Pillo

Datenschutzerklärung

Stand: April 2026. Diese deutsche Fassung ist die rechtsverbindliche Version. English version.

1. Verantwortlicher

Verantwortlich im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Jonny Caspari
Ostpreußendamm 165A
12207 Berlin, Deutschland
E-Mail: j.caspari@mail.de

2. Geltungsbereich

Diese Erklärung gilt für die Website pilloai.app sowie für die macOS-App Pillo (im Folgenden „die App"). Die App verarbeitet Sprache, Text und Bedienkontext grundsätzlich vollständig lokal auf dem Gerät der Nutzerin oder des Nutzers. Eine Übertragung an externe Server findet nur in den unten genannten, eng begrenzten und ausdrücklich einwilligungspflichtigen Ausnahmefällen statt.

3. Datenverarbeitung beim Besuch der Website

3.1 Server-Logfiles

Beim Aufruf der Website werden vom Hosting-Provider technische Daten in Server-Logfiles verarbeitet (u. a. IP-Adresse, Datum und Uhrzeit der Anfrage, abgerufene URL, Referrer, User-Agent). Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; berechtigtes Interesse ist die Bereitstellung und Sicherheit der Website. Die Logs werden zur Abwehr von Angriffen kurzzeitig gespeichert und automatisch gelöscht.

3.2 Hosting durch Vercel

Die Website wird gehostet von der Vercel Inc., 440 N Barranca Avenue #4133, Covina, CA 91723, USA, in der EU vertreten durch die Vercel Germany GmbH(Frankfurt am Main). Mit Vercel besteht ein Auftragsverarbeitungsvertrag (Art. 28 DSGVO). Eine etwaige Datenübermittlung in die USA erfolgt auf Grundlage des EU-US Data Privacy Framework (EU-US DPF), in das Vercel Inc. zertifiziert ist.

3.3 Reichweitenanalyse mit Vercel Analytics

Auf dieser Website kommt Vercel Analytics zum Einsatz. Vercel Analytics ist ein cookie-loser Webanalyse-Dienst der Vercel Inc. Es werden keine Cookies gesetzt und keine geräteübergreifenden Profile erstellt. Aus IP-Adresse, User-Agent und Pfad wird ein kurzlebiger, alle 24 Stunden zurückgesetzter, nicht zurückführbarer Hash gebildet, um wiederkehrende Besuche derselben Sitzung zusammenzufassen. Die IP-Adresse selbst wird weder gespeichert noch an Dritte weitergegeben.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; berechtigtes Interesse ist die anonymisierte, datenschutzfreundliche Auswertung der Website-Reichweite zur Verbesserung des Angebots. Da keine personenbezogenen Daten dauerhaft erhoben werden, sehen wir Vercel Analytics als nicht-einwilligungspflichtig an. Wer der Verarbeitung dennoch widersprechen möchte, kann die Website über einen Browser im Privatmodus oder mit aktivem Tracking-Schutz besuchen.

4. Datenverarbeitung in der Pillo-App

4.1 Lokale Verarbeitung (Standardbetrieb)

Pillo ist als On-Device-Anwendung konzipiert. Sprachaufnahmen, Transkripte, KI-Stilumformungen, Bildschirmkontext (OCR) und sämtliche Nutzungs- und Korrekturhistorien werden ausschließlich lokal auf dem Mac der Nutzerin oder des Nutzers verarbeitet und gespeichert. Es findet im Standardbetrieb keine Übermittlung an Pillo, an externe Server oder an Dritte statt.

4.2 Optionale, einwilligungsbasierte Diagnose-Übermittlung

Die App kann auf ausdrückliche Einwilligung hin (Onboarding und/oder Einstellungen → Privacy) anonymisierte Diagnosedaten an die unter Ziffer 5.2 und 5.3 genannten Auftragsverarbeiter senden. Die Einwilligung ist jederzeit mit Wirkung für die Zukunft widerruflich. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Übermittelt werden ausschließlich:

  • eine zufällig erzeugte, anonyme Geräte-Kennung (UUID v4) ohne Bezug zu Name, E-Mail oder Hardware-Identifikatoren,
  • Versions- und Build-Nummer der App,
  • macOS-Version und Architektur (arm64/x86_64),
  • Ereignisnamen und Zähler aus einer fest definierten Allowlist (z. B. „dictation.completed"),
  • Latenz- und Dauer-Messwerte als Zahlen,
  • im Fehlerfall: Stack-Trace und Fehlerklasse, jedoch ohne Pfade unterhalb von /Users/<Name>/ (diese werden client-seitig zu ~/ normalisiert).

