Scroll to English Version

(Machine translated, the German version is legally binding)

Datenschutzerklärung für PaperAI

Stand: 6. August 2025

Vielen Dank für Ihr Interesse an unserem Dokumentenverwaltungsdienst PaperAI (im Folgenden "Dienst" oder "App" genannt). Der Schutz Ihrer persönlichen Daten und Ihrer Privatsphäre hat für uns höchste Priorität. Diese Datenschutzerklärung erläutert, welche Daten wir erheben, wie wir sie verarbeiten und nutzen und welche Rechte Sie in Bezug auf Ihre Daten haben. Unser Dienst wurde nach den Prinzipien von "Privacy by Design" und "Privacy by Default" konzipiert, um maximale Datensparsamkeit und volle Kontrolle für Sie als Nutzer zu gewährleisten.

1. Verantwortliche Stelle

Die verantwortliche Stelle für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

PaperAI, Jonas Schmitz
Taxisstr. 14
83024 Rosenheim
Deutschland

E-Mail: info [at] paperai.eu
Website: https://paperai.eu

2. Grundsätze der Datenverarbeitung bei PaperAI

Unser grundlegender Ansatz ist es, so wenig Daten wie möglich zu erheben und Ihnen die volle Kontrolle zu geben.

  • Lokale Verarbeitung: Die PaperAI App kann vollständig ohne einen Account und ohne Cloud-Verbindung genutzt werden. Alle Kernfunktionen wie das Scannen von Dokumenten, die Texterkennung (OCR) und das Durchsuchen der gescannten Dokumente finden ausschließlich auf Ihrem Gerät statt.
  • Verschlüsselung: Der Inhalt und die Metadaten Ihrer Dokumente werden immer auf Ihrem Gerät mit AES-GCM mit 256 Bit verschlüsselt, bevor sie optional in unsere Cloud (PaperCloud) hochgeladen werden. Wir als Betreiber haben keinen Zugriff auf die Inhalte Ihrer Dokumente im Klartext, die in die PaperCloud hochgeladen werden. Die Daten werden ausschließlich in Europa (Deutschland) gespeichert.

3. Art, Umfang und Zweck der Datenverarbeitung

a) Nutzung der App ohne Account und ohne Cloud

Wenn Sie die PaperAI App ohne Registrierung nutzen, findet die gesamte Verarbeitung Ihrer Dokumente (Scannen, OCR, Speicherung) ausschließlich lokal auf Ihrem Endgerät statt. In diesem Fall erheben wir keinerlei personenbezogene Daten von Ihnen.

b) Erstellung eines optionalen PaperAI-Accounts

Um Funktionen wie die Cloud-Synchronisation nutzen zu können, können Sie einen Account erstellen. Dabei verarbeiten wir folgende Daten:

Bestandsdaten:

  • Name: Zur persönlichen Ansprache.
  • E-Mail-Adresse: Dient als Benutzername, zur Verifizierung des Accounts und zur Kommunikation (z. B. wichtige Service-Informationen).
  • Passwort (gehasht): Ihr Passwort wird bereits auf Ihrem Gerät (client-side) mit der Argon2 Hashfunktion verarbeitet. Wir speichern niemals Ihr Passwort im Klartext, sondern nur diesen Hashwert zusammen mit einem Salt.

Account-Metadaten:

  • Salt: Ein zufälliger Wert zur Erhöhung der Sicherheit Ihres Passwort-Hashes.
  • HasPremium, IsVerified, SubscriptionAutoRenewing: Statusinformationen zu Ihrem Abonnement und Account-Status.
  • VerificationCodeExpiresAt, VerificationFailedAttempts: Zur Absicherung des Verifizierungsprozesses.
  • AccountCreationDate, AccountCreationIp: Datum und IP-Adresse bei der Erstellung des Accounts zur Verhinderung von Missbrauch und zur Gewährleistung der Sicherheit.

