Privacy Policy / Datenschutzerklärung – Send That Fax

English Version (See German version below. In case of any conflict, the German text prevails.)

1. Introduction

At Flamingo Research & Development GmbH (“we” or “the Company”), we respect your privacy and are committed to protecting your personal data. This Privacy Policy explains what information we collect when you use the “Send That Fax” service, how we use and handle that data, and your rights regarding your data. We process personal data in accordance with the EU General Data Protection Regulation (GDPR) and applicable German data protection laws. Flamingo Research & Development GmbH, Würmstr. 4, 82319 Starnberg, Germany, is the Data Controller for the Send That Fax service. If you have any questions about this policy or your data, you can contact us at [email protected].

Note: The Send That Fax service is designed with privacy in mind – documents you upload for faxing are stored only temporarily for the purpose of sending the fax and are automatically deleted soon after (details below). We do not sell your data or use it for advertising purposes. We only collect the minimum data necessary to provide and improve our service and to fulfill legal requirements (like payment records).

2. Data We Collect and Purpose of Processing

When you use Send That Fax, we may collect and process the following categories of data for the reasons explained:

  • Fax Document Content (Uploaded Files): When you upload a document (or enter text) to fax, the content of that document is stored on our servers temporarily. Purpose: We use this data solely to perform the fax transmission to your designated recipient. The content is transmitted to the fax network (via our fax provider) to complete your request. Retention: Uploaded fax files are deleted automatically after the fax is sent. If you initiate an upload or fax and then abandon the session (i.e., do not complete the fax send), the uploaded document will be deleted within 24 hours of upload. We do not access or use the content of your documents for any purpose other than sending the fax.
  • Fax Details: In order to send your fax, we collect the fax destination number you enter and associate it with your fax job. We may also generate and keep a record of transmission metadata such as the number of pages, the time of sending, and the success/failure status returned by the fax provider. Purpose: This data is necessary to route your fax to the correct recipient and to provide you with a confirmation of delivery or failure. Retention: The fax job metadata (e.g., logs that a fax was sent to number X on date Y) may be stored for a period of time (typically in our logs or database) for troubleshooting, service improvement, and for our records. This metadata does not include the actual content of your document. We treat fax numbers as potentially personal data if they belong to individuals, so they are protected similarly to other personal data.
  • User Contact Information: When you use our service, especially when making a payment, we may collect your email address and (if you provide it) your name or company name. For one-time faxes, an email address may be requested to send the receipt or confirmation. For subscription accounts, an email and password are used to register and log in to your account. Purpose: Email addresses are used to deliver receipts, send status notifications (e.g., confirmation that your fax was sent), and to communicate with you regarding your fax or account (for example, to handle support requests or inform you of important service updates). If you are a subscriber, your email is also your account identifier and needed for login and account-related communications. Retention: We store your email and account information as long as your account exists or as long as needed to provide services and handle any possible disputes. If you are not a registered user and only send a one-time fax, we may retain your email with the transaction record (see next bullet) for a period necessary for administrative purposes (like issuing refunds or handling complaints), unless you request its deletion earlier.
  • Payment Information: We use Stripe as a third-party payment processor, so we do not receive or store your full credit card numbers or bank account details. When you pay for a fax or a subscription, the payment information is sent directly to Stripe via secure channels. Stripe may provide us with limited information about the transaction – such as a transaction ID, the card brand and last four digits, the payment status, and your email (if you provided it to Stripe during checkout). Purpose: We use this payment data to verify that payment was completed, to fulfill our service (sending the fax), and for our accounting/billing records. Retention: We keep records of transactions (amount, date, Stripe transaction ID, customer email, and outcome) in our financial logs for bookkeeping, auditing, and tax purposes. These transaction records are kept for at least the duration required by German law (generally 10 years for financial records) and are accessible only to authorized personnel who handle billing or legal compliance. We do not store any sensitive payment credentials ourselves; those are handled by Stripe.
  • Session Data and Cookies: When you use our web interface, our system may assign a session identifier (for example, a random token stored in a cookie on your browser) to keep track of your session state (such as the fact that you have uploaded a document or the fax number you entered). Purpose: This is necessary for the web application to function properly – it allows you to navigate the site without losing your progress and ties your uploaded document to your session so that when you click “send,” the correct file is faxed. Retention: Session cookies or identifiers typically expire after a short period (e.g., when you close the browser or after a set timeout if you stop interacting). At most, an inactive session and its associated temporary data (including any uploaded file as mentioned above) will be cleared within 24 hours. We do not use session cookies for tracking you across other websites, and we do not use third-party analytics cookies for advertising. (However, see section on Cloudflare under Third-Party services for security cookies that may be used).
  • Logs and Technical Data: Like most online services, our servers and infrastructure (including services like Fly.io and Cloudflare) automatically collect certain information in logs. This may include IP addresses, device information, browser type, date and time of access, and error logs when you use Send That Fax. Purpose: This data is primarily used to ensure the security and stability of the service (e.g., to detect and mitigate misuse such as hacking attempts or spam floods) and to debug issues if something goes wrong (for instance, to investigate why a fax didn’t send). Retention: Server logs are generally stored for a limited period (usually a few weeks up to a few months) and are automatically purged on a rolling basis. We only review log data when necessary for the above purposes. IP addresses could be considered personal data; we treat them confidentially and do not use them to identify you as an individual, but we might use or share them with authorities in case of abuse or attacks as part of our security measures (consistent with our Acceptable Use policy and legal obligations).

3. Third-Party Service Providers (Data Sharing)

To provide the Send That Fax service, we rely on several third-party service providers. We only share data with third parties as needed to operate the service – we do not sell your data or share it for marketing. The main third parties we use and the data shared are:

  • Stripe (Payment Processing): Stripe, Inc. (and its affiliates) processes payments on our behalf. When you pay for our service, the payment form is either embedded from Stripe or you are redirected to Stripe’s secure checkout. Data Shared: Your payment details (credit card or other payment info), email, and payment amount are transmitted to Stripe. Stripe then provides us confirmation of payment. We may also send to Stripe a transaction description (e.g., “Fax to [destination]”) and your email to attach to the payment for receipt purposes. Privacy & Compliance: Stripe is a PCI-DSS compliant payment processor and is GDPR-compliant. Stripe’s privacy policy governs the use of your data by Stripe. We do not store your full card details on our systems.
  • Sinch (Fax Transmission Provider): We use a telecommunications provider (such as Sinch and/or Telnyx) to send the actual fax over the phone network. Data Shared: To transmit your fax, we send the fax content (the document you uploaded, converted into fax format) and the recipient’s fax number to Sinch’s platform. We may also provide a caller ID or header information (which could include our sending number or name, but generally not your personal data unless required). Sinch then attempts the fax and returns a success/failure status. Privacy & Compliance: Sinch (Sinch AB and its subsidiaries) is a reputable global communications provider with GDPR-compliant practices. They act as a data processor for us, using your fax data only to perform the transmission. The fax content is not retained by Sinch beyond what is necessary for delivery and legal compliance.
  • Fly.io (Hosting Provider): Our application is hosted on Fly.io, a cloud hosting platform. All data that you submit to our service (documents, fax numbers, emails, etc.) is stored and processed on servers rented from Fly.io. Data Access: As a hosting provider, Fly.io could technically have access to the data stored on their infrastructure, but they generally do not access customer data unless needed to resolve an infrastructure issue. Privacy: We have a Data Processing Agreement (DPA) with Fly.io or rely on their standard terms which include confidentiality and security commitments. Fly.io may transfer data to different regional data centers; we endeavor to choose servers in regions with strong data protection (e.g., EU) for European user data, but some data might be processed in the United States or other countries depending on service needs. Any transfers outside the EU are protected by appropriate safeguards (like EU Standard Contractual Clauses) in accordance with GDPR.
  • Cloudflare (CDN and Security): We use Cloudflare for DNS hosting, content delivery network (CDN) services, and DDoS protection. When you access our service, your requests pass through Cloudflare’s network. Data Involved: This means Cloudflare may process your IP address, device info, and URL requests to our service for caching and security filtering. Cloudflare also may place a security cookie in your browser (such as a “__cfduid” or similar) to distinguish between legitimate users and malicious traffic. Privacy: Cloudflare acts as a data processor in providing these network services and is GDPR-compliant. They store log data of access to our site for a limited time for troubleshooting and security. Cloudflare does not access the content of your fax documents (which travel to our server after the Cloudflare layer) except insofar as it routes the encrypted traffic. All transmissions between you and our servers through Cloudflare are encrypted (HTTPS).
  • Email Service (if applicable): If we use an email service provider to send out confirmation emails (for example, an SMTP service or a service like SendGrid), then your email address and the content of the email (e.g. a fax confirmation message or receipt) would be processed through that provider. We will ensure any such provider is GDPR-compliant and that communications are sent securely. (As of the last update of this policy, we use standard SMTP through our hosting or email system for sending simple transactional emails, and those would also be handled by the above providers, i.e., by Fly.io or Cloudflare’s email routing, etc.)
  • Legal and Compliance: Aside from the above operational sharing, we may disclose personal data to third parties if required by law or legal process, or to exercise or defend our legal rights. For example, if we receive a lawful subpoena or request from law enforcement, or if necessary to detect or report criminal activity (such as fraudulent use of our service), we may share information as required by law. Additionally, if the Company is involved in a merger, acquisition, or sale of assets, personal data might be transferred to the successor entity under appropriate confidentiality and legal safeguards – you would be notified of any such change.

