Datenschutzerklärung

Stand: April 2026 · Gilt für instantapi.io

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO:
Julian Meise
Hauptstr. 62
82223 Eichenau
Deutschland

E-Mail: datenschutz@instantapi.io

Bei Fragen zur Verarbeitung deiner personenbezogenen Daten erreichst du uns jederzeit unter der oben genannten E-Mail-Adresse.

2. Welche Daten wir erheben

2.1 Beim Erstellen eines Kontos

Für die Nutzung von instantapi.io ist eine Registrierung erforderlich. Dabei erheben wir:

E-Mail-Adresse – als Login-Kennung und für transaktionale E-Mails (z. B. Passwort-Reset)
Passwort – wird ausschließlich als bcrypt-Hash gespeichert, das Klartext-Passwort verlässt nie deinen Browser

2.2 Beim Login über Drittanbieter (OAuth)

Alternativ kannst du dich mit Google, Microsoft oder GitHub anmelden. In diesem Fall erhalten wir vom jeweiligen Anbieter:

E-Mail-Adresse aus dem Drittanbieter-Konto
Provider-interne Nutzer-ID (sog. „Sub"-Claim) zur eindeutigen Identifikation
Provider-Name (z. B. „google", „microsoft", „github")

Wir speichern kein OAuth-Zugriffstoken dauerhaft. Der Token wird ausschließlich während des Anmeldevorgangs genutzt, um die obigen Daten abzurufen, und danach verworfen. Während des OAuth-Vorgangs wird ein kurzlebiger State-Cookie (max. 10 Minuten, httpOnly, SameSite=Lax) zum Schutz vor CSRF gesetzt.

2.3 Zahlungsdaten (Stripe)

Für kostenpflichtige Tarife wird die Zahlung über Stripe abgewickelt. Kreditkarten- oder Bankdaten werden ausschließlich von Stripe verarbeitet – wir sehen diese Daten nie. Wir speichern lediglich:

Stripe Customer ID – zur Zuordnung deines Kontos beim Zahlungsdienstleister
Stripe Subscription ID – zur Verwaltung deines aktiven Abonnements

2.4 Hochgeladene Nutzdaten (Datasets)

Du kannst Excel-, CSV-Dateien oder Google Sheets hochladen. Diese Daten werden in unserer Datenbank (PostgreSQL, gehostet bei Hetzner Online GmbH, Deutschland) gespeichert und über deine API-Endpunkte bereitgestellt. Du bist selbst dafür verantwortlich, dass die von dir hochgeladenen Daten keine Datenschutzrechte Dritter verletzen.

Soweit du über instantapi.io personenbezogene Daten Dritter verarbeitest, handeln wir als dein Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Hierfür gilt unser Auftragsverarbeitungsvertrag (AVV), der durch die Nutzung des Dienstes automatisch vereinbart wird.

2.5 API-Zugriffslogs

Jeder Aufruf deiner API-Endpunkte wird protokolliert. Dabei speichern wir:

HTTP-Methode (GET, POST, PUT, DELETE)
Aufgerufener Pfad
HTTP-Statuscode der Antwort
IP-Adresse des Aufrufers
Zeitstempel
Zugeordneter API-Key und Dataset

Diese Logs werden gespeichert, um dir Nutzungsstatistiken bereitzustellen, Rate-Limiting durchzusetzen und Sicherheitsvorfälle nachvollziehen zu können.

2.6 Verbindungsdaten des Webservers

Beim Aufruf unserer Website übermittelt dein Browser automatisch technische Daten (IP-Adresse, Browser-Typ, Zeitstempel, aufgerufene URL). Diese werden für maximal 7 Tage in Server-Logs gespeichert und danach automatisch gelöscht.

2.7 Waitlist (Frühzugang)

Wenn du dich für den Frühzugang zu einem kostenpflichtigen Tarif (Starter oder Pro) einträgst, speichern wir:

E-Mail-Adresse – zur Benachrichtigung wenn der gewählte Tarif verfügbar ist
Gewählter Plan (Starter oder Pro)
Zeitstempel der Eintragung

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Eintragung ist freiwillig. Du kannst dich jederzeit durch eine formlose E-Mail an datenschutz@instantapi.io aus der Waitlist austragen lassen. Deine Daten werden spätestens mit Aktivierung des jeweiligen Tarifs oder auf deine Anfrage hin gelöscht.

