Datenschutzerklärung

1.Welche Daten wir erheben

Kontoinformationen

Wenn Sie ein Konto erstellen, erheben wir Ihre E-Mail-Adresse, Ihren Namen (optional), Ihre Telefonnummer (optional) und eine gehashte Version Ihres Passworts. Wir speichern niemals Passwörter im Klartext.

Authentifizierungsdaten

• Sitzungstokens und JWT-Claims
• WebAuthn-/Passkey-Anmeldeinformations-IDs und öffentliche Schlüssel
• TOTP-Geheimnisse (im Ruhezustand verschlüsselt)
• OAuth-Tokens von verbundenen Anbietern (Google, GitHub)

Nutzungsdaten

• IP-Adressen und User-Agent-Zeichenfolgen (für die Sicherheitsprotokollierung)
• Anmeldezeitstempel und Sitzungsaktivität
• Gerätetyp und ungefährer Standort (aus der IP-Adresse abgeleitet)

Profildaten

• Profilbild (lokal auf unseren Servern gespeichert)
• Benutzereinstellungen (Sprache, Zeitzone, Benachrichtigungseinstellungen)

2.Wie wir Ihre Daten verwenden

• Sie zu authentifizieren und Ihre Sitzungen zu verwalten
• Dienste zur Mehrfaktor-Authentifizierung bereitzustellen
• Sicherheitswarnungen und Bestätigungs-E-Mails zu versenden
• Betrügerische oder unbefugte Zugriffe zu erkennen und zu verhindern
• Audit-Protokolle aus Sicherheits- und Compliance-Gründen zu führen
• Unsere Plattform auf Grundlage aggregierter Nutzungsmuster zu verbessern

3.Weitergabe von Daten

Wir verkaufen, vermieten oder handeln Ihre personenbezogenen Daten nicht. Wir geben Daten nur unter den folgenden eingeschränkten Umständen weiter:

• Dienstleister: E-Mail-Zustellung (SMTP), SMS-Zustellung (Twilio) — nur die für den Dienst erforderlichen Mindestdaten
• OAuth-Anbieter: Wenn Sie Google oder GitHub verbinden, tauschen wir Tokens gemäß dem OAuth-2.0-Protokoll aus
• Gesetzliche Anforderungen: wenn dies gesetzlich vorgeschrieben ist, aufgrund einer Vorladung oder zum Schutz unserer Rechtsansprüche

4.Datensicherheit

• Ende-zu-Ende-Verschlüsselung aller Authentifizierungsdaten
• Post-Quanten-Kryptografie (ML-KEM für die Schlüsselkapselung, ML-DSA für digitale Signaturen) schützt vor Bedrohungen durch Quantencomputer
• Passwörter werden mit bcrypt und Salt-Runden gehasht
• Alle Daten werden über TLS 1.3 übertragen
• JWT-Tokens werden mit quantenresistenten Schlüsseln signiert und laufen nach 7 Tagen ab
• WebAuthn-Challenges verwenden kryptografische Zufallswerte
• Zero-Knowledge-Architektur — sensible Anmeldeinformationen sind für unsere Server niemals im Klartext zugänglich
• Auf maschinellem Lernen basierende Anomalieerkennung identifiziert verdächtige Anmeldemuster in Echtzeit
• Ratenbegrenzung und adaptive Sperrung schützen vor Brute-Force-Angriffen
• Sitzungen können einzeln oder in großen Mengen widerrufen werden

5.Aufbewahrung von Daten

Wir bewahren Ihre Kontodaten so lange auf, wie Ihr Konto aktiv ist. Aktivitätsprotokolle werden bis zu 1 Jahr aufbewahrt. Wenn Sie Ihr Konto löschen, werden alle zugehörigen Daten innerhalb von 30 Tagen dauerhaft entfernt.

6.Ihre Rechte

• Auskunft: Exportieren Sie all Ihre Daten im JSON-Format über Ihre Kontoeinstellungen
• Berichtigung: Aktualisieren Sie Ihre Profilinformationen jederzeit
• Löschung: Löschen Sie Ihr Konto und alle zugehörigen Daten
• Übertragbarkeit: Laden Sie eine vollständige Kopie Ihrer Daten herunter

7.Cookies

Wir verwenden ein einziges notwendiges Cookie (auth_token), um Ihre authentifizierte Sitzung aufrechtzuerhalten. Es ist httpOnly, in der Produktion secure und läuft nach 7 Tagen ab. Wir verwenden keine Tracking-Cookies oder Analyse-Cookies von Drittanbietern. Weitere Einzelheiten finden Sie in unserer Cookie-Richtlinie.

8.Änderungen dieser Erklärung

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren. Über wesentliche Änderungen werden wir Sie per E-Mail oder durch einen Hinweis auf unserer Plattform informieren. Die fortgesetzte Nutzung unserer Dienste nach Änderungen gilt als Zustimmung.