Zettellos.ai Zurück

Rechtliches

Datenschutzerklärung

Stand: 02.06.2026 · DSGVO-konform

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:

Tim Schmidt
Eichendorffweg 1
87437 Kempten
E-Mail: info@zettellos.ai

2. Überblick der Datenverarbeitung

Zettellos.ai ist eine passwortgeschützte Web-Applikation zur KI-gestützten Verwaltung von Dokumenten. Der Zugang ist auf explizit eingeladene Personen beschränkt. Eine öffentliche Registrierung ist nicht möglich.

Wir verarbeiten nur die Daten, die für den Betrieb der Anwendung zwingend erforderlich sind. Es findet kein Profiling, keine Werbung und keine Weitergabe an Dritte zu kommerziellen Zwecken statt.

3. Hosting und Server-Logs

Die Anwendung wird auf einem VPS (Virtual Private Server) bei ITM GmbH, Dieselstraße 17, 87437 Kempten betrieben.

Bei jedem Zugriff auf die Anwendung werden durch den Webserver automatisch folgende Daten protokolliert:

  • IP-Adresse des anfragenden Geräts
  • Datum und Uhrzeit des Zugriffs
  • Aufgerufene URL
  • HTTP-Statuscode
  • Übertragene Datenmenge
  • Browsertyp und Betriebssystem (User-Agent)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und dem stabilen Betrieb der Anwendung).
Speicherdauer: Server-Logs werden nach spätestens 30 Tagen automatisch gelöscht.

4. Nutzerkonto und Registrierung

Für die Nutzung von Zettellos.ai ist ein Nutzerkonto erforderlich. Die Einladung erfolgt ausschließlich durch den Betreiber. Bei der Kontenerstellung verarbeiten wir folgende Daten:

  • Name
  • E-Mail-Adresse
  • Passwort (verschlüsselt mit bcrypt, niemals im Klartext gespeichert)
  • Zwei-Faktor-Authentifizierungs-Daten (falls aktiviert)
  • Zeitstempel der Kontoerstellung und letzter Aktivität

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / Nutzungsverhältnis).
Speicherdauer: Bis zur Löschung des Nutzerkontos auf Anfrage.

5. Sessions und Cookies

Zettellos.ai verwendet ausschließlich technisch notwendige Cookies für die Session-Verwaltung. Es werden keine Tracking-, Analyse- oder Werbe-Cookies eingesetzt.

Cookie Zweck Dauer
zettellos_session Authentifizierungs-Session (Laravel) Browser-Session / max. 2 Stunden
XSRF-TOKEN Schutz vor CSRF-Angriffen Browser-Session
remember_web_* „Angemeldet bleiben"-Funktion (nur wenn explizit aktiviert) 400 Tage

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb) sowie § 25 Abs. 2 TDDDG (technisch notwendige Cookies).

6. Verbindung zu Paperless NGX

Zettellos.ai verbindet sich mit einer Paperless NGX-Instanz, die als Dokumentenarchiv dient. Dabei werden folgende Daten übertragen und verarbeitet:

  • Dokumenteninhalt (OCR-Text, Metadaten wie Titel, Datum, Tags, Korrespondenten, Dokumententypen)
  • Dokument-Dateien (PDFs, Bilder) für die Vorschau und Analyse
  • API-Token für die Authentifizierung gegenüber Paperless NGX (verschlüsselt gespeichert)

Die Paperless NGX-Instanz wird ITM GmbH, Dieselstraße 17, 87437 Kempten. Dokumentendaten verlassen diese Instanz nur für die in dieser Datenschutzerklärung beschriebenen Zwecke (z. B. KI-Analyse).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung der Anwendungsfunktionen).

7. KI-gestützte Dokumentenanalyse

Zur automatischen Kategorisierung, Fristen-Erkennung, Zahlungsdaten-Extraktion und Chat-Funktion nutzt Zettellos.ai ausschließlich die ITM KI — unser eigenes, in Deutschland betriebenes Sprachmodell. Der OCR-Text von Dokumenten sowie Nutzeranfragen werden ausschließlich an diese eigene Infrastruktur übertragen; es findet keine Übertragung an US-amerikanische oder andere Drittanbieter statt.

ITM KI — Hosted in Germany

Betreiber: Tim Schmidt.