3. Zweck und Rechtsgrundlage der Verarbeitung

Vertragsdurchführung – Art. 6 Abs. 1 lit. b DSGVO
Registrierung, Login, Bereitstellung des API-Dienstes, Zahlungsabwicklung über Stripe, Passwort-Reset-E-Mails.

Berechtigtes Interesse – Art. 6 Abs. 1 lit. f DSGVO
API-Zugriffslogs und Server-Logs zur Sicherstellung der Stabilität, Sicherheit und Missbrauchsprävention des Dienstes sowie zur Durchsetzung von Nutzungslimits. Unser berechtigtes Interesse überwiegt, da die Logs technisch notwendig für den Betrieb eines API-Dienstes sind, nur für begrenzte Zeit gespeichert werden (7 bzw. 90 Tage) und kein unverhältnismäßiger Eingriff in Betroffenenrechte erfolgt.

Einwilligung – Art. 6 Abs. 1 lit. a DSGVO
Eintragung in die Waitlist für kostenpflichtige Tarife. Die Einwilligung kann jederzeit widerrufen werden.

4. Weitergabe an Dritte

Wir geben deine Daten nur an Dritte weiter, soweit dies für die Leistungserbringung notwendig oder gesetzlich zulässig ist.

4.1 Hetzner Online GmbH (Hosting)

Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland.
Unser Server und unsere Datenbank werden bei Hetzner in Deutschland betrieben. Es findet kein Datentransfer in Drittländer statt. Mit Hetzner besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. hetzner.com/privacy-policy

4.2 Stripe (Zahlungsabwicklung)

Stripe, Inc., 510 Townsend Street, San Francisco, CA 94103, USA.
Stripe verarbeitet Zahlungsdaten zur Abwicklung von Abonnements. Rechtsgrundlage für die Übermittlung in die USA: EU-US Data Privacy Framework (Stripe ist zertifiziert) sowie EU-Standardvertragsklauseln (SCCs) als ergänzende Absicherung. Weitere Informationen: stripe.com/de/privacy

4.3 Google (OAuth)

Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.
Google wird genutzt als Auftragsverarbeiter für:
– Google OAuth: Bei Login über Google werden E-Mail-Adresse und Nutzer-ID übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Rechtsgrundlage USA-Transfer: EU-US Data Privacy Framework (Google ist zertifiziert) sowie EU-Standardvertragsklauseln (SCCs) als ergänzende Absicherung.
Wir verwenden keine externen Webfonts – Schriftarten werden lokal geladen. policies.google.com/privacy

4.4 Microsoft (OAuth)

Microsoft Corporation, One Microsoft Way, Redmond, WA 98052, USA.
Bei Login über Microsoft werden E-Mail-Adresse und Nutzer-ID übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Rechtsgrundlage USA-Transfer: EU-US Data Privacy Framework sowie SCCs. privacy.microsoft.com

4.5 GitHub (OAuth)

GitHub, Inc., 88 Colin P Kelly Jr St, San Francisco, CA 94107, USA.
Bei Login über GitHub werden E-Mail-Adresse und Nutzer-ID übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Rechtsgrundlage USA-Transfer: EU-US Data Privacy Framework sowie SCCs. GitHub Privacy Statement

4.6 IONOS SE (E-Mail-Hosting)

IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Deutschland.
Transaktionale E-Mails (z. B. Passwort-Reset, Willkommens-Mail) werden über den E-Mail-Dienst von IONOS versandt. Dabei wird deine E-Mail-Adresse an IONOS übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Kein Datentransfer in Drittländer – Verarbeitung ausschließlich innerhalb der EU. Mit IONOS besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. ionos.de/datenschutz