We ensure that all third-party processors we engage have committed to sufficient data protection measures. We have agreements in place (DPAs) where appropriate, to ensure they only process personal data for our stated purposes and in line with our instructions. Your data will never be sold to any third party for their own use.

4. Data Retention and Deletion

We adhere to principles of data minimization and storage limitation. This means we keep personal data only for as long as necessary to fulfill the purposes described above or as required by law. Below are our practices for data retention and deletion:

  • Fax Content: As noted, uploaded fax documents are deleted immediately after successful sending, or within 24 hours if a fax is not completed. We do not keep copies of your fax content beyond that timeframe. Once deleted, the content cannot be recovered. This automatic deletion applies to both successful faxes and abandoned or failed attempts (in the latter case, deletion might occur at the 24-hour mark or sooner).
  • Account Data: If you have a subscription account, your basic account information (email, password hash, subscription status) is kept until you delete your account or we terminate the service. You can request deletion of your account at any time (see “Your Rights” below), in which case we will remove or anonymize your personal data associated with the account, except for data we are required to keep by law.
  • Transaction and Billing Records: We are required under German commercial and tax law to retain certain data (like invoices, payment records, and related customer data) for up to 10 years. Therefore, even if you request deletion, we may need to retain information such as your name (if provided), email, and transaction details in our financial records until the legal retention period expires. However, we will not use this information for any other purpose and will restrict access to it. After the retention period, we will delete or anonymize such data.
  • Logs: Technical logs (including IP addresses) are generally retained for a short duration as mentioned (weeks or a few months) and then automatically deleted. Some security-related logs might be kept longer if needed for investigation of abuse, but they are also removed once resolved.
  • Backups: Our systems may create backup copies of data for reliability. These backups are securely stored and rotate out after a short period. So even after deletion from our active systems, residual data might exist in backups for a limited time (typically no more than a few weeks) before those backups are overwritten. We treat backup data with the same security as live data and will purge or secure erase backups in accordance with our data retention policies.
  • User-Initiated Deletion: If you specifically request deletion of your personal data (e.g., you email us to delete your email and any records associated with it), we will review and comply with the request as far as legally and technically feasible. We will delete or anonymize data that we are not legally required to keep. For any data that we must retain (such as billing records), we will inform you of this and ensure it is blocked from routine use and only kept for the required period. Once that period ends, we will delete it.

In summary, all fax content and similar transient data are quickly purged, and identifying personal data is kept only as long as needed for providing the service or meeting obligations. If you stop using the service or delete your account, we don’t keep your data indefinitely.

5. Your Rights under GDPR

As a data subject under the GDPR, you have various rights regarding your personal data that we hold. We are committed to upholding these rights. You have the right to:

  • Access Your Data: You can ask us to confirm if we are processing your personal data and request a copy of that data (commonly known as a Data Subject Access Request). This includes information on what data we have about you, the purposes of processing, and the recipients or categories of recipients with whom the data is shared.
  • Rectification: If any personal data we have about you is inaccurate or incomplete, you have the right to request correction or completion of that data. For example, if your email address has changed and you have an account, you can update it, or ask us to update our records.
  • Erasure (Right to be Forgotten): You may request that we delete the personal data we hold about you. We will do so without undue delay, provided that the data is no longer necessary for the purposes for which it was collected or we have no other legal basis to continue processing it. This right is not absolute – for instance, if we are required by law to keep certain data (e.g., transaction records as mentioned above), we cannot delete those immediately. But we will inform you of such retention. If you have an account, you may also be able to perform some deletions yourself (such as removing stored documents or closing your account, which triggers deletion of associated data).
  • Restriction of Processing: You have the right to ask us to restrict (limit) the processing of your data in certain circumstances. For example, if you contest the accuracy of the data, we may restrict processing while verifying; or if you object to processing (see below) we may restrict it while considering your request. Restriction means we will store the data but not use it further until the issue is resolved.
  • Data Portability: For data you provided to us and which we process by automated means on the basis of your consent or in performance of a contract (e.g., if you provided your email and perhaps fax numbers in your account), you have the right to request a copy of that data in a commonly used, machine-readable format, so you can transfer it to another provider. For instance, you can ask for export of your account information. (Note: This right typically does not apply to data that is only in paper or image form, and it may not apply to derived data or data used under legal obligation. In our case, most data is either for contract or legal compliance, but we will do our best to honor portability requests where feasible.)
  • Object to Processing: You have the right to object to certain processing activities. If we were to process your data on the basis of our legitimate interests, you can object if you believe your rights outweigh our interests. For example, if in the future we sent newsletters based on a customer relationship, you could object to that. Currently, we do not process your data for marketing, only for service delivery and legal compliance. If you object to processing needed for providing the service (e.g., you don’t want us to use your email or store your data at all), we will of course stop processing, but note that this likely means we cannot continue to provide the service to you. You can object to any processing for direct marketing – however, we currently do not use your data for direct marketing without consent.
  • Withdraw Consent: In cases where we rely on your consent to process data (if any), you have the right to withdraw that consent at any time. For instance, if you gave consent to receive a newsletter, you can opt out at any time. Withdrawal of consent will not affect the lawfulness of processing based on consent before its withdrawal. (In practice, for Send That Fax, we generally process data under contract necessity or legal obligation, not consent, so this may not apply unless we introduce optional features that require consent.)
  • Complaint to Supervisory Authority: If you believe we have processed your personal data unlawfully or not in accordance with GDPR, you have the right to lodge a complaint with a supervisory authority. You can do this in the EU Member State where you reside, work, or where the alleged infringement occurred. Our lead supervisory authority in Germany is likely the Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) in Ansbach, since our company is based in Bavaria. You can contact them or any other relevant data protection authority. We would, however, appreciate the chance to address your concerns directly before you escalate to a regulator – so please feel free to contact us with any complaint and we will try to resolve it in good faith.

Exercising Your Rights: You can exercise any of the above rights by contacting us at [email protected]. Please state clearly what you are requesting, and be prepared to provide information to verify your identity (we need to ensure we’re releasing or modifying data for the correct person). We will respond to requests as soon as possible, and in any case within the GDPR’s required timeframe (usually within one month, extendable by two more months if the request is complex – but we will inform you if an extension is needed).

Please note that these rights might be subject to certain legal limitations. If we cannot comply with a request in whole or in part, we will explain the reason (for example, if you request deletion of data we are legally obliged to keep, we will inform you of that obligation).

