Aktly
Im App Store
← Zurück zur Startseite

Datenschutzerklärung

Wir freuen uns über Ihr Interesse an unserer App und Webseite. Der Schutz Ihrer personenbezogenen Daten ist uns ein wichtiges Anliegen. In der folgenden Erklärung informieren wir Sie umfassend über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten im Rahmen der Nutzung unseres Dienstes Aktly. Diese Datenschutzerklärung erfüllt die Anforderungen der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) sowie des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG, vormals TTDSG).

Aktly ist ein persönlicher KI-gestützter Dokumenten-Tracker: Nutzerinnen und Nutzer können Rechnungen, Verträge, Belege oder Behördenpost fotografieren, per E-Mail weiterleiten oder über die iOS-App hochladen. Anschließend werden die enthaltenen Informationen mit Hilfe von Künstlicher Intelligenz strukturiert ausgewertet, um Aussteller, Beträge, Fälligkeitsdaten und Dokumenttypen zu erkennen. Da hierbei personenbezogene Daten – teilweise auch besondere Kategorien gemäß Art. 9 DSGVO, sofern Sie selbst entsprechende Dokumente einreichen – verarbeitet werden, legen wir besonderen Wert auf Transparenz.

1. Verantwortlicher im Sinne der DSGVO

Verantwortlicher für die Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 7 DSGVO ist:

Kaan AI Engineering
Kaan Can Götürmen
Gilardi str. 15a
90584 Allersberg
Deutschland
Telefon: +49 151 42012526
E-Mail: [email protected]

Aufgrund der Größe und Art unseres Unternehmens besteht keine gesetzliche Verpflichtung zur Benennung eines Datenschutzbeauftragten gemäß Art. 37 DSGVO und § 38 BDSG. Für sämtliche Fragen rund um den Datenschutz, zur Ausübung Ihrer Betroffenenrechte oder zum Widerruf erteilter Einwilligungen wenden Sie sich bitte direkt an die oben genannte Kontaktadresse oder an [email protected].

2. Allgemeine Hinweise

Diese Datenschutzerklärung gilt sowohl für unsere native iOS-Anwendung (Bundle-ID com.kaangenai.DocumentsTracker) als auch für die zugehörige Webseite und sämtliche API-Endpunkte unter der Domain aktly.app einschließlich aller Subdomains. Sie informiert Sie darüber, welche personenbezogenen Daten wir bei der Nutzung von Aktly erheben, zu welchen Zwecken und auf welcher Rechtsgrundlage wir diese verarbeiten und welche Rechte Ihnen daraus erwachsen.

Personenbezogene Daten im Sinne dieser Datenschutzerklärung sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Hierzu zählen insbesondere Ihr Name, Ihre E-Mail-Adresse, IP-Adresse, Geräte-IDs sowie sämtliche Inhalte, die Sie hochladen oder über die App eingeben.

Aktly ist als rein nutzerbezogener Dienst konzipiert. Wir verarbeiten personenbezogene Daten ausschließlich zur Bereitstellung der von Ihnen aktiv angeforderten Funktionen. Es findet keine Verarbeitung zu Werbe-, Profiling- oder Trackingzwecken statt. Ihre Daten werden nicht an Dritte verkauft.

3. Erhebung und Verarbeitung personenbezogener Daten

Wir verarbeiten personenbezogene Daten ausschließlich in dem Umfang, der für die Bereitstellung unseres Dienstes erforderlich ist. Im Folgenden erläutern wir die einzelnen Kategorien verarbeiteter Daten, die jeweiligen Zwecke und die zugehörigen Rechtsgrundlagen.

