Entwurf — vor Live-Schaltung anwaltlich prüfen lassenDieser Text ist ein Arbeitsstand, kein finaler Rechtstext. Eine Prüfung durch eine Kanzlei für IT-Recht / Vertriebsrecht mit SaaS-Erfahrung ist erforderlich, bevor er für Kunden verbindlich wird.
Art. 13 DSGVO

Datenschutzerklärung

Stand: 25. Mai 2026

Diese Datenschutzerklärung informiert dich nach Art. 13 DSGVO über die Verarbeitung personenbezogener Daten bei der Nutzung des Dienstes bemailed, erreichbar unter bemailed.de.

Wichtig zur Abgrenzung: Diese Erklärung deckt die Daten ab, die du als Konto-Inhaber uns übergibst (Konto, Zahlung, Login). Die Daten der Empfänger deiner Newsletter verarbeiten wir hingegen ausschließlich auf deine Weisung als Auftragsverarbeiter nach Art. 28 DSGVO — das regelt der separate AVV, den du beim Signup mit akzeptierst.

1. Verantwortlicher

Verantwortlich im Sinne der DSGVO ist:

Essential Advertising GmbH
Adenauerallee 2
61440 Oberursel (Taunus)
Deutschland
Geschäftsführer: Daniel Klantke
Handelsregister: HRB 15288 (Amtsgericht Bad Homburg v. d. Höhe)
USt-ID: DE341132023
E-Mail: support@bemailed.de

Ein Datenschutzbeauftragter ist nicht bestellt, da die gesetzlichen Voraussetzungen (Art. 37 DSGVO, §38 BDSG) nicht erfüllt sind. Für Datenschutz-Anfragen schreib bitte an support@bemailed.de — Antwort innerhalb von 5 Werktagen.

2. Welche Daten wir verarbeiten

2.1 Vom Konto-Inhaber direkt

  • Stammdaten: Vorname, Nachname, E-Mail-Adresse, gehashtes Passwort (Argon2id, Supabase Auth), Konto-Name (Workspace-Bezeichnung), gewählter Tarif.
  • Zahlungsdaten: Rechnungsadresse, optionale USt-IdNr., Stripe-Customer-ID + Subscription-ID. Kartendaten werden ausschließlich von Stripe verarbeitet, niemals an uns übermittelt.
  • Sicherheits-Metadaten: IP-Adresse und User-Agent bei Login, Fehlversuche, optionale TOTP-2FA-Konfiguration.
  • Konfigurations-Daten: Versand-Domain, DKIM/SPF/ DMARC-Konfigurations-Status, eigene Footer-Texte, hochgeladene Logos.

2.2 Von versendeten Empfängern

Empfänger-Daten (E-Mail-Listen, Tracking-Events, Bounce/Complaint- Status) verarbeiten wir nicht als Verantwortlicher, sondern als Auftragsverarbeiter im Auftrag des Konto-Inhabers. Details siehe AVV §2.

3. Zwecke und Rechtsgrundlagen

  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Bereitstellung der Plattform, Konto-Verwaltung, Zahlungs- abwicklung, technischer Support.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Sicherheits-Logs zur Abwehr unbefugter Zugriffe, Reputations-Schutz (Bounce-/Complaint-Monitoring), Fehler-Tracking (Sentry), Statistiken zur technischen Stabilität.
  • Gesetzliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): handelsrechtliche Aufbewahrung von Rechnungsdaten (§147 AO, §257 HGB).
  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): gesonderter Newsletter über bemailed-Produkt-Updates — nur nach ausdrücklichem Opt-In, jederzeit widerrufbar.

4. Server-Standort und Datenhaltung

Alle für den laufenden Betrieb verwendeten Daten liegen in der EU — konkret in Frankfurt am Main (AWS-Region eu-central-1):

  • Postgres-Datenbank und Storage: Supabase auf AWS Frankfurt.
  • App-Hosting: Vercel Edge Frankfurt (fra1).
  • Mail-Versand-Infrastruktur: AWS SES eu-central-1.
  • Domain- und DNS-Hosting: IONOS Deutschland.

