Rechtliches

Datenschutzerklärung

Stand: Juni 2026 · gültig ab: 08.07.2026 · zuletzt geändert: 08.06.2026

1. Verantwortlicher

Verantwortlich für die Verarbeitung personenbezogener Daten auf dieser Website:

Mailtory
Inhaber: Felix Münch
Sankt Michael 57
91056 Erlangen
Deutschland E-Mail: info@mailtory.de

2. Grundsätze der Datenverarbeitung

Wir verarbeiten personenbezogene Daten nur, wenn eine Rechtsgrundlage nach Art. 6 DSGVO vorliegt. Wir geben keine Daten an Dritte weiter, soweit dies nicht ausdrücklich angegeben oder gesetzlich erforderlich ist. Alle Daten werden ausschließlich auf Servern in Deutschland gespeichert, kein US-Cloud-Anbieter, kein Drittlandtransfer.

3. Datenverarbeitung auf dieser Website

3.1 Server-Logs

Bei jedem Zugriff auf unsere Website speichert der Webserver automatisch folgende Daten:

  • IP-Adresse (anonymisiert nach 24 Stunden)
  • Datum und Uhrzeit des Zugriffs
  • Aufgerufene URL und HTTP-Status
  • Übertragene Datenmenge
  • Browser-Typ und -Version (User-Agent)
  • Referrer-URL (zuvor besuchte Seite)
  • Betriebssystem des Nutzers

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem Betrieb). Server-Logs werden nach spätestens 7 Tagen automatisch gelöscht.

Unser Hosting wird bereitgestellt durch: netcup GmbH, Emmy-Noether-Straße 10, 76131 Karlsruhe sowie ZAP-Hosting GmbH & Co. KG, Hafenweg 8, 48155 Münster. Beide Anbieter haben ihren Sitz in Deutschland; mit beiden besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

3.2 Kontakt- und Anfrageformular

Wenn ihr das Anfrageformular auf unserer Website ausfüllt, verarbeiten wir folgende Daten:

  • Vereinsname (Pflichtfeld)
  • Ansprechpartner (freiwillig)
  • E-Mail-Adresse (Pflichtfeld)
  • Telefonnummer (freiwillig)
  • Wunsch-Domain (freiwillig)
  • Nachricht / Anmerkungen (freiwillig)
  • Wie ihr von uns erfahren habt (freiwillig)

Diese Daten werden per E-Mail an unser Team weitergeleitet und dienen ausschließlich der Bearbeitung eurer Anfrage und der Kontaktaufnahme im Rahmen der Vertragsanbahnung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung). Die Daten werden gelöscht, sobald die Anfrage abschließend bearbeitet wurde, spätestens nach 12 Monaten.

3.3 Webanalyse

Unsere Website verwendet eine selbst entwickelte, minimalistische Analysefunktion, die ausschließlich auf unseren eigenen Servern in Deutschland betrieben wird. Es werden lediglich aggregierte Seitenaufrufe erfasst, ohne Cookies, ohne persistente Nutzerkennung und ohne Weitergabe an Dritte. Eine Zuordnung zu einzelnen Personen ist nicht möglich. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung unserer Website).

3.4 Cookies

Unsere Website verwendet folgende Arten von Cookies (kein Google Analytics oder andere US-amerikanische Dienste):

  • Technisch notwendige Cookies: Session-Management, CSRF-Schutz. Diese Cookies sind für den Betrieb der Website erforderlich und können nicht deaktiviert werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
  • Analyse-Cookies (optional): Anonyme Nutzungsstatistiken zur Verbesserung der Website. Werden nur mit eurer Einwilligung gesetzt. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO. Ihr könnt eure Einwilligung jederzeit widerrufen.

Wir verwenden keinen Google Analytics oder andere US-amerikanische Tracking-Dienste. Einwilligungen werden im lokalen Speicher eures Browsers gespeichert (localStorage). Es findet keine Übertragung dieser Daten an externe Server statt.

4. Mailtory als Dienst (für Vereinskunden)

Wenn ihr Mailtory als E-Mail- und Verwaltungsplattform nutzt, verarbeiten wir in eurem Auftrag personenbezogene Daten eurer Vereinsmitglieder. Mailtory tritt dabei als Auftragsverarbeiter gemäß Art. 28 DSGVO auf.

