scalepost.io icon

This is an unofficial translation.

The original version of this legal text is written in German to comply with legal requirements in Germany and the EU. This English version was generated using AI (GPT) for convenience and does not constitute a legally binding document. In case of discrepancies, the German version below the English version shall prevail.

Privacy Policy

1. General

This Privacy Policy of Backup Archive Solutions GmbH ("scalepost.io"), Undinestr. 3, 81927 Munich, provides information on the collection, processing, and use of personal data in accordance with the General Data Protection Regulation (GDPR).

The protection of personal data is a matter of great importance to us. In this Privacy Policy, we explain whether and for what purposes personal data is collected and processed. We comply with all applicable data protection and data security regulations. Our employees are regularly trained and bound to confidentiality and compliance with all data protection requirements.

2. Controller

The controller within the meaning of Art. 4 No. 7 GDPR is:
Backup Archive Solutions GmbH - scalepost.io
Undinestr. 3, 81927 Munich
Email: hello@scalepost.io
Phone: +49 176 63829541

3. Collected Data

a) Contact Form

Collected data: First name, last name, email address, phone number, message.
Purpose: To initiate contact and respond to inquiries.
Legal basis: Art. 6(1)(a), (b), (f) GDPR

b) Contact via Email

Processing of transmitted contact data (name, email address, message content).
Legal basis: Art. 6(1)(b), (f) GDPR

c) Cookies

Use of technically necessary and optional cookies.
Legal basis: Art. 6(1)(f) GDPR, § 25 TTDSG

d) Web Analytics with Rybbit Analytics

No cookies, no storage of personal data, hosted on our own server.
Further information: https://www.rybbit.io/privacy
Legal basis: Art. 6(1)(a) GDPR, § 25 TTDSG

4. Purposes of Processing

Processing is carried out exclusively for the following purposes:

Fulfillment of contractual or pre-contractual obligations
Communication and support
Website optimization and anonymized traffic analysis

5. Disclosure to Third Parties

Data is only disclosed where necessary to fulfill a contract or where legally required. Disclosure to public authorities occurs only within the framework of mandatory statutory provisions.

6. Data Retention

Data is stored only as long as necessary for the respective purpose. It will be deleted once that purpose no longer applies, unless retention is required by statutory obligations.

7. Rights of the Data Subject

Right of access (Art. 15 GDPR)
Right to rectification (Art. 16 GDPR)
Right to erasure (Art. 17 GDPR)
Right to restriction of processing (Art. 18 GDPR)
Right to data portability (Art. 20 GDPR)
Right to object (Art. 21 GDPR)
Right to withdraw consent (Art. 7(3) GDPR)
Right to lodge a complaint with a supervisory authority (Art. 77 GDPR)

8. Subprocessors

The following table provides an overview of our currently commissioned service providers and processors:

Name	Service	Data Processing Location	Agreement (DPA/SCCs)
Hetzner	Infrastructure service provider	Germany	Yes
Plus Five Five, Inc. (trading as Resend)	Email delivery	Ireland, potentially USA	Standard Contractual Clauses (SCCs)
Stripe	Payment processing	Ireland, potentially USA	Yes
Neon LLC.	Infrastructure service provider	Germany, potentially USA	Yes
Amazon Web Services	Infrastructure service provider	Germany, potentially USA	Yes
c15t (trading as Consent.io)	Consent management platform	Europe, potentially USA	Yes

9. Technical and Organizational Measures (TOMs)

a. Confidentiality

Physical Access Control

Data centers (Hetzner, AWS Frankfurt): Data centers are provided and operated exclusively by external service providers. scalepost.io and its employees do not have physical access. Access security and physical access control are subject to the certified measures of the respective providers (e.g. ISO 27001).
Company premises: Access granted only to employees with keys; visitor access is accompanied and documented.

System Access Control

Access rights are granted according to the “least privilege” principle.
Password policies (minimum 20 characters, change every 90 days, enforced technically).
Use of a password manager.
Access only via VPN; strong encryption on all systems (including laptops and storage devices).
Use of firewalls, intrusion detection/threat detection systems.
Training on screen locking when leaving the workstation.

Data Access Control

Granular role assignment; access granted only to authorised personnel.
Logging of access to local and cloud systems.
Obsolete data is deleted automatically on a regular schedule. Backups are retained only for a defined period and then overwritten or deleted using a rolling process. Any obsolete physical media, if present, are securely destroyed.

Separation Control

Customer data is systemically and logically separated (e.g. multi-tenancy, tagging).
Only a secured production environment is operated. Development and testing processes are carried out in strictly controlled, temporary instances within this environment, without access to productive customer data.

Pseudonymisation and Encryption

All data transmissions are secured via HTTPS/SSL/TLS.
Storage and backups are encrypted.
Systems are configured to avoid storing IP addresses whenever possible. Where technically required, storage is limited to short periods and deleted or overwritten automatically using a rolling process.

b. Integrity

Input Control

Role-based access management.
No field-level logging of individual user actions.

