Datenschutzerklaerung

Version 2.2 • Zuletzt aktualisiert: 4. April 2026 • Luxemburg, EU

1. Verantwortliche Stelle

Im Sinne der Datenschutz-Grundverordnung (DSGVO) ist die verantwortliche Stelle:

Pupin Labs
62 Rue Marie-Adelaide
2128, Luxemburg, Luxemburg
Email: [email protected]

PrivateNote.ai ist nicht fuer Nutzer unter 16 Jahren bestimmt. Wir erheben wissentlich keine personenbezogenen Daten von Kindern.

2. Optionale KI (auf dem Geraet)

PrivateNote.ai kann optionale KI-gestuetzte Funktionen zum Entwerfen oder Bearbeiten in Ihrem Browser anbieten (z. B. ueber eine lokale Modelllaufzeit). Bitte lesen Sie diesen Abschnitt sorgfaeltig:

  • Ort der Verarbeitung: Bei diesen Funktionen werden die Inhalte, die Sie an den Assistenten senden, auf Ihrem Geraet verarbeitet. Sie werden nicht zur KI-Inferenz an Server von PrivateNote.ai uebermittelt. Die Ende-zu-Ende-Verschluesselung gespeicherter Notizen bleibt unveraendert; Klartext befindet sich nur waehrend der Nutzung im Browser.
  • Netzwerkaktivitaet: Ihr Browser kann weiterhin Drittanbieter-Hosts kontaktieren, um Modell-Dateien oder Abhaengigkeiten herunterzuladen (z. B. CDN oder Modell-Registry). Diese Anfragen unterliegen den Richtlinien dieser Betreiber und Ihren Browser-Einstellungen.

Wenn Sie KI-Funktionen nicht nutzen, koennen Sie Standardnotizen erstellen, die clientseitig verschluesselt gespeichert werden und nicht durch den On-Device-Assistenten verarbeitet werden.

Aufteilung der Rechtsgrundlagen: Die Verarbeitung von Texten in optionalen On-Device-KI-Funktionen erfolgt auf Basis Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), wenn Sie diese aktiv nutzen. Sicherheitsmetadaten fuer Missbrauchsschutz und Dienstsicherheit verarbeiten wir auf Basis berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO).

3. Welche Daten wir erheben und warum

Verschluesselte Notizen (gespeicherte Daten)

Notizen werden in einem verschluesselten Format gespeichert, das wir nicht lesen koennen. Notizen werden je nach Ihren Einstellungen bei Ablauf oder nach dem Abruf automatisch geloescht.

Technische Metadaten (Verkehrsdaten)

IP-Adressen, Geraete- und Anfrage-Metadaten koennen von unseren Infrastrukturanbietern (z. B. Cloudflare) zu Sicherheitszwecken, DDoS-Schutz, Missbrauchspraevention und Rate-Limiting verarbeitet werden (Art. 6 Abs. 1 lit. f DSGVO).

Sicherheitsbezogene Metadaten werden nur so lange gespeichert, wie es fuer die Sicherheit des Dienstes und die Missbrauchspraevention erforderlich ist, typischerweise fuer einen begrenzten Zeitraum von Tagen bis Wochen; danach werden sie automatisch geloescht oder anonymisiert.

First-Party Rate-Limit-Cookie (pn_client_id)

Unsere API kann ein kleines First-Party-HttpOnly-Cookie mit dem Namen pn_client_id setzen. Es enthaelt eine zufaellige Kennung, die ausschliesslich zur Trennung von Missbrauchs- und Rate-Limit-Kontingenten verwendet wird-besonders in Netzwerken mit gemeinsamer oeffentlicher IP (z. B. Schulen oder Bueros). Wenn Ihre IP fuer unsere Infrastruktur verfuegbar ist, kombinieren wir IP und dieses Cookie fuer die Zaehllogik; wir verwenden es nicht fuer Werbung, Profiling oder Analytics. Das Cookie wird mit einer Laufzeit von ca. 30 Tagen erneuert; Sie koennen es jederzeit im Browser loeschen (beim naechsten Besuch kann eine neue Kennung entstehen). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO- berechtigte Interessen am sicheren und missbrauchsresistenten Betrieb des Dienstes.

Support-Kommunikation (wenn Sie uns kontaktieren)

Wenn Sie unseren Support oder unsere Rechtskontakte per E-Mail kontaktieren, verarbeiten wir die von Ihnen bereitgestellten Informationen ausschliesslich zur Beantwortung Ihrer Anfrage (Art. 6 Abs. 1 lit. b und/oder Art. 6 Abs. 1 lit. f DSGVO).