5. Speicherdauer

Kontodaten: Bis zur Löschung deines Kontos. Nach Löschung werden alle Daten innerhalb von 30 Tagen endgültig entfernt.
Datasets & API-Keys: Bis zur manuellen Löschung durch dich oder zur Konto-Löschung.
API-Logs: 90 Tage, danach automatische Löschung.
Server-Logs: 7 Tage, dann automatische Löschung.
Passwort-Reset-Tokens: 30 Minuten Gültigkeit. Nach Nutzung oder Ablauf werden sie als ungültig markiert.
OAuth-State-Cookie: Maximal 10 Minuten (ausschließlich während des Login-Vorgangs).
Stripe-IDs: Für die Dauer des Vertragsverhältnisses sowie gesetzlicher Aufbewahrungsfristen (i. d. R. 10 Jahre gem. §§ 238, 257 HGB).
Waitlist-Einträge: Bis zur Aktivierung des jeweiligen Tarifs oder auf Widerruf. Spätestens 24 Monate nach Eintragung, sofern kein Tarif aktiviert wurde.

6. Cookies und lokaler Speicher

Wir setzen folgende Speichermechanismen ein:

OAuth-State-Cookie (oauth_state): Technisch notwendig. Gesetzt ausschließlich während des OAuth-Logins, max. 10 Minuten. Kein Tracking.
localStorage (theme): Speichert deine Hell-/Dunkel-Modus-Präferenz. Bleibt lokal in deinem Browser, wird nicht an uns übertragen.

Wir verwenden keine Tracking-, Analyse- oder Werbe-Cookies. Es werden ausschließlich technisch notwendige Speichermechanismen eingesetzt, die keine Einwilligung nach § 25 TTDSG erfordern.

Webanalyse mit Umami

Diese Website verwendet Umami Analytics, eine datenschutzfreundliche Open-Source-Analysesoftware, die auf unseren eigenen Servern in Deutschland betrieben wird. Es werden keine Cookies gesetzt und keine personenbezogenen Daten wie IP-Adressen gespeichert oder weitergegeben.

Umami erfasst ausschließlich anonymisierte Nutzungsstatistiken, z. B.:

Aufgerufene Seiten und Verweildauer
Herkunftsland (aus gekürzter IP ermittelt, IP wird nicht gespeichert)
Browser- und Gerätetyp
Referrer (von welcher Website du kommst)

Da keine personenbezogenen Daten verarbeitet werden und die Software ausschließlich auf unserer eigenen Infrastruktur läuft, ist kein Cookie-Banner erforderlich. Rechtsgrundlage ist unser berechtigtes Interesse an der Verbesserung unseres Angebots gemäß Art. 6 Abs. 1 lit. f DSGVO.

7. Deine Rechte als betroffene Person

Du hast nach der DSGVO folgende Rechte:

Auskunft (Art. 15): Welche Daten wir über dich gespeichert haben.
Berichtigung (Art. 16): Unrichtige Daten korrigieren lassen.
Löschung (Art. 17): Dein Konto und alle damit verbundenen Daten löschen.
Einschränkung (Art. 18): Verarbeitung einschränken lassen.
Datenübertragbarkeit (Art. 20): Deine Daten in maschinenlesbarer Form erhalten.
Widerspruch (Art. 21): Der Verarbeitung auf Basis berechtigter Interessen widersprechen.
Widerruf: Eine erteilte Einwilligung jederzeit ohne Nachteile widerrufen.

Zur Ausübung deiner Rechte wende dich an: datenschutz@instantapi.io. Wir bearbeiten Anfragen innerhalb eines Monats nach Eingang.

8. Beschwerderecht bei der Aufsichtsbehörde

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach
www.lda.bayern.de

Du kannst dich auch an die Aufsichtsbehörde deines Wohnorts wenden. Eine Übersicht aller deutschen Behörden: www.bfdi.bund.de

9. Datensicherheit

Alle Verbindungen zu instantapi.io werden über HTTPS (TLS) verschlüsselt. Passwörter werden mit bcrypt gehasht und nie im Klartext gespeichert. API-Keys werden ausschließlich als SHA-256-Hash in der Datenbank abgelegt. Der vollständige Key wird nach Erstellung nur einmal angezeigt und dann nicht mehr gespeichert. Unsere Server befinden sich ausschließlich in Deutschland.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich rechtliche Anforderungen ändern oder wir neue Funktionen einführen. Die jeweils aktuelle Version ist stets unter instantapi.io/datenschutz abrufbar. Das Datum der letzten Änderung ist oben angegeben.

