← Zurück

Datenschutzerklärung

Stand: 7. April 2026

1. Verantwortlicher (Art. 4 Nr. 7 DSGVO)

Johannes Dürrwächter
Karlstraße 33, Murrhardt, Deutschland
E-Mail: berlinjmd@gmail.com

2. Zweck und Rechtsgrundlage der Verarbeitung

GREY verarbeitet E-Mail-Metadaten und -Inhalte primär zum Zweck der KI-gestützten E-Mail-Triage (Kategorisierung, Priorisierung, Zusammenfassung, Handlungs-Empfehlungen). Zusätzlich werden aggregierte und PII-reduzierte Daten zur kontinuierlichen Verbesserung der Klassifizierungs-Qualität ausgewertet (Optimierung von KI-Anweisungen, Beispieldatensätzen und Skill-Konfigurationen — siehe §12.5). Ein Training oder Fine-Tuning von KI-Modellen findet nicht statt, weder durch Grey selbst noch durch OpenAI bei der API-Nutzung.

• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. a DSGVO (Einwilligung bei der OAuth-/IMAP-Verbindung des E-Mail-Kontos)
• Unterstützte E-Mail-Provider (Auswahl durch den Nutzer):
  • Google Gmail: Nur-Lese-Zugriff (Scope gmail.readonly) über Google OAuth 2.0 nach expliziter Einwilligung
  • Microsoft Office 365 / Outlook: Nur-Lese-Zugriff (Scope IMAP.AccessAsUser.All) über Microsoft OAuth 2.0 (XOAUTH2) nach expliziter Einwilligung
  • Freenet: IMAP-Zugriff mit verschlüsselt gespeichertem Passwort (Fernet/AES) nach expliziter Einwilligung
  • Eigene Domain (DomainFactory u. a.): IMAP-Zugriff mit verschlüsselt gespeichertem Passwort und konfigurierbarem Server-Hostname nach expliziter Einwilligung
• KI-Analyse: Vor jeder Übermittlung an einen KI-Auftragsverarbeiter durchläuft jeder E-Mail-Auszug eine mehrstufige PII-Reduktion (siehe §8). Die anschließende Analyse erfolgt durch OpenAI (Auftragsverarbeitungsvertrag/DPA abgeschlossen, Art. 28 DSGVO) in zwei Schritten: Stage 1 (Skill-Routing) wählt relevante Klassifizierungs-Hilfen aus, Stage 2 klassifiziert die Mail.
• Spiegelung externer Aktionen: Auf expliziten Wunsch des Nutzers (Admin-Toggle, Default: aus) werden externe Aktionen im Postfach (Archivieren, Beantworten) erkannt und der Status in Grey entsprechend gespiegelt.

3. Verarbeitete Daten

Datenkategorie	Zweck	Speicherdauer
E-Mail-Metadaten (Absender-Domain pseudonymisiert, Betreff, Datum, Empfängeranzahl, User-Rolle TO/CC)	Triage & Dashboard, Kontext-Signal für KI	Max. 90 Tage
E-Mail-Body (gekürzt, max. 1000 Zeichen, vor KI-Übermittlung PII-reduziert)	KI-Analyse (transient, nicht persistent zur KI gesendet)	Bei IMAP/Microsoft: lokal gespeichert für Detailanzeige; bei Gmail: nur per On-Demand-Abruf
KI-Analyse-Ergebnisse (Kategorie, Score, Zusammenfassung, Aktion, Reasoning)	Dashboard-Anzeige	Max. 90 Tage
OAuth-Tokens (Google Gmail / Microsoft 365, AES-verschlüsselt)	Mail-API-Zugriff	Bis Widerruf/Disconnect
IMAP-Credentials (Fernet-verschlüsselt, inkl. konfigurierbarem Hostname)	Freenet/DomainFactory/eigene Domain Mail-Abruf	Bis Widerruf/Disconnect
Nutzerkonto (Username, E-Mail-Adresse, PBKDF2-Passwort-Hash)	Authentifizierung, Passwort-Reset	Bis Kontolöschung
Feedback & Korrekturen (Kategorie, Score, Kommentar)	Interne Qualitätsverbesserung des Klassifizierungs-Systems	Max. 90 Tage
E-Mail-Interaktionen (Detail-View, Status-Änderungen, externe Spiegelung)	Implizites Feedback, Verhaltens-Tracking für Personalisierung	Max. 90 Tage
Sender-Blocklist	Verarbeitungssperre (Art. 21 DSGVO)	Bis Widerruf
Audit-Log (Login, Token-Operationen, Admin-Aktionen)	Sicherheit, Compliance-Nachweis (Art. 32 DSGVO)	Max. 365 Tage
Fehler-Telemetrie (Stack-Traces, Anonyme User-IDs, KEINE PII)	Stabilitätsüberwachung über Sentry	30 Tage (Sentry-Standard)
Kalender-Export-Metadaten (Titel, Datum, Erinnerung, Quelle — nur bei Nutzung des Frist-Exports)	UI-Anzeige „schon exportiert" und Prüfung doppelter Exporte	Bis Löschung der zugrundeliegenden E-Mail (max. 90 Tage)
Kontakt-Vorschlagsliste (intern aggregiert aus empfangenen und gesendeten Mails — Adresse und Anzeigename)	Empfänger-Autocomplete beim Schreiben neuer Mails (Compose, Reply, Forward). Die Aggregation passiert server-seitig on-demand; es gibt keine separate persistente Kontakt-Tabelle.	Bestandsdaten aus den Mail-Feldern (max. 90 Tage); die Liste wird nie zwischengespeichert und existiert nur pro Request.

