Auftragswächter

Datenschutz

Datenschutzerklärung

Stand: 20. Mai 2026

Dokumentstand

Stand: 20. Mai 2026

Diese Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten bei der Nutzung von Auftragswächter, insbesondere der Website, des Dashboards, der mobilen App sowie der angebundenen E-Mail- und KI-Funktionen.

1. Verantwortlicher

Kurz & Reinl GbR
Jahnstraße 7A
90547 Stein
Deutschland

E-Mail: datenschutz@auftragswaechter.de

Ein Datenschutzbeauftragter ist derzeit nicht benannt, da nach aktuellem Stand keine gesetzliche Benennungspflicht besteht.

2. Geltungsbereich

Diese Datenschutzerklärung gilt für:

  • die Website von Auftragswächter,
  • das Auftragswächter-Dashboard,
  • die mobilen Apps für iOS und Android,
  • die Backend-API und die damit verbundenen Funktionen,
  • System-E-Mails, zum Beispiel Einladungen, E-Mail-Bestätigungen und Passwort-Zurücksetzungen.

3. Rollen nach Datenschutzrecht

Bei der Verarbeitung von Account-, Vertrags-, Nutzungs-, Support- und Abrechnungsdaten ist Auftragswächter Verantwortlicher im Sinne der DSGVO.

Soweit Auftragswächter E-Mail-Inhalte, E-Mail-Metadaten, Kundendaten, Gesprächsverläufe und daraus erzeugte KI-Auswertungen im Auftrag eines Kunden verarbeitet, handelt Auftragswächter als Auftragsverarbeiter. Für diese Verarbeitung wird ein separater Vertrag zur Auftragsverarbeitung bereitgestellt.

Der Kunde bleibt für die Rechtmäßigkeit der Verarbeitung der Inhalte seiner verbundenen Postfächer verantwortlich, insbesondere gegenüber eigenen Kunden, Interessenten, Lieferanten und Mitarbeitern.

4. Verarbeitete Datenkategorien

Je nach Nutzung können insbesondere folgende Daten verarbeitet werden:

  • Organisationsdaten, zum Beispiel Name der Organisation, Plan, Rollen und Mitgliedschaften,
  • Benutzerdaten, zum Beispiel Name, E-Mail-Adresse, Rolle, Einladungsstatus, E-Mail-Verifizierungsstatus,
  • Authentifizierungsdaten, zum Beispiel Passwort-Hash, Login-Token, Refresh-Token, Passwort-Zurücksetzungs-Token,
  • rechtliche Nachweise, zum Beispiel Zustimmung zu Nutzungsbedingungen, Kenntnisnahme der Datenschutzerklärung und Annahme des Auftragsverarbeitungsvertrags,
  • Postfachdaten, zum Beispiel E-Mail-Adresse, IMAP-/SMTP-Server, Ports, Benutzername und verschlüsselte Zugangsdaten,
  • E-Mail-Metadaten, zum Beispiel Absender, Empfänger, Betreff, Datum, Message-ID, Thread-Header und Importkennungen,
  • E-Mail-Inhalte der importierten Nachrichten,
  • Anhangs-Metadaten, zum Beispiel Dateiname, MIME-Typ, Größe und Zuordnung zur Nachricht,
  • Gesprächs- und Kontaktdaten, zum Beispiel Konversationstitel, Priorität, Status, Notizen, Telefonnummern, Adressen und erkannte Ansprechpartner,
  • KI-Auswertungen, zum Beispiel Zusammenfassungen, Priorität, Risiken, Fristen, nächster Schritt, Antwortvorschläge und Themenklassifizierung,
  • Feedbackdaten, wenn Nutzer Feedback im Dashboard oder in der App übermitteln,
  • technische Protokolldaten, zum Beispiel Zeitpunkte, IP-Adressen, Fehlermeldungen, Request-Metadaten und Systemereignisse.

5. Website

Beim Aufruf der Website werden technisch notwendige Daten verarbeitet, um die Website bereitzustellen, die Sicherheit zu gewährleisten und Fehler zu analysieren. Dazu können IP-Adresse, Zeitpunkt, aufgerufene URL, Browserinformationen und Serverantworten gehören.

