Datenschutzerklärung

Zuletzt aktualisiert: Mai 2026

🔒 Deine Originale bleiben auf deinem Gerät

Kurzfassung: PaperBird speichert deine Dokumente ausschließlich auf deinem Gerät – verschlüsselt mit AES-256. Für die automatische Erkennung wird eine verkleinerte Kopie an einen EU-Server gesendet, dort analysiert und aus unserer App-Pipeline entfernt. Google persistiert deine Anfrage standardmäßig nicht; nur wenn ihre automatischen Sicherheitsfilter eine Anfrage als verdächtig markieren, wird sie bis zu 90 Tage für eine menschliche Prüfung aufbewahrt und danach gelöscht. Wir selbst speichern niemals Dokumente auf Servern.

Verantwortlicher

PaperBird – Inhaber: Nedim Devedzic
Einzelunternehmen nach österreichischem Recht
Treibacher Straße 3/1, 9523 Villach, Österreich
E-Mail: paperbird.at@gmail.com

Unser Grundsatz: Local-First

PaperBird folgt dem Local-First-Prinzip. Alle deine Dokumente, Bilder und Metadaten werden ausschließlich auf deinem Gerät gespeichert, geschützt mit AES-256-Verschlüsselung. Es gibt keine zentrale Cloud-Datenbank für deine persönlichen Papiere.

Welche Daten werden verarbeitet?

Lokale Daten (bleiben auf deinem Gerät)

Deine Dokumentenfotos, die erkannten Informationen wie Titel, Beträge und Fristen sowie deine App-Einstellungen bleiben ausschließlich auf deinem Gerät.

Anmeldung

Für deinen Account speichern wir deine E-Mail-Adresse und ein verschlüsseltes Passwort.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

Dokumentenanalyse (temporär)

Beim Scannen wird eine verkleinerte Kopie deines Dokuments an einen DSGVO-konformen Google-Vertex-AI-Server in der EU (Region europe-west4, Niederlande) gesendet, um Text und Daten automatisch zu erkennen.

✔ Das Original bleibt verschlüsselt auf deinem Gerät
✔ Nur eine komprimierte Kopie wird über HTTPS an den EU-Server gesendet
✔ Die Kopie wird direkt nach der Analyse aus unserer App-Pipeline entfernt
✔ Bei verdächtigen Anfragen kann Google die Kopie bis zu 90 Tage für eine menschliche Prüfung speichern (Details siehe „Datenverarbeitung durch Dritte“)
✔ Kein Training, keine Weitergabe an Dritte

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

Volltext und sensible Felder (ab Version 3.0)

Der bei der Analyse erkannte Volltext wird lokal verschlüsselt (AES-256) auf deinem Gerät gespeichert, damit die Volltextsuche funktioniert. Er verlässt dein Gerät nicht und wird nicht übertragen. Finanzdaten (z. B. IBAN, BIC, Netto-/Brutto-Beträge, MwSt.) und – bei Arzt- oder Krankenhausrechnungen – der Name der behandelten Person werden ausschließlich lokal extrahiert und verschlüsselt gespeichert. Keine dieser Daten wird an Google, an uns oder an Dritte übertragen.

Absturzberichte

Um die App zu verbessern, werden anonyme Absturzberichte erhoben (Fehler-Details, Geräte-Modell, Zeitpunkt). Diese Daten werden nicht mit deinem Namen, deiner E-Mail oder deinen Dokumenten verknüpft und nach 90 Tagen gelöscht.

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) – Fehlerbehebung und Sicherheit.

Bot-Schutz

PaperBird stellt sicher, dass nur echte Geräte auf unsere Dienste zugreifen. Dabei wird ein Geräte-Token übermittelt. Es werden keine persönlichen Daten verarbeitet.

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) – Schutz vor Missbrauch.

Datenverarbeitung durch Dritte

PaperBird nutzt für Anmeldung, Analyse und Absturzberichte Dienste von Google LLC. Die Dokumentenanalyse läuft ausschließlich auf Google-Vertex-AI-Servern in der EU (Region europe-west4, Niederlande). Deine Dokumente verlassen die EU nicht.

