Datenschutzerklärung / Privacy Policy
Zur deutschen Version | Jump to English Version
Datenschutzerklärung
Stand: 8. Mai 2026
Diese Datenschutzerklärung wird in deutscher und englischer Sprache bereitgestellt. Bei Auslegungswidersprüchen ist die deutsche Fassung verbindlich.
§ 1 Verantwortlicher
Verantwortlicher im Sinne von Art. 4 Nr. 7 Datenschutz-Grundverordnung (DSGVO) und § 5 Digitale-Dienste-Gesetz (DDG) ist:
Patrick Schlesinger
Parkstraße 19, 80339 München, Deutschland
E-Mail: [email protected]
§ 2 Datenschutzbeauftragter
Ein Datenschutzbeauftragter ist nach Art. 37 DSGVO sowie § 38 BDSG nicht zwingend zu bestellen. Anfragen zum Datenschutz richten Sie bitte unmittelbar an [email protected].
§ 3 Allgemeine Hinweise zur Datenverarbeitung
(1) Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung einer funktionsfähigen Plattform sowie unserer Inhalte und Leistungen erforderlich ist. Eine Verarbeitung erfolgt regelmäßig nur nach Einwilligung des Nutzers (Art. 6 Abs. 1 lit. a DSGVO), zur Vertragserfüllung (lit. b), zur Erfüllung rechtlicher Verpflichtungen (lit. c) oder auf Grundlage berechtigter Interessen (lit. f).
(2) Personenbezogene Daten werden nur so lange gespeichert, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.
§ 4 Erhebung und Verarbeitung beim Besuch der Website
Beim Aufruf von reportedip.de erfasst unser Hosting-Provider Hetzner sowie der vorgelagerte CDN-Dienst Cloudflare automatisch Informationen über
a) IP-Adresse des aufrufenden Geräts,
b) Datum und Uhrzeit des Zugriffs,
c) angefragte URL und HTTP-Status,
d) übertragene Datenmenge,
e) Referrer-URL (sofern vom Browser übertragen),
f) User-Agent-String (sofern vom Browser übertragen).
Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; berechtigtes Interesse ist der sichere Betrieb der Website, die Abwehr missbräuchlicher Zugriffe (DDoS-Schutz) und die Fehlerdiagnose. Die Daten werden 14 Tage nach dem Zugriff gelöscht oder anonymisiert.
§ 5 Registrierung und Account-Verwaltung
(1) Bei der Registrierung erheben wir die folgenden Pflichtangaben: E-Mail-Adresse, gewähltes Passwort (gehasht), Anzeigename. Optional erfasst werden Vor- und Nachname sowie eine Rechnungsadresse, soweit der Nutzer ein kostenpflichtiges Tier abschließt.
(2) Die Registrierung erfolgt im Double-Opt-In-Verfahren: Nach Absenden des Formulars erhalten Sie eine Bestätigungs-E-Mail. Erst durch Klick auf den Bestätigungslink wird der Account aktiviert.
(3) Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung und Vertragserfüllung).
(4) Die Registrierungsdaten werden bis zur Löschung des Accounts gespeichert. Auf Wunsch des Nutzers wird der Account vollständig gelöscht; nicht von der Löschung betroffen sind Daten, die wir aufgrund gesetzlicher Pflichten (insbesondere § 147 AO, § 257 HGB — 10-jährige steuerrechtliche Aufbewahrung von Rechnungen) weiterhin vorhalten müssen.
§ 6 Bezahlung über Stripe
(1) Zahlungen für Subscriptions und Bundle-Käufe werden über Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland abgewickelt. Stripe ist im Europäischen Wirtschaftsraum lizenziertes Zahlungsinstitut.
(2) Im Rahmen des Stripe-Checkouts werden folgende Daten an Stripe übermittelt: Name, E-Mail-Adresse, Rechnungsadresse, ggf. USt-IdNr (B2B), Zahlungsmittel-Daten (Kreditkarte, SEPA-Mandat). Stripe ist eigenständig Verantwortlicher für diese Daten.
(3) Wir empfangen von Stripe pseudonymisierte Bestätigungsdaten (Customer-ID, Subscription-ID, Rechnungs- und Steuerinformationen). Vollständige Karten- oder Kontodaten werden von uns weder gespeichert noch verarbeitet.
(4) Mit Stripe besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Stripe-Datenschutzerklärung: https://stripe.com/de/privacy.