Aktuell werden keine Marketing-Cookies, keine Tracking-Cookies und keine Webanalyse-Dienste wie Google Analytics eingesetzt. Sofern später Analyse- oder Marketingdienste eingebunden werden, wird diese Datenschutzerklärung entsprechend aktualisiert und, soweit erforderlich, eine Einwilligung eingeholt.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Das berechtigte Interesse liegt in der technischen Bereitstellung, Stabilität und Sicherheit der Website.

6. Registrierung, Login und Einladungen

Nutzer können sich registrieren, eine Organisation erstellen oder durch eine bestehende Organisation eingeladen werden. Dabei werden insbesondere Name, E-Mail-Adresse, Passwort-Hash, Rolle, Organisation und Einladungsstatus verarbeitet.

Bei der Registrierung und bei der Annahme einer Einladung müssen Nutzer die Nutzungsbedingungen akzeptieren und die Datenschutzerklärung zur Kenntnis nehmen. Die Annahme wird mit Zeitpunkt, Dokumentversion und Dokument-Hash gespeichert.

Einladungen werden per E-Mail versendet. Der eingeladene Nutzer legt beim Annehmen der Einladung ein Passwort fest, sofern noch kein Konto besteht.

Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO zur Vertragsdurchführung und Art. 6 Abs. 1 lit. f DSGVO zur sicheren Verwaltung von Nutzerkonten und Organisationen.

7. E-Mail-Verifizierung und Passwort-Zurücksetzung

Zur Absicherung von Nutzerkonten werden E-Mail-Adressen verifiziert. Außerdem können Nutzer eine Passwort-Zurücksetzung anfordern. Dazu werden zeitlich begrenzte Token erstellt und per E-Mail versendet.

Die Verarbeitung dient der Sicherheit der Nutzerkonten und der Verhinderung unbefugter Zugriffe.

Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO und Art. 6 Abs. 1 lit. f DSGVO.

8. Dashboard und App

Im Dashboard und in der App werden die für die Nutzung erforderlichen Daten angezeigt und verarbeitet. Dazu gehören insbesondere:

  • verbundene Postfächer,
  • importierte E-Mails,
  • Konversationen,
  • Prioritäten,
  • Fristen,
  • Antwortvorschläge,
  • Notizen,
  • Statusangaben,
  • Kontakte,
  • Feedback.

Die Verarbeitung erfolgt zur Bereitstellung der vertraglich vereinbarten Funktionen.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

9. IMAP- und SMTP-Anbindung

Auftragswächter verbindet sich mit den vom Kunden angegebenen Postfächern über IMAP, um eingehende E-Mails zu importieren und zu strukturieren. Zusätzlich kann SMTP konfiguriert werden, um später Antworten über das verbundene Postfach zu versenden.

Zugangsdaten werden nicht im Klartext gespeichert, sondern verschlüsselt abgelegt.

Beim Hinzufügen eines Postfachs kann festgelegt werden, ob nur künftig eingehende E-Mails oder auch ältere E-Mails importiert werden. Standardmäßig werden nur neue E-Mails ab dem Zeitpunkt der Verbindung importiert.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO im Verhältnis zum Kunden. Soweit Inhalte von Kunden, Interessenten oder Lieferanten des Kunden verarbeitet werden, erfolgt dies im Rahmen der Auftragsverarbeitung.

10. E-Mail-Inhalte, Anhänge und Konversationen

Auftragswächter speichert die Inhalte importierter E-Mails, damit Nutzer die ursprüngliche Nachricht im Dashboard oder in der App prüfen können und damit Konversationen zuverlässig zusammengeführt und bewertet werden können.

Anhänge werden nicht vollständig in der Datenbank gespeichert. Gespeichert werden nur Metadaten wie Dateiname, MIME-Typ, Größe und Zuordnung zur Nachricht. Der eigentliche Anhang wird bei Bedarf über das verbundene Postfach abgerufen.

E-Mails werden Konversationen zugeordnet. Dabei können technische E-Mail-Header, Betreff, Absender und KI-gestützte Themenvergleiche berücksichtigt werden. Neue eingehende Nachrichten können eine bestehende Konversation aktualisieren, deren Status verändern und eine erneute KI-Bewertung auslösen.

Konversationen werden grundsätzlich für einen begrenzten Zeitraum vorgehalten. Der aktuelle Standard sieht eine automatische Bereinigung alter Konversationen nach 60 Tagen vor.

11. KI-Verarbeitung

Auftragswächter nutzt KI-Funktionen, um E-Mails und Konversationen zu strukturieren. Dazu können insbesondere E-Mail-Inhalte, Betreff, Absender, Verlauf einer Konversation, Notizen und Metadaten an den KI-Dienst übermittelt werden.

