Datenschutzerklärung

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Doppelklick – Agentur für "NEUE" Medien Kevin Kellermann
Wiemelhauser Straße 381
44799 Bochum
Deutschland
E-Mail: info@briefgeist.de

Die Benennung eines Datenschutzbeauftragten ist für uns gesetzlich nicht erforderlich, da wir nicht die Voraussetzungen des § 38 BDSG erfüllen (weniger als 20 Personen sind ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt). Bei datenschutzrechtlichen Fragen wenden Sie sich bitte direkt an uns unter info@briefgeist.de.

Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen und verweist auf die betroffenen Personen.

3.1 Arten der verarbeiteten Daten

• Stammdaten: Name, E-Mail-Adresse, Passwort (bcrypt-verschlüsselt)
• Vertragsdaten: Gewählter Tarif, Abrechnungszeitraum, Vertragsbeginn, Vertragsstatus
• Zahlungsdaten: Zahlungsart, letzte vier Ziffern der Kreditkarte, Rechnungsadresse (verarbeitet und gespeichert durch Stripe; wir speichern keine vollständigen Kreditkartendaten)
• Nutzungsdaten: IP-Adresse, Browsertyp und -version, Betriebssystem, Zeitpunkt und Dauer des Zugriffs, aufgerufene Seiten
• Hochgeladene Dokument-Bilder: Fotografien oder Scans von Briefen und Dokumenten, die Sie zur Analyse hochladen
• Analyseergebnisse: Von der KI generierte Zusammenfassungen, erkannte Fristen, Handlungsempfehlungen und extrahierte Datenfelder
• Kommunikationsdaten: E-Mail-Adressen für Erinnerungen, Support- und Kontaktanfragen

3.2 Kategorien betroffener Personen

• Registrierte Nutzer (Verbraucher)
• Website-Besucher
• Family-Plan-Mitglieder (eingeladene Personen)

Nachfolgend informieren wir Sie über die Rechtsgrundlagen der Verarbeitung personenbezogener Daten:

• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Verarbeitung zur Erfüllung des Vertrages mit dem Nutzer oder zur Durchführung vorvertraglicher Maßnahmen.
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Verarbeitung auf Grundlage einer ausdrücklichen Einwilligung des Nutzers (insbesondere für Analytics und Werbe-Cookies).
• Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Verarbeitung auf Grundlage unserer berechtigten Interessen, z. B. Sicherheit, Missbrauchs- und Betrugsprävention, Verbesserung unseres Dienstes.
• Gesetzliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Verarbeitung zur Erfüllung gesetzlicher Aufbewahrungspflichten (z. B. steuer- und handelsrechtliche Pflichten).

5.1 Bereitstellung des Dienstes und Kontoanlage

Bei der Registrierung erheben wir Ihren Namen und Ihre E-Mail-Adresse. Ihr Passwort wird ausschließlich als bcrypt-Hash gespeichert. Diese Daten sind zur Bereitstellung des Dienstes und zur Verwaltung Ihres Nutzerkontos erforderlich.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

5.2 KI-gestützte Dokumentenanalyse

Wenn Sie ein Dokument zur Analyse hochladen, wird das Bild des Dokuments über eine verschlüsselte Verbindung an die API von OpenAI (GPT-5.4 Vision) übermittelt. OpenAI verarbeitet das Bild ausschließlich zur Generierung der Analyse und speichert die Daten gemäß dem mit uns geschlossenen Auftragsverarbeitungsvertrag (Data Processing Agreement, DPA) nur für einen begrenzten Zeitraum zur Missbrauchserkennung. Die übermittelten Daten werden nicht für das Training von KI-Modellen verwendet.

Die generierten Analyseergebnisse (Zusammenfassung, Fristen, Handlungsempfehlungen) werden in Ihrem BriefGeist-Konto auf unserem Server in Deutschland gespeichert.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) – die KI-Analyse ist Kernbestandteil des vertraglich geschuldeten Dienstes.