4. Empfänger und Auftragsverarbeiter (Art. 28 DSGVO)

• OpenAI, Inc. (USA) — KI-Analyse (zweistufig: Skill-Routing + Klassifizierung).
  DPA: Data Processing Addendum (DPA) der OpenAI nach Art. 28 DSGVO unterzeichnet.
  Datenfluss: PII-reduzierte E-Mail-Auszüge (siehe §8).
  Rechtsgrundlage Drittlandtransfer: EU-US Data Privacy Framework (Angemessenheitsbeschluss vom 10. Juli 2023) ergänzt durch Standardvertragsklauseln (SCCs).
• Google LLC (USA / EU-Region für Workspace) — Gmail-API-Zugriff (nur wenn Nutzer ein Gmail-Konto verbindet).
  DPA: Google Workspace Data Processing Amendment.
  Scopes: ausschließlich gmail.readonly (Nur-Lesen).
  Rechtsgrundlage: EU-US Data Privacy Framework + SCCs.
• Microsoft Corporation / Microsoft Ireland Operations Ltd. (Irland / USA) — Microsoft 365 OAuth + IMAP (nur wenn Nutzer ein Microsoft-Konto verbindet).
  DPA: Microsoft Online Services Data Protection Addendum (DPA).
  Scopes: IMAP.AccessAsUser.All, offline_access, User.Read — kein Schreibzugriff.
  Rechtsgrundlage: EU Standardvertragsklauseln; Microsoft EU Data Boundary für Office 365 (Daten in EU-Rechenzentren).
• Freenet GmbH (Deutschland) — IMAP-Mailserver-Zugriff (nur wenn Nutzer ein Freenet-Konto verbindet).
  Datenfluss: Login-Credentials (Fernet-verschlüsselt gespeichert), Mail-Inhalte beim Abruf.
• Drittanbieter-IMAP-Server (z.B. DomainFactory, eigene Domain) — Mail-Abruf bei nutzerseitig konfiguriertem Hostname.
  Hinweis: Der gewählte Provider wird vom Nutzer im Verbindungs-Dialog angegeben. Grey ist nicht Auftragsverarbeiter dieses Providers; der Nutzer ist für die rechtmäßige Nutzung seines Mail-Postfachs selbst verantwortlich.
• Resend, Inc. (USA) — Versand von Transaktions-E-Mails (Passwort-Reset, Benachrichtigungen).
  Datenfluss: E-Mail-Adresse des Nutzers, transaktionaler Nachrichteninhalt.
  Rechtsgrundlage: EU-US Data Privacy Framework + SCCs.
• Functional Software, Inc. d/b/a Sentry (USA, EU-Region) — Fehler-Telemetrie und Stabilitätsüberwachung.
  Datenfluss: Stack-Traces, Endpoint-URLs, anonyme User-IDs. Keine PII-Inhalte: send_default_pii=False ist gesetzt.
  Datenstandort: Sentry EU-Region (DSN endet auf .de.sentry.io) — Daten in EU-Rechenzentren.
  Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Stabilität und Sicherheit).
• Hetzner Online GmbH (Deutschland) — Server-Hosting (Nürnberg-Datacenter).
  Datenfluss: Alle in der PostgreSQL-Datenbank gespeicherten Daten.
  Rechtsgrundlage: Auftragsverarbeitungsvertrag nach Art. 28 DSGVO; ausschließlich EU-Datenstandort.

Keine Datenweitergabe zu Werbezwecken. Keine Verwendung von Nutzerdaten zum Training von KI-Modellen.

