Datenschutzerklärung
Stand: 28. April 2026
Hinweis: Bei Abweichungen ist die englische Fassung unter /en/privacy-policy.html maßgeblich.
1. Einleitung
Willkommen bei Hermo.ai („Hermo“, „wir“, „uns“). Wir nehmen den Schutz Ihrer personenbezogenen Daten ernst. Diese Datenschutzerklärung erläutert, wie wir Ihre Daten erheben, nutzen, speichern und schützen, wenn Sie die Hermo-Anwendung und zugehörige Dienste (der „Dienst“) nutzen.
Hermo ist ein KI-gestützter persönlicher Assistent für Ihr Postfach. Wir sind im Vereinigten Königreich registriert. Im Sinne des britischen Datenschutzrechts sind wir für Ihre personenbezogenen Daten verantwortlich.
Ihre Daten gehören Ihnen. Sie werden nicht zum Training von KI-Modellen Dritter verwendet. Hermo versendet oder löscht keine E-Mails und führt keine unwiderruflichen Aktionen ohne Ihre ausdrückliche Bestätigung durch. Sie behalten die Kontrolle.
Diese Erklärung gilt für Nutzer der Hermo-Anwendung unter app.hermo.ai sowie der Website hermo.ai (einschließlich deutschsprachiger Seiten).
2. Welche Daten wir erheben
Wir verarbeiten insbesondere folgende Kategorien von Daten:
2.1 Kontodaten
Bei der Registrierung erheben wir z. B. Name, E-Mail-Adresse und Anmeldedaten. Bei Anmeldung über Google erhalten wir von Google u. a. Name, E-Mail-Adresse und Profilbild.
2.2 Google-Nutzerdaten
Wenn Sie Gmail mit Hermo verbinden, greifen wir mit Ihrer ausdrücklichen Einwilligung auf folgende Google-Daten zu:
- E-Mail-Inhalte – Betreff, Text, Absender, Empfänger, Zeitstempel
- E-Mail-Metadaten – Labels, Lesestatus, Thread-Informationen
- Anhänge – nur soweit für die von Ihnen aktivierten Funktionen erforderlich
Wir greifen nur auf die Daten zu, die für die von Ihnen genutzten Hermo-Funktionen erforderlich sind. Sie können den Zugriff jederzeit in den Google-Kontoeinstellungen oder in Hermo widerrufen.
2.3 Nutzungsdaten
Wir erfassen, wie Sie den Dienst nutzen (z. B. aufgerufene Funktionen, Häufigkeit), um den Dienst zu verbessern.
2.4 Technische Daten
Automatisch erheben wir u. a. IP-Adresse, Browsertyp und -version, Geräteinformationen, Betriebssystem und Zugriffszeiten.
WhatsApp und Messaging
Wenn Sie optionale Funktionen nutzen, die Nachrichten über WhatsApp senden oder empfangen, verarbeiten wir die von Ihnen angegebenen oder bestätigten Telefonnummern (z. B. Ihre Mobilnummer und Nummern von von Ihnen benannten Empfängerinnen und Empfängern), um Zustellung einzurichten, Benachrichtigungen oder von Ihnen freigegebene KI-generierte Nachrichten zu senden sowie Einwilligung, Ratenbegrenzungen und Zustellstatus zu verwalten.
Nachrichteninhalte, die Sie über diesen Kanal versenden, werden an unseren Infrastrukturanbieter für den Nachrichtenversand (WasenderAPI) und – soweit für die Zustellung erforderlich – an den Betreiber von WhatsApp (Meta) übermittelt. Dabei entstehen Zustellmetadaten (z. B. Zustellstatus und Zeitstempel). Telefonnummern, Inhalte und Zustellmetadaten werden nur zur Bereitstellung der von Ihnen genutzten Messaging-Funktionen verwendet, im Einklang mit dieser Erklärung und unserer Liste der Auftragsverarbeiter.
Sie können die Nutzung WhatsApp-verknüpfter Funktionen über die Produkteinstellungen beenden, soweit verfügbar, oder sich an privacy@hermo.ai wenden. Zur Speicherdauer siehe Speicherdauer und Löschung.