5.2a Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)

Hochgeladene Dokumente können besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO enthalten, insbesondere Gesundheitsdaten (z. B. Arztbriefe, Krankenkassenschreiben, Befunde), aber auch andere sensible Informationen wie steuerliche oder finanzielle Daten.

Vor dem ersten Scan werden Sie über diesen Umstand ausdrücklich informiert und müssen bestätigen, dass Sie sich dessen bewusst sind und der Verarbeitung dieser Daten als Teil des vertraglichen Dienstes ausdrücklich zustimmen.

Rechtsgrundlage: Für die Verarbeitung besonderer Kategorien personenbezogener Daten stützen wir uns auf die ausdrückliche Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO, die über den Datenverarbeitungshinweis vor dem ersten Scan eingeholt wird. Die allgemeine Verarbeitung im Rahmen der Dokumentenanalyse erfolgt auf Grundlage der Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

5.3 Zahlungsabwicklung

Für kostenpflichtige Tarife (Plus, Family) nutzen wir Stripe Inc. als Zahlungsdienstleister. Bei der Buchung eines kostenpflichtigen Tarifs werden Sie auf die Stripe-Checkout-Seite weitergeleitet. Stripe verarbeitet Ihre Zahlungsdaten (Kreditkartennummer, Ablaufdatum, CVC) direkt und PCI DSS-konform. Wir erhalten von Stripe lediglich eine Referenz-ID, die letzten vier Ziffern der Karte, die Zahlungsart und den Zahlungsstatus.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

5.4 E-Mail-Versand (Transaktionale E-Mails und Erinnerungen)

Der Versand transaktionaler E-Mails erfolgt über den SMTP-Server unseres Hosting-Anbieters IONOS SE (Elgendorfer Str. 57, 56410 Montabaur, Deutschland). Dazu gehören:

• E-Mails zur Passwort-Zurücksetzung
• Einladungen zum Family-Plan
• Fristen-Erinnerungen (basierend auf von Ihnen gespeicherten Dokumenten)

Die Fristen-Erinnerungen werden serverseitig durch einen geplanten Prozess (node-cron) auf unserem Server ermittelt. Dabei verlassen Ihre Dokumentendaten den Server nicht – es wird lediglich die E-Mail-Adresse und der Erinnerungstext an den IONOS-SMTP-Server zum Versand übermittelt. Die Daten verbleiben innerhalb der EU.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) für Passwort-Reset und Einladungen; berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) für Fristen-Erinnerungen, da diese unmittelbar dem vertraglichen Zweck dienen und vom Nutzer erwartet werden.

5.5 Webanalyse (Google Analytics 4)

Wir setzen Google Analytics 4 ein, einen Webanalysedienst der Google Ireland Limited ("Google"), Gordon House, Barrow Street, Dublin 4, Irland. Google Analytics verwendet Cookies, die eine Analyse der Benutzung der Website ermöglichen. Die durch die Cookies erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google übertragen und dort gespeichert.

Google Analytics wird ausschließlich aktiviert, wenn Sie über unseren Cookie-Banner Ihre ausdrückliche Einwilligung erteilt haben. Ohne Ihre Einwilligung werden keine Analyse-Cookies gesetzt und keine Daten an Google übertragen. Wir nutzen Google Analytics mit aktivierter IP-Anonymisierung (Ihre IP-Adresse wird innerhalb der EU gekürzt).

Wir setzen Google Consent Mode v2 ein. Ohne Ihre Einwilligung werden die Parameter analytics_storage und ad_storage auf denied gesetzt. Es werden in diesem Fall keine Cookies gesetzt und keine personenbezogenen Daten an Google übermittelt.

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft über unseren Cookie-Banner widerrufen.

5.6 Google Ads Conversion Tracking

Wir nutzen Google Ads Conversion Tracking der Google Ireland Limited, um die Wirksamkeit unserer Werbeanzeigen zu messen. Wenn Sie über eine Google-Anzeige auf unsere Website gelangen, wird ein Conversion-Cookie gesetzt.

