Datenschutzerklärung

Stand: Juni 2026 · SmartAgent – Yannick Strothteicher, Harsewinkel

✓ Deine Daten werden nicht verkauft und nicht für Werbung genutzt. SmartAgent ist ein reines Produktivitätswerkzeug.

1. Verantwortlicher

Yannick Strothteicher (SmartAgent)
Weimarer Str. 14, 33428 Harsewinkel
E-Mail: SmartAgentHQ@gmail.com

2. Google-Daten – was wir lesen und warum

2.1 Anmeldung (Google OAuth)

Für die Anmeldung nutzen wir Google OAuth 2.0. Dabei erhalten wir einmalig:

E-Mail-Adresse – zur Kontoidentifikation
Anzeigename – für die Anzeige im Dashboard
Profilbild-URL – für die Anzeige im Dashboard

Diese Daten werden dauerhaft gespeichert, solange das Konto besteht.

2.2 Gmail (E-Mails lesen)

SmartAgent benötigt Lesezugriff auf dein Gmail-Postfach (gmail.readonly), um E-Mails analysieren zu können. Konkret wird:

Der Betreff der E-Mail gelesen und dauerhaft als Analyseergebnis gespeichert
Die Absenderadresse gelesen und dauerhaft gespeichert
Das Empfangsdatum gelesen und dauerhaft gespeichert
Der vollständige E-Mail-Text zur Analyse temporär verarbeitet – er wird nicht dauerhaft in unserer Datenbank gespeichert
Anhänge werden, falls vorhanden, temporär ausgelesen und zur Analyse weitergeleitet – danach verworfen. Unterstützte Formate: PDF, Word (DOCX), Excel (XLSX, XLS), CSV, TXT
Die Thread-ID wird gespeichert, damit du die Original-E-Mail in Gmail öffnen kannst

Zweck: Kategorisierung, Priorisierung, Zusammenfassung, Erkennung von Aktionspunkten und Rechnungsdaten aus E-Mails.

📌 Wichtig: Der Volltext deiner E-Mails wird zur Analyse an die OpenAI API übertragen (→ Abschnitt 4). Wir speichern den Volltext selbst nicht dauerhaft. Gespeichert werden nur die KI-generierten Ergebnisse (Zusammenfassung, Kategorie, Antwortvorschlag usw.).

2.3 Google Calendar

SmartAgent kann Kalendertermine in deinem Google Calendar erstellen und löschen (calendar.events), wenn du dies explizit auslöst. Es werden keine Kalendereinträge automatisch oder ohne dein Zutun erstellt.

2.4 Gespeicherte OAuth-Token

Um in deinem Namen auf Gmail und Google Calendar zugreifen zu können, speichern wir einen verschlüsselten OAuth-Zugriffstoken. Dieser wird:

mit AES-256 (Fernet) verschlüsselt in der Datenbank gespeichert
nur verwendet, wenn du aktiv eine Analyse oder Kalenderfunktion ausführst oder wenn du die optionale automatische Analyse ausdrücklich aktiviert hast. Die automatische Analyse ist standardmäßig deaktiviert und kann jederzeit in den Einstellungen abgeschaltet werden.
niemals für automatische E-Mail-Aktionen ohne dein Zutun genutzt

3. Analyse-Ergebnisse – was dauerhaft gespeichert wird

Nach jeder Analyse werden folgende Ergebnisse gespeichert:

Betreff, Absender, Empfangsdatum der analysierten E-Mail
Kategorie(n), Priorität, Zusammenfassung (KI-generiert)
Antwortvorschlag (KI-generiert)
Erkannte Aktionspunkte, Rechnungsdaten (KI-generiert)
Ob ein Termin erkannt wurde und welche Termindaten
Ob die E-Mail als „erledigt" markiert wurde

Diese Ergebnisse kannst du jederzeit selbst löschen – einzeln oder per Konto-Löschung.

4. Weitergabe an KI-Dienstleister (OpenAI)

Die Analyse deiner E-Mails erfolgt über die OpenAI API (OpenAI, L.L.C., USA). Dafür werden temporär übermittelt:

Betreff der E-Mail
Absender der E-Mail
Volltext der E-Mail (und ggf. extrahierter Text aus Anhängen)

OpenAI verwendet über die API übermittelte Daten standardmäßig nicht zum Training oder zur Verbesserung seiner Modelle, sofern der Anbieter nicht ausdrücklich einer entsprechenden Datenfreigabe zustimmt. OpenAI kann API-Inhalte im Rahmen seiner standardmäßigen Missbrauchsüberwachung für einen begrenzten Zeitraum speichern. Weitere Einzelheiten ergeben sich aus den jeweils geltenden Datenverarbeitungsbedingungen von OpenAI: OpenAI Datenschutzrichtlinie

Für die Datenübermittlung in die USA bestehen Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO.