Data Transfer Control

No physical data transfers - only digital transmission via HTTPS/TLS.
Upon termination of contract: deletion of all data not required to be retained by contract, and of user accounts, with confirmation upon request. Legally required data (e.g. under commercial or tax law) is retained in accordance with legal retention periods and then automatically deleted.

c. Availability and Resilience

Use of geo-redundant systems (e.g. in availability zones via AWS, Hetzner).
Data centers are fully operated by external service providers. Information on physical safety (e.g. fire protection, temperature control, UPS) is based on publicly available details from the providers (e.g. Hetzner, AWS). scalepost.io has no direct influence over the physical infrastructure but relies on the certified security standards of the providers (e.g. ISO 27001).
Automated, encrypted backups at regular intervals.
IT continuity contingency plan in place.

d. Procedures for Regular Review, Assessment and Evaluation

Employees are contractually bound to confidentiality.
No external or internal data protection officer is currently appointed. Responsibility for data protection is assumed internally by the company management.
Data minimisation is ensured through process design.
Subprocessors are selected based on data protection and security criteria.
DPAs (Data Processing Agreements) are concluded with all relevant service providers.

These TOMs are reviewed regularly and adjusted as necessary to reflect new technical or legal requirements.

10. Changes to this Privacy Policy

We reserve the right to amend this Privacy Policy as necessary. Please check this page regularly for the latest version.

As of: August 2025

Datenschutzerklärung

Datenschutzerklärung von scalepost.io

1. Allgemein

Die vorliegende Datenschutzerklärung der BAS Backup Archive Solutions GmbH ("scalepost.io"), Undinestr. 3, 81927 München, informiert über die Erhebung, Verarbeitung und Nutzung personenbezogener Daten gemäß der Datenschutz-Grundverordnung (DSGVO).

Der Schutz personenbezogener Daten ist uns ein wichtiges Anliegen. In dieser Datenschutzerklärung erläutern wir, ob und zu welchem Zweck personenbezogene Daten erhoben und verarbeitet werden. Wir halten uns an alle geltenden Datenschutz- und Datensicherheitsvorschriften. Unsere Mitarbeitenden werden regelmäßig geschult und zur Vertraulichkeit sowie zur Einhaltung sämtlicher datenschutzrechtlicher Bestimmungen verpflichtet.

2. Verantwortlicher

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist:
Backup Archive Solutions GmbH - scalepost.io
Undinestr. 3
81927 München
E-Mail: hello@scalepost.io
Telefon: +49 176 63829541

3. Erhobene Daten

a) Kontaktformular

Erhebung von: Name, Nachname, E-Mail-Adresse, Telefonnummer, Nachricht.
Zweck: Kontaktaufnahme und Beantwortung der Anfrage.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a), b), f) DSGVO

b) Kontaktaufnahme via E-Mail

Verarbeitung der übermittelten Kontaktdaten (Name, E-Mail-Adresse, Inhalt).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b), f) DSGVO

c) Cookies

Verwendung technisch notwendiger und optionaler Cookies.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f) DSGVO, § 25 TTDSG

d) Webanalyse mit Rybbit Analytics

Keine Cookies, keine personenbezogene Speicherung. Gehosted auf unseren eigenen Servern.
Weitere Infos: https://www.rybbit.io/privacy
Rechtsgrundlage: Art. 6 Abs. 1 lit. a) DSGVO, § 25 TTDSG

4. Verwendungszwecke

Verarbeitung erfolgt ausschließlich zur:

Erfüllung vertraglicher oder vorvertraglicher Pflichten
Kommunikation und Support
Websiteoptimierung und anonymisierter Reichweitenanalyse

5. Weitergabe an Dritte

Daten werden nur weitergegeben, wenn dies zur Vertragserfüllung erforderlich ist oder gesetzlich vorgeschrieben. Eine Datenübermittlung an Behörden erfolgt nur im Rahmen zwingender gesetzlicher Vorschriften.

6. Speicherdauer

Daten werden nur so lange gespeichert, wie dies für den jeweiligen Zweck notwendig ist. Danach erfolgt eine Löschung, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

7. Rechte der betroffenen Person

Auskunft (Art. 15 DSGVO)
Berichtigung (Art. 16 DSGVO)
Löschung (Art. 17 DSGVO)
Einschränkung der Verarbeitung (Art. 18 DSGVO)
Datenübertragbarkeit (Art. 20 DSGVO)
Widerspruch (Art. 21 DSGVO)
Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO)
Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

8. Subunternehmer

Die nachfolgende Tabelle gibt eine Übersicht über der von uns eingesetzten Auftragsverarbeiter und die wesentlichen Dienstleister:

Name	Leistung	Datenverarbeitung in	Vertrag (AVV/SCCs)
Hetzner	Infrastructure service provider	Deutschland	Ja
Plus Five Five, Inc. (Resend)	E-Mail-Versand	Irland, möglicherweise USA	Standardvertragsklauseln (SCCs)
Stripe	Zahlungsabwicklung	Irland, möglicherweise USA	Ja
Neon LLC.	Infrastrukturendienstleister	Germany, möglicherweise USA	Ja
Amazon Web Services	Infrastrukturendienstleister	Deutschland, möglicherweise USA	Ja
c15t (Consent.io)	Consent Management Platform	Europa, möglicherweise USA	Ja

