Datenschutzerklärung

Stand: 31.03.2026 · Rechtsstand Deutschland

1. Einleitung und Verantwortlicher

Wir freuen uns über Ihren Besuch auf unserer Website und Ihr Interesse an Kostly. Im Folgenden informieren wir Sie über den Umgang mit Ihren personenbezogenen Daten bei der Nutzung unserer Website und unseres SaaS-Dienstes. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können.

Verantwortlicher im Sinne der DSGVO ist:
Gonzi Tech UG (haftungsbeschränkt)
An der Mannsfaust 10, 60599 Frankfurt am Main, Deutschland
Tel.: +49 69 247422680
E-Mail: [email protected]

2. Datenerfassung beim Besuch unserer Website

2.1 Server-Logfiles

Bei der rein informatorischen Nutzung unserer Website erheben wir nur die Daten, die Ihr Browser automatisch an unseren Server übermittelt:

  • Aufgerufene URL
  • Datum und Uhrzeit des Zugriffs
  • Übertragene Datenmenge (Byte)
  • Referrer-URL (verweisende Seite)
  • Verwendeter Browser und Betriebssystem
  • IP-Adresse (anonymisiert)

Die Verarbeitung erfolgt gem. Art. 6 Abs. 1 lit. f DSGVO auf Basis unseres berechtigten Interesses an der Stabilität und Sicherheit unserer Website. Eine Weitergabe findet nicht statt. Logfiles werden nach spätestens 30 Tagen gelöscht.

2.2 SSL/TLS-Verschlüsselung

Diese Website verwendet aus Sicherheitsgründen eine SSL- bzw. TLS-Verschlüsselung für alle Übertragungen. Sie erkennen dies an der Zeichenfolge „https://" und dem Schloss-Symbol in Ihrer Browserzeile.

3. Hosting

3.1 Hetzner Cloud

Unsere Website und der Anwendungsdienst werden auf Servern der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland, gehostet. Sämtliche auf unserer Website erhobenen Daten werden ausschließlich auf Servern innerhalb der Europäischen Union verarbeitet. Wir haben mit Hetzner einen Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO geschlossen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an stabilem, datenschutzkonformem Betrieb).

3.2 Cloudflare (DNS und CDN)

Wir nutzen das Content Delivery Network und den DNS-Dienst der Cloudflare, Inc., 101 Townsend St., San Francisco, CA 94107, USA. Cloudflare ist zwischen unserem Hosting und Ihrem Browser zwischengeschaltet und verarbeitet dabei Ihre IP-Adresse sowie Verbindungsdaten zum Zweck der Auslieferung von Inhalten, des Schutzes vor DDoS-Angriffen und der Erhöhung der Verfügbarkeit. Die Verarbeitung erfolgt gem. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Performance). Wir haben mit Cloudflare einen Auftragsverarbeitungsvertrag abgeschlossen. Für Datenübermittlungen in die USA hat sich Cloudflare dem EU-US Data Privacy Framework angeschlossen (Angemessenheitsbeschluss der Europäischen Kommission).

4. Registrierung und Nutzerkonto

Um Kostly nutzen zu können, ist eine Registrierung erforderlich. Dabei erheben wir folgende Daten:

  • E-Mail-Adresse (Pflichtangabe)
  • Name (optional)
  • Passwort (verschlüsselt gespeichert, kein Klartextzugriff durch uns)

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung/-anbahnung). Die Daten werden für die Dauer des Vertragsverhältnisses gespeichert. Nach Accountlöschung erfolgt ein vollständiges Hard Delete aller personenbezogenen Daten gem. Art. 17 DSGVO, sofern keine handels- oder steuerrechtlichen Aufbewahrungspflichten entgegenstehen.

5. Anmeldung über Google OAuth

Wir bieten die Möglichkeit, sich über Google OAuth anzumelden. Anbieter ist Google Ireland Limited, Gordon House, 4 Barrow St., Dublin, D04 E5W5, Irland. Wenn Sie sich über Google anmelden, übermittelt Google uns ausschließlich Ihre E-Mail-Adresse, Ihren Namen sowie Ihr Profilbild. Wir erhalten keinen Zugriff auf Google Contacts, Calendar oder andere Google-Dienste. Die Datenverarbeitung erfolgt gem. Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Für Datenübermittlungen in die USA hat sich Google dem EU-US Data Privacy Framework angeschlossen. Weitere Informationen: policies.google.com/privacy.

