Datenschutzerklärung

Zuletzt aktualisiert: 4. März 2026

1. Verantwortlicher

Benedikt Brand
Empower Ventures GmbH
Rotebühlstraße 50
70178 Stuttgart, Deutschland
E-Mail: privacy@businesscardpro.app

2. Welche Daten wir erheben

2.1 Kontodaten

Bei der Registrierung erheben wir:

E-Mail-Adresse
Passwort (verschlüsselt gespeichert)
Vor- und Nachname (optional)

Mit der Registrierung erklären Sie sich ausdrücklich mit dieser Datenschutzerklärung und unseren Nutzungsbedingungen einverstanden. Eine Nutzung der App ist nur nach Zustimmung möglich.

2.2 Gescannte Visitenkartendaten

Wenn Sie eine Visitenkarte scannen, werden folgende Daten per KI-gestützter Texterkennung (OCR) extrahiert und gespeichert:

Name, Titel, Firma
E-Mail-Adresse, Telefonnummern
Webseite, Adresse
Profilbild (falls auf der Karte vorhanden)

2.3 CRM-Integrationsdaten

Wenn Sie eine CRM-Integration (HubSpot, Salesforce, Pipedrive) verbinden, speichern wir:

OAuth-Zugangstokens (verschlüsselt)
CRM-Kontakt-IDs zur Synchronisierung

2.4 Technische Daten

Für Fehlerdiagnose und Qualitätssicherung erheben wir:

Gerätetyp und Betriebssystem
App-Version
Fehlermeldungen und Crash-Reports

3. Zweck und Rechtsgrundlage der Datenverarbeitung

Bereitstellung der App – Verarbeitung gescannter Visitenkarten, Kontaktverwaltung (Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung)
KI-gestützte Texterkennung & Datenanreicherung – OCR-Extraktion und automatische Anreicherung von Kontaktdaten (Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung)
CRM-Synchronisierung – Übertragung Ihrer Kontakte an verbundene CRM-Systeme (Art. 6 Abs. 1 lit. a DSGVO – Einwilligung)
Kontosicherheit – Authentifizierung, Zugriffskontrolle und transaktionale E-Mails (Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung)
Fehlerbehebung – Analyse technischer Probleme, Fehler-Logging und Crash-Reports (Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse)
Budget-Benachrichtigungen – Automatische Warnungen bei Erreichen von API-Nutzungsgrenzen (Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse)

4. Drittanbieter und Auftragsverarbeiter (Subprozessoren)

Wir nutzen folgende Dienste zur Datenverarbeitung. Alle Auftragsverarbeiter wurden sorgfältig ausgewählt und vertraglich zur Einhaltung der DSGVO verpflichtet:

4.1 Supabase Inc.

Zweck: Backend-Infrastruktur, Datenbank, Authentifizierung, Dateispeicherung (Kartenbilder), Edge Functions
Verarbeitete Daten: Alle Konto- und Kontaktdaten, Passwörter (gehasht), OAuth-Tokens (verschlüsselt), Kartenbilder, Fehler-Logs
Standort: EU (Frankfurt, Deutschland)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
DPA: Ja – supabase.com/legal/dpa

4.2 Anthropic PBC (Claude AI)

Zweck: KI-gestützte Texterkennung (OCR) von Visitenkartenbildern sowie automatische Anreicherung von Kontaktdaten (Firmendaten, Social-Media-Profile)
Verarbeitete Daten: Visitenkartenbilder (temporär zur Verarbeitung), Kontaktnamen und Firmennamen (zur Anreicherung)
Standort: USA
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Hinweis: Bilder und Daten werden ausschließlich zur Verarbeitung übermittelt und nicht dauerhaft bei Anthropic gespeichert. Anthropic nutzt API-Daten nicht zum Modelltraining.
DPA: Ja – anthropic.com/legal/commercial-terms

4.3 Resend Inc.

Zweck: Versand transaktionaler E-Mails (Passwort-Zurücksetzung, Authentifizierungs-E-Mails, Budget-Warnungen)
Verarbeitete Daten: E-Mail-Adresse, E-Mail-Inhalt
Standort: USA
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
DPA: Ja – resend.com/legal/dpa

4.4 Vercel Inc.

Zweck: Hosting der Web-Version und der Datenschutz-/Nutzungsbedingungen-Seiten, OAuth-Redirect-Endpunkte für CRM-Integrationen
Verarbeitete Daten: IP-Adresse (Server-Logs), OAuth-Redirect-Parameter (temporär)
Standort: Global (Edge-Netzwerk), Primär USA
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
DPA: Ja – vercel.com/legal/dpa