3.1 Account-Daten

Um Aktly nutzen zu können, ist die Einrichtung eines Nutzerkontos erforderlich. Für die Registrierung und Anmeldung verwenden wir den Dienst Firebase Authentication der Google Ireland Limited bzw. Google LLC. Hierbei verarbeiten wir folgende Daten:

  • Ihre E-Mail-Adresse
  • eine intern vergebene Firebase-UID (eine zufällig erzeugte Kennung, die Ihr Konto eindeutig identifiziert)
  • den genutzten Login-Provider (E-Mail mit Einmalcode, Sign in with Apple oder Sign in with Google)
  • bei Sign in with Apple bzw. Sign in with Google ggf. weitere von dem jeweiligen Anbieter übermittelte Profilinformationen (z. B. Anzeigename oder Apple-Relay-Adresse)
  • Zeitstempel der Anmeldungen sowie Token, mit denen Sie gegenüber unserer Schnittstelle authentifiziert sind

Die Verarbeitung dieser Daten ist erforderlich, um den Nutzungsvertrag mit Ihnen zu erfüllen und Ihnen den Zugriff auf Ihre persönlichen Daten zu ermöglichen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bzw. Durchführung vorvertraglicher Maßnahmen).

Bei der Anmeldung per E-Mail-Code versenden wir einen sechsstelligen Einmalcode an die von Ihnen angegebene Adresse über unseren Transaktions-E-Mail-Anbieter Resend (siehe Abschnitt 5.3). Dieser Code ist nur für kurze Zeit gültig und wird nach Verifizierung verworfen.

3.2 Geräte- und Logdaten

Bei jedem Aufruf der Webseite oder der API durch die iOS-App werden technisch bedingt bestimmte Daten an unseren Server in Deutschland übertragen und in Log-Dateien temporär gespeichert:

  • IP-Adresse (sofern erforderlich, anonymisiert)
  • Datum und Uhrzeit der Anfrage
  • aufgerufene URL bzw. API-Endpunkt
  • HTTP-Statuscode und übertragene Datenmenge
  • User-Agent (Browser- oder App-Version, Betriebssystem-Version, Gerätemodell)
  • Referrer-URL, soweit verfügbar

Diese Daten sind erforderlich, um die Stabilität und Sicherheit des Dienstes zu gewährleisten, Angriffe abzuwehren, Fehler zu diagnostizieren und Missbrauch zu verhindern. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Unser berechtigtes Interesse liegt im störungsfreien und sicheren Betrieb des Dienstes. Eine Zusammenführung dieser Daten mit anderen Datenquellen oder eine Auswertung zu Marketingzwecken findet nicht statt.

3.3 Hochgeladene Dokumente und extrahierte Metadaten

Kerninhalt des Dienstes ist die Verarbeitung der von Ihnen hochgeladenen Dokumente. Hierzu zählen typischerweise:

  • Fotografien von Rechnungen, Verträgen, Belegen, Mahnungen, Behördenschreiben und ähnlichen Schriftstücken, die Sie mit Ihrer iPhone-Kamera erfassen oder aus der Fotomediathek auswählen
  • PDF-Anhänge, die Sie an Ihre persönliche Aktly-Posteingangsadresse <alias>@aktly.app senden bzw. weiterleiten
  • die aus diesen Dokumenten von der KI extrahierten Metadaten wie Aussteller, Empfänger, Beträge, Fälligkeitsdaten, Vertragsnummern und Dokumenttyp
  • ggf. von Ihnen ergänzte oder korrigierte Daten, Notizen, Etiketten sowie Erinnerungseinstellungen

Die Dokumente und die extrahierten Metadaten werden auf unserem Server in Deutschland in einem Ihrem Konto eindeutig zugeordneten Verzeichnis (data/users/<uid>/) gespeichert. Andere Nutzerinnen und Nutzer haben keinen Zugriff auf Ihre Dokumente. Die Verarbeitung erfolgt zum Zweck der Erfüllung des Nutzungsvertrags; Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

Soweit die hochgeladenen Dokumente besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO enthalten (etwa Gesundheitsdaten in Arztrechnungen), erfolgt die Verarbeitung auf Grundlage Ihrer ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO. Sie entscheiden selbst, welche Dokumente Sie in Aktly hochladen.