Google Ads Conversion Tracking wird ausschließlich aktiviert, wenn Sie über unseren Cookie-Banner Ihre ausdrückliche Einwilligung erteilt haben.

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

5.7 Meta Pixel (Facebook Pixel)

Wir nutzen das Meta Pixel der Meta Platforms Ireland Limited, Merrion Road, Dublin 4, D04 X2K5, Irland. Das Meta Pixel ermöglicht es uns, die Wirksamkeit unserer Werbeanzeigen auf Meta-Plattformen (Facebook, Instagram) zu messen und Zielgruppen für Werbeanzeigen zu erstellen.

Das Meta Pixel wird ausschließlich aktiviert, wenn Sie über unseren Cookie-Banner Ihre ausdrückliche Einwilligung erteilt haben.

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft über unseren Cookie-Banner widerrufen.

5.8 Support und Kontaktanfragen

Wenn Sie uns per E-Mail kontaktieren, verarbeiten wir Ihre Kontaktdaten und den Inhalt Ihrer Anfrage zur Bearbeitung Ihres Anliegens.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) bei vertragsbezogenen Anfragen; berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) bei sonstigen Anfragen.

Wir setzen die folgenden Dienstleister ein, die in unserem Auftrag oder als eigenverantwortliche Stellen personenbezogene Daten verarbeiten:

6.1 IONOS SE (Hosting)

Anbieter: IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Deutschland.
Zweck: Bereitstellung der Server-Infrastruktur (VServer) für BriefGeist. Alle Nutzerdaten, Dokumente, Analyseergebnisse und die PostgreSQL-Datenbank werden auf einem IONOS VServer in Deutschland gehostet.
Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO); ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO ist geschlossen.
Datenstandort: Deutschland.

6.2 OpenAI, LP (KI-Dokumentenanalyse)

Anbieter: OpenAI, LP, 3180 18th Street, San Francisco, CA 94110, USA.
Zweck: Analyse hochgeladener Dokument-Bilder mittels GPT-5.4 Vision. Die Bilder werden über eine verschlüsselte API-Verbindung übermittelt.
Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
Datenschutzgarantien: Es besteht ein Data Processing Agreement (DPA) mit OpenAI. Die übermittelten Daten werden nicht für das Training von KI-Modellen verwendet (Zero Data Retention bzw. API-Nutzungsbedingungen). Die Übermittlung erfolgt auf Grundlage von Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.
Datenstandort: USA.

6.3 Stripe Inc. (Zahlungsabwicklung)

Anbieter: Stripe Inc., 354 Oyster Point Blvd, South San Francisco, CA 94080, USA / Stripe Payments Europe, Limited, 1 Grand Canal Street Lower, Dublin 2, Irland.
Zweck: Abwicklung von Zahlungen für kostenpflichtige Tarife (Plus, Family). Stripe ist PCI DSS Level 1 zertifiziert.
Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
Datenschutzgarantien: Stripe ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert. Zusätzlich bestehen Standardvertragsklauseln (SCCs).
Datenstandort: EU/USA.

6.4 IONOS SE (E-Mail-Versand)

Anbieter: IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Deutschland.
Zweck: Versand transaktionaler E-Mails (Passwort-Zurücksetzung, Einladungen zum Family-Plan, Fristen-Erinnerungen) über den IONOS-SMTP-Server.
Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO); berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) für Erinnerungen.
Datenstandort: Deutschland/EU. Kein Drittlandtransfer.

6.5 Google Ireland Limited (Analytics und Ads)

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.
Zweck: Webanalyse (Google Analytics 4) und Conversion Tracking (Google Ads) – ausschließlich mit Einwilligung des Nutzers.
Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
Datenschutzgarantien: Google LLC ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert.
Datenstandort: EU/USA (nur bei erteilter Einwilligung).

