Datenschutzerklärung
Stand: April 2026 · Rechtsstand: Deutschland/EU
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO):
Gonzi Tech UG (haftungsbeschränkt)
An der Mannsfaust 10 · 60599 Frankfurt am Main · Deutschland
Tel.: +49 69 247422680
E-Mail: [email protected]
Website: unseenr.io
2. Übersicht der Verarbeitungen
Diese Datenschutzerklärung betrifft zwei Rollen, in denen wir personenbezogene Daten verarbeiten:
- Als Verantwortlicher (Art. 4 Nr. 7 DSGVO): Wir verarbeiten Daten von Nutzern unserer Plattform (Kontodaten, Zahlungsdaten, technische Zugriffsdaten).
- Als Auftragsverarbeiter (Art. 28 DSGVO): Wenn Kunden über unser SDK Fehler-Events einliefern, verarbeiten wir diese Daten ausschließlich im Auftrag unserer Kunden. Die Kunden sind für diese Daten selbst Verantwortliche. Details siehe Ziffer 13.
3. Automatisch erhobene Zugriffsdaten (Server-Logfiles)
Bei jedem Aufruf unserer Website werden vom Webserver automatisch Zugriffsdaten erfasst:
- Aufgerufene URL und HTTP-Methode
- Datum und Uhrzeit des Zugriffs
- Übertragene Datenmenge und HTTP-Statuscode
- Referrer-URL (vorher besuchte Seite, falls übermittelt)
- Browser-Typ und Betriebssystem (User-Agent)
- IP-Adresse (nach Verarbeitung anonymisiert gespeichert)
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betriebssicherheit und Missbrauchsschutz).
Speicherdauer: Max. 30 Tage, dann automatische Löschung.
4. Hosting und Infrastruktur
4.1 Hetzner Online GmbH (Primäres Hosting)
Wir betreiben unsere Server ausschließlich bei der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland. Alle Kundendaten (Fehler-Events, Session Replays, Datenbankinhalte) werden auf Hetzner-Servern in der EU gespeichert. Ein Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO ist abgeschlossen. Hetzner ist nach ISO 27001 zertifiziert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b, f DSGVO.
4.2 Region-Worker und Uptime-Monitoring (Hetzner Cloud, USA)
Für Uptime-Checks setzen wir sogenannte Region-Worker ein. Diese laufen auf folgenden Hetzner-Cloud-Standorten:
- FSN1 (Falkenstein, Deutschland) – EU: Vollständiger Worker inkl. Event-Verarbeitung. Alle Daten verbleiben in der EU.
- HEL1 (Helsinki, Finnland) – EU: Reiner Uptime-Worker, kein Datenbankzugriff.
- ASH (Ashburn, Virginia, USA) – Nicht-EU: Reiner Uptime-Worker für Monitoring aus dem nordamerikanischen Raum.
Was der US-Worker tut: Der ASH-Worker sendet ausschließlich HTTP-GET- oder HTTP-HEAD-Anfragen an die vom Kunden konfigurierten Monitor-URLs (externe Zieladressen). Der Worker liest dabei keinerlei Antwort-Inhalte aus. Zurückübermittelt werden ausschließlich:
- HTTP-Statuscode (z.B. 200, 503)
- Antwortzeit in Millisekunden (z.B. 145 ms)
- Zeitstempel der Prüfung (UTC)
- Die überwachte URL (vom Kunden selbst konfiguriert)
Was der US-Worker ausdrücklich NICHT tut:
- Kein Zugriff auf die Unseenr-Datenbank oder Kundendaten
- Keine Extraktion von Antwort-Inhalten, Headers oder personenbezogenen Daten aus den überwachten URLs
- Keine Speicherung von Daten auf US-Systemen – Ergebnisse werden direkt an den EU-Server übertragen
Die Drittlandübertragung (EU → USA) beschränkt sich auf diese technischen Monitoring-Messdaten (Statuscode, Antwortzeit, Zeitstempel). Rechtsgrundlage für die Übermittlung: Standardvertragsklauseln (SCCs, Art. 46 DSGVO) mit Hetzner Online GmbH. Hetzner ist nach ISO 27001 zertifiziert und hat einen Auftragsverarbeitungsvertrag (AVV) abgeschlossen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b, f DSGVO.