6. Transaktionale E-Mails (Brevo)

Für den Versand transaktionaler E-Mails nutzen wir den Dienst der Sendinblue GmbH (Brevo), Köpenicker Str. 126, 10179 Berlin, Deutschland. Brevo betreibt ausschließlich Server in der Europäischen Union (Deutschland und Frankreich), ist TÜV-Rheinland-zertifiziert und DSGVO-konform. Es findet kein Datentransfer in Drittstaaten statt. Ein Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO ist abgeschlossen.

6.1 Anlässe des E-Mail-Versands

Transaktionale E-Mails werden ausschließlich aus folgenden Anlässen versendet:

  • E-Mail-Verifizierung nach der Registrierung
  • Willkommens-E-Mail nach Abschluss der Registrierung
  • Magic-Link-E-Mails zur passwortlosen Anmeldung
  • Passwort-Reset auf ausdrückliche Anfrage des Nutzers
  • Team-Einladungen (nur bei aktiver Nutzung der Team-Funktion)
  • Zahlungserinnerungen bei bevorstehenden Abbuchungen
  • Bestätigung von Plan-Upgrades/-Downgrades
  • Benachrichtigung bei fehlgeschlagenen Zahlungen (Stripe-Webhook)

6.2 Übermittelte Daten

An Brevo übermittelt werden ausschließlich die zur Zustellung notwendigen Daten: E-Mail-Adresse des Empfängers sowie optional der Name. Es werden keine weiteren personenbezogenen Daten (wie IP-Adresse oder Geräteinformationen) an Brevo weitergegeben.

6.3 E-Mail-Tracking

Unsere transaktionalen E-Mails enthalten ein von Brevo bereitgestelltes Tracking-Pixel. Brevo erfasst dabei ausschließlich anonymisierte Öffnungsstatistiken – es werden keine personenbezogenen Daten wie IP-Adressen oder Geräteinformationen erhoben oder an uns übermittelt. Wir erhalten lediglich aggregierte Öffnungsraten zur Qualitätssicherung der Zustellbarkeit.

Rechtsgrundlage ist unser berechtigtes Interesse gem. Art. 6 Abs. 1 lit. f DSGVO. Sie können das Laden externer Bilder in Ihrem E-Mail-Programm deaktivieren, um das Tracking vollständig zu unterbinden.

Rechtsgrundlage für den Versand transaktionaler E-Mails ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Weitere Informationen zur Datenverarbeitung durch Brevo: brevo.com/de/datenschutzrichtlinie.

7. Zahlungsabwicklung (Stripe)

Für die Abwicklung von Zahlungen und die Verwaltung von Abonnements nutzen wir den Dienst der Stripe Payments Europe, Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland. Bei einem Zahlungsvorgang werden die von Ihnen eingegebenen Zahlungsdaten (Kreditkartendaten, IBAN etc.) direkt und verschlüsselt an Stripe übermittelt. Wir haben zu keinem Zeitpunkt Zugriff auf vollständige Zahlungsdaten. Stripe verarbeitet im Rahmen des Zahlungsvorgangs Name, E-Mail-Adresse, Rechnungsadresse sowie Zahlungsdaten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Für Datenübermittlungen in die USA hat sich Stripe dem EU-US Data Privacy Framework angeschlossen. Weitere Informationen: stripe.com/de/privacy.

8. Buchhaltung (lexoffice)

Für die Rechnungsstellung und Buchhaltung nutzen wir lexoffice, einen Dienst der Haufe-Lexware GmbH & Co. KG, Munzinger Str. 9, 79111 Freiburg, Deutschland. Dabei werden Rechnungsdaten (Name, E-Mail-Adresse, Rechnungsadresse, Zahlungsdaten, Vertragsdaten) an lexoffice übermittelt, die ausschließlich auf Servern in Deutschland verarbeitet werden. Rechtsgrundlage ist Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Buchführungspflicht gem. § 238 HGB, § 140 AO) sowie Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Ein Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO ist abgeschlossen. Weitere Informationen: lexoffice.de/datenschutz.

9. Newsletter (Mailjet)

Auf unserer Website bieten wir die Möglichkeit, sich für unseren Newsletter anzumelden. Dabei wird ausschließlich Ihre E-Mail-Adresse erhoben und an Mailjet übermittelt. Anbieter ist die Mailjet GmbH, Alt-Moabit 2, 10557 Berlin, Deutschland (EU-Tochter der Sinch AB, Schweden). Mailjet verarbeitet Ihre Daten ausschließlich auf Servern innerhalb der Europäischen Union. Wir haben mit Mailjet einen Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO abgeschlossen.

Rechtsgrundlage für die Verarbeitung ist Ihre Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO. Die Newsletter-Anmeldung ist freiwillig. Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie uns an [email protected] kontaktieren. Ihre E-Mail-Adresse wird nach Widerruf unverzüglich aus der Verteilerliste entfernt und gelöscht. Weitere Informationen: mailjet.com/datenschutzrichtlinie.

