Datenschutzerklärung — meinBeleg

1. Datenschutz auf einen Blick

Die folgende Datenschutzerklärung gilt für die mobile App meinBeleg (im internationalen App Store als „my-receipt" gelistet) der ActNow GmbH. Sie informiert Sie darüber, welche personenbezogenen Daten bei der Nutzung der App erhoben und verarbeitet werden.

2. Verantwortliche Stelle

ActNow GmbH Torstrasse 33 10119 Berlin Deutschland

E-Mail: info[at]actnow-gmbh.de Telefon: +49(030)700142-450

Vertretungsberechtigter Geschäftsführer: M. Speck

3. Datenverarbeitung in der App

3.1 Erhobene und verarbeitete Daten

Die App erhebt und verarbeitet folgende Daten:

• Fotografierte oder importierte Belegbilder
• Extrahierte Beleginformationen (Betrag, Datum, Kategorie, Händler)
• Ihre Einstellungen und Präferenzen
• Exportierte Berichte

Diese Daten werden sowohl lokal auf Ihrem Gerät als auch auf unserem Server gespeichert und synchronisiert (siehe Abschnitt 3.5).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Bereitstellung der App-Funktionalität).

3.2 Kamerazugriff

Die App benötigt Zugriff auf die Kamera Ihres Geräts zum Scannen von Belegen. Die aufgenommenen Bilder werden zur Texterkennung an unseren Server übertragen (siehe Abschnitt 3.4).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Erteilung der Berechtigung im Betriebssystem).

3.3 Fotozugriff

Die App kann auf Ihre Fotobibliothek zugreifen, um bereits vorhandene Belegfotos zu importieren. Der Zugriff erfolgt nur nach Ihrer Freigabe.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

3.4 Texterkennung (OCR) und KI-Verarbeitung

Die App nutzt KI-gestützte optische Zeichenerkennung (OCR) und KI-basierte Datenextraktion, um Text und strukturierte Informationen aus Belegfotos zu extrahieren. Die Verarbeitung erfolgt nicht auf Ihrem Gerät, sondern auf unserem Server (siehe Abschnitt 3.5).

Dabei kommen folgende externe Dienste zum Einsatz:

Google Cloud Vision API (OCR)

• Anbieter: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA
• Zweck: Optische Zeichenerkennung aus Belegbildern
• Verarbeitete Daten: Belegbilder werden zur Texterkennung übermittelt
• Datenschutzrichtlinie: https://policies.google.com/privacy

Microsoft Azure Computer Vision (OCR)

• Anbieter: Microsoft Corporation, One Microsoft Way, Redmond, WA 98052, USA
• Zweck: Optische Zeichenerkennung aus Belegbildern
• Verarbeitete Daten: Belegbilder werden zur Texterkennung übermittelt
• Datenschutzrichtlinie: https://privacy.microsoft.com/de-de/privacystatement

OpenRouter (KI-Sprachmodelle / LLM)

• Anbieter: OpenRouter, Inc., USA
• Zweck: KI-gestützte Extraktion und Strukturierung von Belegdaten (Betrag, Datum, Kategorie, Händler) aus dem OCR-erkannten Text
• Verarbeitete Daten: Extrahierter Text aus Belegen (keine Bilddaten)
• Es werden verschiedene KI-Modelle über OpenRouter eingesetzt
• Datenschutzrichtlinie: https://openrouter.ai/privacy

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — die OCR- und KI-Verarbeitung ist Kernfunktion der App) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung einer leistungsfähigen Belegerkennungsfunktion).

3.5 Cloud-Synchronisation und Datenspeicherung

Ihre Belegdaten werden mit unserem Server synchronisiert und dort gespeichert.

Hosting-Anbieter:

• Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland
• Serverstandort: Deutschland
• Datenschutzrichtlinie: https://www.hetzner.com/de/legal/privacy-policy/

Die Speicherung Ihrer Daten erfolgt ausschließlich auf Servern in Deutschland. Es gelten die strengen Datenschutzstandards der DSGVO.