Drittland-Übermittlungen erfolgen nur für eng umrissene Zwecke (Anthropic für die optionalen KI-Funktionen im Editor, Sentry für technisches Monitoring) auf Grundlage von EU-Standardvertrags- klauseln und dokumentierten Transfer Impact Assessments. Details siehe Abschnitte 10–11 sowie /subprozessoren.

5. Speicherdauer

  • Konto-Daten: während der Vertragslaufzeit; nach Kündigung 30 Tage Rückgewinnungsfrist, danach Löschung. Soweit handelsrechtliche Aufbewahrungspflichten betroffen sind (Rechnungs- und Buchungsdaten), bis zu 6 Jahre nach §257 HGB, bzw. 10 Jahre nach §147 AO für Belege im engeren Sinn.
  • Empfänger-Daten: während der Vertragslaufzeit + 30 Tage Rückgewinnungsfrist — siehe AVV §12.
  • Tracking-Daten (Open, Click): bis zu 12 Monate in personenbezogener Form, danach werden sie auf aggregierte Statistiken reduziert.
  • Server- und Sicherheits-Logs: 90 Tage rollierend.
  • Sentry-Error-Events: 90 Tage rollierend, ohne PII.

6. Empfänger der Daten (Subprozessoren)

Wir setzen die folgenden Subprozessoren ein. Mit jedem besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Die ausführliche Liste mit Drittland-Mechanismen findest du unter /subprozessoren.

  • AWS (Amazon Web Services EMEA SARL, Luxemburg): Simple Email Service Frankfurt für den Mail-Versand.
  • Supabase Inc. (Singapur, Hosting EU-Frankfurt): Datenbank, Auth, Storage.
  • Vercel Inc. (USA, Edge in Frankfurt): Web- Hosting. SCCs + DPA.
  • Anthropic PBC (USA): Claude-LLM für KI- Funktionen im Editor (optional, Konto-Inhaber-Trigger). SCCs + DPA, kein Training.
  • Stripe Payments Europe Ltd (Irland): Zahlungs- abwicklung.
  • IONOS SE (Deutschland): Domain und DNS.
  • Sentry / Functional Software Inc. (USA): Error- und Performance-Monitoring. DSGVO-konforme Konfiguration ohne PII.

Datenverkäufe an Dritte oder die Weitergabe an Werbe-Drittparteien finden nicht statt.

7. Cookies und Tracking auf der Plattform

  • Wir setzen ausschließlich technisch notwendige Cookies (Login-Session-Token von Supabase Auth, CSRF- Token).
  • Kein Tracking, keine Analytics, kein Marketing-Pixel auf der bemailed-Plattform.
  • Rechtsgrundlage: §25 Abs. 2 Nr. 2 TTDSG (für die Funktion des Dienstes unbedingt erforderlich) in Verbindung mit Art. 6 Abs. 1 lit. b DSGVO.
  • Folge: Kein Cookie-Banner erforderlich.

8. Tracking innerhalb der versendeten Newsletter

Der Konto-Inhaber kann pro Newsletter entscheiden, ob Open-Tracking (transparentes Pixel) und Click-Tracking (Link-Wrapping) aktiviert werden. Beide Funktionen sind standardmäßig aktivierbar und vom Konto- Inhaber kampagnen-individuell abschaltbar.

In jeder versendeten Mail wird automatisch

  • ein List-Unsubscribe-Header (RFC 8058) für 1-Klick- Abmeldung gesetzt,
  • ein sichtbarer Abmelde-Link im Footer eingefügt,
  • ein Impressum-Hinweis (vom Konto-Inhaber konfiguriert) im Footer eingefügt.

Die Verarbeitung der Tracking-Daten erfolgt im Auftrag des jeweiligen Konto-Inhabers (Verantwortlicher des Versands). Die Rechtsgrundlage für das Tracking gegenüber den Empfängern liegt beim Konto-Inhaber — typischerweise Einwilligung im Rahmen des Newsletter-Opt-Ins.

