Datenschutzerklärung

Hier geht es zu der vorherigen Datenschutzerklärung:

Archivierte Datenschutzerklärung (26. September 2022)

Datenschutzerklärung der Tutao GmbH, Hannover

Stand : 13. November 2025

Allgemeines

Wir sind für den Schutz Ihrer personenbezogenen Daten verantwortlich und nehmen diese Verantwortung sehr ernst. Aus diesem Grund

  • ist Tuta basierend auf den Datenschutzgrundsätzen “Datenminimierung” und “Privacy by design” entwickelt worden,
  • werden alle Daten der Benutzer*innen in Tuta Ende-zu-Ende verschlüsselt gespeichert,
  • werden nur Metadaten, die zur Bereitstellung des Services notwendig sind (wie E-Mail-Adressen der Benutzer*innen, Absender- und Empfängeradressen von E-Mails sowie Datum der E-Mails) unverschlüsselt gespeichert,
  • sind bei uns geeignete technische und organisatorische Maßnahmen im Einsatz, die Ihre Daten bestmöglich schützen,
  • werden alle Daten in ISO 27001 zertifizierten Rechenzentren in Deutschland gespeichert,
  • werden die Benutzer*innen gemäß deutschem und europäischem Recht im Falle einer Datenschutzverletzung von der Tutao GmbH benachrichtigt,
  • informieren wir unsere Benutzer*innen über wichtige Änderungen an unserer Datenschutzerklärung.

Die Verarbeitung personenbezogener Daten erfolgt stets im Einklang mit der Datenschutz-Grundverordnung (DSGVO) sowie mit den für die Tutao GmbH geltenden landesspezifischen Datenschutzbestimmungen.

Für Ihre Fragen zum Thema Datenschutz stehen wir Ihnen jederzeit gern zur Verfügung. Per E-Mail können Sie uns wie folgt erreichen: hello@tutao.de .

Name und Anschrift des für die Verarbeitung Verantwortlichen

Tutao GmbH
Deisterstr. 17a
30449 Hannover
Deutschland

E-Mail-Adresse: hello@tutao.de

Datenschutzbeauftragter

Wir haben für unser Unternehmen einen betrieblichen Datenschutzbeauftragten bestellt. Sie erreichen ihn unter: privacy@tutao.de

Personenbezogene Daten

Alle von uns verarbeiteten personenbezogenen Daten werden von uns sicher aufbewahrt und somit vor unberechtigten Zugriffen geschützt.

Zur Begründung eines Vertragsverhältnisses, und zur Leistungserbringung wird

  • die neu registrierte E-Mail-Adresse

als Bestandsdatum erfasst.

Für die Rechnungsstellung und Bestimmung der Umsatzsteuer werden bei kostenpflichtigen Produktvarianten

  • der Sitz der Kund*in (Land)
  • der Name und die Rechnungsadresse (für private Nutzung optional)
  • die USt-IdNr. (nur für geschäftliche Nutzung in bestimmten Ländern)

als Bestandsdaten erfasst.

Zur Abwicklung von Zahlungen werden, je nach gewählter Zahlungsart, die folgenden Zahlungsdaten (Bestandsdaten) erfasst:

  • Bankverbindung (Kontonummer und BLZ bzw. IBAN/BIC, ggf. Bankname, Kontoinhaber*in),
  • Kreditkartendaten,
  • der PayPal-Nutzername.

Diese Bestandsdaten werden zur Erfüllung des Vertrages mit der Kund*in nach Art. 6 Abs. 1 S. 1 lit. b) DSGVO verarbeitet. Zur Abwicklung von Lastschriften geben wir Ihre Bankverbindung an das beauftragte Kreditinstitut weiter. Zur Abwicklung von Zahlungen über PayPal oder Kreditkarte geben wir Ihre Zahlungsdaten an PayPal (Europe) weiter.

