Datenschutzerklärung

Stand: 06.06.2026

1. Verantwortlicher

Sabyasachi Paul
c/o Impressumservice Dein-Impressum
Stettiner Str. 41
35410 Hungen
Deutschland
E-Mail: [email protected]

2. Welche Daten wir erheben und wofür

Wir verarbeiten die folgenden Kategorien personenbezogener Daten:

• E-Mail-Adresse des Kunden — zur Auslieferung des Analyseberichts und zum Versand von Bestellbestätigungen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
• Hochgeladene Dokumente (PDFs) — zur Durchführung der von Ihnen beauftragten Analyse. Können personenbezogene Daten Dritter enthalten (frühere Eigentümer, Nachbarn), die in den Originaldokumenten erscheinen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
• Zahlungsdaten — werden ausschließlich von Stripe verarbeitet; wir erhalten nur den finalen Transaktionsstatus, die letzten vier Kartenziffern und das Rechnungsland. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
• Server-Logs — IP-Adresse, Anfragezeitstempel, Antwortcode; werden 30 Tage zur Sicherheits- und Missbrauchserkennung gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit des Dienstes).

3. Wie lange wir Ihre Daten speichern

• Hochgeladene Dokumente und erzeugte Bundle-PDFs: spätestens 30 Tage nach Auftragsabschluss gelöscht.
• Kunden-E-Mail + Bestellmetadaten: gespeichert, solange dies nach deutschem Steuerrecht erforderlich ist (10 Jahre für Rechnungen gemäß § 257 HGB).
• Server-Logs: 30 Tage.

4. Auftragsverarbeiter (Kategorien)

Wir nutzen eine kleine Zahl von Drittanbieterdiensten zur Bereitstellung von Kaufscan aus folgenden Kategorien:

• Hosting — EU-Region (Frankfurt).
• Objektspeicher für hochgeladene Dokumente — EU-Region.
• LLM-API zur Dokumentenanalyse — US-Anbieter auf einer bezahlten API-Stufe; Inhalte werden vertraglich nicht zum Modelltraining verwendet.
• Transaktions-E-Mail — US-Anbieter mit GDPR-Auftragsverarbeitungsvertrag.
• Zahlungsdienstleister — US-Anbieter mit beschränkter Unterauftragsverarbeitung.
• Produktanalyse und Session-Replay — EU-Anbieter (PostHog, Frankfurt), nur nach Ihrer Einwilligung (siehe Abschnitt 7).

Die jeweils aktuell eingesetzten Anbieter und Auftragsverarbeitungsverträge teilen wir Ihnen auf Anfrage unter [email protected] mit.

5. Internationale Datenübermittlungen

Hosting und Speicherung Ihrer hochgeladenen Dokumente erfolgen in der EU. Die KI-Verarbeitung (LLM-API), der Versand von Transaktions-E-Mails und die Zahlungsabwicklung erfolgen durch US-Anbieter. Diese Übermittlungen in die USA sind durch die EU-Standardvertragsklauseln (SCC) sowie — soweit der jeweilige Anbieter zertifiziert ist — durch den EU-US-Datenschutzrahmen (DPF) abgesichert. Eine vollständige EU-Datenresidenz ist auf Anfrage für Geschäftskunden möglich ([email protected]).

6. Ihre Rechte

Sie haben das Recht:

• auf Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO);
• auf Berichtigung unrichtiger Daten (Art. 16 DSGVO);
• auf Löschung Ihrer Daten, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht (Art. 17 DSGVO);
• auf Einschränkung der Verarbeitung (Art. 18 DSGVO);
• auf Datenübertragbarkeit in einem strukturierten Format (Art. 20 DSGVO);
• auf Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen (Art. 21 DSGVO);
• auf jederzeitigen Widerruf einer erteilten Einwilligung;
• auf Beschwerde bei einer Aufsichtsbehörde. Zuständig für unseren Sitz ist die Berliner Beauftragte für Datenschutz und Informationsfreiheit (Alt-Moabit 59-61, 10555 Berlin, datenschutz-berlin.de).

Zur Ausübung dieser Rechte schreiben Sie uns an [email protected]. Wir antworten innerhalb von 30 Tagen.

7. Reichweitenmessung und Session-Replay (PostHog) — nur mit Einwilligung

Mit Ihrer Einwilligung setzen wir PostHog ein zur Produktanalyse (Reichweitenmessung, Funktionsnutzung, Conversion-Trichter) und zum Session-Replay (Aufzeichnung von Seiteninteraktionen wie Klicks und Scrollen, um Bedienprobleme zu erkennen). Anbieter ist PostHog Inc. (USA) bzw. PostHog Ltd. (UK); Ihre Analyse- und Replay-Daten werden jedoch in der EU gespeichert und verarbeitet (EU-Cloud, Frankfurt). Es besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO; etwaige Datenzugriffe aus Drittländern sind über die EU-Standardvertragsklauseln (SCC) abgesichert.

Schutz Ihrer Eingaben: In Session-Replays werden alle Formulareingaben sowie als sensibel markierte Inhalte (z. B. Objekt/Adresse, Dateinamen) automatisch maskiert. Hochgeladene Dokumente und ihre Inhalte werden nicht aufgezeichnet.

Rechtsgrundlage ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG). PostHog wird erst nach Ihrer Einwilligung über den Einwilligungs-Banner geladen; bei Ablehnung findet keine Analyse oder Aufzeichnung statt. Zur Speicherung Ihrer Auswahl nutzen wir einen technisch notwendigen Eintrag im lokalen Speicher Ihres Browsers (kein Tracking-Cookie). Die Speicherdauer der Analyse- und Replay-Daten begrenzen wir in den PostHog-Projekteinstellungen (Session-Replays in der Regel höchstens einen Monat).

Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen — so einfach wie ihre Erteilung — über Datenschutz-Einstellungen öffnen.

Im Übrigen setzt Kaufscan keine Werbe- oder Tracking-Cookies. Ihre Upload-Seite wird über einen Parameter in dem Ihnen per E-Mail zugesandten Link mit Ihrem Auftrag verknüpft — nicht über ein Cookie.

8. Sicherheit

Dokumente werden über TLS hochgeladen, verschlüsselt gespeichert und sind nur für die Anwendung sowie (zu Supportzwecken) den Gründer zugänglich. Magic-Link-Download-URLs sind signiert und laufen nach 7 Tagen ab.

9. Änderungen dieser Erklärung

Wesentliche Änderungen werden mindestens 14 Tage vor Inkrafttreten auf dieser Seite angekündigt. Das Datum oben gibt die letzte Überarbeitung an.