Zum Hauptinhalt springen

Datenschutzerklärung

Letzte Aktualisierung: 20. März 2026 · Qytos SAS / Mailflair

Der Schutz Ihrer persönlichen Daten ist uns ein zentrales Anliegen. Diese Datenschutzerklärung informiert Sie darüber, welche personenbezogenen Daten wir erheben, wie wir diese verwenden und welche Rechte Sie in Bezug auf Ihre Daten haben. Wir verarbeiten Ihre Daten ausschließlich in Übereinstimmung mit der Datenschutz-Grundverordnung (DSGVO), dem luxemburgischen Datenschutzgesetz und anderen anwendbaren Datenschutzvorschriften.

1. Verantwortlicher

Der Verantwortliche im Sinne der DSGVO für die Verarbeitung Ihrer personenbezogenen Daten ist:

Qytos SAS

6 rue de l'École
L-7391 Blaschette
Luxemburg

E-Mail: yves@qytos.eu
Telefon: +33 6 70 48 45 84
Webseite: www.qytos.eu

Vertreten durch: Yves Cabanac, CEO & Mitgründer

2. Erhobene Daten

Im Rahmen der Nutzung von Mailflair verarbeiten wir folgende Kategorien personenbezogener Daten:

2.1 Kontodaten

  • E-Mail-Adresse: zur Kontoerstellung, Authentifizierung und Kommunikation
  • Name: sofern bei der Registrierung angegeben (optional)
  • Passwort-Hash: verschlüsselt gespeichert, niemals im Klartext
  • Rechnungsdaten: Name, Adresse, Land — für die Zahlungsabwicklung über zertifizierte Zahlungsanbieter

2.2 Nutzungsdaten

  • E-Mail-Metadaten: Absenderadresse, Empfänger, Betreff, Zeitstempel — für die Analyse
  • Bedrohungsprotokolle: Klassifizierungsergebnisse, Bedrohungstypen und Risikoscores der analysierten E-Mails
  • Dashboard-Nutzung: welche Funktionen Sie verwenden, Klick- und Navigationsdaten für Produktverbesserungen

2.3 Technische Daten

  • IP-Adresse: zur Sicherheitsprüfung, Missbrauchsprävention und Geolokalisierung (anonymisiert nach 30 Tagen)
  • Browser und Gerät: User-Agent-String, Betriebssystem, Bildschirmauflösung für Kompatibilitätszwecke
  • Serverprotokolle: automatisch generierte Zugriffsprotokolle mit IP, Datum, Uhrzeit und angeforderter Ressource
  • Cookies: Session-Cookies zur Authentifizierung (keine Tracking-Cookies ohne Einwilligung)

3. Zwecke der Verarbeitung und Rechtsgrundlagen

Wir verarbeiten Ihre personenbezogenen Daten für folgende Zwecke, jeweils gestützt auf die genannten Rechtsgrundlagen gemäß DSGVO Art. 6:

ZweckRechtsgrundlage
Bereitstellung des Mailflair-DienstesArt. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Kontoerstellung und AuthentifizierungArt. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
ZahlungsabwicklungArt. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Bedrohungsanalyse und SicherheitsschutzArt. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Verbesserung unserer KI-Modelle (anonymisiert)Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
Technischer Support und KundenserviceArt. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Sicherheitsüberwachung und MissbrauchspräventionArt. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
Versand von Transaktions-E-Mails (Rechnungen, Sicherheitswarnungen)Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Versand von Marketing-E-Mails (Newsletter)Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Einhaltung gesetzlicher VerpflichtungenArt. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung)

4. Speicherdauer

Wir speichern Ihre personenbezogenen Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

DatenartSpeicherdauer
Kontodaten (aktives Konto)Während der Vertragslaufzeit + 30 Tage nach Kündigung
Rechnungsdaten10 Jahre (luxemburgisches Handelsrecht)
Bedrohungsprotokolle und Dashboard-Daten12 Monate rollierend
IP-Adressen (Serverprotokolle)30 Tage (dann anonymisiert)
E-Mail-Metadaten (für Analyse)90 Tage
Support-Anfragen2 Jahre nach Schließung des Tickets
Einwilligungen (z. B. Newsletter)Bis zum Widerruf + 3 Jahre Nachweispflicht

Nach Ablauf der jeweiligen Speicherfrist werden Ihre Daten automatisch und unwiderruflich gelöscht oder anonymisiert.