Wissensdatenbank und Profiling
Um Funktionen wie Haushaltskoordination, Erinnerungen und kontextbezogene Unterstützung bereitzustellen, kann Hermo strukturierte personenbezogene Fakten aus der Analyse Ihrer verbundenen E-Mails (und – soweit Sie zugehörige Funktionen aktivieren – aus sonstigen für den Dienst verarbeiteten Inhalten) ableiten und speichern. Beispiele sind Namen von Familienmitgliedern oder Angehörigen, Gesundheits- oder Betreuungskontakte (z. B. Ärztinnen, Kliniken), Versicherungs- oder Vertragsbezüge, in Korrespondenz genannte Finanz- oder Bankdaten, Haustiere und ähnliche Informationen aus Ihren Nachrichten. Die Beispiele sind unvollständig; die tatsächlichen Kategorien hängen von dem ab, was in Ihren E-Mails vorkommt.
Diese Informationen werden im Rahmen einer Wissensdatenbank zu Ihrem Konto in verschlüsselter Cloud-Objektspeicherung gespeichert und ausschließlich zur Bereitstellung und Verbesserung des Dienstes für Sie genutzt (z. B. kontextbezogene Erkennung, Entwürfe und Antworten). Eine Veräußerung unterbleibt; eine Nutzung zum Training von KI-Modellen Dritter erfolgt nicht, wie auch sonst in dieser Erklärung beschrieben.
Nach anwendbarem Datenschutzrecht (einschließlich UK GDPR und – soweit einschlägig – EU-DSGVO) kann die automatisierte Auswertung Ihrer Daten in dieser Form Profiling darstellen. Hermo trifft keine ausschließlich automatisierten Entscheidungen mit Rechtswirkung oder vergleichbarer erheblicher Beeinträchtigung Ihrer Interessen ohne Ihre Einbindung. Vorschläge und Entwürfe setzen Ihre Bestätigung voraus, bevor wir E-Mails versenden, löschen oder sonst unwiderruflich auf Ihr Postfach oder verbundene Konten einwirken (siehe Einleitung oben).
Daten der Wissensdatenbank werden gelöscht oder anonymisiert, wenn Sie Ihr Konto löschen oder wenn Sie dies verlangen, entsprechend Speicherdauer und Löschung. Sie können sich an privacy@hermo.ai wenden, um die Löschung oder Berichtigung gespeicherter Fakten ohne Kontoschließung zu beantragen, soweit das Produkt dies unterstützt.
3. Google-Nutzerdaten
Dieser Abschnitt beschreibt, wie Hermo Daten verarbeitet, die über Google-APIs (einschließlich Gmail) bezogen werden.
3.1 Welche Google-Daten wir verarbeiten
Hermo greift auf Ihre Gmail-Daten – Inhalte, Metadaten, Header und ggf. Anhänge – nur zu, um die von Ihnen aktivierten Funktionen bereitzustellen, u. a. Analyse, Kategorisierung, Zusammenfassung und Extraktion handlungsrelevanter Informationen.
3.2 Wie wir Google-Nutzerdaten nutzen
Wir nutzen diese Daten ausschließlich zur Bereitstellung und Verbesserung von Hermo, insbesondere:
- Analyse, Kategorisierung und Zusammenfassung von E-Mails
- Extraktion von Terminen, Fristen und Aufgaben
- Erstellung von Kalenderhinweisen auf Basis von E-Mail-Inhalten
- Vorschläge und Entwürfe für Antworten
- Intelligente Suche über Ihren E-Mail-Verlauf
Hierfür werden Inhalte durch KI-Dienste von Drittanbietern verarbeitet (siehe Abschnitt 3.3). Inhalte werden in einer gesicherten Vektordatenbank gespeichert, um Suche und Funktionen zu ermöglichen. Die Speicherdauer richtet sich nach Abschnitt 7.
3.3 Weitergabe von Google-Nutzerdaten
Wir verkaufen, vermieten oder handeln nicht mit Ihren Google-Nutzerdaten.
Zur Erbringung des Dienstes setzen wir Auftragsverarbeiter (z. B. KI- und Datenbank-Anbieter) mit strengen vertraglichen Pflichten ein. Sie verarbeiten Daten nur zur Bereitstellung der Hermo-Funktionen und dürfen sie nicht für andere Zwecke nutzen.
Eine Weitergabe erfolgt ferner, wenn wir gesetzlich oder behördlich dazu verpflichtet sind.
