Datenschutzerklärung LarasScan
Android-App, vertrieben über Google Play. Stand 2026-05-18.
1. Verantwortliche
Lara Knuth — Dresden AI Insights
Kurhausstr. 16, 01259 Dresden, Deutschland
E-Mail: lara.knuth@larasdesk.com
Telefon: +49 1567 8333414
USt-IdNr.: DE458852148
Kleinunternehmerin gemäß § 19 UStG
Vollständige Pflichtangaben siehe Impressum.
2. Geltungsbereich
Diese Datenschutzerklärung gilt für die Android-App LarasScan. Sie informiert nach Art. 13 DSGVO über Art, Umfang, Zweck und Rechtsgrundlage der Verarbeitung personenbezogener Daten innerhalb der App.
3. Verarbeitete Daten
LarasScan verarbeitet folgende Daten ausschließlich lokal auf deinem Gerät:
- Belegbilder, die du aktiv über die App-Kamera erfasst.
- OCR-Text, der aus den Belegbildern per On-Device-Texterkennung (Google ML Kit) extrahiert wird.
- Aus dem Text abgeleitete Felder (Datum, Händler, Betrag, MwSt-Satz, Kategorie).
- SHA-256-Hashkette pro Beleg für lokale Konsistenzprüfungen.
Es findet kein automatischer Upload von Belegbildern, OCR-Text, abgeleiteten Feldern, Hashes oder Exporten an LarasDesk-Server, Anbieter oder sonstige Dritte statt.
4. Lokale Speicherung (§ 25 TDDDG)
Die genannten Daten werden in der lokalen Datenbank der App (IndexedDB im Android-WebView) gespeichert. Diese Speicherung ist nach § 25 Abs. 2 Nr. 2 TDDDG unbedingt erforderlich, damit die App den von dir ausdrücklich gewünschten Dienst (Beleg scannen, OCR, Wiederfinden, Export) zur Verfügung stellen kann. Eine gesonderte Einwilligung ist hierfür nicht erforderlich.
Eine automatische Cloud-Sicherung über das Android-System-Backup ist deaktiviert (android:allowBackup="false", android:fullBackupContent="false", android:dataExtractionRules). Die Daten verlassen dein Gerät nicht ohne deine ausdrückliche Aktion (CSV-/DATEV-Export über das Android Share-Sheet).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Bereitstellung der App-Funktionalität).
5. Verwendung von Google ML Kit (Document Scanner, Text Recognition)
Die App nutzt Google ML Kit (Document Scanner und Text Recognition v2) für die Beleg-Erfassung und Texterkennung. Die Verarbeitung der Bilder und erkannten Texte läuft on-device — Inhalte werden nicht an Google übermittelt.
Modul-Nachladen: Beim ersten Aufruf können Google Play Services ML-Kit-Module on-demand nachladen. Dabei werden technische Daten an Google übertragen (insbesondere IP-Adresse, Geräte-/Installations-Identifier, Modellname und -version).
SDK-Diagnostik: Nach der von Google veröffentlichten ML-Kit-Datenoffenlegung (ML Kit Android Data Disclosure) erhebt das ML-Kit-SDK folgende Daten und überträgt sie verschlüsselt an Google:
- Geräte-Informationen (Hersteller, Modell, Betriebssystem-Version, Build)
- App-Paketname und App-Version
- API-Konfiguration (welche ML-Kit-Optionen aktiv sind)
- Performance-Metriken
- Event-Typen (Diagnose, Fehler)
Google nutzt diese Daten laut eigener Angabe für die Diagnose, Missbrauchsvermeidung und Verbesserung der Dienste. Belegbilder und OCR-Texte werden nicht übertragen.
Verantwortlichkeit: Für diese SDK-Diagnostik agiert Google LLC als eigene Verantwortliche im Sinne der DSGVO. Eine Auftragsverarbeitungsvereinbarung nach Art. 28 DSGVO stellt Google für ML Kit nicht zur Verfügung; sie ist nach der Funktionsweise des SDKs auch nicht erforderlich, weil keine Nutzerinhalte verarbeitet werden. Siehe auch den AVV-Prüfvermerk.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Berechtigtes Interesse: Bereitstellung einer stabilen, fehlerarmen Scan-Funktion auf Basis eines weit verbreiteten SDKs. Eine Abwägung gegen deine schutzwürdigen Interessen fällt zugunsten dieses Interesses aus, weil die übertragenen Daten technischer Natur sind und keine Bezüge zu deinen Belegen oder erkannten Texten enthalten.
In der App ist der Inbound-Status der ML-Kit-Module unter „Privacy Status" / „Network Log" für dich einsehbar.
