bemailed Vereine Selbständige Unternehmen Preise
LoginKostenlos starten
bemailed Kostenlos starten
Start Vereine Selbständige Unternehmen Preise
Einloggen Kostenlos starten

Basic

ab 19 €/Monat

Alle Funktionen in jedem Tarif, die Tarife unterscheiden sich in der Empfängerzahl. Unbegrenzter Versand ab Basic (bei fairer Nutzung), Free bis 1.000 Mails im Monat. Alle Preise inkl. MwSt.

Kostenlos starten
Art. 13 DSGVO

Datenschutzerklärung

Stand: 2. Juli 2026
Rechtliches
ImpressumDatenschutzAGBAVVWiderrufVertrag kündigenCookies
Inhalt

    Diese Datenschutzerklärung informiert dich nach Art. 13 DSGVO über die Verarbeitung personenbezogener Daten bei der Nutzung des Dienstes bemailed, erreichbar unter bemailed.de.

    Wichtig zur Abgrenzung: Diese Erklärung deckt die Daten ab, die du als Konto-Inhaber uns übergibst (Konto, Zahlung, Login). Die Daten der Empfänger deiner Newsletter verarbeiten wir hingegen ausschließlich auf deine Weisung als Auftragsverarbeiter nach Art. 28 DSGVO, das regelt der separate AVV, den du beim Signup mit akzeptierst.

    1. Verantwortlicher

    Verantwortlich im Sinne der DSGVO ist:

    Essential Advertising GmbH
    Adenauerallee 2
    61440 Oberursel (Taunus)
    Deutschland
    Geschäftsführer: Daniel Klantke
    Handelsregister: HRB 15288 (Amtsgericht Bad Homburg v. d. Höhe)
    USt-ID: DE341132023
    E-Mail: support@bemailed.de

    Ein Datenschutzbeauftragter ist gemäß Art. 37 DSGVO und §38 BDSG aktuell nicht zwingend zu bestellen (Beschäftigtenanzahl und Art der Verarbeitung unterhalb der Schwelle). Wir überprüfen diese Einordnung laufend und bestellen bei Schwellen-Überschreitung umgehend einen externen Datenschutzbeauftragten. Für sämtliche Datenschutz-Anfragen ist die zentrale Anlaufstelle datenschutz@bemailed.de. Antwort innerhalb von 5 Werktagen, in dringenden Fällen (z.B. Auskunfts-Anfragen mit Frist) schneller.

    2. Welche Daten wir verarbeiten

    2.1 Vom Konto-Inhaber direkt

    • Stammdaten: Vorname, Nachname, E-Mail-Adresse, gehashtes Passwort (Argon2id, Supabase Auth), Konto-Name (Marken-Bezeichnung), gewählter Tarif.
    • Zahlungsdaten: Rechnungsadresse, optionale USt-IdNr., Stripe-Customer-ID + Subscription-ID. Zahlungsdaten (Kartendaten, SEPA-Lastschrift-Mandate und, sofern angeboten, PayPal) werden ausschließlich von Stripe verarbeitet, niemals an uns übermittelt.
    • Sicherheits-Metadaten: IP-Adresse und User-Agent bei Login, Fehlversuche, optionale TOTP-2FA-Konfiguration.
    • Konfigurations-Daten: Versand-Domain, DKIM/SPF/ DMARC-Konfigurations-Status, eigene Footer-Texte, hochgeladene Logos.

    2.2 Von versendeten Empfängern

    Empfänger-Daten (E-Mail-Listen, Tracking-Events, Bounce/Complaint- Status) verarbeiten wir nicht als Verantwortlicher, sondern als Auftragsverarbeiter im Auftrag des Konto-Inhabers. Details siehe AVV §2.

    3. Zwecke und Rechtsgrundlagen

    • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Bereitstellung der Plattform, Konto-Verwaltung, Zahlungs- abwicklung, technischer Support.
    • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Sicherheits-Logs zur Abwehr unbefugter Zugriffe, Reputations-Schutz (Bounce-/Complaint-Monitoring), Fehler-Tracking (Sentry), Statistiken zur technischen Stabilität.
    • Gesetzliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): handelsrechtliche Aufbewahrung von Rechnungsdaten (§147 AO, §257 HGB).
    • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): gesonderter Newsletter über bemailed-Produkt-Updates, nur nach ausdrücklichem Opt-In, jederzeit widerrufbar.