4.3 Cloudflare, Inc. (WAF, DDoS-Schutz, DNS)
Zur Absicherung unserer öffentlich erreichbaren Dienste (unseenr.io, app.unseenr.io, ingest.unseenr.io, status.unseenr.io) nutzen wir Cloudflare, Inc., 101 Townsend St., San Francisco, CA 94107, USA, als Web Application Firewall (WAF), DDoS-Schutz und DNS-Dienst. Dabei passieren sämtliche eingehenden HTTP-Anfragen die Cloudflare-Infrastruktur. Cloudflare verarbeitet dabei IP-Adressen und Verbindungsmetadaten zur Angriffserkennung. Kein Klartextzugriff auf verschlüsselte Payload-Daten.
Auftragsverarbeitungsvertrag abgeschlossen. Drittlandübertragung in die USA auf Grundlage des EU-US Data Privacy Framework (Art. 45 DSGVO).
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
5. Registrierung und Nutzerkonto
Für die Nutzung von Unseenr ist ein Nutzerkonto erforderlich. Dabei erheben wir:
- Pflichtangaben: E-Mail-Adresse, Passwort (bcrypt-gehasht, kein Klartextzugriff)
- Optional: Name, Profilbild
- Bei OAuth: E-Mail-Adresse, Name, Profilbild vom OAuth-Anbieter (GitHub)
- Organisationsdaten: Name und Slug der Organisation, Projektnamen
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: Während der Vertragslaufzeit. Nach Kontolöschung vollständiges Hard Delete gemäß Art. 17 DSGVO, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
6. GitHub OAuth (optionale Anmeldung)
Nutzer können sich optional über GitHub OAuth anmelden. Dabei übermittelt GitHub (GitHub, Inc., 88 Colin P. Kelly Jr St., San Francisco, CA 94107, USA) ausschließlich: E-Mail-Adresse, Anzeigename und Profilbild. Wir haben keinen Zugriff auf Repositories, Organisationen oder sonstige GitHub-Daten.
Drittlandübertragung in die USA auf Grundlage von EU-US Data Privacy Framework und Standardvertragsklauseln (Art. 46 DSGVO).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
7. Transaktionale E-Mails und Alert-Benachrichtigungen (Brevo)
Für den Versand von E-Mails nutzen wir Brevo (Sendinblue GmbH, Köpenicker Str. 126, 10179 Berlin). Wir unterscheiden dabei zwei Kategorien mit jeweils eigenem Absender:
Transaktionale E-Mails (Absender: [email protected]):
- E-Mail-Verifizierung nach Registrierung
- Passwort-Reset auf Nutzeranfrage
- Magic-Link-Anmeldungen
- Team-Einladungen
- Abrechnungsbenachrichtigungen (Zahlungsfehler, Plan-Änderungen, Rechnungen)
- Quota-Warnungen (Event-Limit überschritten)
- Status-Page-Abonnement-Bestätigung
Alert- und Incident-E-Mails (Absender: [email protected]):
- Fehler-Alerts (neue Issues, Issue-Updates)
- Uptime-Monitor-Benachrichtigungen (DOWN/DEGRADED/UP)
- Status-Page-Incident-Benachrichtigungen an Abonnenten
- Test-Alerts zur Konfigurationsüberprüfung
An Brevo werden ausschließlich E-Mail-Adresse des Empfängers und der E-Mail-Inhalt übermittelt. Server ausschließlich in der EU (Deutschland und Frankreich). TÜV-Rheinland-zertifiziert. Auftragsverarbeitungsvertrag abgeschlossen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
7.1 E-Mail-Versandkontingente (Alert-Quota-Tracking)
Zur Durchsetzung der tariflichen E-Mail-Alert-Kontingente (siehe AGB § 6) erfassen wir pro Organisation die Anzahl der täglich versendeten Alert-E-Mails. Gespeichert wird ausschließlich ein numerischer Zähler mit der Organisations-ID und dem Tagesdatum als Schlüssel. E-Mail-Adressen, Inhalte oder sonstige personenbezogene Daten der Empfänger werden in diesem Zähler nicht gespeichert.
