Datenschutzerklärung

Mit dieser Datenschutzerklärung informieren wir über die Verarbeitung personenbezogener Daten bei der Nutzung der Web-Anwendung Astreo (app.astreo.de) sowie dieser Website (astreo.de). Astreo ist ein E-Mail-Client: Astreo verbindet bestehende Postfächer und ist kein E-Mail-Anbieter — Ihre Postfächer verbleiben bei Ihrem jeweiligen Anbieter (z. B. Google, Microsoft oder ein IMAP-Postfach).

1. Verantwortlicher

becom Systemhaus GmbH & Co. KG
Am Feldkreuz 16a, 35578 Wetzlar, Deutschland
E-Mail: datenschutz@becom.net · Telefon: +49 6441 96500

Ein Datenschutzbeauftragter ist gesetzlich nicht bestellt. Anfragen richten Sie bitte an die oben genannte Adresse.

2. Welche Daten wir verarbeiten

a) Konto & Anmeldung

Für die Anmeldung stehen mehrere Verfahren zur Verfügung: Single-Sign-On über Google oder Microsoft, ein Magic-Link per E-Mail (einmaliger Anmeldelink) sowie E-Mail und Passwort mit verpflichtender Zwei-Faktor-Authentifizierung (TOTP). Dabei verarbeiten wir Name, E-Mail-Adresse, die jeweilige Provider-Kennung (bei SSO) und – sofern vorhanden – Ihr Profilbild. Ein Passwort speichern wir ausschließlich als argon2-Hash (nie im Klartext); das Geheimnis der Zwei-Faktor-Authentifizierung wird verschlüsselt at-rest gespeichert.

b) Verbundene Postfächer

Zum Abruf und Versand verbinden Sie Ihre Postfächer per OAuth (Gmail, Microsoft) oder per IMAP/SMTP. Die hierfür nötigen Zugangsdaten (OAuth-Tokens bzw. IMAP/SMTP-Zugangsdaten) speichern wir verschlüsselt at-rest (AES-256-GCM). Zugangsdaten werden nicht im Klartext protokolliert.

c) Mail-Inhalte, Threads & Anhänge

Zur Darstellung, Suche und Verschlagwortung (Threading) speichern wir E-Mail-Inhalte, Metadaten und Anhänge im Rahmen des Dienstes. E-Mail-Inhalte werden ausschließlich zur Erbringung des Dienstes verarbeitet, nicht zu Werbe- oder Analysezwecken, und Nachrichteninhalte werden nicht protokolliert. Anhänge werden automatisch auf Schadsoftware geprüft (ClamAV).

d) KI-Funktionen (optional)

Für Antwortvorschläge, Übersetzung und Grammatikkorrektur nutzen Sie auf Wunsch einen KI-Anbieter Ihrer Wahl mit Ihrem eigenen Schlüssel (z. B. Anthropic, OpenAI/OpenRouter, DeepSeek). Dabei wird nur der für die jeweilige Funktion ausgewählte Kontext an den von Ihnen gewählten Anbieter übermittelt. KI-Ausgaben sind stets ein bearbeitbarer Entwurf und werden nie automatisch versendet.

e) Abrechnung

Für kostenpflichtige Tarife setzen wir den Zahlungsdienstleister Stripe ein. Zahlungsdaten werden direkt bei Stripe verarbeitet; wir erhalten die zur Vertrags- und Rechnungsabwicklung erforderlichen Angaben.

f) Website & Cookies

Beim Aufruf der Website werden serverseitig technisch erforderliche Zugriffsdaten verarbeitet. In der Anwendung setzen wir ein technisch notwendiges Sitzungs-Cookie zur Anmeldung. Darüber hinaus findet ohne deine Einwilligung kein Tracking statt; insbesondere wird Google Analytics erst nach aktiver Zustimmung geladen (siehe g).

g) Webanalyse mit Google Analytics (nur mit Einwilligung)

Mit deiner Einwilligung nutzen wir Google Analytics 4, einen Dienst der Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland). Erst wenn du im Cookie-Banner auf „Akzeptieren" klickst, wird das Analytics-Skript geladen und es werden Cookies bzw. Kennungen gesetzt. Ohne Zustimmung — oder bei „Ablehnen" — geschieht nichts davon.

Dabei können Nutzungsdaten (z. B. aufgerufene Seiten, ungefährer Standort, Geräte- und Browser-Infos) an Google übermittelt werden; die IP-Adresse wird gekürzt verarbeitet (anonymize_ip). Eine Übermittlung in die USA (Google LLC) ist dabei nicht ausgeschlossen. Rechtsgrundlage ist deine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO); du kannst sie jederzeit mit Wirkung für die Zukunft widerrufen — Cookie-Einstellungen ändern. Weitere Informationen: policies.google.com/privacy.