    4. Server-Standort und Datenhaltung

    Alle für den laufenden Betrieb verwendeten Daten liegen in der EU, konkret in Frankfurt am Main (AWS-Region eu-central-1):

    • Postgres-Datenbank und Storage: Supabase auf AWS Frankfurt.
    • App-Hosting: Vercel Edge Frankfurt (fra1).
    • Mail-Versand-Infrastruktur: AWS SES eu-central-1.
    • Domain- und DNS-Hosting: IONOS Deutschland.

    Drittland-Übermittlungen erfolgen nur für eng umrissene Zwecke (Anthropic für die optionalen KI-Funktionen im Editor, Sentry für technisches Monitoring) auf Grundlage von EU-Standardvertrags- klauseln und dokumentierten Transfer Impact Assessments. Details siehe Abschnitte 10–11 sowie /subprozessoren.

    5. Speicherdauer

    • Konto-Daten: während der Vertragslaufzeit; nach Kündigung 30 Tage Rückgewinnungsfrist, danach Löschung. Soweit handelsrechtliche Aufbewahrungspflichten betroffen sind (Rechnungs- und Buchungsdaten), bis zu 6 Jahre nach §257 HGB, bzw. 10 Jahre nach §147 AO für Belege im engeren Sinn.
    • Empfänger-Daten: während der Vertragslaufzeit + 30 Tage Rückgewinnungsfrist, siehe AVV §12.
    • Tracking-Daten (Open, Click) und Website-Reichweite: bis zu 12 Monate in personenbezogener Form, danach werden die Einzel-Ereignisse automatisch gelöscht; aggregierte Statistiken (z.B. Öffnungsraten, Besucherzahlen) bleiben ohne Personenbezug erhalten.
    • Double-Opt-In-Nachweis (IP-Adresse und User-Agent der Anmeldung/Bestätigung): bis 4 Jahre nach Abmeldung oder Vertragsende; danach wird die rohe IP-Adresse automatisch entfernt. Die Aufbewahrung dient dem werberechtlich zwingenden Einwilligungs- Nachweis (UWG § 7).
    • Audit-Protokoll (sicherheitsrelevante Aktionen): 12 Monate, danach automatisch anonymisiert (User-Bezug, IP und Gerätekennung werden entfernt).
    • Server- und Sicherheits-Logs: 90 Tage rollierend.
    • Sentry-Error-Events: 90 Tage rollierend, ohne PII.

    6. Empfänger der Daten (Subprozessoren)

    Wir setzen die folgenden Subprozessoren ein. Mit jedem besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Die ausführliche Liste mit Drittland-Mechanismen findest du unter /subprozessoren.

    • AWS (Amazon Web Services EMEA SARL, Luxemburg): Simple Email Service Frankfurt für den Mail-Versand.
    • Supabase Inc. (Singapur, Hosting EU-Frankfurt): Datenbank, Auth, Storage.
    • Vercel Inc. (USA, Edge in Frankfurt): Web- Hosting. SCCs + DPA.
    • Anthropic PBC (USA): Claude-LLM für KI- Funktionen im Editor (optional, Konto-Inhaber-Trigger). SCCs + DPA, kein Training.
    • Stripe Payments Europe Ltd (Irland): Zahlungs- abwicklung.
    • IONOS SE (Deutschland): Domain und DNS.
    • Sentry / Functional Software Inc. (USA): Error- und Performance-Monitoring. DSGVO-konforme Konfiguration ohne PII.
    • Resend Inc. (USA): Versand transaktionaler System-Mails (Login-Magic-Link, Passwort-Reset, Konto-Einladungen, Kündigungs-Bestätigungen, Konto-Hinweise wie Verlängerungs- und Erinnerungs-Mails, Nachrichten aus dem Kontaktformular sowie Double-Opt-In-Bestätigungs-Mails an Newsletter-Empfänger während eines aktiven Imports/einer aktiven Anmeldung). SCCs + DPA, US-Drittland nach Art. 44 ff. DSGVO.
    • Inngest Inc. (USA): Hintergrund-Job- und Queue-Infrastruktur für den Newsletter-Versand (Batching, Retry, Scheduled Sends). Verarbeitet Empfänger-Adresse und Newsletter-Body während eines Versand-Jobs. SCCs + DPA, US-Drittland nach Art. 44 ff. DSGVO.
    • Mailchimp / Intuit Inc. (USA): OAuth-basierter Import bestehender Empfänger-Listen aus dem Mailchimp-Konto des Konto-Inhabers, nur bei expliziter Verbindung im bemailed-Konto. Bei Nicht-Nutzung findet keine Übermittlung statt. SCCs + DPA, US-Drittland nach Art. 44 ff. DSGVO.
    • Upstash Inc. (Hosting eu-central-1, Frankfurt): Redis- basierter Rate-Limit-Cache für IP-basierten Brute-Force- und Missbrauchs-Schutz an Login, Signup, Anmeldeformular und API- Endpoints (IP nur gehasht gespeichert). Hosting in der EU (Deutschland).