3.4 Push-Benachrichtigungs-Token

Sofern Sie der iOS-App die Berechtigung zum Versand von Push-Benachrichtigungen erteilen, erhalten wir von Apple einen Push-Notification-Token (APNs-Token). Dieser Token ist gerätegebunden und ermöglicht es uns, Ihnen über die Apple Push Notification Service (APNs)-Infrastruktur Erinnerungen zu Fälligkeitsterminen Ihrer Dokumente zukommen zu lassen.

Die Berechtigung zum Versand von Push-Benachrichtigungen ist freiwillig (Opt-in im Sinne der iOS-Systemvorgaben). Sie können diese Berechtigung in den iOS-Systemeinstellungen jederzeit widerrufen. Rechtsgrundlage für die Verarbeitung des Tokens ist Art. 6 Abs. 1 lit. b DSGVO in Verbindung mit § 25 Abs. 1 TDDDG (Einwilligung in das Speichern und Auslesen von Informationen auf dem Endgerät).

3.5 Posteingang und E-Mail-Verarbeitung

Jeder Aktly-Account verfügt über eine eindeutige Posteingangsadresse nach dem Muster <alias>@aktly.app. E-Mails, die an diese Adresse gesendet oder weitergeleitet werden, werden über unseren Inbound-E-Mail-Anbieter Resend entgegengenommen, anhand der Absenderadresse Ihrem Konto zugeordnet und in Ihrem persönlichen Posteingangsverzeichnis abgelegt. Anhänge werden, sofern es sich um Dokumente handelt, automatisch zur KI-Extraktion freigegeben.

Wir verarbeiten dabei den Absender, den Empfänger (Ihre Alias-Adresse), den Betreff, den Nachrichtentext sowie die Anhänge. Diese Verarbeitung ist Teil der Hauptleistung von Aktly; Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Bitte beachten Sie, dass Sie sicherstellen müssen, dass Sie zur Weiterleitung von E-Mails Dritter berechtigt sind, soweit darin personenbezogene Daten Dritter enthalten sind.

3.6 Chat-Verlauf mit der KI-Assistenz

Aktly enthält einen KI-gestützten Chat-Assistenten, mit dem Sie Fragen zu Ihren gespeicherten Dokumenten stellen können (z. B. „Was muss ich diesen Monat bezahlen?"). Wir speichern den Verlauf Ihrer Chat-Konversationen, damit Sie diese später wieder aufrufen können und damit die KI im Verlauf einer Sitzung Kontext aufbauen kann.

Die Inhalte der Chats werden in Ihrem Nutzerverzeichnis gespeichert und nur zur Beantwortung Ihrer Fragen an OpenAI übermittelt (siehe Abschnitt 4). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

4. KI-gestützte Verarbeitung

Da die KI-gestützte Auswertung Ihrer Dokumente die Kernfunktion von Aktly darstellt und eine besonders erklärungsbedürftige Form der Datenverarbeitung ist, informieren wir Sie nachfolgend ausführlich über die Verarbeitungsschritte und die rechtlichen Rahmenbedingungen.

4.1 Welche Daten an OpenAI übermittelt werden

Zur Extraktion strukturierter Daten aus den von Ihnen hochgeladenen Dokumenten und zur Beantwortung Ihrer Fragen im Chat-Assistenten setzen wir die KI-Modelle der OpenAI, L.L.C., 3180 18th Street, San Francisco, CA 94110, USA ein. Konkret werden an OpenAI übermittelt:

  • die Bild- bzw. PDF-Inhalte des aktuell verarbeiteten Dokuments
  • ein technischer Auftrag (Prompt) an die KI, um daraus strukturierte Felder wie Aussteller, Betrag, Fälligkeitsdatum, Empfänger und Dokumenttyp zu extrahieren
  • beim Chat-Assistenten: Ihre Eingabe sowie ein Auszug aus Ihren bereits extrahierten Dokumentmetadaten (zur Beantwortung Ihrer Fragen)

Es werden ausschließlich diejenigen Inhalte an OpenAI weitergegeben, die zur Erfüllung der konkret von Ihnen angeforderten Funktion erforderlich sind. Die Übermittlung erfolgt über verschlüsselte Verbindungen (TLS).

