Datenschutzerklaerung

Stand: 08. Maerz 2026

1. Verantwortlicher

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist:

PROXALY OÜ
Sepapaja tn 6, 15551 Tallinn, Estland
Registernummer: 16726093
USt-IdNr.: EE102611229
E-Mail: info@proxaly.com
Geschaeftsfuehrer: Daniel Held

Ein Datenschutzbeauftragter ist nicht bestellt, da die Voraussetzungen nach Art. 37 DSGVO nicht vorliegen.

2. Ueberblick ueber die Datenverarbeitung

Wir verarbeiten personenbezogene Daten unserer Nutzer, soweit dies zur Bereitstellung unseres E-Mail-Versanddienstes „emlyx“ (nachfolgend „Dienst“) erforderlich ist. Der Dienst umfasst die Domains emlyx.eu, app.emlyx.eu und webmail.emlyx.eu.

Im Folgenden informieren wir Sie gemaess Art. 13 DSGVO ueber Art, Umfang und Zweck der Verarbeitung personenbezogener Daten innerhalb unseres Dienstes.

3. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten auf Grundlage folgender Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) – Soweit Sie uns eine Einwilligung zur Verarbeitung erteilt haben, z. B. fuer das optionale Open-Tracking und Click-Tracking.
  • Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchfuehrung) – Soweit die Verarbeitung zur Erfuellung unseres Vertrages mit Ihnen erforderlich ist, insbesondere fuer die Registrierung, die Bereitstellung des Dienstes und den E-Mail-Versand.
  • Art. 6 Abs. 1 lit. c DSGVO (Rechtliche Verpflichtung) – Soweit die Verarbeitung zur Erfuellung einer rechtlichen Verpflichtung erforderlich ist, z. B. steuerrechtliche Aufbewahrungspflichten.
  • Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse) – Soweit die Verarbeitung zur Wahrung unserer berechtigten Interessen erforderlich ist, insbesondere fuer die Gewaehrleistung der IT-Sicherheit, das Logging und die Missbrauchserkennung.

4. Erhobene Daten im Einzelnen

4.1 Registrierung und Benutzerkonto

Bei der Registrierung erheben und verarbeiten wir folgende Daten:

  • Name
  • E-Mail-Adresse
  • Passwort (wird ausschliesslich als bcrypt-Hash gespeichert; das Klartext-Passwort wird nicht gespeichert)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchfuehrung).
Zweck: Erstellung und Verwaltung Ihres Benutzerkontos, Authentifizierung.

4.2 Projektdaten

Fuer die Einrichtung von Projekten verarbeiten wir:

  • Domain und Subdomain
  • API-Token (AES-256-verschluesselt gespeichert)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchfuehrung).
Zweck: Bereitstellung des E-Mail-Versanddienstes, Zuordnung von E-Mails zu Projekten.

4.3 E-Mail-Daten

Beim Versand von E-Mails ueber unseren Dienst verarbeiten wir:

  • Absender-Adresse
  • Empfaenger-Adresse
  • Betreff
  • E-Mail-Inhalt (HTML-Body)
  • Zustellstatus (z. B. zugestellt, fehlgeschlagen, Bounce)
  • Zeitstempel des Versands

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchfuehrung).
Zweck: Durchfuehrung des E-Mail-Versands, Zustellprotokollierung, Fehlerbehebung.

4.4 Webmail-Kontakte

Im Webmail-Client koennen Sie Kontakte anlegen. Dabei verarbeiten wir:

  • Name
  • E-Mail-Adresse
  • Notizen (optional)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchfuehrung).
Zweck: Verwaltung Ihrer Kontakte im Webmail-Client.

4.5 Signaturen

Sie koennen E-Mail-Signaturen erstellen und speichern. Dabei verarbeiten wir den HTML-Signaturtext.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchfuehrung).
Zweck: Bereitstellung der Signatur-Funktion im Webmail-Client.