3.4 Schutz der Google-Nutzerdaten
Wir setzen technische und organisatorische Maßnahmen ein, u. a.:
- Verschlüsselung bei Übertragung (TLS/SSL) und ruhenden Daten
- Zugriffsbeschränkungen für Mitarbeitende und Auftragnehmer (Need-to-know)
- Regelmäßige Sicherheitsüberprüfungen und Monitoring
- Sichere Cloud-Infrastruktur nach branchenüblichen Standards
- Auftragsverarbeitungsverträge mit allen relevanten Anbietern
Menschlicher Zugriff: Personen lesen Ihre Google-Daten nicht, außer (a) Sie haben zugestimmt, (b) es ist für die Sicherheit erforderlich (z. B. Missbrauch), (c) gesetzliche Pflicht, oder (d) Daten sind aggregiert/anonymisiert für interne Abläufe zulässig.
Wichtig: Wir nutzen Google-Nutzerdaten nicht für:
- Werbung, Targeting oder Personalisierung von Anzeigen
- Verkauf an Werbeplattformen oder Datenbroker
- Training allgemeiner oder Drittanbieter-KI-Modelle
- Profile für Zwecke ohne Bezug zu Hermo
- Kreditwürdigkeit oder Kreditvergabe
- andere Zwecke als Nutzerfunktionen von Hermo
4. Google API Services – Limited Use
Die Nutzung und Übermittlung von über Google-APIs erhaltenen Informationen durch Hermo entspricht der Google API Services User Data Policy, einschließlich der „Limited Use“-Anforderungen.
Entsprechend den Limited-Use-Vorgaben:
- Nutzen wir API-Daten nur zur Bereitstellung oder Verbesserung klar erkennbarer Nutzerfunktionen in Hermo.
- Übermitteln wir Daten nicht an Dritte, außer soweit nötig für Nutzerfunktionen, gesetzliche Pflicht oder Unternehmensübertragung mit Ihrer Zustimmung.
- Verwenden wir Daten nicht für Werbung, Retargeting oder interessenbasierte Anzeigen.
- Erlauben wir keinen menschlichen Zugriff ohne Ihre Zustimmung, außer aus Sicherheitsgründen, gesetzlicher Pflicht oder bei aggregierten/anonymisierten internen Auswertungen.
5. Rechtsgrundlagen
Nach UK GDPR verarbeiten wir personenbezogene Daten auf Grundlage von:
- Vertrag: zur Erfüllung des Nutzungsvertrags und Bereitstellung von Hermo.
- Einwilligung: soweit Sie z. B. die Gmail-Verbindung ausdrücklich erlauben.
- Berechtigte Interessen: z. B. Verbesserung des Dienstes, sofern nicht Ihre Rechte überwiegen.
- Rechtspflicht: soweit wir gesetzlich verpflichtet sind.
Für Nutzer mit Wohnsitz in der EU/EWR können zusätzlich die Vorgaben der DSGVO und nationaler Aufsichtsbehörden gelten; Sie können sich auch an Ihre örtliche Datenschutzbehörde wenden.
6. Weitergabe und Übermittlung
Wir verkaufen keine personenbezogenen Daten. Neben Abschnitt 3 können Daten weitergegeben werden an:
- Dienstleister: Hosting, Infrastruktur, KI-Verarbeitung als Auftragsverarbeiter.
- Berater: Rechts-, Steuer- oder Wirtschaftsprüfer bei Bedarf.
- Behörden: wenn gesetzlich oder gerichtlich vorgeschrieben.
Einige Dienstleister verarbeiten personenbezogene Daten in Staaten außerhalb des Vereinigten Königreichs und – soweit die EU-DSGVO für Sie gilt – außerhalb des Europäischen Wirtschaftsraums (EWR). In diesen Fällen stellen wir die nach anwendbarem Recht (einschließlich UK GDPR und – soweit einschlägig – EU-DSGVO) erforderlichen angemessenen Garantien sicher. Je nach Empfänger und Übermittlung können dazu zählen: Angemessenheitsbeschlüsse, Standardvertragsklauseln der EU-Kommission (ggf. einschließlich UK International Data Transfer Addendum bzw. International Data Transfer Agreement) oder ein anderes anerkanntes Übermittlungsinstrument. Nähere Informationen zu den von uns eingesetzten Mechanismen erhalten Sie auf Anfrage unter privacy@hermo.ai.
Konkret können internationale Datenübermittlungen auf einem oder mehreren der folgenden Mechanismen beruhen: Angemessenheitsbeschlüsse, EU-Standardvertragsklauseln (SCC) sowie (für UK-beschränkte Übermittlungen) das UK International Data Transfer Addendum oder das UK International Data Transfer Agreement (IDTA). Vor einer Übermittlung prüfen wir Empfängerland und Schutzmaßnahmen des jeweiligen Empfängers.
