PapperClass - Scanner Document IA et Coffre-fort Numérique SécuriséPapperClass

Datenschutzerklärung

Letzte Aktualisierung: 13. September 2025

Konform mit der europäischen Datenschutz-Grundverordnung (DSGVO)

Verantwortlicher für die Datenverarbeitung

Unternehmen : PapperClass, französisches Unternehmen
Tätigkeit : Digitalisierungs- und Dokumentenverwaltungsdienst
Kontakt : contact@papperclass.com
Website : PapperClass.com

Datenschutzbeauftragter (DSB) : dpo@papperclass.com

Erhobene personenbezogene Daten

2.1 Identifikations- und Kontaktdaten

  • Vor- und Nachname
  • E-Mail-Adresse
  • Telefonnummer (optional)
  • Bevorzugte Sprache und Zeitzone
  • Profilbild (optional)

2.2 Authentifizierungs- und Sicherheitsdaten

  • Verschlüsseltes Passwort
  • Zwei-Faktor-Authentifizierungsdaten (2FA)
  • TOTP-Wiederherstellungscodes
  • Vertrauenswürdige Geräte und deren Fingerabdrücke
  • Anmelde-IP-Adressen und Geolokalisierung
  • User-Agent und Browserinformationen
  • Verlauf der Anmeldesitzungen

2.3 Dokumente und Inhalte

  • Hochgeladene Dokumente (PDF, Bilder)
  • Aus Dokumenten extrahierter OCR-Text
  • Dateimetadaten (Name, Größe, MIME-Typ)
  • Benutzerdefinierte Kategorien und Tags
  • KI-Kategorisierungsergebnisse
  • Automatisch generierte Miniaturansichten

2.4 Nutzungs- und Präferenzdaten

  • Benachrichtigungspräferenzen
  • Aktivitäten und Aktionsverlauf
  • Anonymisierte Nutzungsstatistiken
  • Benutzeroberflächen-Präferenzen
  • Benutzerdefinierte Kategorienreihenfolge

2.5 Zahlungsdaten

  • Abonniertes Abonnement
  • Rechnungsverlauf über Stripe
  • Stripe-Kunden-ID (verschlüsselt)
  • Status von Zahlungen und Abonnements

2.6 Familienfreigabedaten

  • Erklärte Familienbeziehungen
  • Freigabe-Einladungen und -Annahmen
  • Berechtigungen und Rollen in Familienbereichen
  • Verlauf der Dokument- und Kategorienfreigaben

2.7 PapperMail-Daten - Gmail-Integration

PapperMail-Dienst: Unser automatischer Integrationsdienst für Gmail-E-Mails zum Abrufen und Verarbeiten von Dokumentenanhängen.

Zugriff auf Gmail-Daten:

  • E-Mails mit Anhängen: Nur E-Mails mit angehängten Dokumenten
  • E-Mail-Metadaten: Betreff, Absender, Empfangsdatum
  • Anhänge: PDF-Dateien, Bilder, Verwaltungsdokumente
  • Benutzerprofil: E-Mail-Adresse zur Authentifizierung

Verwendete OAuth2-Bereiche:

  • gmail.readonly : Schreibgeschützter Zugriff auf E-Mails
  • gmail.modify : Zugriff auf Anhänge

Ausschließlicher Zweck:

Automatisierung des Imports Ihrer per E-Mail erhaltenen Verwaltungsdokumente in Ihren PapperClass-Bereich zur Organisation und KI-Kategorisierung.

Zwecke und Rechtsgrundlagen der Verarbeitung

Bereitstellung des Dienstes

Rechtsgrundlage: Vertragserfüllung

Speicherung, Organisation, OCR und Kategorisierung Ihrer Dokumente, Such- und Freigabefunktionen.

Authentifizierung und Sicherheit

Rechtsgrundlage: Berechtigtes Interesse

Identitätsprüfung, 2FA, Erkennung verdächtiger Anmeldungen, Betrugsprävention.

Abonnementverwaltung

Rechtsgrundlage: Vertragserfüllung + Gesetzliche Verpflichtung

Rechnungsstellung, Verlängerungen, Kundensupport, buchhalterische und steuerliche Verpflichtungen.

Marketing-Kommunikation

Rechtsgrundlage: Einwilligung

Newsletter, Produktinformationen, Werbeangebote (Opt-in erforderlich).

Verbesserung des Dienstes

Rechtsgrundlage: Berechtigtes Interesse

Analytics, Optimierung der KI-Algorithmen, Entwicklung neuer Funktionen.

