Datenschutzerklaerung
Diese Datenschutzerklaerung beschreibt die Verarbeitung personenbezogener Daten durch spectre fuer Website, Konto, Mailbox-Scan, KI-gestuetzte Identifikation, Entwurf und Versand von Auskunfts- und Loeschanfragen sowie fuer Organisationsfunktionen.
1. Verantwortlicher
Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist:
| Betreiber / Firma | ALB Digital Diensliestungen |
|---|---|
| Rechtsform | ALB Digital Diensliestungen |
| Anschrift | Mainzer Strasse, 53179 Bonn, Deutschland |
| E-Mail Datenschutz | privacy@agentspectre.eu |
| E-Mail allgemein | legal@agentspectre.eu |
| Telefon | +49 1556 528 3042 |
| Datenschutzbeauftragter | Ein Datenschutzbeauftragter ist in den bereitgestellten Impressumsangaben nicht gesondert benannt. Datenschutzanfragen richten Sie bitte an privacy@agentspectre.eu. |
| EU-Vertreter nach Art. 27 DSGVO | Nicht anwendbar, da der Betreiber nach den bereitgestellten Angaben in Deutschland ansaessig ist. |
2. Kurzuebersicht
- spectre liest keine E-Mail-Passwoerter. Die Verbindung erfolgt ueber OAuth oder providerbezogene Schnittstellen.
- Mailbox-Scans sind header-orientiert und local-first ausgelegt. Je nach Funktion koennen minimierte Signale serverseitig oder bei KI-Diensten verarbeitet werden.
- E-Mail-Inhalte, Anhaenge, Kalender und Kontakte sind nicht Zweck des Scans und werden nicht dauerhaft bei spectre gespeichert.
- Loeschanfragen werden erst nach Nutzeraktion erstellt oder versendet. Organisationen koennen Loeschungen ablehnen oder einschraenken, wenn gesetzliche Aufbewahrungspflichten oder Ausnahmen bestehen.
- Zahlungsdaten werden durch Stripe verarbeitet; spectre erhaelt Zahlungsstatus, Tarif und Abrechnungsreferenzen, aber keine vollstaendigen Kartendaten.
3. Verarbeitungsvorgaenge, Zwecke und Rechtsgrundlagen
| Vorgang | Datenkategorien | Zweck | Rechtsgrundlage |
|---|---|---|---|
| Website-Bereitstellung | IP-Adresse, Zeitpunkt, URL, User-Agent, technische Logdaten | Auslieferung, Sicherheit, Fehleranalyse, Missbrauchsabwehr | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem Betrieb) |
| Konto und Login | Name, E-Mail-Adresse, Anbieter-ID, Profilbild sofern vom Provider geliefert, Tarif, Nutzungszaehler | Kontoanlage, Authentifizierung, Tarifverwaltung, Bereitstellung gebuchter Funktionen | Art. 6 Abs. 1 lit. b DSGVO (Vertrag / vorvertragliche Massnahmen) |
| OAuth-Verbindung zu Mailprovidern | OAuth-Tokens, Provider-ID, E-Mail-Adresse, Berechtigungen, Token-Ablaufdaten | Autorisierter Zugriff auf Mailbox-Metadaten und autorisierter Versand von Anfragen | Art. 6 Abs. 1 lit. b DSGVO; soweit Einwilligung fuer Zugriff/Endgeraet erforderlich: Art. 6 Abs. 1 lit. a DSGVO und § 25 TDDDG |
| Mailbox-Scan | Absender, Betreff, Datum, Provider-Metadaten, ggf. Snippets sofern technisch geliefert, erkannte Organisationen, Konfidenz, Kategorie | Identifikation moeglicher Konten, Anbieter und Datenschutzkontakte | Art. 6 Abs. 1 lit. b DSGVO; fuer optionale KI-Unterstuetzung ggf. Art. 6 Abs. 1 lit. a DSGVO |
| KI-gestuetzte Identifikation und Entwurf | Minimierte Account-Signale, Organisationsname, Domain, Absenderadresse, Sprache, Entwurfstext, Quellenhinweise | Erkennung von Datenhaltern, Formulierung von Art.-17-/DSAR-orientierten Anfragen, DPO-Kontaktrecherche | Art. 6 Abs. 1 lit. b DSGVO; bei optionaler Nutzung externer KI-Dienste je nach Ausgestaltung Art. 6 Abs. 1 lit. a oder lit. f DSGVO |
| Versand von Anfragen | Name, E-Mail-Adresse, Zielorganisation, Empfaengeradresse, Betreff, Anfrageinhalt, Sendezeitpunkt, Status, Protokoll-ID | Ausuebung von Datenschutzrechten gegenueber Dritten und Nachweis fuer Nutzer | Art. 6 Abs. 1 lit. b DSGVO |
| Zahlungen | Stripe-Kunden-ID, Checkout-ID, Zahlungsstatus, Tarif, Rechnungsdaten soweit uebermittelt | Zahlungsabwicklung, Betrugsabwehr, Buchhaltung | Art. 6 Abs. 1 lit. b DSGVO; Art. 6 Abs. 1 lit. c DSGVO fuer gesetzliche Aufbewahrungspflichten |
| Support und Rechtsanfragen | Kontaktangaben, Kommunikationsinhalt, technische Diagnoseangaben, Bearbeitungsstatus | Beantwortung von Anfragen, Fehlerbehebung, Rechtsausuebung | Art. 6 Abs. 1 lit. b, lit. c oder lit. f DSGVO je nach Anfrage |
| B2B / DPO-Agent-Funktionen | Organisationskonto, Domain, DPO-Postfachdaten, eingehende Anfragen, SLA-Status, Audit- und Witness-Logs, API-Schluessel-Metadaten | Datenschutz-Workflow, DSAR-/Loeschqueue, Auditnachweis, API-Integration | Art. 6 Abs. 1 lit. b DSGVO; Art. 6 Abs. 1 lit. f DSGVO fuer Sicherheits- und Nachweisfunktionen |
4. Mailbox- und OAuth-Daten
spectre fordert nur die Berechtigungen an, die fuer die jeweilige Funktion erforderlich sind. Je nach Provider koennen folgende Scopes oder aequivalente Rechte genutzt werden:
- Gmail:
gmail.readonlyfuer header-orientierte Analyse,gmail.sendfuer nutzerautorisierten Versand. - Microsoft / Outlook:
Mail.ReadundMail.Send. - Yahoo, GMX, Web.de, iCloud oder andere IMAP-/SMTP-basierte Provider: providerabhaengige Lese- und Senderechte.