Deine Daten werden nicht zum Trainieren von KI-Modellen verwendet (vertraglich von Google zugesichert)
Dokumentendaten werden ausschließlich zur Erkennung genutzt und nach der Analyse aus unserer App-Pipeline entfernt
Im Normalfall persistiert Google deine Anfrage gar nicht. Nur wenn Googles automatische Sicherheitsfilter eine Anfrage als verdächtig markieren, wird sie bis zu 90 Tage für menschliche Prüfung gespeichert und danach gelöscht (Vertex-AI-Standard)
Keine Weitergabe an Werbetreibende oder sonstige Dritte

Wann Google deine Anfrage tatsächlich speichert. Im Normalfall persistiert Vertex AI deine Anfrage gar nicht – sie wird verarbeitet und verschwindet. Nur wenn Googles automatische Sicherheitsfilter eine Anfrage als verdächtig markieren (z. B. automatisierte Angriffe gegen das Modell), wird die betroffene Anfrage bis zu 90 Tage für eine menschliche Prüfung gespeichert und danach gelöscht. Das ist Vertex-AI-Standard und gilt für alle Apps die Vertex AI nutzen – per Code können wir das nicht abschalten.

Für die Abo-Verwaltung nutzen wir RevenueCat Inc. (USA). Dabei wird nur eine pseudonyme Nutzer-ID und der Abo-Status übermittelt – keine E-Mail, kein Name.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Übermittlung in die USA auf Basis von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

Schriftarten dieser Website

Diese Website nutzt die Schriftart „Plus Jakarta Sans“. Die Schriftdateien werden direkt von unserem eigenen Hosting ausgeliefert (Self-Hosting). Es findet keine Übertragung deiner IP-Adresse an Google oder eine andere Drittpartei statt. Es werden weder Cookies gesetzt noch personenbezogene Profile gebildet.

Quelle der Schriftdateien: SIL-OFL-lizenzierte Re-Distribution über das „@fontsource"-Projekt. Keine Drittlandsübertragung, daher keine zusätzliche Rechtsgrundlage erforderlich.

Speicherdauer

Lokale Daten: Bis du sie löschst oder die App deinstallierst
Analyse-Kopien (unsere App-Pipeline): Nach Verarbeitung entfernt
Analyse-Kopien (Vertex-AI Missbrauchs-Schutz): im Normalfall nicht persistiert, sonst bis zu 90 Tage bei Google (Details siehe „Datenverarbeitung durch Dritte“)
Absturzberichte: Automatisch nach 90 Tagen entfernt
Papierkorb: Leert sich nach 30 Tagen von selbst
Kontodaten: Bei Account-Löschung entfernt

Deine Rechte (DSGVO Art. 15–21)

Du hast jederzeit das Recht auf:

Auskunft über deine gespeicherten Daten
Berichtigung fehlerhafter Daten
Löschung deiner Daten („Recht auf Vergessenwerden“)
Einschränkung der Verarbeitung
Datenübertragbarkeit – Export deiner Daten
Widerspruch gegen die Verarbeitung
Widerruf erteilter Einwilligungen

In den App-Einstellungen kannst du deinen Account und alle Daten jederzeit selbst löschen – ohne E-Mail, ohne Wartezeit.

Beschwerderecht besteht bei der Österreichischen Datenschutzbehörde.

Sicherheitsmaßnahmen

Alle lokalen Daten sind mit AES-256 verschlüsselt
Der Schlüssel wird sicher im Geräte-Keychain gespeichert
Zusätzlicher Schutz durch Face ID oder Touch ID möglich
Alle Server-Verbindungen sind verschlüsselt und durch Bot-Schutz gesichert
Originale werden niemals auf Servern gespeichert – nur temporäre Analyse-Kopien, die nach der Erkennung aus unserer Pipeline entfernt werden
Regelmäßige Sicherheitsüberprüfungen

Kontakt

Bei Fragen zum Datenschutz erreichst du uns unter:
paperbird.at@gmail.com