9. Rechte der Newsletter-Empfänger

Empfänger können sich jederzeit per 1-Klick-Unsubscribe- Link aus jeder versendeten Mail austragen. Auskunfts-, Berichtigungs- und Löschungs-Anfragen nach Art. 15–17 DSGVO sind an den jeweiligen Konto-Inhaber (Verantwortlichen des Versands) zu richten — wir leiten entsprechende Anfragen unterstützend an die zuständige Stelle weiter und löschen Daten auf dessen Weisung unverzüglich aus unseren Systemen.

10. Mail-Versand über AWS SES

Der Versand erfolgt über Amazon Simple Email Service in der Region Frankfurt. AWS verarbeitet zur Erbringung des Versands die notwendigen Mail-Header, den Mail-Body sowie die Empfänger-Adressen — beschränkt auf das für Routing, Zustellung und Anti-Spam- Reputation erforderliche Maß. Eine inhaltliche Auswertung über die Anti-Spam-Reputations-Mechanismen hinaus findet nicht statt.

11. Optionale KI-Funktionen (Anthropic)

Im Newsletter-Editor stehen optionale KI-Vorschläge (Tonalitäts- Anpassung, Betreffzeilen-Vorschläge, Inhalts-Ideen) zur Verfügung. Wenn der Konto-Inhaber diese Funktionen nutzt, wird der jeweilige Newsletter-Entwurf an Anthropic PBC (San Francisco, USA) zur Verarbeitung durch das Claude-LLM übermittelt.

  • Übermittelt werden ausschließlich Newsletter-Entwurfs-Texte und ggf. Marken-Kontext (Tonalität, Branche) — keine Empfänger-Daten, keine Tracking-Logs, keine E-Mail-Adressen.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung des vom Konto-Inhaber aktivierten KI-Features).
  • Anthropic verwendet die übermittelten Daten nicht zum Training (Commercial-Tier-DPA).
  • Übermittlung gestützt auf EU-Standardvertragsklauseln und dokumentiertem Transfer Impact Assessment.

12. Deine Rechte

Du hast jederzeit das Recht auf

  • Auskunft (Art. 15 DSGVO),
  • Berichtigung (Art. 16) — Konto-Daten direkt in den Settings,
  • Löschung (Art. 17) — Konto-Löschung direkt im Konto,
  • Einschränkung (Art. 18),
  • Datenübertragbarkeit (Art. 20) — CSV-Export im Konto,
  • Widerspruch gegen Verarbeitungen auf Basis berechtigten Interesses (Art. 21),
  • Widerruf einer Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO),
  • Beschwerde bei einer Aufsichtsbehörde. Für uns zuständig: Der Hessische Beauftragte für Datenschutz und Informationsfreiheit, Postfach 31 63, 65021 Wiesbaden, datenschutz.hessen.de.

Anfragen, die nicht über den Self-Service abgedeckt sind, gerne an support@bemailed.de — Antwort innerhalb von 5 Werktagen.

13. Datensicherheit (TOMs)

Wir setzen technische und organisatorische Maßnahmen nach Art. 32 DSGVO ein — Details in AVV §5. Auszug: TLS 1.2+ für Versand, AES-256 at-rest, Row-Level-Security in der Datenbank, Pflicht-2FA für interne Zugänge, Argon2id- Passwort-Hashing, tägliche EU-Backups, DSGVO-konformes Error-Monitoring ohne PII.

14. Automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO findet nicht statt. Bounce- und Complaint-Schwellen können zwar zu automatischen Versand-Pausen führen — diese entfalten aber keine rechtliche oder ähnlich erhebliche Wirkung gegenüber Einzelpersonen, sondern wirken plattform-intern.

15. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, falls sich rechtliche Rahmenbedingungen oder unsere Verarbeitungs- tätigkeiten ändern. Die jeweils aktuelle Fassung findest du immer hier. Wesentliche Änderungen (z.B. neue Subprozessoren) kommunizieren wir aktiv per E-Mail mit mindestens 30 Tagen Vorlauf.

Stand: 25. Mai 2026 · Version 1.0 · Entwurf für bemailed — anwaltlich noch zu prüfen.