inboxmcp

Datenschutzerklärung

Stand: 13.05.2026

Die Kurzfassung:

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

SERGO GmbH
Georgsplatz 1
20099 Hamburg
Deutschland
Tel.: 040 226 373 340
E-Mail: info@sergo.de · hi@inboxmcp.io

2. Daten beim Besuch der Website

Bei der bloß informatorischen Nutzung dieser Website erheben wir nur Daten, die dein Browser technisch übermittelt (Server-Logfiles): angefragte URL, Datum und Uhrzeit, übertragene Datenmenge, Referrer, Browser-User-Agent, Betriebssystem, IP-Adresse (gekürzt nach 30 Tagen).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Stabilität und Sicherheit der Website). Eine Weitergabe dieser Daten an Dritte findet nicht statt; sie werden ausschließlich von uns ausgewertet und nach 30 Tagen automatisch gelöscht.

Die Website wird über TLS verschlüsselt ausgeliefert (HTTPS). Statische Inhalte werden ohne Tracking ausgeliefert.

3. Cookies & Browser-Storage

Die Marketing-Website setzt von sich aus keine Tracking- oder Werbe-Cookies. Technische Einträge im localStorage deines Browsers nutzen wir, um deine Spracheinstellung (DE/EN), das Pricing-Cycle-Preset (monatlich/jährlich) und deine Cookie-Banner-Entscheidung (inboxmcp.consent.v1) zu speichern. Diese Daten verlassen deinen Browser nicht.

Beim ersten Besuch der Live-Domain (inboxmcp.io) zeigen wir dir einen Consent-Banner. Erst nach deiner ausdrücklichen Zustimmung laden wir das in Abschnitt 14 beschriebene Matomo-Skript. Lehnst du ab oder schließt den Banner, findet keine Reichweitenmessung statt. Du kannst deine Auswahl jederzeit über den Link „Cookie-Einstellungen" im Seitenfuß widerrufen oder neu treffen.

Im Customer-Portal (app.dev.inboxmcp.io) setzt unser Authentifizierungs-Dienstleister Hanko ein Session-Cookie, das für den Login erforderlich ist. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

4. Account-Anlage & Login

Bei der Registrierung speichern wir nur die zwingend erforderlichen Daten:

  • E-Mail-Adresse (Login + Service-Mitteilungen)
  • Passkey-Credentials (öffentlicher Schlüssel — der private Schlüssel verlässt dein Gerät nie)
  • Account-Anlage- und letzte Login-Zeitstempel

Für die Authentifizierung nutzen wir den passwortlosen Identity-Provider Hanko (Hanko GmbH, c/o WeWork, Friedrichstraße 76, 10117 Berlin). Hanko verarbeitet deine Login-Daten als Auftragsverarbeiter; es gibt einen AVV nach Art. 28 DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

5. Mailbox-Zugangsdaten

Um sich gegen deinen IMAP-/SMTP-Server zu authentifizieren, benötigt inboxmcp die Zugangsdaten zu jeder von dir verbundenen Mailbox (Host, Port, Benutzername, Passwort bzw. App-Passwort).

Diese Zugangsdaten werden vor der Speicherung mit AES-256-GCM verschlüsselt. Zum Einsatz kommt Envelope Encryption mit asymmetrischer Schlüsselverwaltung; das Schlüsselmaterial selbst wird in einem dedizierten, separat abgesicherten Secrets-Store verwaltet und liegt nicht in derselben Vertrauenszone wie unsere Anwendungs-Dienste.

Nach dem Prinzip der Separation of Concerns sind Verschlüsseln und Entschlüsseln auf verschiedene Komponenten der Plattform aufgeteilt: der Dienst, der dein Konto und administrative Aktionen verarbeitet, kann neue Zugangsdaten verschlüsseln, aber bestehende nicht entschlüsseln. Den privaten Schlüssel zur Entschlüsselung hält ausschließlich die isolierte Komponente, die den jeweiligen Mailbox-Aufruf in deinem Auftrag tatsächlich ausführt.

Die Zugangsdaten werden ausschließlich im Arbeitsspeicher und nur für die Dauer eines einzelnen Aufrufs entschlüsselt und danach sofort wieder verworfen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

6. Mail-Inhalte & MCP-Tools

Wir speichern keine E-Mail-Inhalte. Tool-Aufrufe deines KI-Clients (Claude, ChatGPT u.a.) werden in Echtzeit gegen deinen IMAP-Server ausgeführt. Die Antworten — Betreffzeilen, Nachrichteninhalte, Anhänge und Metadaten — werden ausschließlich im Arbeitsspeicher für die Dauer der jeweiligen Anfrage gehalten und danach verworfen.

