Legal · Datenschutz

Privacy Policy /
Datenschutzerklärung

Stand / Last updated: März / March 2026  ·  DSGVO / GDPR compliant

01

Verantwortlicher

Name

Martin Philipp Hesse

Adresse

An der Steinkaute 5a
64367 Mühltal, Deutschland

E-Mail

[email protected]

Steuernummer

Wird nach Bekanntgabe ergänzt

Verantwortlicher im Sinne der DSGVO und anderer nationaler Datenschutzgesetze ist die oben genannte natürliche Person.

02

Erhobene Daten

Wir erheben ausschließlich Daten, die zur Erbringung unseres Dienstes erforderlich sind:

DatenkategorieDetailsZeitpunkt
KontodatenE-Mail-Adresse, verschlüsseltes Passwort (Firebase Auth)Registrierung
DokumenteHochgeladene Bilder/PDFs – temporär im EU-SpeicherJeder Scan
Briefinhalt (verschlüsselt übertragen)Brieftext wird Ende-zu-Ende verschlüsselt übertragenBei Analyse
AnalyseergebnisKI-generierte Zusammenfassung, Aktionspunkte, Metadaten (Betrag, Frist, Kategorie)Nach Analyse
NutzungsdatenAnzahl Scans, Antworten, Chat-Nachrichten pro Monat (für Plan-Limits)Laufend
EinstellungenSprache, Archivierungseinstellungen, BenachrichtigungspräferenzenBei Änderung
ZahlungsdatenAusschließlich durch Stripe verarbeitet – wir speichern keine KartendatenUpgrade (optional)
Verschlüsselte Übertragung: Der Briefinhalt wird Ende-zu-Ende verschlüsselt an die Anthropic API übertragen – abgesichert durch EU-Standardvertragsklauseln (Art. 46 DSGVO). Original-Bilder/-PDFs verbleiben ausschließlich in deinem EU-Speicher (Firebase europe-west3).
03

Zweck & Rechtsgrundlage

ZweckRechtsgrundlage (DSGVO)
Bereitstellung des Dienstes (Scan, Analyse, Zusammenfassung)Art. 6 Abs. 1 lit. b – Vertragserfüllung
Authentifizierung & KontosicherheitArt. 6 Abs. 1 lit. b – Vertragserfüllung
Nutzungslimits & Plan-VerwaltungArt. 6 Abs. 1 lit. b – Vertragserfüllung
ZahlungsabwicklungArt. 6 Abs. 1 lit. b – Vertragserfüllung
Datenschutz-Einwilligung bei RegistrierungArt. 6 Abs. 1 lit. a – Einwilligung
Erfüllung gesetzlicher AufbewahrungspflichtenArt. 6 Abs. 1 lit. c – Rechtliche Verpflichtung
Betrugsprävention & SicherheitArt. 6 Abs. 1 lit. f – Berechtigtes Interesse
04

Drittanbieter & Datenübertragung

Mit allen Anbietern bestehen Auftragsverarbeitungsverträge (AVV) bzw. geeignete Garantien nach Art. 46 DSGVO:

AnbieterZweckStandortGarantie
Google FirebaseGoogle Ireland Ltd.Hosting, Datenbank, Speicher, AuthEU (Frankfurt)AVV mit Google
AnthropicAnthropic, PBC (USA)KI-Analyse des Briefinhalts (verschlüsselt, unter EU-SCCs)USAEU-SCCs (Art. 46 DSGVO)
StripeStripe Payments Europe Ltd.Zahlungsabwicklung (nur kostenpflichtige Pläne)EU / USAAVV + SCCs
Zur Anthropic-Übertragung: Der Brieftext wird Ende-zu-Ende verschlüsselt an die Anthropic API übertragen – abgesichert durch EU-Standardvertragsklauseln (Art. 46 DSGVO). Anthropic verwendet eingereichte Daten standardmäßig nicht zum Modell-Training.

Eine Weitergabe an weitere Dritte findet nicht statt, sofern keine gesetzliche Verpflichtung besteht.

05

Speicherung & Löschung

DatenartStandardspeicherdauerDeine Kontrolle
Originaldokumente (Bilder/PDFs)30 Tage (Standard)Einstellbar: 7 / 30 / 90 Tage / Nie
AnalyseergebnisseBis zur manuellen LöschungEinzeln oder alle auf einmal löschbar
KontodatenBis zur KontoauflösungKonto jederzeit in den Einstellungen löschbar
NutzungsstatistikenMonatlich; ältere Daten automatisch gelöschtEntfällt bei Kontoauflösung

Bei Löschung deines Kontos werden sämtliche Daten – inkl. aller Dokumente im Firebase Storage – unwiderruflich gelöscht.

