Datenschutzrichtlinie
Zuletzt aktualisiert: 20. Mai 2026
Welche Daten wir erheben
Wenn Sie ein QMailing-Konto erstellen, erfassen wir Ihren Namen und Ihre E-Mail-Adresse (oder OAuth-Profilinformationen von Google, Microsoft, GitHub oder Telegram). Eine Telefonnummer ist nicht erforderlich.
Bei der Nutzung von QMailing speichern wir die von Ihnen gesendeten und empfangenen E-Mails, Postfachkonfigurationen und Nutzungsdaten (verbrauchter Speicher, Anzahl der Postfächer).
Wie wir Ihre Daten verwenden
Wir verwenden Ihre Daten, um:
- Den QMailing-Dienst bereitzustellen, zu warten und zu verbessern
- Transaktionale Benachrichtigungen zu senden (Sicherheitswarnungen, Rechnungen)
- Missbrauch, Betrug und Sicherheitsbedrohungen zu erkennen und zu verhindern
- Gesetzliche Verpflichtungen zu erfüllen
Wir lesen, scannen oder analysieren den Inhalt Ihrer E-Mails nicht für Werbezwecke.
Datenspeicherung und -sicherheit
Ihre Daten werden auf verschlüsselten Servern innerhalb der Europäischen Union gespeichert. Wir verwenden TLS-Verschlüsselung für alle Daten während der Übertragung und AES-256-Verschlüsselung für ruhende Daten.
Drittanbieter
Für den Betrieb des Dienstes nutzen wir eine kleine Auswahl an Drittanbietern:
- Zahlungsdienstleister — verarbeitet Abonnements und Rechnungen für bezahlte Pläne
- Fehler-Tracking — zur schnellen Erkennung und Behebung von Problemen
Sub-Processors
QMailing setzt auf eine kleine Anzahl vertrauenswürdiger Anbieter zum Betrieb des Dienstes. Jeder ist durch eine DPA (Data Processing Agreement) gemäß GDPR Article 28 gebunden. Die vollständige Liste folgt unten; wir aktualisieren diesen Abschnitt vor dem Hinzufügen oder Entfernen eines Sub-Processors.
| Anbieter | Dienst | Standort | DPA |
|---|---|---|---|
| Amazon Web Services | E-Mail-Versand/-Empfang (SES), Objektspeicher (S3), Datenbank (RDS PostgreSQL), Compute (EC2, Lambda), Rate-Limit- und Abuse-Zähler (DynamoDB). | EU (eu-north-1, Stockholm) | DPA |
| Paddle | Zahlungsabwicklung (Merchant of Record). Karten, Rechnungen, Steuern, Rückerstattungen. | EU / UK | DPA |
| Grafana Labs | Frontend-Telemetrie (Grafana Faro): JavaScript-Fehler, Performance-Metriken. Ohne E-Mail-Inhalte. | EU | DPA |
| Cloudflare | Bot-Challenge (Turnstile) beim Login. DDoS-Schutz am Netzwerk-Edge. | Global (EU edge) | DPA |
| Nur OAuth-Login. Wir lesen niemals Ihre Gmail, Drive oder Kontakte. | Global | DPA | |
| Microsoft | Nur OAuth-Login. Wir lesen niemals Ihr Outlook, OneDrive oder Calendar. | Global | DPA |
| GitHub | Nur OAuth-Login. Wir lesen niemals Ihre Repositories oder Organisationsdaten. | Global | DPA |
| Telegram | Nur OAuth-Login. Wir lesen niemals Ihre Chats. | Global | DPA |
OAuth-Login
Wenn Sie sich mit Google, Microsoft, GitHub oder Telegram anmelden, gibt der Anbieter ein minimales Profil an QMailing zurück: Ihre E-Mail-Adresse, den Anzeigenamen und (wo verfügbar) die Avatar-URL. Wir nutzen diese ausschließlich zur Kontoerstellung beim ersten Login und zur Wiederanmeldung bei weiteren Besuchen.
QMailing liest oder schreibt niemals Daten in Ihrem Google/Microsoft/GitHub/Telegram-Konto über den OAuth-Handshake hinaus. Wir fordern keine Scopes für Posteingang, Drive, Kalender, Repository oder Kontakte an. Wir senden Ihnen kein Marketing über diese Anbieter. Wir geben OAuth-abgeleitete Daten nicht an Dritte weiter.
API-Zugang & MCP-Integrationen
QMailing stellt Bearer-Token im OAuth-Stil (qm_live_*) für den programmatischen Zugriff über die öffentliche REST-API und den gehosteten MCP-Server unter https://qmailing.com/mcp aus. Jeder Token erhält bei der Ausstellung Scopes (z. B. mailbox:read, email:send) und ist an ein einzelnes Konto gebunden.
