Datenschutzerklärung

Stand: April 2026 · Rechtsstand: Deutschland/EU

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO):
Gonzi Tech UG (haftungsbeschränkt)
An der Mannsfaust 10 · 60599 Frankfurt am Main · Deutschland
Tel.: +49 69 247422680
E-Mail: ···
Website: errly.app

2. Übersicht der Verarbeitungen

Diese Datenschutzerklärung betrifft zwei Rollen, in denen wir personenbezogene Daten verarbeiten:

  • Als Verantwortlicher (Art. 4 Nr. 7 DSGVO): Wir verarbeiten Daten von Nutzern unserer Plattform (Kontodaten, Zahlungsdaten, technische Zugriffsdaten).
  • Als Auftragsverarbeiter (Art. 28 DSGVO): Wenn Kunden über unser SDK Fehler-Events einliefern, verarbeiten wir diese Daten ausschließlich im Auftrag unserer Kunden. Die Kunden sind für diese Daten selbst Verantwortliche. Details siehe Ziffer 13.

3. Automatisch erhobene Zugriffsdaten (Server-Logfiles)

Bei jedem Aufruf unserer Website werden vom Webserver automatisch Zugriffsdaten erfasst:

  • Aufgerufene URL und HTTP-Methode
  • Datum und Uhrzeit des Zugriffs
  • Übertragene Datenmenge und HTTP-Statuscode
  • Referrer-URL (vorher besuchte Seite, falls übermittelt)
  • Browser-Typ und Betriebssystem (User-Agent)
  • IP-Adresse (nach Verarbeitung anonymisiert gespeichert)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betriebssicherheit und Missbrauchsschutz).
Speicherdauer: Max. 30 Tage, dann automatische Löschung.

4. Hosting und Infrastruktur

4.1 Hetzner Online GmbH (Primäres Hosting)

Wir betreiben unsere Server ausschließlich bei der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland. Alle Kundendaten (Fehler-Events, Session Replays, Datenbankinhalte) werden auf Servern in Nürnberg/Falkenstein (Deutschland) gespeichert. Ein Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO ist abgeschlossen. Hetzner ist nach ISO 27001 zertifiziert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b, f DSGVO.

4.2 Cloudflare, Inc. (WAF, DDoS-Schutz, DNS)

Zur Absicherung unserer öffentlich erreichbaren Dienste (errly.app, app.errly.app, ingest.errly.app, status.errly.app) nutzen wir Cloudflare, Inc., 101 Townsend St., San Francisco, CA 94107, USA, als Web Application Firewall (WAF), DDoS-Schutz und DNS-Dienst. Dabei passieren sämtliche eingehenden HTTP-Anfragen die Cloudflare-Infrastruktur. Cloudflare verarbeitet dabei IP-Adressen und Verbindungsmetadaten zur Angriffserkennung. Kein Klartextzugriff auf verschlüsselte Payload-Daten.
Auftragsverarbeitungsvertrag abgeschlossen. Drittlandübertragung in die USA auf Grundlage des EU-US Data Privacy Framework (Art. 45 DSGVO).
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

5. Registrierung und Nutzerkonto

Für die Nutzung von Errly ist ein Nutzerkonto erforderlich. Dabei erheben wir:

  • Pflichtangaben: E-Mail-Adresse, Passwort (bcrypt-gehasht, kein Klartextzugriff)
  • Optional: Name, Profilbild
  • Bei OAuth: E-Mail-Adresse, Name, Profilbild vom OAuth-Anbieter (GitHub)
  • Organisationsdaten: Name und Slug der Organisation, Projektnamen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: Während der Vertragslaufzeit. Nach Kontolöschung vollständiges Hard Delete gemäß Art. 17 DSGVO, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

6. GitHub OAuth (optionale Anmeldung)

Nutzer können sich optional über GitHub OAuth anmelden. Dabei übermittelt GitHub (GitHub, Inc., 88 Colin P. Kelly Jr St., San Francisco, CA 94107, USA) ausschließlich: E-Mail-Adresse, Anzeigename und Profilbild. Wir haben keinen Zugriff auf Repositories, Organisationen oder sonstige GitHub-Daten.
Drittlandübertragung in die USA auf Grundlage von EU-US Data Privacy Framework und Standardvertragsklauseln (Art. 46 DSGVO).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

7. Transaktionale E-Mails (Brevo)

Für den Versand transaktionaler E-Mails nutzen wir Brevo (Sendinblue GmbH, Köpenicker Str. 126, 10179 Berlin). Transaktionale E-Mails werden versendet bei:

  • E-Mail-Verifizierung nach Registrierung
  • Passwort-Reset auf Nutzeranfrage
  • Magic-Link-Anmeldungen
  • Team-Einladungen
  • Alert-Benachrichtigungen (Fehler-Alerts, Monitor-Ausfälle)
  • Abrechnungsbenachrichtigungen (Zahlungsfehler, Plan-Änderungen, Rechnungen)
  • Quota-Warnungen (Event-Limit überschritten)