Gespeicherte Daten auf dem Server:

• Belegbilder
• Extrahierte Beleginformationen
• Kontodaten (sofern ein Account erstellt wurde)
• Synchronisierungsdaten

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3.6 Optionale Cloud-Export-Anbindungen (Dropbox, Google Drive, OneDrive)

Auf Ihren Wunsch hin können Sie meinBeleg mit einem oder mehreren externen Cloud-Speicherdiensten verbinden, um Belege oder Berichte dorthin zu exportieren. Die Verbindung erfolgt ausschließlich nach aktiver Anmeldung in den App-Einstellungen über das offizielle Login-Verfahren des jeweiligen Anbieters (OAuth). Es werden ausschließlich die für den Export ausgewählten Dateien an den jeweiligen Anbieter übertragen.

Verfügbare Anbindungen:

• Dropbox — Dropbox International Unlimited Company, One Park Place, Hatch Street Upper, Dublin 2, Irland — Datenschutzrichtlinie
• Google Drive — Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA — Datenschutzrichtlinie
• Microsoft OneDrive — Microsoft Corporation, One Microsoft Way, Redmond, WA 98052, USA — Datenschutzrichtlinie

Diese Anbindungen sind optional und bleiben deaktiviert, solange Sie sie nicht aktiv verbinden. Sie können die Verbindung jederzeit in den App-Einstellungen aufheben.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) und Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Bereitstellung des Exports).

3.7 Geräteberechtigungen

Für einzelne Funktionen fragt die App folgende Berechtigungen Ihres Geräts an. Sie können diese jederzeit in den iOS-Einstellungen widerrufen.

• Kamera — zum Erfassen von Belegen (siehe Abschnitt 3.2)
• Fotobibliothek — zum Importieren bestehender Belegfotos (siehe Abschnitt 3.3)
• Standort (während der App-Nutzung) — zur Anzeige von Dienstleistern in der Nähe (z. B. „Find Service Provider Locations near you")
• Kontakte — wird nur dann verwendet, wenn Sie zu einem Bewirtungsbeleg Teilnehmende aus dem Adressbuch ergänzen möchten

Die Berechtigungen werden ausschließlich anlassbezogen abgefragt und ausschließlich für den jeweils genannten Zweck verwendet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Erteilung der Berechtigung im Betriebssystem).

3.8 Push-Benachrichtigungen (Firebase Cloud Messaging)

Die App nutzt Firebase Cloud Messaging (FCM) sowie das Apple Push Notification service (APNs), um Push-Benachrichtigungen (z. B. Hinweise auf Garantieabläufe oder erfolgreiche Beleg-Verarbeitung) an Ihr Gerät zu senden.

Anbieter: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA — Datenschutzrichtlinie sowie Apple Inc., One Apple Park Way, Cupertino, CA 95014, USA — Datenschutzrichtlinie

Erfasste Daten: ein technisches Geräte-Token (FCM-/APNs-Token), das Ihrem Gerät durch das Betriebssystem zugeordnet ist.

Sie können Push-Benachrichtigungen jederzeit in den iOS-Einstellungen unter „Mitteilungen → meinBeleg" deaktivieren.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Erteilung der Push-Berechtigung).

3.9 Vertrag über Auftragsverarbeitung

Um die datenschutzkonforme Verarbeitung zu gewährleisten, haben wir mit den eingesetzten Dienstleistern Verträge zur Auftragsverarbeitung (AVV) bzw. Data Processing Addenda (DPA) geschlossen.

4. Abonnements und Zahlungen

In-App-Käufe und Abonnements werden über Apple (App Store) abgewickelt. ActNow GmbH erhält keine Zahlungsdaten (Kreditkartennummern o. Ä.) von Apple. Wir erhalten lediglich Informationen über den Status Ihres Abonnements (aktiv/inaktiv).

Verantwortlich für die Zahlungsabwicklung: Apple Inc., One Apple Park Way, Cupertino, CA 95014, USA Datenschutzrichtlinie: https://www.apple.com/legal/privacy/

5. Diagnose- und Absturzdaten (Firebase Crashlytics)

Die App nutzt Firebase Crashlytics von Google zur Erfassung von Absturz- und Diagnosedaten.

Anbieter: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA Erfasste Daten:

• Absturzberichte (Stack Traces)
• Geräteinformationen (Modell, Betriebssystem-Version)
• App-Version und Build-Nummer
• Anonymisierte Nutzungsdaten

Diese Daten enthalten keine personenbezogenen Informationen und lassen keine Rückschlüsse auf einzelne Nutzer zu.

Datenschutzrichtlinie: https://firebase.google.com/support/privacy

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung der App-Stabilität).