Folgende Daten werden im Rahmen der Diensterbringung verarbeitet:

  • E-Mail-Infrastruktur: E-Mail-Adressen, Postfachinhalte, Anhänge, Versand- und Empfangsprotokolle, Spam-Quarantäne-Inhalte, IMAP-Fetch-Zugangsdaten für externe Postfächer;
  • Zugangsdaten und Nutzerkonten: Namen, E-Mail-Adressen, bcrypt-verschlüsselte Passwörter, Anmeldezeitpunkte, IP-Adressen bei Login, Zwei-Faktor-Authentifizierung (TOTP/Passkey);
  • Ticketsystem und Kommunikation: Ticket-Inhalte, Anhänge, Kommunikationsverläufe zwischen Mitgliedern und Vorstand, interne Notizen;
  • DNS- und Domain-Daten: Domain-Namen, DNS-Konfigurationen (MX, SPF, DKIM, DMARC, MTA-STS), Zonen-IDs;
  • Administrationsaktionen: Lückenloser Audit-Log aller administrativen Aktionen (wer hat was wann geändert), IP-Adressen der Administratoren;
  • Newsletter und Verteiler: Abonnentenlisten, Empfangs- und Öffnungsstatus, Opt-In-Zeitpunkte, Abmeldevorgänge (DSGVO-konform protokolliert);
  • Vereinsdaten (sofern Addons aktiv): Mitgliederdaten (Name, Adresse, Geburtsdatum, Mitgliedsstatus, Beitragshistorie), Veranstaltungsanmeldungen, Abstimmungsergebnisse, Formulareingaben, Finanzdaten, Aufgaben, Dokumenteninhalte, Team-Chat-Nachrichten (Messtory), Tresor-Einträge (verschlüsselt).

Rechtsgrundlage für die Auftragsverarbeitung: Art. 28 DSGVO in Verbindung mit dem zwischen den Parteien geschlossenen Auftragsverarbeitungsvertrag (AVV). Der AVV ist fester Bestandteil des Nutzungsverhältnisses und wird euch bei der Einrichtung bereitgestellt.

Als Verantwortlicher für eure Mitgliederdaten bleibt der Verein selbst zuständig. Wir stellen die technische Infrastruktur bereit und handeln ausschließlich nach euren Weisungen.

Als Anbieter von E-Mail-Diensten unterliegen wir dem Fernmeldegeheimnis gemäß § 3 TTDSG. Wir versichern, dass wir E-Mail-Inhalte ausschließlich für die Erbringung des Dienstes verarbeiten, keine Kenntnisnahme von Inhalten außer für technische Zwecke erfolgt und keine Weitergabe von E-Mail-Inhalten an Dritte ohne eure Einwilligung oder gesetzliche Verpflichtung stattfindet.

5. Löschkonzept und Datenlöschung

5.1 Selbstständige Löschung durch den Verein

Vereinsadmins können ihren Account jederzeit eigenständig vollständig und datenschutzkonform löschen. Die Funktion ist in Systory unter Vereinsverwaltung → Verein löschen erreichbar. Vor der endgültigen Löschung empfehlen wir, einen vollständigen Datenexport zu erstellen (verfügbar unter Einstellungen → Datenexport).

Die Löschung kann nicht rückgängig gemacht werden. Nach Bestätigung mit dem Vereinsnamen wird die Löschung sofort eingeleitet.

5.2 Ablauf der Datenlöschung

Bei Löschung eines Vereinsaccounts (durch den Vereinsadmin selbst oder durch Mailtory bei Vertragskündigung/Inaktivität) werden die Daten wie folgt behandelt:

  • Sofort (bei Löschauslösung): DNS-Einträge werden aus dem DNS-System gelöscht (MX, SPF, DKIM, DMARC etc.). Die Mailserver-Konfiguration (Postfächer, Aliase, Domains) wird aus der Mailserver-Datenbank entfernt. Alle aktiven Login-Sessions werden ungültig. Matrix-/Messtory-Accounts werden deaktiviert.
  • Mailbox-Dateien (Maildir): Die tatsächlichen E-Mail-Inhalte auf dem Mailserver-Dateisystem (Maildir) werden nach Abschluss der Löschung durch den automatischen Bereinigungsprozess des Mailservers gelöscht. Dieser Prozess läuft regelmäßig und löscht verwaiste Maildir-Verzeichnisse. Die Metadaten der gelöschten Postfächer (Benutzername, Domain, Speicherpfad, Größe) werden für maximal 30 Tage in einer internen Archivtabelle (deleted_mailboxes) vorgehalten und danach endgültig bereinigt.
  • Lokale Datenbank (Systory): Vereins-, Benutzer- und Domain-Datensätze werden zunächst als „gelöscht" markiert (Soft-Delete mit Zeitstempel) und sind damit nicht mehr zugänglich. Die endgültige Löschung aus der Datenbank erfolgt innerhalb von 30 Tagen.
  • Backups: Verschlüsselte System-Backups werden 30 Tage aufbewahrt. Daten gelöschter Vereine sind in diesen Backups enthalten, bis die Backups nach Ablauf der Aufbewahrungsfrist automatisch überschrieben werden.

5.3 Wo werden Daten nach der Löschung gespeichert?

Zur Sicherstellung der DSGVO-Nachvollziehbarkeit und für interne Revisionszwecke speichert Mailtory folgende Minimaldaten nach der Löschung:

  • Auf dem Mailserver: Postfach-Metadaten (Benutzername, Domain, Speicherpfad, Größe, Anzahl Nachrichten, Löschdatum) in der deleted_mailboxes-Tabelle, maximal 30 Tage;
  • Im Systory-Audit-Log: Protokolleintrag über die durchgeführte Löschung (Vereinsname, Zeitpunkt, auslösende Person), für interne Revisionszwecke bis zu 90 Tagen;
  • In System-Backups: vollständige Datenkopie bis zur automatischen Überschreibung nach 30 Tagen.

Alle anderen personenbezogenen Daten (Postfachinhalte, Mitgliederdaten, Tickets, Dokumente etc.) sind nach der 30-Tage-Frist vollständig und unwiderruflich gelöscht.

6. Datensicherheit (Technische und organisatorische Maßnahmen)

Wir setzen technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO ein:

  • TLS 1.3 für alle Verbindungen (HTTPS, SMTP, IMAP)
  • DKIM-Signierung und DMARC-Schutz für alle Postfächer
  • Rollenbasierte Zugriffskontrolle
  • Verschlüsselte Backups, tägliche Sicherung, 30 Tage Aufbewahrung
  • Unveränderliche Audit-Logs aller Administrationsaktionen
  • Physische Server ausschließlich in Deutschland
  • Keine Weitergabe an US-Cloud-Anbieter (kein AWS, Google Cloud, Azure)

7. Eure Rechte als Betroffene

Ihr habt folgende Rechte gemäß DSGVO:

  • Auskunft (Art. 15): Welche Daten wir über euch speichern.
  • Berichtigung (Art. 16): Korrektur falscher Daten.
  • Löschung (Art. 17): Löschung eurer Daten, soweit keine gesetzliche Aufbewahrungspflicht besteht.
  • Einschränkung (Art. 18): Einschränkung der Verarbeitung unter bestimmten Voraussetzungen.
  • Datenportabilität (Art. 20): Export eurer Daten in einem maschinenlesbaren Format.
  • Widerspruch (Art. 21): Widerspruch gegen Verarbeitungen, die auf berechtigtem Interesse beruhen.
  • Widerruf (Art. 7 Abs. 3): Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft.

Anfragen richtet an: info@mailtory.de. Wir antworten innerhalb von 30 Tagen.

Ihr habt außerdem das Recht, euch bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig für uns ist:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach
www.lda.bayern.de

8. Keine Weitergabe an Dritte

Wir geben eure Daten grundsätzlich nicht an Dritte weiter. Ausnahmen gelten nur, wenn wir gesetzlich dazu verpflichtet sind (z.B. auf richterliche Anordnung) oder ihr ausdrücklich eingewilligt habt. Es findet kein Datentransfer in Länder außerhalb der EU/EWR statt.

9. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf zu aktualisieren, um sie an geänderte Rechtslage, Dienste oder Verarbeitungsvorgänge anzupassen. Die aktuelle Version ist stets auf dieser Seite verfügbar. Das Datum des letzten Stands findet ihr oben.

📁 Vorherige Datenschutzerklärung (gültig bis 07.07.2026)