Datenschutzerklärung
Stand: Juni 2026
Version 1.2
Der Schutz Ihrer persönlichen Daten ist uns wichtig. Diese Datenschutzerklärung informiert Sie über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten.
🏢Verantwortlicher
📊Übersicht der Datenverarbeitung
Wir verarbeiten folgende Kategorien personenbezogener Daten:
- Authentifizierungsdaten (E-Mail, Name via Google OAuth)
- Erstellte Buchinhalte, Prompts, Whiteboard-Konversationen
- Zahlungsdaten (über Lemon Squeezy)
- Technische Daten (IP-Adresse bei Vertragsabschlüssen)
Hinweis: Bitte geben Sie keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) wie Gesundheitsdaten, politische Meinungen oder religiöse Überzeugungen in Ihre Buchinhalte ein.
⚖️Rechtsgrundlagen (Art. 6 DSGVO)
- •Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung (Buchgenerierung, Credit-System)
- •Art. 6 Abs. 1 lit. a DSGVO – Einwilligung (Google OAuth)
- •Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse (Sicherheit, Beweissicherung)
🤖KI-Verarbeitung (Google Vertex AI & AWS Bedrock)
Ihr Datenschutzvorteil bei Scribomate
Zur Bereitstellung der KI-gestützten Buchgenerierung nutzen wir Google Vertex AI und AWS Bedrock als Auftragsverarbeiter:
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
🔐Authentifizierung (Google OAuth)
Bei der Anmeldung mit Google werden folgende Daten erfasst:
- E-Mail-Adresse
- Name (Anzeigename)
- Google User ID
📚Bucherstellung und Speicherung
Ihre erstellten Bücher und Inhalte werden an zwei Orten gespeichert:
- Buchinhalte, Sections, Metadaten → Supabase (EU-West-1, Irland)
- Datenbank-Speicherort: EU (Irland). Medien: im Google-Konto des Nutzers
- Rechtsgrundlage: Vertragserfüllung, DPA mit Supabase und Google vorhanden
Mediendateien (Bilder, Audio, Video, PDF/EPUB) werden in Ihrem persönlichen Google Drive gespeichert. Für diese Dateien sind Sie selbst verantwortlich (Data Controller). Scribomate verarbeitet diese Daten ausschließlich in Ihrem Auftrag im Rahmen der Diensterbringung (Art. 28 DSGVO). Die Einwilligung zur Google Drive-Nutzung erfolgt über den Google OAuth-Consent-Screen bei der Anmeldung.
Sie können die Google Drive-Berechtigung jederzeit in Ihren Google-Kontoeinstellungen widerrufen (myaccount.google.com/permissions). Bitte beachten Sie, dass der Dienst danach nicht mehr vollständig nutzbar ist.
Bei Kontolöschung werden Ihre Daten auf unseren Servern gelöscht. Ihre Mediendateien im Google Drive-Ordner "Scribomate" bleiben erhalten und können jederzeit von Ihnen selbst gelöscht werden.
📝Whiteboard-Konversationen
Temporäre Speicherung Ihrer Brainstorming-Sessions zur Fortsetzung. Löschung jederzeit durch Sie möglich. Nicht für KI-Training verwendet.
🔊Text-to-Speech (Audio-Generierung)
Für die Umwandlung von Buch-Sektionen in Audio nutzen wir Google-Dienste:
- Anbieter: Google Cloud TTS und Google Vertex AI (Gemini TTS)
- Serverstandort: Die aktuell genutzte Stimme (Gemini 3.1 Flash TTS) wird über Google Vertex AI in den USA verarbeitet — das Modell ist derzeit in keiner EU-Region verfügbar. Die Übermittlung in die USA stützt sich auf das EU-US Data Privacy Framework (Google ist DPF-zertifiziert) und das Google Cloud DPA; es erfolgt kein Training und keine dauerhafte Speicherung der Inhalte beim Anbieter. (Die EU-basierte Google Cloud TTS ist derzeit nicht aktiv.)