6. Data Security Measures

We take the security of your personal data seriously. We implement technical and organizational measures to protect the data we store and process against unauthorized access, alteration, disclosure, or destruction. These measures include:

  • Encryption: All communication between your browser and our service is encrypted using HTTPS/TLS. This means that the documents you upload and any personal data you enter are transmitted securely over the internet. We also encrypt data at rest where appropriate (for example, our databases or storage for fax files are protected by encryption or access controls).
  • Access Controls: Only authorized personnel of Flamingo R&D GmbH (or our direct contractors) who need to process your data for the purposes of operating the service have access to personal data. Access to production systems and databases is restricted and protected by strong authentication (e.g., SSH keys, passwords) and is logged. Our third-party providers (Stripe, Sinch, Fly.io, Cloudflare) have their own stringent security measures and compliance certifications (for instance, Stripe is PCI compliant, Cloudflare and Fly.io maintain high security standards).
  • Data Minimization: We minimize the personal data we store. As described, we do not retain fax content longer than necessary and we avoid collecting data that we don’t need. This way, the potential impact of any data breach would be limited, as fewer sensitive details are stored.
  • Monitoring and Patching: We keep our software and systems updated with security patches. We utilize monitoring to detect suspicious activities or anomalies in our infrastructure. Cloudflare helps filter malicious traffic (like preventing certain attacks).
  • Backups and Recovery: We maintain regular backups to prevent data loss, and those backups are secured. In case of any incident, we have procedures to restore essential services promptly.
  • Employee/Contractor Training: We ensure that anyone who handles personal data within our organization is aware of data protection responsibilities and is trained to handle data securely and in compliance with privacy laws.

Despite all measures, no system can be 100% secure. In the unlikely event of a data breach that poses a risk to your rights and freedoms, we will follow GDPR requirements for breach notification, including informing affected users and relevant authorities as required by law.

7. International Data Transfers

We are based in Germany and aim to process and store data within the European Union whenever feasible. However, some of our third-party service providers (like Stripe, Cloudflare, Fly.io, Sinch) are international companies which might process data on servers outside of the EU (for example, in the United States). Whenever your personal data is transferred to a country outside the European Economic Area (EEA) that does not have an EU Commission adequacy decision, we ensure that appropriate safeguards are in place as required by GDPR Chapter V. These may include:

  • Standard Contractual Clauses (SCCs): We have agreements that incorporate the current EU Standard Contractual Clauses with our service providers, obligating them to protect personal data according to EU standards even when it’s transferred abroad.
  • Privacy Shield Framework (historical): While the EU-U.S. Privacy Shield was invalidated in 2020, companies like Stripe and Cloudflare have since adopted SCCs and other measures. A new EU-U.S. Data Privacy Framework was adopted in 2023; if our providers are certified under that or future frameworks, we may rely on such certifications as well, as applicable.
  • Binding Corporate Rules and Other Certifications: Some providers may have Binding Corporate Rules or ISO 27001 certifications demonstrating robust data protection practices.
  • Our Diligence: We carefully choose reputable providers with strong privacy and security track records. We review their privacy policies and compliance statements to ensure your data will be handled safely.

By using Send That Fax, you understand that your personal data may be transferred to and processed in countries outside your country of residence, including countries that may have different data protection laws. However, we will always protect your data as described in this Privacy Policy and in accordance with GDPR.

If you have questions about international data transfers or want more information about the specific safeguards in place, feel free to contact us.

8. Requests for Data Deletion & Contact Information

If you wish to exercise your right to deletion or any other data rights, or if you have any questions or concerns about your privacy, you can contact us at [email protected]. You may also send correspondence to our postal address: Flamingo Research & Development GmbH, Würmstr. 4, 82319 Starnberg, Germany. We will respond as promptly as possible.

Automatic Data Removal: Note that all uploaded fax documents are automatically removed within 24 hours (often sooner) as part of our normal operations. Therefore, in many cases you might not need to request deletion of the fax content itself. If you abandon a fax and do nothing further, the uploaded file will be gone by the next day. For other data like your email or account info, please reach out to us as described, and we will handle it.

9. Changes to this Privacy Policy

We may update this Privacy Policy from time to time to reflect changes in our practices or legal requirements. If we make material changes, we will notify users by posting a prominent notice on our website or via email, and state the effective date of the new policy. We encourage you to review this Privacy Policy periodically to stay informed about how we are protecting your data. The “last updated” date at the end of this document indicates when the latest changes were made. By continuing to use Send That Fax after updates take effect, you acknowledge the revised policy.

10. Language and Legal Effect

This Privacy Policy is provided in both English and German for your convenience. In case of any conflict or inconsistency, the German version (below) shall prevail as the legally binding version, as it is drafted to comply with German law. The English version is an informative translation. Both versions aim to convey the same principles of data protection.

Deutsche Version (Diese deutsche Fassung der Datenschutzerklärung ist die rechtlich verbindliche Version. Im Falle von Widersprüchen hat die deutsche Version Vorrang vor der englischen Übersetzung.)

1. Einführung

Die Flamingo Research & Development GmbH (nachfolgend “wir” oder “das Unternehmen”) respektiert Ihre Privatsphäre und verpflichtet sich, Ihre personenbezogenen Daten zu schützen. Diese Datenschutzerklärung erläutert, welche Informationen wir sammeln, wenn Sie den Dienst „Send That Fax“ nutzen, wie wir diese Daten verwenden und verarbeiten, und welche Rechte Sie in Bezug auf Ihre Daten haben. Wir verarbeiten personenbezogene Daten in Übereinstimmung mit der EU-Datenschutzgrundverordnung (DSGVO) und den anwendbaren deutschen Datenschutzgesetzen. Verantwortliche Stelle (Data Controller) für den Dienst Send That Fax ist die Flamingo Research & Development GmbH, Würmstr. 4, 82319 Starnberg, Deutschland. Bei Fragen zu dieser Datenschutzerklärung oder zum Datenschutz können Sie uns gerne unter [email protected] kontaktieren.

Hinweis: Der Dienst Send That Fax ist unter Beachtung des Datenschutzes konzipiert – Dokumente, die Sie zum Faxen hochladen, werden nur vorübergehend gespeichert, um den Faxversand durchzuführen, und kurz danach automatisch gelöscht (Details hierzu unten). Wir verkaufen Ihre Daten nicht und nutzen sie auch nicht zu Werbezwecken. Wir erheben nur die minimal erforderlichen Daten, um unseren Service bereitzustellen und zu verbessern sowie um gesetzlichen Pflichten (z.B. Aufbewahrung von Zahlungsbelegen) nachzukommen.

2. Welche Daten wir erheben und zu welchem Zweck

Bei der Nutzung von Send That Fax können wir folgende Datenkategorien erheben und verarbeiten. Nachfolgend erklären wir, welche Daten dies sind und zu welchem Zweck die Verarbeitung erfolgt:

  • Fax-Dokumenteninhalte (hochgeladene Dateien): Wenn Sie ein Dokument hochladen (oder Text eingeben), um es per Fax zu senden, wird der Inhalt dieses Dokuments vorübergehend auf unseren Servern gespeichert. Zweck: Wir verwenden diese Datei ausschließlich, um die von Ihnen gewünschte Fax-Übertragung durchzuführen. Der Inhalt wird an das Faxnetz (über unseren Fax-Provider) übermittelt, um Ihren Auftrag zu erfüllen. Speicherdauer: Hochgeladene Faxdateien werden unmittelbar nach Versand des Faxes gelöscht. Sollten Sie einen Upload beginnen oder ein Fax vorbereiten und die Sitzung dann abbrechen (d.h. das Fax nicht absenden), wird das hochgeladene Dokument innerhalb von 24 Stunden nach dem Upload gelöscht. Wir greifen nicht inhaltlich auf Ihre Dokumente zu und verwenden sie zu keinem anderen Zweck als dem Faxversand.
  • Fax-Details: Um Ihr Fax zu versenden, erfassen wir die Fax-Zielnummer, die Sie eingeben, und verknüpfen sie mit Ihrem Faxauftrag. Außerdem erzeugen und speichern wir möglicherweise bestimmte Metadaten der Übertragung, wie z.B. die Seitenanzahl, Zeitpunkt des Versands und den Übermittlungsstatus (Erfolgs- oder Fehlermeldung) unseres Fax-Providers. Zweck: Diese Daten sind erforderlich, um Ihr Fax korrekt zuzustellen und Ihnen eine Bestätigung über die Zustellung oder einen Fehler zukommen zu lassen. Speicherdauer: Die Faxauftrags-Metadaten (z.B. Protokoll, dass ein Fax am Datum X an Nummer Y gesendet wurde) können für eine gewisse Zeit in unseren Logs oder Datenbanken gespeichert werden, z.B. zur Fehlerbehebung, zur Verbesserung unseres Dienstes und für unsere interne Dokumentation. Diese Metadaten enthalten nicht den eigentlichen Inhalt Ihres Dokuments. Wir behandeln Faxnummern als potentiell personenbezogene Daten (sofern sie einem individuellen Anschluss zugeordnet sind) und schützen sie entsprechend wie andere personenbezogene Daten.
  • Kontaktinformationen des Nutzers: Wenn Sie unseren Dienst nutzen, insbesondere wenn Sie eine Zahlung tätigen, erfassen wir ggf. Ihre E-Mail-Adresse und (falls Sie sie angeben) Ihren Namen bzw. Firmennamen. Bei einzelnen Faxaufträgen ohne Registrierung kann die Angabe einer E-Mail erforderlich sein, um Ihnen den Beleg oder eine Bestätigung zuzusenden. Bei Abonnement-Nutzern wird die E-Mail im Rahmen der Kontoerstellung zusammen mit einem Passwort zur Anmeldung erfasst. Zweck: E-Mail-Adressen nutzen wir, um Ihnen Zahlungsbelege/Quittungen zuzustellen, Ihnen Statusmitteilungen zu Ihrem Fax zu senden (z.B. Bestätigung des Versands oder Fehlermeldungen), und um bei Bedarf mit Ihnen bezüglich Ihres Faxes oder Kontos zu kommunizieren (z.B. Support-Anfragen oder wichtige Informationen zum Dienst). Wenn Sie Abonnent sind, dient Ihre E-Mail zudem als Konto-Login und für aborelevante Kommunikation. Speicherdauer: Wir speichern Ihre E-Mail und Kontoinformationen, solange Ihr Konto besteht bzw. solange dies zur Erbringung unserer Dienste und zur Bearbeitung etwaiger Anliegen erforderlich ist. Wenn Sie kein registrierter Nutzer sind und lediglich ein Einzel-Fax senden, speichern wir Ihre E-Mail-Adresse zusammen mit dem Transaktionsdatensatz (siehe nächster Punkt) nur so lange, wie es für verwaltungstechnische Zwecke (etwa für Rückerstattungen oder die Bearbeitung von Beschwerden) nötig ist, es sei denn, Sie verlangen vorher deren Löschung.
  • Zahlungsinformationen: Wir nutzen Stripe als externen Zahlungsdienstleister, daher erhalten oder speichern wir keine vollständigen Kreditkartennummern oder Bankkontodaten von Ihnen in unserem System. Wenn Sie für unseren Service bezahlen (Einzelfax oder Abo), werden die Zahlungsdaten direkt über sichere Verbindungen an Stripe übermittelt. Stripe stellt uns anschließend nur begrenzte Informationen zum Abschluss der Transaktion zur Verfügung – z.B. eine Transaktions-ID, Kartentyp und die letzten vier Ziffern der Karte, den Zahlungsstatus und Ihre E-Mail (falls Sie diese bei Stripe im Checkout angegeben haben). Zweck: Wir verwenden diese Zahlungsdaten, um zu verifizieren, dass die Zahlung erfolgt ist, um unseren Service zu erbringen (das Fax zu versenden), und zur Führung unserer Buchhaltung/Abrechnungsunterlagen. Speicherdauer: Wir führen Aufzeichnungen über Transaktionen (Betrag, Datum, Stripe-Transaktions-ID, Kunden-E-Mail und Ergebnis) in unseren Finanzunterlagen für Buchführungs-, Prüfungs- und Steuerzwecke. Diese Zahlungsnachweise werden mindestens für die gesetzlich vorgeschriebenen Aufbewahrungsfristen in Deutschland gespeichert (in der Regel 10 Jahre für steuerrelevante Unterlagen) und sind nur autorisiertem Personal zugänglich, das mit Abrechnung oder Compliance betraut ist. Sensible Zahlungsdetails (wie Kartennummern) speichern wir selbst nicht – diese werden ausschließlich von Stripe verarbeitet und verwaltet.
  • Sitzungsdaten und Cookies: Bei Nutzung unserer Web-Oberfläche kann unser System Ihnen eine Sitzungskennung (Session-ID) zuweisen, z.B. in Form eines Cookies in Ihrem Browser, um Ihren Sitzungstatus aufrecht zu erhalten (z.B. das Hochladen eines Dokuments und die Eingabe der Faxnummer zwischenzuspeichern). Zweck: Dies ist notwendig, damit die Webanwendung korrekt funktioniert – es ermöglicht Ihnen, sich auf der Seite zu bewegen, ohne Ihre Eingaben zu verlieren, und es verknüpft die hochgeladene Datei mit Ihrer Sitzung, sodass beim Klicken auf „Senden“ das richtige Dokument gefaxt wird. Speicherdauer: Session-Cookies oder -IDs laufen in der Regel nach kurzer Zeit ab (z.B. wenn Sie den Browser schließen oder nach einer gewissen Inaktivitätsdauer). Spätestens nach 24 Stunden wird eine inaktive Sitzung und die zugehörigen temporären Daten (einschließlich einer ggf. hochgeladenen Datei, wie oben erwähnt) gelöscht. Wir verwenden Session-Cookies nicht, um Sie über Webseiten Dritter hinweg zu tracken, und wir setzen keine Drittanbieter-Analytics-Cookies für Werbung ein. (Beachten Sie jedoch die Beschreibung zu Cloudflare im Abschnitt “Drittanbieter-Services” – zur Sicherheit könnten bestimmte technische Cookies eingesetzt werden.)
  • Logs und technische Daten: Wie bei den meisten Online-Diensten sammeln unsere Server und Infrastrukturdienste (inklusive Fly.io und Cloudflare) automatisch bestimmte Informationen in Protokollen (Logs). Dazu können IP-Adressen, Geräteinformationen, Browsertyp, Zugriffsdatum und -uhrzeit sowie Fehlermeldungen gehören, die bei der Nutzung von Send That Fax anfallen. Zweck: Diese Daten verwenden wir in erster Linie, um die Sicherheit und Stabilität unseres Dienstes zu gewährleisten (z.B. Erkennung und Abwehr von Missbrauch wie Hacking-Versuchen oder Spam-Attacken) und um Fehler zu beheben, falls etwas nicht funktioniert (beispielsweise um zu untersuchen, warum ein Fax nicht versendet werden konnte). Speicherdauer: Server-Logs werden in der Regel nur für einen begrenzten Zeitraum gespeichert (oft einige Wochen bis wenige Monate) und anschließend fortlaufend überschrieben bzw. gelöscht. Wir schauen Log-Daten nur dann an, wenn es für die oben genannten Zwecke notwendig ist. IP-Adressen können als personenbezogene Daten gelten; wir behandeln sie vertraulich und nutzen sie nicht, um Sie als Person zu identifizieren, außer im Falle von Missbrauch oder Angriffen, wo wir sie ggf. im Rahmen von Sicherheitsmaßnahmen an Behörden oder zur Rechtsverfolgung weitergeben (in Einklang mit unseren Nutzungsbedingungen und gesetzlichen Pflichten).