(5) Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
§ 7 Nutzung der REST-API und IP-Reports
(1) Bei Nutzung der REST-API protokollieren wir den verwendeten API-Schlüssel, den Zeitstempel des Aufrufs sowie den angefragten Endpoint zur Erfüllung der Tier-bezogenen Tageskontingente und zur Missbrauchs-Detektion (Art. 6 Abs. 1 lit. b und f DSGVO). API-Logs werden 90 Tage gespeichert.
(2) Bei einem IP-Report werden die gemeldete IP-Adresse, die gewählte Bedrohungskategorie, der Zeitstempel und (optional) ein Kommentar gespeichert. Bei der Verarbeitung gemeldeter IP-Adressen handelt es sich um eine Verarbeitung personenbezogener Daten Dritter im Sinne des EuGH-Urteils Breyer (C-582/14).
(3) Rechtsgrundlage für die Verarbeitung gemeldeter IP-Adressen ist Art. 6 Abs. 1 lit. f DSGVO. Berechtigte Interessen sind der Aufbau einer kollektiven Bedrohungserkennung, die Abwehr von Angriffen, die Aufklärung von Sicherheitsvorfällen und die Bereitstellung der dynamischen Blacklist für die Community. Eine Identifizierung des Inhabers der gemeldeten IP-Adresse durch uns findet nicht statt; eine Re-Identifizierung wäre nur mit dem unverhältnismäßigen Aufwand der Anrufung der zuständigen Telekommunikations-Dienstleister möglich, den wir nicht unternehmen.
(4) Reputationsdaten zu gemeldeten IP-Adressen werden in pseudonymisierter Form dauerhaft in der Sicherheitsdatenbank gespeichert; ältere Reports werden nach 12 Monaten anonymisiert (Hash-Trimming, Entfernung des konkreten Reporter-Bezugs).
§ 8 Honeypot-Tier und automatisierte Reports
Honeypot-Operatoren übermitteln IP-Reports automatisiert. Diese Reports unterliegen denselben Rechtsgrundlagen und Aufbewahrungsfristen wie manuelle Reports nach § 7. Honeypot-Reports erhalten in der Confidence-Score-Berechnung ein erhöhtes Gewicht, weil sie aus speziell präparierten Systemen stammen, die keinen legitimen Verkehr empfangen.
§ 9 Hive-Plugin (Community Network)
(1) Wenn Site-Betreiber das Open-Source-Plugin reportedIP Hive im Modus „Community Network” auf eigenen WordPress-Sites einsetzen, übermittelt das Plugin folgende Daten an unsere REST-API:
a) IP-Adresse eines Angreifers,
b) Bedrohungskategorie,
c) Zeitstempel,
d) optional: Kommentar / Vorfallsbeschreibung,
e) API-Schlüssel des Site-Betreibers (im HTTP-Header X-Key).
(2) Im Modus „Local Shield” findet keine Datenübertragung an reportedip.de statt.
(3) Bei Nutzung der Mail- und SMS-Relay-Funktion (ab Tier Professional) werden zusätzlich übertragen:
a) Mail-Relay: Empfänger-E-Mail-Adresse, Betreff, Body-Text, Site-URL, optional Reply-To-Adresse,
b) SMS-Relay: Empfänger-Telefonnummer (im E.164-Format; der Versand erfolgt grundsätzlich weltweit, der Anbieter behält sich Einschränkungen für einzelne Länder vor (siehe Nutzungsbedingungen § 9)), Template-Code (z. B. 2fa_login), Template-Variablen (sechs- bis achtstelliger Code, Gültigkeitsdauer, Sprache), Site-URL.
(4) Beim Einsatz der Relay-Funktion sind wir Auftragsverarbeiter im Sinne des Art. 28 DSGVO; Verantwortlicher bleibt der Site-Betreiber. Ein Auftragsverarbeitungsvertrag wird im Customer Portal als PDF zum Download bereitgestellt.