10. Cookies und Session-Management

Kostly verwendet ausschließlich technisch notwendige Cookies zur Aufrechterhaltung Ihrer Sitzung (Session-Cookie). Es werden keine Tracking-Cookies, Analyse-Cookies oder Marketing-Cookies eingesetzt. Ein Cookie-Consent-Banner ist daher nicht erforderlich.

Das Session-Cookie wird nach Ablauf Ihrer Sitzung bzw. nach spätestens 30 Tagen automatisch gelöscht. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Bereitstellung des Dienstes) sowie Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung für eingeloggte Nutzer).

11. Datenübertragbarkeit und Accountlöschung

Gemäß Art. 20 DSGVO haben Sie das Recht, Ihre bei uns gespeicherten Daten in einem maschinenlesbaren Format (JSON) zu exportieren. Diese Funktion steht im Account-Bereich unter „Daten exportieren" zur Verfügung.

Gemäß Art. 17 DSGVO haben Sie das Recht auf vollständige Löschung Ihres Accounts und aller damit verbundenen Daten. Die Löschung kann im Account-Bereich unter „Account löschen" beantragt werden. Dabei werden alle Ausgaben, Teammitgliedschaften und personenbezogenen Daten unwiderruflich gelöscht sowie ein laufendes Stripe-Abonnement automatisch gekündigt. Gesetzliche Aufbewahrungspflichten (z. B. gem. § 147 AO, § 257 HGB) bleiben hiervon unberührt.

12. Betroffenenrechte

Das geltende Datenschutzrecht gewährt Ihnen folgende Rechte:

  • Auskunft gem. Art. 15 DSGVO über die zu Ihrer Person verarbeiteten Daten
  • Berichtigung gem. Art. 16 DSGVO unrichtiger Daten
  • Löschung gem. Art. 17 DSGVO („Recht auf Vergessenwerden")
  • Einschränkung der Verarbeitung gem. Art. 18 DSGVO
  • Datenübertragbarkeit gem. Art. 20 DSGVO
  • Widerspruch gegen die Verarbeitung gem. Art. 21 DSGVO
  • Widerruf erteilter Einwilligungen gem. Art. 7 Abs. 3 DSGVO
  • Beschwerde bei der zuständigen Aufsichtsbehörde gem. Art. 77 DSGVO

Zur Ausübung Ihrer Rechte wenden Sie sich an: [email protected]

Zuständige Aufsichtsbehörde: Hessischer Beauftragter für Datenschutz und Informationsfreiheit, Postfach 3163, 65021 Wiesbaden, datenschutz.hessen.de.

13. Widerspruchsrecht

WENN WIR IM RAHMEN EINER INTERESSENABWÄGUNG IHRE PERSONENBEZOGENEN DATEN AUFGRUND UNSERES ÜBERWIEGENDEN BERECHTIGTEN INTERESSES VERARBEITEN, HABEN SIE DAS JEDERZEITIGE RECHT, AUS GRÜNDEN, DIE SICH AUS IHRER BESONDEREN SITUATION ERGEBEN, GEGEN DIESE VERARBEITUNG WIDERSPRUCH MIT WIRKUNG FÜR DIE ZUKUNFT EINZULEGEN. MACHEN SIE VON IHREM WIDERSPRUCHSRECHT GEBRAUCH, BEENDEN WIR DIE VERARBEITUNG DER BETROFFENEN DATEN, ES SEI DENN, WIR KÖNNEN ZWINGENDE SCHUTZWÜRDIGE GRÜNDE NACHWEISEN, DIE IHRE INTERESSEN ÜBERWIEGEN, ODER DIE VERARBEITUNG DIENT DER GELTENDMACHUNG, AUSÜBUNG ODER VERTEIDIGUNG VON RECHTSANSPRÜCHEN.

14. Speicherdauer

Personenbezogene Daten werden nur so lange gespeichert, wie es für den jeweiligen Verarbeitungszweck erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen. Nach Ablauf der jeweiligen Frist werden die Daten routinemäßig gelöscht. Konkret:

  • Nutzerdaten (Account): bis zur Accountlöschung, danach sofortiges Hard Delete
  • Ausgabedaten: bis zur Accountlöschung oder manuellem Löschen durch den Nutzer
  • Rechnungsdaten (Stripe): 10 Jahre gem. § 147 AO / § 257 HGB
  • Server-Logfiles: max. 30 Tage
  • E-Mail-Versandprotokolle (Brevo): max. 30 Tage

Stand: 31.03.2026 · Gonzi Tech UG (haftungsbeschränkt) · Frankfurt am Main