Tuta stellt Dienste zur Speicherung, Bearbeitung, Darstellung und zum elektronischen Versand von Daten bereit, wie z.B. E-Mail-Service, Kontaktverwaltung und Datenablage. Die Verarbeitung dieser Daten erfolgt zur Erfüllung des Vertrages mit der Kund*in nach Art. 6 Abs. 1 S. 1 lit. b) DSGVO. Alle Benutzerdaten werden so verschlüsselt, dass sie nur für die Benutzer*innen und deren Kommunikationspartner*innen lesbar sind. Die Tutao GmbH hat selbst keinen Zugriff auf die entschlüsselten Daten. Diese Daten können von den Benutzer*innen selbst gelöscht werden.

Zur Aufrechterhaltung des Mailserver-Betriebs, zur Fehlerdiagnose und zur Verhinderung von Missbrauch werden Mail-Server-Logs maximal 7 Tage gespeichert. Diese enthalten Sender- und Empfänger-E-Mail-Adressen sowie den Zeitpunkt der Verbindung, jedoch keine IP-Adressen der Benutzer*innen. Diese Speicherung erfolgt zur Erfüllung des Vertrages mit der Kund*in nach Art. 6 Abs. 1 S. 1 lit. b) DSGVO.

Zur Verhinderung von Missbrauch, der den weiteren Betrieb des Dienstes gefährden könnte, werden Benutzungsdaten wie IP-Adressen, Gerätetypen und Geolokalisierung durch IP-Adressen verarbeitet und gespeichert. IP-Adressen werden nur anonymisiert gespeichert. Diese Verarbeitung erfolgt zur Erfüllung des Vertrages mit der Kund*in nach Art. 6 Abs. 1 S. 1 lit. b) DSGVO.

Um unseren Service zu verbessern speichern wir Besucherdaten von Besucher*innen unserer Webseite und der Anwendung Tuta, wie Geolokalisierungen und verwendete Gerätetypen. Diese Daten werden anonymisiert, nur auf unseren eigenen Servern gespeichert und nicht an Dritte weitergegeben. Die Verarbeitung dieser Daten erfolgt zur Wahrung der berechtigten Interessen des Verantwortlichen nach Art 6 Abs. 1 S. lit. f) DSGVO. Es werden keine personenbezogenen Daten von Dritten erfasst.

Mit Ausnahme der Zahlungsdaten wie oben erwähnt werden wir Ihre personenbezogenen Daten inklusive der E-Mail-Adresse nicht an Dritte weitergeben. Jedoch können wir rechtlich verpflichtet werden Inhaltsdaten und Verkehrsdaten (bei Vorlage eines gültigen Gerichtsbeschlusses) sowie Bestandsdaten an Strafverfolgungsbehörden auszuliefern. Es erfolgt kein Verkauf von Daten.

Zeitraum der Datenspeicherung

Alle personenbezogenen Daten werden 30 Tage nach Beendigung des Vertragsverhältnisses gelöscht, sofern dem im Einzelfall nicht besondere Gründe entgegenstehen. Soweit Kund*innen gegen die Höhe der in der Rechnung gestellten Leistungsentgelte Einwendungen erhoben haben, dürfen die Abrechnungsdaten gespeichert werden, bis die Einwendungen abschließend geklärt sind. Ferner können Bestandsdaten bis zum Ablauf von zwei Jahren gespeichert bleiben, sofern Beschwerdebearbeitungen sowie sonstige Gründe einer ordnungsgemäßen Abwicklung des Vertragsverhältnisses dies erfordern. Im Übrigen darf die Löschung von Bestands- und Abrechnungsdaten unterbleiben, soweit dies gesetzliche Regelungen vorsehen oder die Verfolgung von Ansprüchen dies erfordert. Auftragsbezogene Daten und die damit verbundenen Adressen werden mit Rücksicht auf steuer-, vertrags- und handelsrechtliche Aufbewahrungsfristen gespeichert und nach Ablauf dieser Fristen gelöscht.

Cookies

Wir verwenden keine Cookies.