4.6 Open-Tracking und Click-Tracking (optional)

Sofern Sie diese Funktion aktivieren, werden folgende Daten erhoben:

  • Open-Tracking: Durch ein in die E-Mail eingebettetes Tracking-Pixel wird erfasst, ob und wann der Empfaenger die E-Mail geoeffnet hat.
  • Click-Tracking: Links in der E-Mail werden umgeschrieben, um zu erfassen, ob und wann der Empfaenger auf einen Link geklickt hat.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Funktion ist standardmaessig deaktiviert und muss vom Nutzer bewusst aktiviert werden.
Zweck: Statistische Auswertung des E-Mail-Versands.
Hinweis: Als Nutzer unseres Dienstes sind Sie selbst dafuer verantwortlich, die erforderliche datenschutzrechtliche Einwilligung der E-Mail-Empfaenger einzuholen, sofern Sie Open- oder Click-Tracking aktivieren.

4.7 Server-Logfiles

Bei jedem Zugriff auf unseren Dienst werden automatisch folgende Daten protokolliert:

  • IP-Adresse des zugreifenden Geraetes
  • Datum und Uhrzeit des Zugriffs
  • Aufgerufene URL
  • HTTP-Statuscode
  • Uebertragene Datenmenge
  • Browser-Typ und Betriebssystem (User-Agent)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse).
Berechtigtes Interesse: Gewaehrleistung der IT-Sicherheit, Erkennung und Abwehr von Angriffen, Fehlerbehebung.
Speicherdauer: Logfiles werden nach 14 Tagen automatisch geloescht.

5. Zahlungsabwicklung

Fuer die Abwicklung kostenpflichtiger Abonnements nutzen wir den Zahlungsdienstleister Stripe.

Stripe, Inc.
354 Oyster Point Blvd, South San Francisco, CA 94080, USA

Zahlungsdaten (z. B. Kreditkartennummer, Ablaufdatum) werden ausschliesslich von Stripe erhoben und verarbeitet. Wir speichern keine Zahlungsdaten auf unseren Servern. Wir erhalten von Stripe lediglich eine Bestaetigungsinformation ueber den Zahlungsstatus sowie eine anonymisierte Referenz (z. B. die letzten vier Ziffern Ihrer Karte).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchfuehrung).
Zweck: Abwicklung der Zahlungen fuer kostenpflichtige Plaene.

Stripe ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert. Naehere Informationen zum Datenschutz bei Stripe finden Sie unter: stripe.com/privacy.

6. Einsatz von Drittanbietern (Auftragsverarbeiter)

Zur Erbringung unseres Dienstes setzen wir folgende Drittanbieter als Auftragsverarbeiter gemaess Art. 28 DSGVO ein:

6.1 Resend – E-Mail-Versand

Resend, Inc.
2261 Market Street #5039, San Francisco, CA 94114, USA

Zweck: Technische Zustellung der ueber unseren Dienst versendeten E-Mails.
Uebermittelte Daten: Absender, Empfaenger, Betreff, E-Mail-Inhalt, Zustellstatus.
Rechtsgrundlage der Uebermittlung: Art. 28 DSGVO (Auftragsverarbeitung) i. V. m. Art. 6 Abs. 1 lit. b DSGVO.
Drittlandtransfer: Resend ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert (Angemessenheitsbeschluss gemaess Art. 45 DSGVO). Ergaenzend bestehen EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) als Absicherung.

Weitere Informationen: resend.com/legal/dpa.

6.2 Stripe – Zahlungsabwicklung

Stripe, Inc.
354 Oyster Point Blvd, South San Francisco, CA 94080, USA

Zweck: Abwicklung von Zahlungen fuer kostenpflichtige Abonnements.
Uebermittelte Daten: Zahlungsdaten (werden direkt bei Stripe erhoben), E-Mail-Adresse, Name.
Rechtsgrundlage der Uebermittlung: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchfuehrung).
Drittlandtransfer: Stripe ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert (Angemessenheitsbeschluss gemaess Art. 45 DSGVO). Ergaenzend bestehen EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) als Absicherung.