3. Weitergabe von Daten an Dritte (externe Dienstleister)

Für den Betrieb des Dienstes Send That Fax setzen wir mehrere Drittanbieter-Dienstleister ein. Wir geben Daten nur in dem Umfang an Dritte weiter, wie es zur Bereitstellung unseres Dienstes erforderlich ist – wir verkaufen Ihre Daten nicht und teilen sie auch nicht zu Werbezwecken. Die wichtigsten von uns genutzten Drittanbieter und die betreffenden Datentransfers sind:

  • Stripe (Zahlungsabwicklung): Die Abwicklung von Zahlungen erfolgt über Stripe, Inc. (bzw. deren verbundene Unternehmen). Wenn Sie für unseren Service bezahlen, wird das Zahlungsformular entweder von Stripe bereitgestellt oder Sie werden zu Stripes sicherer Bezahlseite weitergeleitet. Übermittelte Daten: Ihre Zahlungsinformationen (Kreditkartendaten oder andere Zahlungsmittel), Ihre E-Mail-Adresse und der Zahlungsbetrag werden an Stripe übermittelt. Stripe teilt uns anschließend mit, ob die Zahlung erfolgreich war, und stellt ggf. Transaktionsdetails bereit. Wir können auch eine Transaktionsbeschreibung (z.B. „Fax an [Zielnummer]“) und Ihre E-Mail-Adresse an Stripe übermitteln, damit der Zahlungsvorgang und die Belegzuordnung klar sind. Datenschutz & Compliance: Stripe entspricht dem PCI-DSS-Standard für Zahlungsdienste und ist DSGVO-konform. Die Verwendung Ihrer Zahlungsdaten durch Stripe richtet sich nach der Stripe-Datenschutzerklärung. Wir selbst speichern keine vollständigen Kartendetails in unserem System.
  • Sinch (Fax-Dienstleister): Für den eigentlichen Faxversand über das Telefonnetz nutzen wir einen Telekommunikationsanbieter wie Sinch (Sinch AB und Tochtergesellschaften) bzw. ggf. Telnyx. Übermittelte Daten: Zum Versand Ihres Faxes übermitteln wir den Faxinhalt (das von Ihnen hochgeladene Dokument, konvertiert ins Faxformat) sowie die Fax-Nummer des Empfängers an die Plattform unseres Providers (z.B. Sinch). Gegebenenfalls übermitteln wir auch Absenderinformationen bzw. Fax-Kopfdaten (etwa unsere Absenderkennung oder Rufnummer), jedoch in der Regel keine persönlichen Daten von Ihnen, es sei denn, dies wäre erforderlich. Sinch führt den Faxversand durch und liefert uns einen Status zurück (erfolgreich/fehlgeschlagen). Datenschutz: Sinch ist ein etablierter globaler Kommunikationsdienstleister und agiert als Auftragsverarbeiter für uns, der Ihre Faxdaten nur zur Durchführung der Übertragung nutzt. Sinch handelt gemäß unseren Weisungen und behält den Faxinhalt nicht länger als für die Zustellung bzw. Erfüllung gesetzlicher Aufbewahrungspflichten nötig. Sinch verfügt über Datenschutzmaßnahmen im Einklang mit der DSGVO.
  • Fly.io (Hosting-Anbieter): Unsere Anwendung wird auf Servern der Plattform Fly.io gehostet. Sämtliche Daten, die Sie an unseren Dienst übermitteln (Dokumente, Faxnummern, E-Mails etc.), werden auf Servern gespeichert und verarbeitet, die wir von Fly.io angemietet haben. Datenzugriff: Als Hosting-Provider könnte Fly.io technisch Zugriff auf die auf ihren Servern liegenden Daten haben, sie greifen jedoch üblicherweise nicht auf Kundendaten zu, außer es ist zur Behebung von Infrastrukturproblemen erforderlich. Datenschutz: Wir haben mit Fly.io entsprechende Vereinbarungen (z.B. einen Data Processing Addendum) oder stützen uns auf deren Standardbedingungen, die Vertraulichkeit und Sicherheit Ihrer Daten sicherstellen. Fly.io kann Daten in verschiedenen Rechenzentrumsregionen verarbeiten; wir bemühen uns, Server in Regionen mit hohem Datenschutz (z.B. EU-Rechenzentren) zu nutzen, um europäische Nutzerdaten zu verarbeiten. Dennoch kann es je nach Serviceerfordernis vorkommen, dass Daten auch in die USA oder andere Länder transferiert werden. Alle etwaigen Übermittlungen außerhalb der EU erfolgen jedoch nur mit geeigneten Schutzmechanismen (z.B. EU-Standardvertragsklauseln) gemäß DSGVO.
  • Cloudflare (CDN und Sicherheit): Wir setzen Cloudflare für DNS-Hosting, Content Delivery Network (CDN) und DDoS-Schutz ein. Wenn Sie auf unseren Service zugreifen, laufen Ihre Verbindungsanfragen über das Netzwerk von Cloudflare. Betroffene Daten: Dadurch verarbeitet Cloudflare unter Umständen Ihre IP-Adresse, Geräteinformationen und die aufgerufenen Ressourcen-URLs unseres Dienstes zum Zweck der Zwischenspeicherung (Caching) und Sicherheitsüberprüfung. Cloudflare kann auch ein Sicherheits-Cookie in Ihrem Browser setzen (wie z.B. “__cfduid” oder ähnliche), um zwischen legitimen Nutzern und bösartigem Traffic unterscheiden zu können. Datenschutz: Cloudflare agiert als Auftragsverarbeiter, der diese Netzwerkdienste für uns bereitstellt, und ist DSGVO-konform. Cloudflare speichert Zugriffs- und Traffic-Daten zu unserem Dienst für einen begrenzten Zeitraum, hauptsächlich für Fehlersuche und Sicherheitszwecke. Cloudflare greift nicht auf den Inhalt Ihrer Faxdokumente selbst zu (die nach Passieren des Cloudflare-Netzwerks auf unserem Server verarbeitet werden), abgesehen davon, dass verschlüsselte Datenübertragungen durchgeleitet werden. Alle Daten zwischen Ihrem Browser und unserem Server über Cloudflare sind mittels HTTPS verschlüsselt.
  • E-Mail-Dienst (sofern zutreffend): Falls wir einen E-Mail-Dienstleister für den Versand von Bestätigungs- oder Benachrichtigungs-E-Mails nutzen (z.B. einen SMTP-Relay oder Dienste wie SendGrid), würden Ihre E-Mail-Adresse und der E-Mail-Inhalt (z.B. Faxbestätigung oder Beleg) über diesen Anbieter verarbeitet. Wir stellen sicher, dass ein solcher Anbieter DSGVO-konform arbeitet und die Kommunikation sicher erfolgt. (Stand der letzten Aktualisierung dieser Erklärung versenden wir unsere Transaktions-E-Mails entweder über unsere eigene Serverinfrastruktur oder über Diensten, die bereits genannt wurden, d.h. letztlich über Fly.io oder Cloudflare’s E-Mail-Routing. In jedem Fall behandeln wir Ihre E-Mail mit Vertraulichkeit.)
  • Gesetzliche Anforderungen: Abgesehen von den oben genannten betrieblichen Weitergaben kann es vorkommen, dass wir personenbezogene Daten an Dritte weitergeben müssen, wenn wir gesetzlich dazu verpflichtet sind oder um unsere Rechte auszuüben oder zu verteidigen. Beispiel: Wenn wir eine rechtmäßige Anfrage von Strafverfolgungsbehörden (z.B. Vorladung oder Gerichtsbeschluss) erhalten, oder wenn es notwendig ist, Straftaten (wie Betrug oder Missbrauch unseres Dienstes) aufzudecken oder zu melden, können wir entsprechende Informationen herausgeben, soweit gesetzlich zulässig oder vorgeschrieben. Sollte unser Unternehmen ferner an einer Fusion, Übernahme oder einem Verkauf beteiligt sein, könnten personenbezogene Daten im Zuge dieser Transaktion an die Rechtsnachfolger übertragen werden – natürlich unter Beachtung von Vertraulichkeit und geltenden Datenschutzgesetzen. In einem solchen Fall würden wir die Nutzer entsprechend informieren.

Wir stellen sicher, dass alle von uns beauftragten Auftragsverarbeiter ausreichende Datenschutzmaßnahmen zugesichert haben. Mit vielen haben wir Auftragsverarbeitungsverträge (AVV) abgeschlossen oder wir stützen uns auf deren garantierte Standards, um sicherzustellen, dass personenbezogene Daten ausschließlich für unsere definierten Zwecke und nach unseren Weisungen verarbeitet werden. Ihre Daten werden niemals verkauft oder unbefugt an Dritte zu deren eigenen Zwecken weitergegeben.