Speicherdauer: Automatische Löschung nach 24 Stunden (TTL).
Speicherort: Redis-Instanz auf Hetzner-Servern in der EU.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Durchsetzung der vereinbarten Kontingentgrenzen), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Missbrauchsschutz und Infrastrukturstabilität).
8. Zahlungsabwicklung (Stripe)
Zahlungen werden ausschließlich über Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland abgewickelt. Wir speichern selbst keine Kreditkartennummern oder vollständigen Zahlungsdaten. Stripe übermittelt uns ausschließlich die Stripe-Kunden-ID, Abonnementstatus und Rechnungsdaten (Name, E-Mail, Rechnungsadresse).
Für Transfers in die USA: EU-US Data Privacy Framework (Art. 45 DSGVO).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
9. Buchhaltung und Rechnungsstellung (Lexoffice)
Für die gesetzlich vorgeschriebene Buchführung und Rechnungsstellung nutzen wir Lexoffice der Haufe-Lexware GmbH & Co. KG, Munzinger Str. 9, 79111 Freiburg. Dabei werden übermittelt: Name, E-Mail-Adresse, Rechnungsadresse, Zahlungsbetrag und Rechnungsdatum. Server ausschließlich in Deutschland. Auftragsverarbeitungsvertrag abgeschlossen.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Buchführungspflicht gem. § 238 HGB, § 140 AO), Art. 6 Abs. 1 lit. b DSGVO.
10. Domain-Registrar (Porkbun)
Die Domains unseenr.io und unseenr.com sind bei Porkbun LLC, 2700 NE Andresen Rd Suite A2, Vancouver, WA 98661, USA, registriert. Verarbeitete Daten: Domainregistrierungsdaten (Impressum-Angaben). Drittlandübertragung in die USA auf Grundlage von Standardvertragsklauseln (Art. 46 DSGVO).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b, f DSGVO.
11. E-Mail-Kommunikation und Zusammenarbeit (Microsoft 365)
Unser Team nutzt Microsoft 365 (Microsoft Ireland Operations Ltd., One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland) für E-Mail-Kommunikation (Outlook) und Zusammenarbeit (Teams). Dies umfasst sowohl interne Teamkommunikation als auch externe E-Mail-Korrespondenz mit Kunden und Interessenten (z.B. Support-Anfragen an [email protected]). Fehler-Event-Daten oder sonstige Kundendaten aus dem Unseenr-Dienst werden nicht über Microsoft 365 verarbeitet. EU-Datenspeicherung konfiguriert. Auftragsverarbeitungsvertrag (Microsoft DPA) abgeschlossen. Drittlandübertragungen in die USA auf Grundlage von EU-US DPF + Standardvertragsklauseln (Art. 46 DSGVO).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bei Support-Anfragen), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Kommunikation).
12. Cookies und Session-Management
Wir setzen ausschließlich technisch notwendige Cookies ein:
- better-auth.session_token (bzw. __Secure-better-auth.session_token über HTTPS): Session-Cookie zur Authentifizierung. Laufzeit: 30 Tage (verlängerbar durch aktive Nutzung). Kein Klartextzugriff auf Passwörter.
Tracking-, Analyse- oder Marketing-Cookies werden nicht eingesetzt. Ein Cookie-Consent-Banner ist daher nicht erforderlich (§ 25 Abs. 2 TTDSG).