5. Empfänger und Auftragsverarbeiter

Wir geben Ihre Daten nur an sorgfältig ausgewählte Dienstleister weiter, die als Auftragsverarbeiter im Sinne der DSGVO handeln und durch Auftragsverarbeitungsverträge (AVV) gebunden sind:

  • Zahlungsdienstleister (z. B. Stripe): für die sichere Abwicklung von Zahlungen. Stripe verarbeitet Ihre Zahlungsdaten gemäß PCI-DSS-Standard.
  • Cloud-Infrastruktur: Serverhosting ausschließlich in der EU, ISO 27001-zertifiziert.
  • E-Mail-Versand (für Transaktionsmails): für den Versand von Bestätigungs-, Warn- und Rechnungs-E-Mails.
  • Analyse-Tools (datenschutzkonform): für aggregierte, anonymisierte Nutzungsstatistiken zur Produktverbesserung.

Wir verkaufen, vermieten oder teilen Ihre personenbezogenen Daten niemals mit Dritten für deren eigene Marketingzwecke oder andere kommerzielle Interessen.

Im Falle einer gesetzlichen Verpflichtung (z. B. Anfragen von Behörden) können wir zur Offenlegung verpflichtet sein. In einem solchen Fall werden wir Sie, soweit rechtlich zulässig, vorab informieren.

6. Drittlandtransfers

Wir verarbeiten Ihre Daten grundsätzlich ausschließlich in der Europäischen Union und dem Europäischen Wirtschaftsraum (EWR). Alle unsere Haupt-Server befinden sich in Luxemburg und/oder Deutschland.

Falls es in Ausnahmefällen zu Übermittlungen in Drittländer kommen sollte (z. B. durch den Einsatz eines US-amerikanischen Zahlungsdienstleisters), stellen wir sicher, dass die Übermittlung auf einem der folgenden Mechanismen basiert:

  • Adäquatheitsbeschluss der Europäischen Kommission
  • Standarddatenschutzklauseln (SCCs) gemäß DSGVO Art. 46 Abs. 2 lit. c
  • EU-US Data Privacy Framework (DPF)

Auf Anfrage stellen wir Ihnen Informationen zu den im Einzelfall eingesetzten Garantiemechanismen zur Verfügung. Wenden Sie sich hierfür an yves@qytos.eu.

7. Ihre Rechte als betroffene Person

Gemäß der DSGVO stehen Ihnen folgende Rechte zu, die Sie jederzeit gegenüber uns geltend machen können:

7.1 Recht auf Auskunft (Art. 15 DSGVO)

Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob und welche personenbezogenen Daten wir über Sie verarbeiten, sowie eine Kopie dieser Daten zu erhalten.

7.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, die Berichtigung unrichtiger oder die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.

7.3 Recht auf Löschung ("Recht auf Vergessenwerden") (Art. 17 DSGVO)

Sie können die Löschung Ihrer personenbezogenen Daten verlangen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Sie können Ihr Konto und alle zugehörigen Daten jederzeit direkt in der App oder per E-Mail an yves@qytos.eu löschen lassen.

7.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

In bestimmten Fällen können Sie die Einschränkung der Verarbeitung verlangen, beispielsweise wenn Sie die Richtigkeit der Daten bestreiten oder der Verarbeitung widersprochen haben.

7.5 Recht auf Datenportabilität (Art. 20 DSGVO)

Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format (z. B. JSON oder CSV) zu erhalten und an einen anderen Verantwortlichen zu übertragen.

7.6 Widerspruchsrecht (Art. 21 DSGVO)

Sie können der Verarbeitung Ihrer Daten auf Basis von berechtigten Interessen (Art. 6 Abs. 1 lit. f) jederzeit widersprechen. Im Falle von Direktwerbung haben Sie ein unbedingtes Widerspruchsrecht.

7.7 Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Soweit die Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen, ohne dass dies die Rechtmäßigkeit der bisherigen Verarbeitung berührt.

Zur Geltendmachung Ihrer Rechte wenden Sie sich bitte per E-Mail an: yves@qytos.eu. Wir werden Ihre Anfrage innerhalb von 30 Tagen beantworten.