4. Datenspeicherung und Löschung

Wir halten uns an die Datenschutzgrundsätze der Datenminimierung und Speicherbegrenzung. Das bedeutet, wir bewahren personenbezogene Daten nur so lange auf, wie es für die Erfüllung der genannten Zwecke erforderlich ist oder wie es gesetzliche Vorschriften verlangen. Unsere Praxis bezüglich Aufbewahrung und Löschung von Daten ist wie folgt:

  • Fax-Inhalte: Wie oben beschrieben, werden hochgeladene Fax-Dokumente direkt nach dem erfolgreichen Versand bzw. innerhalb von 24 Stunden bei nicht ausgeführten Faxen gelöscht. Wir behalten keine Kopien Ihrer Fax-Inhalte darüber hinaus. Nach der Löschung können diese Inhalte nicht wiederhergestellt werden. Diese automatische Löschung erfolgt sowohl für erfolgreich versendete Faxe als auch für abgebrochene/fehlgeschlagene Versuche (in letzteren Fällen erfolgt die Löschung spätestens nach 24 Stunden).
  • Kontodaten: Wenn Sie ein Abonnement-Konto eingerichtet haben, speichern wir Ihre Basis-Kontoinformationen (E-Mail, Passwort-Hash, Abostatus) so lange, bis Sie Ihr Konto löschen oder wir den Dienst einstellen. Sie können jederzeit die Löschung Ihres Kontos beantragen (siehe Abschnitt „Ihre Rechte“ unten); in diesem Fall werden wir Ihre personenbezogenen Kontodaten entfernen oder anonymisieren, mit Ausnahme der Daten, die wir aufgrund gesetzlicher Pflichten weiterhin vorhalten müssen.
  • Transaktions- und Abrechnungsdaten: Nach deutschem Handels- und Steuerrecht sind wir verpflichtet, bestimmte Daten (wie Rechnungen, Zahlungsbelege und dazugehörige Kundendaten) bis zu 10 Jahre aufzubewahren. Daher kann es sein, dass wir selbst nach einer Lösch-Anfrage bestimmte Informationen (z.B. Ihren Namen, falls angegeben, E-Mail-Adresse und Transaktionsdetails) in unseren Finanzunterlagen bis zum Ablauf der gesetzlichen Frist gespeichert halten müssen. Diese Daten werden jedoch nicht für andere Zwecke genutzt und der Zugriff darauf wird eingeschränkt. Nach Ablauf der Aufbewahrungsfrist werden wir diese Daten löschen oder anonymisieren.
  • Protokolle: Technische Protokolldateien (inkl. IP-Adressen) werden wie erwähnt in der Regel nur für kurze Zeiträume gespeichert (Wochen oder wenige Monate) und dann automatisch gelöscht. Einige sicherheitsrelevante Logs könnten länger aufbewahrt werden, falls sie zur Untersuchung von Missbrauchsfällen benötigt werden, werden aber ebenfalls gelöscht, sobald der Zweck erfüllt ist.
  • Backups: Unser System erstellt zu Zwecken der Datensicherheit und -integrität regelmäßige Backups. Diese Sicherungen werden geschützt aufbewahrt und nach einer gewissen Zeit durch neuere Backups überschrieben. Das heißt, selbst nach einer Löschung in den aktiven Systemen könnten Datenreste noch für kurze Zeit in Backups vorhanden sein (typischerweise nicht länger als wenige Wochen), bevor auch diese Backups planmäßig überschrieben werden. Wir behandeln Backup-Daten mit der gleichen Vertraulichkeit wie Live-Daten und löschen/überschreiben Sicherungen gemäß unseren Aufbewahrungsrichtlinien.
  • Vom Nutzer veranlasste Löschung: Wenn Sie uns aktiv zur Löschung Ihrer personenbezogenen Daten auffordern (z.B. per E-Mail die Entfernung Ihrer E-Mail-Adresse und aller dazugehörigen Daten verlangen), prüfen wir Ihre Anfrage und werden ihr – soweit rechtlich und technisch möglich – nachkommen. Wir löschen oder anonymisieren alle Daten, die wir nicht aus rechtlichen Gründen aufbewahren müssen. Für Daten, die wir behalten müssen (z.B. Abrechnungsunterlagen), werden wir Sie über die Erforderlichkeit informieren und sicherstellen, dass diese Daten für die normale Nutzung gesperrt sind und nur noch zur Erfüllung der gesetzlichen Pflichten vorgehalten werden. Nach Ablauf der jeweiligen Fristen werden auch diese Daten gelöscht.

Zusammenfassend gilt: sämtliche Faxinhalte und ähnlich transiente Daten werden zeitnah gelöscht, und identifizierende personenbezogene Daten speichern wir nur so lange, wie es für die Leistungserbringung oder die Erfüllung gesetzlicher Pflichten notwendig ist. Wenn Sie den Dienst nicht mehr nutzen oder Ihr Konto löschen, bewahren wir Ihre Daten nicht länger als nötig auf.

5. Ihre Rechte nach DSGVO

Als betroffene Person im Sinne der DSGVO haben Sie verschiedene Rechte in Bezug auf die personenbezogenen Daten, die wir über Sie gespeichert haben. Wir sind verpflichtet und bestrebt, diese Rechte zu gewährleisten. Sie haben insbesondere das Recht:

  • Auskunft über Ihre Daten: Sie können von uns eine Bestätigung darüber verlangen, ob wir personenbezogene Daten von Ihnen verarbeiten, und Auskunft über diese Daten erhalten (Art. 15 DSGVO). Dazu gehören Informationen über die Verarbeitungszwecke, die Kategorien der Daten, die Empfänger bzw. Kategorien von Empfängern, an die Daten weitergegeben werden, und – soweit möglich – die geplante Speicherdauer. Außerdem haben Sie das Recht, eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zu erhalten.
  • Berichtigung: Sollten wir unrichtige oder unvollständige personenbezogene Daten von Ihnen gespeichert haben, haben Sie das Recht, die Berichtigung dieser Daten zu verlangen (Art. 16 DSGVO). Beispielsweise können Sie eine Aktualisierung Ihrer E-Mail-Adresse verlangen, falls diese falsch oder veraltet ist, oder die Korrektur etwaiger Schreibfehler in Ihrem Namen.
  • Löschung (Recht auf Vergessenwerden): Sie haben das Recht, die Löschung der bei uns gespeicherten personenbezogenen Daten zu verlangen (Art. 17 DSGVO). Wir werden diesem Wunsch unverzüglich nachkommen, sofern einer der in Art. 17 DSGVO genannten Gründe zutrifft – etwa wenn die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind oder Sie Ihre Einwilligung widerrufen und es an einer anderweitigen Rechtsgrundlage fehlt. Beachten Sie, dass dieses Recht Einschränkungen unterliegen kann. Insbesondere müssen wir Daten, für die eine gesetzliche Aufbewahrungspflicht besteht (z.B. steuerrelevante Abrechnungsdaten), ggf. bis zum Fristablauf speichern. In solchen Fällen sperren wir die Daten jedoch für andere Zwecke. Wenn Sie ein Konto bei uns haben, können Sie die Löschung vieler Daten auch selbst veranlassen, indem Sie z.B. Ihr Konto schließen – dadurch werden die meisten Ihrer Daten aus unseren aktiven Systemen entfernt, vorbehaltlich der genannten Ausnahmen.
  • Einschränkung der Verarbeitung: Sie haben das Recht, von uns die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen (Art. 18 DSGVO), wenn eine der Voraussetzungen hierfür gegeben ist. Dies kann z.B. der Fall sein, wenn Sie die Richtigkeit der Daten bestreiten (für die Dauer, die wir benötigen, um die Richtigkeit zu überprüfen), oder wenn Sie Widerspruch gegen die Verarbeitung eingelegt haben (für die Dauer der Prüfungsphase). Wenn die Verarbeitung eingeschränkt ist, dürfen wir Ihre Daten – abgesehen von der Speicherung – nur noch mit Ihrer Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen Person verarbeiten.
  • Datenübertragbarkeit: Soweit anwendbar, haben Sie das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und Sie haben das Recht, diese Daten einem anderen Verantwortlichen zu übermitteln (Art. 20 DSGVO). Dieses Recht gilt, sofern die Verarbeitung auf Ihrer Einwilligung oder auf einem Vertrag beruht und mithilfe automatisierter Verfahren erfolgt. Konkret bedeutet dies, dass Sie z.B. eine elektronische Kopie der Daten in Ihrem Konto oder der von Ihnen eingegebenen Informationen anfordern können, um sie einem anderen Faxdienst-Anbieter zu übergeben. (Hinweis: Dieses Recht gilt nicht für Daten, die wir nicht in einem strukturierten Format vorhalten, und auch nicht für solche Daten, die wir aufgrund gesetzlicher Pflichten oder für öffentliche Interessen verarbeiten. In unserem Fall werden die meisten Daten aufgrund Vertragsdurchführung oder gesetzlicher Vorgaben verarbeitet; dennoch werden wir, sofern technisch machbar, Ihrem Wunsch auf Datenübertragbarkeit entsprechen, etwa indem wir relevante Datenauszüge bereitstellen.)
  • Widerspruch gegen die Verarbeitung: Sie haben das Recht, Widerspruch gegen bestimmte Verarbeitungen Ihrer personenbezogenen Daten einzulegen (Art. 21 DSGVO). Dies betrifft insbesondere Verarbeitungen, die wir auf Grundlage eines berechtigten Interesses vornehmen. Sollten wir z.B. in Zukunft Daten für Direktwerbung verwenden (was wir derzeit nicht tun), könnten Sie jederzeit Widerspruch gegen diese Verwendung einlegen. Momentan verarbeiten wir Ihre Daten hauptsächlich zur Vertragserfüllung und zur Erfüllung rechtlicher Pflichten – in solchen Fällen besteht ein Widerspruchsrecht nur, wenn sich aus Ihrer besonderen Situation Gründe ergeben, die gegen diese Verarbeitung sprechen. Bitte beachten Sie: Wenn Sie der Verarbeitung von Daten widersprechen, die für die Erbringung unseres Dienstes essentiell sind (z.B. Verwendung Ihrer E-Mail für Zustellbenachrichtigungen oder Speicherung Ihrer Faxdaten während des Versands), können wir Ihnen den Dienst möglicherweise nicht weiter anbieten. Wir werden Sie im Falle eines Widerspruchs über die Konsequenzen informieren.
  • Widerruf einer Einwilligung: Soweit wir personenbezogene Daten auf Basis Ihrer Einwilligung verarbeiten (was bei Send That Fax derzeit in der Regel nicht der Fall ist, da die meisten Verarbeitungen auf Vertragsbasis oder gesetzlichen Pflichten beruhen), haben Sie das Recht, diese Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen (Art. 7 Abs.3 DSGVO). Ein Widerruf berührt nicht die Rechtmäßigkeit der Verarbeitung bis zum Zeitpunkt des Widerrufs. Sollte es z.B. eine Option geben, freiwillig Newsletter zu abonnieren und Sie haben eingewilligt, können Sie diese Einwilligung jederzeit widerrufen (z.B. durch Abbestellen des Newsletters). Nach Widerruf werden wir die entsprechenden Datenverarbeitungen einstellen, soweit keine andere Rechtsgrundlage eingreift.
  • Beschwerde bei einer Aufsichtsbehörde: Wenn Sie der Ansicht sind, dass wir Ihre personenbezogenen Daten unrechtmäßig verarbeiten oder Ihre Datenschutzrechte verletzen, haben Sie das Recht, Beschwerde bei einer Datenschutz-Aufsichtsbehörde einzulegen (Art. 77 DSGVO). Sie können dies bei der Aufsichtsbehörde Ihres üblichen Aufenthaltsortes, Ihres Arbeitsplatzes oder unseres Unternehmenssitzes tun. In Deutschland ist beispielsweise für uns als in Bayern ansässiges Unternehmen das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) zuständig. Die Kontaktdaten der BayLDA sind öffentlich einsehbar (Adresse: Promenade 27 (Schloss), 91522 Ansbach, Deutschland). Selbstverständlich würden wir es bevorzugen, wenn Sie zunächst uns die Möglichkeit geben, Ihr Anliegen direkt zu klären, bevor Sie eine Beschwerde einreichen – Sie können sich also gerne zuerst an uns wenden und wir werden versuchen, eine zufriedenstellende Lösung zu finden.

Wie Sie Ihre Rechte ausüben können: Sie können sich jederzeit unter [email protected] mit Ihrem Anliegen an uns wenden. Bitte geben Sie dabei an, welches Recht Sie ausüben möchten und, falls nötig, relevante Details (z.B. welche Daten Sie einsehen oder löschen lassen möchten). Zur Bestätigung Ihrer Identität kann es erforderlich sein, dass Sie uns bestimmte Informationen zur Verfügung stellen (damit keine unbefugte Person Ihre Daten anfordert oder löschen lässt). Wir werden auf Ihre Anfrage so schnell wie möglich reagieren, spätestens jedoch innerhalb der gesetzlich vorgegebenen Frist von in der Regel einem Monat. Sollte eine Anfrage komplex sein oder uns eine Vielzahl von Anfragen vorliegen, können wir die Frist um bis zu zwei weitere Monate verlängern; in diesem Fall werden wir Sie jedoch innerhalb eines Monats über die Verzögerung und deren Gründe informieren.

Bitte beachten Sie, dass einige Rechte Einschränkungen unterliegen können. Wenn wir einer Anfrage nicht vollständig nachkommen können, werden wir Ihnen die Gründe dafür mitteilen. Beispielsweise könnten wir eine Löschanfrage ablehnen oder teilweise erfüllen müssen, wenn wir bestimmte Daten noch gesetzlich vorhalten müssen.

6. Datensicherheit

Wir treffen technische und organisatorische Sicherheitsmaßnahmen, um Ihre personenbezogenen Daten vor unbefugtem Zugriff, Verlust oder Missbrauch zu schützen. Hier ein Überblick über wesentliche Maßnahmen:

  • Verschlüsselung: Die Kommunikation zwischen Ihrem Browser und unserem Dienst erfolgt ausnahmslos über eine verschlüsselte TLS/HTTPS-Verbindung. Das bedeutet, dass Dokumente, die Sie hochladen, und alle personenbezogenen Daten, die Sie eingeben, sicher über das Internet übertragen werden. Auch bei der Speicherung setzen wir, wo angebracht, auf Verschlüsselung oder sichere Zugriffsverfahren. Beispielsweise sind sensible Informationen in unserer Datenbank passwortgeschützt oder verschlüsselt gespeichert, und Zugriff darauf besteht nur über sichere Authentifizierung.
  • Zugriffsbeschränkung: Der Zugriff auf personenbezogene Daten innerhalb unseres Unternehmens ist strikt auf diejenigen Mitarbeiter oder beauftragten Dienstleister beschränkt, die diese Informationen zur Erfüllung ihrer Aufgaben für den Dienst benötigen. Der Zugang zu Produktivsystemen und Datenbanken ist durch Authentifizierungsmethoden (z.B. sichere Passwörter, SSH-Schlüssel, Zwei-Faktor-Authentifizierung) geschützt und die Zugriffe werden protokolliert. Unsere Drittanbieter (Stripe, Sinch, Fly.io, Cloudflare) verfügen über eigene strenge Sicherheitsstandards und Zertifizierungen (z.B. PCI-Konformität bei Stripe, ISO-Zertifizierungen, SOC-Berichte etc.).
  • Datenminimierung: Wir speichern nur diejenigen personenbezogenen Daten, die wir wirklich benötigen. Wie in dieser Erklärung beschrieben, werden z.B. Faxinhalte sehr schnell gelöscht und wir erheben keine unnötigen Datenfelder. Durch diese Minimierung verringert sich auch das Risiko, das mit etwaigen Datenpannen einherginge, da schlicht weniger sensible Daten vorhanden sind.
  • Systemaktualisierungen und Überwachung: Wir halten unsere Systemsoftware auf dem aktuellen Stand und spielen zeitnah Sicherheitsupdates ein. Zusätzlich nutzen wir Überwachungs- und Alarmierungssysteme, um ungewöhnliche Aktivitäten oder verdächtige Zugriffsversuche zu erkennen. Cloudflare hilft uns, schädliche Zugriffe (wie bestimmte Arten von Angriffen) bereits vorgelagert abzuwehren.
  • Backups und Notfallpläne: Wir fertigen regelmäßige Datensicherungen an, um im Falle eines technischen Problems oder Datenverlusts eine Wiederherstellung zu ermöglichen. Diese Backups werden ebenfalls geschützt aufbewahrt. Für Notfälle (z.B. Serverausfälle) existieren Prozesse und Routinen, um den Dienst schnellstmöglich wiederherzustellen und Datenintegrität zu überprüfen.
  • Schulung und Sensibilisierung: Wir sorgen dafür, dass alle Personen, die bei uns mit personenbezogenen Daten umgehen, über die datenschutzrechtlichen Anforderungen informiert sind und in sicheren Datenverarbeitungspraktiken geschult werden. Vertraulichkeitsverpflichtungen und Datenschutz sind integraler Bestandteil unserer Unternehmenspraxis.