5. Drittlandtransfers (Art. 44-49 DSGVO)

Folgende Verarbeitungen können einen Drittlandtransfer in die USA mit sich bringen:

• OpenAI (USA): KI-Analyse mit PII-reduzierten Inhalten.
• Google (USA / EU-Region): Gmail-API-Zugriff (nur bei Gmail-Nutzern).
• Resend (USA): Versand von Transaktions-E-Mails.

Rechtsgrundlage für diese Transfers ist primär der Angemessenheitsbeschluss der EU-Kommission zum EU-US Data Privacy Framework vom 10. Juli 2023, ergänzt durch Standardvertragsklauseln (SCCs) als Fallback. Alle genannten Anbieter sind unter dem DPF zertifiziert oder haben SCCs unterzeichnet.

Folgende Verarbeitungen erfolgen ausschließlich in der EU:

• Hetzner (Nürnberg, Deutschland): Server-Hosting und Datenbank.
• Sentry EU-Region (Deutschland/EU): Fehler-Telemetrie.
• Microsoft 365 (Irland/EU Data Boundary): Falls der Nutzer ein Microsoft-Konto verbindet, bleiben die Daten in EU-Rechenzentren (sofern der Tenant dies vorsieht).
• Freenet (Deutschland): Falls der Nutzer ein Freenet-Konto verbindet.

6. Ihre Rechte (Art. 15-21 DSGVO)

• Auskunft (Art. 15): Sie können jederzeit Auskunft über Ihre gespeicherten Daten verlangen.
• Berichtigung (Art. 16): Fehlerhafte Daten werden auf Anfrage korrigiert.
• Löschung (Art. 17): Sie können die Löschung aller Ihrer Daten verlangen.
• Einschränkung (Art. 18): Sie können die Verarbeitung einschränken lassen.
• Datenportabilität (Art. 20): Export Ihrer Daten im JSON-Format.
• Widerspruch (Art. 21): Sie können der Verarbeitung einzelner Absender widersprechen (Sender-Blocklist).

Anfragen richten Sie bitte an: berlinjmd@gmail.com
Antwortfrist: 30 Tage (Art. 12 Abs. 3 DSGVO).

7. Automatisierte Entscheidungen (Art. 22 DSGVO)

Die KI-Analyse dient ausschließlich als Entscheidungshilfe. Es werden keine rechtsverbindlichen Entscheidungen ausschließlich auf Basis automatisierter Verarbeitung getroffen. Nutzer können Ergebnisse jederzeit über das Feedback-System korrigieren.

8. Datensicherheit (Art. 32 DSGVO)

8.1 Verschlüsselung & Zugangskontrolle

• Transportverschlüsselung: HTTPS mit TLS 1.2+ für alle Verbindungen
• OAuth-Tokens: Fernet/AES-verschlüsselt in der Datenbank gespeichert (Schlüssel via GREY_TOKEN_KEY Umgebungsvariable)
• IMAP-Passwörter: Fernet-verschlüsselt, niemals im Klartext gespeichert
• Nutzer-Passwörter: PBKDF2-Hash mit Salt (kein reversibler Speichermechanismus)
• Session-Management: Timeout nach 8 Stunden Inaktivität, serverseitig signierte Cookies
• CSRF-Schutz: Token-basiert auf allen Formularen (Flask-WTF)
• Rate-Limiting: Schutz gegen Brute-Force auf Login- und Reset-Endpunkten (Flask-Limiter)
• Content-Security-Policy: Strikt konfiguriert via Flask-Talisman

8.2 PII-Reduktion vor KI-Übermittlung

Bevor E-Mail-Inhalte (Betreff, Snippet, Body) an einen externen KI-Auftragsverarbeiter (OpenAI) übermittelt werden, durchlaufen sie eine dreistufige PII-Reduktions-Pipeline:

1. Signatur-Stripping: Email-Signaturen werden anhand von RFC 3676 Markern und gängigen Sprach-Patterns ("Mit freundlichen Grüßen", "Best regards" etc.) entfernt — diese enthalten typischerweise die meisten persönlichen Daten (Name, Adresse, Telefonnummer).
2. Named Entity Recognition (NER): Microsoft Presidio in Kombination mit spaCy NLP-Modellen (de_core_news_md für Deutsch, en_core_web_sm für Englisch) erkennt und ersetzt automatisch:
   • Personennamen → [PERSON]
   • Ortsangaben/Adressen → [LOCATION]
   • E-Mail-Adressen → [EMAIL]
   • Telefonnummern → [PHONE]
   • IBAN, Kreditkartennummern → [IBAN] / [CARD]
   • IP-Adressen, URLs → [IP] / [URL]
3. Regex-Defense-in-Depth: Eine zweite Pass mit regulären Ausdrücken fängt PII-Muster ab, die Presidio möglicherweise übersehen hat (insbesondere bei deutschen Adress-Formaten).