§ 10 Subprozessoren / Sub-Auftragsverarbeiter
Wir bedienen uns folgender Subprozessoren:
| Anbieter |
Sitz |
Zweck |
Datenkategorien |
| Stripe Payments Europe Ltd. |
Irland |
Zahlungen, Rechnungen, Steuern, Customer Portal |
Name, E-Mail, Adresse, USt-IdNr, Zahlungsdaten |
| Avernis (api.avernis.com) |
Deutschland |
SMS-Versand (im Auftrag des Site-Betreibers via Relay) |
Telefonnummer, Template-Inhalt |
| Mailjet (Sinch SAS) |
Frankreich |
Mail-Versand (Auswahl) |
Empfänger, Betreff, Body |
| seven.io |
Deutschland |
Mail-Versand (Auswahl) |
Empfänger, Betreff, Body |
| sevDesk GmbH |
Deutschland |
Buchhaltung, Rechnungs-Synchronisation |
Rechnungs- und Belegdaten |
| Hetzner Online GmbH |
Deutschland |
Hosting |
Server-Logs (IP, Zeit, URL) |
| Cloudflare, Inc. |
USA / Deutschland (EU-Edge) |
CDN, DDoS-Schutz |
IP, User-Agent, HTTP-Header |
| GitHub, Inc. (Microsoft) |
USA |
Plugin-Update-Bereitstellung |
Anonyme Update-Anfragen |
| MaxMind, Inc. |
USA (lokale GeoLite2-Datenbank) |
IP-Geolokalisierung — kein Datentransfer pro Lookup, Daten verlassen die EU nicht |
– |
| Anthropic PBC (optional, nur bei aktivem Support-AI-Tool) |
USA |
Support-Chatbot (sofern aktiviert; Standard: deaktiviert) |
Chat-Texte |
Mit jedem Subprozessor besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Die jeweiligen Auftragsverarbeitungsverträge können auf Anfrage zur Verfügung gestellt werden.
§ 11 Drittlandtransfer
(1) Die meisten unserer Subprozessoren haben ihren Sitz im Europäischen Wirtschaftsraum (EWR). Bei Cloudflare, GitHub, MaxMind und Anthropic findet ein Datentransfer in die USA statt.
(2) Für diese Transfers stützen wir uns auf
a) den EU-US Data Privacy Framework (DPF), soweit der jeweilige Anbieter zertifiziert ist,
b) hilfsweise auf die Standardvertragsklauseln der EU-Kommission (Beschluss 2021/914) ergänzt um zusätzliche technische und organisatorische Maßnahmen,
c) Cloudflare leitet Anfragen aus Europa über EU-Edge-Knoten ab; eine Verarbeitung in den USA erfolgt nur in Ausnahmefällen.
(3) Eine MaxMind-Drittlandübermittlung pro IP-Lookup erfolgt nicht — wir nutzen die GeoLite2-Datenbank ausschließlich lokal auf unseren EU-Servern.
§ 12 Cookies und Consent-Manager
(1) Wir setzen technisch notwendige Cookies (Session-Cookie für die Anmeldung, CSRF-Schutz). Für diese Cookies ist nach § 25 Abs. 2 TDDDG keine Einwilligung erforderlich; Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.
(2) Optionale Cookies (Statistik, Marketing) werden nur nach ausdrücklicher Einwilligung des Nutzers gesetzt (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG). Die Verwaltung der Einwilligungen erfolgt über den Consent-Manager im Plugin reportedIP-Service. Die Einwilligung kann jederzeit für die Zukunft widerrufen werden — entweder über den Consent-Manager oder im Dashboard unter /dashboard/#privacy.
(3) Cloudflare setzt das Cookie __cf_bm (Bot-Management) für maximal 30 Minuten zur Abwehr automatisierter Angriffe (technisch notwendig).
§ 13 Aufbewahrungsfristen
| Datenkategorie |
Aufbewahrung |
| Server-Logs (Hetzner / Cloudflare) |
14 Tage |
| API-Logs |
90 Tage |
| Stripe-Event-Log (Webhook-Payloads) |
90 Tage |
| Audit-Log (Plugin-Aktionen) |
365 Tage |
| Mail- und SMS-Relay-Logs |
30 Tage |
| Mail- und SMS-Relay-Queue |
90 Tage |
| Account-Daten |
bis Account-Löschung |
| Rechnungen (UStG / AO) |
10 Jahre |
| Reputationsdaten gemeldeter IPs |
dauerhaft pseudonymisiert (12 Monate Reporter-Bezug, danach anonymisiert) |
| Trusted-Device-Tokens (2FA) |
30 Tage ab letzter Nutzung |
§ 14 Betroffenenrechte
(1) Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:
a) Recht auf Auskunft (Art. 15 DSGVO),
b) Recht auf Berichtigung (Art. 16 DSGVO),
c) Recht auf Löschung (Art. 17 DSGVO),
d) Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO),
e) Recht auf Datenübertragbarkeit (Art. 20 DSGVO),
f) Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO),
g) Recht auf Widerruf einer erteilten Einwilligung (Art. 7 Abs. 3 DSGVO).