Du musst dieser KI-Verarbeitung explizit zustimmen, bevor du die erste Analyse startest. Deine Zustimmung wird mit Datum und Version gespeichert.

5. Weitere Dienstleister

5.1 Hetzner Online GmbH (Serverhosting)

Unser Server steht in Deutschland (Hetzner, Nürnberg/Falkenstein). Alle Daten bleiben damit innerhalb der EU. Hetzner ist ISO 27001 zertifiziert.

5.2 Google LLC (Authentifizierung und APIs)

Für Login, Gmail-Zugriff und Calendar gelten die Google Datenschutzbestimmungen.

Eine vollständige Liste aller Unterauftragsverarbeiter findest du unter /subunternehmer.

6. Google-Verbindung trennen

Du kannst die Verbindung zu Google jederzeit auf zwei Wegen trennen:

In SmartAgent: Einstellungen → „Google-Verbindung trennen" – löscht den gespeicherten OAuth-Token. Du bleibst abgemeldet und die App kann keine E-Mails mehr lesen, bis du dich neu verbindest.
Direkt bei Google: myaccount.google.com/permissions – hier kannst du SmartAgent den Zugriff komplett entziehen.

7. Deine Rechte (DSGVO)

Recht auf Löschung (Art. 17)

Du kannst dein Konto und alle gespeicherten Daten jederzeit selbst löschen: Einstellungen → „Konto löschen". Es werden gelöscht: alle Analysen, Kalendereinträge, Einstellungen, OAuth-Token, Benachrichtigungen, Nutzungslog und das Nutzerkonto selbst.

Recht auf Datenübertragbarkeit (Art. 20)

Du kannst alle deine gespeicherten Daten als ZIP-Archiv herunterladen: Einstellungen → „Meine Daten exportieren". Das Archiv enthält dein Profil, Einstellungen und alle Analyseergebnisse.

Weitere Rechte

Auskunft über gespeicherte Daten (Art. 15)
Berichtigung unrichtiger Daten (Art. 16)
Einschränkung der Verarbeitung (Art. 18)
Widerspruch gegen die Verarbeitung (Art. 21)

Anfragen bitte an: SmartAgentHQ@gmail.com

8. Einwilligungen und Versionierung

Vor der ersten Nutzung speichern wir:

Datum der AGB-Akzeptanz + Versionsstand
Datum des AVV-Abschlusses + Versionsstand (für Geschäftskunden)
Datum der KI-Einwilligung + Versionsstand

Wenn wir AGB oder AVV ändern, werden Kunden informiert und müssen erneut zustimmen.

9. Keine Werbung, kein Datenverkauf

✓ Deine Daten werden nicht an Dritte verkauft.
✓ Es findet kein Profiling für Werbezwecke statt.
✓ Deine E-Mail-Inhalte werden ausschließlich zur Erbringung des SmartAgent-Dienstes verarbeitet.

10. Cookies und Session

Wir verwenden ausschließlich technisch notwendige Cookies:

Session-Cookie – für die Anmeldung (signiert, HttpOnly, SameSite=Lax)
CSRF-Token – zum Schutz gegen Cross-Site-Request-Forgery

Es werden keine Tracking-, Analyse- oder Werbe-Cookies eingesetzt.

11. Datensicherheit

Technische Schutzmaßnahmen im Überblick:

Alle Verbindungen sind TLS 1.2/1.3 verschlüsselt (HTTPS)
OAuth-Token werden AES-256-verschlüsselt gespeichert
Rate-Limiting auf allen sensiblen Endpunkten
CSRF-Schutz auf allen Formularen
Server in Deutschland (EU-Datenschutzrecht anwendbar)

Vollständige Dokumentation: /sicherheit

12. Speicherdauer

Daten werden gespeichert, solange dein Konto aktiv ist. Nach Konto-Löschung werden alle personenbezogenen Daten sofort gelöscht. Analyse-Ergebnisse können von dir optional nach einer konfigurierbaren Anzahl von Tagen automatisch gelöscht werden (Einstellungen → Datenaufbewahrung).

13. Beschwerderecht

Du hast das Recht, eine Beschwerde bei der für dich zuständigen Datenschutz-Aufsichtsbehörde einzureichen. Für NRW: Landesbeauftragte für Datenschutz NRW.

14. Änderungen dieser Erklärung

Bei wesentlichen Änderungen werden Nutzer per E-Mail informiert. Die aktuelle Version ist immer unter /datenschutz verfügbar. Stand: Juni 2026.