← Zurück
Datenschutzerklärung
Stand: April 2026
1. Verantwortlicher (Art. 4 Nr. 7 DSGVO)
Johannes Dürrwächter
Karlstraße 33, Murrhardt, Deutschland
E-Mail: berlinjmd@gmail.com
2. Zweck und Rechtsgrundlage der Verarbeitung
GREY verarbeitet E-Mail-Metadaten und -Inhalte ausschließlich zum Zweck der
KI-gestützten E-Mail-Triage (Kategorisierung, Priorisierung, Antwort-Entwürfe).
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung bei OAuth-Verbindung)
- E-Mail-Provider-Zugriff: Grey unterstützt mehrere Provider:
- Gmail: Nur-Lese-Zugriff (gmail.readonly) nach expliziter OAuth-Einwilligung
- Freenet: IMAP-Zugriff mit verschlüsselt gespeichertem Passwort (Fernet/AES) nach expliziter Einwilligung
- KI-Analyse: Pseudonymisierte, gekürzte E-Mail-Auszüge werden an OpenAI übermittelt (Art. 28 DSGVO, Auftragsverarbeitung). Die Analyse erfolgt zweistufig: Stage 1 (Skill-Routing) wählt relevante Klassifizierungs-Hilfen aus, Stage 2 klassifiziert die Mail. Beide Schritte gehen an denselben Auftragsverarbeiter (OpenAI).
3. Verarbeitete Daten
| Datenkategorie | Zweck | Speicherdauer |
|---|
| E-Mail-Metadaten (Absender-Domain, Betreff, Datum) | Triage & Dashboard | Max. 90 Tage |
| E-Mail-Body (gekürzt, max. 1000 Zeichen) | KI-Analyse (transient) | Nicht persistent gespeichert |
| KI-Analyse-Ergebnisse (Kategorie, Score, Zusammenfassung) | Dashboard-Anzeige | Max. 90 Tage |
| OAuth-Tokens (verschlüsselt) | Gmail-API-Zugriff | Bis Widerruf/Disconnect |
| IMAP-Credentials (Fernet-verschlüsselt) | Freenet-Mailabruf | Bis Widerruf/Disconnect |
| Nutzerkonto (Username, Passwort-Hash) | Authentifizierung | Bis Kontoloeschung |
| Feedback & Korrekturen | Qualitätsverbesserung | Max. 90 Tage |
| Sender-Blocklist | Verarbeitungssperre (Art. 21) | Bis Widerruf |
4. Empfänger und Auftragsverarbeiter (Art. 28 DSGVO)
- OpenAI, Inc. (USA) — KI-Analyse (zweistufig: Skill-Routing + Klassifizierung). Rechtsgrundlage: EU-US Data Privacy Framework + SCCs. PII-Reduktion vor Übermittlung.
- Google LLC (USA) — Gmail-API-Zugriff (nur falls Nutzer Gmail-Konto verbindet). Rechtsgrundlage: EU-US Data Privacy Framework, Google Workspace DPA.
- Freenet GmbH (Deutschland) — IMAP-Mailserver-Zugriff (nur falls Nutzer Freenet-Konto verbindet). Verarbeitet: Login-Credentials (verschlüsselt), Mail-Inhalte beim Abruf.
- Resend, Inc. (USA) — Versand von Transaktions-E-Mails (Passwort-Reset, Benachrichtigungen). Verarbeitet: E-Mail-Adresse des Nutzers.
- Hetzner Online GmbH (Deutschland) — Server-Hosting. Verarbeitet alle in der Datenbank gespeicherten Daten.
Keine Datenweitergabe zu Werbezwecken.
5. Drittlandtransfers (Art. 44-49 DSGVO)
Daten werden in die USA übermittelt (OpenAI, Google). Rechtsgrundlage ist der
Angemessenheitsbeschluss der EU-Kommission zum EU-US Data Privacy Framework
(10. Juli 2023), ergänzt durch Standardvertragsklauseln (SCCs) als Fallback.
6. Ihre Rechte (Art. 15-21 DSGVO)
- Auskunft (Art. 15): Sie können jederzeit Auskunft über Ihre gespeicherten Daten verlangen.
- Berichtigung (Art. 16): Fehlerhafte Daten werden auf Anfrage korrigiert.
- Löschung (Art. 17): Sie können die Löschung aller Ihrer Daten verlangen.
- Einschränkung (Art. 18): Sie können die Verarbeitung einschränken lassen.
- Datenportabilität (Art. 20): Export Ihrer Daten im JSON-Format.
- Widerspruch (Art. 21): Sie können der Verarbeitung einzelner Absender widersprechen (Sender-Blocklist).
Anfragen richten Sie bitte an: berlinjmd@gmail.com
Antwortfrist: 30 Tage (Art. 12 Abs. 3 DSGVO).
7. Automatisierte Entscheidungen (Art. 22 DSGVO)
Die KI-Analyse dient ausschließlich als Entscheidungshilfe. Es werden keine
rechtsverbindlichen Entscheidungen ausschließlich auf Basis automatisierter
Verarbeitung getroffen. Nutzer können Ergebnisse jederzeit über das
Feedback-System korrigieren.
8. Datensicherheit (Art. 32 DSGVO)
- Verschlüsselung: HTTPS (TLS 1.2+), OAuth-Tokens AES-verschlüsselt (Fernet)
- Zugangskontrolle: Passwort-basiert (PBKDF2), Session-Timeout 8h
- PII-Reduktion vor KI-Übermittlung
- Automatische Datenlöschung nach Retention-Ablauf
9. Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren
(Art. 77 DSGVO).
10. Cookies
GREY verwendet ausschließlich einen technisch notwendigen Session-Cookie
(Name: session) für die Authentifizierung. Dieser Cookie:
- ist für die Nutzung des Dienstes zwingend erforderlich (Art. 5 Abs. 3 ePrivacy-RL / § 25 Abs. 2 TTDSG)
- enthält keine personenbezogenen Daten im Klartext (serverseitig verschlüsselt)
- läuft nach 8 Stunden Inaktivität oder beim Logout ab
- wird nicht an Dritte weitergegeben
Es werden keine Tracking-Cookies, Analytics-Dienste, externe Schriftarten
oder sonstige nicht-notwendige Cookies verwendet. Eine gesonderte Einwilligung ist
daher nicht erforderlich.
11. Betroffenenrechte ausüben (DSAR-Prozess)
Anfragen zur Auskunft (Art. 15), Löschung (Art. 17), Datenportabilität (Art. 20)
oder Widerspruch (Art. 21) richten Sie per E-Mail an: berlinjmd@gmail.com
Ablauf: Nach Identitätsprüfung bearbeiten wir Ihre Anfrage innerhalb von
30 Tagen. Datenexporte werden im JSON-Format bereitgestellt. Löschungen umfassen
alle personenbezogenen Daten (E-Mails, Analysen, Feedback, Blocklist, Tokens, Einstellungen).