Wenn Provider technisch Snippets oder Betreffzeilen mitliefern, koennen diese fuer Erkennung und Priorisierung verarbeitet werden. Vollstaendige Nachrichtentexte und Anhaenge sind nicht Zweck der Verarbeitung und werden nicht dauerhaft bei spectre gespeichert.
Nutzer koennen OAuth-Zugriffe jederzeit beim jeweiligen Provider widerrufen. Danach koennen betroffene Funktionen nicht mehr ausgefuehrt werden, bis eine neue Autorisierung erfolgt.
5. KI-Unterstuetzung
spectre kann KI-Dienste einsetzen, um Organisationen zu identifizieren, DPO- oder Privacy-Kontakte zu recherchieren, Sprache und Jurisdiktion zu schaetzen und Entwuerfe fuer Datenschutzanfragen vorzubereiten.
Dabei werden Daten minimiert. Es sollen keine vollstaendigen Mailbox-Dumps, E-Mail-Passwoerter oder Anhaenge an KI-Dienste uebermittelt werden. Je nach Funktion koennen jedoch Absenderadresse, Domain, Betreff, Datum, Organisationsname, Kategorie, Sprache, Entwurfsinhalt und Quellen-URLs verarbeitet werden.
KI-Ergebnisse sind operative Vorschlaege, keine Rechtsberatung. Nutzer pruefen Empfaenger, Inhalt und Versand selbst.
6. Empfaenger und Auftragsverarbeiter
Personenbezogene Daten koennen an folgende Kategorien von Empfaengern uebermittelt werden, soweit dies fuer die jeweilige Funktion erforderlich ist:
| Empfaenger / Dienst | Rolle | Zweck | Status |
|---|---|---|---|
| Hosting / Netlify oder tatsaechlicher Hoster | Auftragsverarbeiter | Bereitstellung der Website und serverloser Funktionen | Wird fuer den produktiven Betrieb anhand der tatsaechlichen Hosting-Konfiguration und Vertragsunterlagen dokumentiert. |
| Appwrite | Auftragsverarbeiter | Konto, Datenbank, Nutzungszaehler, ggf. DPO-Queue | Wird fuer den produktiven Betrieb anhand der tatsaechlichen Appwrite-Konfiguration, Region und Auftragsverarbeitungsvereinbarung dokumentiert. |
| Stripe | Eigener Verantwortlicher oder Auftragsverarbeiter je nach Zahlungsvorgang | Zahlungsabwicklung, Betrugsabwehr, Abrechnung | Wird fuer den produktiven Betrieb anhand des tatsaechlichen Stripe-Setups und der Stripe-Vertragsunterlagen dokumentiert. |
| Google APIs / Gmail | Eigenstaendiger Anbieter des Nutzerkontos | OAuth, Mailboxzugriff, Versand | Provider-Datenschutzhinweise gelten zusaetzlich |
| Microsoft Graph / Outlook | Eigenstaendiger Anbieter des Nutzerkontos | OAuth, Mailboxzugriff, Versand | Provider-Datenschutzhinweise gelten zusaetzlich |
| Yahoo / GMX / Web.de / iCloud oder andere Mailprovider | Eigenstaendige Anbieter des Nutzerkontos | OAuth, IMAP/SMTP oder providerbezogene Mailfunktionen | Provider-Datenschutzhinweise gelten zusaetzlich |
| Google Gemini / KI-Dienst | Auftragsverarbeiter oder eigenstaendiger Anbieter je nach Vertragssetup | KI-gestuetzte Identifikation, Recherche, Entwurf | Wird fuer den produktiven Betrieb anhand des tatsaechlichen KI-Anbieters, der Region und der Datenschutzvereinbarungen dokumentiert. |
| Zielorganisationen / DPO-Kontakte | Eigenstaendige Verantwortliche | Empfang und Bearbeitung der vom Nutzer versendeten Anfrage | Nur nach Nutzerfreigabe / Versandaktion |
7. Drittlanduebermittlungen
Einige Dienstleister koennen personenbezogene Daten ausserhalb der EU/des EWR verarbeiten, insbesondere in den USA. Soweit erforderlich, stuetzen wir solche Uebermittlungen auf Angemessenheitsbeschluesse, das EU-U.S. Data Privacy Framework, Standardvertragsklauseln nach Art. 46 DSGVO oder eine ausdrueckliche Einwilligung. Die konkret genutzten Mechanismen sind fuer jeden Dienstleister vor Livegang zu pruefen und zu dokumentieren.
