1. Verantwortlicher
Verantwortlich für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist der in unserem Impressum genannte Anbieter von Behördenpost.
Bei Fragen zum Datenschutz können Sie uns über die dort angegebene Kontaktadresse erreichen.
2. Überblick
Behördenpost hilft Ihnen, Post und Behördenschreiben zu verstehen: Sie legen Fälle an, fotografieren Dokumente und erhalten Einordnungen sowie nächste Schritte.
Ihre Fälle, Fallakten (JSONL), Bewertungen und erstellte Word-Schreiben werden standardmäßig lokal auf Ihrem Gerät gespeichert (IndexedDB, localStorage). Zur Auswertung werden Fotos und Fallinformationen über unsere Server an OpenAI (API) übermittelt.
Diese Datenschutzerklärung erläutert, welche Daten verarbeitet werden, zu welchem Zweck, auf welcher Rechtsgrundlage und welche Rechte Sie haben.
3. Welche Daten wir verarbeiten
Je nach Nutzung können insbesondere folgende Daten anfallen:
- Profil- und Falldaten (Vorname, Fallname, Fallnummer, Status, Zeitstempel)
- Fallakte und Bewertungen (interne JSONL-Struktur, Zusammenfassungen, Schritte, Fristen — abgeleitet aus Ihren Dokumenten)
- Fotos von Briefen und Unterlagen (temporär lokal, zur Auswertung an die KI übermittelt; verarbeitete Fotos werden lokal gelöscht)
- Generierte Word-Dokumente in der Bibliothek (lokal auf dem Gerät)
- Technische Einstellungen (Theme, Entwürfe, aktiver Fall) in localStorage
- Bei PLUS-Abschluss (geplant): Stripe-Kunden- und Abo-Kennungen, Zahlungsstatus (keine vollständigen Kartendaten bei uns)
- Bei aktivem PLUS optional: verschlüsselte Falldaten in der Cloud (DSGVO-konform, EU-Hosting — nur bei expliziter Aktivierung; Wiederherstellung auf dem Gerät)
- Technische Zugriffsdaten (z. B. IP-Adresse, Zeitstempel) beim Hosting der App und API-Routen
4. KI-Auswertung über OpenAI
Zur Analyse senden wir Fotos, Ihren Vornamen, Fallnamen und — bei Folgeprüfungen — Inhalte der lokalen Fallakte an die OpenAI API. OpenAI verarbeitet diese Daten als Auftragsverarbeiter, soweit wir einen Auftragsverarbeitungsvertrag (DPA) abgeschlossen haben.
Für die OpenAI API gilt standardmäßig: API-Daten werden nicht zum Training der Modelle verwendet. OpenAI kann Inhalte bis zu 30 Tage speichern, um Missbrauch zu erkennen und den Dienst zu betreiben. Eine kürzere Speicherung (Zero Data Retention) ist ggf. auf Anfrage möglich.
OpenAI kann als US-Anbieter Daten in Drittländer übermitteln. Die Übermittlung erfolgt auf Grundlage geeigneter Garantien (z. B. Standardvertragsklauseln), soweit erforderlich.
Weitere Informationen: https://openai.com/enterprise-privacy/ und https://developers.openai.com/api/docs/guides/your-data
5. Zweck der Verarbeitung
Wir verarbeiten Daten, um
- Behördenpost bereitzustellen und Fälle auf Ihrem Gerät zu verwalten
- Fotos und Fallakten per KI auszuwerten und verständliche Schritte anzuzeigen
- Word-Schreiben vorzubereiten und lokal in der Bibliothek zu speichern
- das PLUS-Abo zu verwalten, zu verlängern und den Leistungsumfang freizuschalten (sofern gebucht)
- Stabilität, Sicherheit und Weiterentwicklung der App sicherzustellen
- gesetzliche Pflichten zu erfüllen (z. B. steuerliche Aufbewahrung bei Zahlungen)
6. Rechtsgrundlagen
Die Verarbeitung erfolgt je nach Kontext auf folgenden Rechtsgrundlagen der DSGVO:
- Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung bzw. vorvertragliche Maßnahmen (Nutzung der App, PLUS-Abo)
- Art. 6 Abs. 1 lit. a DSGVO — Einwilligung, soweit Sie optional zustimmen (z. B. PWA-Installation, sofern erforderlich)
- Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an sicherem Betrieb, Missbrauchsprävention und technischer Administration
- Art. 6 Abs. 1 lit. c DSGVO — rechtliche Verpflichtungen (z. B. Aufbewahrung von Rechnungsdaten)
7. Speicherung auf Ihrem Gerät (TDDDG, IndexedDB, localStorage)
Fälle, Fallakten, Bewertungen, Bibliotheksdokumente und — bis zur Verarbeitung — Fotos werden lokal in IndexedDB gespeichert. Vorname, Theme und der aktive Fall werden in localStorage zwischengespeichert.