Wichtige Hinweise zur Pipeline:

• Generische Platzhalter ohne Mapping: Alle erkannten Entitäten werden durch generische Platzhalter ohne Counter ([PERSON], nicht [PERSON_1]) ersetzt. Es wird keine Mapping-Tabelle erstellt — eine Re-Identifikation über Korrelation ist damit praktisch unmöglich.
• Datumsangaben bleiben sichtbar: Datumswerte werden bewusst nicht anonymisiert, da sie für die Kerndienstleistung (Deadline-Erkennung) erforderlich sind und allein keine starken Identifikatoren darstellen.
• Beträge bleiben sichtbar: Geldbeträge werden bewusst nicht anonymisiert, da sie für die Klassifizierung von Rechnungen und Mahnungen erforderlich sind.
• Post-AI Output-Scan: Nach der KI-Analyse durchläuft auch der generierte Output (Zusammenfassung, Aktion) erneut die PII-Reduktions-Pipeline, bevor er in der Datenbank gespeichert wird (Defense-in-Depth gegen mögliche Halluzinationen oder Leaks).

8.3 Sender-Pseudonymisierung in der Datenbank

Zusätzlich zur transienten KI-Reduktion werden Absender-Adressen in der lokalen Datenbank dauerhaft pseudonymisiert gespeichert (j***@example.com), während die volle Adresse separat für die Anzeige im Dashboard erhalten bleibt.

8.4 Automatische Datenlöschung

• E-Mail-Inhalte und KI-Analysen werden nach maximal 90 Tagen automatisch gelöscht (Art. 5 Abs. 1 lit. e DSGVO, Speicherbegrenzung).
• Audit-Log-Einträge werden nach maximal 365 Tagen gelöscht.
• Bei Account-Löschung werden alle personenbezogenen Daten umfassend entfernt (DSAR-Prozess in §11).

9. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO).

10. Cookies

GREY verwendet ausschließlich einen technisch notwendigen Session-Cookie (Name: session) für die Authentifizierung. Dieser Cookie:

• ist für die Nutzung des Dienstes zwingend erforderlich (Art. 5 Abs. 3 ePrivacy-RL / § 25 Abs. 2 TTDSG)
• enthält keine personenbezogenen Daten im Klartext (serverseitig verschlüsselt)
• läuft nach 8 Stunden Inaktivität oder beim Logout ab
• wird nicht an Dritte weitergegeben

Es werden keine Tracking-Cookies, Analytics-Dienste, externe Schriftarten oder sonstige nicht-notwendige Cookies verwendet. Eine gesonderte Einwilligung ist daher nicht erforderlich.

11. Betroffenenrechte ausüben (DSAR-Prozess)

Anfragen zur Auskunft (Art. 15), Löschung (Art. 17), Datenportabilität (Art. 20) oder Widerspruch (Art. 21) richten Sie per E-Mail an: berlinjmd@gmail.com

Ablauf: Nach Identitätsprüfung bearbeiten wir Ihre Anfrage innerhalb von 30 Tagen. Datenexporte werden im JSON-Format bereitgestellt. Löschungen umfassen alle personenbezogenen Daten (E-Mails, Analysen, Feedback, Blocklist, Tokens, Einstellungen).

12. KI-Transparenz (EU AI Act & Art. 13/14 DSGVO)

Grey nutzt KI-Modelle (Large Language Models) zur Klassifizierung und Zusammenfassung von E-Mails. Gemäß der EU-Verordnung über Künstliche Intelligenz (EU AI Act, Verordnung (EU) 2024/1689) ist Grey als "Limited Risk"-KI-System einzuordnen, da es keine Hochrisiko-Anwendung darstellt.

12.1 Verwendete KI-Modelle

• Klassifizierung & Zusammenfassung: OpenAI gpt-4o-mini (Stand der Technik bei Triage-Anwendungen, kostenoptimiert)
• Reply-Vorschläge (optional): OpenAI gpt-4o-mini
• Anbieter: OpenAI, Inc. (siehe §4 für Auftragsverarbeitung und Drittlandtransfer)

12.2 Was Grey NICHT mit Ihren Daten macht

• ❌ Kein Modell-Training: Ihre E-Mails oder Reply-Daten werden niemals zum Training oder Fine-Tuning von KI-Modellen verwendet — weder durch Grey noch durch OpenAI (laut OpenAI Enterprise/API-DPA).
• ❌ Keine Weitergabe zu Werbezwecken: Grey verwendet keine Tracking-Cookies, Analytics-Tools oder Werbe-Netzwerke.
• ❌ Keine automatisierten rechtsverbindlichen Entscheidungen: Die KI-Analyse ist Entscheidungshilfe, nicht Entscheidung im Sinne von Art. 22 DSGVO.
• ❌ Keine Speicherung der Volltexte über die Funktionsdauer hinaus: 90 Tage Maximum, dann automatische Löschung.