8. Browser-Speicher, Cookies und TDDDG
spectre kann technisch notwendige Eintraege in Local Storage, Session Storage oder vergleichbaren Endgeraetespeichern nutzen, zum Beispiel fuer Login-Status, OAuth-State/PKCE, Spracheinstellung, Tarifstatus, Sicherheitspruefungen und Zwischenspeicherung laufender Scans.
Der Zugriff auf Endgeraeteinformationen erfolgt fuer unbedingt erforderliche Funktionen auf Grundlage von § 25 Abs. 2 TDDDG. Fuer nicht notwendige Speicherungen, Analyse- oder Marketing-Cookies ist vorab eine Einwilligung nach § 25 Abs. 1 TDDDG und Art. 6 Abs. 1 lit. a DSGVO einzuholen. Diese Seite geht davon aus, dass derzeit keine nicht notwendigen Marketing- oder Tracking-Cookies eingesetzt werden. Falls solche Tools hinzukommen, muss diese Erklaerung samt Consent-Mechanismus aktualisiert werden.
9. Speicherfristen
| Daten | Regelfrist |
|---|---|
| Server- und Sicherheitslogs | Bis zu 30 Tage, laenger nur bei Sicherheitsvorfaellen oder Rechtsdurchsetzung. |
| Konto- und Tarifdaten | Solange das Konto besteht; danach Loeschung oder Sperrung, soweit keine gesetzlichen Pflichten entgegenstehen. |
| OAuth-Tokens | Solange die Mailbox verbunden ist oder bis Widerruf, Logout, Tokenablauf oder Kontoloeschung. |
| Scan-Ergebnisse und identifizierte Konten | Solange sie fuer die Nutzeruebersicht oder Anfragehistorie benoetigt werden; loeschbar ueber Konto-/Supportprozess. |
| Versandprotokolle und Anfragehistorie | Solange fuer Nachweis, Vertragserfuellung oder Rechtsverteidigung erforderlich; regelmaessige Pruefung nach 24 Monaten. |
| Zahlungs- und Rechnungsdaten | Nach gesetzlichen Handels- und Steuerfristen, regelmaessig bis zu 10 Jahre. |
| Supportkommunikation | Bis zu 24 Monate nach Abschluss, laenger bei laufenden Rechts- oder Sicherheitsfaellen. |
10. Betroffenenrechte
Betroffene Personen haben nach Massgabe der DSGVO insbesondere folgende Rechte:
- Auskunft nach Art. 15 DSGVO
- Berichtigung nach Art. 16 DSGVO
- Loeschung nach Art. 17 DSGVO
- Einschraenkung der Verarbeitung nach Art. 18 DSGVO
- Datenuebertragbarkeit nach Art. 20 DSGVO
- Widerspruch nach Art. 21 DSGVO
- Widerruf erteilter Einwilligungen mit Wirkung fuer die Zukunft nach Art. 7 Abs. 3 DSGVO
- Beschwerde bei einer Datenschutzaufsichtsbehoerde nach Art. 77 DSGVO
Anfragen richten Sie bitte an privacy@agentspectre.eu. Fuer Beschwerden ist insbesondere die fuer Bonn / Nordrhein-Westfalen zustaendige Aufsichtsbehoerde relevant: Landesbeauftragte fuer Datenschutz und Informationsfreiheit Nordrhein-Westfalen.
11. Sicherheit
Wir setzen technische und organisatorische Massnahmen ein, um personenbezogene Daten gegen Verlust, Missbrauch, unbefugten Zugriff und unbefugte Offenlegung zu schuetzen. Dazu gehoeren Transportverschluesselung, OAuth-basierte Autorisierung, Zugriffsbeschraenkungen, serverseitige Geheimnisverwaltung, Protokollminimierung und rollenbasierte Zugriffskontrollen fuer Organisationsfunktionen.
Kein Internetdienst kann absolute Sicherheit garantieren. Sicherheitsvorfaelle werden nach Massgabe der Art. 33 und 34 DSGVO bewertet und gemeldet.
12. Aenderungen
Diese Datenschutzerklaerung wird angepasst, wenn sich Funktionen, Dienstleister, Rechtsgrundlagen oder rechtliche Anforderungen aendern. Die jeweils aktuelle Fassung ist unter /datenschutz.html abrufbar.