7. Speicherdauer und Löschung
Wir speichern personenbezogene Daten nur so lange, wie es für die genannten Zwecke und die Bereitstellung von Hermo erforderlich ist.
- Google-/E-Mail-Daten: Inhalte und Metadaten liegen in einer verschlüsselten Vektordatenbank für die Dauer Ihres aktiven Kontos. Nach Kontolöschung werden gespeicherte E-Mail-Inhalte innerhalb von 30 Tagen gelöscht. Löschung gespeicherter E-Mail-Daten ohne Kontolöschung: privacy@hermo.ai.
- Wissensdatenbank (abgeleitete Fakten): Aus E-Mails abgeleitete Fakten für Kontextfunktionen werden für die Dauer Ihres aktiven Kontos in verschlüsselter Cloud-Objektspeicherung gehalten. Sie werden bei Kontolöschung im gleichen Zeitrahmen wie Ihre übrigen personenbezogenen Daten gelöscht oder anonymisiert, oder früher, wenn wir Ihrer Löschbitte nachkommen können.
- Kontoinformationen: für die Dauer des aktiven Kontos.
- Nutzungs- und technische Daten: bis zu 12 Monate für Analyse und Verbesserung, danach Löschung oder Anonymisierung.
Kontolöschung
Bei Löschung Ihres Hermo-Kontos löschen oder anonymisieren wir personenbezogene Daten innerhalb von 30 Tagen, soweit keine Aufbewahrungspflicht entgegensteht. Löschung über die Kontoeinstellungen oder per E-Mail an privacy@hermo.ai.
Sie können jederzeit die Löschung weiterer Daten verlangen (siehe Kontakt unten).
8. Datensicherheit
Wir setzen angemessene technische und organisatorische Maßnahmen zum Schutz Ihrer Daten ein, u. a.:
- Verschlüsselung bei Übertragung (TLS/SSL) und Speicherung (z. B. AES-256 oder gleichwertig)
- Sichere Cloud-Infrastruktur renommierter Anbieter
- Strenge Zugriffskontrollen und rollenbasierte Berechtigungen
- Monitoring, Protokollierung und Incident-Response
- Regelmäßige Sicherheitsüberprüfungen
Ihre Daten werden nicht zum Training von KI-Modellen Dritter genutzt; unsere KI-Anbieter sind vertraglich daran gebunden.
9. Ihre Rechte
Nach britischem Datenschutzrecht haben Sie u. a. folgende Rechte:
- Auskunft: Kopie der über Sie gespeicherten Daten.
- Berichtigung: Korrektur unrichtiger oder unvollständiger Daten.
- Löschung: Löschung Ihrer Daten („Recht auf Vergessenwerden“), soweit möglich.
- Einschränkung: Einschränkung der Verarbeitung in bestimmten Fällen.
- Datenübertragbarkeit: Übermittlung in einem maschinenlesbaren Format, soweit anwendbar.
- Widerspruch: gegen Verarbeitungen auf Grundlage berechtigter Interessen.
- Widerruf der Einwilligung: mit Wirkung für die Zukunft.
Soweit die Verarbeitung Profiling umfasst (siehe Wissensdatenbank und Profiling), können Sie je nach anwendbarem Recht und Art der Verarbeitung ein Widerspruchsrecht haben oder ein menschliches Eingreifen verlangen. Wenden Sie sich an privacy@hermo.ai, wenn Sie dies besprechen möchten.
Hermo trifft keine Entscheidungen über Sie, die ausschließlich auf automatisierter Verarbeitung beruhen und Ihnen gegenüber rechtliche Wirkung entfalten oder Sie in ähnlich erheblicher Weise beeinträchtigen, ohne dass Sie eingebunden sind. Wenn Sie der Ansicht sind, dass eine solche Verarbeitung stattgefunden hat, können Sie eine menschliche Überprüfung verlangen, Ihren Standpunkt darlegen und eine Entscheidung anfechten, indem Sie uns unter privacy@hermo.ai kontaktieren.
Kontakt: privacy@hermo.ai. Wir antworten in der Regel innerhalb eines Monats.
Den Zugriff von Hermo auf Ihr Google-Konto widerrufen Sie unter Google-Konto → App-Berechtigungen.
