Datenschutzerklärung — Magic Mail App
1. Datenschutz auf einen Blick
Magic Mail ist eine KI-gestützte E-Mail-App, die Sprach- und Texteingaben in fertige E-Mails umwandelt. Sie können Ihren Posteingang mit KI-Zusammenfassungen einsehen und per Sprache oder Text antworten.
Datenschutz hat für uns höchste Priorität: Kontakte, Entwürfe und E-Mail-Inhalte bleiben lokal auf Ihrem Gerät. Auf unseren Servern speichern wir lediglich Nutzungszähler und Abonnementstatus — keine E-Mail-Inhalte.
2. Verantwortlicher
LuminousApps Inh. Patrick Kass Wiltbergstraße 90, Haus 37 13125 Berlin Deutschland E-Mail: dataprotection@luminousapps.io
3. Datenverarbeitung in der App
3.1 Lokal gespeicherte Daten
Folgende Daten werden ausschließlich auf Ihrem Gerät gespeichert: • E-Mail-Kontakte (Namen, E-Mail-Adressen) — für die Empfängererkennung • E-Mail-Entwürfe — bis zum Versand oder Löschen • Posteingangs-Cache — für die Offline-Anzeige • Kontoinformationen — Name, E-Mail, Profilbild der verbundenen Konten • OAuth-Tokens — für den Zugriff auf Ihre E-Mail-Konten • Erlernte Zuordnungen — z.B. 'mein Zahnarzt' → Dr. Schmidt Diese Daten verlassen Ihr Gerät nur, wenn Sie aktiv eine E-Mail senden.
3.2 Serverseitig verarbeitete Daten
Folgende Daten werden serverseitig verarbeitet: • Sprachaufnahmen: Werden zur Transkription an unseren Server übermittelt und sofort nach Verarbeitung gelöscht. Keine dauerhafte Speicherung. • Transkripter Text + Empfängerinformationen: Werden zur E-Mail-Generierung an die KI übermittelt. Keine dauerhafte Speicherung. • E-Mail-Betreff und -Vorschau: Werden für KI-Zusammenfassungen im Posteingang verarbeitet. Keine dauerhafte Speicherung. Dauerhaft auf dem Server gespeichert (Supabase, EU-Server): • Benutzer-ID und Authentifizierungsstatus • Nutzungszähler (Anzahl gesendeter E-Mails pro Monat) • Abonnementstatus und Plan Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für Kernfunktionalität; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für Nutzungszähler.
3.3 Drittanbieter-Dienste
Die App nutzt folgende Drittanbieter: • Google APIs (Gmail, People API): Authentifizierung, E-Mail-Versand/-Empfang, Kontaktzugriff. Verarbeitung direkt zwischen Ihrem Gerät und Google. • Microsoft Graph API (Outlook): Authentifizierung, E-Mail-Versand/-Empfang, Kontaktzugriff. Verarbeitung direkt zwischen Ihrem Gerät und Microsoft. • Anthropic (Claude KI): E-Mail-Textgenerierung und -Zusammenfassungen. Verarbeitung über serverseitige Edge Function. Keine E-Mail-Inhalte werden bei Anthropic gespeichert. • OpenAI (Whisper): Sprache-zu-Text-Transkription. Verarbeitung über serverseitige Edge Function. Audioaufnahmen werden nach Transkription gelöscht. • Supabase: Backend-Infrastruktur (Authentifizierung, Edge Functions, Nutzungsdaten). EU-Server.
3.4 Persönliches Gedächtnis (Personal Memory)
Magic Mail kann auf Wunsch persönliche Lerndaten („Erinnerungen“) speichern, um KI-generierte Mails passender zu Ihrem Kontext zu schreiben. Sie steuern diese Daten vollständig. Datenkategorien: • Identitätsdaten: Beruf, Wohnort, Familienkonstellation • Phasenweise Kontextdaten: laufende Projekte, vorübergehende Situationen • Optional: Besondere Kategorien nach Art. 9 DSGVO (Gesundheitsdaten, Daten zu Minderjährigen, Religion, politische Meinungen, sexuelle Orientierung) — nur nach ausdrücklicher Einwilligung Speicherort: Ausschließlich auf Ihrem Endgerät (AsyncStorage). Keine Server-Speicherung dieser Daten bei uns. Übermittlung an Dritte: • Anthropic (Claude API): Bei jeder KI-gestützten Mail-Generierung werden relevante, nicht-sensible Erinnerungen ephemer als Kontext mitgeschickt. Anthropic speichert diese Inhalte nicht (AVV nach Art. 28 DSGVO abgeschlossen). • Niemals an Serper (Web-Kontaktsuche) oder andere externe Dienste übermittelt. • Sensible Erinnerungen (Art.-9-Daten) werden ohne Ihre Einwilligung nicht in Inbox-Summaries, Web-Suchen oder Smart-Reply-Vorschlägen verwendet. Mit aktiver Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO werden sie wie reguläre Erinnerungen behandelt und können in Persona-Brief, Inbox-Summaries und KI-Mail-Generierung einfließen. Web-Suchen (Serper) bleiben dauerhaft ausgeschlossen. Rechtsgrundlage: • Allgemeine Erinnerungen: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) • Sensible Daten (Art. 9): Art. 9 Abs. 2 lit. a DSGVO — ausdrückliche Einwilligung über In-App-Modal beim ersten sensiblen Eintrag • Daten über Minderjährige: Art. 8 DSGVO — durch Sie als Erziehungsberechtigte/n Speicherdauer: Bis zur manuellen Löschung im Lernsystem („Über mich“-Sektion) oder bei Deinstallation der App. Ihre Rechte: Sie können alle Erinnerungen in der App unter „Lernsystem → Über mich“ einsehen (Art. 15), bearbeiten (Art. 16), einzeln oder komplett löschen (Art. 17) und über „Einstellungen → Lerndaten sichern“ als strukturierte JSON-Datei exportieren (Art. 20). Die Einwilligung zur Verarbeitung sensibler Daten kann jederzeit unter „Einstellungen → Persönliches Gedächtnis → Zustimmung widerrufen“ rückgängig gemacht werden.