Bei wesentlichen Änderungen, die deine Rechte oder die Art der Datenverarbeitung erheblich betreffen, werden wir dich per E-Mail informieren.

1. Controller

Controller within the meaning of the GDPR:
Julian Meise
Hauptstr. 62
82223 Eichenau
Germany

Email: datenschutz@instantapi.io

If you have any questions about the processing of your personal data, you can reach us at any time at the email address above.

2. Data We Collect

2.1 When Creating an Account

Using instantapi.io requires registration. During this process, we collect:

Email address – used as your login identifier and for transactional emails (e.g. password reset)
Password – stored exclusively as a bcrypt hash; the plaintext password never leaves your browser

2.2 When Logging in via Third-Party Providers (OAuth)

Alternatively, you can sign in with Google, Microsoft or GitHub. In that case, we receive from the respective provider:

Email address from the third-party account
Provider user ID (the "sub" claim) for unique identification
Provider name (e.g. "google", "microsoft", "github")

We do not permanently store OAuth access tokens. The token is used solely during the sign-in flow to retrieve the above data and is then discarded. During the OAuth flow, a short-lived state cookie (max. 10 minutes, httpOnly, SameSite=Lax) is set to protect against CSRF.

2.3 Payment Data (Stripe)

Payments for paid plans are processed via Stripe. Credit card or bank details are processed exclusively by Stripe – we never see this data. We only store:

Stripe Customer ID – to link your account with the payment provider
Stripe Subscription ID – to manage your active subscription

2.4 Uploaded User Data (Datasets)

You can upload Excel, CSV files or Google Sheets. This data is stored in our database (PostgreSQL, hosted by Hetzner Online GmbH, Germany) and made available through your API endpoints. You are solely responsible for ensuring that the data you upload does not infringe on the privacy rights of third parties.

Where you process personal data of third parties through instantapi.io, we act as your data processor under Art. 28 GDPR. Our Data Processing Agreement (DPA) applies automatically upon use of the service.

2.5 API Access Logs

Every call to your API endpoints is logged. We store:

HTTP method (GET, POST, PUT, DELETE)
Requested path
HTTP response status code
IP address of the caller
Timestamp
Associated API key and dataset

These logs are stored to provide you with usage statistics, enforce rate limits, and allow us to investigate security incidents.

2.6 Web Server Connection Data

When you visit our website, your browser automatically transmits technical data (IP address, browser type, timestamp, requested URL). This data is stored in server logs for a maximum of 7 days and then automatically deleted.

3. Purpose and Legal Basis of Processing

Performance of a contract – Art. 6(1)(b) GDPR
Registration, login, provision of the API service, payment processing via Stripe, password reset emails.

Legitimate interests – Art. 6(1)(f) GDPR
API access logs and server logs to ensure service stability, security, and abuse prevention, as well as to enforce usage limits. Our legitimate interest outweighs the impact on data subjects, as the logs are technically necessary for operating an API service, are retained only for limited periods (7 and 90 days respectively), and do not constitute a disproportionate interference with data subjects' rights.

Consent – Art. 6(1)(a) GDPR
Where we use optional services that require separate consent, we will obtain it explicitly.

4. Sharing Data with Third Parties

We only share your data with third parties where necessary to provide our services or as permitted by law.

4.1 Hetzner Online GmbH (Hosting)

Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Germany.
Our servers and database are operated by Hetzner in Germany. No data transfer to third countries takes place. A data processing agreement under Art. 28 GDPR is in place. hetzner.com/privacy-policy

4.2 Stripe (Payment Processing)

Stripe, Inc., 510 Townsend Street, San Francisco, CA 94103, USA.
Stripe processes payment data to handle subscriptions. Legal basis for transfer to the USA: EU–US Data Privacy Framework (Stripe is certified) and Standard Contractual Clauses (SCCs) as supplementary safeguard. More information: stripe.com/privacy

4.3 Google (OAuth)

Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.
Google is used as a data processor for:
– Google OAuth: When you log in via Google, your email address and user ID are transmitted. Legal basis: Art. 6(1)(b) GDPR.
Legal basis for transfer to the USA: EU–US Data Privacy Framework (Google is certified) and SCCs.
We do not use external web fonts — fonts are loaded locally. policies.google.com/privacy