- Audio-Exporte werden dauerhaft im Google Drive des Nutzers gespeichert. Es gibt kein automatisches Ablaufdatum — Sie verwalten Ihre Dateien selbst.
- Sie haben jederzeit Zugriff auf Ihre Audio-Dateien über Ihr Google Drive
🎨Text-to-Image (Illustration)
Für die Generierung von Illustrationen nutzen wir Google Vertex AI und Microsoft Foundry (Azure):
- Anbieter: Google Vertex AI (Gemini 2.5 Flash Image, Standard-Default) und Microsoft Foundry / Azure (FLUX.2 [pro], optional im Modell-Selector wählbar)
- Serverstandort: Google Vertex AI primär EU-Regionen mit automatischer Region-Rotation (bei Auslastung Fallback auf andere Google-Cloud-Regionen, stets Enterprise DPA und Zero Training). FLUX.2 über Microsoft Foundry läuft als DataZoneStandard-Deployment in der EU-Region Frankfurt (germanywestcentral) unter dem Microsoft DPA — Verarbeitung innerhalb der EU Data Boundary, kein Training, keine Weitergabe an den Modellanbieter.
- Generierte Bilder werden dauerhaft im Google Drive des Nutzers gespeichert. Es gibt kein automatisches Ablaufdatum — Sie verwalten Ihre Dateien selbst.
- Sie haben jederzeit Zugriff auf Ihre Illustrationen über Ihr Google Drive
🔍Keyword-Marktforschung (SEO-Empfehlungen)
Scribomate analysiert öffentlich zugängliche Keyword-Daten von YouTube, Spotify und Apple Books, um datengestützte Empfehlungen für SEO-Titel, -Tags und -Beschreibungen zu generieren. Unser Server sendet dabei anonyme Suchanfragen an die Autocomplete-APIs der genannten Plattformen — Ihr Browser ist nicht beteiligt und Ihre IP-Adresse wird nicht weitergeleitet.
- Serveranfragen: Unser Server (nicht Ihr Browser) sendet anonyme Keyword-Anfragen
- Kein Personenbezug: Ergebnisse werden ohne Verknüpfung zu Ihrem Konto gespeichert
- Empfänger: Google LLC (YouTube, USA), Spotify AB (EU), Apple Inc. (iTunes, USA)
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an SEO-Empfehlungen)
💳Zahlungsabwicklung (Lemon Squeezy)
Für die Zahlungsabwicklung nutzen wir Lemon Squeezy als Merchant of Record:
- Verarbeitete Daten: Zahlungsdaten (Kreditkarte etc.)
- Empfänger: Lemon Squeezy (Lemonsqueezy, LLC, USA)
- Rechtsgrundlage: DPF-Zertifizierung für USA-Datentransfer
🍪Cookies und lokale Speicherung
Wir verwenden ausschließlich technisch notwendige Cookies und lokale Speicherung:
- Session-Cookies für die Authentifizierung (Supabase Auth)
- Spracheinstellungen (LocalStorage)
- Auto-Save Einstellungen (LocalStorage)
🛡️Missbrauchsschutz (Rate Limiting)
Zum Schutz unserer Systeme vor Missbrauch verarbeiten wir temporär:
- IP-Adresse (nur bei nicht-eingeloggten Nutzern)
- ODER Ihre User-ID (nur bei eingeloggten Nutzern)
- Request-Zähler
Wichtig: IP-Adresse und User-ID werden NIE zusammen gespeichert – eine Zuordnung ist nicht möglich.