Gesetzliche Aufbewahrungspflichten (z. B. steuerrechtliche Belege) können eine verlängerte Speicherung bestimmter Abrechnungsdaten erforderlich machen.
06

Deine Rechte

Als betroffene Person stehen dir nach DSGVO folgende Rechte zu – kostenlos und ohne Begründungspflicht:

📋
Auskunft (Art. 15)
Welche Daten wir über dich gespeichert haben.
✏️
Berichtigung (Art. 16)
Korrektur unrichtiger oder unvollständiger Daten.
🗑️
Löschung (Art. 17)
„Recht auf Vergessen" – direkt in den App-Einstellungen.
⏸️
Einschränkung (Art. 18)
Verarbeitung einschränken, ohne Daten zu löschen.
📦
Datenportabilität (Art. 20)
Export deiner Daten in einem gängigen Format.
🚫
Widerspruch (Art. 21)
Widerspruch gegen bestimmte Verarbeitungen.
↩️
Widerruf (Art. 7 Abs. 3)
Jederzeit erteilte Einwilligungen widerrufen.
⚖️
Beschwerde (Art. 77)
Bei der zuständigen Datenschutzbehörde.

Zur Ausübung deiner Rechte: [email protected] – Antwort innerhalb von 30 Tagen.

Zuständige Aufsichtsbehörde: Hessischer Beauftragter für Datenschutz und Informationsfreiheit (HBDI), Postfach 3163, 65021 Wiesbaden – datenschutz.hessen.de

07

Cookies & Tracking

xPlainly verwendet keine Tracking-Cookies und kein Drittanbieter-Analyse-Tracking (kein Google Analytics, keine Werbetechnologien).

Eingesetzt werden ausschließlich technisch notwendige Speicherfunktionen:

  • Authentifizierungstoken (Firebase Auth Session)
  • UI-Präferenzen (Sprache, Dark Mode)
  • PWA-Offline-Caching (Service Worker)

Diese sind für den Betrieb zwingend erforderlich und bedürfen keiner gesonderten Einwilligung gemäß § 25 Abs. 2 TDDDG.

08

Datensicherheit

  • Verschlüsselung in Transit: Alle Verbindungen via TLS 1.2+
  • Verschlüsselung at Rest: Firebase verschlüsselt alle gespeicherten Daten
  • Zugriffskontrollen: Jeder Nutzer kann ausschließlich auf eigene Daten zugreifen (Firestore Security Rules)
  • Authentifizierung: Firebase Auth mit optionaler Zwei-Faktor-Authentifizierung (2FA)
  • Verschlüsselte Übertragung: Briefinhalte werden Ende-zu-Ende verschlüsselt übertragen und nie für KI-Training verwendet
  • EU-Datenhaltung: Primärspeicher in der EU-Region Frankfurt (europe-west3)
09

Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung bei rechtlichen oder technischen Änderungen anzupassen. Über wesentliche Änderungen informieren wir registrierte Nutzer per E-Mail mindestens 14 Tage im Voraus.

Das Datum der letzten Aktualisierung ist stets oben auf dieser Seite angegeben.

10

Kontakt & Beschwerden

Datenschutzanfragen

[email protected]

Verantwortlicher

Martin Philipp Hesse
An der Steinkaute 5a
64367 Mühltal

Aufsichtsbehörde Hessen

HBDI Wiesbaden

01

Data Controller

Name

Martin Philipp Hesse

Address

An der Steinkaute 5a
64367 Mühltal, Germany

Email

[email protected]

Tax Number

To be added upon receipt

The data controller within the meaning of the GDPR and other applicable data protection laws is the natural person identified above.

