Datenschutzerklärung
Stand: 24. April 2026
1. Verantwortlicher
Verantwortlich für die Datenverarbeitung auf dieser Website ist:
Baudis AI UG (haftungsbeschränkt)
Paul-Zobel-Straße 8d
10367 Berlin
Deutschland
E-Mail: info@pricemirror.ai
2. Übersicht der Datenverarbeitung
Pricemirror AI ist ein KI-gestützter Preisspiegel-Generator. Wir verarbeiten personenbezogene Daten nur, soweit dies für Betrieb, Sicherheit, Abrechnung, Support und die Bereitstellung der gewählten Funktionen erforderlich ist. Wir verkaufen keine personenbezogenen Daten, nutzen keine Marketing-Cookies und nutzen Ihre Inhalte nicht zum Training eigener KI-Modelle.
3. Welche Daten wir erheben
3.1 Registrierung, Anmeldung und Konto
- E-Mail-Adresse und interne Nutzer-ID
- Passwort in gehashter Form, sofern Sie ein Passwortkonto nutzen
- Bei Google- oder Microsoft-Anmeldung: Name, E-Mail-Adresse und Anbieter-Kennung
- Session-Informationen und kurzlebige Übergabe-Codes bei Nutzung des Auth-Portals login.baudis.ai
- Kontoeinstellungen, Sprache, Design- und Tabellenpräferenzen
3.2 Nutzung der App
- Hochgeladene Angebotsdokumente, insbesondere PDF-, Excel- und Word-Dateien
- Aus den Dokumenten extrahierte Texte, Tabellen, Preise, Positionen und Metadaten
- Erstellte und gespeicherte Preisspiegel, Vergleichsstände und Konfigurationen
- Optionale Firmenlogos, individuelle Anweisungen und Anzeigeeinstellungen
- Nutzungszähler, Upload-Limits und technische Audit-Informationen
3.3 Kontakt, Support und Enterprise
- Name, E-Mail-Adresse, Betreff und Nachricht bei Kontakt- und Supportformularen
- Bei Enterprise-Anfragen zusätzlich Firma, Telefonnummer, Teamgröße und Anfrageinhalt
- Bei Einladungen: E-Mail-Adresse, Rolle, Lizenzbezug und einladende Person
- Technische Formular- und Missbrauchsschutzdaten, etwa Zeitstempel und IP-basierte Rate-Limits
3.4 Abrechnung und Abonnements
- E-Mail-Adresse für Checkout und Rechnungsbezug
- Stripe-Kunden-ID, Stripe-Abo-ID, Tarif, Status und Abrechnungszeiträume
- Zahlungs-, Rechnungs- und Steuerdaten, soweit sie über Stripe verarbeitet werden
- Keine Speicherung vollständiger Kreditkartendaten in unserer eigenen Datenbank
3.5 Technische Daten
- IP-Adresse, Browser-Typ, Betriebssystem, Geräteinformationen und Zugriffszeitpunkt
- Angefragte Seiten, Statuscodes, Fehlerprotokolle und Sicherheitsereignisse
- Routing- und Provider-Metadaten bei KI-Anfragen, etwa Modell, Anbieter und Region
4. Zwecke der Verarbeitung
- Bereitstellung der App, Authentifizierung und Kontoverwaltung
- Dokumentanalyse, KI-gestützte Extraktion und Erstellung von Preisspiegeln
- Speicherung, Export, Anzeige und Wiederherstellung Ihrer Arbeitsergebnisse
- Abwicklung von Zahlungen, Abonnements, Rechnungen und Billing-Portal-Zugriffen
- Bearbeitung von Kontakt-, Support-, Enterprise- und Einladungsprozessen
- Sicherheit, Missbrauchsprävention, Fehleranalyse, Rate-Limiting und Compliance-Nachweise
5. Rechtsgrundlagen
Die Verarbeitung Ihrer Daten erfolgt insbesondere auf Grundlage von:
- Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung und vorvertragliche Maßnahmen
- Art. 6 Abs. 1 lit. c DSGVO – gesetzliche Pflichten, insbesondere Handels- und Steuerrecht
- Art. 6 Abs. 1 lit. f DSGVO – berechtigte Interessen, etwa Sicherheit, Missbrauchsschutz und stabile Bereitstellung
- Art. 6 Abs. 1 lit. a DSGVO – Einwilligung, soweit optionale Funktionen oder Anbieter auf einer Einwilligung beruhen
6. Eingesetzte Systeme und Dienstleister
Wir wählen Dienstleister sorgfältig aus und schließen, soweit erforderlich, Auftragsverarbeitungsverträge oder vergleichbare Datenschutzvereinbarungen. Eine Verarbeitung erfolgt nur im erforderlichen Umfang. Geschäftskunden erhalten den Auftragsverarbeitungsvertrag im Enterprise-Vertragsprozess oder auf Anfrage.