4.2 Auftragsverarbeitungsvertrag und Drittlandsübermittlung

Mit OpenAI besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO in Form des von OpenAI bereitgestellten „Data Processing Addendum" (DPA). OpenAI ist damit unser Auftragsverarbeiter und verarbeitet die an die API übermittelten Inhalte ausschließlich nach unseren dokumentierten Weisungen.

Da OpenAI seinen Sitz in den Vereinigten Staaten von Amerika hat, findet eine Übermittlung personenbezogener Daten in ein Drittland statt. Die Übermittlung erfolgt auf Grundlage der von der EU-Kommission verabschiedeten Standardvertragsklauseln (EU-SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO. Soweit OpenAI eine entsprechende Zertifizierung vorhält, stützt sich die Übermittlung zusätzlich auf den EU-U.S. Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023, Art. 45 DSGVO).

4.3 Keine Verwendung Ihrer Daten zum Training von KI-Modellen

Wir nutzen die OpenAI-API mit den Standard-API-Geschäftsbedingungen. Diese sehen ausdrücklich vor, dass die über die API übermittelten Inhalte nicht zum Training oder zur Verbesserung von OpenAI-Modellen verwendet werden („data submitted to the API is not used to train or improve OpenAI models"). Ihre Dokumente und Chat-Eingaben fließen damit nicht in die Trainingsdaten zukünftiger Modelle ein.

OpenAI bewahrt die API-Eingaben gemäß seinen Vorgaben zur Missbrauchserkennung für maximal 30 Tage auf und löscht sie anschließend automatisch, sofern keine gesetzliche Aufbewahrungspflicht besteht. Bei aktiviertem „Zero Data Retention" unterbleibt auch diese kurzzeitige Speicherung.

4.4 Rechtsgrundlage und Einwilligung

Rechtsgrundlage für die KI-gestützte Verarbeitung ist primär Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Die KI-Extraktion ist der zentrale Funktionsbestandteil unseres Dienstes, ohne den eine Bereitstellung nicht möglich wäre.

Zusätzlich holen wir beim ersten Login Ihre ausdrückliche Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO ein, in der wir transparent darüber informieren, dass Ihre Dokumente an OpenAI in den USA übermittelt werden. Diese Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie uns eine kurze Mitteilung an [email protected] schreiben. Der Widerruf führt dazu, dass die KI-Funktion deaktiviert und Ihr Konto auf Wunsch vollständig gelöscht wird, da der Dienst ohne KI-Funktionalität seinen wesentlichen Zweck verliert. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt vom Widerruf unberührt.

4.5 Keine automatisierte Entscheidung im Sinne von Art. 22 DSGVO

Die KI-gestützte Extraktion ist rein assistiv und dient ausschließlich der Erleichterung Ihrer eigenen Verwaltungsarbeit. Die Ergebnisse der Extraktion entfalten gegenüber Ihnen keine rechtliche Wirkung und beeinträchtigen Sie auch nicht in ähnlich erheblicher Weise. Es findet daher keine automatisierte Entscheidung im Einzelfall im Sinne von Art. 22 Abs. 1 DSGVO statt. Sämtliche durch die KI erkannten Daten werden Ihnen zur Prüfung angezeigt; Sie können diese jederzeit korrigieren, ergänzen oder löschen.

5. Auftragsverarbeiter und Drittanbieter

Wir setzen für den Betrieb von Aktly verschiedene Dienstleister ein, die als Auftragsverarbeiter im Sinne von Art. 28 DSGVO für uns tätig sind. Mit jedem dieser Anbieter haben wir einen Auftragsverarbeitungsvertrag abgeschlossen. Eine Übermittlung in Drittländer (außerhalb des EWR) erfolgt ausschließlich unter den in Kapitel III DSGVO genannten Voraussetzungen.

