DSGVO-Erklärung
Inkrafttreten: 29. Juni 2026 · Zuletzt aktualisiert: 30. Juni 2026
Zeptun Intelligence Limited (Hong Kong SAR) („wir“, „uns“ oder „unser“) betreibt die Unbox-Mail-Plattform unter unbox.im und verpflichtet sich, personenbezogene Daten gemäß der EU-Datenschutz-Grundverordnung (DSGVO) und ähnlichen Gesetzen zu schützen. Diese Seite fasst zusammen, wie wir Daten für Kunden im Europäischen Wirtschaftsraum (EWR), im Vereinigten Königreich und in der Schweiz verarbeiten. Sie ergänzt unsere Datenschutzerklärung und unsere Nutzungsbedingungen.
Wer wir sind
Zeptun Intelligence Limited (Hong Kong SAR) ist der Verantwortliche für die Verarbeitung personenbezogener Daten über Unbox auf unbox.im. Bei Fragen zum Datenschutz kontaktieren Sie privacy@unbox.im.
Was Unbox ist (und nicht ist)
Unbox ist eine Transaktionsmail- und Domain-Postfach-Plattform. Wir helfen Ihnen, wichtige E-Mails zu senden und zu verwalten – Bestätigungscodes, Passwortzurücksetzungen, Bestellupdates und Team-Benachrichtigungen auf Ihren eigenen Domains.
Wir bieten keine Marketing- oder Newsletter-Verteilung an. Unsere HTTP-API und SMTP-Einreichungspfade sind auf Transaktionsmails beschränkt. Diese Produktwahl reduziert die Komplexität von GDPR-Marketing-Einwilligungen: Wir senden keine Werbekampagnen in Ihrem Namen und benötigen keine Marketing-Opt-in- oder Abmeldeflüsse für Plattform-Mails.
Ausgehende API und SMTP – nur transaktional
The Unbox HTTP API (POST /v1/email) and optional SMTP submission must be used for transactional messages only — for example password resets, receipts, security alerts, and team notifications tied to a specific event. Marketing newsletters, promotional bulk sends, and cold outreach are prohibited.
Zulässige Beispiele
- Kontoverifizierung, Passwortzurücksetzungen und Sicherheitswarnungen
- Bestellbestätigungen, Quittungen, Versandaktualisierungen und Zahlungsmitteilungen
- Benachrichtigungen, die durch ein bestimmtes Benutzer- oder Systemereignis ausgelöst werden
- Team- und Arbeitsbereichsnachrichten (Einladungen, Zuweisungen, interne Warnungen)
Unzulässige Beispiele
- Newsletter, Werbekampagnen oder Broadcast-Marketing
- Kaltakquise oder E-Mails an gekaufte, gescrapte oder nicht zustimmende Listen
- Affiliate-Spam, Phishing oder irreführende Inhalte
- Jeglicher Versuch, Empfängerbeschränkungen, Ratenlimits oder Tarifkontingente zu umgehen
Raten- und Empfängergrenzen (Richtlinie)
Um faktisches Massenmarketing zu verhindern, aber normale Team-Benachrichtigungen zu ermöglichen, unterliegt der ausgehende API- und SMTP-Verkehr zusätzlich zu den Plankontingenten den unten genannten Grenzen. Die Grenzen werden automatisch durchgesetzt und gelten pro Arbeitsbereich (Inhaber und Teammitglieder teilen sich einen täglichen Pool eindeutiger Empfänger, der um Mitternacht UTC zurückgesetzt wird):
- Empfänger pro Nachricht: Bis zu 50 insgesamt (To + Cc + Bcc zusammen)
- Einzigartige Empfänger pro Tag: Bis zu 1.000 pro Arbeitsbereich
- Sendeanforderungsrate: Bis zu 10 API- oder SMTP-Übermittlungen pro Minute pro Domain
- Ausgangskontingent des Tarifs: Monatliche Sendelimitierungen Ihres Abonnements gelten weiterhin
Diese Regeln sind Teil unserer Richtlinie zur akzeptablen Nutzung. Die automatische Durchsetzung erfolgt live im Web-Komponisten, der HTTP-API und der SMTP-Übermittlung. Konten, die Marketing- oder Massen-E-Mails versenden oder die Sendeinfrastruktur anderweitig missbrauchen, können gedrosselt, gesperrt oder gekündigt werden.
Wir überwachen Zustellsignale. Anhaltende Bounce-Raten über 3 % oder Beschwerderaten über 0,1 % können eine vorübergehende Sendepause oder manuelle Überprüfung auslösen.
Diese Regeln sind auch in unseren Nutzungsbedingungen festgelegt.
Rechtsgrundlagen für die Verarbeitung
- Vertrag – zur Bereitstellung von Hosting, DNS, Postfach, API-Versand, Abrechnung und Support, für die Sie sich angemeldet haben.
- Berechtigte Interessen – Sicherheit, Missbrauchsprävention, Zustellbarkeitsüberwachung und Produktverbesserung, abgewogen gegen Ihre Rechte.
- Einwilligung – wo erforderlich, z. B. bei optionalen KI-Funktionen, die Inhalte an Cloud-Modellanbieter senden, oder beim Verbinden von Drittanbieter-E-Mail-Konten.
- Rechtliche Verpflichtung – Steuern, Abrechnung und rechtmäßige Anfragen von Behörden.
Was wir bereits tun
- Verifizierte Registrierung – Neue Konten müssen vor der Anmeldung ihre E-Mail bestätigen (Einmalcode oder Magic Link).