Rechtsgrundlagen nach Verarbeitungszweck

  • Optionale On-Device-KI-Textverarbeitung: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
  • Sicherheit, Missbrauchspraevention, Rate-Limiting und Netzwerkschutz-Metadaten: Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen).
  • Von Ihnen initiierte Support-/Rechtskommunikation: Art. 6 Abs. 1 lit. b und/oder Art. 6 Abs. 1 lit. f DSGVO.

Aufbewahrungsfristen (Datenminimierung)

  • Verschluesselte Notizinhalte: Speicherung bis Ablauf bzw. bis die Einmal-Lese-Einstellungen die Loeschung ausloesen.
  • Sicherheitsmetadaten (IP-/Request-Anti-Abuse-Logs): Aufbewahrung bis zu 30 Tage, danach Loeschung oder Anonymisierung.
  • Rate-Limit-Cookie (pn_client_id): etwa 30 Tage ab letzter Erneuerung.
  • Support-/Rechts-E-Mails: Aufbewahrung bis zu 24 Monate nach Abschluss, sofern keine laengere gesetzliche Pflicht besteht.

4. Internationale Datentransfers

Als in Luxemburg ansaessiger Dienst priorisieren wir die Verarbeitung in der EU. Je nach Ihrem Standort und Routing der Infrastruktur koennen jedoch bestimmte technische Daten ausserhalb der EU verarbeitet werden:

Auftragsverarbeiter und Rollen

Wir nutzen Auftragsverarbeiter zur Bereitstellung und Absicherung des Dienstes. Die genaue Rolle richtet sich nach dem Verarbeitungskontext.

  • Cloudflare: Auftragsverarbeiter fuer Hosting, CDN-Auslieferung und Edge-Sicherheit; kann technische Anfrage-Metadaten verarbeiten.
  • Modell-/CDN-Anbieter im Browser: eigenstaendige Anbieter, die nur beim Abruf optionaler On-Device-KI-Assets kontaktiert werden.
  • Soweit erforderlich bestehen Auftragsverarbeitungsvertraege; bei Drittlanduebermittlungen nutzen wir SCC-basierte Schutzmechanismen.
  • Cloudflare: wird fuer globale Auslieferung und Sicherheit genutzt. Daten koennen im globalen Netzwerk von Cloudflare verarbeitet werden.
  • On-Device-KI: wenn Sie optionale KI im Browser verwenden, koennen Modell-Dateien ueber global verteilte CDNs oder Hosts ausserhalb der EU geladen werden, je nachdem, wie Ihr Browser sie abruft.

Soweit fuer Uebermittlungen ausserhalb des EWR erforderlich, stuetzen wir uns auf von der Europaeischen Kommission genehmigte Standardvertragsklauseln (SCCs) und/oder andere geeignete Garantien, um ein hohes Datenschutzniveau sicherzustellen.

5. Ihre DSGVO-Rechte

Nach der DSGVO haben Sie Rechte auf Auskunft, Berichtigung, Loeschung, Einschraenkung, Datenuebertragbarkeit und Widerspruch.

Auskunftsrecht
Recht auf Berichtigung
Recht auf Loeschung
Recht auf Einschraenkung der Verarbeitung
Recht auf Datenuebertragbarkeit
Widerspruchsrecht

Wir beantworten verifizierte DSGVO-Anfragen innerhalb eines Monats (Art. 12 Abs. 3 DSGVO). Bei komplexen Anfragen kann diese Frist um bis zu zwei weitere Monate verlaengert werden; darueber informieren wir Sie. Zum Schutz vor unbefugter Offenlegung koennen wir Verifikationsangaben anfordern (z. B. betreffende Notiz-URL und von Ihnen bereitgestellte Kontextdaten).

Zur Ausuebung dieser Rechte kontaktieren Sie [email protected]. Da wir keine Benutzerkonten verwenden, koennen wir die konkrete Notiz-URL (oder andere von Ihnen bereitgestellte Informationen) benoetigen, um relevante Daten zu Ihrem Anliegen zuzuordnen.

6. Sicherheitsgrenzen

Wir verwenden moderne Kryptografie (z. B. AES-GCM) und Sicherheitskontrollen (z. B. strenge Content-Security-Policy-Header), um den Dienst zu schuetzen. Dennoch ist kein System zu 100% sicher. Optionale On-Device-KI laeuft in Ihrem Browser und kann Assets aus Drittanbieter-Netzwerken laden; Nutzer mit maximalen Vertraulichkeitsanforderungen koennen die normale clientseitig verschluesselte Notizerstellung ohne KI-Funktionen verwenden.

Sie haben das Recht, bei der luxemburgischen Datenschutzbehoerde (CNPD - Commission Nationale pour la Protection des Donnees) Beschwerde einzureichen.

[email protected]