4.5 Expo (The Expo Project)

Zweck: App-Framework und Build-Infrastruktur, OTA-Update-Verteilung
Verarbeitete Daten: Gerätetyp, Betriebssystem, App-Version (für Update-Prüfungen)
Standort: USA
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse – technischer App-Betrieb)
DPA: expo.dev/legal/privacy

4.6 CRM-Anbieter (nur bei aktiver Integration)

Die folgenden CRM-Dienste werden nur bei ausdrücklicher Aktivierung durch den Nutzer eingebunden:

HubSpot Inc. – Kontaktsynchronisierung, Standort: USA/EU, DPA
Salesforce Inc. – Kontaktsynchronisierung, Standort: USA/EU, DPA
Pipedrive OÜ – Kontaktsynchronisierung, Standort: EU (Estland), DPA

Verarbeitete Daten: Kontaktdaten (Name, E-Mail, Telefon, Firma, Titel), CRM-Kontakt-IDs
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Verbindung)

5. Internationale Datenübermittlung

Einige unserer Auftragsverarbeiter haben ihren Sitz in den USA. Die Übermittlung personenbezogener Daten erfolgt auf Grundlage von:

EU-US Data Privacy Framework (DPF) – für zertifizierte US-Unternehmen
Standardvertragsklauseln (SCCs) der EU-Kommission als zusätzliche Absicherung
Auftragsverarbeitungsverträge (DPA) mit allen Dienstleistern

6. Speicherung und Löschung

Ihre Daten werden gespeichert, solange Ihr Konto aktiv ist. Bei Löschung Ihres Kontos werden alle zugehörigen Daten (Kontakte, Scan-Bilder, CRM-Tokens) innerhalb von 30 Tagen unwiderruflich gelöscht.

Fehler-Logs werden automatisch nach 90 Tagen gelöscht.

7. Ihre Rechte (DSGVO)

Sie haben folgende Rechte gemäß der DSGVO:

Auskunftsrecht (Art. 15) – Welche Daten wir über Sie gespeichert haben
Berichtigungsrecht (Art. 16) – Korrektur unrichtiger Daten
Löschungsrecht (Art. 17) – Löschung Ihrer Daten
Datenübertragbarkeit (Art. 20) – Export Ihrer Daten
Widerspruchsrecht (Art. 21) – Widerspruch gegen die Verarbeitung

Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter privacy@businesscardpro.app.

8. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein:

Verschlüsselte Übertragung (TLS/HTTPS)
Verschlüsselte Speicherung sensibler Daten (Passwörter, OAuth-Tokens)
Row-Level Security (Nutzer sehen nur eigene Daten)
Regelmäßige Sicherheitsupdates

9. Kamera- und Geräteberechtigungen

Die App fordert folgende Berechtigungen an:

Kamera – Zum Scannen von Visitenkarten
Fotobibliothek – Zum Importieren von Visitenkartenbildern
Kontakte – Zum Speichern gescannter Kontakte im Adressbuch (optional)

Diese Berechtigungen werden nur bei Bedarf angefragt und können jederzeit in den Geräteeinstellungen widerrufen werden.

10. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung gelegentlich aktualisieren. Bei wesentlichen Änderungen informieren wir Sie über die App oder per E-Mail. Die fortgesetzte Nutzung der App nach einer Änderung gilt als Zustimmung.

11. Kontakt

Bei Fragen zum Datenschutz wenden Sie sich an:
privacy@businesscardpro.app

Beschwerderecht bei der zuständigen Aufsichtsbehörde:
Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg
www.baden-wuerttemberg.datenschutz.de

Privacy Policy

Last updated: March 4, 2026

1. Data Controller

Benedikt Brand
Empower Ventures GmbH
Rotebühlstraße 50
70178 Stuttgart, Germany
Email: privacy@businesscardpro.app

2. Data We Collect

2.1 Account Data

When you register, we collect:

Email address
Password (stored encrypted)
First and last name (optional)

By registering, you expressly agree to this Privacy Policy and our Terms of Use. Use of the App is only possible after consent.

2.2 Scanned Business Card Data

When you scan a business card, the following data is extracted via AI-powered OCR and stored:

Name, title, company
Email address, phone numbers
Website, address
Profile image (if present on the card)

2.3 CRM Integration Data

When you connect a CRM integration (HubSpot, Salesforce, Pipedrive), we store:

OAuth access tokens (encrypted)
CRM contact IDs for synchronization

2.4 Technical Data

For diagnostics and quality assurance, we collect:

Device type and operating system
App version
Error messages and crash reports

3. Purpose and Legal Basis of Data Processing

Service delivery – Processing scanned business cards, contact management (Art. 6(1)(b) GDPR – contractual necessity)
AI-powered text recognition & enrichment – OCR extraction and automatic enrichment of contact data (Art. 6(1)(b) GDPR – contractual necessity)
CRM synchronization – Transferring your contacts to connected CRM systems (Art. 6(1)(a) GDPR – consent)
Account security – Authentication, access control, and transactional emails (Art. 6(1)(b) GDPR – contractual necessity)
Bug fixing – Analyzing technical issues, error logging, and crash reports (Art. 6(1)(f) GDPR – legitimate interest)
Budget notifications – Automatic alerts when API usage limits are reached (Art. 6(1)(f) GDPR – legitimate interest)

4. Third-Party Services (Sub-Processors)

We use the following services for data processing. All sub-processors have been carefully selected and contractually obligated to comply with the GDPR:

4.1 Supabase Inc.

Purpose: Backend infrastructure, database, authentication, file storage (card images), Edge Functions
Data processed: All account and contact data, passwords (hashed), OAuth tokens (encrypted), card images, error logs
Location: EU (Frankfurt, Germany)
Legal basis: Art. 6(1)(b) GDPR (contractual necessity)
DPA: Yes – supabase.com/legal/dpa

4.2 Anthropic PBC (Claude AI)

Purpose: AI-powered text recognition (OCR) of business card images and automatic enrichment of contact data (company info, social media profiles)
Data processed: Business card images (temporary for processing), contact names and company names (for enrichment)
Location: USA
Legal basis: Art. 6(1)(b) GDPR (contractual necessity)
Note: Images and data are transmitted solely for processing and are not permanently stored by Anthropic. Anthropic does not use API data for model training.
DPA: Yes – anthropic.com/legal/commercial-terms

4.3 Resend Inc.

Purpose: Sending transactional emails (password resets, authentication emails, budget alerts)
Data processed: Email address, email content
Location: USA
Legal basis: Art. 6(1)(b) GDPR (contractual necessity)
DPA: Yes – resend.com/legal/dpa

4.4 Vercel Inc.

Purpose: Hosting the web version and privacy/terms pages, OAuth redirect endpoints for CRM integrations
Data processed: IP address (server logs), OAuth redirect parameters (temporary)
Location: Global (edge network), primarily USA
Legal basis: Art. 6(1)(b) GDPR (contractual necessity)
DPA: Yes – vercel.com/legal/dpa

4.5 Expo (The Expo Project)

Purpose: App framework and build infrastructure, OTA update distribution
Data processed: Device type, operating system, app version (for update checks)
Location: USA
Legal basis: Art. 6(1)(f) GDPR (legitimate interest – technical app operation)
DPA: expo.dev/legal/privacy

4.6 CRM Providers (only when actively connected)

The following CRM services are only integrated when explicitly activated by the user:

HubSpot Inc. – Contact synchronization, Location: USA/EU, DPA
Salesforce Inc. – Contact synchronization, Location: USA/EU, DPA
Pipedrive OÜ – Contact synchronization, Location: EU (Estonia), DPA

Data processed: Contact data (name, email, phone, company, title), CRM contact IDs
Legal basis: Art. 6(1)(a) GDPR (consent through active connection)

5. International Data Transfers

Some of our sub-processors are located in the USA. The transfer of personal data is based on:

EU-US Data Privacy Framework (DPF) – for certified US companies
Standard Contractual Clauses (SCCs) from the EU Commission as additional safeguards
Data Processing Agreements (DPA) with all service providers

6. Data Retention and Deletion

Your data is stored as long as your account is active. Upon account deletion, all associated data (contacts, scan images, CRM tokens) will be irrevocably deleted within 30 days.

Error logs are automatically deleted after 90 days.

7. Your Rights (GDPR)

Under the GDPR, you have the following rights:

Right of access (Art. 15) – What data we hold about you
Right to rectification (Art. 16) – Correction of inaccurate data
Right to erasure (Art. 17) – Deletion of your data
Right to data portability (Art. 20) – Export of your data
Right to object (Art. 21) – Object to data processing

To exercise your rights, contact us at privacy@businesscardpro.app.

8. Data Security

We implement technical and organizational security measures:

Encrypted transmission (TLS/HTTPS)
Encrypted storage of sensitive data (passwords, OAuth tokens)
Row-Level Security (users can only access their own data)
Regular security updates

9. Camera and Device Permissions

The app requests the following permissions:

Camera – To scan business cards
Photo Library – To import business card images
Contacts – To save scanned contacts to your address book (optional)

These permissions are only requested when needed and can be revoked at any time in your device settings.

10. Changes to This Privacy Policy

We may update this privacy policy from time to time. For significant changes, we will notify you through the app or via email. Continued use of the app after changes constitutes acceptance.

11. Contact

For privacy-related questions, contact us at:
privacy@businesscardpro.app

Right to lodge a complaint with the supervisory authority:
State Commissioner for Data Protection Baden-Württemberg, Germany
www.baden-wuerttemberg.datenschutz.de