Rechtsgrundlagen: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an technischer Bereitstellung), Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung für eingeloggte Nutzer).
13. Unseenr als Auftragsverarbeiter (Fehler-Events und SDK-Daten)
Wenn Kunden unser SDK in ihre Anwendungen integrieren und Fehler-Events an Unseenr senden, verarbeiten wir diese Daten ausschließlich im Auftrag des jeweiligen Kunden. Der Kunde ist in dieser Konstellation Verantwortlicher im Sinne der DSGVO; Unseenr ist Auftragsverarbeiter gem. Art. 28 DSGVO.
Fehler-Events können je nach SDK-Konfiguration des Kunden folgende Daten enthalten:
- Stack Traces und Fehlermeldungen
- Request-Kontext (URL, HTTP-Methode, Request-Header)
- Nutzerkontext (falls vom Kunden via SDK gesetzt: user.id, user.email, user.name)
- Geräteinformationen (Browser, Betriebssystem, Bildschirmauflösung)
- Session Replay-Aufzeichnungen (DOM-Snapshots, Nutzerinteraktionen - falls aktiviert)
- Log-Einträge und Performance-Traces
- Heartbeat-Monitor-Daten (Check-in-Zeitstempel)
Hinweis an Endnutzer: Wenn Ihre Daten im Rahmen einer Fehleraufzeichnung in Unseenr verarbeitet werden, wenden Sie sich bitte an den Betreiber der jeweiligen Anwendung (unseren Kunden), da dieser der Verantwortliche für diese Verarbeitung ist.
Ein Auftragsverarbeitungsvertrag (AVV) gem. Art. 28 DSGVO steht allen Kunden unter unseenr.io/dpa zur Verfügung.
14. Sicherheits-Audit-Logs
Zur Missbrauchserkennung und Erfüllung unserer Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO führen wir interne Audit-Logs. Erfasst werden:
- Art der Aktion (z.B. Login, Projektlöschung, API-Key-Erstellung, Plan-Änderung)
- Interne Nutzer-ID (kein Klarname in Logs gespeichert)
- IP-Adresse und User-Agent des anfragenden Clients
- Zeitstempel der Aktion
Audit-Logs werden ausschließlich intern genutzt, nicht an Dritte weitergegeben und nicht zur Profilbildung verwendet.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Speicherdauer: Max. 90 Tage, dann automatische Löschung.
15. Datenpannen (Art. 33/34 DSGVO)
Im Fall einer Verletzung des Schutzes personenbezogener Daten melden wir diese unverzüglich, spätestens innerhalb von 72 Stunden nach Bekanntwerden, an die zuständige Datenschutz-Aufsichtsbehörde (Art. 33 DSGVO).
Betroffene Personen werden unverzüglich informiert, sofern ein hohes Risiko für deren Rechte und Freiheiten besteht (Art. 34 DSGVO). Als Auftragsverarbeiter informieren wir betroffene Kunden (Verantwortliche) innerhalb von 48 Stunden nach Kenntniserlangung.
16. Übermittlungen in Drittländer (Art. 44–49 DSGVO)
Kundendaten (Fehler-Events, Datenbankinhalt) werden ausschließlich auf EU-Servern (Hetzner, in der EU) gespeichert. Folgende Sub-Prozessoren befinden sich teilweise außerhalb des EWR:
| Anbieter | Land | Rechtsgrundlage |
|---|---|---|
| Hetzner Online GmbH (ASH-Worker) | USA (Ashburn, Virginia) | Standardvertragsklauseln / SCCs (Art. 46 DSGVO), AVV · nur Uptime-Monitoring-Messdaten |
| Cloudflare, Inc. | USA | EU-US Data Privacy Framework (Art. 45 DSGVO), AVV |
| GitHub, Inc. | USA | EU-US DPF + Standardvertragsklauseln (Art. 46 DSGVO) |
| Stripe Payments Europe, Ltd. | Irland (EU) | EU; US-Transfers: EU-US DPF (Art. 45 DSGVO) |
| Microsoft 365 | Irland (EU) | EU; US-Transfers: EU-US DPF + SCCs (Art. 46 DSGVO) |
Hetzner Online GmbH, Brevo (Sendinblue GmbH), Lexoffice (Haufe-Lexware GmbH & Co. KG) und STRATO AG verarbeiten Daten ausschließlich innerhalb der EU/Deutschland.
