Datenschutzerklärung

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

SERGO GmbH
Georgsplatz 1
20099 Hamburg
Deutschland
Tel.: 040 226 373 340
E-Mail: info@sergo.de · hi@mcpost.de

2. Daten beim Besuch der Website

Bei der bloß informatorischen Nutzung dieser Website erheben wir nur Daten, die dein Browser technisch übermittelt (Server-Logfiles): angefragte URL, Datum und Uhrzeit, übertragene Datenmenge, Referrer, Browser-User-Agent, Betriebssystem, IP-Adresse (gekürzt nach 30 Tagen).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Stabilität und Sicherheit der Website). Eine Weitergabe dieser Daten an Dritte findet nicht statt; sie werden ausschließlich von uns ausgewertet und nach 30 Tagen automatisch gelöscht.

Die Website wird über TLS verschlüsselt ausgeliefert (HTTPS). Statische Inhalte werden ohne Tracking ausgeliefert.

3. Cookies

Die Marketing-Website setzt keine Tracking- oder Werbe-Cookies. Eine kleine Mengen technischer Browser-Storage-Einträge wird verwendet, um deine Spracheinstellung (DE/EN) und das Pricing-Cycle-Preset (monatlich/jährlich) lokal in deinem Browser zu speichern. Diese Daten verlassen deinen Browser nicht.

Im Customer-Portal (app.mcpost…) setzt unser Authentifizierungs-Dienstleister Hanko ein Session-Cookie, das für den Login erforderlich ist. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

4. Account-Anlage & Login

Bei der Registrierung speichern wir nur die zwingend erforderlichen Daten:

• E-Mail-Adresse (Login + Service-Mitteilungen)
• Passkey-Credentials (öffentlicher Schlüssel — der private Schlüssel verlässt dein Gerät nie)
• Account-Anlage- und letzte Login-Zeitstempel

Für die Authentifizierung nutzen wir den passwortlosen Identity-Provider Hanko (Hanko GmbH, c/o WeWork, Friedrichstraße 76, 10117 Berlin). Hanko verarbeitet deine Login-Daten als Auftragsverarbeiter; es gibt einen AVV nach Art. 28 DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

5. Mailbox-Zugangsdaten

Um sich gegen deinen IMAP-/SMTP-Server zu authentifizieren, benötigt mcPost die Zugangsdaten zu jeder von dir verbundenen Mailbox (Host, Port, Benutzername, Passwort bzw. App-Passwort).

Diese Zugangsdaten werden vor der Speicherung mit AES-256-GCM verschlüsselt. Zum Einsatz kommt Envelope Encryption mit asymmetrischer Schlüsselverwaltung; das Schlüsselmaterial selbst wird in einem dedizierten, separat abgesicherten Secrets-Store verwaltet und liegt nicht in derselben Vertrauenszone wie unsere Anwendungs-Dienste.

Nach dem Prinzip der Separation of Concerns sind Verschlüsseln und Entschlüsseln auf verschiedene Komponenten der Plattform aufgeteilt: der Dienst, der dein Konto und administrative Aktionen verarbeitet, kann neue Zugangsdaten verschlüsseln, aber bestehende nicht entschlüsseln. Den privaten Schlüssel zur Entschlüsselung hält ausschließlich die isolierte Komponente, die den jeweiligen Mailbox-Aufruf in deinem Auftrag tatsächlich ausführt.

Die Zugangsdaten werden ausschließlich im Arbeitsspeicher und nur für die Dauer eines einzelnen Aufrufs entschlüsselt und danach sofort wieder verworfen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

6. Mail-Inhalte & MCP-Tools

Wir speichern keine E-Mail-Inhalte. Tool-Aufrufe deines KI-Clients (Claude, ChatGPT u.a.) werden in Echtzeit gegen deinen IMAP-Server ausgeführt. Die Antworten — Betreffzeilen, Nachrichteninhalte, Anhänge und Metadaten — werden ausschließlich im Arbeitsspeicher für die Dauer der jeweiligen Anfrage gehalten und danach verworfen.

Kein Caching, kein Index, keine Persistenz. Wir bauen keinen lokalen Mail-Index, weder verschlüsselt noch unverschlüsselt. Wir trainieren keine KI-Modelle mit deinen Mails.

Die KI-Anbieter (Anthropic, OpenAI etc.) sehen über das MCP-Protokoll nur die Tool-Antworten, die du selbst durch eine Anfrage angefordert hast. Diese Anbieter unterliegen ihren eigenen Datenschutzbestimmungen, auf die wir keinen Einfluss haben.