PapperMail-Dienst - Gmail-Verarbeitung

Rechtsgrundlage: Einwilligung über OAuth2

Nur zur Verbesserung der Benutzerfunktionen

Strenge Verbote:

  • Kein Verkauf von Gmail-Daten an Dritte
  • Keine Werbe- oder Marketingnutzung
  • Kein Benutzerprofiling aus E-Mails
  • Keine Weitergabe an externe Dienste

Eingeschränkter menschlicher Zugriff: Nur autorisiertes Personal für technischen Support, Sicherheitsuntersuchungen oder gesetzliche Verpflichtungen

Automatisierte Verarbeitung: KI-Kategorisierung und OCR ohne menschliches Eingreifen

Technischer Support

Rechtsgrundlage: Vertragserfüllung

Verwaltung von Support-Tickets, Lösung technischer Probleme, Benutzerunterstützung.

Empfänger der Daten

4.1 Autorisiertes Personal von PapperClass

Beschränkter Zugriff auf Daten, die für ihre Funktionen (Entwicklung, Support, Sicherheit) unbedingt erforderlich sind.

4.2 Technische Dienstleister

  • Stripe: Zahlungsabwicklung (unterliegt PCI DSS-Zertifizierungen)
  • Hosting-Dienste: Sichere Datenspeicherung in Europa
  • E-Mail-Anbieter: Versand von Benachrichtigungen und Kommunikation

4.3 Gmail-Daten - Besondere Einschränkungen

Keine Weitergabe von Gmail-Daten: Über die Gmail-API abgerufene Daten werden niemals an Dritte weitergegeben

Streng kontrollierter interner Zugriff:

  • Autorisiertes Personal: Entwickler mit minimal notwendigem Zugriff
  • Audit-Protokolle: Vollständige Rückverfolgbarkeit der Zugriffe
  • Ende-zu-Ende-Verschlüsselung: Maximaler Datenschutz

Nur gesetzliche Ausnahmen: Offenlegung nur bei gerichtlicher Anordnung oder zwingender gesetzlicher Verpflichtung möglich

4.4 Zuständige Behörden

Nur bei gerichtlicher Anordnung oder gesetzlicher Verpflichtung.

Übermittlungen außerhalb der Europäischen Union

Übermittlung in die Vereinigten Staaten

Zahlungsdaten werden von Stripe Inc. (Vereinigte Staaten) verarbeitet, das für EU-US-Übermittlungen gemäß den entsprechenden DSGVO-Garantien zertifiziert ist.

Garantien: Stripe entspricht den DSGVO-äquivalenten Datenschutzstandards durch seine Zertifizierungen und Standardvertragsklauseln.

Andere Daten: Alle anderen personenbezogenen Daten werden ausschließlich auf Servern in der Europäischen Union gespeichert und verarbeitet.

Gmail-Daten - Ausschließlich europäische Speicherung

Standort: Alle von PapperMail verarbeiteten Gmail-Daten werden ausschließlich auf Servern in der Europäischen Union gespeichert

Keine Übermittlung außerhalb der EU: E-Mail- und Anhangsdaten werden niemals in die Vereinigten Staaten oder Drittländer übermittelt

DSGVO-Konformität: Maximaler Schutz gemäß europäischen Standards

Aufbewahrungsdauer

Aktives Konto

Solange Ihr Konto aktiv und in Gebrauch ist.

Nach Kündigung

30 Tage Kulanzfrist zur Wiederherstellung, dann endgültige Löschung, außer bei gesetzlichen Verpflichtungen.

Buchhaltungsdaten

10 Jahre gemäß französischen gesetzlichen Verpflichtungen.

Sicherheitsprotokolle

Maximal 12 Monate zur Erkennung von Einbrüchen und Sicherheit.

Anonymisierte Analytics

Maximal 25 Monate zur Verbesserung des Dienstes.

Gmail-Daten - Begrenzte Aufbewahrung

Verarbeitete Anhänge: Aufbewahrt, solange Ihr PapperClass-Konto aktiv ist

E-Mail-Metadaten: Maximal 12 Monate für Rückverfolgbarkeit und Support

OAuth-Tokens: Automatischer Widerruf bei 90 Tagen Inaktivität

Automatische Löschung: Bei Trennung vom PapperMail-Dienst oder Kontolöschung

Recht auf Löschung: Sofortige Löschung auf Anfrage über DSB

Ihre Rechte gemäß DSGVO

7.1 Auskunftsrecht (Artikel 15 DSGVO)

Eine Kopie aller von uns gespeicherten personenbezogenen Daten erhalten.

7.2 Recht auf Berichtigung (Artikel 16 DSGVO)

Unrichtige oder unvollständige personenbezogene Daten korrigieren oder aktualisieren.

7.3 Recht auf Löschung (Artikel 17 DSGVO)

Unter bestimmten Umständen die Löschung Ihrer personenbezogenen Daten verlangen.

7.4 Recht auf Datenübertragbarkeit (Artikel 20 DSGVO)

Ihre Daten in einem strukturierten, maschinenlesbaren Format abrufen.