An Brevo werden ausschließlich E-Mail-Adresse des Empfängers und der E-Mail-Inhalt übermittelt. Server ausschließlich in der EU (Deutschland und Frankreich). TÜV-Rheinland-zertifiziert. Auftragsverarbeitungsvertrag abgeschlossen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

8. Zahlungsabwicklung (Stripe)

Zahlungen werden ausschließlich über Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland abgewickelt. Wir speichern selbst keine Kreditkartennummern oder vollständigen Zahlungsdaten. Stripe übermittelt uns ausschließlich die Stripe-Kunden-ID, Abonnementstatus und Rechnungsdaten (Name, E-Mail, Rechnungsadresse).
Für Transfers in die USA: EU-US Data Privacy Framework (Art. 45 DSGVO).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

9. Buchhaltung und Rechnungsstellung (Lexoffice)

Für die gesetzlich vorgeschriebene Buchführung und Rechnungsstellung nutzen wir Lexoffice der Haufe-Lexware GmbH & Co. KG, Munzinger Str. 9, 79111 Freiburg. Dabei werden übermittelt: Name, E-Mail-Adresse, Rechnungsadresse, Zahlungsbetrag und Rechnungsdatum. Server ausschließlich in Deutschland. Auftragsverarbeitungsvertrag abgeschlossen.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Buchführungspflicht gem. § 238 HGB, § 140 AO), Art. 6 Abs. 1 lit. b DSGVO.

10. Domain-Registrar und E-Mail-Infrastruktur (Strato)

Die Domain errly.app ist bei der STRATO AG, Otto-Ostrowski-Straße 7, 10249 Berlin, registriert. Strato stellt zudem E-Mail-Postfächer für @errly.app-Adressen bereit, die wir für interne Kommunikation und Support-Anfragen nutzen. Verarbeitete Daten: Domainregistrierungsdaten (Impressum-Angaben) und E-Mail-Inhalte der Support-Korrespondenz. Server in Deutschland. Auftragsverarbeitungsvertrag abgeschlossen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b, f DSGVO.

11. E-Mail-Kommunikation und Zusammenarbeit (Microsoft 365)

Unser Team nutzt Microsoft 365 (Microsoft Ireland Operations Ltd., One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland) für E-Mail-Kommunikation (Outlook) und Zusammenarbeit (Teams). Dies umfasst sowohl interne Teamkommunikation als auch externe E-Mail-Korrespondenz mit Kunden und Interessenten (z.B. Support-Anfragen an [email protected]). Fehler-Event-Daten oder sonstige Kundendaten aus dem Errly-Dienst werden nicht über Microsoft 365 verarbeitet. EU-Datenspeicherung konfiguriert. Auftragsverarbeitungsvertrag (Microsoft DPA) abgeschlossen. Drittlandübertragungen in die USA auf Grundlage von EU-US DPF + Standardvertragsklauseln (Art. 46 DSGVO).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bei Support-Anfragen), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Kommunikation).

12. Cookies und Session-Management

Wir setzen ausschließlich technisch notwendige Cookies ein:

  • better-auth.session_token (bzw. __Secure-better-auth.session_token über HTTPS): Session-Cookie zur Authentifizierung. Laufzeit: 30 Tage (verlängerbar durch aktive Nutzung). Kein Klartextzugriff auf Passwörter.

Tracking-, Analyse- oder Marketing-Cookies werden nicht eingesetzt. Ein Cookie-Consent-Banner ist daher nicht erforderlich (§ 25 Abs. 2 TTDSG).
Rechtsgrundlagen: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an technischer Bereitstellung), Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung für eingeloggte Nutzer).

13. Errly als Auftragsverarbeiter (Fehler-Events und SDK-Daten)

Wenn Kunden unser SDK in ihre Anwendungen integrieren und Fehler-Events an Errly senden, verarbeiten wir diese Daten ausschließlich im Auftrag des jeweiligen Kunden. Der Kunde ist in dieser Konstellation Verantwortlicher im Sinne der DSGVO; Errly ist Auftragsverarbeiter gem. Art. 28 DSGVO.

Fehler-Events können je nach SDK-Konfiguration des Kunden folgende Daten enthalten:

  • Stack Traces und Fehlermeldungen
  • Request-Kontext (URL, HTTP-Methode, Request-Header)
  • Nutzerkontext (falls vom Kunden via SDK gesetzt: user.id, user.email, user.name)
  • Geräteinformationen (Browser, Betriebssystem, Bildschirmauflösung)
  • Session Replay-Aufzeichnungen (DOM-Snapshots, Nutzerinteraktionen - falls aktiviert)
  • Log-Einträge und Performance-Traces
  • Heartbeat-Monitor-Daten (Check-in-Zeitstempel)

Hinweis an Endnutzer: Wenn Ihre Daten im Rahmen einer Fehleraufzeichnung in Errly verarbeitet werden, wenden Sie sich bitte an den Betreiber der jeweiligen Anwendung (unseren Kunden), da dieser der Verantwortliche für diese Verarbeitung ist.