3.5 Erweiterte Suche und Konsolidierung (Voyage AI)
Um doppelte Erinnerungen über mehrere Mails hinweg zu erkennen und KI-generierte Mails konsistenter zu machen, nutzt Magic Mail zwei zusätzliche Verarbeitungsschritte. Beide sind optional und können jederzeit deaktiviert werden. Komponente A — Identitäts-Zusammenfassung („Persona Brief“): • Aus Ihren nicht-sensiblen Erinnerungen wird serverseitig (Anthropic Claude Haiku) eine 2–3 Sätze umfassende Ich-Form-Zusammenfassung erzeugt. • Diese ersetzt bei künftigen Mail-Generierungen die Einzel-Aufzählung Ihrer Erinnerungen — das verbessert die Konsistenz und reduziert den Token-Verbrauch. • Sensible Erinnerungen (Art.-9-Daten) fließen nur mit Ihrer ausdrücklichen Einwilligung in die Zusammenfassung ein. Ohne Einwilligung greift ein clientseitiger und serverseitiger Hard-Block. • Die Zusammenfassung können Sie unter „Lernsystem → Über mich (Zusammenfassung)“ einsehen, manuell bearbeiten oder neu generieren lassen. Komponente B — Embedding-basierte Duplikat-Erkennung (Voyage AI): • Beim Anlegen neuer Erinnerungen werden diese als Vektor-Embeddings (1024 Dimensionen) durch Voyage AI (Subprozessor: MongoDB Inc., USA) berechnet und in unserer Supabase-Datenbank (EU) gespeichert. • Zweck: Erkennt semantische Duplikate („Mein Sohn ist 8“ vs. „Theo ist acht Jahre alt“) und konsolidiert sie statt mehrfach abzulegen. • Übermittelter Inhalt: ausschließlich der reine Text der Erinnerung, ephemer während der Embedding-Erzeugung. Voyage AI speichert die Inhalte nach eigener Aussage nicht (AVV nach Art. 28 DSGVO mit Voyage AI / MongoDB). • Sensible Erinnerungen werden ohne Ihre Einwilligung nicht an Voyage AI übertragen. Mit aktiver Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO werden sie wie reguläre Erinnerungen embedded und für Konsolidierung und semantische Suche genutzt. Der Hard-Block bleibt clientseitig + serverseitig als Sicherheitsnetz aktiv und greift bei fehlender Einwilligung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für die Verbesserung der Mail-Qualität. Ihr Widerspruchsrecht: Sie können die Embedding-Erzeugung jederzeit unter „Lernsystem → Über mich → Erweiterte Suche aktivieren“ abschalten. Bereits erzeugte Embeddings verbleiben bis zur Löschung der entsprechenden Erinnerung in der Datenbank. Eine vollständige Löschung erfolgt automatisch beim Löschen der Erinnerung oder bei Kontolöschung. Drittland-Transfer: Voyage AI / MongoDB sind in den USA ansässig. Der Transfer erfolgt auf Basis der EU-Standardvertragsklauseln (SCC, 2021) sowie zusätzlicher Schutzmaßnahmen (Pseudonymisierung über User-IDs, keine Übertragung sensibler Daten, AVV).