Nicht übermittelt werden:

  • Transkripte, Audioaufnahmen oder sonstige Sprachinhalte,
  • Inhalt der Zwischenablage,
  • Bundle-IDs oder Namen der Apps, in die diktiert wird,
  • Dateipfade, Dateiinhalte oder Bildschirminhalte,
  • Name, E-Mail-Adresse oder IP-Adresse der Nutzerin oder des Nutzers (Sentry IP-Erfassung ist deaktiviert).

4.3 Nutzerinitiierte Fehlerberichte

Beim Klick auf „Report a Bug" öffnet sich ein Formular. Bei aktiver Diagnose-Einwilligung wird die Beschreibung über Sentry an die Pillo-Wartung übertragen; die optionale E-Mail-Adresse wird ausschließlich verarbeitet, falls die Nutzerin oder der Nutzer eine Rückmeldung wünscht. Ohne Einwilligung wird stattdessen das systemeigene Mailprogramm mit vorausgefüllten Diagnose-Angaben geöffnet; die Nutzerin oder der Nutzer kann den Inhalt vor dem Versand prüfen.

5. Auftragsverarbeiter und Empfänger

5.1 Vercel (Hosting & Webanalyse)

Verantwortliche Stelle: Vercel Inc., 440 N Barranca Avenue #4133, Covina, CA 91723, USA; EU-Vertretung durch Vercel Germany GmbH (Frankfurt). Auftragsverarbeitungsvertrag nach Art. 28 DSGVO und EU-US Data Privacy Framework liegen vor. Datenschutz: vercel.com/legal/privacy-policy.

5.2 TelemetryDeck (Anonyme Nutzungs-Analytik in der App)

Zur Analyse von Nutzungsdaten verwenden wir bei aktiver Diagnose-Einwilligung den datenschutzfreundlichen Analysedienst TelemetryDeck (Anbieter: TelemetryDeck GmbH, Von-der-Tann-Str. 54, 86159 Augsburg, Deutschland; HRB 37541, USt-ID DE353418916). Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung); die Einwilligung ist jederzeit mit Wirkung für die Zukunft widerruflich. Server- und Datenstandort: Deutschland. Ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO liegt vor.

Welche Daten werden übertragen? Die durch TelemetryDeck verarbeiteten Daten sind vollständig anonymisiert und lassen keinen Rückschluss auf personenbezogene Informationen zu. Erfasst werden:

  • eine anonymisierte, nicht rückverfolgbare Benutzerkennung (eine UUID v4 je App-Installation),
  • vom App-Publisher definierte Aktionen (z. B. „dictation.completed", „onboarding.step_completed"),
  • ein abgerundeter Zeitstempel (auf die volle Stunde),
  • Gerätemetadaten (Systemversion, App-Version, Gerätetyp),
  • vom App-Publisher definierte zusätzliche Metadaten (z. B. Sprachcode, Latenzwerte, Funktions-Schalter).

Was wird ausdrücklich nicht gespeichert?

  • keine IP-Adressen (weder in Logs noch in der Datenbank),
  • keine Cookies oder Tracking-Technologien,
  • keine dauerhaften Identifikatoren, die auf Einzelpersonen rückführbar wären.

Der Quellcode des TelemetryDeck-SDK ist vollständig offen einsehbar: github.com/TelemetryDeck. Datenschutzhinweise des Anbieters: telemetrydeck.com/privacy.

5.3 Sentry (Fehler- und Absturzberichte in der App)

Zur Erfassung von Programmfehlern und Abstürzen verwenden wir bei aktiver Diagnose-Einwilligung den Dienst Sentry. Vertragspartner: Functional Software, Inc. dba Sentry, 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung); die Einwilligung ist jederzeit mit Wirkung für die Zukunft widerruflich. Daten werden ausschließlich in der EU-Region (Frankfurt am Main, Deutschland) gehostet. Eine etwaige Übermittlung an die US-Muttergesellschaft erfolgt auf Grundlage des EU-US Data Privacy Framework (Sentry ist DPF-zertifiziert) sowie eines Auftragsverarbeitungsvertrags nach Art. 28 DSGVO mit Standardvertragsklauseln.