Ein Auftragsverarbeitungsvertrag (AVV) gem. Art. 28 DSGVO steht allen Kunden unter errly.app/dpa zur Verfügung.

14. Sicherheits-Audit-Logs

Zur Missbrauchserkennung und Erfüllung unserer Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO führen wir interne Audit-Logs. Erfasst werden:

  • Art der Aktion (z.B. Login, Projektlöschung, API-Key-Erstellung, Plan-Änderung)
  • Interne Nutzer-ID (kein Klarname in Logs gespeichert)
  • IP-Adresse und User-Agent des anfragenden Clients
  • Zeitstempel der Aktion

Audit-Logs werden ausschließlich intern genutzt, nicht an Dritte weitergegeben und nicht zur Profilbildung verwendet.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Speicherdauer: Max. 90 Tage, dann automatische Löschung.

15. Datenpannen (Art. 33/34 DSGVO)

Im Fall einer Verletzung des Schutzes personenbezogener Daten melden wir diese unverzüglich, spätestens innerhalb von 72 Stunden nach Bekanntwerden, an die zuständige Datenschutz-Aufsichtsbehörde (Art. 33 DSGVO).

Betroffene Personen werden unverzüglich informiert, sofern ein hohes Risiko für deren Rechte und Freiheiten besteht (Art. 34 DSGVO). Als Auftragsverarbeiter informieren wir betroffene Kunden (Verantwortliche) innerhalb von 48 Stunden nach Kenntniserlangung.

16. Übermittlungen in Drittländer (Art. 44–49 DSGVO)

Kundendaten (Fehler-Events, Datenbankinhalt) werden ausschließlich auf EU-Servern (Hetzner, Deutschland) gespeichert. Folgende Sub-Prozessoren befinden sich teilweise außerhalb des EWR:

AnbieterLandRechtsgrundlage
Cloudflare, Inc.USAEU-US Data Privacy Framework (Art. 45 DSGVO), AVV
GitHub, Inc.USAEU-US DPF + Standardvertragsklauseln (Art. 46 DSGVO)
Stripe Payments Europe, Ltd.Irland (EU)EU; US-Transfers: EU-US DPF (Art. 45 DSGVO)
Microsoft 365Irland (EU)EU; US-Transfers: EU-US DPF + SCCs (Art. 46 DSGVO)

Hetzner Online GmbH, Brevo (Sendinblue GmbH), Lexoffice (Haufe-Lexware GmbH & Co. KG) und STRATO AG verarbeiten Daten ausschließlich innerhalb der EU/Deutschland.

17. Speicherdauern

DatenkategorieSpeicherdauer
Fehler-Events (Free-Plan)7 Tage
Fehler-Events (Starter-Plan)30 Tage
Fehler-Events (Pro-Plan)90 Tage
Fehler-Events (Business-Plan)180 Tage
NutzerkontodatenBis Kontolöschung, danach sofortiges Hard Delete
Rechnungsdaten (Stripe / Lexoffice)10 Jahre gem. § 147 AO / § 257 HGB
Server-LogfilesMax. 30 Tage
E-Mail-Versandprotokolle (Brevo)Max. 30 Tage
Sicherheits-Audit-LogsMax. 90 Tage

18. Ihre Rechte (Art. 15–22 DSGVO)

Sie haben gegenüber uns folgende Rechte bezüglich Ihrer personenbezogenen Daten:

  • Auskunft (Art. 15 DSGVO): Sie können Auskunft über die von uns gespeicherten Daten verlangen.
  • Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger oder unvollständiger Daten verlangen.
  • Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung verlangen.
  • Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre Daten in einem maschinenlesbaren Format zu erhalten (JSON-Export im Kontobereich verfügbar).
  • Widerspruch (Art. 21 DSGVO): Siehe Ziffer 19.
  • Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO): Jederzeit für die Zukunft möglich, ohne Auswirkung auf die Rechtmäßigkeit der bisherigen Verarbeitung.
  • Beschwerderecht (Art. 77 DSGVO): Bei der zuständigen Aufsichtsbehörde (Ziffer 20).

Zur Ausübung Ihrer Rechte wenden Sie sich an: ···

19. Widerspruchsrecht nach Art. 21 DSGVO

Soweit wir Ihre personenbezogenen Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) verarbeiten, haben Sie das jederzeitige Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, Widerspruch gegen diese Verarbeitung einzulegen.

Nach Widerspruch verarbeiten wir Ihre Daten nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Widerspruch richten Sie an: ···

20. Zuständige Aufsichtsbehörde

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Postfach 3163 · 65021 Wiesbaden
Telefon: +49 611 1408-0
E-Mail: [email protected]
datenschutz.hessen.de

21. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen unserer Dienste oder der Rechtslage zu aktualisieren. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail. Das jeweils aktuelle Datum ist oben angegeben.