(2) Auskunfts- und Löschungsanfragen können Sie über das Dashboard (/dashboard/, Reiter „Account”) als Self-Service auslösen oder formlos per E-Mail an [email protected] richten. Wir beantworten Anfragen unverzüglich, spätestens binnen eines Monats nach Eingang.
(3) Beschwerderecht. Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren. Zuständig für uns ist:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach, Deutschland
Telefon: +49 981 180093-0
E-Mail: [email protected]
Web: https://www.lda.bayern.de
§ 15 Sicherheit der Verarbeitung
Wir treffen geeignete technische und organisatorische Maßnahmen (TOM) im Sinne des Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Hierzu gehören insbesondere:
a) Verschlüsselung der Übertragung (TLS 1.2+ / HTTPS), Verschlüsselung sensibler Datenfelder bei der Speicherung,
b) Zugriffskontrolle durch Rollen- und Rechte-Management, Hash-basierte Passwortspeicherung (bcrypt),
c) Zwei-Faktor-Authentifizierung für Admin-Konten,
d) Backups mit verschlüsselter Off-Site-Replikation,
e) Logging sicherheitsrelevanter Ereignisse, regelmäßige Auswertung,
f) Trennung von Produktiv-, Staging- und Entwicklungsumgebungen,
g) Subprozessor-Audits nach Art. 28 Abs. 3 lit. h DSGVO.
Eine ausführliche Liste der TOM stellen wir Subscription-Inhabern auf Anfrage zur Verfügung.
§ 16 Änderungen dieser Datenschutzerklärung
Diese Datenschutzerklärung wird aktualisiert, wenn sich die Verarbeitungstätigkeit oder rechtliche Vorgaben ändern. Substanzielle Änderungen kündigen wir Subscription-Inhabern per E-Mail an. Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar.
Hinweise und Kontakt
Verantwortlicher: Patrick Schlesinger, Parkstraße 19, 80339 München, Deutschland
E-Mail: [email protected]
Aufsichtsbehörde: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach
Diese Fassung gilt seit: 8. Mai 2026
Privacy Policy
Effective: 8 May 2026
This Privacy Policy is provided in German and English. In the event of conflicting interpretations, the German version shall prevail.
§ 1 Controller
The controller within the meaning of Art. 4 No. 7 of the General Data Protection Regulation (GDPR) and § 5 of the German Digital Services Act (DDG) is:
Patrick Schlesinger
Parkstraße 19, 80339 Munich, Germany
Email: [email protected]
§ 2 Data Protection Officer
The appointment of a data protection officer is not mandatory under Art. 37 GDPR or § 38 BDSG. Please send data protection enquiries directly to [email protected].
§ 3 General Information on Data Processing
(1) We process personal data only insofar as this is necessary for providing a functional platform as well as our content and services. Processing typically takes place on the basis of consent of the user (Art. 6 (1) (a) GDPR), for performance of a contract (b), to comply with legal obligations (c), or on the basis of legitimate interests (f).
(2) Personal data is stored only for as long as it is necessary for the relevant purposes or for as long as legal retention obligations apply.
§ 4 Collection on Visit of the Website
When you access reportedip.de, our hosting provider Hetzner and the upstream CDN service Cloudflare automatically collect:
a) IP address of the requesting device,
b) date and time of access,
c) requested URL and HTTP status,
d) volume of data transferred,
e) referrer URL (if transmitted by the browser),
f) user-agent string (if transmitted by the browser).
The legal basis is Art. 6 (1) (f) GDPR; the legitimate interest is the secure operation of the website, defence against abusive access (DDoS protection), and error diagnosis. The data is deleted or anonymised 14 days after access.
§ 5 Registration and Account Management
(1) On registration, we collect the following mandatory information: email address, chosen password (hashed), display name. Optionally, first and last name as well as a billing address are collected if the user concludes a paid tier.
(2) Registration takes place via double opt-in: after submitting the form, you receive a confirmation email; the account is activated only by clicking the confirmation link.
(3) The legal basis is Art. 6 (1) (b) GDPR (pre-contractual measures and performance of contract).
(4) Registration data is stored until deletion of the account. On request, the account is deleted in full; data we are required to retain under statutory obligations (in particular § 147 of the German Tax Code (AO) and § 257 of the German Commercial Code (HGB) — 10-year retention of invoices) is excluded from deletion.