5.1 Firebase Authentication (Google)

Anbieter: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA; in der EU vertreten durch die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.
Funktion: Verwaltung der Anmeldeinformationen, Ausstellung von ID-Tokens für die API-Authentifizierung, Unterstützung der Anmeldeprovider „E-Mail mit Einmalcode", „Sign in with Apple" und „Sign in with Google".
Drittlandstransfer: USA. Übermittlung auf Grundlage der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) sowie des EU-U.S. Data Privacy Framework (Google LLC ist nach DPF zertifiziert).
Weitere Informationen: policies.google.com/privacy.

5.2 OpenAI

Anbieter: OpenAI, L.L.C., 3180 18th Street, San Francisco, CA 94110, USA.
Funktion: KI-gestützte Extraktion strukturierter Daten aus hochgeladenen Dokumenten und Beantwortung von Fragen im Chat-Assistenten über die OpenAI-API (Modelle der GPT-Familie).
Drittlandstransfer: USA. Übermittlung auf Grundlage der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) und des EU-U.S. Data Privacy Framework.
Besonderheit: API-Eingaben werden nicht zum Training von Modellen verwendet (Zero-Training-Konfiguration gemäß OpenAI API-Bedingungen, vgl. Abschnitt 4.3).
Weitere Informationen: openai.com/policies/privacy-policy und openai.com/policies/business-terms.

5.3 Resend

Anbieter: Resend.com, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA.
Funktion: Versand und Empfang transaktionaler E-Mails, insbesondere Login-Einmalcodes, Fälligkeitserinnerungen und der Posteingang an <alias>@aktly.app.
Drittlandstransfer: USA. Übermittlung auf Grundlage der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).
Weitere Informationen: resend.com/legal/privacy-policy.

5.4 Apple

Anbieter: Apple Inc., One Apple Park Way, Cupertino, CA 95014, USA; in der EU vertreten durch die Apple Distribution International Ltd., Hollyhill Industrial Estate, Hollyhill, Cork, Irland.
Funktion: Anmeldung mit „Sign in with Apple", Versand von Push-Benachrichtigungen über den Apple Push Notification Service (APNs), Bereitstellung und Verteilung der iOS-App über den App Store bzw. TestFlight.
Drittlandstransfer: USA. Übermittlung auf Grundlage der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) sowie des EU-U.S. Data Privacy Framework.
Weitere Informationen: apple.com/legal/privacy.

5.5 Google Ireland Limited (Sign in with Google)

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland, gemeinsam mit der Google LLC, USA.
Funktion: Bereitstellung der Anmeldemethode „Sign in with Google" (OAuth 2.0 / OpenID Connect).
Drittlandstransfer: Soweit ein Transfer in die USA stattfindet, erfolgt dieser auf Grundlage der EU-Standardvertragsklauseln und des EU-U.S. Data Privacy Framework.
Weitere Informationen: policies.google.com/privacy.

5.6 Hetzner Online GmbH (Hosting)

Anbieter: Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen, Deutschland.
Funktion: Hosting der Server, Speicherung der hochgeladenen Dokumente und Datenbanken in einem Rechenzentrum in Deutschland.
Drittlandstransfer: Keiner. Die Verarbeitung findet ausschließlich innerhalb der Europäischen Union statt.
Weitere Informationen: hetzner.com/de/rechtliches/datenschutz.

6. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Verarbeitungszwecke erforderlich ist oder soweit dies durch gesetzliche Aufbewahrungspflichten vorgegeben ist.