Weitere Informationen: stripe.com/privacy.

6.3 Hetzner – Hosting

Hetzner Online GmbH
Industriestr. 25, 91710 Gunzenhausen, Deutschland

Zweck: Bereitstellung der Server-Infrastruktur fuer unseren Dienst.
Uebermittelte Daten: Alle im Rahmen der Dienstnutzung verarbeiteten Daten werden auf Servern von Hetzner in Deutschland gespeichert.
Rechtsgrundlage: Art. 28 DSGVO (Auftragsverarbeitung) i. V. m. Art. 6 Abs. 1 lit. b DSGVO.
Drittlandtransfer: Keiner. Die Server befinden sich in Deutschland (EU).

Weitere Informationen: hetzner.com/de/legal/privacy-policy.

7. Datenuebermittlung in Drittlaender

Im Rahmen der Diensterbringung werden personenbezogene Daten an Empfaenger in den USA uebermittelt (Resend, Stripe). Die Uebermittlung erfolgt auf Grundlage des Angemessenheitsbeschlusses der Europaeischen Kommission fuer das EU-US Data Privacy Framework (DPF) gemaess Art. 45 DSGVO.

Beide Dienstleister sind unter dem DPF zertifiziert und haben sich zur Einhaltung der DPF-Grundsaetze verpflichtet. Die Zertifizierung kann unter dataprivacyframework.gov/list ueberprueft werden.

Ergaenzend haben wir mit beiden Dienstleistern EU-Standardvertragsklauseln (Standard Contractual Clauses, SCC) gemaess Art. 46 Abs. 2 lit. c DSGVO vereinbart. Diese dienen als zusaetzliche Absicherung fuer den Fall, dass der Angemessenheitsbeschluss aufgehoben oder eingeschraenkt werden sollte.

8. Cookies und aehnliche Technologien

Unser Dienst verwendet ausschliesslich technisch notwendige Cookies. Eine Einwilligung ist hierfuer nicht erforderlich (§ 25 Abs. 2 Nr. 2 TDDDG).

Cookie Zweck Speicherdauer
session Session-Verwaltung (Laravel). Ermoeglicht die Zuordnung Ihrer Anfragen zu Ihrem Benutzerkonto. Sitzungsende bzw. 2 Stunden
XSRF-TOKEN Schutz vor Cross-Site-Request-Forgery-Angriffen (CSRF-Schutz). Sitzungsende bzw. 2 Stunden

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (technische Erforderlichkeit) i. V. m. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Funktionsfaehigkeit des Dienstes).

Wir setzen keine Analyse-Cookies, Werbe-Cookies oder Tracking-Cookies ein. Es wird kein Google Analytics oder vergleichbarer Analysedienst verwendet.

9. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es fuer den jeweiligen Verarbeitungszweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

Datenkategorie Speicherdauer
Kontodaten (Name, E-Mail, Passwort-Hash) Bis zur Kontoloeschung + 30 Tage
Projektdaten (Domain, API-Token) Bis zur Kontoloeschung + 30 Tage
E-Mail-Logs (Absender, Empfaenger, Betreff, Status) Bis zur Kontoloeschung + 30 Tage
E-Mail-Inhalte (HTML-Body) Bis zur Kontoloeschung + 30 Tage
Webmail-Kontakte und Signaturen Bis zur Kontoloeschung + 30 Tage
Server-Logfiles 14 Tage
Zahlungsdaten (bei Stripe) Gemaess den Richtlinien von Stripe

Nach Ablauf der jeweiligen Speicherdauer werden die Daten automatisch geloescht oder anonymisiert, sofern keine gesetzlichen Aufbewahrungspflichten einer Loeschung entgegenstehen.