§ 6 Payment via Stripe
(1) Payments for subscriptions and bundle purchases are processed through Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Ireland. Stripe is a payment institution licensed in the European Economic Area.
(2) Within the Stripe checkout, the following data is transmitted to Stripe: name, email, billing address, VAT-ID where applicable (B2B), payment-method data (credit card, SEPA mandate). Stripe is an independent controller for this data.
(3) We receive pseudonymised confirmation data from Stripe (customer ID, subscription ID, invoice and tax information). Full card or bank account data is neither stored nor processed by us.
(4) A data processing agreement under Art. 28 GDPR is in place with Stripe. Stripe Privacy Policy: https://stripe.com/privacy.
(5) The legal basis is Art. 6 (1) (b) GDPR (performance of contract).
§ 7 Use of the REST API and IP Reports
(1) When using the REST API, we log the API key used, the timestamp of the call, and the requested endpoint to enforce tier-related daily quotas and detect abuse (Art. 6 (1) (b) and (f) GDPR). API logs are retained for 90 days.
(2) On an IP report, we store the reported IP address, the chosen threat category, the timestamp, and (optionally) a comment. Processing of reported IP addresses constitutes processing of personal data of third parties within the meaning of the CJEU Breyer judgment (C-582/14).
(3) The legal basis for processing reported IP addresses is Art. 6 (1) (f) GDPR. Legitimate interests are the establishment of collective threat intelligence, defence against attacks, investigation of security incidents, and the provision of the dynamic blocklist for the community. We do not identify the holder of the reported IP address; re-identification would only be possible with the disproportionate effort of contacting the relevant telecommunications providers, which we do not undertake.
(4) Reputation data on reported IP addresses is stored permanently in the security database in pseudonymised form; older reports are anonymised after 12 months (hash trimming, removal of the concrete reporter reference).
§ 8 Honeypot Tier and Automated Reports
Honeypot operators submit IP reports automatically. These reports are subject to the same legal bases and retention periods as manual reports under § 7. Honeypot reports receive an increased weight in the confidence-score calculation because they originate from specially prepared systems that do not receive legitimate traffic.
§ 9 Hive Plugin (Community Network)
(1) When site operators deploy the open-source plugin reportedIP Hive in “Community Network” mode on their own WordPress sites, the plugin transmits the following data to our REST API:
a) IP address of an attacker,
b) threat category,
c) timestamp,
d) optional: comment / incident description,
e) API key of the site operator (in HTTP header X-Key).
(2) In “Local Shield” mode, no data is transmitted to reportedip.de.
(3) When using the mail and SMS relay function (from Professional tier), additionally transmitted are:
a) Mail relay: recipient email, subject, body text, site URL, optionally reply-to address,
b) SMS relay: recipient phone number (in E.164 format; dispatch is generally worldwide, the Provider reserves the right to restrict individual countries (see Terms of Use § 9)), template code (e.g. 2fa_login), template variables (six- to eight-digit code, validity, language), site URL.
(4) When using the relay function, we are a processor within the meaning of Art. 28 GDPR; the controller remains the site operator. A data processing agreement is provided in the customer portal as a PDF download.
§ 10 Subprocessors
We engage the following subprocessors:
| Provider |
Location |
Purpose |
Data categories |
| Stripe Payments Europe Ltd. |
Ireland |
payments, invoices, tax, customer portal |
name, email, address, VAT-ID, payment data |
| Avernis (api.avernis.com) |
Germany |
SMS dispatch (on behalf of site operator via relay) |
phone number, template content |
| Mailjet (Sinch SAS) |
France |
mail dispatch (selectable) |
recipient, subject, body |
| seven.io |
Germany |
mail dispatch (selectable) |
recipient, subject, body |
| sevDesk GmbH |
Germany |
accounting, invoice synchronisation |
invoice and document data |
| Hetzner Online GmbH |
Germany |
hosting |
server logs (IP, time, URL) |
| Cloudflare, Inc. |
USA / Germany (EU edge) |
CDN, DDoS protection |
IP, user agent, HTTP headers |
| GitHub, Inc. (Microsoft) |
USA |
plugin update delivery |
anonymous update requests |
| MaxMind, Inc. |
USA (locally licensed GeoLite2 database) |
IP geolocation — no per-lookup data transfer, data does not leave the EU |
– |
| Anthropic PBC (optional, only with active support-AI tool) |
USA |
support chatbot (if enabled; default: disabled) |
chat texts |
A data processing agreement under Art. 28 GDPR is in place with each subprocessor. The respective data processing agreements can be made available on request.