  • Account-Daten und Inhalte: werden für die Dauer des bestehenden Nutzungsverhältnisses gespeichert. Nach Löschung Ihres Kontos werden alle zugehörigen Inhalte (Dokumente, extrahierte Metadaten, Chat-Verläufe, Push-Tokens, E-Mail-Aliase) unverzüglich aus den produktiven Systemen entfernt.
  • Backup-Aufbewahrung: Aus den verschlüsselten technischen Backup-Beständen werden gelöschte Daten spätestens nach 30 Tagen endgültig entfernt.
  • Server-Logdaten: werden nach maximal 14 Tagen automatisch gelöscht, sofern keine konkreten Anhaltspunkte für einen Sicherheitsvorfall vorliegen.
  • E-Mail-Logs bei Resend: werden gemäß den Standardvorgaben des Anbieters für höchstens 30 Tage aufbewahrt.
  • Daten bei OpenAI: werden gemäß OpenAI-API-Bedingungen für maximal 30 Tage zu Zwecken der Missbrauchskontrolle aufbewahrt und danach automatisch gelöscht; sie fließen nicht in Trainingsdaten ein.
  • Gesetzliche Aufbewahrungspflichten: Soweit auf einzelne Datenbestände gesetzliche Aufbewahrungsfristen aus dem Handelsgesetzbuch (§ 257 HGB) oder der Abgabenordnung (§ 147 AO) anwendbar sind (z. B. bei Abrechnungsbelegen über kostenpflichtige Dienste), werden die betreffenden Daten für die gesetzlich vorgeschriebene Dauer (regelmäßig 6 bzw. 10 Jahre) in eingeschränkter Form aufbewahrt und nach Ablauf der Frist gelöscht.

7. Rechte der betroffenen Person

Als betroffene Person stehen Ihnen nach der DSGVO umfangreiche Rechte zu, die Sie uns gegenüber jederzeit unentgeltlich geltend machen können.

7.1 Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob wir personenbezogene Daten über Sie verarbeiten. Liegt eine solche Verarbeitung vor, können Sie Auskunft über die verarbeiteten Daten und deren wesentliche Eigenschaften (Verarbeitungszwecke, Kategorien, Empfänger, geplante Speicherdauer u.a.) verlangen sowie auf Anforderung eine Kopie der Daten erhalten.

7.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, die unverzügliche Berichtigung Sie betreffender unrichtiger Daten und die Vervollständigung unvollständiger Daten zu verlangen. In Aktly können Sie alle Metadaten zu Ihren Dokumenten zudem direkt in der App korrigieren.

7.3 Recht auf Löschung („Recht auf Vergessenwerden", Art. 17 DSGVO)

Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, wenn die Voraussetzungen des Art. 17 Abs. 1 DSGVO erfüllt sind. Sie können Ihr Konto jederzeit über die App-Einstellungen oder durch eine kurze Nachricht an [email protected] vollständig löschen lassen.

7.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, eine Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, wenn eine der Voraussetzungen des Art. 18 Abs. 1 DSGVO erfüllt ist (z. B. wenn Sie die Richtigkeit Ihrer Daten bestreiten oder die Verarbeitung unrechtmäßig ist).

7.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder diese Daten an einen anderen Verantwortlichen übertragen zu lassen.

7.6 Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die auf der Grundlage von Art. 6 Abs. 1 lit. e oder lit. f DSGVO erfolgt, Widerspruch einzulegen.

7.7 Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO)

Soweit die Verarbeitung Ihrer personenbezogenen Daten auf einer von Ihnen erteilten Einwilligung beruht (insbesondere die ausdrückliche Einwilligung zur KI-Verarbeitung gemäß Abschnitt 4.4), haben Sie das Recht, diese Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen. Durch den Widerruf wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

7.8 Beschwerderecht bei der Aufsichtsbehörde (Art. 77 DSGVO)

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, zu, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.