Kein Caching, kein Index, keine Persistenz. Wir bauen keinen lokalen Mail-Index, weder verschlüsselt noch unverschlüsselt. Wir trainieren keine KI-Modelle mit deinen Mails.

Die KI-Anbieter (Anthropic, OpenAI etc.) sehen über das MCP-Protokoll nur die Tool-Antworten, die du selbst durch eine Anfrage angefordert hast. Diese Anbieter unterliegen ihren eigenen Datenschutzbestimmungen, auf die wir keinen Einfluss haben.

7. OAuth-Tokens & Audit-Log

Wenn du inboxmcp mit einem KI-Client verbindest (z.B. Claude), wird über OAuth 2.1 mit Dynamic Client Registration (RFC 7591) ein Token-Paar erzeugt. Wir speichern den Hash des Access-Tokens, den Hash des Refresh-Tokens, sowie die Client-Metadaten (Display-Name, Redirect-URIs).

Jeder Tool-Aufruf wird in einem Audit-Log gespeichert. Inhalt pro Zeile: Zeitpunkt, dein Account-Identifier, der OAuth-Client (z.B. "Claude"), das aufgerufene Tool, die betroffene Mailbox-ID, Erfolg/Fehler. Mail-Inhalte oder Suchparameter werden NICHT geloggt.

Im Business-Tarif kannst du das Audit-Log als CSV oder JSON exportieren. In allen anderen Tarifen ist es nur für dich im Compliance-Bereich des Portals einsehbar.

8. Zahlungsabwicklung (Mollie)

Zahlungen werden ausschließlich über Mollie B.V. (Keizersgracht 313, 1016 EE Amsterdam, Niederlande) abgewickelt. Wir leiten dich zum Bezahlvorgang auf eine Mollie-Domain weiter; Kreditkarten-, SEPA- oder andere Zahlungsdaten gehen direkt an Mollie und kommen niemals auf unsere Server.

Wir speichern lediglich eine Mollie-Customer-ID, eine Mollie-Subscription-ID und die Tarif-Metadaten (Plan, Postfach-Anzahl, Abrechnungszeitraum). Mollie ist Auftragsverarbeiter nach Art. 28 DSGVO; eine AVV-Vereinbarung liegt vor.

Datenschutzerklärung von Mollie: https://www.mollie.com/de/privacy.

9. Hosting

Wir betreiben eine eigene Infrastruktur in einem Rechenzentrum in Frankfurt am Main. Die Verarbeitung personenbezogener Daten erfolgt ausschließlich auf unseren eigenen Systemen unter der Kontrolle der SERGO GmbH. Ein externer Hosting-Provider, der Zugriff auf personenbezogene Daten hätte, kommt nicht zum Einsatz.

10. Auftragsverarbeiter

Wir setzen folgende externe Auftragsverarbeiter ein:

  • Hanko GmbH (Berlin, DE) — passwortlose Authentifizierung.
  • Mollie B.V. (Amsterdam, NL) — Zahlungsabwicklung und Abonnement-Verwaltung.
  • Functional Software, Inc. d/b/a Sentry (San Francisco, USA) — Fehler-Telemetrie der Anwendungen (siehe Abschnitt 15). Übermittlung in die USA auf Grundlage von EU-Standardvertragsklauseln.

Matomo betreiben wir selbst auf eigener Infrastruktur (matomo.sergo.cloud); Matomo ist daher kein externer Auftragsverarbeiter, sondern Teil unserer eigenen Datenverarbeitung unter Kontrolle der SERGO GmbH (siehe Abschnitt 14).

Mit allen externen Auftragsverarbeitern sind AVV-Verträge nach Art. 28 DSGVO geschlossen. Eine Übermittlung in Drittländer (USA) erfolgt ausschließlich bei Sentry und nur auf Grundlage der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

11. Rechte der betroffenen Personen

Du hast nach der DSGVO folgende Rechte:

  • Auskunft über deine gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO) — sofort über das Portal durchführbar
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
  • Beschwerde bei einer Aufsichtsbehörde — zuständig: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Klosterwall 6 (Block C), 20095 Hamburg.

Anfragen an: datenschutz@sergo.de.

12. Speicherdauer

  • Server-Logfiles: 30 Tage
  • Mailbox-Zugangsdaten, OAuth-Tokens, Account-Daten: für die Dauer deines Vertrags
  • Audit-Log: 90 Tage (im Business-Tarif konfigurierbar)
  • Rechnungs- und Buchhaltungsdaten: 10 Jahre (§ 147 AO)

Bei Account-Löschung werden alle Mailbox-Zugangsdaten, OAuth-Tokens und Audit-Logs sofort und unwiderruflich gelöscht. Lediglich Rechnungs- und Buchhaltungsdaten werden im gesetzlich vorgeschriebenen Umfang weiter aufbewahrt.

