Datenschutzerklärung

Zuletzt aktualisiert: 8. Januar 2026

Diese Datenschutzerklärung erläutert, wie Paperarchive deine personenbezogenen Daten erhebt, verwendet und schützt, wenn du unseren Dokumentenverwaltungsdienst nutzt. Wir verpflichten uns, deine Privatsphäre zu schützen und deine Daten gemäß der Datenschutz-Grundverordnung (DSGVO) und den geltenden deutschen Datenschutzgesetzen zu verarbeiten.

Verantwortlicher

Der für deine personenbezogenen Daten Verantwortliche ist:

Marcel Klein
Auf der Weide 3
58840 Plettenberg
Germany
[email protected]

Kategorien personenbezogener Daten

Wir erheben und verarbeiten folgende Kategorien personenbezogener Daten:

  • Kontodaten: Name, E-Mail-Adresse und verschlüsseltes Passwort, die du bei der Registrierung angibst.
  • Dokumentdaten: Die von dir hochgeladenen Dokumente, einschließlich Inhalt, Metadaten und extrahiertem Text.
  • Zahlungsdaten: Rechnungsinformationen, die von Stripe verarbeitet werden; wir speichern deine vollständigen Kreditkartendaten nicht.
  • Nutzungsdaten: Informationen darüber, wie du mit unserem Dienst interagierst, einschließlich genutzter Funktionen und durchgeführter Aktionen.
  • Technische Daten: IP-Adresse, Browsertyp, Geräteinformationen und Zugriffszeiten, die automatisch erfasst werden.
  • Kommunikationsdaten: Nachrichten und Korrespondenz, wenn du unser Support-Team kontaktierst.
  • Marketingdaten: E-Mail-Adresse, Einwilligungsnachweise und Interaktionen für Newsletter und Produktupdates.

Rechtsgrundlagen der Verarbeitung

Wir verarbeiten deine personenbezogenen Daten auf Grundlage folgender Rechtsgrundlagen nach Art. 6 DSGVO:

  • Vertragserfüllung (Art. 6 Abs. 1 lit. b): Verarbeitung, die zur Bereitstellung unseres Dokumentenverwaltungsdienstes erforderlich ist, einschließlich Speicherung, Organisation und Abruf deiner Dokumente.
  • Einwilligung (Art. 6 Abs. 1 lit. a): Für Analyse-Cookies und optionale Funktionen, bei denen wir um deine ausdrückliche Einwilligung bitten. Du kannst deine Einwilligung jederzeit widerrufen.
  • Berechtigte Interessen (Art. 6 Abs. 1 lit. f): Zur Verbesserung unseres Dienstes, Gewährleistung der Sicherheit, Betrugsprävention und Kommunikation von Service-Updates.
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c): Zur Einhaltung von Steuergesetzen, Buchhaltungsanforderungen und zur Beantwortung rechtmäßiger Anfragen von Behörden.

Wie wir deine Daten verwenden

Wir verwenden deine personenbezogenen Daten, um: den Paperarchive-Dienst bereitzustellen und zu warten; deine Dokumente mit OCR- und KI-Funktionen zu verarbeiten; mit dir über dein Konto und Service-Updates zu kommunizieren; Newsletter oder Marketing-E-Mails zu senden, sofern du eingewilligt hast; Sicherheit zu gewährleisten und unbefugten Zugriff zu verhindern; rechtliche Verpflichtungen zu erfüllen; und unseren Dienst basierend auf aggregierten Nutzungsmustern zu verbessern. Wir verkaufen deine Daten nicht und nutzen sie nicht für Werbung Dritter.

Drittanbieter-Dienstleister

Wir arbeiten mit folgenden Drittanbieter-Auftragsverarbeitern zusammen, um unseren Dienst bereitzustellen:

  • Supabase (EU-Region): Stellt Benutzerauthentifizierung, Datenbankspeicherung und serverlose Funktionen bereit. Deine Daten werden in EU-Rechenzentren gespeichert.
  • Google Cloud Vision API (EU-Region): Betrieben von Google Cloud Ireland Ltd. zur Extraktion von Text aus Bildern und PDFs. Die OCR-Verarbeitung erfolgt ausschließlich in EU-Rechenzentren. Keine Daten verlassen die Europäische Union und es werden keine Informationen nach der Verarbeitung gespeichert.
  • Azure OpenAI Service (EU (Deutschland, Germany West Central)): Stellt KI-gestützte Funktionen über den Azure OpenAI Service (Microsoft) bereit, einschließlich Dokumentzusammenfassung und Smart-Tagging. Wir haben einen Auftragsverarbeitungsvertrag abgeschlossen. Dokumentinhalte werden in der EU verarbeitet und nicht zum Training von KI-Modellen verwendet.
  • Stripe (EU/USA): Wickelt Zahlungen sicher ab. Stripe ist PCI DSS Level 1 zertifiziert und verarbeitet Zahlungen DSGVO-konform.
  • DataFa.st Analytics: Für Website-Analytics und Besucherverfolgung. DataFa.st sammelt Cookies und IP-Adressen, um zu verstehen, wie Besucher unsere Website nutzen. Die Daten werden DSGVO-konform verarbeitet. Du kannst über unser Cookie-Einwilligungsbanner widersprechen.
  • Plausible Analytics (EU): Datenschutzfreundliche Analytics ohne Cookies zur aggregierten Messung der Website-Nutzung.
  • Brevo (EU (Frankreich)): Versendet Marketing-E-Mails und Newsletter. Wir nutzen Double-Opt-in und bieten in jeder E-Mail einen Abmeldelink.
  • Google Workspace (EU/USA): Stellt E-Mail-Postfächer und Support-Kommunikation bereit (Google Workspace).
  • Sentry (EU (Frankfurt)): Fehlerüberwachung und Performance-Logs, um den Dienst stabil zu halten. Wir minimieren und bereinigen sensible Daten.
  • Perplexity (USA): Wird bei Bedarf genutzt, um zusätzliche Absenderinformationen nachzuschlagen. Wir senden nur die minimal erforderlichen Daten.
  • Hetzner (EU (Deutschland)): Hosting-Anbieter für unsere Server und Infrastruktur in Deutschland.

Alle Drittanbieter verarbeiten Daten in unserem Auftrag auf Grundlage von Auftragsverarbeitungsverträgen (AVV), die eine DSGVO-konforme Handhabung deiner personenbezogenen Daten sicherstellen.

Internationale Datenübermittlungen

Die meisten deiner Daten werden innerhalb der Europäischen Union verarbeitet. Für Anbieter mit Sitz in den USA (z. B. Perplexity, Stripe und Google Workspace) stützen wir uns auf von der Europäischen Kommission genehmigte Standardvertragsklauseln (SCCs) und Auftragsverarbeitungsverträge, um einen angemessenen Schutz deiner Daten zu gewährleisten. Die KI-Verarbeitung erfolgt über den Azure OpenAI Service in Deutschland (Germany West Central).

Automatisierte Entscheidungsfindung und KI-Verarbeitung

Paperarchive nutzt künstliche Intelligenz, um deine Dokumente automatisch zu kategorisieren, Text per OCR zu extrahieren, Zusammenfassungen zu erstellen und Tags vorzuschlagen. Diese automatisierten Prozesse helfen bei der Organisation deiner Dokumente, treffen aber keine Entscheidungen, die rechtliche oder ähnlich erhebliche Auswirkungen auf dich haben. Du kannst jede KI-generierte Kategorisierung, Zusammenfassung oder jeden Tag manuell bearbeiten oder überschreiben. Die KI trifft keine Entscheidungen über deinen Zugang zum Dienst oder vertragliche Angelegenheiten.

Inhaltsmoderation

Um geltende Gesetze einzuhalten und einen sicheren Dienst zu gewährleisten, werden alle hochgeladenen Dokumente automatisch mit der SafeSearch-Erkennung der Google Vision API gescannt. Diese Analyse prüft auf folgende Kategorien potenziell sensibler oder verbotener Inhalte:

  • Inhalte für Erwachsene (explizites oder pornografisches Material)
  • Gewalttätige Inhalte (grafische Darstellungen von Gewalt)
  • Anzügliche Inhalte (anstößiges, aber nicht explizites Material)
  • Gefälschte Inhalte (potenziell irreführendes oder täuschendes Material)

Wenn Inhalte in einer dieser Kategorien über unserem Schwellenwert erkannt werden, wird das hochgeladene Dokument automatisch gelöscht und du wirst per E-Mail benachrichtigt. Diese automatisierte Moderation erfolgt zur Einhaltung gesetzlicher Vorschriften und zum Schutz aller Nutzer unseres Dienstes. Die Inhaltsanalyse erfolgt während des initialen Upload-Prozesses, und keine markierten Inhalte werden auf unseren Servern gespeichert.