9. Technische und organisatorische Maßnahmen (TOMs)

a. Vertraulichkeit

Zutrittskontrolle

Rechenzentren (Hetzner, AWS Frankfurt): Die Rechenzentren werden ausschließlich durch externe Dienstleister bereitgestellt und betrieben. Ein physischer Zutritt durch scalepost.io oder deren Mitarbeiter erfolgt nicht. Die Zugangssicherheit und Zutrittskontrolle unterliegt den zertifizierten Maßnahmen der jeweiligen Betreiber (z. B. ISO 27001).
Firmensitz: Zugang nur für Beschäftigte mit Schlüssel; Besucherzugang nur begleitet. Ausgabe dokumentiert.

Zugangskontrolle

Zugriffsrechte werden nach dem „Least Privilege“-Prinzip vergeben.
Passwortvorgaben (min. 20 Zeichen, Wechsel alle 90 Tage, technische Durchsetzung).
Einsatz eines Passwort-Managers.
Zugänge nur über VPN; starke Verschlüsselung aller Systeme (inkl. Notebooks, Datenträger).
Einsatz von Firewalls, Intrusion Detection/Threat Detection Systemen.
Schulung zur Bildschirmsperre bei Verlassen des Arbeitsplatzes.

Zugriffskontrolle

Differenzierte Rollenvergabe; nur berechtigte Mitarbeiter erhalten Zugriff.
Zugriffsprotokollierung auf lokale und Cloud-Systeme.
Nicht mehr benötigte Daten werden in regelmäßigem Turnus automatisiert gelöscht. Sicherungskopien (Backups) werden nur für eine definierte Dauer aufbewahrt und anschließend im Rolling-Verfahren überschrieben oder gelöscht. Nicht mehr benötigte physische Datenträger, sofern vorhanden, werden durch sicher vernichtet.

Trennung

Daten von Kunden systemisch und logisch getrennt (z.B. Mandantentrennung, Tagging).
Es wird ausschließlich eine abgesicherte Produktivumgebung betrieben. Entwicklungs- und Testprozesse erfolgen in strikt kontrollierten, temporären Instanzen innerhalb dieser Umgebung ohne Zugriff auf produktive Kundendaten.

Pseudonymisierung und Verschlüsselung

Alle Datenübertragungen via HTTPS/SSL/TLS.
Speicherung und Backups erfolgen verschlüsselt.
Unsere Systeme sind so konfiguriert, dass möglichst keine IP-Adressen gespeichert werden. Wo dies technisch erforderlich ist, erfolgt eine Speicherung nur für sehr kurze Zeiträume, wonach die Daten im Rolling-Verfahren automatisch gelöscht oder überschrieben werden.

b. Integrität

Eingabekontrolle

Steuerung durch Benutzerrollen.
Keine Einzelaktionsprotokollierung auf Feldebene.

Weitergabekontrolle

Keine physische Datenweitergabe – ausschließlich digitale Übertragung via HTTPS/TLS.
Nach Beendigung des Vertrags: Löschung aller vertraglich nicht weiter aufzubewahrenden Daten und Accounts auf Wunsch mit Bestätigung. Daten, die gesetzlich (z.B. handels- oder steuerrechtlich) aufzubewahren sind, werden entsprechend den gesetzlichen Fristen gespeichert und anschließend automatisiert gelöscht.

c. Verfügbarkeit und Belastbarkeit

Einsatz georedundanter Systeme (z.B. in Verfügbarkeitszonen durch AWS, Hetzner).
Die Rechenzentren werden vollständig durch externe Dienstleister betrieben. Informationen zur physischen Sicherheit (z.B. Brandschutz, Temperaturkontrolle, USV) stammen aus öffentlich verfügbaren Angaben der Dienstleister (z.B. Hetzner, AWS). scalepost.io hat keinen direkten Einfluss auf die physische Infrastruktur, sondern verlässt sich auf die zertifizierten Sicherheitsstandards der Anbieter (z.B. ISO 27001).
Automatisierte, verschlüsselte Backups in regelmäßigen Intervallen.
Notfallplan zur IT-Kontinuität vorhanden.

d. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

Beschäftigte werden vertraglich zur Vertraulichkeit verpflichtet.
Ein externer oder interner Datenschutzbeauftragter ist aktuell nicht benannt. Die Datenschutzverantwortung wird intern durch die Geschäftsführung wahrgenommen.
Datenminimierung wird durch Prozessdesign gewährleistet.
Auswahl von Subunternehmern nach datenschutzrechtlichen und sicherheitstechnischen Kriterien.
Abschluss von AVVs mit allen relevanten Dienstleistern.

Diese TOMs werden regelmäßig überprüft und bei Bedarf an neue technische oder gesetzliche Anforderungen angepasst.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Erklärung bei Bedarf anzupassen. Bitte prüfen Sie regelmäßig den aktuellen Stand.

Stand: August 2025