Trotz aller Maßnahmen kann leider keine Internet-Übertragung und keine Speichermethode 100%ig sicher sein. Im unwahrscheinlichen Fall einer Datenschutzverletzung, die mit Risiken für Ihre Rechte und Freiheiten verbunden ist (z.B. ein Data Breach, bei dem personenbezogene Daten unbefugt offengelegt wurden), werden wir gemäß den gesetzlichen Vorgaben vorgehen. Das bedeutet insbesondere, dass wir – sofern erforderlich – die zuständige Aufsichtsbehörde innerhalb von 72 Stunden informieren und ebenfalls die betroffenen Personen benachrichtigen werden, sollte dies gesetzlich verlangt sein. Wir versichern, dass wir in einem solchen Fall transparent informieren und zügig Maßnahmen zur Schadensbegrenzung ergreifen.

7. Internationale Datenübermittlungen

Wir haben unseren Sitz in Deutschland und bemühen uns, Daten soweit möglich innerhalb der Europäischen Union zu verarbeiten und zu speichern. Allerdings greifen wir, wie oben beschrieben, auf internationale Dienstleister zurück (wie Stripe, Cloudflare, Fly.io, Sinch), die unter Umständen Daten auf Servern außerhalb der EU/des EWR verarbeiten (z.B. in den USA). Immer wenn Ihre personenbezogenen Daten in ein Land außerhalb des Europäischen Wirtschaftsraums (EWR) übertragen werden, das kein angemessenes Datenschutzniveau laut EU-Kommission bietet, stellen wir sicher, dass angemessene Schutzmaßnahmen gemäß Kapitel V DSGVO implementiert sind. Dazu gehören zum Beispiel:

  • EU-Standardvertragsklauseln (Standard Contractual Clauses, SCCs): Mit vielen unserer Dienstleister haben wir Vereinbarungen getroffen, die die aktuellen Standardvertragsklauseln der EU-Kommission enthalten. Dadurch verpflichten sich diese Dienstleister vertraglich, europäische Datenschutzstandards auch bei einer Verarbeitung in Drittstaaten einzuhalten.
  • Datenübermittlungsabkommen und Zertifizierungen: Einige Anbieter haben unternehmensinterne verbindliche Datenschutzvorschriften (Binding Corporate Rules) oder vergleichbare Zertifizierungen. Zudem gab es 2023 die Einführung des neuen EU-US Data Privacy Framework. Soweit unsere US-Dienstleister dafür zertifiziert sind, können Übermittlungen in die USA darauf gestützt werden. Unabhängig davon stützen wir uns primär auf SCCs und zusätzliche Sicherheitsmaßnahmen.
  • Zusätzliche Sicherheitsvorkehrungen: Wo erforderlich, setzen wir zusätzliche Verschlüsselung ein oder beschränken Daten auf EU-Server. Bei Cloudflare z.B. haben wir (Stand jetzt) aktiviert, dass primäre Datenzentren in der EU bevorzugt werden, jedoch kann aufgrund der globalen CDN-Funktionalität ein Datenfluss global nicht vollkommen ausgeschlossen werden – hierfür greifen dann die vertraglichen Garantien.
  • Sorgfältige Anbieterauswahl: Wir wählen nur renommierte Dienstleister mit hohem Sicherheits- und Datenschutzstandard aus. Diese Unternehmen (Stripe, Cloudflare, etc.) haben öffentlich zugängliche Informationen zu ihrem Datenschutz und ihren getroffenen Maßnahmen, die wir geprüft haben. So ist bspw. Stripe nicht nur nach PCI, sondern auch nach SOC 2 zertifiziert, Cloudflare hat ISO 27001 Zertifizierungen, usw.

Durch die Nutzung von Send That Fax erklären Sie sich damit einverstanden, dass Ihre personenbezogenen Daten – soweit zur Erbringung des Dienstes erforderlich – auch außerhalb Ihres Heimatlandes verarbeitet werden können, einschließlich in Ländern mit einem anderen Datenschutzniveau als in der EU. Wir stellen jedoch sicher, dass Ihre Daten stets gemäß dieser Datenschutzerklärung und den Anforderungen der DSGVO geschützt werden.

Wenn Sie Fragen zu unseren internationalen Datenübermittlungen haben oder weitere Details zu den getroffenen Schutzmaßnahmen wünschen, können Sie uns gerne kontaktieren.

8. Anfragen zur Datenlöschung & Kontaktinformationen

Wenn Sie von Ihrem Recht auf Löschung Gebrauch machen möchten oder eines der in Abschnitt 5 genannten Rechte ausüben wollen, oder wenn Sie sonstige Fragen oder Anliegen zum Thema Datenschutz bei uns haben, können Sie uns jederzeit unter [email protected] kontaktieren. Alternativ können Sie uns auch postalisch erreichen: Flamingo Research & Development GmbH, Würmstr. 4, 82319 Starnberg, Deutschland. Wir werden uns so schnell wie möglich um Ihr Anliegen kümmern.

Automatisierte Datenentfernung: Bitte beachten Sie, dass alle von Ihnen hochgeladenen Fax-Dokumente innerhalb von 24 Stunden automatisch entfernt werden, oft sogar deutlich früher. In vielen Fällen müssen Sie also für die Löschung des Fax-Inhalts selbst gar nichts weiter veranlassen. Wenn Sie z.B. ein Fax hochgeladen, aber nicht abgesendet haben, wird die Datei am nächsten Tag automatisch von unserem Server gelöscht. Bezüglich anderer Daten wie Ihrer E-Mail oder Kontoinformationen können Sie uns – wie oben beschrieben – jederzeit ansprechen, und wir werden uns umgehend um die Umsetzung Ihrer Lösch- oder Zugriffsersuchen kümmern.

9. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren, um Änderungen unserer Datenverarbeitungspraktiken oder geänderten gesetzlichen Anforderungen Rechnung zu tragen. Bei wesentlichen Änderungen werden wir die Nutzer durch einen gut sichtbaren Hinweis auf unserer Website und/oder per E-Mail über die Änderung informieren. Am Anfang dieser Erklärung sehen Sie das Datum der letzten Aktualisierung. Wir empfehlen Ihnen, die Datenschutzerklärung gelegentlich erneut durchzulesen, um über den Schutz Ihrer Daten informiert zu bleiben. Wenn Sie den Dienst Send That Fax nach Inkrafttreten einer Aktualisierung weiterhin nutzen, gilt dies als Anerkennung der überarbeiteten Datenschutzbestimmungen.

10. Sprache und rechtliche Wirksamkeit

Diese Datenschutzerklärung ist in deutscher und englischer Sprache verfügbar. Im Falle von Widersprüchen oder Unstimmigkeiten zwischen den Versionen ist die deutsche Fassung maßgeblich und rechtlich bindend, da sie speziell nach deutschem Recht formuliert ist. Die englische Version dient als Hilfsübersetzung zur leichteren Verständlichkeit. Beide Versionen verfolgen das Ziel, denselben Datenschutz-Grundsätzen Ausdruck zu verleihen.

(Stand dieser Datenschutzerklärung: März 2025)