Aktuell wird Azure OpenAI Service in der Region Sweden Central eingesetzt. Nach den Informationen von Microsoft werden Prompts und Ausgaben bei Azure OpenAI nicht zum Training von OpenAI-Modellen verwendet. Die Datenverarbeitung richtet sich nach den Microsoft-Vertragsgrundlagen, insbesondere dem Microsoft Products and Services Data Protection Addendum.

Die KI erzeugt unter anderem:

  • Zusammenfassungen,
  • Prioritäten,
  • Risikosignale,
  • Fristen,
  • nächste Schritte,
  • Antwortvorschläge,
  • Themenklassifizierungen.

KI-Ausgaben können fehlerhaft oder unvollständig sein. Nutzer müssen KI-Vorschläge eigenverantwortlich prüfen, insbesondere bevor sie darauf reagieren oder Nachrichten versenden. Es findet keine ausschließlich automatisierte Entscheidung mit rechtlicher Wirkung im Sinne von Art. 22 DSGVO statt.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO zur Bereitstellung der vereinbarten Produktfunktionen. Soweit Auftragswächter E-Mail-Inhalte im Auftrag des Kunden verarbeitet, erfolgt dies im Rahmen der Auftragsverarbeitung.

12. Notizen und manuelle Angaben

Nutzer können zu Konversationen eigene Notizen hinzufügen oder ändern. Diese Notizen können bei der weiteren KI-Bewertung berücksichtigt werden, wenn sie für die Einschätzung der Konversation relevant sind.

Nutzer sollten in Notizen nur Angaben erfassen, die für die Bearbeitung des Vorgangs erforderlich sind.

13. Feedback

Nutzer können Feedback über das Dashboard oder die App einreichen. Dabei werden der Inhalt des Feedbacks, der Nutzer, die Organisation, der Zeitpunkt und gegebenenfalls technische Kontextdaten gespeichert.

Feedback wird verwendet, um Fehler zu beheben, Funktionen zu verbessern und Supportanfragen nachzuvollziehen.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Das berechtigte Interesse liegt in der Verbesserung und Stabilisierung des Produkts.

14. Transaktions-E-Mails mit Postscale

Für systembedingte E-Mails, zum Beispiel Einladungen, E-Mail-Verifizierungen und Passwort-Zurücksetzungen, nutzt Auftragswächter den Dienst Postscale.

An Postscale werden nur die für den E-Mail-Versand erforderlichen Daten übermittelt, insbesondere Empfängeradresse, Absenderadresse, Betreff und Inhalt der jeweiligen System-E-Mail. Importierte Kunden-E-Mails und Konversationsinhalte werden nicht für den Versand von System-E-Mails an Postscale übermittelt.

Anbieter ist nach aktuellem Stand DNScale OÜ, Tallinn, Estland.

Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO und Art. 6 Abs. 1 lit. f DSGVO.

15. Abrechnung und Pilotkunden

Auftragswächter befindet sich aktuell in einer Pilotphase. Die Abrechnung erfolgt derzeit nicht über Stripe oder einen vergleichbaren automatisierten Zahlungsdienstleister, sondern manuell über individuelle Kommunikation und Rechnung beziehungsweise SEPA/IBAN.

Im System kann ein Plan einer Organisation gespeichert werden, zum Beispiel der Pilotplan mit Nutzer- und Postfachlimits. Zahlungsdaten im engeren Sinne werden aktuell nicht über das Dashboard verarbeitet.

Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO und Art. 6 Abs. 1 lit. c DSGVO für gesetzliche Aufbewahrungspflichten.

16. Cookies und lokale Speicherung

Auftragswächter verwendet derzeit nur technisch notwendige Speicherungen, die für Login, Sitzungsverwaltung, Sicherheit und Funktionalität erforderlich sind.

Es werden aktuell keine Marketing-Cookies, keine Tracking-Cookies und keine nicht notwendigen Analyse-Cookies eingesetzt.

Rechtsgrundlagen sind § 25 Abs. 2 TDDDG sowie Art. 6 Abs. 1 lit. b und lit. f DSGVO.

17. Hosting und Unterauftragsverarbeiter

Das Backend und die Datenbank werden nach aktuellem Stand bei Render in der Region Frankfurt betrieben.

Für KI-Verarbeitung wird Azure OpenAI Service in der Region Sweden Central genutzt.