Für den Sitz des Verantwortlichen in Bayern ist die zuständige Aufsichtsbehörde:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
Telefon: +49 (0) 981 180093-0
E-Mail: [email protected]
Internet: www.lda.bayern.de

8. Datensicherheit

Wir treffen geeignete technische und organisatorische Maßnahmen, um die Sicherheit Ihrer personenbezogenen Daten zu gewährleisten und sie vor unbeabsichtigter oder unrechtmäßiger Vernichtung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugriff zu schützen (Art. 32 DSGVO). Dazu zählen insbesondere:

  • Verschlüsselte Übertragung sämtlicher Daten zwischen Endgerät und Server über TLS 1.2/1.3 (HTTPS).
  • Authentifizierung sämtlicher API-Zugriffe über Firebase ID Tokens mit serverseitiger Token-Verifikation.
  • Eine Authentifizierungs-Middleware blockiert sämtliche nicht-authentifizierten Zugriffe auf geschützte Endpunkte serverseitig.
  • Hosting in einem ISO-27001-zertifizierten Rechenzentrum in Deutschland.
  • Sichere Speicherung der Anmeldedaten in der iOS-App im iOS-Keychain mit dem Schutzgrad kSecAttrAccessibleAfterFirstUnlockThisDeviceOnly; die Zugangsdaten sind hardwaregebunden, verlassen das Gerät nie und sind auch nach Backup-Restore auf einem anderen Gerät nicht wiederherstellbar.
  • Trennung der Daten verschiedener Nutzerinnen und Nutzer auf Verzeichnisebene; pro Konto existiert ein separates Verzeichnis, dem serverseitig nur das jeweilige authentifizierte Token zugeordnet ist.
  • Regelmäßige Aktualisierung der eingesetzten Softwarekomponenten, Frameworks und Abhängigkeiten.

Trotz dieser Maßnahmen kann eine absolute Sicherheit bei der Datenübertragung im Internet nicht garantiert werden. Jeder Nutzer ist deshalb angehalten, seinen Zugang (insbesondere das Endgerät und das E-Mail-Konto) durch geeignete eigene Maßnahmen vor unbefugtem Zugriff zu schützen.

9. Cookies und ähnliche Technologien

Die native iOS-App von Aktly verwendet keine Cookies. Die Speicherung von Anmeldedaten erfolgt ausschließlich im iOS-Keychain (siehe Abschnitt 8).

Auf unserer Webseite kommt ausschließlich ein technisch notwendiges Session-Cookie namens dt_auth zum Einsatz, das ausschließlich der Speicherung des Anmeldestatus während einer Sitzung dient. Dieses Cookie ist:

  • für den Betrieb der Webseite zwingend erforderlich,
  • ausschließlich auf den Server aktly.app beschränkt (First-Party),
  • mit den Attributen HttpOnly, Secure und SameSite=Strict versehen,
  • spätestens mit dem Schließen der Sitzung bzw. nach Ablauf seiner Gültigkeitsdauer automatisch verworfen.

Da es sich um ein für die Funktion der Webseite unbedingt erforderliches Cookie handelt, ist gemäß § 25 Abs. 2 Nr. 2 TDDDG keine Einwilligung erforderlich. Rechtsgrundlage der Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO.

Wir setzen keine Marketing-Cookies, keine Tracking-Cookies, keine Web-Analytics-Dienste (wie Google Analytics, Matomo, Plausible oder ähnliche) und keine Drittanbieter-Cookies ein. Eine plattformübergreifende Analyse des Nutzerverhaltens findet nicht statt.

10. Push-Benachrichtigungen

Aktly versendet Push-Benachrichtigungen über den Apple Push Notification Service (APNs), um Sie an bevorstehende Fälligkeiten Ihrer Dokumente zu erinnern. Solche Benachrichtigungen werden nur dann gesendet, wenn Sie die entsprechende Berechtigung in iOS aktiv erteilt haben (Opt-in).

Sie können die Push-Berechtigung jederzeit in den iOS-Systemeinstellungen unter „Mitteilungen" → „Aktly" deaktivieren. Innerhalb der App können Sie zusätzlich pro Dokument festlegen, ob und wann Sie an dessen Fälligkeit erinnert werden möchten.