Nutzungs- und Abonnementdaten:

  • AnalysisCount, UploadCount, MonthlyDocumentsUsed, PaidDocumentsRemaining: Zur Verwaltung Ihrer Kontingente gemäß Ihrem gebuchten Tarif.
  • NextQuotaResetUtc, SubscriptionExpiresAt: Zur Verwaltung Ihres Abonnement-Zeitraums.
  • LastSessionTimestamp, LastIp: Zeitstempel und IP-Adresse Ihrer letzten Sitzung zur Erkennung von unbefugten Zugriffen und zur Verbesserung der Sicherheit.

Rechtsgrundlage: Die Verarbeitung dieser Daten erfolgt zur Erfüllung des Nutzungsvertrages gemäß Art. 6 Abs. 1 lit. b DSGVO. Die Verarbeitung von IP-Adressen zur Sicherheit basiert zudem auf unserem berechtigten Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO.

c) Dokumentenverarbeitung und -speicherung

  • Dokumenteninhalte und extrahierter Text: Diese werden, wie unter Punkt 2 beschrieben, auf Ihrem Gerät verschlüsselt. Wenn Sie die optionale Cloud-Sicherung nutzen, werden diese ausschließlich in verschlüsselter Form auf unsere Server übertragen, die sich in Europa (Deutschland) befinden. Wir können sie nicht entschlüsseln.
  • Metadaten im Klartext: Um die Organisation und Cloud-Synchronisation Ihrer Dokumente in der App zu ermöglichen, werden folgende Metadaten im Klartext gespeichert, falls die Cloud-Synchronisation aktiviert ist: Erstellungsdatum (des Eintrags in der App), Ausstellungsdatum (des Dokuments selbst), Datum der letzten Änderung.

Rechtsgrundlage: Die Verarbeitung dient der Erfüllung des Vertrages (Bereitstellung der App-Funktionalität) gemäß Art. 6 Abs. 1 lit. b DSGVO.

d) Optionale KI-basierte Metadatenextraktion

Sie haben die Möglichkeit, Metadaten wie Tags, Korrespondenten, Titel und Datum automatisch aus Ihren Dokumenten extrahieren zu lassen. Hierfür bieten wir drei Optionen:

  1. Lokale Analyse (On-Device): Die Analyse findet vollständig auf Ihrem Gerät statt. Hierfür ist einmalig der Download eines Large Language Modells auf das Endgerät erforderlich. Es werden keine Dokumenteninhalte oder extrahierte Texte an unsere Server gesendet.
  2. Analyse über PaperCloud (für bessere Ergebnisse): Wenn Sie diese Option wählen, wird der rein extrahierte Text (nicht das Bild des Dokuments) temporär an uns mit TLS-Verschlüsselung übertragen. Dort wird der Text von einem Open-Source-Sprachmodell (wie Llama 3) analysiert. Das Ergebnis (Tags, Titel und Korrespondent) wird an Ihre App zurückgeschickt. Der übermittelte Text und die generierten Metadaten werden auf unserem Server sofort nach der Verarbeitung gelöscht und nicht gespeichert oder für andere Zwecke verwendet. Wenn Sie die entsprechende Option in den App-Einstellungen aktivieren, können optional Tags und Korrespondenten aus vorherigen Dokumentanalysen für die Analyse miteinbezogen werden, sodass Vorhandene dem Erstellen von Neuen vorgezogen wird. Auch diese Daten werden nur für die Analyse verwendet und anschließend sofort gelöscht.
  3. OpenAI-kompatible Anbieter: Über die Einstellungen der PaperAI App können Sie einen OpenAI-kompatiblen Endpunkt angeben, wie Ollama, OpenAI, Gemini etc. Wenn Sie externe Anbieter verwenden, können diese den extrahierten Text Ihrer Dokumente lesen und ggf. verarbeiten. Wenn Sie die entsprechende Funktion in den App-Einstellungen aktivieren, werden zuvor erkannte Tags und Korrespondenten ebenfalls mitgeschickt. Möglicherweise speichern diese Anbieter die Daten oder verwenden diese für Werbezwecke oder das Training von Modellen. Wenn Sie externe Anbieter verwenden, liegt die Datensicherheit in Ihrer Verantwortung.