02

Data We Collect

We only collect data strictly necessary to provide our service:

CategoryDetailsWhen
Account dataEmail address, encrypted password (Firebase Auth)Registration
DocumentsUploaded letter images/PDFs – stored temporarily in EUEach scan
Letter content (encrypted transfer)Letter text transmitted via TLS/SSL encrypted connectionOn analysis
Analysis resultsAI-generated summary, action items, metadata (amount, deadline, category)After analysis
Usage dataNumber of scans, replies, chat messages per month (for plan limits)Ongoing
PreferencesLanguage, archiving settings, notification preferencesOn change
Payment dataProcessed exclusively by Stripe – we never store card detailsUpgrade (optional)
Encrypted transfer: Letter content is transmitted via TLS/SSL encryption to the Anthropic API, secured by Standard Contractual Clauses (SCCs) under Art. 46 GDPR. Original images/PDFs remain exclusively in your EU storage (Firebase europe-west3).
03

Purpose & Legal Basis

PurposeLegal Basis (GDPR)
Provision of the service (scan, analysis, summary)Art. 6(1)(b) – Contract performance
Authentication & account securityArt. 6(1)(b) – Contract performance
Usage limits & plan managementArt. 6(1)(b) – Contract performance
Payment processingArt. 6(1)(b) – Contract performance
Privacy consent at sign-upArt. 6(1)(a) – Consent
Compliance with legal retention obligationsArt. 6(1)(c) – Legal obligation
Fraud prevention & securityArt. 6(1)(f) – Legitimate interest
04

Third Parties & Data Transfers

Data processing agreements (DPA) and appropriate GDPR safeguards (Art. 46) are in place with each provider:

ProviderPurposeLocationSafeguard
Google FirebaseGoogle Ireland Ltd.Hosting, database, storage, authenticationEU (Frankfurt)DPA with Google
AnthropicAnthropic, PBC (USA)AI analysis of letter content (TLS/SSL encrypted, under EU SCCs)USAEU SCCs (Art. 46 GDPR)
StripeStripe Payments Europe Ltd.Payment processing (paid plans only)EU / USADPA + SCCs
On the Anthropic transfer: Letter content is transmitted via TLS/SSL encryption to the Anthropic API, secured by Standard Contractual Clauses (SCCs) under Art. 46 GDPR. Anthropic does not use submitted data to train its models by default.

We do not share your data with any other third parties unless required by law.

05

Storage & Deletion

Data typeDefault retentionYour control
Original documents (images/PDFs)30 days (default)Configurable: 7 / 30 / 90 days / Never
Analysis resultsUntil manually deletedDelete individually or all at once
Account dataUntil account deletionDelete account in Settings at any time
Usage statisticsMonthly; older records auto-deletedRemoved upon account deletion

When you delete your account, all stored data – including every document in Firebase Storage – is permanently and irreversibly erased.

Statutory retention obligations (e.g. tax records) may require retention of certain billing data beyond account deletion.
06

Your Rights

Under the GDPR you have the following rights – free of charge and without having to provide reasons:

📋
Access (Art. 15)
Find out what data we hold about you.
✏️
Rectification (Art. 16)
Correct inaccurate or incomplete data.
🗑️
Erasure (Art. 17)
"Right to be forgotten" – directly in app Settings.
⏸️
Restriction (Art. 18)
Restrict processing without deleting data.
📦
Portability (Art. 20)
Export your data in a common format.
🚫
Objection (Art. 21)
Object to certain types of processing.
↩️
Withdrawal (Art. 7(3))
Withdraw any consent at any time.
⚖️
Complaint (Art. 77)
Lodge a complaint with a supervisory authority.

To exercise your rights: [email protected] – we respond within 30 days.

The supervisory authority for our registered address is the Hessian Commissioner for Data Protection and Freedom of Information (HBDI), P.O. Box 3163, 65021 Wiesbaden – datenschutz.hessen.de

07

Cookies & Tracking

xPlainly uses no tracking cookies and no third-party analytics (no Google Analytics, no advertising technologies).

We use only technically necessary browser storage for:

  • Authentication tokens (Firebase Auth session)
  • UI preferences (language, dark mode)
  • PWA offline caching (Service Worker)

These are strictly necessary for operation and do not require separate consent.

08

Data Security

  • Encryption in transit: All connections via TLS 1.2+
  • Encryption at rest: Firebase encrypts all stored data
  • Access controls: Each user can only access their own data (Firestore Security Rules)
  • Authentication: Firebase Auth with optional two-factor authentication (2FA)
  • Encrypted transfer: Letter content is transmitted via TLS/SSL encryption and never used for AI training
  • EU data residency: All primary storage in EU region Frankfurt (europe-west3)
09

Policy Changes

We reserve the right to update this Privacy Policy to reflect legal or technical changes. We will notify registered users of material changes by email at least 14 days in advance.

The date of the last update is always shown at the top of this page.

10

Contact & Complaints

Privacy enquiries

[email protected]

Data controller

Martin Philipp Hesse
An der Steinkaute 5a
64367 Mühltal, Germany

Supervisory authority (Hesse)

HBDI Wiesbaden