Hinweis zu Regionen: Für zentrale Datenbank-, Authentifizierungs- und Storage-Komponenten nutzen wir Supabase mit EU-/Frankfurt-Bezug. Einzelne serverseitige Funktionen sind für Frankfurt (fra1) konfiguriert. Wegen CDN-Auslieferung, Provider-Logs, Supportzugriffen, Zahlungsabwicklung und je nach KI-Modus kann dennoch eine Verarbeitung außerhalb Deutschlands oder außerhalb der EU stattfinden. Eine globale DE-only-Zusage geben wir daher nicht.
Supabase (Authentifizierung, Datenbank und Storage)
Wir nutzen Supabase für Authentifizierung, Sitzungen, Datenbankzugriffe und Dateispeicherung. Dazu gehören Konto- und Sitzungsdaten, App-Daten, hochgeladene Dokumente, gespeicherte Preisspiegel, Nutzungszähler, Upload-Limits und Enterprise-Zuordnungen.
Anbieter: Supabase Inc. |Datenschutzerklärung
Baudis Auth Portal (login.baudis.ai)
Die Anmeldung kann über unser zentrales Auth-Portal erfolgen. Dabei werden Login- und OAuth-Daten über Supabase Auth verarbeitet und kurzlebige Übergabe-Codes erzeugt, damit die App die Anmeldung übernehmen kann.
Vercel (Hosting, Funktionen und Auslieferung)
Unsere Anwendung wird über Vercel betrieben. Dabei können technische Metadaten wie IP-Adresse, Anfragepfad, Zeitstempel, Statuscodes, Fehlerlogs und Sicherheitsinformationen verarbeitet werden. Einzelne Serverfunktionen sind für die Region Frankfurt konfiguriert; die Auslieferung und bestimmte Plattformdienste können technisch bedingt weitere Regionen einbeziehen.
Anbieter: Vercel Inc. |Datenschutzerklärung
Resend (E-Mail-Versand)
Für Kontakt-, Support-, Enterprise- und Einladungs-E-Mails nutzen wir Resend. Verarbeitet werden insbesondere E-Mail-Adresse, Name, Nachricht, Betreff, Unternehmensdaten, Einladungsdaten sowie technische Versand- und Zustelldaten.
Anbieter: Resend, Inc. |Datenschutzerklärung
Stripe (Zahlungen und Abonnements)
Für Checkout, Abonnements, Zahlungsabwicklung, Rechnungen und das Billing Portal nutzen wir Stripe. Wir speichern in unserer Datenbank vor allem Stripe-Kunden- und Abo-IDs, Tarif, Status und Abrechnungszeiträume. Zahlungsdaten wie vollständige Kartennummern werden direkt durch Stripe verarbeitet.
Anbieter: Stripe Payments Europe, Ltd. und verbundene Stripe-Gesellschaften |Datenschutzerklärung
KI-Verarbeitung, OCR und AI Gateway
Für KI-Funktionen werden die jeweils erforderlichen Dokumentinhalte, Prompts, Extraktionsergebnisse und technische Routing-Metadaten an den konfigurierten KI-Dienst übermittelt. Je nach Modus und Serverkonfiguration können dabei Vercel AI Gateway, Google Gemini/Vertex AI, Google Cloud Document AI und OpenAI-Modelle eingesetzt werden.
- Im EU-Modus werden KI-Anfragen auf Google Vertex AI in europe-west3 begrenzt.
- OCR für gescannte Dokumente erfolgt über Google Cloud Document AI in der Region EU.
- Im Standard- oder Power-Modus kann je nach Anbieter und Gateway-Routing eine Verarbeitung außerhalb der EU stattfinden.
- Zero-Data-Retention für unterstützte Gateway-Aufrufe ist technisch vorgesehen, soweit die jeweilige Konfiguration und der Anbieter dies unterstützen.
Weitere Informationen: Google Cloud | OpenAI | Vercel
Google OAuth und Microsoft OAuth
Wenn Sie sich über Google oder Microsoft anmelden, erhalten wir die für die Anmeldung erforderlichen Profildaten, insbesondere Name, E-Mail-Adresse und Anbieter-Kennung.
Anbieter: Google LLC und Microsoft Corporation |Google Datenschutz | Microsoft Datenschutz
7. Cookies und lokale Speicherung
Wir verwenden technisch notwendige Cookies und lokale Speichermechanismen. Die genaue Speicherung kann je nach Browser, Gerät und Login-Methode variieren.
| Name oder Präfix | Zweck | Dauer |
|---|---|---|
| Supabase Session | Authentifizierung und Sitzungserhalt | Session bzw. Token-Laufzeit |
| uiLanguage | Spracheinstellung der Oberfläche | Bis zu 1 Jahr oder bis zur Löschung |
| theme | Hell-/Dunkelmodus | Bis zur Löschung im Browser |
| tableTheme, customTableTheme | Tabellen-Design und Farbanpassungen | Bis zur Löschung im Browser |
| offersPanelPosition | Layout-Position des Angebotsbereichs | Bis zur Löschung im Browser |
| pricemirror:user:* | UI-Zustand, ausgewählte Angebote und Entwurfsdaten | Bis zur Löschung im Browser oder Konto-Kontextwechsel |
| baudis:auth-user-sync:v2 | Synchronisation des Login-Zustands zwischen Auth-Portal und App | Bis zur Löschung im Browser |
| pricemirror:history-icon-cache:v1 | Lokaler Cache für App-Icons im Verlauf | Bis zur Löschung im Browser |
Wir setzen keine Marketing-Cookies ein. Sollte optionale Analytics aktiviert werden, wird dies gesondert ausgewiesen.
