Datenschutzerklärung
Stand: April 2026
1. Verantwortlicher
Eduard Zuban
Lincolnstraße 1c
86156 Augsburg
E-Mail: info@maildesk.cloud
Telefon: +49 176 61229497
2. Überblick der Verarbeitungen
MailDesk ist ein Email-to-Ticket-System (SaaS), das E-Mails Ihrer Kunden in Tickets umwandelt und verwaltet. Im Cloud-Modus betreiben wir die Infrastruktur; im Self-Hosted-Modus betreiben Kunden die Software auf eigener Infrastruktur. Diese Datenschutzerklärung betrifft die Nutzung der Cloud-Version unter maildesk.cloud sowie der zugehörigen Website.
3. Rechtsgrundlagen
Die Verarbeitung personenbezogener Daten erfolgt auf Grundlage folgender Rechtsgrundlagen der DSGVO:
- Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung: Registrierung, Bereitstellung des SaaS-Dienstes, Zahlungsabwicklung.
- Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse: Server-Logfiles, IP-basiertes Rate Limiting, Session-Cookies, Missbrauchserkennung.
- Art. 6 Abs. 1 lit. c DSGVO — Rechtliche Verpflichtung: Aufbewahrung steuerrelevanter Rechnungsdaten.
4. Server-Logfiles
Bei jedem Zugriff auf diese Website werden vom Webserver automatisch folgende Daten erfasst:
- IP-Adresse des anfragenden Rechners
- Datum und Uhrzeit des Zugriffs
- Aufgerufene URL
- HTTP-Statuscode
- Übertragene Datenmenge
- Browser und Betriebssystem (User-Agent)
Diese Daten werden ausschließlich zur Sicherstellung des störungsfreien Betriebs und zur Missbrauchserkennung erhoben. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Die Logfiles werden nach 14 Tagen automatisch gelöscht.
5. Cookies
Diese Website verwendet ausschließlich technisch notwendige Cookies. Ein Cookie-Consent-Banner ist daher gemäß § 25 Abs. 2 Nr. 2 TDDDG nicht erforderlich.
| Cookie | Zweck | Dauer |
|---|---|---|
| better-auth.session_token | Authentifizierung / Session-Verwaltung | 7 Tage (Demo: 1 Stunde) |
Der Session-Cookie ist kryptographisch signiert (HMAC) und enthält keine personenbezogenen Daten im Klartext. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO i.V.m. § 25 Abs. 2 Nr. 2 TDDDG.
6. Registrierung
Sofern Sie sich registrieren, werden folgende Daten gespeichert:
- Name
- E-Mail-Adresse
- Passwort (gespeichert als bcrypt-Hash, nicht im Klartext)
Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Ihre Daten werden für die Dauer des Vertragsverhältnisses gespeichert und auf Antrag gelöscht.
7. Demo-Modus
Beim Klick auf "Try Live Demo" wird ein temporärer Demo-Account erstellt. Dabei werden folgende Daten verarbeitet:
- Automatisch generierte E-Mail-Adresse (z.B. demo-abc12345@maildesk.demo) — keine echte E-Mail
- Session-Cookie für die Authentifizierung
- IP-Adresse für das Rate Limiting (max. 10 Demo-Sessions pro Tag)
Automatische Löschung: Alle Demo-Daten (Account, Organisation, Tickets, Sessions) werden spätestens eine Stunde nach Erstellung vollständig und unwiderruflich gelöscht. Die Löschung erfolgt automatisch durch einen Hintergrundprozess.
8. E-Mail-Verarbeitung (Kernfunktion)
Als Email-to-Ticket-System verarbeitet MailDesk im Auftrag des Kunden (Auftragsverarbeitung gemäß Art. 28 DSGVO) eingehende E-Mails. Dabei werden folgende Daten gespeichert:
- Absender- und Empfänger-E-Mail-Adressen
- Betreff und Inhalt der E-Mail (HTML und Klartext)
- Dateianhänge
- E-Mail-Header und Message-IDs
- Zeitstempel
Die Verarbeitung erfolgt auf Grundlage des Auftragsverarbeitungsvertrags (AVV) zwischen MailDesk und dem Kunden. E-Mail-Inhalte werden ausschließlich auf unserem Server in Deutschland gespeichert und nicht an Dritte weitergegeben — es sei denn, der Kunde aktiviert optionale KI-Funktionen (siehe Abschnitt 10). Dateianhänge werden verschlüsselt auf dem Server gespeichert. IMAP/SMTP-Zugangsdaten werden mit AES-256-GCM verschlüsselt abgelegt.