Nutzungsstatistiken

Wir setzen technische Analyse-Möglichkeiten sehr sparsam ein und nur sofern Sie vorab eingewilligt haben und soweit dies für die Weiterentwicklung und Verbesserung von Tuta erforderlich ist. Insbesondere verwenden wir keine Analyse-Tools wie Google Analytics oder sonstige Tools von Drittanbietern.

Unser Ziel ist es die Benutzeroberfläche und die Handhabung von Tuta zu verbessern. Dafür ist es notwendig, die Stellen in Tuta zu identifizieren, die noch nicht perfekt funktionieren.

Wenn Sie vorab eingewilligt haben, werden Ihre anonymisierten Nutzungsdaten zu unseren Servern gesendet. Dafür erzeugen und speichern wir eine zufällige ID auf Ihrem Gerät, die von allen auf diesem Gerät eingeloggten Accounts geteilt und zum Server mitgesendet wird, falls für die im Client verwendete Funktion eine Nutzungsstatistik durchgeführt wird. Die anonymisierten Nutzungsdaten werden so bei uns gespeichert, dass kein Rückschluss auf die Benutzer*innen gezogen werden kann. Die Nutzungsstatistik kann sich z.B. auf folgende Daten beziehen:

  • Reihenfolge bestimmter Aktionen
  • die Zeit, die für bestimmte Aktionen benötigt wird
  • Stellen, an denen ein bestimmter Ablauf im Client abgebrochen wird

Für einzelne Nutzungsstatistiken können wir Sie im Anschluss um eine Bewertung der Funktionalität bitten, die optional an uns gesendet werden kann. Die Teilnahme an der Befragung ist freiwillig und erfolgt ebenfalls anonymisiert. Ein Rückschluss auf die teilnehmende Person ist nicht möglich.

Dritte haben keinen Zugriff auf die auf Ihrem Gerät gespeicherte zufällige ID.

Sie können Ihre Einwilligung zur Teilnahme an den anonymisierten Nutzungsstatistiken jederzeit widerrufen, in dem Sie diese Funktion in den Einstellungen Ihres Accounts ausschalten. Die auf Ihrem Gerät gespeicherte zufällige ID wird nur solange verwendet, wie Benutzer*innen des Geräts an der Erhebung von Nutzungsstatistiken teilnehmen.

Sie können die lokal auf Ihrem Gerät gespeicherte zufällige ID jederzeit selbst löschen, und zwar u.a. wie folgt:

  • Im Web-Client (https://app.tuta.com): In den Einstellungen im Menü des Browsers durch Löschen der Daten der Webseite (z.B. “Clear browsing data” oder “Clear cookies and other site data”).
  • Mobile Apps (Android/iOS): In den Einstellungen der App durch Löschen der gespeicherten Daten der App.
  • Installierte Desktop-Clients: Im Dateisystem durch Löschen der gespeicherten Daten der Anwendung.

Die anonymisierten Nutzungsdaten können zu Forschungszwecken verwendet werden. Im Übrigen findet eine Weitergabe der Nutzungsdaten nicht statt.

Kampagnen-Analyse

Um Kampagnen mit Partnern und Werbekampagnen (z.B. Werbung über Google oder andere Suchmaschinen) auswerten zu können, speichern wir eine ID der Kampagne an Ihrem Tuta-Account, wenn Sie über einen Kampagnen-Link zu Tuta gelangen und einen Tuta-Account registrieren. Um wiederkehrende Benutzer*innen einer Kampagne zuordnen zu können, speichern wir beim Besuch unserer Webseite über einen Kampagnen-Link einen kryptographischen Hash der Verbindungsdaten wie IP-Adresse und User Agent (beinhaltet Informationen über Browser und Betriebssystem der Benutzer*innen) zusammen mit der Kampagnen-ID ab. Falls Sie über eine Suchanfrage und eine Werbekampagne zu uns gelangen, speichern wir auch die Keywords und die Suchanfrage gemeinsam mit dem Hash und der Kampagnen-ID ab. Durch die Nutzung des Hashes kann nicht mehr auf die IP-Adresse oder den User Agent zurückgeschlossen werden. Die Keywords und die Suchanfrage werden nicht am Tuta-Account gespeichert. Es werden keine personenbezogenen Daten von Dritten erfasst.