    Zusätzlich kommt auf unseren öffentlichen Webseiten (nicht in der eingeloggten Plattform) Plausible Analytics zur datenschutz- freundlichen, cookielosen Reichweitenmessung zum Einsatz. Details und Rechtsgrundlage findest du in Abschnitt 8.

    Datenverkäufe an Dritte oder die Weitergabe an Werbe-Drittparteien finden nicht statt.

    7. Cookies und Tracking auf der Plattform

    • Wir setzen ausschließlich technisch notwendige Cookies (Login-Session-Token von Supabase Auth, CSRF- Token).
    • Innerhalb der eingeloggten bemailed-Plattform setzen wir kein Tracking, keine Analytics und kein Marketing-Pixel ein. (Zur datenschutzfreundlichen Reichweitenmessung auf den öffentlichen Webseiten siehe Abschnitt 8.)
    • Rechtsgrundlage: §25 Abs. 2 Nr. 2 TDDDG (vormals TTDSG; für die Funktion des Dienstes unbedingt erforderlich) in Verbindung mit Art. 6 Abs. 1 lit. b DSGVO.
    • Folge: Kein Cookie-Banner erforderlich.

    8. Reichweitenmessung auf unserer Website (Plausible Analytics)

    Auf unseren öffentlichen Webseiten (nicht in der eingeloggten Plattform) nutzen wir Plausible Analytics zur datenschutzfreundlichen Reichweitenmessung. Anbieter ist Plausible Insights OÜ, Estland; das Hosting erfolgt innerhalb der EU. Beim Laden des Mess-Scripts von plausible.io wird technisch bedingt deine IP-Adresse an Plausible übermittelt; nach Anbieterangaben werden sämtliche Besucherdaten ausschließlich in der EU auf Infrastruktur europäischer Unternehmen verarbeitet und verlassen die EU nicht. Plausible verwendet keine Cookies und legt keine Informationen auf deinem Endgerät ab, bildet keine geräteübergreifenden Profile und verkauft keine Daten an Dritte. Erfasst werden ausschließlich aggregierte, nicht auf eine Einzelperson rückführbare Kennzahlen (z. B. aufgerufene Seiten, ungefähre Herkunft auf Landesebene, Browser-Typ). Deine IP-Adresse wird nur kurzzeitig zur Bildung eines anonymen Tageswerts verarbeitet und nicht gespeichert. Rechtsgrundlage ist unser berechtigtes Interesse an einer datensparsamen Statistik (Art. 6 Abs. 1 lit. f DSGVO); mangels Zugriff auf dein Endgerät ist keine Einwilligung nach § 25 TDDDG (vormals TTDSG) erforderlich.

    8a. Eigenes cookieloses Zählwerk

    Zusätzlich betreiben wir auf den öffentlichen Webseiten ein eigenes, cookieloses Zählwerk. Beim Seitenaufruf verarbeiten wir dafür kurzzeitig deine IP-Adresse und deinen Browser-Typ und speichern: aufgerufene Seite, Herkunfts-Domain (Referrer), Gerätetyp (Desktop/Mobil), ungefähre Herkunft (Land, Stadt) sowie einen täglich wechselnden, nicht rückrechenbaren Besucher-Wert (Hash aus IP-Adresse, Browser-Kennung, Tagesdatum und einem geheimen Zusatz). Die IP-Adresse selbst wird nicht gespeichert; eine Wiedererkennung über den Tag hinaus ist technisch ausgeschlossen, Profile entstehen nicht. Die Daten dienen ausschließlich der aggregierten Reichweiten-Statistik und werden nach spätestens 12 Monaten gelöscht. Es erfolgt kein Zugriff auf deinen Endgeräte-Speicher (keine Einwilligungspflicht nach § 25 TDDDG). Rechtsgrundlage ist unser berechtigtes Interesse an einer datensparsamen Statistik (Art. 6 Abs. 1 lit. f DSGVO); du kannst der Verarbeitung jederzeit widersprechen (siehe Abschnitt 14).

    9. Tracking innerhalb der versendeten Newsletter

    Der Konto-Inhaber kann pro Newsletter entscheiden, ob Open-Tracking (transparentes Pixel) und Click-Tracking (Link-Wrapping) aktiviert werden. Beide Funktionen sind standardmäßig aktivierbar und vom Konto- Inhaber kampagnen-individuell abschaltbar.

