← Deldown Account

Datenschutzerklärung

Für den Dienst Deldown Account (account.deldown.de) — zentrale Anmeldung und verschlüsselter Cloud-Speicher für die deldown-Apps.

1. Verantwortlicher und Datenschutzbeauftragter

Verantwortlicher im Sinne der DSGVO sowie die vollständigen Kontaktdaten finden sich im Impressum. Bei Fragen zum Datenschutz nutze die dort angegebenen Kontaktwege.

Ein Datenschutzbeauftragter ist gesetzlich nicht verpflichtend zu bestellen und wurde nicht bestellt; ist im Impressum ein Datenschutzkontakt angegeben, gilt dieser.

Pflicht zur Bereitstellung: Die Angabe von E-Mail-Adresse und Passwort ist für die Einrichtung und Nutzung eines Kontos erforderlich. Ohne diese Daten kann kein Konto angelegt und der Dienst nicht genutzt werden. Alle übrigen Angaben (z. B. Anzeigename, Zwei-Faktor-Authentisierung) sind freiwillig.

2. Grundsatz

Wir verarbeiten nur die Daten, die für Betrieb und Sicherheit des Kontodienstes nötig sind. Kein Tracking, keine Werbung, keine Profilbildung, keine Weitergabe zu Werbezwecken, keine Analyse-Cookies. Die Registrierung ist nur per Einladung möglich.

3. Verarbeitete Daten, Zwecke und Rechtsgrundlagen

DatenZweckRechtsgrundlage (Art. 6 DSGVO)
E-Mail-Adresse, Anzeigename, Passwort (gespeichert ausschließlich als scrypt-Hash, nie im Klartext)Konto anlegen und betreiben, AnmeldungAbs. 1 lit. b (Vertrag)
Sitzungen: Sitzungs-Token (nur als SHA-256-Hash gespeichert), IP-Adresse, User-Agent, Zeitstempel der letzten NutzungAngemeldet bleiben, Geräte-/Sitzungsübersicht, MissbrauchserkennungAbs. 1 lit. b und lit. f (Sicherheit)
Zwei-Faktor-Authentisierung: TOTP-Geheimnis (mit AES-256-GCM verschlüsselt gespeichert), Backup-Codes (nur als SHA-256-Hash)Optionaler zusätzlicher KontoschutzAbs. 1 lit. b / lit. f
Schutz vor Brute-Force: temporäre Zählung fehlgeschlagener Anmeldungen je E-Mail/Konto und je IP-AdresseSperre nach zu vielen FehlversuchenAbs. 1 lit. f
Anomalie-Schutz: kurzfristige, ausschließlich im Arbeitsspeicher gehaltene IP-Bewertung verdächtiger AnfragenAbwehr von Scans/AngriffenAbs. 1 lit. f
Einladungscodes inkl. Information, welches Konto einen Code eingelöst hatGeschlossene RegistrierungAbs. 1 lit. b / lit. f
Verbundene Apps (OAuth): App-Kennung der App, die du mit deinem Konto verbunden hastApp-zu-App-Anmeldung (OAuth 2.1 + PKCE)Abs. 1 lit. b
Inhalts- und Dateidaten, die du oder eine verbundene App in deinem Namen speicherst (verschlüsselt mit AES-256-GCM im Ruhezustand)Verschlüsselter Cloud-SpeicherAbs. 1 lit. b
Server-/Fehlerprotokolle (technisch, kurzlebig; Zugangsdaten und Cookies werden in Logs geschwärzt)Betrieb, Fehlersuche, SicherheitAbs. 1 lit. f

4. Cookies

Es wird genau ein technisch notwendiges Cookie gesetzt: deldown_session (httpOnly, Secure, SameSite=Lax, Geltungsbereich .deldown.de für die geräteübergreifende Anmeldung). Es enthält nur ein zufälliges Sitzungs-Token, dient ausschließlich der Anmeldung und ist nicht zustimmungspflichtig (kein Tracking). Es werden keine weiteren Cookies, kein Local-Storage zu Werbe-/Analysezwecken und keine Dienste Dritter zum Tracking eingesetzt.

5. Empfänger / Auftragsverarbeiter (Art. 28 DSGVO)

Zur Erbringung des Dienstes setzen wir folgende Auftragsverarbeiter ein, mit denen Auftragsverarbeitungsverträge bestehen:

6. Drittlandübermittlung

Die Datenverarbeitung erfolgt auf Servern in der EU (Frankfurt). Cockroach Labs ist ein US-Unternehmen; eine etwaige Verarbeitung durch den Anbieter außerhalb der EU wird auf die EU-Standardvertragsklauseln (Art. 46 DSGVO) bzw. das EU-US Data Privacy Framework gestützt.

7. Speicherdauer

8. Sicherheit

Transportverschlüsselung per TLS (HTTPS, HSTS); Verschlüsselung im Ruhezustand mit AES-256-GCM; Passwörter mit scrypt gehasht; strenge Sicherheits-Header (u. a. CSP); Brute-Force-Sperre und Anomalie-Abwehr. Hinweis: Inhaltsdaten werden serverseitig verschlüsselt (der Dienst hält den Schlüssel) — gut gegen Datenbank-/Speicherabgriff, jedoch keine Ende-zu-Ende-/Zero-Knowledge-Verschlüsselung.

9. Deine Rechte

Du hast nach DSGVO das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21). Dein Konto kannst du jederzeit selbst im Konto-Dashboard löschen. Außerdem besteht ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde (Art. 77).

10. Keine automatisierte Entscheidungsfindung

Es findet kein Profiling und keine automatisierte Entscheidung mit rechtlicher Wirkung im Sinne des Art. 22 DSGVO statt. Die Sicherheits-Sperren dienen allein der Missbrauchsabwehr.