10. Ihre Rechte als betroffene Person

Ihnen stehen gemaess der DSGVO folgende Rechte zu:

  • Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, Auskunft ueber die von uns zu Ihrer Person gespeicherten personenbezogenen Daten zu erhalten.
  • Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, unrichtige oder unvollstaendige personenbezogene Daten berichtigen zu lassen.
  • Recht auf Loeschung (Art. 17 DSGVO): Sie haben das Recht, die Loeschung Ihrer personenbezogenen Daten zu verlangen, sofern die Voraussetzungen des Art. 17 DSGVO vorliegen.
  • Recht auf Einschraenkung der Verarbeitung (Art. 18 DSGVO): Sie haben das Recht, die Einschraenkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.
  • Recht auf Datenportabilitaet (Art. 20 DSGVO): Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gaengigen und maschinenlesbaren Format zu erhalten.
  • Widerspruchsrecht (Art. 21 DSGVO): Sie haben das Recht, aus Gruenden, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO erfolgt, Widerspruch einzulegen.
  • Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Soweit die Verarbeitung auf einer Einwilligung beruht, haben Sie das Recht, diese jederzeit mit Wirkung fuer die Zukunft zu widerrufen. Die Rechtmaessigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberuehrt.

Zur Ausuebung Ihrer Rechte koennen Sie sich jederzeit an uns wenden: info@proxaly.com.

11. Beschwerderecht bei einer Aufsichtsbehoerde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehoerde zu, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstoesst (Art. 77 DSGVO).

Die fuer uns zustaendige Aufsichtsbehoerde ist:

Andmekaitse Inspektsioon (Estnische Datenschutzbehoerde)
Väike-Ameerika 19, 10129 Tallinn, Estland
Telefon: +372 627 4135
E-Mail: info@aki.ee
Website: www.aki.ee

Sie koennen sich auch an die Datenschutz-Aufsichtsbehoerde Ihres gewoehnlichen Aufenthaltsorts oder Arbeitsplatzes wenden.

12. Pflicht zur Bereitstellung personenbezogener Daten

Die Bereitstellung Ihres Namens, Ihrer E-Mail-Adresse und eines Passworts ist fuer die Registrierung und die Nutzung unseres Dienstes erforderlich. Ohne diese Angaben koennen wir den Vertrag mit Ihnen nicht abschliessen und den Dienst nicht erbringen.

Die Aktivierung von Open-Tracking und Click-Tracking ist freiwillig und fuer die Nutzung des Dienstes nicht erforderlich.

13. Automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung einschliesslich Profiling gemaess Art. 22 DSGVO findet nicht statt.

14. Auftragsverarbeitung (Art. 28 DSGVO)

Soweit Sie unseren Dienst zur Verarbeitung personenbezogener Daten Dritter nutzen (z. B. E-Mail-Adressen Ihrer Kunden oder Website-Besucher), sind Sie als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO taetig. Wir handeln insoweit als Auftragsverarbeiter gemaess Art. 28 DSGVO.

Die Einzelheiten der Auftragsverarbeitung sind in dem unter emlyx.eu/dpa abrufbaren Auftragsverarbeitungsvertrag (AVV) geregelt, der mit Registrierung Vertragsbestandteil wird.

15. SSL-/TLS-Verschluesselung

Unser Dienst nutzt aus Sicherheitsgruenden und zum Schutz der Uebertragung vertraulicher Inhalte eine SSL- bzw. TLS-Verschluesselung. Sie erkennen eine verschluesselte Verbindung daran, dass die Adresszeile des Browsers von „http://“ auf „https://“ wechselt und an dem Schloss-Symbol in Ihrer Browserzeile.

16. Aenderungen dieser Datenschutzerklaerung

Wir behalten uns vor, diese Datenschutzerklaerung anzupassen, um sie an geaenderte Rechtslagen oder bei Aenderungen des Dienstes sowie der Datenverarbeitung anzupassen. Die jeweils aktuelle Fassung ist stets unter emlyx.eu/privacy abrufbar.