Legal
Privacy Policy / Datenschutzerklärung
English
1. Controller / Responsible Party
Jen Adam, Sulzbachstr. 31A, 66111, Germany
E-Mail: [email protected]
2. General Information
This privacy policy explains what personal data we collect, for what purposes we use it, and what rights you have. CptLog is a multimodal AI-powered journal application. During the beta phase, access is restricted to invited users only.
3. Categories of Personal Data Collected
- Account data: E-mail address, hashed password, registration date, account status, role — purpose: authentication and service provision.
- Journal content: Text, voice recordings, video files, images — purpose: core service.
- AI metadata: AI model used, token counts, generation timestamps — purpose: service operation and abuse prevention.
- Technical log data: IP address, timestamps, HTTP request metadata — purpose: security and error diagnosis.
- Media files: Audio, video, image files — purpose: transcription and AI enrichment.
4. Legal Bases (Art. 6 GDPR)
- Account and service provision: Art. 6(1)(b) — contract performance.
- Journal data and AI processing: Art. 6(1)(b) — contract performance.
- Server logs, rate limiting, abuse prevention: Art. 6(1)(f) — legitimate interest.
- E-mail notifications: Art. 6(1)(b) — contract performance.
5. Third-Party Services and Data Processors
File storage: S3-compatible object store. Default configuration: self-hosted MinIO in Germany. If an external S3 provider is configured, adequate data protection is ensured (e.g. EU Standard Contractual Clauses).
AI services: Configurable OpenAI-compatible endpoint. Default/beta: operator-controlled. If a third-party AI provider is configured (e.g. OpenAI), text content may be processed on their servers. Raw media files are never transmitted to AI providers.
6. Data Retention and Deletion
- Logs and journal entries: retained while account is active; 14-day soft-delete grace period before permanent deletion.
- Media files: deleted immediately on entry or account deletion.
- Server log files: rotated and deleted after a maximum of 30 days.
- Account data: deleted on account closure request; soft-deleted data purged after 14 days.
7. Your Rights (Art. 15-22 GDPR)
You have the right to access (Art. 15), rectification (Art. 16), erasure (Art. 17), restriction (Art. 18), data portability (Art. 20), objection (Art. 21), and not to be subject to solely automated decisions (Art. 22). Contact us at the address in Section 1. You may also lodge a complaint with the BfDI (www.bfdi.bund.de).
8. Data Security
We implement TLS encryption, hashed passwords (ASP.NET Core Identity), JWT authentication, and role-based access controls.
9. Cookies and Local Storage
The backend API does not use cookies. Client apps (Android, Windows) may store authentication tokens in secure local storage. No tracking cookies or third-party analytics are used.
10. Beta Phase
Access is restricted to invited users. The service may be altered or terminated at any time. Data collected during beta may be retained into the general release unless you request deletion.
11. Changes to this Policy
Updates will be published here and via the CptLog API (GET /legal/privacy-policy). Material changes will be communicated by e-mail.
Version: 1.0.0 — Last updated: 2026-03-08
Deutsch
1. Verantwortliche Stelle
Jen Adam, Sulzbachstr. 31A, 66111 Saarbrücken, Deutschland
E-Mail: [email protected]
2. Allgemeines
Diese Datenschutzerklärung informiert Sie über die Verarbeitung personenbezogener Daten im Rahmen der Nutzung von CptLog, einer multimodalen, KI-gestützten Tagebuchanwendung. In der Betaphase ist der Zugang auf eingeladene Nutzerinnen und Nutzer beschränkt.
3. Kategorien der verarbeiteten Daten
- Kontodaten: E-Mail-Adresse, Passwort-Hash, Registrierungsdatum, Kontostatus, Rolle — Zweck: Authentifizierung und Leistungserbringung.
- Tagebuchinhalte: Text, Sprachaufnahmen, Video, Bilder — Zweck: Kernleistung.
- KI-Metadaten: verwendetes Modell, Token-Anzahl, Zeitstempel — Zweck: Betrieb und Missbrauchsprävention.
- Technische Logdaten: IP-Adresse, Zeitstempel, HTTP-Metadaten — Zweck: Sicherheit und Fehlerdiagnose.
- Mediendateien: Audio-, Video- und Bilddateien — Zweck: Transkription und KI-Anreicherung.
4. Rechtsgrundlagen (Art. 6 DSGVO)
- Konto und Leistungserbringung: Art. 6 Abs. 1 lit. b — Vertragserfüllung.
- Tagebuchdaten und KI-Verarbeitung: Art. 6 Abs. 1 lit. b — Vertragserfüllung.
- Server-Logs, Rate-Limiting, Missbrauchsprävention: Art. 6 Abs. 1 lit. f — berechtigtes Interesse.
- E-Mail-Benachrichtigungen: Art. 6 Abs. 1 lit. b — Vertragserfüllung.
5. Drittanbieter und Auftragsverarbeiter
Dateispeicher: S3-kompatibler Objektspeicher. Standard: selbst gehostete MinIO-Instanz in Deutschland. Bei externer S3-Nutzung werden angemessene Datenschutzgarantien sichergestellt (z. B. EU-Standardvertragsklauseln).
KI-Dienste: Konfigurierbarer OpenAI-kompatibler Endpunkt. Standard/Beta: betreiberseitig kontrolliert. Bei Drittanbieter-KI (z. B. OpenAI) können Textinhalte auf deren Servern verarbeitet werden. Rohe Mediendateien werden nicht an KI-Dienste übermittelt.
6. Datenspeicherung und -löschung
- Logs und Einträge: gespeichert solange Konto aktiv; 14-tägige Soft-Delete-Karenzzeit vor endgültiger Löschung.
- Mediendateien: sofortige Löschung bei Eintrags- oder Kontolöschung.
- Server-Logdateien: Rotation und Löschung nach maximal 30 Tagen.
- Kontodaten: Löschung auf Anfrage; soft-gelöschte Daten nach 14 Tagen entfernt.
7. Ihre Rechte (Art. 15-22 DSGVO)
Sie haben das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21) und Schutz vor ausschließlich automatisierten Entscheidungen (Art. 22). Wenden Sie sich an die Adresse in Abschnitt 1. Beschwerden können Sie bei der BfDI einreichen (www.bfdi.bund.de).
8. Datensicherheit
Wir setzen TLS-Verschlüsselung, Passwort-Hashing (ASP.NET Core Identity), JWT-Authentifizierung und rollenbasierte Zugriffskontrollen ein.
9. Cookies und lokaler Speicher
Das Backend nutzt keine Cookies. Die Client-Apps (Android, Windows) können Authentifizierungs-Token im sicheren lokalen Speicher ablegen. Tracking-Cookies oder Drittanbieter-Analysen werden nicht eingesetzt.
10. Betaphase
Zugang ist auf eingeladene Nutzer beschränkt. Der Dienst kann jederzeit geändert oder eingestellt werden. In der Beta erhobene Daten werden in die Vollversion übernommen, sofern keine Löschung beantragt wird.
11. Änderungen
Änderungen werden hier und über die CptLog API (GET /legal/privacy-policy) veröffentlicht. Wesentliche Änderungen werden per E-Mail kommuniziert.
Version: 1.0.0 — Stand: 08.03.2026