9. Zahlungsabwicklung (Stripe)
Für die Zahlungsabwicklung nutzen wir den Dienst Stripe. Bei Abschluss eines kostenpflichtigen Abonnements oder beim Erwerb einer Self-Hosted-Lizenz werden folgende Daten an Stripe übermittelt:
- Name und E-Mail-Adresse
- Zahlungsinformationen (Kreditkarte, SEPA etc.)
- Abonnement- und Rechnungsdaten
Vertragspartner in der EU ist Stripe Payments Europe, Limited (Irland). Stripe ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert und verwendet zusätzlich Standardvertragsklauseln (SCCs) als Transfermechanismus. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Weitere Informationen: stripe.com/privacy
10. KI-Funktionen (optional)
MailDesk bietet optionale KI-Funktionen (KI-Antworten, Übersetzungen, semantische Suche). Diese sind standardmäßig deaktiviert und werden nur aktiv, wenn der Kunde sie konfiguriert.
a) KI-Antworten und Übersetzungen (Bring Your Own Key)
Für KI-Antworten und Übersetzungen verwenden Kunden ihre eigenen API-Schlüssel für OpenAI oder Anthropic. Bei Nutzung dieser Funktionen werden folgende Daten an den gewählten Anbieter übermittelt:
- Ticket-Betreff und Nachrichtenverlauf
- Relevante Knowledge-Base-Artikel als Kontext
- Zu übersetzender Text
Da der Kunde seinen eigenen API-Schlüssel nutzt, besteht das Vertragsverhältnis mit dem KI-Anbieter direkt zwischen dem Kunden und dem jeweiligen Anbieter. MailDesk fungiert hier als technischer Vermittler. Die API-Schlüssel der Kunden werden mit AES-256-GCM verschlüsselt in der Datenbank gespeichert.
Anbieter:
- OpenAI, L.L.C. (San Francisco, USA) — Transfer via SCCs. Datenschutzrichtlinie
- Anthropic, PBC (San Francisco, USA) — Transfer via SCCs. Datenschutzrichtlinie
b) Semantische Suche (Knowledge-Base-Embeddings)
Für die semantische Suche in der Knowledge Base werden Texteinbettungen (Embeddings) über die OpenAI-API erzeugt. Hierbei wird ein systemseitiger API-Schlüssel von MailDesk verwendet. Folgende Daten werden an OpenAI übermittelt:
- Text der Knowledge-Base-Artikel (Titel und Inhalt) — bei Erstellung oder Aktualisierung
- Suchanfragen (Ticket-Betreff und letzte Nachricht) — bei Nutzung der KI-Antwort-Funktion
Es werden keine vollständigen E-Mail-Inhalte oder personenbezogenen Kundendaten an die Embedding-API gesendet. Das verwendete Modell ist text-embedding-3-small. OpenAI ist nicht unter dem EU-US Data Privacy Framework zertifiziert; der Transfer erfolgt auf Basis von Standardvertragsklauseln (SCCs). Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung einer effizienten Suchfunktion).
Diese Funktion ist optional und kann durch Nicht-Konfiguration des Embedding-Schlüssels deaktiviert werden. In diesem Fall erfolgt ein Fallback auf eine einfache Volltextsuche ohne externe API-Aufrufe.
11. Transaktions-E-Mails
Wir versenden Transaktions-E-Mails (Verifizierung, Passwort-Reset, Lizenzschlüssel) über unseren eigenen Mailserver (noreply@maildesk.cloud). Der Mailserver wird auf derselben Infrastruktur in Deutschland betrieben. In diesen E-Mails werden Icons über den externen Dienst Iconify (api.iconify.design) geladen. Beim Öffnen der E-Mail stellt Ihr E-Mail-Client eine Verbindung zu diesem Dienst her, wobei Ihre IP-Adresse übermittelt wird. Es werden keine weiteren personenbezogenen Daten weitergegeben.