§ 11 Third-Country Transfer
(1) Most of our subprocessors are located within the European Economic Area (EEA). Data transfers to the USA take place with Cloudflare, GitHub, MaxMind, and Anthropic.
(2) For these transfers, we rely on
a) the EU-US Data Privacy Framework (DPF) where the relevant provider is certified,
b) supplementarily on the Standard Contractual Clauses of the EU Commission (Decision 2021/914) supplemented by additional technical and organisational measures,
c) Cloudflare routes requests originating from Europe via EU edge nodes; processing in the USA only takes place in exceptional cases.
(3) MaxMind third-country transfers per IP lookup do not occur — we use the GeoLite2 database exclusively locally on our EU servers.
§ 12 Cookies and Consent Manager
(1) We use technically necessary cookies (session cookie for login, CSRF protection). For these cookies, no consent is required pursuant to § 25 (2) TDDDG; the legal basis is Art. 6 (1) (f) GDPR.
(2) Optional cookies (statistics, marketing) are set only after the user’s express consent (Art. 6 (1) (a) GDPR in conjunction with § 25 (1) TDDDG). Consent is managed via the consent manager in the reportedIP-Service plugin. Consent may be revoked at any time with effect for the future — either via the consent manager or in the dashboard at /dashboard/#privacy.
(3) Cloudflare sets the cookie __cf_bm (bot management) for a maximum of 30 minutes to defend against automated attacks (technically necessary).
§ 13 Retention Periods
| Data category |
Retention |
| Server logs (Hetzner / Cloudflare) |
14 days |
| API logs |
90 days |
| Stripe event log (webhook payloads) |
90 days |
| Audit log (plugin actions) |
365 days |
| Mail and SMS relay logs |
30 days |
| Mail and SMS relay queue |
90 days |
| Account data |
until account deletion |
| Invoices (UStG / AO) |
10 years |
| Reputation data on reported IPs |
permanently pseudonymised (12 months reporter reference, then anonymised) |
| Trusted-device tokens (2FA) |
30 days from last use |
§ 14 Data Subject Rights
(1) You have the following rights against us regarding personal data concerning you:
a) right of access (Art. 15 GDPR),
b) right to rectification (Art. 16 GDPR),
c) right to erasure (Art. 17 GDPR),
d) right to restriction of processing (Art. 18 GDPR),
e) right to data portability (Art. 20 GDPR),
f) right to object to processing (Art. 21 GDPR),
g) right to revoke a granted consent (Art. 7 (3) GDPR).
(2) Access and erasure requests can be triggered as self-service via the dashboard (/dashboard/, “Account” tab) or addressed informally by email to [email protected]. We answer requests without undue delay, at the latest within one month of receipt.
(3) Right to lodge a complaint. You have the right to lodge a complaint with a data protection supervisory authority about the processing of your personal data by us. The competent authority for us is:
Bavarian State Office for Data Protection Supervision (BayLDA)
Promenade 18, 91522 Ansbach, Germany
Telephone: +49 981 180093-0
Email: [email protected]
Web: https://www.lda.bayern.de
§ 15 Security of Processing
We take appropriate technical and organisational measures (TOMs) within the meaning of Art. 32 GDPR to ensure a level of protection appropriate to the risk. These include in particular:
a) encryption of transmission (TLS 1.2+ / HTTPS), encryption of sensitive data fields at rest,
b) access control through role and permission management, hash-based password storage (bcrypt),
c) two-factor authentication for administrator accounts,
d) backups with encrypted off-site replication,
e) logging of security-relevant events, regular review,
f) separation of production, staging, and development environments,
g) subprocessor audits under Art. 28 (3) (h) GDPR.
A detailed list of TOMs is made available to subscription holders on request.
§ 16 Amendments to this Privacy Policy
This Privacy Policy is updated when processing activities or legal requirements change. Substantive changes are announced to subscription holders by email. The currently applicable version is available on this page.
Notices and Contact
Controller: Patrick Schlesinger, Parkstraße 19, 80339 Munich, Germany
Email: [email protected]
Supervisory Authority: Bavarian State Office for Data Protection Supervision (BayLDA), Promenade 18, 91522 Ansbach, Germany
This version applies as of: 8 May 2026