13. Datensicherheit

Technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO umfassen u.a.:

  • Verschlüsselung sensibler Daten at rest (AES-256-GCM mit Envelope-Encryption für IMAP-Zugangsdaten)
  • TLS 1.2/1.3 für alle Verbindungen
  • Passwortloser Login mit Passkeys (Phishing-resistent)
  • OAuth 2.1 mit PKCE und Dynamic Client Registration
  • Default-deny Netzwerk-Policies in der Kubernetes-Umgebung
  • Rollen-basiertes Datenbank-Zugriffsmodell (Runtime-User ohne DDL-Rechte)
  • Vollständiges Audit-Log für sicherheitsrelevante Aktionen
  • Regelmäßige Sicherheits-Scans (SAST, Dependency-Scanning, Container-Scanning) in der CI/CD-Pipeline
  • Tägliche, geographisch verteilte Backups der Datenbank

14. Web-Analyse (Matomo)

Auf der Marketing-Website inboxmcp.io setzen wir die selbst gehostete Open-Source-Software Matomo (Matomo Analytics, https://matomo.org) ein, um die Nutzung unserer Website besser zu verstehen und die Inhalte gezielt zu verbessern. Matomo läuft auf einer von SERGO GmbH selbst betriebenen Instanz unter matomo.sergo.cloud; deine Daten werden nicht an Dritte übertragen.

Matomo wird ausschließlich nach deiner ausdrücklichen Einwilligung über den Cookie-Banner geladen (Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG). Ohne Zustimmung findet keinerlei Messung statt.

Beim Seitenaufruf werden in pseudonymisierter Form erhoben:

  • aufgerufene Seite und Verweildauer
  • Referrer (vorhergehende Seite)
  • Browser-Typ und -Version, Betriebssystem, Bildschirmauflösung
  • gekürzte IP-Adresse (das letzte Oktett wird vor der Speicherung verworfen)
  • gewählte Sprache (DE/EN) als Custom Dimension
  • Datum und Uhrzeit des Aufrufs

Wir konfigurieren Matomo so, dass keine Cookies gesetzt werden (disableCookies), Do-Not-Track respektiert wird und die IP gekürzt erfasst wird. Die Daten werden nach 14 Monaten gelöscht. Du kannst deine Einwilligung jederzeit über den Link „Cookie-Einstellungen" im Seitenfuß widerrufen.

15. Fehler-Telemetrie (Sentry)

Zur Stabilitäts- und Fehlerüberwachung unserer Anwendungen (inboxmcp-API, Worker, Frontend, Marketing-Website) setzen wir Sentry ein (Anbieter: Functional Software, Inc., d/b/a Sentry, 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA — Organisation sergo-gmbh, betrieben über die EU-Region). Bei einer technischen Ausnahme (Exception) sendet die jeweilige Anwendung einen Fehlerbericht an Sentry.

Übermittelt werden:

  • Fehlermeldung und Stack-Trace (Code-Pfad in unserer Anwendung)
  • Zeitpunkt, betroffene Service-Komponente und Release-Version
  • technische Request-Metadaten (Pfad, HTTP-Status, Trace-/Span-ID)
  • im Frontend zusätzlich: Browser-Typ, Betriebssystem, gekürzte IP

Wir übertragen keine Mail-Inhalte, IMAP-Zugangsdaten oder OAuth-Tokens an Sentry. Die Funktion SendDefaultPii ist serverseitig deaktiviert; in den Backend-Diensten geben wir aktiv SendDefaultPii = false an, sodass auch Benutzer-IDs nicht automatisch mitgesendet werden.

Rechtsgrundlage ist unser berechtigtes Interesse an Stabilität und Sicherheit der Plattform (Art. 6 Abs. 1 lit. f DSGVO). Sentry verarbeitet die Daten als Auftragsverarbeiter; es bestehen ein AVV nach Art. 28 DSGVO sowie EU-Standardvertragsklauseln für den Fall einer Übermittlung in Drittländer (Art. 46 Abs. 2 lit. c DSGVO). Speicherdauer in Sentry: 90 Tage, danach automatische Löschung.

Datenschutzinformationen von Sentry: https://sentry.io/privacy/.

Diese Datenschutzerklärung wird bei wesentlichen Änderungen aktualisiert. Letzter Stand: 13.05.2026.