12. IP-basiertes Rate Limiting
Zum Schutz vor Missbrauch wird Ihre IP-Adresse temporär in einem In-Memory-Cache (Redis) gespeichert. Die Daten werden automatisch nach Ablauf des Zeitfensters gelöscht (je nach Endpunkt zwischen 15 Minuten und 24 Stunden). Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit des Dienstes).
13. Link-Vorschau im Team-Chat
Wenn Nutzer im Team-Chat Links teilen, ruft unser Server die verlinkte Webseite ab, um eine Vorschau (Titel, Beschreibung, Bild) anzuzeigen. Dieser Abruf erfolgt serverseitig; es werden keine Daten des Nutzers an die verlinkte Webseite weitergegeben. Private und interne IP-Adressen werden blockiert.
14. SSL/TLS-Verschlüsselung
Diese Website nutzt aus Sicherheitsgründen eine SSL/TLS-Verschlüsselung (Let's Encrypt). Dadurch wird die Kommunikation zwischen Ihrem Browser und dem Server vor dem Zugriff Dritter geschützt.
15. Hosting
Diese Website wird auf einem Server der Netcup GmbH (Daimlerstraße 25, 76185 Karlsruhe, Deutschland) gehostet. Der Serverstandort befindet sich in Köln, Deutschland. Mit dem Hoster besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO. Sämtliche Daten werden ausschließlich in Deutschland verarbeitet und gespeichert.
16. Keine Analyse- oder Tracking-Dienste
Es werden keine Analyse- oder Tracking-Dienste (wie Google Analytics, Matomo o.Ä.) eingesetzt. Es findet kein Tracking, kein Profiling und keine Weitergabe von Daten zu Werbezwecken statt.
17. Empfänger und Drittlandtransfers
Personenbezogene Daten werden nur an Dritte weitergegeben, soweit dies zur Vertragserfüllung erforderlich ist oder eine Rechtsgrundlage besteht:
| Empfänger | Zweck | Standort | Transfer |
|---|---|---|---|
| Netcup GmbH | Hosting | Deutschland | AVV |
| Stripe (Irland/USA) | Zahlungen | EU / USA | DPF + SCCs |
| OpenAI (USA) | Embeddings | USA | SCCs |
| Iconify | Icons in E-Mails | EU | — |
OpenAI und Anthropic werden nur im Rahmen der optionalen KI-Funktionen kontaktiert (siehe Abschnitt 10). Wenn der Kunde KI-Funktionen nicht aktiviert, findet kein Datentransfer in Drittstaaten statt.
18. Aufbewahrungsfristen
| Datenkategorie | Aufbewahrungsfrist |
|---|---|
| Server-Logfiles | 14 Tage |
| Rate-Limiting-Daten (Redis) | 15 Minuten bis 24 Stunden |
| Demo-Daten | 1 Stunde |
| Account- und Ticketdaten | Dauer des Vertragsverhältnisses |
| Rechnungsdaten | 10 Jahre (§ 147 AO, § 257 HGB) |
| Sessions | 7 Tage nach letzter Aktivität |
Nach Vertragsende werden Account- und Ticketdaten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
19. Ihre Rechte
Sie haben jederzeit folgende Rechte bezüglich Ihrer personenbezogenen Daten:
- Auskunft (Art. 15 DSGVO)
- Berichtigung (Art. 16 DSGVO)
- Löschung (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch (Art. 21 DSGVO)
- Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO)
Zur Ausübung Ihrer Rechte wenden Sie sich an: info@maildesk.cloud
20. Recht auf Beschwerde bei einer Aufsichtsbehörde
Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO verstößt, haben Sie das Recht, sich bei einer Aufsichtsbehörde zu beschweren. Die zuständige Aufsichtsbehörde ist:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach
www.lda.bayern.de