- oder steuerrechtlicher Aufbewahrungsfrist. Jeder Übersetzungs-Call wird im Compliance-Log protokolliert.

§ 16d Interaktions-Analyse im Einrichtungsprozess (Onboarding)

Während Sie den geführten Einrichtungsprozess (Onboarding) durchlaufen, erfassen wir, wie Sie mit den einzelnen Schritten umgehen, um diesen Prozess für künftige Nutzerinnen und Nutzer verständlicher und einfacher zu machen. Konkret verarbeiten wir:

  • Klicks auf Schaltflächen (z.B. „Weiter“, „Zurück“) und Auswahlkarten
  • Ihre Auswahlen innerhalb des Einrichtungsprozesses (z.B. gewählte Briefmenge, Tarif- und Zahlweise-Optionen, Zusatzleistungen) sowie Änderungen dieser Auswahl
  • Bewegungen der Schieberegler (z.B. Briefmenge, Guthaben) einschließlich der Dauer einer Zieh-Bewegung
  • die Verweildauer auf den einzelnen Schritten (wie lange ein Schritt angezeigt wurde)

Diese Interaktions-Daten sind mit Ihrem Nutzerkonto verknüpft (Personenbezug über Ihre Nutzer-ID). Wir erfassen dabei keine Freitext-Eingaben, keine Inhalte Ihrer Dokumente, keine besonderen Kategorien nach Art. 9 DSGVO, keine IP-Adressen und keine Geräte-Fingerabdrücke zu diesem Zweck. Es findet kein seitenübergreifendes Tracking und keine Weitergabe an Dritte statt.

Zweck: Verbesserung und Vereinfachung des Einrichtungsprozesses (Erkennen von Stellen, an denen Nutzerinnen und Nutzer zögern oder abbrechen). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem verständlichen, gut nutzbaren Einrichtungsprozess für unseren eigenen Bestellvorgang, für den Sie sich aktiv angemeldet haben).

Speicherdauer: Diese Daten werden ohne feste Löschfrist gespeichert und dienen der langfristigen Produkt- und Prozessverbesserung. Wir speichern sie bis auf Ihren Widerruf bzw. Widerspruch. Beim Löschen Ihres Kontos werden die zugehörigen Interaktions-Daten automatisch mit entfernt.

Widerspruchsrecht (Art. 21 DSGVO): Sie können dieser auf Art. 6 Abs. 1 lit. f DSGVO gestützten Verarbeitung jederzeit mit Wirkung für die Zukunft widersprechen. Nach einem Widerspruch beenden wir die weitere Erfassung Ihrer Interaktions-Daten im Einrichtungsprozess. Für den Widerspruch genügt eine formlose Mitteilung an datenschutz@papierfrei.net oder über WhatsApp unter wa.me/4915773510882.

§ 17 Änderung dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, soweit dies aufgrund neuer Technologien, geänderter Gesetze oder Anpassung unserer Dienste erforderlich wird. Änderungen an der Subprozessor-Liste kündigen wir gemäß Art. 28 Abs. 2 DSGVO an; Sie haben ein Widerspruchsrecht gegen neue Subprozessoren. Die jeweils aktuelle Fassung ist stets unter dieser URL abrufbar.

Quellen / Rechtsgrundlagen: DSGVO Art. 4, 6, 7, 9, 13, 14, 15-22, 28, 30, 32, 35, 37, 44 ff., 45, 46, 49, 77; BDSG § 38; TDDDG § 25; UWG § 7; AO § 147; HGB § 257; Verordnung (EU) 2024/1689 (KI-Verordnung) Art. 50.