8. Cookies und ähnliche Technologien

8.1 Technisch notwendige Cookies

Wir verwenden ausschließlich technisch notwendige Cookies, die für den Betrieb der Anwendung unerlässlich sind:

  • Session-Cookie: zur Aufrechterhaltung Ihrer angemeldeten Sitzung (wird beim Logout gelöscht)
  • CSRF-Token: zum Schutz vor Cross-Site-Request-Forgery-Angriffen
  • Sprachpräferenz: zur Speicherung Ihrer gewählten Spracheinstellung

Diese Cookies erfordern keine Einwilligung, da sie technisch zwingend notwendig sind (Art. 6 Abs. 1 lit. f DSGVO, § 25 Abs. 2 TDDDG).

8.2 Analyse-Cookies (nur mit Einwilligung)

Falls Sie einer Analyse-Lösung zustimmen, werden anonymisierte Nutzungsdaten erhoben. Sie können Ihre Einwilligung jederzeit über das Cookie-Banner oder in den Einstellungen widerrufen. Wir setzen bewusst auf datenschutzfreundliche Analyse-Tools (keine Google Analytics).

8.3 Keine Tracking- oder Werbe-Cookies

Wir verwenden keine Tracking-Cookies für Werbenetzwerke, kein Cross-Site-Tracking und keine Weitergabe von Daten an Werbetreibende Dritte.

9. Technische und organisatorische Sicherheitsmaßnahmen

Der Schutz Ihrer Daten hat für uns höchste Priorität. Wir haben umfangreiche technische und organisatorische Maßnahmen (TOMs) implementiert, um Ihre Daten vor unbefugtem Zugriff, Verlust oder Missbrauch zu schützen:

  • Verschlüsselung in Transit: Alle Verbindungen zu unseren Diensten werden durch TLS 1.3 verschlüsselt.
  • Verschlüsselung im Ruhezustand: Gespeicherte Daten werden mit AES-256 verschlüsselt.
  • Passwort-Hashing: Passwörter werden mit bcrypt gehasht und nie im Klartext gespeichert.
  • Mehr-Faktor-Authentifizierung (MFA): Verfügbar für alle Nutzerkonten.
  • Regelmäßige Sicherheitsaudits: Penetrationstests und Code-Reviews durch unabhängige Sicherheitsexperten.
  • Zugriffskontrollen: Strenge Principle-of-Least-Privilege-Richtlinien für alle Mitarbeiter.
  • Datensicherung: Tägliche verschlüsselte Backups in geografisch getrennten EU-Rechenzentren.
  • Incident Response: Dokumentierter Reaktionsplan für Sicherheitsvorfälle gemäß DSGVO Art. 33/34.

Im Falle einer Datenpanne, die zu einem Risiko für Ihre Rechte und Freiheiten führt, werden wir Sie gemäß DSGVO Art. 34 unverzüglich informieren.

10. Datenschutzbeauftragter

Für datenschutzrechtliche Anfragen können Sie unseren Datenschutzverantwortlichen direkt kontaktieren:

Yves Cabanac — Datenschutzverantwortlicher

E-Mail: yves@qytos.eu

Qytos SAS, 6 rue de l'École, L-7391 Blaschette, Luxemburg

Wir werden Ihr Anliegen innerhalb von 30 Tagen (DSGVO Art. 12 Abs. 3) bearbeiten und Ihnen antworten.

11. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, eine Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde einzureichen, wenn Sie der Meinung sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt.

Die für Qytos SAS zuständige Aufsichtsbehörde ist:

Commission Nationale pour la Protection des Données (CNPD)

15, Boulevard du Jazz
L-4370 Belvaux
Luxemburg

Webseite: cnpd.public.lu
E-Mail: info@cnpd.lu · Tel.: +352 26 10 60-1

Alternativ können Sie sich auch an die Datenschutzaufsichtsbehörde Ihres Wohnsitzmitgliedstaats wenden.

12. Änderungen dieser Datenschutzerklärung

Wir behalten uns das Recht vor, diese Datenschutzerklärung jederzeit anzupassen, um rechtliche Anforderungen zu erfüllen oder Änderungen an unseren Diensten zu reflektieren. Bei wesentlichen Änderungen werden wir Sie per E-Mail oder über eine gut sichtbare Benachrichtigung in der App informieren. Das Datum der letzten Aktualisierung ist stets am Anfang dieses Dokuments angegeben.

Wir empfehlen, diese Datenschutzerklärung regelmäßig zu überprüfen. Die aktuelle Version ist jederzeit unter www.qytos.eu/de/privacy.html abrufbar.