6. Weitergabe an Dritte

Ihre Daten werden im Rahmen der in Abschnitt 3.4 und 3.5 beschriebenen Verarbeitungsprozesse an die dort genannten Dienstleister weitergegeben. Eine Weitergabe zu Werbezwecken oder ein Verkauf Ihrer Daten an Dritte findet nicht statt.

Zusammenfassung der eingesetzten Auftragsverarbeiter:

Dienstleister	Zweck	Standort
Hetzner Online GmbH	Hosting, Datenspeicherung, Server	Deutschland
Google LLC (Cloud Vision)	OCR-Texterkennung	USA (EU-US DPF + SCC)
Microsoft Corporation (Azure)	OCR-Texterkennung	USA (EU-US DPF + SCC)
OpenRouter, Inc.	KI-Datenextraktion (LLM)	USA (SCC)
Google LLC (Firebase Cloud Messaging)	Push-Benachrichtigungen	USA (EU-US DPF)
Google LLC (Firebase Crashlytics)	Absturz- und Diagnosedaten	USA (EU-US DPF)
Google LLC (Firebase Analytics / Remote Config)	Anonymisierte Nutzungsstatistik & Konfiguration	USA (EU-US DPF)
Apple Inc. (APNs)	Zustellung von Push-Benachrichtigungen	USA (EU-US DPF)
Apple Inc.	Zahlungsabwicklung, App-Distribution	USA (EU-US DPF)
Dropbox International Unlimited Company	Optionaler Beleg-Export (nur nach aktiver Verbindung)	Irland (EU) / USA
Google LLC (Google Drive)	Optionaler Beleg-Export (nur nach aktiver Verbindung)	USA (EU-US DPF)
Microsoft Corporation (OneDrive)	Optionaler Beleg-Export (nur nach aktiver Verbindung)	USA (EU-US DPF + SCC)

7. Datenübertragung in Drittländer

Bei der Nutzung der OCR- und KI-Dienste (Google, Microsoft, OpenRouter), der Push-Infrastruktur (Google FCM, Apple APNs), der Zahlungsabwicklung (Apple) sowie — sofern aktiviert — der optionalen Cloud-Export-Anbindungen werden Daten in die USA bzw. nach Irland übertragen.

• Google, Microsoft und Apple sind nach dem EU-US Data Privacy Framework (DPF) zertifiziert. Zusätzlich stützen wir uns auf die Standardvertragsklauseln der EU-Kommission (Art. 46 Abs. 2 lit. c DSGVO) als ergänzende Übertragungsgarantie.
• Für OpenRouter stützen wir uns auf die Standardvertragsklauseln der EU-Kommission (Art. 46 Abs. 2 lit. c DSGVO) als Garantie für ein angemessenes Datenschutzniveau.
• Dropbox verarbeitet Daten primär innerhalb der EU (Irland), kann jedoch Daten auch in die USA übertragen; die Übertragung erfolgt auf Basis der Standardvertragsklauseln und der eigenen Datenschutzgarantien von Dropbox.

Ihre Belegdaten werden auf Servern der Hetzner Online GmbH in Deutschland gespeichert und verlassen den europäischen Wirtschaftsraum nur im Rahmen der oben beschriebenen Verarbeitungsprozesse — bzw. wenn Sie aktiv einen externen Cloud-Speicherdienst angebunden haben.

8. Speicherdauer

• Serverdaten: Ihre auf dem Server gespeicherten Daten werden aufbewahrt, solange Ihr Account aktiv ist. Nach Löschung Ihres Accounts werden alle zugehörigen Daten innerhalb von 30 Tagen gelöscht.
• Lokale Daten: Ihre lokal auf dem Gerät gespeicherten Daten verbleiben dort, bis Sie diese löschen oder die App deinstallieren.