Wenn ein KI-Agent sich mit einem Token verbindet, loggt QMailing Anfrage-Metadaten — Zeitstempel, Tool-Name, HTTP-Status, Antwortzeit — für 30 Tage zur Missbrauchserkennung und Rate-Limit-Buchhaltung. Anfrage-Bodies und Tool-Ergebnisse werden NICHT in Logs persistiert. Tokens werden serverseitig als bcrypt-Hashes gespeichert; der Klartextwert wird genau einmal bei der Ausstellung gezeigt.
Sie können jeden Token unter Einstellungen → Entwickler widerrufen, oder für OAuth-erteilte Verbindungen unter Einstellungen → Verbindungen. Der Widerruf greift bei der nächsten Anfrage — kein Cache.
Cookies
Wir verwenden notwendige Cookies für die Authentifizierung und Sitzungsverwaltung. Analyse-Cookies werden nur mit Ihrer ausdrücklichen Zustimmung gesetzt. Sie können Ihre Cookie-Einstellungen jederzeit verwalten.
Ihre Rechte
Gemäß DSGVO haben Sie das Recht:
- Auf Ihre personenbezogenen Daten zuzugreifen
- Ihre Daten in einem maschinenlesbaren Format zu exportieren
- Die Löschung Ihres Kontos und aller zugehörigen Daten zu verlangen
- Der Datenverarbeitung zu widersprechen
Sie können diese Rechte unter Einstellungen > Datenschutz ausüben oder sich an privacy@qmailing.com wenden.
Internationale Datenübermittlungen
QMailing wird in der Europäischen Union gehostet (AWS eu-north-1, Stockholm). Der E-Mail-Versand über Amazon SES durchläuft die AWS-Edge-Infrastruktur, was abhängig vom Mailserver des Empfängers Einrichtungen außerhalb des EWR einschließen kann. Die von der Europäischen Kommission genehmigten Standardvertragsklauseln (SCCs) gelten für jede Übermittlung personenbezogener Daten außerhalb des EWR. Wir übermitteln keine Daten in Rechtsräume ohne Angemessenheitsbeschluss oder gleichwertige Schutzmaßnahmen.
Aufbewahrung und Löschung von Daten
Wir speichern Ihre Daten, solange Ihr Konto aktiv ist. Wenn Sie Ihr Konto, ein Postfach oder eine E-Mail löschen, gelangen die Daten in ein 30-tägiges Soft-Delete-Fenster — in diesem Zeitraum können Sie sie wiederherstellen (Konten durch erneutes Anmelden und Abbrechen der Löschung, Postfächer und E-Mails aus dem Papierkorb). Nach 30 Tagen werden die Daten dauerhaft aus unseren aktiven Systemen entfernt.
Wir bewahren keine externen Sicherungskopien über das Soft-Delete-Fenster hinaus auf — nach Ablauf des Zeitraums ist eine Wiederherstellung nicht mehr möglich.
Benachrichtigung bei Datenpanne
Im Falle einer Verletzung des Schutzes personenbezogener Daten, die voraussichtlich ein Risiko für Ihre Rechte und Freiheiten zur Folge hat, werden wir die zuständige Aufsichtsbehörde innerhalb von 72 Stunden nach Kenntnisnahme der Verletzung informieren, gemäß GDPR Article 33. Wenn die Verletzung voraussichtlich ein HOHES Risiko zur Folge hat, werden wir betroffene Nutzer unverzüglich direkt per E-Mail an Ihre registrierte Adresse benachrichtigen.
Datenschutz für Kinder
QMailing richtet sich nicht an Kinder und ist nicht für sie bestimmt. Wir erheben wissentlich keine personenbezogenen Daten von Personen unter 16 Jahren im Europäischen Wirtschaftsraum oder unter 13 Jahren in den Vereinigten Staaten. Wenn Sie glauben, dass wir versehentlich solche Daten erhoben haben, kontaktieren Sie uns, und wir werden sie unverzüglich löschen.
Datenverantwortlicher
Der Datenverantwortliche für QMailing ist Bohdan Abramovych, eine Privatperson mit Wohnsitz in Kyiv, Ukraine. Für jede Frage zum Datenschutz, zur Ausübung von GDPR-Rechten (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) oder eine Beschwerde schreiben Sie an privacy@qmailing.com.
Kontakt
Bei datenschutzbezogenen Fragen wenden Sie sich an privacy@qmailing.com.