12.3 Was Grey mit Ihren Daten macht

• ✅ Triage: Klassifizierung in 7 Kategorien (Anfrage, Problem, Rechnung, Termin, Follow-Up, Info, Spam)
• ✅ Score 0-100: Priorisierung nach Wichtigkeit/Dringlichkeit
• ✅ Zusammenfassung: 1-2 Sätze Kerninhalt
• ✅ Aktions-Empfehlung: Wer sollte was bis wann tun
• ✅ Fristenerkennung: Falls Datum/Frist im Text erkannt wird

12.4 Genauigkeit und Grenzen

KI-Klassifizierungen sind nicht fehlerfrei. Grey gibt Ihnen jederzeit die Möglichkeit, eine Klassifizierung über das Feedback-System (Korrektur der Kategorie, Anpassung der Score-Bewertung, Freitext-Kommentar) zu korrigieren. Diese Korrekturen fließen in eine interne Qualitätsverbesserung ein.

12.5 Aggregierte interne Qualitätsverbesserung

Die Feedback-Daten werden in aggregierter Form periodisch ausgewertet, um den Klassifizierungs-Prompt zu verbessern. Diese Auswertung findet auf aggregierter Ebene statt und nutzt PII-reduzierte Inhalte. Eine personenbezogene Profilbildung über einzelne Nutzer findet nicht statt.

13. Kalender-Export (Frist → Kalender)

Grey bietet die Funktion, eine von der KI erkannte Frist in den Kalender des Nutzers zu übernehmen. Diese Übernahme erfolgt ausschließlich auf manuelle Aktion des Nutzers (Klick auf „In Kalender") und wird nicht automatisiert.

13.1 Welche Daten werden übertragen

In den gewählten Kalender überträgt Grey ausschließlich:

• den vom Nutzer final bestätigten Event-Titel (Default: „Frist: {Betreff}", vor dem Export editierbar),
• das Fristdatum (ganztägiger Termin),
• eine vom Nutzer gewählte Erinnerung (bei .ics-Export),
• eine kurze Beschreibung: Absendername und die von Grey erstellte Zusammenfassung der E-Mail.

Der E-Mail-Body wird nicht übertragen. Anhänge werden nicht übertragen. Der Empfängerkreis des Kalenders liegt in der Hand des Nutzers.

13.2 Kalender-Anbieter

Abhängig vom verbundenen Mail-Konto stehen drei Wege zur Verfügung:

• Gmail-/Google-Workspace-Nutzer: Ein vorausgefüllter Link öffnet Google Calendar (calendar.google.com) in einem neuen Browser-Tab. Der Nutzer bestätigt den Termin dort selbst. Grey selbst greift nicht auf die Google-Calendar-API zu; es werden keine zusätzlichen OAuth-Berechtigungen angefordert.
• Microsoft-365-/Outlook-Nutzer: Analog über einen vorausgefüllten Link zu outlook.live.com bzw. outlook.office.com. Auch hier kein API-Zugriff durch Grey.
• Sonstige Nutzer (Freenet, iCloud, generisches IMAP, DomainFactory): Grey stellt eine .ics-Datei (RFC 5545) zum Download bereit. Der Nutzer öffnet diese Datei in seiner Kalender-Anwendung. Die Datei wird lokal auf dem Gerät des Nutzers erzeugt; eine Übertragung zu Dritten findet nicht statt.

13.3 Speicherung bei Grey

Grey protokolliert je erstelltem Kalender-Eintrag: User-ID, Message-ID der auslösenden E-Mail, Account-ID, Quelle (Deep-Link vs. .ics), eine interne iCal-UID, den gewählten Titel, das Datum und die gewählte Erinnerung. Diese Metadaten dienen ausschließlich der UI-Anzeige „bereits exportiert" und der Vermeidung doppelter Exporte. Sie werden automatisch gelöscht, sobald die zugrundeliegende E-Mail aus Grey gelöscht wird (spätestens nach 90 Tagen).

13.4 Rechtsgrundlage

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — vom Nutzer gewünschte Dienstleistung). Der Nutzer entscheidet pro Einzelfall, ob ein Export erfolgt.