Rechtsgrundlage: Diese Verarbeitung erfolgt auf Basis Ihrer expliziten und freiwilligen Entscheidung und somit Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO.

e) Nutzung von PaperAI Web (web.paperai.eu)

Wenn Sie Dokumente über unsere Web-Anwendung hochladen, erfolgt die Verschlüsselung des Dokumenteninhalts direkt in Ihrem Browser (client-side), bevor die Daten an unsere Server übertragen werden. Die verschlüsselten Daten werden in Ihrem Cloud-Speicher abgelegt und anschließend von Ihrer mobilen PaperAI App zur lokalen Weiterverarbeitung (OCR etc.) heruntergeladen. Der Prozess ist sicherheitstechnisch mit dem direkten Upload aus der App identisch.

f) Berechtigungen auf Android-Geräten

Die PaperAI App fragt zur Aufnahme von Dokumenten nicht direkt die Kamera-Berechtigung Ihres Betriebssystems an. Stattdessen nutzen wir die Kamera-Schnittstelle der Google Play Services. Dies ermöglicht das Scannen von Dokumenten, ohne der App selbst weitreichenden Zugriff auf Ihre Kamera gewähren zu müssen. Die Datenverarbeitung durch Google unterliegt deren eigener Datenschutzerklärung.

4. Weitergabe von Daten an Dritte

Eine Übermittlung Ihrer persönlichen Daten an Dritte findet nicht statt.

  • Wir verkaufen Ihre Daten unter keinen Umständen und geben sie nicht zu Werbezwecken weiter.
  • Wir haben keinen Zugriff auf Dokumente, die in der PaperCloud gespeichert sind.

5. Speicherdauer

Wir speichern Ihre personenbezogenen Daten nur so lange, wie es für die Erreichung der hier genannten Zwecke erforderlich ist oder wie es die gesetzlichen Aufbewahrungsfristen vorsehen.

  • Die Daten Ihres Accounts werden gespeichert, solange Ihr Account besteht.
  • Nach Löschung Ihres Accounts werden alle zugehörigen personenbezogenen Daten und die verschlüsselten Dokumente von unseren Servern unwiderruflich gelöscht, sofern keine gesetzliche Aufbewahrungspflicht (z. B. aus dem Handels- oder Steuerrecht) entgegensteht.
  • Temporär zur KI-Analyse übermittelte Texte werden unmittelbar nach der Verarbeitung gelöscht (siehe 3d).

6. Ihre Rechte als betroffene Person

Sie haben jederzeit das Recht:

  • gemäß Art. 15 DSGVO Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu verlangen.
  • gemäß Art. 16 DSGVO unverzüglich die Berichtigung unrichtiger oder die Vervollständigung Ihrer bei uns gespeicherten Daten zu verlangen.
  • gemäß Art. 17 DSGVO die Löschung Ihrer bei uns gespeicherten Daten zu verlangen. Bitte nutzen Sie dafür die den entsprechenden Link im Profilbereich der PaperAI WebApp unter https://web.paperai.eu
  • gemäß Art. 18 DSGVO die Einschränkung der Verarbeitung Ihrer Daten zu verlangen.
  • gemäß Art. 20 DSGVO Ihre Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten (Datenübertragbarkeit). Diese Daten können Sie im Profilbereich der PaperAI WebApp unter https://web.paperai.eu exportieren.
  • gemäß Art. 7 Abs. 3 DSGVO Ihre einmal erteilte Einwilligung jederzeit gegenüber uns zu widerrufen.
  • gemäß Art. 77 DSGVO sich bei einer Aufsichtsbehörde zu beschweren.

Zur Ausübung Ihrer Rechte können Sie sich jederzeit an die unter Punkt 1 genannte Kontaktadresse wenden.

7. Datensicherheit

Wir treffen alle notwendigen technischen und organisatorischen Sicherheitsmaßnahmen (TOMs), um Ihre Daten vor Manipulation, Verlust, Zerstörung oder dem unbefugten Zugriff Dritter zu schützen. Dazu gehören insbesondere:

  • Client-Side Hashing von Passwörtern mit der Argon2 Hashfunktion.
  • Ende-zu-Ende-Verschlüsselung der Dokumenteninhalte mit AES-GCM mit 256 Bit.
  • SSL/TLS-Verschlüsselung bei jeglicher Datenübertragung zwischen Client und Server.
  • Regelmäßige Sicherheitsüberprüfungen unserer Systeme.

