Datenschutzerklärung

Diese Erklärung informiert darüber, welche personenbezogenen Daten bei Nutzung des Dienstes SpamProtec und dieser Website verarbeitet werden, zu welchen Zwecken und auf welcher Rechtsgrundlage.

1. Verantwortlicher

MessingerDesign — Philipp & Werner Messinger GbR
Dahmestraße 10, 12526 Berlin
Telefon: +49 174 967 61 56 · E-Mail: pmessinger@messingerdesign.de

2. Verarbeitung im Rahmen des Dienstes (Auftragsverarbeitung)

Kern des Dienstes ist die automatisierte Prüfung eingehender E-Mails auf Spam, Phishing und Schadinhalte. Dazu greift SpamProtec per IMAP auf die vom Kunden angebundenen Postfächer zu und verarbeitet E-Mail-Inhalte und -Metadaten (Absender, Empfänger, Betreff, Kopfzeilen, Nachrichtentext). Diese Verarbeitung erfolgt im Auftrag des Kunden als datenschutzrechtlich Verantwortlichem auf Grundlage eines Auftragsverarbeitungsvertrags nach Art. 28 DSGVO (AVV einsehen). Betroffene Personen (z. B. Kommunikationspartner des Kunden) wenden sich zur Ausübung ihrer Rechte vorrangig an den jeweiligen Kunden.

3. Datensparende KI-Prüfung mit Vor-Anonymisierung

Ein Teil der Klassifikation erfolgt durch externe KI-Modelle. Dabei gilt ein strenges Datenschutz-Konzept:

Vor-Anonymisierung: Vor jeder Übermittlung an eine externe KI entfernt bzw. ersetzt ein auf eigener Infrastruktur betriebenes Modell personenbezogene Daten — Namen (auch Dritter), Postanschriften, Telefonnummern, Bankdaten, E-Mail-Adressbestandteile, Ausweis- und Kfz-Kennzeichen.
Fail-Closed-Kontrolle: Eine unabhängige zweite Prüfstufe („Leak-Gate") blockiert die externe Übermittlung vollständig, falls dennoch Restdaten erkannt werden; die Prüfung erfolgt dann ausschließlich lokal.
Lokal-Option: Postfächer können auf rein lokale Prüfung ohne externe KI-Übermittlung eingestellt werden.

4. Empfänger und Unterauftragsverarbeiter

Hosting: netcup GmbH, Karlsruhe, Deutschland — Server-Standort Deutschland.
KI-Klassifikation (nur vor-anonymisierte Inhalte): Anthropic PBC (Claude) und OpenAI L.L.C. — dabei kann eine Übermittlung in die USA stattfinden. Soweit der jeweilige Anbieter unter dem EU-US Data Privacy Framework zertifiziert ist, stützt sich die Übermittlung auf den Angemessenheitsbeschluss der EU-Kommission (Art. 45 DSGVO); ergänzend bestehen EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Als zusätzliche Maßnahme werden Inhalte vor der Übermittlung anonymisiert. Ein Zugriff durch US-Behörden lässt sich rechtlich nicht vollständig ausschließen (Restrisiko); eine Kopie der Garantien stellen wir auf Anfrage bereit.
Lokale Verarbeitung ohne Übermittlung: rspamd, Reputations- und Schlagwortprüfung sowie die Anonymisierungs-Modelle laufen vollständig auf eigener Infrastruktur.

Die jeweils aktuelle Liste der Unterauftragsverarbeiter wird im AVV geführt.

5. Konto- und Nutzungsdaten des Webinterfaces

Für Betrieb und Absicherung des Webinterfaces verarbeiten wir:

Anmeldedaten: E-Mail-Adresse, optional Passwort (nur als Hash), Einmalcodes (nur als Hash, 10 Minuten gültig), optional 2FA-Geheimnis — Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO.
IMAP-Zugangsdaten der angebundenen Postfächer, verschlüsselt gespeichert (AES-256-GCM) — Art. 6 Abs. 1 lit. b DSGVO.
Technische Protokolle: IP-Adresse und Zeitpunkt bei Anmeldevorgängen und Code-Anforderungen zur Missbrauchsabwehr (Rate-Limiting, Sperrlogik) — Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Sicherheit des Dienstes); Aufbewahrung max. 24 Stunden bzw. bis zum Ablauf der Sperrfristen.
Cookies: ausschließlich ein technisch notwendiges Sitzungs-Cookie für den Login (kein Tracking, keine Analyse-Cookies, keine Drittanbieter-Cookies) — § 25 Abs. 2 Nr. 2 TDDDG.

6. Berichte und System-E-Mails

Im Rahmen des Dienstes versenden wir System-E-Mails (z. B. Quarantäne-Berichte, Anmeldecodes, Einladungen) an die hinterlegten Adressen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO; Berichte lassen sich in den Einstellungen deaktivieren.

7. Speicherdauer

Als Spam aussortierte Nachrichten verbleiben für die je Konto eingestellte Aufbewahrungsdauer (Standard: 30 Tage) im Spam-Ordner des Kunden und werden danach dort gelöscht.
Klassifikations-Metadaten (z. B. Betreff, Absenderdomain, Einstufung) werden für Statistik und Lernverhalten bis zu 12 Monate gespeichert und anschließend gelöscht oder anonymisiert.
Einmalcodes, abgelaufene Einladungen und Rate-Limit-Einträge werden automatisch täglich gelöscht.
Nach Vertragsende werden Zugangsdaten und gespeicherte Inhalte gemäß AVV gelöscht.

8. Ihre Rechte

Ihnen stehen die Rechte aus Art. 15–21 DSGVO zu: Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie Widerspruch gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Zudem besteht ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde, z. B. der Berliner Beauftragten für Datenschutz und Informationsfreiheit. Soweit Daten im Auftrag eines Kunden verarbeitet werden, leiten wir Anfragen betroffener Personen an den verantwortlichen Kunden weiter bzw. unterstützen diesen bei der Beantwortung.

9. Datensicherheit

Wir setzen dem Stand der Technik entsprechende Maßnahmen ein, u. a. TLS-Transportverschlüsselung, verschlüsselte Speicherung von Zugangsdaten, Rollen- und Rechtekonzept, Mandantentrennung, Protokollierung sicherheitsrelevanter Ereignisse, tägliche Backups sowie automatisches Monitoring.

10. Kontakt in Datenschutzfragen

pmessinger@messingerdesign.de

Stand: Juni 2026 · SpamProtec · MessingerDesign GbR