Datenschutzerklärung
Für den Dienst Deldown Account (account.deldown.de) — zentrale Anmeldung und verschlüsselter Cloud-Speicher für die deldown-Apps.
1. Verantwortlicher und Datenschutzbeauftragter
Verantwortlicher im Sinne der DSGVO sowie die vollständigen Kontaktdaten finden sich im Impressum. Bei Fragen zum Datenschutz nutze die dort angegebenen Kontaktwege.
Ein Datenschutzbeauftragter ist gesetzlich nicht verpflichtend zu bestellen und wurde nicht bestellt; ist im Impressum ein Datenschutzkontakt angegeben, gilt dieser.
Pflicht zur Bereitstellung: Die Angabe von E-Mail-Adresse und Passwort ist für die Einrichtung und Nutzung eines Kontos erforderlich. Ohne diese Daten kann kein Konto angelegt und der Dienst nicht genutzt werden. Alle übrigen Angaben (z. B. Anzeigename, Zwei-Faktor-Authentisierung) sind freiwillig.
2. Grundsatz
Wir verarbeiten nur die Daten, die für Betrieb und Sicherheit des Kontodienstes nötig sind. Kein Tracking, keine Werbung, keine Profilbildung, keine Weitergabe zu Werbezwecken, keine Analyse-Cookies. Die Registrierung ist nur per Einladung möglich.
3. Verarbeitete Daten, Zwecke und Rechtsgrundlagen
| Daten | Zweck | Rechtsgrundlage (Art. 6 DSGVO) |
|---|---|---|
E-Mail-Adresse, Anzeigename, Passwort (gespeichert ausschließlich als scrypt-Hash, nie im Klartext) | Konto anlegen und betreiben, Anmeldung | Abs. 1 lit. b (Vertrag) |
| Sitzungen: Sitzungs-Token (nur als SHA-256-Hash gespeichert), IP-Adresse, User-Agent, Zeitstempel der letzten Nutzung | Angemeldet bleiben, Geräte-/Sitzungsübersicht, Missbrauchserkennung | Abs. 1 lit. b und lit. f (Sicherheit) |
| Zwei-Faktor-Authentisierung: TOTP-Geheimnis (mit AES-256-GCM verschlüsselt gespeichert), Backup-Codes (nur als SHA-256-Hash) | Optionaler zusätzlicher Kontoschutz | Abs. 1 lit. b / lit. f |
| Schutz vor Brute-Force: temporäre Zählung fehlgeschlagener Anmeldungen je E-Mail/Konto und je IP-Adresse | Sperre nach zu vielen Fehlversuchen | Abs. 1 lit. f |
| Anomalie-Schutz: kurzfristige, ausschließlich im Arbeitsspeicher gehaltene IP-Bewertung verdächtiger Anfragen | Abwehr von Scans/Angriffen | Abs. 1 lit. f |
| Einladungscodes inkl. Information, welches Konto einen Code eingelöst hat | Geschlossene Registrierung | Abs. 1 lit. b / lit. f |
| Verbundene Apps (OAuth): App-Kennung der App, die du mit deinem Konto verbunden hast | App-zu-App-Anmeldung (OAuth 2.1 + PKCE) | Abs. 1 lit. b |
| Inhalts- und Dateidaten, die du oder eine verbundene App in deinem Namen speicherst (verschlüsselt mit AES-256-GCM im Ruhezustand) | Verschlüsselter Cloud-Speicher | Abs. 1 lit. b |
| Server-/Fehlerprotokolle (technisch, kurzlebig; Zugangsdaten und Cookies werden in Logs geschwärzt) | Betrieb, Fehlersuche, Sicherheit | Abs. 1 lit. f |
4. Cookies
Es wird genau ein technisch notwendiges Cookie gesetzt: deldown_session (httpOnly, Secure, SameSite=Lax, Geltungsbereich .deldown.de für die geräteübergreifende Anmeldung). Es enthält nur ein zufälliges Sitzungs-Token, dient ausschließlich der Anmeldung und ist nicht zustimmungspflichtig (kein Tracking). Es werden keine weiteren Cookies, kein Local-Storage zu Werbe-/Analysezwecken und keine Dienste Dritter zum Tracking eingesetzt.
5. Empfänger / Auftragsverarbeiter (Art. 28 DSGVO)
Zur Erbringung des Dienstes setzen wir folgende Auftragsverarbeiter ein, mit denen Auftragsverarbeitungsverträge bestehen:
- Cockroach Labs, Inc. — verwaltete Datenbank (CockroachDB Cloud), Region Frankfurt am Main, Deutschland (EU). Hier liegen Konto- und Inhaltsmetadaten.
- OVHcloud (OVH SAS) — S3-kompatibler Objektspeicher für hochgeladene Dateien, Rechenzentrum Frankfurt am Main, Deutschland (EU). Dateien sind dort verschlüsselt abgelegt.
- Hosting der Anwendung — Server in einem Rechenzentrum in der EU. Provider- und Standortangaben siehe Impressum.
6. Drittlandübermittlung
Die Datenverarbeitung erfolgt auf Servern in der EU (Frankfurt). Cockroach Labs ist ein US-Unternehmen; eine etwaige Verarbeitung durch den Anbieter außerhalb der EU wird auf die EU-Standardvertragsklauseln (Art. 46 DSGVO) bzw. das EU-US Data Privacy Framework gestützt.
7. Speicherdauer
- Kontodaten: bis zur Löschung des Kontos durch dich.
- Sitzungen: bis zum Ablauf (standardmäßig 30 Tage) bzw. bis zur Abmeldung; Passwortänderung und Kontolöschung beenden alle übrigen Sitzungen.
- Fehlversuch-/Sperrzähler: automatische Zurücksetzung kurz nach Ablauf des Sperrfensters.
- Server-/Fehlerprotokolle: kurzlebig (Betriebszweck).
- Inhalts- und Dateidaten: bis zur Löschung durch dich oder die verbundene App; mit der Kontolöschung werden sie entfernt.
8. Sicherheit
Transportverschlüsselung per TLS (HTTPS, HSTS); Verschlüsselung im Ruhezustand mit AES-256-GCM; Passwörter mit scrypt gehasht; strenge Sicherheits-Header (u. a. CSP); Brute-Force-Sperre und Anomalie-Abwehr. Hinweis: Inhaltsdaten werden serverseitig verschlüsselt (der Dienst hält den Schlüssel) — gut gegen Datenbank-/Speicherabgriff, jedoch keine Ende-zu-Ende-/Zero-Knowledge-Verschlüsselung.
9. Deine Rechte
Du hast nach DSGVO das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21). Dein Konto kannst du jederzeit selbst im Konto-Dashboard löschen. Außerdem besteht ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde (Art. 77).
10. Keine automatisierte Entscheidungsfindung
Es findet kein Profiling und keine automatisierte Entscheidung mit rechtlicher Wirkung im Sinne des Art. 22 DSGVO statt. Die Sicherheits-Sperren dienen allein der Missbrauchsabwehr.