6. Drittlandtransfer (USA)
Beim Nachladen der ML-Kit-Module und der SDK-Diagnostik kann es zur Datenübermittlung an Google LLC mit Sitz in den USA kommen.
Google LLC ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023, Beschluss (EU) 2023/1795). Der DPF-Eintrag von Google LLC ist öffentlich abrufbar: dataprivacyframework.gov/participant/5780.
Ergänzend stützt sich Google auf Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO (Übersicht Google).
Falls der Angemessenheitsbeschluss zukünftig aufgehoben werden sollte, wird diese Erklärung entsprechend aktualisiert.
7. Berechtigungen der App
- Kamera (
android.permission.CAMERA): zur Aufnahme von Belegbildern. Die Berechtigung wird Android-seitig erst bei der ersten Nutzung der Scan-Funktion erfragt. Du kannst sie jederzeit in den Android-Systemeinstellungen widerrufen. - Internet (
android.permission.INTERNET): ausschließlich für die in Abschnitt 5 beschriebenen ML-Kit-Modul-Downloads und für Google-Play-Services-Komponenten, die der Document Scanner zur Initialisierung benötigt.
Weitere Berechtigungen werden nicht angefordert.
8. Werbung, Tracking, Analytics
LarasScan enthält:
- keine Werbung,
- keine App-eigene Telemetrie oder Analytics von LarasDesk,
- keine App-eigene Absturzberichterstattung mit personenbezogener Datenübermittlung,
- keine Tracking-Cookies oder Werbe-IDs,
- keine Verbindungen zu Social-Media-Diensten.
Die in Abschnitt 5 beschriebene Google-ML-Kit-SDK-Diagnostik ist die einzige Verbindung zu einem externen Anbieter.
9. Rechtsgrundlagen im Überblick
| Verarbeitung | Rechtsgrundlage |
|---|---|
| Lokale Verarbeitung Belege/OCR/Felder | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Lokale Speicherung in IndexedDB | Art. 6 Abs. 1 lit. b DSGVO + § 25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderlich) |
| Google ML-Kit-SDK-Diagnostik | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
| Drittlandtransfer USA | Art. 45 DSGVO (Angemessenheitsbeschluss DPF), ergänzend Art. 46 DSGVO (SCC) |
10. Speicherdauer
- Lokale Daten: werden so lange gespeichert, wie du sie in der App behältst. Du kannst einzelne Belege oder alle Daten jederzeit innerhalb der App löschen. Eine Deinstallation der App entfernt alle gespeicherten Daten endgültig.
- ML-Kit-Diagnostik bei Google: die Speicherdauer liegt in der Verantwortung von Google. Details unter policies.google.com/privacy.
11. Deine Rechte als betroffene Person
Du hast nach DSGVO folgende Rechte:
- Auskunft (Art. 15 DSGVO)
- Berichtigung (Art. 16 DSGVO)
- Löschung (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch gegen Verarbeitungen auf Basis von Art. 6 Abs. 1 lit. f (Art. 21 DSGVO)
- Beschwerde bei der Aufsichtsbehörde (Art. 77 DSGVO)
Da LarasScan keine personenbezogenen Inhaltsdaten an LarasDesk überträgt, lassen sich Auskunfts- und Löschungsansprüche bezogen auf App-Inhalte ausschließlich gerätelokal erfüllen: Lösche einzelne Datensätze in der App oder leere die App-Daten in den Android-Systemeinstellungen.
Für die ML-Kit-SDK-Diagnostik wende dich bitte direkt an Google: support.google.com/policies/contact/general_privacy_form.
Zuständige Aufsichtsbehörde für mich als Verantwortliche:
Sächsischer Datenschutzbeauftragter, Devrientstraße 5, 01067 Dresden, saechsdsb.de
12. Datenweitergabe an Dritte
Außer der in Abschnitt 5 beschriebenen ML-Kit-SDK-Diagnostik an Google werden keine Daten an Dritte übermittelt. Es gibt keine Werbenetzwerke, keine Tracking-Dienste, keine externen Analytics-Anbieter.
13. Kontakt für Datenschutzanfragen
Anfragen zur Datenverarbeitung bitte an: lara.knuth@larasdesk.com
14. Änderungen dieser Datenschutzerklärung
Diese Erklärung kann angepasst werden, wenn sich der Funktionsumfang der App ändert oder rechtliche Rahmenbedingungen (z. B. der DPF-Angemessenheitsbeschluss) sich ändern. Die jeweils aktuelle Version ist unter der oben verlinkten URL abrufbar.