9. Ihre Rechte

Sie haben gemäß DSGVO folgende Rechte:

• Auskunft (Art. 15 DSGVO): Recht auf Information über die Verarbeitung Ihrer Daten
• Berichtigung (Art. 16 DSGVO): Recht auf Korrektur unrichtiger Daten
• Löschung (Art. 17 DSGVO): Recht auf Löschung Ihrer Daten
• Einschränkung (Art. 18 DSGVO): Recht auf eingeschränkte Verarbeitung
• Datenübertragbarkeit (Art. 20 DSGVO): Recht auf Erhalt Ihrer Daten in maschinenlesbarem Format
• Widerspruch (Art. 21 DSGVO): Recht auf Widerspruch gegen die Verarbeitung
• Widerruf der Einwilligung: Jederzeit möglich, ohne Angabe von Gründen

Um Ihre Rechte auszuüben, wenden Sie sich bitte an: info[at]actnow-gmbh.de

Beschwerderecht

Sie haben das Recht, sich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren:

Berliner Beauftragte für Datenschutz und Informationsfreiheit Friedrichstr. 219, 10969 Berlin https://www.datenschutz-berlin.de

10. Hinweis zur Nutzung von Künstlicher Intelligenz (EU AI Act)

Diese App nutzt KI-gestützte Technologien für folgende Funktionen:

• Optische Zeichenerkennung (OCR): Extraktion von Text aus Belegfotos mittels Google Cloud Vision und Microsoft Azure Computer Vision
• KI-basierte Datenextraktion: Strukturierung und Kategorisierung von Belegdaten (Betrag, Datum, Händler, Kategorie) mittels großer Sprachmodelle (LLM) über OpenRouter

Die KI-Verarbeitung erfolgt serverseitig auf unserem Server in Deutschland (Hetzner). Belegbilder und extrahierter Text werden an die oben genannten Drittanbieter zur Verarbeitung übermittelt.

Das System wird als risikoarmes KI-System im Sinne der Verordnung (EU) 2024/1689 (EU AI Act) eingestuft, da es als Texterkennungs- und Datenextraktionswerkzeug dient und keine autonomen Entscheidungen mit rechtlicher Wirkung für den Nutzer trifft. Gemäß Art. 50 des EU AI Act informieren wir Sie hiermit transparent über den Einsatz von KI-Systemen in dieser App.

11. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um Ihre Daten zu schützen:

• Verschlüsselte Datenübertragung (TLS/SSL) zwischen App und Server
• Verschlüsselte Speicherung auf dem Server
• Serverstandort in Deutschland mit deutschem Datenschutzrecht
• Regelmäßige Sicherheitsupdates

12. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie stets den aktuellen rechtlichen Anforderungen anzupassen oder um Änderungen unserer App umzusetzen.

Stand: April 2026

Privacy Policy — my-receipt

1. Data Protection at a Glance

This privacy policy applies to the mobile app my-receipt (known as „meinBeleg" in Germany) by ActNow GmbH. It informs you about which personal data is collected and processed when using the app.

2. Data Controller

ActNow GmbH Torstrasse 33 10119 Berlin Germany

Email: info[at]actnow-gmbh.de Phone: +49(030)700142-450

Managing Director: M. Speck

3. Data Processing in the App

3.1 Collected and Processed Data

The app collects and processes the following data:

• Photographed or imported receipt images
• Extracted receipt information (amount, date, category, merchant)
• Your settings and preferences
• Exported reports

This data is stored both locally on your device and on our server, and is synchronized (see section 3.5).

Legal basis: Art. 6(1)(b) GDPR (contract performance — provision of app functionality).

3.2 Camera Access

The app requires access to your device’s camera to scan receipts. Captured images are transmitted to our server for text recognition (see section 3.4).

Legal basis: Art. 6(1)(a) GDPR (consent by granting permission in the operating system).

3.3 Photo Library Access

The app can access your photo library to import existing receipt photos. Access is only granted after your explicit approval.

Legal basis: Art. 6(1)(a) GDPR (consent).

3.4 Text Recognition (OCR) and AI Processing

The app uses AI-powered optical character recognition (OCR) and AI-based data extraction to extract text and structured information from receipt photos. Processing does not take place on your device but on our server (see section 3.5).

The following external services are used:

Google Cloud Vision API (OCR)

• Provider: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA
• Purpose: Optical character recognition from receipt images
• Data processed: Receipt images are transmitted for text recognition
• Privacy policy: https://policies.google.com/privacy

Microsoft Azure Computer Vision (OCR)

• Provider: Microsoft Corporation, One Microsoft Way, Redmond, WA 98052, USA
• Purpose: Optical character recognition from receipt images
• Data processed: Receipt images are transmitted for text recognition
• Privacy policy: https://privacy.microsoft.com/en-us/privacystatement

OpenRouter (AI Language Models / LLM)

• Provider: OpenRouter, Inc., USA
• Purpose: AI-powered extraction and structuring of receipt data (amount, date, category, merchant) from OCR-recognized text
• Data processed: Extracted text from receipts (no image data)
• Various AI models are used via OpenRouter
• Privacy policy: https://openrouter.ai/privacy

Legal basis: Art. 6(1)(b) GDPR (contract performance — OCR and AI processing is a core function of the app) and Art. 6(1)(f) GDPR (legitimate interest in providing a powerful receipt recognition feature).