4.4 Microsoft (OAuth)

Microsoft Corporation, One Microsoft Way, Redmond, WA 98052, USA.
When you log in via Microsoft, your email address and user ID are transmitted. Legal basis: Art. 6(1)(b) GDPR. Transfer basis: EU–US Data Privacy Framework and SCCs. privacy.microsoft.com

4.5 GitHub (OAuth)

GitHub, Inc., 88 Colin P Kelly Jr St, San Francisco, CA 94107, USA.
When you log in via GitHub, your email address and user ID are transmitted. Legal basis: Art. 6(1)(b) GDPR. Transfer basis: EU–US Data Privacy Framework and SCCs. GitHub Privacy Statement

4.6 IONOS SE (Email Hosting)

IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Germany.
Transactional emails (e.g. password reset, welcome email) are sent via IONOS's email service. Your email address is transmitted to IONOS for this purpose. Legal basis: Art. 6(1)(b) GDPR (performance of a contract). No transfer to third countries — processing takes place exclusively within the EU. A data processing agreement under Art. 28 GDPR is in place with IONOS. ionos.de/privacy

5. Retention Periods

Account data: Until account deletion. After deletion, all data is permanently removed within 30 days.
Datasets & API keys: Until manually deleted by you or upon account deletion.
API logs: 90 days, then automatically deleted.
Server logs: 7 days, then automatically deleted.
Password reset tokens: Valid for 30 minutes. Invalidated after use or expiry.
OAuth state cookie: Maximum 10 minutes (only during the login flow).
Stripe IDs: For the duration of the contractual relationship and applicable statutory retention periods (generally 10 years under commercial law).

6. Cookies and Local Storage

We use the following storage mechanisms:

OAuth state cookie (oauth_state): Technically necessary. Set only during the OAuth login flow, for a maximum of 10 minutes. No tracking.
localStorage (theme): Stores your light/dark mode preference. Remains local in your browser and is never transmitted to us.

We do not use any tracking, analytics, or advertising cookies. Only technically necessary storage mechanisms are used, which do not require consent.

Web Analytics with Umami

This website uses Umami Analytics, a privacy-friendly open-source analytics tool hosted on our own servers in Germany. No cookies are set and no personal data such as IP addresses are stored or shared with third parties.

Umami collects only anonymised usage statistics, such as:

Pages visited and time on page
Country of origin (derived from a truncated IP address; the IP itself is not stored)
Browser and device type
Referrer (the website you came from)

As no personal data is processed and the software runs exclusively on our own infrastructure, no cookie banner is required. The legal basis is our legitimate interest in improving our service pursuant to Art. 6(1)(f) GDPR.

7. Your Rights as a Data Subject

Under the GDPR, you have the following rights:

Access (Art. 15): Find out what data we hold about you.
Rectification (Art. 16): Have inaccurate data corrected.
Erasure (Art. 17): Delete your account and all associated data.
Restriction (Art. 18): Restrict processing of your data.
Data portability (Art. 20): Receive your data in a machine-readable format.
Objection (Art. 21): Object to processing based on legitimate interests.
Withdrawal of consent: Withdraw any consent given at any time without detriment.

To exercise your rights, please contact: datenschutz@instantapi.io. We will respond within one month of receiving your request.

8. Right to Lodge a Complaint with a Supervisory Authority

You have the right to lodge a complaint with a data protection supervisory authority. The supervisory authority responsible for us is:

Bavarian State Office for Data Protection Supervision (BayLDA)
Promenade 18, 91522 Ansbach, Germany
www.lda.bayern.de

You may also contact the supervisory authority in your country of residence. A list of all German authorities is available at: www.bfdi.bund.de

9. Data Security

All connections to instantapi.io are encrypted via HTTPS (TLS). Passwords are hashed using bcrypt and never stored in plaintext. API keys are stored exclusively as SHA-256 hashes in the database. The full key is shown only once after creation and is not stored thereafter. Our servers are operated exclusively by Hetzner Online GmbH in Germany.

10. Changes to This Privacy Policy

We reserve the right to update this privacy policy if legal requirements change or if we introduce new features. The current version is always available at instantapi.io/datenschutz. The date of the last update is shown at the top of this page.

For material changes that significantly affect your rights or the nature of data processing, we will notify you by email.