7. OAuth-Tokens & Audit-Log

Wenn du mcPost mit einem KI-Client verbindest (z.B. Claude), wird über OAuth 2.1 mit Dynamic Client Registration (RFC 7591) ein Token-Paar erzeugt. Wir speichern den Hash des Access-Tokens, den Hash des Refresh-Tokens, sowie die Client-Metadaten (Display-Name, Redirect-URIs).

Jeder Tool-Aufruf wird in einem Audit-Log gespeichert. Inhalt pro Zeile: Zeitpunkt, dein Account-Identifier, der OAuth-Client (z.B. "Claude"), das aufgerufene Tool, die betroffene Mailbox-ID, Erfolg/Fehler. Mail-Inhalte oder Suchparameter werden NICHT geloggt.

Im Business-Tarif kannst du das Audit-Log als CSV oder JSON exportieren. In allen anderen Tarifen ist es nur für dich im Compliance-Bereich des Portals einsehbar.

8. Zahlungsabwicklung (Mollie)

Zahlungen werden ausschließlich über Mollie B.V. (Keizersgracht 313, 1016 EE Amsterdam, Niederlande) abgewickelt. Wir leiten dich zum Bezahlvorgang auf eine Mollie-Domain weiter; Kreditkarten-, SEPA- oder andere Zahlungsdaten gehen direkt an Mollie und kommen niemals auf unsere Server.

Wir speichern lediglich eine Mollie-Customer-ID, eine Mollie-Subscription-ID und die Tarif-Metadaten (Plan, Postfach-Anzahl, Abrechnungszeitraum). Mollie ist Auftragsverarbeiter nach Art. 28 DSGVO; eine AVV-Vereinbarung liegt vor.

Datenschutzerklärung von Mollie: https://www.mollie.com/de/privacy.

9. Hosting

Wir betreiben eine eigene Infrastruktur in einem Rechenzentrum in Frankfurt am Main. Die Verarbeitung personenbezogener Daten erfolgt ausschließlich auf unseren eigenen Systemen unter der Kontrolle der SERGO GmbH. Ein externer Hosting-Provider, der Zugriff auf personenbezogene Daten hätte, kommt nicht zum Einsatz.

10. Auftragsverarbeiter

Wir setzen folgende externe Auftragsverarbeiter ein:

• Hanko GmbH (Berlin, DE) — passwortlose Authentifizierung.
• Mollie B.V. (Amsterdam, NL) — Zahlungsabwicklung und Abonnement-Verwaltung.

Mit allen externen Auftragsverarbeitern sind AVV-Verträge nach Art. 28 DSGVO geschlossen. Eine Übermittlung in Drittländer außerhalb des EU-/EWR-Raums findet nicht statt.

11. Rechte der betroffenen Personen

Du hast nach der DSGVO folgende Rechte:

• Auskunft über deine gespeicherten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO) — sofort über das Portal durchführbar
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
• Beschwerde bei einer Aufsichtsbehörde — zuständig: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Klosterwall 6 (Block C), 20095 Hamburg.

Anfragen an: datenschutz@sergo.de.

12. Speicherdauer

• Server-Logfiles: 30 Tage
• Mailbox-Zugangsdaten, OAuth-Tokens, Account-Daten: für die Dauer deines Vertrags
• Audit-Log: 90 Tage (im Business-Tarif konfigurierbar)
• Rechnungs- und Buchhaltungsdaten: 10 Jahre (§ 147 AO)

Bei Account-Löschung werden alle Mailbox-Zugangsdaten, OAuth-Tokens und Audit-Logs sofort und unwiderruflich gelöscht. Lediglich Rechnungs- und Buchhaltungsdaten werden im gesetzlich vorgeschriebenen Umfang weiter aufbewahrt.

13. Datensicherheit

Technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO umfassen u.a.:

• Verschlüsselung sensibler Daten at rest (AES-256-GCM mit Envelope-Encryption für IMAP-Zugangsdaten)
• TLS 1.2/1.3 für alle Verbindungen
• Passwortloser Login mit Passkeys (Phishing-resistent)
• OAuth 2.1 mit PKCE und Dynamic Client Registration
• Default-deny Netzwerk-Policies in der Kubernetes-Umgebung
• Rollen-basiertes Datenbank-Zugriffsmodell (Runtime-User ohne DDL-Rechte)
• Vollständiges Audit-Log für sicherheitsrelevante Aktionen
• Regelmäßige Sicherheits-Scans (SAST, Dependency-Scanning, Container-Scanning) in der CI/CD-Pipeline
• Tägliche, geographisch verteilte Backups der Datenbank