3.5 Cloud Synchronization and Data Storage

Your receipt data is synchronized with and stored on our server.

Hosting provider:

• Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Germany
• Server location: Germany
• Privacy policy: https://www.hetzner.com/legal/privacy-policy/

Your data is stored exclusively on servers in Germany. The strict data protection standards of the GDPR apply.

Data stored on the server:

• Receipt images
• Extracted receipt information
• Account data (if an account was created)
• Synchronization data

Legal basis: Art. 6(1)(b) GDPR (contract performance).

3.6 Optional Cloud Export Integrations (Dropbox, Google Drive, OneDrive)

If you wish, you can connect my-receipt to one or more external cloud storage services to export receipts or reports. The connection is established only after you actively sign in via the official login flow (OAuth) of the respective provider in the app’s settings. Only the files you select for export are transmitted to the respective provider.

Available integrations:

• Dropbox — Dropbox International Unlimited Company, One Park Place, Hatch Street Upper, Dublin 2, Ireland — Privacy Policy
• Google Drive — Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA — Privacy Policy
• Microsoft OneDrive — Microsoft Corporation, One Microsoft Way, Redmond, WA 98052, USA — Privacy Policy

These integrations are optional and remain disabled until you actively connect them. You can disconnect them at any time in the app’s settings.

Legal basis: Art. 6(1)(a) GDPR (consent) and Art. 6(1)(b) GDPR (contract performance — provision of the export feature).

3.7 Device Permissions

For individual features, the app requests the following device permissions. You can revoke them at any time in iOS Settings.

• Camera — to capture receipts (see Section 3.2)
• Photo library — to import existing receipt photos (see Section 3.3)
• Location (while using the app) — to display nearby service providers (“Find Service Provider Locations near you”)
• Contacts — used only when you add attendees from your address book to an entertainment receipt

These permissions are requested only on demand and used solely for the stated purpose.

Legal basis: Art. 6(1)(a) GDPR (consent through OS-level permission).

3.8 Push Notifications (Firebase Cloud Messaging)

The app uses Firebase Cloud Messaging (FCM) along with the Apple Push Notification service (APNs) to deliver push notifications (e.g., warranty expiration reminders or successful receipt processing) to your device.

Provider: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA — Privacy Policy and Apple Inc., One Apple Park Way, Cupertino, CA 95014, USA — Privacy Policy

Data collected: a technical device token (FCM/APNs token) assigned to your device by the operating system.

You can disable push notifications at any time in iOS Settings → Notifications → my-receipt.

Legal basis: Art. 6(1)(a) GDPR (consent through OS-level push permission).

3.9 Data Processing Agreements

To ensure GDPR-compliant processing, we have concluded data processing agreements (DPA) with the service providers mentioned above.

4. Subscriptions and Payments

In-app purchases and subscriptions are processed through Apple (App Store). ActNow GmbH does not receive any payment data (credit card numbers, etc.) from Apple. We only receive information about the status of your subscription (active/inactive).

Responsible for payment processing: Apple Inc., One Apple Park Way, Cupertino, CA 95014, USA Privacy Policy: https://www.apple.com/legal/privacy/

5. Diagnostic and Crash Data (Firebase Crashlytics)

The app uses Firebase Crashlytics by Google for collecting crash and diagnostic data.

Provider: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA Data collected:

• Crash reports (stack traces)
• Device information (model, OS version)
• App version and build number
• Anonymized usage data

This data does not contain personal information and does not allow conclusions about individual users.

Privacy policy: https://firebase.google.com/support/privacy

Legal basis: Art. 6(1)(f) GDPR (legitimate interest in improving app stability).

6. Disclosure to Third Parties

Your data is shared with the service providers described in sections 3.4 and 3.5 as part of the processing described therein. Your data is not shared for advertising purposes, nor sold to third parties.