- Verschlüsselung – TLS für Daten in der Übertragung; sensible Anmeldedaten und Token werden im Ruhezustand verschlüsselt; API-Schlüssel werden gehasht gespeichert.
- Datenminimierung – Ausgehende Zustellungsprotokolle speichern nur Metadaten (keine Nachrichteninhalte). Externe Konto-Vorschauen verfallen nach sieben Tagen. Zustellungsprotokolle werden nach einem kurzen Aufbewahrungszeitraum (standardmäßig 14 Tage) gelöscht.
- Benutzergesteuerte Aufbewahrung – Papierkorb, Spam-Quarantäne und dauerhafte Löschvorgänge; Sie legen fest, wie lange gelöschte E-Mails vor der endgültigen Löschung aufbewahrt werden.
- DNS-Authentifizierung – Wir führen Sie durch die Einrichtung von SPF, DKIM und DMARC und blockieren das Senden, bis Ihre Domain verifiziert ist.
- Betreiberverantwortung – Aktionen des Plattformpersonals in unserer Admin-Konsole werden geprüft; Teammitgliedschaftsänderungen werden in Ihrem Arbeitsbereichs-Aktivitätsfeed aufgezeichnet.
- Kein Verkauf personenbezogener Daten – Wir verkaufen Ihre Informationen nicht an Werbetreibende oder Datenmakler.
Auftragsverarbeiter
Wir nutzen vertrauenswürdige Infrastrukturpartner, um Unbox zu betreiben. Sie verarbeiten Daten nur nach unseren Anweisungen und unter vertraglichen Sicherheitsvorkehrungen:
- Vercel — Webanwendungs-Hosting und serverlose Funktionen
- Neon — PostgreSQL-Datenbank
- Upstash — Redis (Warteschlangen und Ratenbegrenzung)
- Vercel Blob — Speicher für Anhänge und Nachrichten-Blobs
- Amazon Web Services (SES) — Eingehende und ausgehende E-Mail-Zustellung
- Stripe — Abonnementabrechnung und Rechnungen
- OpenRouter — Cloud-KI-Inferenz, wenn Sie KI-Funktionen nutzen, die entfernte Modelle erfordern
Eine aktuelle Liste finden Sie in unserer Datenschutzerklärung. Geschäftskunden, die eine unterzeichnete Datenverarbeitungsvereinbarung (DPA) benötigen, können eine Anfrage an privacy@unbox.im senden.
Internationale Übermittlungen
Unbox wird hauptsächlich von Singapur aus betrieben, mit Infrastruktur in AWS ap-southeast-1 und globalen Edge-Standorten, die von unseren Hosting-Anbietern genutzt werden. Wenn personenbezogene Daten außerhalb des EWR übermittelt werden, stützen wir uns auf geeignete Garantien wie Standardvertragsklauseln und Auftragsverarbeitungsverträge der Anbieter. Wir planen Speicheroptionen in der EU für Kunden, die eine Datenresidenz in der EU benötigen.
Ihre Rechte gemäß DSGVO
Falls die DSGVO für Sie gilt, haben Sie möglicherweise das Recht auf:
- Auskunft über die von uns gespeicherten personenbezogenen Daten
- Berichtigung unrichtiger Daten
- Export Ihrer Daten in einem portablen Format
- Löschung Ihrer Daten („Recht auf Vergessenwerden“)
- Einschränkung oder Widerspruch gegen bestimmte Verarbeitungen
- Widerruf der Einwilligung, sofern die Verarbeitung auf Einwilligung beruht
- Beschwerde bei Ihrer zuständigen Aufsichtsbehörde einreichen
So üben Sie Ihre Rechte heute aus: E-Mail an privacy@unbox.im von Ihrer registrierten Adresse. Wir antworten innerhalb eines Monats. Self-Service-Export und Kontolöschung in den Einstellungen sind in Planung – siehe unten.
KI und Ihre E-Mails
Wenn Sie KI-Funktionen nutzen, können relevante Nachrichteninhalte an KI-Anbieter zur Zusammenfassung, Klassifizierung oder Entwurferstellung gesendet werden. Wir minimieren, was gesendet wird, und verwenden Ihre E-Mails nicht zum Trainieren öffentlicher Modelle. Geschäftskunden können die Cloud-KI-Verarbeitung in den Kontoeinstellungen einschränken; bis diese Option verfügbar ist, kontaktieren Sie uns, um Cloud-Inferenz abzulehnen.
Sicherheit und Verstöße
Wir unterhalten technische und organisatorische Maßnahmen, darunter Zugriffskontrollen, Verschlüsselung, MFA/Passkey-Unterstützung und Verfahren zur Reaktion auf Vorfälle. Wenn eine Verletzung des Schutzes personenbezogener Daten ein Risiko für Ihre Rechte darstellt, benachrichtigen wir betroffene Nutzer und Aufsichtsbehörden wie gesetzlich vorgeschrieben.
Geplante Verbesserungen
Wir arbeiten aktiv daran, die DSGVO-Bereitschaft zu stärken, darunter:
- Self-Service-Datenexport und Kontolöschung in den Einstellungen
- Gespeicherte Einwilligungsnachweise bei Registrierung mit Versionsverfolgung der Richtlinien
- Ausgehende Sendebegrenzungen, die Missbrauch für Massenmarketing verhindern, aber normale Team-Benachrichtigungen erlauben (siehe oben)
- Erweiterte Transparenz zu Unterauftragsverarbeitern und Kunden-ADV-Vorlagen
- Optionale EU-Datenresidenz
Kontakt
Datenschutzanfragen: privacy@unbox.im
Allgemeiner Support: hello@unbox.im