Beschwerderecht bei der ICO (UK): ico.org.uk/make-a-complaint. In der EU/EWR können Sie sich an Ihre örtliche Aufsichtsbehörde wenden.
11. Kinder
Hermo richtet sich an volljährige Nutzer (18+). Kindern unter 18 gestatten wir keine eigenen Konten.
E-Mails können Informationen zu Kindern enthalten (z. B. Schule, Termine). Diese werden nur zur Bereitstellung des Dienstes für das sorgeberechtigte Konto verarbeitet und unterliegen denselben Schutzmaßnahmen wie in dieser Erklärung beschrieben.
Erhalten wir Kenntnis von einem Konto eines Kindes unter 18, löschen wir es umgehend.
12. Änderungen
Wir können diese Erklärung anpassen. Wesentliche Änderungen veröffentlichen wir auf dieser Seite, aktualisieren das Datum und informieren Sie ggf. per E-Mail. Bitte prüfen Sie die Erklärung regelmäßig.
13. Kontakt
Fragen zu dieser Erklärung, zur Datenverarbeitung oder zur Ausübung Ihrer Rechte:
Hermo AI
BB International Ltd (UK Companies House: 16030853)
Ansprechpartner: Fabian Blaicher
E-Mail: privacy@hermo.ai
Beschwerde bei der ICO (UK): https://ico.org.uk/make-a-complaint/
Auftragsverarbeiter (Auswahl)
Stand: 28. April 2026
Hermo setzt u. a. folgende Dienstleister ein:
Entsprechend Art. 13 Abs. 1 lit. e DSGVO informieren wir hier über Empfänger personenbezogener Daten. Soweit zur Bereitstellung aktivierter KI-Funktionen erforderlich, können vollständige E-Mail-Inhalte (einschließlich Betreffzeilen, Textkörper, Absender-/Empfängerdaten und Zeitstempeln) zur Verarbeitung an Anthropic und OpenAI übermittelt werden. Nutzen Sie optionale WhatsApp-Messaging-Funktionen, werden Telefonnummern, über diesen Kanal von Ihnen versandte Nachrichteninhalte und zugehörige Zustellmetadaten wie unter WhatsApp und Messaging beschrieben verarbeitet.
Setzen wir Dienstleister als Auftragsverarbeiter ein, geschieht dies auf Grundlage der jeweiligen standardisierten Auftragsdatenverarbeitungsregelungen der Anbieter (oder gleichwertiger Bedingungen), die Pflichten im Sinne von Art. 28 UK GDPR (und soweit anwendbar der EU-DSGVO) für den Auftragsverarbeiter vorsehen. Hinweise der Anbieter:
- Anthropic — Data Processing Addendum
- OpenAI — Data processing addendum
- Weaviate — Trust and compliance (incl. policies for Weaviate Cloud)
- Langfuse — Security and privacy
- PostHog — Data processing (DPA)
- Stripe — Data Processing Agreement
- WasenderAPI — Privacy (siehe auch Terms)
- Google Cloud — Data Processing and Security Terms
| Anbieter | Zweck | Daten | Region |
|---|---|---|---|
| Anthropic | KI-Verarbeitung – E-Mail-Analyse, Kategorisierung, Aufgabenextraktion | E-Mail-Inhalte und Metadaten | USA |
| OpenAI | KI-Verarbeitung für semantische Suche und Antwortgenerierung | Vollständige E-Mail-Inhalte und Metadaten | USA |
| Weaviate | Vektordatenbank für E-Mail-Suche | Inhalte und Embeddings | EU |
| Langfuse | LLM-Observability und Tracing zur Qualitätssicherung und Fehleranalyse | Modelleingaben/-ausgaben und zugehörige Metadaten | EU |
| PostHog | Produkt- und Website-Analyse | Nutzungsereignisse, Geräte/Browser-Metadaten sowie Cookie/Local-Storage-Kennungen | EU |
| Stripe | Zahlungsabwicklung, Abonnements und Billing-Prozesse | Abrechnungskennungen, Abo-Details und begrenzte zahlungsbezogene Metadaten | EU/US |
| WasenderAPI | Infrastruktur für WhatsApp-Nachrichtenversand | Telefonnummern, Nachrichteninhalte und Zustellmetadaten | EU/US |
| Google Cloud Platform | Authentifizierung, Gmail-/Kalender-API | Kontodaten, Zugriffstoken | EU/US |
Änderungen veröffentlichen wir hier. Fragen: privacy@hermo.ai.