Summary of data processors:

Service Provider	Purpose	Location
Hetzner Online GmbH	Hosting, data storage, server	Germany
Google LLC (Cloud Vision)	OCR text recognition	USA (EU-US DPF + SCC)
Microsoft Corporation (Azure)	OCR text recognition	USA (EU-US DPF + SCC)
OpenRouter, Inc.	AI data extraction (LLM)	USA (SCC)
Google LLC (Firebase Cloud Messaging)	Push notifications	USA (EU-US DPF)
Google LLC (Firebase Crashlytics)	Crash and diagnostic data	USA (EU-US DPF)
Google LLC (Firebase Analytics / Remote Config)	Anonymized usage statistics & configuration	USA (EU-US DPF)
Apple Inc. (APNs)	Delivery of push notifications	USA (EU-US DPF)
Apple Inc.	Payment processing, app distribution	USA (EU-US DPF)
Dropbox International Unlimited Company	Optional receipt export (only after active connection)	Ireland (EU) / USA
Google LLC (Google Drive)	Optional receipt export (only after active connection)	USA (EU-US DPF)
Microsoft Corporation (OneDrive)	Optional receipt export (only after active connection)	USA (EU-US DPF + SCC)

7. Data Transfer to Third Countries

When using OCR and AI services (Google, Microsoft, OpenRouter), the push infrastructure (Google FCM, Apple APNs), payment processing (Apple), and — if enabled — the optional cloud export integrations, data is transferred to the USA or to Ireland.

• Google, Microsoft, and Apple are certified under the EU-US Data Privacy Framework (DPF). Additionally, we rely on the EU Commission’s Standard Contractual Clauses (Art. 46(2)(c) GDPR) as a supplementary transfer safeguard.
• For OpenRouter, we rely on the EU Commission’s Standard Contractual Clauses (Art. 46(2)(c) GDPR) as a safeguard for an adequate level of data protection.
• Dropbox processes data primarily within the EU (Ireland) but may also transfer data to the USA; the transfer is based on Standard Contractual Clauses and Dropbox’s own data protection safeguards.

Your receipt data is stored on servers of Hetzner Online GmbH in Germany and only leaves the European Economic Area as part of the processing described above — or if you have actively connected an external cloud storage service.

8. Data Retention

• Server data: Your data stored on the server is retained as long as your account is active. After deletion of your account, all associated data will be deleted within 30 days.
• Local data: Data stored locally on your device remains there until you delete it or uninstall the app.

9. Your Rights

Under the GDPR, you have the following rights:

• Information (Art. 15 GDPR): Right to information about the processing of your data
• Rectification (Art. 16 GDPR): Right to correction of inaccurate data
• Erasure (Art. 17 GDPR): Right to deletion of your data
• Restriction (Art. 18 GDPR): Right to restrict processing
• Data portability (Art. 20 GDPR): Right to receive your data in a machine-readable format
• Objection (Art. 21 GDPR): Right to object to processing
• Withdrawal of consent: Possible at any time, without giving reasons

To exercise your rights, please contact: info[at]actnow-gmbh.de

Right to Complain

You have the right to lodge a complaint with the competent data protection supervisory authority:

Berlin Commissioner for Data Protection and Freedom of Information Friedrichstr. 219, 10969 Berlin https://www.datenschutz-berlin.de

10. Notice on Use of Artificial Intelligence (EU AI Act)

This app uses AI-powered technologies for the following features:

• Optical Character Recognition (OCR): Extraction of text from receipt photos using Google Cloud Vision and Microsoft Azure Computer Vision
• AI-based Data Extraction: Structuring and categorization of receipt data (amount, date, merchant, category) using large language models (LLM) via OpenRouter

AI processing takes place server-side on our server in Germany (Hetzner). Receipt images and extracted text are transmitted to the third-party providers mentioned above for processing.

The system is classified as a low-risk AI system under Regulation (EU) 2024/1689 (EU AI Act), as it serves as a text recognition and data extraction tool and does not make autonomous decisions with legal effect for the user. In accordance with Art. 50 of the EU AI Act, we hereby transparently inform you about the use of AI systems in this app.

11. Data Security

We employ technical and organizational measures to protect your data:

• Encrypted data transfer (TLS/SSL) between app and server
• Encrypted storage on the server
• Server location in Germany under German data protection law
• Regular security updates

12. Changes to This Privacy Policy

We reserve the right to update this privacy policy to comply with current legal requirements or to implement changes to our app.

Last updated: April 2026