Der Hash und die gemeinsam damit gespeicherte Kampagnen-ID, Keywords und Suchanfrage werden spätestens nach 30 Tagen gelöscht. Über diesen Zeitraum hinaus werden zum Zwecke der Auswertung der Kampagne und bis zum Abschluss der Auswertung ausschließlich vollständig anonymisierte Kampagnen-Daten (einschließlich Keywords und Suchanfragen) ohne Verknüpfung zum Hash gespeichert und verarbeitet.

Soweit wir bei der Kampagnen-Analyse personenbezogen Daten verarbeiten, erfolgt dies auf der Grundlage von Art 6 Abs. 1 S. lit. f) DSGVO. Unser Interesse, Werbe-Kampagnen für die Verbesserung unserer Marketingaktivitäten auswerten zu können, stellt ein berechtigtes Interesse im Sinne von Art 6 Abs. 1 S. lit. f) DSGVO dar.

Rechte der betroffenen Person

Nach dem europäischen Datenschutzrecht haben Sie das Recht

  • gemäß Art. 7 Abs. 3 DSGVO Ihre einmal erteilte Einwilligung jederzeit gegenüber uns zu widerrufen. Dies hat zur Folge, dass wir die Datenverarbeitung, die auf dieser Einwilligung beruhte, für die Zukunft nicht mehr fortführen dürfen;
  • gemäß Art. 15 DSGVO Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu verlangen. Insbesondere können Sie Auskunft über die Verarbeitungszwecke, die Kategorie der personenbezogenen Daten, die Kategorien von Empfängern, gegenüber denen Ihre Daten offengelegt wurden oder werden, die geplante Speicherdauer, das Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch, das Bestehen eines Beschwerderechts, die Herkunft ihrer Daten, sofern diese nicht bei uns erhoben wurden, sowie über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und ggf. aussagekräftigen Informationen zu deren Einzelheiten verlangen;
  • gemäß Art. 16 DSGVO unverzüglich die Berichtigung unrichtiger oder Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen;
  • gemäß Art. 17 DSGVO die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen, soweit nicht die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist;
  • gemäß Art. 18 DSGVO die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, soweit die Richtigkeit der Daten von Ihnen bestritten wird, die Verarbeitung unrechtmäßig ist, Sie aber deren Löschung ablehnen und wir die Daten nicht mehr benötigen, Sie jedoch diese zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen oder Sie gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung eingelegt haben;
  • gemäß Art. 20 DSGVO Ihre personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesebaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen und
  • gemäß Art. 77 DSGVO sich bei einer Aufsichtsbehörde zu beschweren. In der Regel können Sie sich hierfür an die Aufsichtsbehörde Ihres üblichen Aufenthaltsortes oder Arbeitsplatzes oder unseres Unternehmenssitzes wenden.

Widerspruchsrecht

Sofern Ihre personenbezogenen Daten auf Grundlage von berechtigten Interessen gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO verarbeitet werden, haben Sie das Recht, gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten einzulegen, soweit dafür Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben.

Möchten Sie von Ihrem Widerspruchsrecht Gebrauch machen, genügt eine E-Mail an: hello@tutao.de .

Kontaktmöglichkeit über die Internetseite

Wir bieten über unsere Internetseite die Möglichkeit per E-Mail oder über ein Kontaktformular mit uns in Kontakt zu treten. Die so freiwillig an uns übermittelten personenbezogenen Daten werden automatisch gespeichert und nur für Zwecke der Bearbeitung und der Kontaktaufnahme zur betroffenen Person verwendet. Es erfolgt keine Weitergabe dieser personenbezogenen Daten an Dritte.