17. Speicherdauern
| Datenkategorie | Speicherdauer |
|---|---|
| Fehler-Events (Free-Plan) | 7 Tage |
| Fehler-Events (Starter-Plan) | 30 Tage |
| Fehler-Events (Pro-Plan) | 90 Tage |
| Fehler-Events (Business-Plan) | 180 Tage |
| Nutzerkontodaten | Bis Kontolöschung, danach sofortiges Hard Delete |
| Rechnungsdaten (Stripe / Lexoffice) | 10 Jahre gem. § 147 AO / § 257 HGB |
| Server-Logfiles | Max. 30 Tage |
| E-Mail-Versandprotokolle (Brevo) | Max. 30 Tage |
| Sicherheits-Audit-Logs | Max. 90 Tage |
18. Ihre Rechte (Art. 15–22 DSGVO)
Sie haben gegenüber uns folgende Rechte bezüglich Ihrer personenbezogenen Daten:
- Auskunft (Art. 15 DSGVO): Sie können Auskunft über die von uns gespeicherten Daten verlangen.
- Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger oder unvollständiger Daten verlangen.
- Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
- Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung verlangen.
- Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre Daten in einem maschinenlesbaren Format zu erhalten (JSON-Export im Kontobereich verfügbar).
- Widerspruch (Art. 21 DSGVO): Siehe Ziffer 19.
- Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO): Jederzeit für die Zukunft möglich, ohne Auswirkung auf die Rechtmäßigkeit der bisherigen Verarbeitung.
- Beschwerderecht (Art. 77 DSGVO): Bei der zuständigen Aufsichtsbehörde (Ziffer 20).
Zur Ausübung Ihrer Rechte wenden Sie sich an: [email protected]
19. Widerspruchsrecht nach Art. 21 DSGVO
Soweit wir Ihre personenbezogenen Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) verarbeiten, haben Sie das jederzeitige Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, Widerspruch gegen diese Verarbeitung einzulegen.
Nach Widerspruch verarbeiten wir Ihre Daten nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Widerspruch richten Sie an: [email protected]
20. Zuständige Aufsichtsbehörde
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Postfach 3163 · 65021 Wiesbaden
Telefon: +49 611 1408-0
E-Mail: [email protected]
datenschutz.hessen.de
21. Affiliate-Links
Diese Website enthält sogenannte Affiliate-Links zu Drittanbietern (derzeit: Hetzner Online GmbH). Beim Klick auf einen solchen Link und bei einer nachfolgenden Registrierung oder einem Kauf beim Anbieter erhalten wir unter Umständen eine Provision. Für Sie entstehen dadurch keine zusätzlichen Kosten. Die Provisionsvergütung hat keinerlei Einfluss auf unsere Produktdarstellung oder Empfehlung. Wir empfehlen ausschließlich Dienste, die wir selbst für unsere Infrastruktur einsetzen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Mitfinanzierung des Dienstes). Die Datenverarbeitung beim Klick auf den Affiliate-Link (z.B. Referrer-Parameter, Cookies) erfolgt beim jeweiligen Anbieter nach dessen Datenschutzerklärung: hetzner.com/legal/privacy-policy.
22. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen unserer Dienste oder der Rechtslage zu aktualisieren. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail. Das jeweils aktuelle Datum ist oben angegeben.