Welche Daten werden übertragen?

  • die anonyme Geräte-Kennung (UUID v4) — identisch mit der TelemetryDeck-Kennung, damit Berichte zugeordnet werden können,
  • im Fehlerfall: Stack-Trace und Fehlerklasse,
  • App-Version und Build-Nummer, macOS-Version, Architektur (arm64 / x86_64),
  • vorab definierte Breadcrumbs aus einer festen Allowlist (z. B. App-Lifecycle-Ereignisse) — keine freien Log-Texte,
  • bei nutzerinitiierten Fehlerberichten zusätzlich: die freitextliche Beschreibung sowie optional die vom Nutzer angegebene E-Mail-Adresse.

Was wird ausdrücklich nicht gespeichert?

  • keine IP-Adressen (Sentry-Option sendDefaultPii ist deaktiviert),
  • keine Geräte-Hostnamen, Zeitzonen, oder „device fingerprint hashes",
  • keine Dateipfade unter /Users/<Name>/ (clientseitig zu ~/ normalisiert),
  • keine Transkripte, Audioaufnahmen, Bildschirminhalte, Zwischenablage oder Bundle-IDs der Ziel-Apps,
  • keine Performance- oder Tracing-Daten (in der App-Konfiguration deaktiviert).

Datenschutzhinweise des Anbieters: sentry.io/privacy/.

6. Speicherdauer

  • Server-Logs: kurzfristig (i. d. R. wenige Tage), dann automatische Löschung.
  • Vercel Analytics-Daten: aggregierte Reichweitenstatistik, ohne dauerhafte personenbezogene Speicherung.
  • TelemetryDeck-Signale: aggregierte Nutzungs-Statistik; nach Widerruf der Einwilligung werden zukünftige Daten nicht mehr erhoben.
  • Sentry-Fehlerberichte: bis zu 90 Tage in der Sentry-EU-Region; nach Widerruf der Einwilligung werden keine weiteren Berichte gesendet.
  • Anonyme Geräte-Kennung (UUID): wird in der App lokal gespeichert; bei Klick auf „Reset Diagnostic ID" oder Deinstallation entfernt.

7. Rechte der betroffenen Person

Nach DSGVO stehen Ihnen unter anderem folgende Rechte zu:

  • Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO),
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO),
  • Löschung („Recht auf Vergessenwerden", Art. 17 DSGVO),
  • Einschränkung der Verarbeitung (Art. 18 DSGVO),
  • Datenübertragbarkeit (Art. 20 DSGVO),
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO),
  • Widerruf einer einmal erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO),
  • Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO).

Da Diagnosedaten ausschließlich unter einer anonymen UUID erhoben werden, benötigen wir zur Ausübung Ihrer Rechte diese UUID. Sie finden sie in der App unter Einstellungen → Privacy bzw. können sie über den dort vorhandenen Button „Request Data Deletion" automatisch in eine E-Mail an uns einfügen lassen.

8. Zuständige Aufsichtsbehörde

Aufgrund des Sitzes des Verantwortlichen ist zuständig die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), Alt-Moabit 59–61, 10555 Berlin, Deutschland; datenschutz-berlin.de.

9. Übermittlung in Drittländer

Eine Übermittlung personenbezogener Daten in Länder außerhalb der EU/EWR findet nur in den oben genannten Fällen (Vercel, Sentry) und auf Grundlage geeigneter Garantien statt (EU-US Data Privacy Framework und Standardvertragsklauseln gemäß Art. 46 DSGVO).

10. Änderungen dieser Erklärung

Diese Datenschutzerklärung wird regelmäßig an neue rechtliche oder funktionale Gegebenheiten angepasst. Die jeweils aktuelle Fassung ist unter pilloai.app/datenschutz abrufbar.

11. Kontakt für Datenschutzfragen

Anfragen rund um den Datenschutz richten Sie bitte an: j.caspari@mail.de.