Information zur KI-Verarbeitung und zum Drittlandbezug (Art. 13, 44 ff. DSGVO)
Version 2026-06-27-v2
1. Ausgangslage
Zur Texterkennung (OCR), Kategorisierung und Fristen-Erkennung Ihrer Briefe setzen wir Google Cloud Vertex AI als Auftragsverarbeiter nach Art. 28 DSGVO ein. Diese OCR- und KI-Auswertung ist Kernbestandteil des Dienstes; ohne sie können wir die Poststelle nicht bereitstellen.
Die Verarbeitung erfolgt in EU-Rechenzentren von Google (Frankfurt am Main, Region europe-west3). Wir übermitteln keine Daten aktiv in die USA. Anbieter der Plattform ist die Google LLC mit Sitz in den USA; ein Zugriff durch den US-Mutterkonzern kann in seltenen Fällen nicht völlig ausgeschlossen werden. Für diesen Restbezug greifen die unter Ziffer 3 genannten Garantien.
2. Welche Daten verarbeitet werden
Verarbeitet werden:
- Bild bzw. PDF des gescannten Briefes zur Texterkennung
- Der daraus erkannte Text (OCR-Output)
- Strukturierte Metadaten (z. B. Absender, Betrag, Datum, Referenzen)
Die Daten werden ausschließlich zur Erbringung des Dienstes für Sie verarbeitet. Eine Nutzung Ihrer Dokumente zum Training der KI erfolgt nur, wenn Sie der separaten, freiwilligen Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, § 12 der AGB) zugestimmt haben. Diese Einwilligung ist keine Voraussetzung für die Nutzung der KI-Funktionen.
3. Rechtsgrundlage und Garantien
Die OCR- und KI-Auswertung erfolgt zur Erfüllung des Vertrags mit Ihnen (Art. 6 Abs. 1 lit. b DSGVO). Sie ist Kernleistung des Dienstes und erfordert daher keine gesonderte Einwilligung.
Soweit im Einzelfall ein Drittlandbezug zur Google LLC (USA) entsteht, ist dieser über den EU-US Data Privacy Framework abgesichert (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023, Art. 45 DSGVO). Ergänzend bestehen mit Google die EU-Standardvertragsklauseln (Art. 46 DSGVO) sowie ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO mit technischen und organisatorischen Maßnahmen (u. a. Verschlüsselung in Übertragung und Ruhe, EU-Datenresidenz).
4. Restrisiko
Auch bei EU-Datenresidenz lässt sich ein Zugriff durch den US-Mutterkonzern nicht mit absoluter Sicherheit ausschließen, etwa aufgrund US-amerikanischer Rechtsvorschriften (z. B. CLOUD Act, FISA Section 702). Der EU-US Data Privacy Framework adressiert dieses Risiko über verbindliche Zusagen, Aufsichtsmechanismen und eine Beschwerdestelle für Betroffene in der EU.
5. Auftragsverarbeiter und weitere Informationen
Welche Auftragsverarbeiter wir einsetzen und wie wir mit Ihren Daten umgehen, steht in unserer Datenschutzerklärung. Ihre Rechte als betroffene Person (Auskunft, Berichtigung, Löschung, Widerspruch) können Sie jederzeit gegenüber datenschutz@papierfrei.net geltend machen.