6.6 Meta Platforms Ireland Limited (Meta Pixel)

Anbieter: Meta Platforms Ireland Limited, Merrion Road, Dublin 4, D04 X2K5, Irland.
Zweck: Messung der Wirksamkeit von Werbeanzeigen auf Meta-Plattformen – ausschließlich mit Einwilligung des Nutzers.
Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
Datenschutzgarantien: Meta Platforms, Inc. ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert.
Datenstandort: EU/USA (nur bei erteilter Einwilligung).

Im Rahmen der unter Abschnitt 6 beschriebenen Datenverarbeitungen werden personenbezogene Daten in die USA übermittelt. Die USA verfügen derzeit über einen Angemessenheitsbeschluss der Europäischen Kommission (EU-US Data Privacy Framework, DPF). Soweit die jeweiligen Dienstleister unter dem DPF zertifiziert sind, stützen wir die Übermittlung auf diesen Angemessenheitsbeschluss.

Ergänzend oder alternativ haben wir mit allen US-Dienstleistern Standardvertragsklauseln (Standard Contractual Clauses, SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO abgeschlossen. Wir haben eine Bewertung der Datenschutzlage im Empfängerland durchgeführt (Transfer Impact Assessment, TIA) und dabei die DPF- Zertifizierung, die technischen und organisatorischen Maßnahmen der Dienstleister sowie die verschlüsselte Übertragung berücksichtigt.

Konkret betrifft die Drittlandübermittlung folgende Dienstleister:

• OpenAI, LP (USA): Dokumenten-Bilder zur KI-Analyse; abgesichert durch SCCs und DPA.
• Stripe Inc. (USA): Zahlungsdaten; abgesichert durch EU-US DPF- Zertifizierung und SCCs.
• IONOS SE (Deutschland): E-Mail-Adressen und Erinnerungstexte; Datenverarbeitung innerhalb der EU, kein Drittlandtransfer.
• Google LLC (USA): Nutzungsdaten (nur mit Einwilligung); abgesichert durch EU-US DPF-Zertifizierung.
• Meta Platforms, Inc. (USA): Nutzungsdaten (nur mit Einwilligung); abgesichert durch EU-US DPF-Zertifizierung.

8.1 Technisch notwendige Cookies

Wir verwenden technisch notwendige Cookies, die für den Betrieb der Website unbedingt erforderlich sind. Hierzu gehört insbesondere das Session-Cookie für die Authentifizierung (better-auth). Dieses Cookie dient ausschließlich dazu, Sie nach dem Login als angemeldeten Nutzer zu erkennen und Ihre Sitzung aufrechtzuerhalten.

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO); § 25 Abs. 2 Nr. 2 TDDDG (technisch notwendig).

8.2 Analyse- und Marketing-Cookies (nur mit Einwilligung)

Cookies für Webanalyse (Google Analytics 4), Conversion Tracking (Google Ads) und Remarketing (Meta Pixel) werden ausschließlich gesetzt, wenn Sie über unseren Cookie-Banner Ihre ausdrückliche Einwilligung erteilt haben.

Wir setzen Google Consent Mode v2 ein. Ohne Ihre Einwilligung werden die folgenden Consent-Signale auf denied gesetzt:

• analytics_storage = denied
• ad_storage = denied
• ad_user_data = denied
• ad_personalization = denied

In diesem Fall werden keine Cookies gesetzt und keine personenbezogenen Daten an Google oder Meta übermittelt. Erst nach Ihrer ausdrücklichen Einwilligung werden die jeweiligen Signale auf granted gesetzt und die entsprechenden Scripts geladen.

Ihre Einwilligungsentscheidung wird in einem lokalen Speicher (localStorage) gespeichert und bei jedem Besuch erneut ausgelesen. Sie können Ihre Einwilligung jederzeit über den Cookie-Banner widerrufen.

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO; § 25 Abs. 1 TDDDG).

Wir verwenden Schriftarten von Google ("Google Fonts"). Diese Schriftarten sind lokal auf unserem Server eingebunden (Self-Hosting über next/font). Es werden beim Aufruf unserer Website keine Verbindungen zu Servern von Google hergestellt und keine Daten an Google übertragen.