    Ist Open-Tracking aktiv, wird beim Öffnen zusätzlich das Herkunftsland des Empfängers erfasst (abgeleitet aus der IP-Adresse, die dabei nur als Hash gespeichert wird); der Konto-Inhaber kann diese Geo-Erfassung in den Einstellungen seines Workspaces deaktivieren. Eine optionale, standardmäßig deaktivierte Erfassung von Mail-Programm/Gerätetyp kann der Konto-Inhaber gesondert aktivieren.

    In jeder versendeten Mail wird automatisch

    • ein List-Unsubscribe-Header (RFC 8058) für 1-Klick- Abmeldung gesetzt,
    • ein sichtbarer Abmelde-Link im Footer eingefügt,
    • ein Impressum-Hinweis (vom Konto-Inhaber konfiguriert) im Footer eingefügt.

    Die Verarbeitung der Tracking-Daten erfolgt im Auftrag des jeweiligen Konto-Inhabers (Verantwortlicher des Versands). Die Rechtsgrundlage für das Tracking gegenüber den Empfängern liegt beim Konto-Inhaber, typischerweise Einwilligung im Rahmen des Newsletter-Opt-Ins.

    10. Rechte der Newsletter-Empfänger

    Empfänger können sich jederzeit per 1-Klick-Unsubscribe- Link aus jeder versendeten Mail austragen. Auskunfts-, Berichtigungs- und Löschungs-Anfragen nach Art. 15–17 DSGVO sind an den jeweiligen Konto-Inhaber (Verantwortlichen des Versands) zu richten. Wir leiten entsprechende Anfragen unterstützend an die zuständige Stelle weiter und löschen Daten auf dessen Weisung unverzüglich aus unseren Systemen.

    11. Mail-Versand über AWS SES

    Der Versand erfolgt über Amazon Simple Email Service in der Region Frankfurt. AWS verarbeitet zur Erbringung des Versands die notwendigen Mail-Header, den Mail-Body sowie die Empfänger-Adressen, beschränkt auf das für Routing, Zustellung und Anti-Spam- Reputation erforderliche Maß. Eine inhaltliche Auswertung über die Anti-Spam-Reputations-Mechanismen hinaus findet nicht statt.

    12. Domain-Einrichtung (DKIM, SPF, DMARC)

    Die eigene Versand-Domain richtest du manuell ein: bemailed zeigt dir die nötigen DNS-Einträge (DKIM, SPF, DMARC) mit Anleitung an, die du selbst bei deinem DNS-Anbieter einträgst. Dabei werden keine Zugangsdaten deines DNS-Anbieters an bemailed übermittelt.

    Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung: die DKIM-/SPF-/DMARC-Authentifizierung ist Voraussetzung für zuverlässige Mail-Zustellung). Eine automatische 1-Klick-Verbindung (Domain Connect) bieten wir derzeit nicht an.

    13. Optionale KI-Funktionen (Anthropic)

    Im Newsletter-Editor stehen optionale KI-Funktionen (Smart Mail: Entwurfs-Erstellung, Tonalitäts-Anpassung, Betreffzeilen-Vorschläge, Marken-Analyse, Design-Import) zur Verfügung. Wenn der Konto-Inhaber diese Funktionen nutzt, werden die dafür nötigen Inhalte an Anthropic PBC (San Francisco, USA) zur Verarbeitung durch das Claude-Modell übermittelt.

    • Übermittelt werden je nach Funktion: Newsletter-Entwurfs-Texte und Marken-Kontext (Tonalität, Branche), bei der Marken-Analyse die öffentlich abrufbaren Texte der angegebenen Website (einschließlich Impressum) sowie Inhalte bereits versendeter Newsletter, beim Design-Import vom Konto-Inhaber hochgeladene Screenshots oder PDF-Dateien. Keine Empfängerlisten, keine Tracking-Logs, keine Zugangsdaten. Soweit übermittelte Inhalte personenbezogene Daten enthalten (etwa Namen im Impressum), geschieht das ausschließlich zur Erbringung der vom Konto-Inhaber angestoßenen Funktion.
    • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung des vom Konto-Inhaber aktivierten KI-Features).
    • Anthropic verwendet die übermittelten Daten nicht zum Training (Commercial-Tier-DPA).
    • Übermittlung gestützt auf EU-Standardvertragsklauseln und dokumentiertem Transfer Impact Assessment.