Die KI-Infrastruktur wird vollständig in einem deutschen Rechenzentrum betrieben. Dokumenteninhalte werden ausschließlich für die Ausführung der KI-Anfrage verarbeitet und weder dauerhaft gespeichert noch für das Training von Modellen verwendet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung der KI-Funktionen).
Hinweis: Es werden ausschließlich Dokumenteninhalte (kein Name, keine E-Mail, keine Zahlungsdaten von Nutzern) an die KI übertragen. Es erfolgt keine Datenübermittlung in Drittländer außerhalb der EU.

8. E-Mail-Konnektoren

Sofern E-Mail-Konnektoren konfiguriert sind, verbindet sich Zettellos.ai mit einem oder mehreren E-Mail-Postfächern (IMAP, Microsoft Exchange / Office 365) um Anhänge automatisch nach Paperless NGX zu importieren.

Dabei werden verarbeitet:

  • E-Mail-Zugangsdaten (Server, Benutzername, Passwort / OAuth-Token — verschlüsselt gespeichert)
  • Betreff, Absender und Anhänge der importierten E-Mails
  • Message-IDs zur Deduplizierung (um bereits importierte E-Mails nicht erneut zu verarbeiten)

E-Mail-Inhalte (Textkörper) werden nicht dauerhaft gespeichert. Nur die Anhänge werden an Paperless NGX weitergeleitet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Konfiguration des Connectors).

9. Volltextsuche (Meilisearch)

Für die Volltextsuche wird Meilisearch eingesetzt, das auf demselben Server wie die Anwendung betrieben wird. OCR-Texte und Metadaten von Dokumenten werden in einem Suchindex gespeichert, der ausschließlich dem angemeldeten Mandanten zugänglich ist.

Suchindex-Daten verlassen den eigenen Server nicht. Eine Übertragung an Dritte findet nicht statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

10. E-Mail-Benachrichtigungen

Sofern Benachrichtigungen per E-Mail konfiguriert sind, werden Name und E-Mail-Adresse des Empfängers an den konfigurierten SMTP-Server übertragen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Aktivierung der Benachrichtigungen).

11. Datensicherheit

Wir setzen folgende technische und organisatorische Maßnahmen ein:

  • Transportverschlüsselung aller Verbindungen via TLS/HTTPS
  • Bcrypt-Hashing aller Passwörter
  • AES-256-Verschlüsselung aller gespeicherten API-Tokens und Zugangsdaten (Laravel Encrypt mit APP_KEY)
  • Zwei-Faktor-Authentifizierung (TOTP) für alle Nutzerkonten verfügbar
  • Mandanten-Isolation: Jeder Nutzer sieht ausschließlich die Daten des eigenen Mandanten
  • CSRF-Schutz für alle Formulare
  • Automatische Session-Invalidierung nach Inaktivität

12. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist:

Datenkategorie Speicherdauer
Nutzerkonto-Daten Bis zur Kontolöschung
Server-Logs Maximal 30 Tage
KI-Konversationshistorie Bis zur manuellen Löschung oder Kontolöschung
Token-Usage-Logs Bis zur Kontolöschung
E-Mail-Konnektor Message-IDs Bis zur Löschung des Connectors

13. Ihre Rechte als betroffene Person

Sie haben gegenüber uns folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

Auskunft Art. 15 DSGVO

Recht auf Auskunft über gespeicherte Daten

Berichtigung Art. 16 DSGVO

Recht auf Korrektur unrichtiger Daten

Löschung Art. 17 DSGVO

Recht auf Löschung (Recht auf Vergessenwerden)

Einschränkung Art. 18 DSGVO

Recht auf Einschränkung der Verarbeitung

Datenübertragbarkeit Art. 20 DSGVO

Recht auf Erhalt Ihrer Daten in maschinenlesbarem Format

Widerspruch Art. 21 DSGVO

Recht auf Widerspruch gegen die Verarbeitung

Zur Ausübung Ihrer Rechte wenden Sie sich an: info@zettellos.ai

Sie haben außerdem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die zuständige Aufsichtsbehörde richtet sich nach Ihrem Wohnsitz oder dem Sitz des Unternehmens.

14. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf zu aktualisieren, um sie an geänderte Rechtslage oder bei Änderungen des Dienstes anzupassen. Das Datum der letzten Änderung ist oben angegeben. Registrierte Nutzer werden bei wesentlichen Änderungen per E-Mail informiert.