Datenaufbewahrung

Wir bewahren deine personenbezogenen Daten für folgende Zeiträume auf:

  • Dokumente: Werden gespeichert, bis du sie löschst. Die Löschung ist sofort und dauerhaft; wir unterhalten keine wiederherstellbaren Backups einzeln gelöschter Dokumente.
  • Kontodaten: Werden aufbewahrt, solange dein Konto aktiv ist. Nach Kontolöschung werden alle Daten - einschließlich deiner hochgeladenen Dokumente und der zugehörigen Dateien (Blobs) im Speicher - innerhalb von 30 Tagen dauerhaft und unwiderruflich gelöscht, es sei denn, eine Aufbewahrung ist gesetzlich vorgeschrieben.
  • Zahlungsunterlagen: Werden 10 Jahre aufbewahrt, wie nach deutschem Handels- und Steuerrecht erforderlich (§ 257 HGB, § 147 AO).
  • Server-Logs: Technische Logs werden bis zu 90 Tage für Sicherheits- und Debugging-Zwecke aufbewahrt, danach automatisch gelöscht.

Datensicherheit

Wir setzen angemessene technische und organisatorische Maßnahmen zum Schutz deiner personenbezogenen Daten um, darunter: Verschlüsselung der Daten während der Übertragung mit TLS 1.3; Verschlüsselung gespeicherter Dokumente; sichere Authentifizierung mit Passwort-Hashing; regelmäßige Sicherheitsüberwachung; Zugriffskontrollen, die einschränken, wer auf deine Daten zugreifen kann; und Hosting in ISO 27001-zertifizierten Rechenzentren innerhalb der EU.

Deine Rechte nach der DSGVO

Als betroffene Person in der Europäischen Union hast du folgende Rechte:

  • Auskunftsrecht (Art. 15): Fordere eine Kopie der personenbezogenen Daten an, die wir über dich speichern.
  • Recht auf Berichtigung (Art. 16): Fordere die Korrektur unrichtiger oder unvollständiger personenbezogener Daten an.
  • Recht auf Löschung (Art. 17): Fordere die Löschung deiner personenbezogenen Daten an ('Recht auf Vergessenwerden').
  • Recht auf Einschränkung (Art. 18): Fordere, dass wir die Verarbeitung deiner personenbezogenen Daten einschränken.
  • Recht auf Datenübertragbarkeit (Art. 20): Erhalte deine Daten in einem strukturierten, maschinenlesbaren Format und übertrage sie an einen anderen Dienst.
  • Widerspruchsrecht (Art. 21): Widerspreche der Verarbeitung aufgrund berechtigter Interessen oder für Direktwerbung.
  • Recht auf Widerruf der Einwilligung (Art. 7): Widerrufe deine Einwilligung jederzeit für einwilligungsbasierte Verarbeitung, ohne dass die vorherige Verarbeitung davon berührt wird.
  • Beschwerderecht (Art. 77): Reiche eine Beschwerde bei einer Aufsichtsbehörde ein. Die zuständige Behörde für Deutschland ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW).

Um eines dieser Rechte auszuüben, kontaktiere uns bitte unter [email protected]. Wir werden innerhalb eines Monats auf deine Anfrage antworten, wie von der DSGVO vorgeschrieben.

Cookies und Tracking-Technologien

Wir verwenden folgende Arten von Cookies:

  • Unbedingt erforderliche Cookies: Notwendig für die Funktion der Website, einschließlich Authentifizierungs- und Sicherheits-Cookies. Diese können nicht deaktiviert werden.
  • Analyse-Cookies (DataFa.st): DataFa.st verwendet Cookies, um die Nutzung der Website zu verstehen, und läuft nur nach Einwilligung. Plausible Analytics arbeitet cookieless und misst die Nutzung aggregiert.

Du kannst deine Cookie-Einstellungen über unser Cookie-Einwilligungsbanner oder deine Browsereinstellungen verwalten. Beachte, dass das Deaktivieren notwendiger Cookies die ordnungsgemäße Funktion des Dienstes verhindern kann.

Datenschutz für Kinder

Paperarchive ist nicht für Kinder unter 16 Jahren bestimmt. Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 16 Jahren. Wenn du Elternteil oder Erziehungsberechtigter bist und glaubst, dass dein Kind uns personenbezogene Daten zur Verfügung gestellt hat, kontaktiere uns bitte umgehend, damit wir diese Informationen löschen können.

Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren, um Änderungen unserer Praktiken oder rechtlicher Anforderungen widerzuspiegeln. Wir werden dich über wesentliche Änderungen informieren, indem wir die aktualisierte Erklärung auf unserer Website mit einem neuen Datum 'Zuletzt aktualisiert' veröffentlichen und gegebenenfalls per E-Mail. Wir empfehlen dir, diese Erklärung regelmäßig zu überprüfen.

Kontakt

Bei Fragen zu dieser Datenschutzerklärung oder wenn du deine Datenschutzrechte ausüben möchtest, kontaktiere uns bitte:

[email protected]