    13a. Schrift-Vorschau im Editor (Google Fonts)

    Wählt der Konto-Inhaber im Editor eine Web-Schriftart für seinen Newsletter aus, lädt sein Browser die Schrift-Dateien zur Vorschau von Google Fonts (Google Ireland Limited, Dublin); dabei wird technisch bedingt die IP-Adresse des Konto-Inhabers an Google übermittelt. Das betrifft nur die Vorschau in der eingeloggten Plattform, nicht die öffentlichen Webseiten (dort laden alle Schriften von unseren eigenen Servern) und nicht die Empfänger der versendeten Newsletter. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der gewählten Schrift-Funktion).

    14. Deine Rechte

    Du hast jederzeit das Recht auf

    • Auskunft (Art. 15 DSGVO),
    • Berichtigung (Art. 16): Konto-Daten direkt in den Settings,
    • Löschung (Art. 17): Konto-Löschung direkt im Konto,
    • Einschränkung (Art. 18),
    • Datenübertragbarkeit (Art. 20): CSV-Export im Konto,
    • Widerspruch (Art. 21 DSGVO): Du kannst Verarbeitungen, die auf unser berechtigtes Interesse gestützt sind (etwa die Reichweitenmessung nach Abschnitt 8/8a), jederzeit mit Wirkung für die Zukunft widersprechen, formlos an datenschutz@essentialadvertising.de,
    • Widerruf einer Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO),
    • Beschwerde bei einer Aufsichtsbehörde. Für uns zuständig: Der Hessische Beauftragte für Datenschutz und Informationsfreiheit, Postfach 31 63, 65021 Wiesbaden, datenschutz.hessen.de.

    Anfragen, die nicht über den Self-Service abgedeckt sind, gerne an support@bemailed.de. Antwort innerhalb von 5 Werktagen.

    14a. Kontaktformular und Bewerbungen

    Kontaktformular: Schreibst du uns über das Kontaktformular, verarbeiten wir die angegebenen Daten (Name, E-Mail-Adresse, Nachricht) zur Bearbeitung deiner Anfrage (Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO). Die Zustellung an uns erfolgt über Resend (siehe Abschnitt 6). Wir löschen die Korrespondenz, sobald sie abgeschlossen ist und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

    Bewerbungen: Bewirbst du dich bei uns (etwa auf die Karriere-Seite hin per E-Mail), verarbeiten wir deine Bewerbungsdaten ausschließlich für das Bewerbungsverfahren (§ 26 BDSG, Art. 6 Abs. 1 lit. b DSGVO). Kommt kein Arbeitsverhältnis zustande, löschen wir die Unterlagen spätestens sechs Monate nach Abschluss des Verfahrens, sofern du nicht ausdrücklich in eine längere Aufbewahrung einwilligst.

    15. Datensicherheit (TOMs)

    Wir setzen technische und organisatorische Maßnahmen nach Art. 32 DSGVO ein. Details in AVV §5. Auszug: TLS 1.2+ für Versand, AES-256 at-rest, Row-Level-Security in der Datenbank, Pflicht-2FA für interne Zugänge, Argon2id- Passwort-Hashing, tägliche EU-Backups, DSGVO-konformes Error-Monitoring ohne PII.

    16. Automatisierte Entscheidungsfindung

    Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO findet nicht statt. Bounce- und Complaint-Schwellen können zwar zu automatischen Versand-Pausen führen, diese entfalten aber keine rechtliche oder ähnlich erhebliche Wirkung gegenüber Einzelpersonen, sondern wirken plattform-intern.

    17. Änderungen dieser Datenschutzerklärung

    Wir behalten uns vor, diese Datenschutzerklärung anzupassen, falls sich rechtliche Rahmenbedingungen oder unsere Verarbeitungs- tätigkeiten ändern. Die jeweils aktuelle Fassung findest du immer hier. Wesentliche Änderungen (z.B. neue Subprozessoren) kommunizieren wir aktiv per E-Mail mit mindestens 30 Tagen Vorlauf.

    Stand: 2. Juli 2026 · Version 1.0

    bemailedbemailed

    Dein Newsletter. Fertig in 2 Minuten.

    Produkt

    Smart Mail Preise Vergleich Wechseln

    Für wen

    Vereine Selbständige Unternehmen

    Unternehmen

    Über uns Nachhaltigkeit Blog Newsletter Kontakt Häufige Fragen Status

    Rechtliches

    Impressum Datenschutz AGB Auftragsverarbeitung (AVV) Widerrufsrecht Vertrag kündigen Cookie-Einstellungen
    © 2026 bemailed · Ein Produkt der Essential Advertising GmbH