8. Datenweitergabe in Drittländer
Einige Dienstleister, insbesondere Supabase, Vercel, Resend, Stripe, Google, Microsoft und OpenAI, können internationale Infrastruktur oder verbundene Gesellschaften außerhalb der EU einsetzen. Soweit eine Drittlandübermittlung stattfindet, stützen wir sie auf das EU-US Data Privacy Framework, Angemessenheits- beschlüsse, Standardvertragsklauseln oder andere zulässige Garantien nach Art. 44 ff. DSGVO.
Der EU-Modus reduziert Drittlandbezüge für die KI-Verarbeitung, ersetzt aber keine globale EU- oder Deutschland-only-Zusage für alle Bestandteile der Anwendung.
9. Speicherdauer und Löschung
- Kontodaten: bis zur Löschung Ihres Accounts, soweit keine gesetzlichen Pflichten entgegenstehen
- Hochgeladene Dokumente und Preisspiegel: bis zur Löschung durch Sie oder bis zur Account-Löschung; bei Account-Löschung werden zugehörige App-Dateien aus dem Storage entfernt
- Abonnementdaten: solange das Abo besteht und anschließend entsprechend gesetzlicher Nachweis- und Aufbewahrungspflichten; aktive Stripe-Abos müssen vor der Account-Löschung gekündigt sein
- Kontakt-, Support- und Enterprise-Anfragen: bis zur Bearbeitung und anschließend nach berechtigten Interessen oder gesetzlichen Aufbewahrungspflichten
- Auth-Übergabe-Codes: nur kurzzeitig, typischerweise für etwa 90 Sekunden
- App-interne Audit-Logs: Routing-, Sicherheits- und Verwaltungsereignisse speichern wir grundsätzlich für bis zu 180 Tage, sofern keine längere Aufbewahrung zur Aufklärung von Missbrauch, Sicherheitsvorfällen oder zur Durchsetzung von Ansprüchen erforderlich ist
- Server- und Provider-Logs: technische Betriebs- und Sicherheitslogs werden abhängig vom jeweiligen Anbieter und Plan nur für begrenzte Zeit vorgehalten; soweit von uns steuerbar, löschen oder anonymisieren wir sie spätestens nach 90 Tagen
- Lokale Browserdaten: bis Sie diese im Browser löschen oder die App sie überschreibt
Backups und Provider-Logs unterliegen begrenzten technischen Aufbewahrungsfristen. Daten, die aus steuer-, handels- oder zahlungsrechtlichen Gründen aufbewahrt werden müssen, löschen wir erst nach Ablauf der jeweiligen Fristen.
10. Ihre Rechte
Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:
- Auskunftsrecht (Art. 15 DSGVO)
- Berichtigungsrecht (Art. 16 DSGVO)
- Löschungsrecht (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruchsrecht (Art. 21 DSGVO)
- Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO)
Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren.
11. Datensicherheit
Wir setzen technische und organisatorische Maßnahmen ein, um Ihre Daten zu schützen:
- Verschlüsselte Übertragung per HTTPS/TLS
- Gehashte Speicherung von Passwörtern über den Auth-Anbieter
- Row Level Security und serverseitige Berechtigungsprüfungen für Datenbankzugriffe
- Same-Origin- und Intent-Prüfungen bei sensiblen Aktionen wie Account-Löschung
- Rate-Limiting und Missbrauchsschutz für Formulare und API-Endpunkte
- Rollenbasierte Zugriffssteuerung für interne und Enterprise-Funktionen
12. Kontakt
Bei Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte wenden Sie sich bitte an:
E-Mail: info@pricemirror.ai
Betreff: Datenschutzanfrage
Wenn Sie eine Löschung oder Auskunft wünschen, geben Sie bitte die mit Ihrem Konto verknüpfte E-Mail an, damit wir Ihre Anfrage eindeutig zuordnen können.
13. Änderungen dieser Datenschutzerklärung
Wir passen diese Datenschutzerklärung an, wenn sich Dienste, Anbieter, technische Abläufe oder die Rechtslage ändern. Die aktuelle Version finden Sie stets auf dieser Seite.
© 2026 Baudis AI UG (haftungsbeschränkt). Alle Rechte vorbehalten.