7.5 Widerspruchsrecht (Artikel 21 DSGVO)

Der Verarbeitung auf Grundlage berechtigter Interessen oder zu Direktmarketingzwecken widersprechen.

7.6 Recht auf Einschränkung (Artikel 18 DSGVO)

Unter bestimmten Umständen die Einschränkung der Verarbeitung verlangen.

7.7 Widerruf der Einwilligung (Artikel 7 DSGVO)

Ihre Einwilligung jederzeit für auf Einwilligung basierende Verarbeitungen widerrufen.

Wie Sie Ihre Rechte ausüben

Um eines dieser Rechte auszuüben, kontaktieren Sie unseren DSB: dpo@papperclass.com

Antwortfrist: Maximal 1 Monat (auf 3 Monate für komplexe Anfragen erweiterbar)

Cookies und Tracker

8.1 Unbedingt erforderliche Cookies

  • Benutzersitzung: Aufrechterhaltung der sicheren Verbindung
  • CSRF-Sicherheit: Schutz vor Angriffen
  • Grundeinstellungen: Sprache und Oberflächeneinstellungen

Diese Cookies erfordern keine Einwilligung, da sie für den Betrieb des Dienstes unerlässlich sind.

8.2 Analyse-Cookies (Google Analytics 4)

  • Zweck: Zielgruppenmessung und Verbesserung des Dienstes
  • Daten: Besuchte Seiten, Sitzungsdauer, geografische Herkunft (anonymisiert)
  • Aufbewahrung: Maximal 25 Monate
  • Einwilligung: Erforderlich über unser Cookie-Banner

8.3 Verwaltung Ihrer Präferenzen

Sie können Ihre Cookie-Präferenzen jederzeit ändern:

Datensicherheit

9.1 Technische Maßnahmen

  • AES-256-Verschlüsselung sensibler Daten
  • Verpflichtende HTTPS-Verbindungen (TLS 1.3)
  • Zwei-Faktor-Authentifizierung (2FA)
  • Sichere Passwort-Hashing (bcrypt)
  • Automatische Erkennung verdächtiger Anmeldungen
  • Verschlüsselte und redundante Backups

9.2 Spezialisierte PapperMail-Sicherheit

Erweiterter Schutz von Gmail-Daten:

  • Magic Bytes-Validierung: Binäre Überprüfung von Anhängen gegen Malware
  • Polyglot-Erkennung: Identifizierung potenziell gefährlicher Dateien mit Doppelsignatur
  • Sandbox-Verarbeitung: Isolierte Dokumentenverarbeitung in sicherer Umgebung
  • JWT-Authentifizierung: Signierte Tokens mit Ablauf für Dienstzugriff
  • Rate Limiting: Automatische Anfragenbegrenzung zur Missbrauchsprävention
  • Audit-Protokollierung: Vollständige Rückverfolgbarkeit von Gmail-Zugriffen und -Verarbeitungen

9.3 Organisatorische Maßnahmen

  • Datenzugriff nach dem Prinzip der geringsten Privilegien
  • Regelmäßige Sicherheitsschulungen des Personals
  • Verstärkte Passwort-Richtlinie
  • Regelmäßige Sicherheitsaudits
  • Verfahren zur Reaktion auf Vorfälle
  • Periodische Penetrationstests

9.4 Benachrichtigung über Verstöße

Im Falle einer Verletzung personenbezogener Daten, die ein Risiko für Ihre Rechte und Freiheiten darstellt, werden wir Sie gemäß DSGVO innerhalb von 72 Stunden informieren.

Änderungen dieser Richtlinie

Wir können diese Datenschutzerklärung ändern, um Änderungen in unseren Praktiken oder aus rechtlichen Gründen widerzuspiegeln.

Benachrichtigung: Sie werden über wichtige Änderungen mindestens 30 Tage vor deren Inkrafttreten per E-Mail und/oder Benachrichtigung auf der Plattform informiert.

Aktuelle Version: Diese Richtlinie ist seit dem 13. September 2025 wirksam.

Beschwerderecht

Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten einen Verstoß gegen die DSGVO darstellt, haben Sie das Recht, eine Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen.

Für Frankreich: CNIL
3 Place de Fontenoy - TSA 80715
75334 PARIS CEDEX 07

Website: www.cnil.fr
Telefon: 01 53 73 22 22

Kontakt

Bei Fragen zu dieser Datenschutzerklärung oder zur Ausübung Ihrer Rechte:

Garantierte Antwortfrist: Maximal 1 Monat für jede Anfrage zu Ihren personenbezogenen Daten.

Nous utilisons des cookies afin d'améliorer votre expérience et garantir le bon fonctionnement du site. Vous pouvez les accepter maintenant ou gérer vos préférences.

Gérer mes préférences