Diese lokale Speicherung dient der App-Funktion auf Ihrem Gerät. Sie können lokale Daten über Browser- oder Geräteeinstellungen löschen; dabei gehen Ihre Fälle auf diesem Gerät verloren.
Technisch notwendige Cookies oder vergleichbare Speicher können für den Betrieb der PWA erforderlich sein (§ 25 Abs. 2 Nr. 2 TDDDG).
8. Hosting und Server
Die App wird über Hosting-Dienstleister (z. B. Vercel) ausgeliefert. API-Routen zur KI-Anbindung laufen auf unserer Server-Infrastruktur; dabei werden Anfrageninhalte zur Weiterleitung an OpenAI verarbeitet, ohne dass wir Fallakten dauerhaft auf dem Server speichern, sofern nicht ausdrücklich anders beschrieben.
Für optionale Kontofunktionen und PLUS kann Supabase als Auftragsverarbeiter nach Art. 28 DSGVO eingesetzt werden. Derzeit liegt der Schwerpunkt auf lokaler Speicherung auf dem Gerät; optionaler Cloud-Speicher für PLUS wird nur nach Ihrer aktiven Einwilligung bzw. Buchung genutzt.
Technische Zugriffsdaten werden vom Hosting-Anbieter verarbeitet, soweit dies für Auslieferung, Sicherheit und Fehleranalyse erforderlich ist.
9. Zahlungsabwicklung über Stripe (PLUS)
Für Behördenpost PLUS nutzen wir Stripe als Zahlungsdienstleister. Beim Checkout werden Sie zu Stripe weitergeleitet. Dort geben Sie Zahlungsdaten (z. B. Karte) direkt bei Stripe ein.
Wir erhalten von Stripe u. a. Kundenkennung, Abo-Status, Vertragszeiträume und Zahlungsereignisse, um PLUS freizuschalten und zu verwalten. Vollständige Kartendaten speichern wir nicht.
Stripe kann Daten als eigenständiger Verantwortlicher oder Auftragsverarbeiter verarbeiten. Informationen finden Sie in der Datenschutzerklärung von Stripe: https://stripe.com/de/privacy
10. Progressive Web App (PWA)
Wenn Sie Behördenpost zum Startbildschirm hinzufügen, wird die App lokal zwischengespeichert (Service Worker / App-Cache), damit sie schneller startet.
Push-Benachrichtigungen oder Standortdaten werden derzeit nicht abgefragt, sofern in der App nicht ausdrücklich anders angegeben.
11. Weitergabe an Dritte
Wir verkaufen Ihre Daten nicht. Eine Weitergabe erfolgt nur, wenn dies zur Vertragserfüllung notwendig ist (z. B. an OpenAI zur Auswertung, Hosting-Anbieter, Stripe bei PLUS), wir gesetzlich dazu verpflichtet sind oder Sie eingewilligt haben.
Empfänger sind vertraglich verpflichtet, Daten nur nach Weisung und unter Einhaltung des Datenschutzes zu verarbeiten.
12. Speicherdauer
Lokal auf dem Gerät bleiben Ihre Fälle gespeichert, bis Sie sie löschen oder App-Daten im Browser entfernen.
Bei OpenAI gelten die Speicherfristen des API-Anbieters (standardmäßig bis zu 30 Tage für Missbrauchsprüfung, sofern keine kürzere Vereinbarung besteht).
Abo- und Zahlungsbezogene Daten können wir für die Dauer gesetzlicher Aufbewahrungsfristen (z. B. steuer- und handelsrechtlich) vorhalten.
Technische Protokolldaten beim Hosting werden in der Regel nur kurzzeitig vorgehalten.
13. Ihre Rechte
Sie haben gegenüber dem Verantwortlichen u. a. folgende Rechte:
Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter der im Impressum genannten E-Mail-Adresse. Bitte geben Sie an, welcher Fall betroffen ist.
- Auskunft über die verarbeiteten Daten (Art. 15 DSGVO)
- Berichtigung unrichtiger Daten (Art. 16 DSGVO)
- Löschung (Art. 17 DSGVO), soweit keine Aufbewahrungspflichten entgegenstehen
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen (Art. 21 DSGVO)
- Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
14. Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthalts, Ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes.
Zuständige Aufsichtsbehörde in Nordrhein-Westfalen: Landesbeauftragte für Datenschutz und Informationsfreiheit NRW, https://www.ldi.nrw.de
15. Datensicherheit
Wir treffen angemessene technische und organisatorische Maßnahmen, um Ihre Daten vor Verlust, Missbrauch und unbefugtem Zugriff zu schützen. Absolute Sicherheit kann bei internetbasierten Diensten nicht garantiert werden.
Schützen Sie Ihr Gerät mit Bildschirmsperre und löschen Sie sensible Fälle, wenn Sie das Gerät weitergeben.
16. Änderungen dieser Datenschutzerklärung
Wir passen diese Erklärung an, wenn sich die App, eingesetzte Dienste oder rechtliche Anforderungen ändern. Die jeweils aktuelle Fassung ist unter /datenschutz abrufbar.
Stand: Juli 2026