8. Änderung dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.

Privacy Policy for PaperAI

Last updated: August 6, 2025

Please note: This is a machine translation for your convenience. The German version of this document is the only legally binding one.

Thank you for your interest in our document management service PaperAI (hereinafter referred to as "Service" or "App"). The protection of your personal data and your privacy is our highest priority. This privacy policy explains what data we collect, how we process and use it, and what rights you have regarding your data. Our service was designed according to the principles of "Privacy by Design" and "Privacy by Default" to ensure maximum data economy and full control for you as a user.

1. Responsible Body

The responsible body for data processing within the meaning of the General Data Protection Regulation (GDPR) is:

PaperAI, Jonas Schmitz
Taxisstr. 14
83024 Rosenheim
Germany

Email: info [at] paperai.eu
Website: https://paperai.eu

2. Principles of Data Processing at PaperAI

Our fundamental approach is to collect as little data as possible and to give you full control.

  • Local Processing: The PaperAI app can be used completely without an account and without a cloud connection. All core functions such as scanning documents, text recognition (OCR), and searching the scanned documents take place exclusively on your device.
  • Encryption: The content and metadata of your documents are always encrypted on your device with AES-GCM with 256 bits before being optionally uploaded to our cloud (PaperCloud). As the operator, we have no access to the plaintext content of your documents uploaded to the PaperCloud. The data is stored exclusively in Europe (Germany).

3. Type, Scope, and Purpose of Data Processing

a) Use of the App without an Account and without Cloud

If you use the PaperAI app without registration, all processing of your documents (scanning, OCR, storage) takes place exclusively locally on your end device. In this case, we do not collect any personal data from you.

b) Creation of an Optional PaperAI Account

To use features like cloud synchronization, you can create an account. In doing so, we process the following data:

Inventory Data:

  • Name: For personal address.
  • Email Address: Serves as a username, for account verification, and for communication (e.g., important service information).
  • Password (hashed): Your password is processed on your device (client-side) using the Argon2 hashing function. We never store your password in plaintext, only this hash value along with a salt.

Account Metadata:

  • Salt: A random value to increase the security of your password hash.
  • HasPremium, IsVerified, SubscriptionAutoRenewing: Status information about your subscription and account status.
  • VerificationCodeExpiresAt, VerificationFailedAttempts: To secure the verification process.
  • AccountCreationDate, AccountCreationIp: Date and IP address at the time of account creation to prevent abuse and ensure security.

Usage and Subscription Data:

  • AnalysisCount, UploadCount, MonthlyDocumentsUsed, PaidDocumentsRemaining: To manage your quotas according to your booked plan.
  • NextQuotaResetUtc, SubscriptionExpiresAt: To manage your subscription period.
  • LastSessionTimestamp, LastIp: Timestamp and IP address of your last session to detect unauthorized access and improve security.

Legal Basis: The processing of this data is for the fulfillment of the user contract in accordance with Art. 6 Para. 1 lit. b GDPR. The processing of IP addresses for security is also based on our legitimate interest in accordance with Art. 6 Para. 1 lit. f GDPR.

c) Document Processing and Storage

  • Document Contents and Extracted Text: As described in point 2, these are encrypted on your device. If you use the optional cloud backup, they are transmitted exclusively in encrypted form to our servers, which are located in Europe (Germany). We cannot decrypt them.
  • Plaintext Metadata: To enable the organization and cloud synchronization of your documents in the app, the following metadata is stored in plaintext if cloud synchronization is activated: Creation date (of the entry in the app), issue date (of the document itself), date of last modification.