3. Hosting

Astreo wird in der Europäischen Union gehostet. Eine Verarbeitung in einer US-Cloud findet im Rahmen des Dienstes nicht statt. Bei Nutzung externer Postfächer und selbst gewählter KI-Anbieter gelten zusätzlich deren Standorte und Bedingungen.

4. Rechtsgrundlagen

• Art. 6 Abs. 1 lit. b DSGVO – Erfüllung des Nutzungsvertrags (Bereitstellung des E-Mail-Clients, verbundene Postfächer, Abrechnung).
• Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse (sicherer und stabiler Betrieb, Schadsoftware-Prüfung).
• Art. 6 Abs. 1 lit. a DSGVO – Einwilligung (z. B. optionale KI-Funktionen, Webanalyse mit Google Analytics).

5. Empfänger / Auftragsverarbeiter

Personenbezogene Daten geben wir nur weiter, soweit dies zur Vertragserfüllung erforderlich ist oder eine Rechtsgrundlage besteht. Dazu zählen insbesondere unser EU-Hosting-Dienstleister sowie der Zahlungsdienstleister Stripe. Bei Nutzung von OAuth-Postfächern und KI-Funktionen erfolgt eine Übermittlung an den jeweils von Ihnen gewählten Anbieter. Mit Auftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO.

6. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die genannten Zwecke erforderlich ist bzw. gesetzliche Aufbewahrungsfristen es verlangen. Verbundene Postfächer, Inhalte und das Konto können Sie jederzeit trennen bzw. löschen; danach werden die zugehörigen Daten gelöscht.

7. Ihre Rechte

Ihnen stehen nach der DSGVO insbesondere folgende Rechte zu:

• Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17) und Einschränkung (Art. 18),
• Datenübertragbarkeit (Art. 20),
• Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen (Art. 21),
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3).

Es besteht zudem ein Beschwerderecht bei einer Aufsichtsbehörde, z. B. dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit.

8. Nutzung von Google-Nutzerdaten (Google API Services User Data Policy / „Limited Use")

Wenn Sie ein Google-Konto verbinden (Anmeldung, Gmail-Postfach, Google Kontakte oder Google Kalender), greift Astreo über die Google-APIs auf bestimmte Daten Ihres Google-Kontos zu. Die Nutzung und Weitergabe der von Google-APIs erhaltenen Informationen durch Astreo entspricht der Google API Services User Data Policy, einschließlich der Anforderungen zur eingeschränkten Nutzung („Limited Use").

Je nach von Ihnen verbundener Funktion greifen wir auf folgende Daten zu:

• Anmeldung (email, profile): Name, E-Mail-Adresse, Google-Kennung und ggf. Profilbild – zur Authentifizierung.
• Gmail-Postfach (https://mail.google.com/): Lesen, Senden, Organisieren und Verwalten Ihrer E-Mails, damit Astreo Ihr Gmail-Postfach als E-Mail-Client darstellen und bedienen kann.
• Google Kontakte (.../auth/contacts): Lesen und Schreiben Ihrer Kontakte für Adressbuch und Kontaktpflege im Client.
• Google Kalender (.../auth/calendar): Lesen und Schreiben von Terminen für die Kalenderfunktionen im Client.

Für diese Daten gilt insbesondere:

• Wir verwenden sie ausschließlich, um die von Ihnen genutzten, für Sie sichtbaren Funktionen von Astreo bereitzustellen und zu verbessern.
• Wir geben sie nicht an Dritte weiter – außer soweit dies zur Bereitstellung oder Verbesserung dieser Funktionen erforderlich, gesetzlich vorgeschrieben oder aus Sicherheitsgründen (z. B. Missbrauchs-/Schadsoftware-Abwehr) nötig ist oder Sie ausdrücklich eingewilligt haben.
• Wir nutzen sie nicht für Werbung und übertragen sie nicht zu Werbezwecken.
• Menschen lesen diese Daten nicht, außer Sie haben ausdrücklich eingewilligt, es ist aus Sicherheitsgründen oder zur Einhaltung geltenden Rechts erforderlich, oder die Daten sind aggregiert und anonymisiert.

Verbundene Google-Konten können Sie jederzeit in Astreo trennen; erteilte Zugriffsrechte können Sie zusätzlich unter myaccount.google.com/permissions widerrufen.

9. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn Änderungen am Dienst oder der Rechtslage dies erfordern. Es gilt die jeweils auf dieser Seite veröffentlichte Fassung.