Inhalte und Zeitpunkt der Benachrichtigungen werden serverseitig auf Basis Ihrer extrahierten Dokumentmetadaten zusammengestellt; der reine Push-Versand selbst erfolgt über Apple, wobei der eigentliche Mitteilungsinhalt verschlüsselt über die APNs-Infrastruktur an Ihr Gerät zugestellt wird.

11. Übermittlung in Drittländer

Eine Übermittlung personenbezogener Daten an Empfänger außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums findet nur in dem in dieser Datenschutzerklärung beschriebenen Umfang statt, insbesondere im Zusammenhang mit dem Einsatz der in Abschnitt 5 genannten US-Dienstleister (Firebase / Google, OpenAI, Resend, Apple).

Soweit es sich um Anbieter aus den Vereinigten Staaten handelt, stützen wir die Übermittlung auf:

  • den Angemessenheitsbeschluss der Europäischen Kommission zum EU-U.S. Data Privacy Framework gemäß Art. 45 Abs. 3 DSGVO, soweit der jeweilige Anbieter zertifiziert ist; und/oder
  • die von der Europäischen Kommission verabschiedeten Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO, ergänzt um geeignete zusätzliche technische und organisatorische Maßnahmen (z. B. Transportverschlüsselung, eingeschränkte Datenmengen, Zero-Training-Konfiguration).

Eine Kopie der Standardvertragsklauseln stellen wir Ihnen auf Anfrage an [email protected] gerne zur Verfügung.

12. Kein Profiling, keine Werbung, kein Datenverkauf

Wir möchten klar herausstellen, dass Aktly konsequent nutzerorientiert gestaltet ist:

  • Wir betreiben kein Tracking und kein Web-Analytics. Es werden keine Heatmaps, Funnel-Analysen oder ähnliche Verhaltensbeobachtungen durchgeführt.
  • Wir erstellen kein Profil über Sie und nehmen kein Profiling im Sinne von Art. 4 Nr. 4 DSGVO vor.
  • Wir zeigen Ihnen keine Werbung und integrieren keine Werbenetzwerke.
  • Wir verkaufen Ihre Daten nicht an Dritte und geben sie auch nicht zu Werbe- oder Marketingzwecken an Dritte weiter.

13. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich rechtliche Rahmenbedingungen, der Funktionsumfang von Aktly oder die eingesetzten Verarbeitungsverfahren ändern. Es gilt jeweils die zum Zeitpunkt Ihrer Nutzung aktuelle, auf dieser Seite einsehbare Fassung.

Über wesentliche Änderungen (insbesondere solche, die neue Verarbeitungszwecke oder neue Drittempfänger betreffen) informieren wir Sie über einen entsprechenden Hinweis im App-Consent-Bildschirm beim nächsten Login bzw. per E-Mail an Ihre hinterlegte Adresse. Soweit für eine Verarbeitung Ihre Einwilligung erforderlich ist oder wird, holen wir diese gesondert ein.

Frühere Fassungen dieser Datenschutzerklärung können Sie jederzeit per E-Mail bei uns anfordern.

14. Kontakt

Bei Fragen zum Datenschutz, zur Ausübung Ihrer Betroffenenrechte oder zum Widerruf erteilter Einwilligungen wenden Sie sich bitte an:

Kaan AI Engineering
Kaan Can Götürmen
Gilardi str. 15a
90584 Allersberg
Deutschland
Telefon: +49 151 42012526
E-Mail: [email protected]

Wir bearbeiten Anfragen zum Datenschutz so schnell wie möglich, regelmäßig innerhalb der gesetzlichen Frist von einem Monat (Art. 12 Abs. 3 DSGVO). Bei besonders umfangreichen oder komplexen Anfragen kann sich diese Frist um bis zu zwei weitere Monate verlängern; in diesem Fall informieren wir Sie hierüber gesondert.

Stand: 25. Mai 2026 · Version 1.0← Zurück