Legal Basis: The processing serves to fulfill the contract (provision of app functionality) in accordance with Art. 6 Para. 1 lit. b GDPR.

d) Optional AI-based Metadata Extraction

You have the option to have metadata such as tags, correspondents, title, and date automatically extracted from your documents. We offer three options for this:

  1. Local Analysis (On-Device): The analysis takes place entirely on your device. This requires a one-time download of a Large Language Model to the end device. No document content or extracted texts are sent to our servers.
  2. Analysis via PaperCloud (for better results): If you choose this option, the purely extracted text (not the image of the document) is temporarily transmitted to us with TLS encryption. There, the text is analyzed by an open-source language model (like Llama 3). The result (tags, title, and correspondent) is sent back to your app. The transmitted text and the generated metadata are deleted from our server immediately after processing and are not stored or used for other purposes. If you activate the corresponding option in the app settings, tags and correspondents from previous document analyses can optionally be included in the analysis, so that existing ones are preferred over creating new ones. This data is also only used for the analysis and then immediately deleted.
  3. OpenAI-compatible Providers: Through the PaperAI app settings, you can specify an OpenAI-compatible endpoint, such as Ollama, OpenAI, Gemini, etc. If you use external providers, they can read and possibly process the extracted text of your documents. If you activate the corresponding function in the app settings, previously recognized tags and correspondents will also be sent. These providers may store the data or use it for advertising purposes or model training. If you use external providers, data security is your responsibility.

Legal Basis: This processing is based on your explicit and voluntary decision and thus your consent in accordance with Art. 6 Para. 1 lit. a GDPR.

e) Use of PaperAI Web (web.paperai.eu)

When you upload documents via our web application, the document content is encrypted directly in your browser (client-side) before the data is transmitted to our servers. The encrypted data is stored in your cloud storage and then downloaded by your mobile PaperAI app for local further processing (OCR, etc.). The process is identical in terms of security to a direct upload from the app.

f) Permissions on Android Devices

The PaperAI app does not directly request the camera permission of your operating system to capture documents. Instead, we use the camera interface of the Google Play Services. This allows for scanning documents without granting the app itself extensive access to your camera. Data processing by Google is subject to their own privacy policy.

4. Disclosure of Data to Third Parties

Your personal data will not be transferred to third parties.

  • Under no circumstances do we sell your data or pass it on for advertising purposes.
  • We do not have access to documents stored in the PaperCloud.

5. Storage Duration

We store your personal data only as long as is necessary for the purposes stated here or as required by statutory retention periods.

  • Your account data will be stored as long as your account exists.
  • After deletion of your account, all associated personal data and the encrypted documents will be irrevocably deleted from our servers, unless there is a legal obligation to retain them (e.g., from commercial or tax law).
  • Texts temporarily transmitted for AI analysis are deleted immediately after processing (see 3d).

6. Your Rights as a Data Subject

You have the right at any time:

  • according to Art. 15 GDPR to request information about your personal data processed by us.
  • according to Art. 16 GDPR to demand the immediate correction of incorrect or completion of your data stored with us.
  • according to Art. 17 GDPR to demand the deletion of your data stored with us. Please use the corresponding link in the profile area of the PaperAI WebApp at https://web.paperai.eu.
  • according to Art. 18 GDPR to demand the restriction of the processing of your data.
  • according to Art. 20 GDPR to receive your data that you have provided to us in a structured, common, and machine-readable format (data portability). You can export this data in the profile section of the PaperAI WebApp at https://web.paperai.eu.
  • according to Art. 7 Para. 3 GDPR to withdraw your consent given to us at any time.
  • according to Art. 77 GDPR to lodge a complaint with a supervisory authority.

To exercise your rights, you can contact the contact address mentioned in point 1 at any time.

7. Data Security

We take all necessary technical and organizational security measures (TOMs) to protect your data from manipulation, loss, destruction, or unauthorized access by third parties. These include in particular:

  • Client-side hashing of passwords with the Argon2 hashing function.
  • End-to-end encryption of document content with AES-GCM with 256 bits.
  • SSL/TLS encryption for all data transmission between client and server.
  • Regular security audits of our systems.

8. Changes to this Privacy Policy

We reserve the right to adapt this privacy policy so that it always complies with the current legal requirements or to implement changes to our services in the privacy policy. The new privacy policy will then apply to your next visit.