Für Transaktions-E-Mails wird Postscale genutzt.

Eine aktuelle Übersicht der Unterauftragsverarbeiter wird in einer separaten Unterauftragsverarbeiter-Liste geführt. Aktuell relevante Anbieter sind insbesondere:

  • Render Services, Inc. für Hosting und Datenbankbetrieb,
  • Microsoft Ireland Operations Limited beziehungsweise Microsoft-Konzernunternehmen für Azure OpenAI,
  • DNScale OÜ / Postscale für Transaktions-E-Mails.

Nicht produktiv eingesetzt werden aktuell insbesondere Stripe, Sentry, AWS Bedrock und ein direkter OpenAI-API-Zugang.

18. Drittlandübermittlungen

Die reguläre Produktdatenhaltung und die primäre Verarbeitung sind aktuell auf europäische Regionen ausgerichtet, insbesondere Frankfurt bei Render und Sweden Central bei Azure.

Trotz europäischer Regionen können je nach Anbieterstruktur Support-, Wartungs-, Sicherheits- oder Konzernzugriffe mit Drittlandbezug nicht vollständig ausgeschlossen werden. Soweit solche Übermittlungen stattfinden, erfolgen sie auf Grundlage geeigneter Garantien, insbesondere Data Processing Agreements, Standardvertragsklauseln, technischer Schutzmaßnahmen und gegebenenfalls weiterer anwendbarer Mechanismen.

19. Löschung und Aufbewahrung

Personenbezogene Daten werden gelöscht, sobald sie für die jeweiligen Zwecke nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Aktuelle technische Löschlogik:

  • Konversationen werden grundsätzlich nach 60 Tagen automatisch bereinigt.
  • Wird eine Organisation gelöscht, wird sie zunächst deaktiviert und zur endgültigen Löschung vorgemerkt.
  • Die endgültige Löschung einer gelöschten Organisation und der zugehörigen organisationsbezogenen Daten erfolgt nach 30 Tagen automatisch.
  • Verbundene Postfächer können gelöscht werden. Die Löschung betrifft die lokale Speicherung in Auftragswächter, nicht das externe Originalpostfach.
  • Passwort-Zurücksetzungs- und Einladungs-Token sind zeitlich begrenzt.
  • Abrechnungs- und Nachweisdaten können aufgrund gesetzlicher Pflichten länger aufbewahrt werden.

Backups, Logs und technische Sicherheitskopien können für begrenzte Zeit fortbestehen und werden nach den jeweiligen technischen Löschzyklen entfernt.

20. Sicherheit

Auftragswächter setzt technische und organisatorische Maßnahmen ein, um personenbezogene Daten zu schützen. Dazu gehören insbesondere:

  • verschlüsselte Kommunikation per HTTPS,
  • verschlüsselte Speicherung sensibler Postfachzugangsdaten,
  • rollenbasierte Zugriffskontrolle innerhalb von Organisationen,
  • Trennung von Organisationen durch Mandantenbezug,
  • Zugriffsbeschränkung für administrative Funktionen,
  • Protokollierung relevanter Systemereignisse,
  • Vermeidung unnötiger Speicherung von Anhangsinhalten,
  • regelmäßige Bereinigung nicht mehr benötigter Daten.

Die Maßnahmen werden entsprechend der technischen Entwicklung fortlaufend angepasst.

21. Betroffenenrechte

Betroffene Personen haben nach Maßgabe der DSGVO insbesondere folgende Rechte:

  • Auskunft über die verarbeiteten personenbezogenen Daten,
  • Berichtigung unrichtiger Daten,
  • Löschung personenbezogener Daten,
  • Einschränkung der Verarbeitung,
  • Datenübertragbarkeit,
  • Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen,
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft,
  • Beschwerde bei einer Datenschutzaufsichtsbehörde.

Anfragen können an datenschutz@auftragswaechter.de gerichtet werden.

Soweit eine Anfrage Daten betrifft, die Auftragswächter im Auftrag eines Kunden verarbeitet, kann Auftragswächter die Anfrage an den jeweiligen Kunden weiterleiten oder in Abstimmung mit dem Kunden bearbeiten.

22. Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung kann angepasst werden, wenn sich technische Funktionen, eingesetzte Dienstleister oder rechtliche Anforderungen ändern.

Nutzer werden über wesentliche Änderungen in geeigneter Weise informiert.