Speicherung: Nur im Arbeitsspeicher (RAM), keine Datenbank. Maximale Speicherdauer: 20 Minuten. Bei Server-Neustart sofortige Löschung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Systemsicherheit)
🤝Auftragsverarbeiter
| Railway – Hosting (Webserver) – EU – DPA vorhanden (via ToS) |
| Supabase – Datenbank – EU (Irland) – DPA vorhanden |
| Google Ireland Ltd. – Medienspeicherung (Google Drive des Nutzers, Nutzer ist Verantwortlicher) – EU (Irland) – Einwilligung via OAuth |
| Google Vertex AI – KI-Generierung (LLM) – EU / Global – DPA verfügbar |
| AWS Bedrock – KI-Generierung (LLM) – EU (Stockholm / Frankfurt) – DPA vorhanden (AWS Service Terms) |
| Google Cloud TTS – Text-to-Speech – EU – DPA verfügbar |
| Google Vertex AI – Bildgenerierung (TTI) – EU / Global – DPA verfügbar |
| Microsoft Foundry (Azure) – Bildgenerierung (TTI, FLUX.2) – EU (Frankfurt, DataZoneStandard) – Microsoft DPA, kein Training |
| Google Vertex AI – Audio-Generierung (Gemini TTS) – US – DPA verfügbar |
| Google LLC (YouTube) – Keyword-Marktforschung (anonyme Autocomplete-Anfragen) – USA – keine personenbezogenen Daten |
| Spotify AB – Keyword-Marktforschung (anonyme Autocomplete-Anfragen) – EU – keine personenbezogenen Daten |
| Apple Inc. (iTunes) – Keyword-Marktforschung (anonyme Autocomplete-Anfragen) – USA – keine personenbezogenen Daten |
🌐Drittstaatenübermittlung
Folgende Dienste übermitteln Daten in die USA, sind aber DPF-zertifiziert (Data Privacy Framework):
- Google OAuth – DPF-zertifiziert
- Lemon Squeezy – DPF-zertifiziert
KI-Verarbeitung über Google Vertex AI erfolgt teilweise in der EU, teilweise in anderen Google-Cloud-Regionen — stets unter Googles Enterprise DPA mit Zero Training und Zero Retention Garantien. Die KI-Textgenerierung über AWS Bedrock wird innerhalb von EU-Regionen (Stockholm / Frankfurt) unter den AWS Service Terms inkl. EU-SCCs verarbeitet.
⏱️Speicherdauer
- Kontodaten: Bis zur Löschung des Kontos
- Buchinhalte: Solange Ihr Konto aktiv ist
- Whiteboard-Konversationen: Bis Sie diese löschen
- Mediendateien (Google Drive): Dauerhaft in Ihrem Google Drive — von Ihnen selbst verwaltbar
- Nach Kontolöschung: Persönliche Daten innerhalb 30 Tagen entfernt
- Vertragsnachweise (E-Mail-Snapshot, Consent-Records): 8 Jahre (§ 147 AO ab 2025)
📋Speicherung von Vertragsnachweisen
Beim Akzeptieren unserer AGB und bei Käufen speichern wir zu Nachweiszwecken:
- Zeitpunkt der Akzeptanz/des Kaufs
- Version der akzeptierten AGB
- Ihre E-Mail-Adresse zum Zeitpunkt der Aktion
- Ihre IP-Adresse
- Den exakten Wortlaut Ihrer Zustimmungserklärung
Diese Daten bleiben auch nach Löschung Ihres Kontos erhalten, da sie zur Erfüllung rechtlicher Verpflichtungen und zur Geltendmachung oder Abwehr von Rechtsansprüchen erforderlich sind.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Beweissicherung), Art. 17 Abs. 3 lit. b, e DSGVO (Ausnahme von Löschpflicht)
Speicherdauer: 8 Jahre ab Vertragsende
Begründung: Steuerliche Aufbewahrungspflicht nach § 147 AO (8 Jahre ab 2025). IP-Adressen werden nach 6 Monaten gelöscht.
🔒Datensicherheit
- Verschlüsselung: TLS für Übertragung, AES für Speicherung
- Zugriffskontrolle: Row Level Security (Supabase)
- Keine Weitergabe an Dritte außer den genannten Auftragsverarbeitern
Ihre Rechte (Art. 15-22 DSGVO)
Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:
⚠️Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren:
Zuständige Aufsichtsbehörde:
📝Änderungen dieser Erklärung
Das Datum der letzten Aktualisierung wird oben angezeigt. Bei wesentlichen Änderungen informieren wir Sie in der App.
End of Privacy Policy • Scribomate Trust Framework