Wir speichern personenbezogene Daten nur so lange, wie dies für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

• Stamm- und Kontodaten: Bis zur Löschung des Kontos durch den Nutzer. Nach Kontolöschung werden die Daten unverzüglich gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Hochgeladene Dokumente und Analyseergebnisse: Bis zur Löschung durch den Nutzer oder 30 Tage nach Beendigung des Vertrages (Kontolöschung oder Kündigung), je nachdem was zuerst eintritt.
• Abrechnungsdaten: 10 Jahre nach Ende des Kalenderjahres der letzten Transaktion (gesetzliche Aufbewahrungspflicht gemäß § 147 AO, § 257 HGB).
• Server-Logs (IP-Adressen, Zugriffsdaten): 90 Tage, danach automatische Löschung.
• Support-Anfragen (E-Mail): 3 Jahre nach Abschluss der Anfrage (allgemeine Verjährungsfrist).
• Einwilligungsdaten (Cookie Consent): 1 Jahr, danach erneute Abfrage.

Sie haben nach der DSGVO folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

• Recht auf Auskunft (Art. 15 DSGVO): Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob wir personenbezogene Daten von Ihnen verarbeiten, und wenn ja, Auskunft über diese Daten sowie weitere Informationen zu erhalten.
• Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, die unverzügliche Berichtigung unrichtiger personenbezogener Daten zu verlangen.
• Recht auf Löschung (Art. 17 DSGVO): Sie haben das Recht, die unverzügliche Löschung Ihrer personenbezogenen Daten zu verlangen, sofern die gesetzlichen Voraussetzungen vorliegen. Sie können Ihr Konto und alle damit verbundenen Daten jederzeit selbst in den Kontoeinstellungen löschen.
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, die Sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
• Widerspruchsrecht (Art. 21 DSGVO): Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Ihrer personenbezogenen Daten, die auf Art. 6 Abs. 1 lit. f DSGVO beruht, Widerspruch einzulegen.
• Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie haben das Recht, Ihre erteilte Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung wird dadurch nicht berührt.

Zur Ausübung Ihrer Rechte können Sie sich jederzeit an uns wenden unter: info@briefgeist.de

Beschwerderecht bei der Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs haben Sie das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.

Die für uns zuständige Aufsichtsbehörde ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Kavalleriestraße 2-4
40213 Düsseldorf
Telefon: +49 211 38424-0
E-Mail: poststelle@ldi.nrw.de
Website: https://www.ldi.nrw.de

Wir treffen angemessene technische und organisatorische Maßnahmen, um Ihre personenbezogenen Daten gegen zufällige oder vorsätzliche Manipulationen, Verlust, Zerstörung oder den Zugriff unberechtigter Personen zu schützen. Insbesondere:

• Verschlüsselung: Sämtliche Datenübertragungen erfolgen über SSL-/TLS-verschlüsselte Verbindungen (HTTPS). Die Verbindung zu unserer Datenbank und zu Drittanbietern ist ebenfalls verschlüsselt.
• Passwort-Hashing: Passwörter werden ausschließlich als bcrypt-Hashes gespeichert. Wir haben keinen Zugriff auf Klartext-Passwörter.
• Zugriffskontrolle: Der Zugriff auf personenbezogene Daten ist auf das erforderliche Minimum beschränkt.
• Server-Standort: Unsere Server (IONOS VServer) befinden sich in Deutschland und unterliegen den hohen europäischen Datenschutzstandards.
• Regelmäßige Updates: Unsere Systeme und Abhängigkeiten werden regelmäßig auf Sicherheitslücken überprüft und aktualisiert.

Diese Datenschutzerklärung ist aktuell gültig und hat den Stand April 2026. Durch die Weiterentwicklung von BriefGeist oder aufgrund geänderter gesetzlicher bzw. behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung anzupassen. Die jeweils aktuelle Datenschutzerklärung kann jederzeit unter https://briefgeist.de/datenschutz abgerufen werden.