4. Google API Services — Eingeschränkte Nutzung
Die Nutzung und Übertragung von Informationen, die Magic Mail von Google APIs erhält, entspricht der Google API Services User Data Policy (https://developers.google.com/terms/api-services-user-data-policy), einschließlich der Limited Use-Anforderungen. Im Einzelnen: • Wir verwenden Google-Nutzerdaten ausschließlich zur Bereitstellung und Verbesserung der für Sie sichtbaren Funktionen von Magic Mail. • Wir übertragen Google-Nutzerdaten nicht an Dritte, außer soweit dies zur Bereitstellung der App-Funktionalität erforderlich ist, mit Ihrer ausdrücklichen Einwilligung oder aufgrund gesetzlicher Verpflichtung. • Wir verwenden Google-Nutzerdaten nicht für Werbung. • Wir gestatten keinen Personen den Zugriff auf Google-Nutzerdaten, es sei denn mit Ihrer ausdrücklichen Einwilligung, zu Sicherheitszwecken oder aufgrund gesetzlicher Verpflichtung. • Wir verkaufen Google-Nutzerdaten nicht.
5. Verwendete Google API Scopes
gmail.send
Zum Versenden von E-Mails, die Sie per Sprach- oder Texteingabe verfassen. E-Mails werden ausschließlich dann gesendet, wenn Sie aktiv auf 'Senden' tippen. Es werden niemals automatisch E-Mails in Ihrem Namen versendet.
gmail.readonly
Zur Anzeige Ihrer Posteingangs-Nachrichten und E-Mail-Threads, damit Sie E-Mails einsehen und per Sprache oder Text beantworten können. E-Mail-Inhalte werden nur auf Ihrem Gerät angezeigt und für kontextbezogene KI-Antworten verarbeitet — sie werden nicht dauerhaft auf unseren Servern gespeichert.
contacts.readonly
Zum Abgleich von Empfängernamen aus Ihrer Spracheingabe (z.B. 'schreib meinem Zahnarzt') mit tatsächlichen Kontakt-E-Mail-Adressen. Kontakte werden lokal auf Ihrem Gerät gecacht und nicht an unsere Server übertragen.
contacts.other.readonly
Um auch Kontakte einzubeziehen, denen Sie zuvor gemailt haben (nicht nur gespeicherte Kontakte), für bessere Empfängererkennung. Diese Daten werden ausschließlich lokal auf Ihrem Gerät gespeichert.
6. Datenspeicherung und Aufbewahrung
• Sprachaufnahmen: Sofort nach Transkription gelöscht (nicht gespeichert) • E-Mail-Entwürfe: Auf dem Gerät bis zum Versand oder Löschen • Kontakt-Cache: Alle 24 Stunden aktualisiert, nur auf dem Gerät • Kontodaten: Bis zur Abmeldung oder Kontolöschung • Nutzungsdaten: Monatlicher Reset; für Abrechnungszwecke aufbewahrt
7. Datensicherheit
• Gerätedaten werden in verschlüsseltem lokalem Speicher gespeichert (AsyncStorage / SecureStore). • Serverseitige Daten werden in Supabase mit Row Level Security (RLS) gespeichert — jeder Nutzer hat ausschließlich Zugriff auf seine eigenen Daten. • API-Schlüssel und Secrets werden serverseitig in Supabase Edge Function Secrets gespeichert und sind der Client-App niemals zugänglich. • Die Kommunikation zwischen App und Server erfolgt ausschließlich über HTTPS.
8. Ihre Rechte (DSGVO)
Gemäß der Datenschutz-Grundverordnung haben Sie folgende Rechte: • Auskunft (Art. 15 DSGVO) — Kopie Ihrer personenbezogenen Daten anfordern • Berichtigung (Art. 16 DSGVO) — Unrichtige Daten korrigieren lassen • Löschung (Art. 17 DSGVO) — Löschung Ihrer Daten verlangen • Einschränkung (Art. 18 DSGVO) — Verarbeitung einschränken • Datenübertragbarkeit (Art. 20 DSGVO) — Ihre Daten in maschinenlesbarem Format erhalten. Für lokal gespeicherte Lerndaten finden Sie die Export-Funktion in der App unter „Einstellungen → Lerndaten sichern“ (strukturiertes JSON-Format) • Widerspruch (Art. 21 DSGVO) — Der Verarbeitung widersprechen • Widerruf der Einwilligung — Jederzeit durch Abmeldung und Widerruf des App-Zugriffs in Ihren Google-/Microsoft-Kontoeinstellungen Kontakt: dataprotection@luminousapps.io Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren: Berliner Beauftragte für Datenschutz und Informationsfreiheit Friedrichstr. 219 10969 Berlin https://www.datenschutz-berlin.de
9. Zugriff widerrufen
Sie können den Zugriff von Magic Mail auf Ihr E-Mail-Konto jederzeit widerrufen: • Google: https://myaccount.google.com/permissions → 'Magic Mail' → 'Zugriff entfernen' • Microsoft: https://account.live.com/consent/Manage
10. Kinder
Magic Mail ist nicht für Kinder unter 16 Jahren bestimmt. Wir erheben wissentlich keine Daten von Kindern.
11. Änderungen
Diese Datenschutzerklärung kann bei Weiterentwicklung der App angepasst werden. Die aktuelle Version ist stets über die App (Einstellungen → Datenschutzerklärung) und auf dieser Seite abrufbar.
Stand: Juni 2026