Datenschutzerklärung

Stand: 2026-05-15

Diese Erklärung beschreibt, welche personenbezogenen Daten HELGA verarbeitet, zu welchem Zweck, auf welcher Rechtsgrundlage und an welche Dritte sie unter Umständen weitergegeben werden. Sie ergänzt die Impressums-Angaben.

1. Verantwortlicher

[FIRMA / VORNAME NACHNAME EINSETZEN]
[STRASSE HAUSNUMMER]
[PLZ ORT]
Deutschland
E-Mail: [KONTAKT-MAIL]

(Diese Daten werden in der Live-Version durch die konkreten Daten des Betreibers ersetzt.)

2. Welche Daten HELGA verarbeitet

2.1 Account-Daten

• E-Mail-Adresse (für Login + Benachrichtigungen)
• Passwort-Hash (Argon2id, niemals Klartext)
• Anzeigename (optional, freiwillig)
• Helga-Post-Adresse (<name>@helga.email) — vom User selbst gewählt

2.2 Inhalts-Daten

HELGA verarbeitet die von Dir hochgeladenen oder per E-Mail zugestellten Dokumente sowie die daraus erkannten Daten:

• Originaldateien (PDF, Bilder, Mail-RFC822-Rohbytes)
• Aus dem Dokument extrahierter Text (OCR / Volltext)
• Erkannte Stammdaten (Absender, Empfänger, Kategorie, Frist, Kernaussage)
• Verknüpfungen zu „Akten" (Personen, Firmen, Immobilien aus Deinem Aktenschrank)
• Notizen + Chat-Verläufe pro Vorgang

2.3 Technische Daten

• IP-Adresse beim Zugriff (Server-Log, 14 Tage Aufbewahrung)
• User-Agent + Session-Cookie
• Zeitstempel von Logins und API-Aufrufen

3. Verschlüsselung

HELGA arbeitet mit tenant-eigenen Verschlüsselungs-Schlüsseln (DEKs). Sensible Felder (Brief-Inhalte, Kernaussagen, Akten-Namen, E-Mail-Adressen, Notizen, Chat-Verläufe) liegen in der Datenbank ausschließlich verschlüsselt. Der DEK wird mit einem Master-Key (KEK) auf dem Server gewrappt. Wer den DB-Server angreift, ohne Zugriff auf den KEK zu haben, bekommt unleserliche Bytes.

Datei-Uploads liegen im verschlüsselten Volume des Hetzner-Servers (LUKS auf der virtuellen Disk).

4. Empfänger / Auftragsverarbeiter

HELGA nutzt folgende Dienstleister im Rahmen der Auftragsverarbeitung nach Art. 28 DSGVO:

4.1 Hosting

• Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland. Hosting der Application-Server und der Datenbank. Standort des Rechenzentrums: Nürnberg / Falkenstein (Deutschland).

4.2 KI-Verarbeitung

• Mistral AI SAS, 15 rue des Halles, 75001 Paris, Frankreich. Verarbeitung der Volltexte zur Klassifikation, Empfänger-Erkennung, Frist-Erkennung und Empfehlungs-Generierung. Endpoint: eu.mistral.ai (EU-Region). Mistral speichert die Anfragen nicht für Trainingszwecke (Opt-out-Default).

4.3 Bezahlabwicklung

• Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland. Verarbeitung von Zahlungsdaten (Kreditkarte, SEPA). Stripe ist selbst Verantwortlicher für die Bezahldaten; HELGA bekommt nie die vollständige Kartennummer zu sehen.

4.4 E-Mail-Versand und -Empfang

• Eingehende und ausgehende E-Mails laufen über den HELGA-eigenen Mail-Server (Postfix) auf der Hetzner-Infrastruktur. Keine externen Mail-Provider (kein Mailgun, SendGrid, Postmark o.ä.) sind beteiligt.

5. Rechtsgrundlagen

• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): für die Bereitstellung der HELGA-Funktionen und die Bezahlabwicklung.
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Server-Logs, Anti-Missbrauch, technische Sicherheit.
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): bei optionalen Funktionen wie Reminder-E-Mails (kann jederzeit widerrufen werden in „Mein Konto").
• Gesetzliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Aufbewahrungspflichten gem. GoBD/AO bei bezahlpflichtigen Rechnungen.

6. Speicherdauer

• Aktive Konten: solange der Account besteht.
• Gelöschte Konten: physische Löschung aller Tenant-Daten innerhalb von 30 Tagen. Die Helga-Post-Adresse bleibt 12 Monate in Quarantäne (kein Re-Vergeben), um Identitäts- Übernahmen zu verhindern.
• Backups: verschlüsselte Snapshots, Aufbewahrung 14 tägliche / 8 wöchentliche / 12 monatliche Versionen. Backups werden bei Konto-Löschung NICHT rückwirkend bereinigt; sie laufen entsprechend dem Retention-Schedule aus.
• Server-Logs: 14 Tage rotation, danach gelöscht.

7. Deine Rechte

Du hast jederzeit das Recht auf:

• Auskunft über die zu Dir gespeicherten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung Deines Kontos und Deiner Daten (Art. 17 DSGVO). Unter „Mein Konto → Konto löschen" mit einem Klick verfügbar.
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit: GoBD-konformer ZIP-Export aller Akten und Briefe unter „Mein Konto → Daten-Export" (Art. 20 DSGVO)
• Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen (Art. 21 DSGVO)
• Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) — zuständig: [LANDESDATENSCHUTZBEHOERDE EINSETZEN]

8. Cookies

HELGA verwendet ausschließlich ein technisches Session-Cookie zur Authentifizierung. Keine Tracking-, Werbe- oder Analyse-Cookies. Keine Einbettung externer Skripte zur Verhaltensanalyse.

9. Keine automatisierte Entscheidung im Einzelfall

HELGA gibt KI-gestützte Vorschläge (Frist-Erkennung, Vorgang-Anlage, Antwort-Entwürfe), trifft aber keine rechtsverbindlichen Entscheidungen für Dich. Du entscheidest, ob ein Vorschlag übernommen wird (Art. 22 DSGVO findet keine Anwendung).

10. Änderungen dieser Erklärung

Wir passen diese Erklärung an, wenn sich die zugrundeliegenden Verarbeitungen ändern (z.B. neue Auftragsverarbeiter). Über wesentliche Änderungen informieren wir per E-Mail an die im Account hinterlegte Adresse.

11. Kontakt für Datenschutz-Anfragen

[DATENSCHUTZ-MAIL]
(oder per Post an die Anschrift in Punkt 1.)