Datenschutzerklärung

1. Verantwortlicher

2. Welche Daten wir erheben

Wir erheben und verarbeiten folgende personenbezogene Daten:

• E-Mail-Adresse und Name (bei der Registrierung)
• Anonymisierte IP-Adresse und User-Agent (in Server-Logs)
• Projekt- und Scan-Daten (von Ihnen erstellte Inhalte)
• Zahlungsdaten (verarbeitet durch Stripe, nicht bei uns gespeichert)

3. Registrierung

Bei der Registrierung erheben wir Ihre E-Mail-Adresse und optional Ihren Namen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Ihr Passwort wird mit bcryptjs gehasht und niemals im Klartext gespeichert.

4. Anmeldung und Cookies

Bei der Anmeldung wird ein Session-Cookie (next-auth.session-token) gesetzt, das einen verschlüsselten JWT-Token enthält. Zusätzlich speichern wir Ihre Spracheinstellung in einem Cookie (locale). Beide Cookies sind technisch notwendig und erfordern keine Einwilligung. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

5. Accessibility-Scans

Wenn Sie einen Scan durchführen, besucht unser System die von Ihnen angegebene URL und analysiert die Seite auf Barrierefreiheit. Die Scan-Ergebnisse (Violations, Compliance-Score) werden in Ihrem Account gespeichert. Falls Sie Zugangsdaten für geschützte Seiten hinterlegen, werden diese mit AES-256-GCM verschlüsselt gespeichert.

6. Zahlungsabwicklung

Zahlungen werden über Stripe Payments Europe Ltd. (1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland) abgewickelt. Wir speichern keine Kreditkartendaten; diese werden direkt von Stripe verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Ein Auftragsverarbeitungsvertrag (DPA) nach Art. 28 DSGVO mit Stripe liegt vor (https://stripe.com/legal/dpa). Soweit personenbezogene Daten an Stripe Inc. in die USA uebermittelt werden, erfolgt dies auf Basis der EU-US Data Privacy Framework Zertifizierung von Stripe sowie auf Grundlage der EU-Standardvertragsklauseln (SCCs). Weitere Informationen finden Sie in der Datenschutzerklärung von Stripe unter https://stripe.com/privacy.

7. Cookies

Wir verwenden ausschliesslich technisch notwendige Cookies:

• next-auth.session-token - Authentifizierungs-Cookie (Session-Token, verschlüsselter JWT)
• locale - Spracheinstellung (de oder en)

Wir setzen keine Marketing-, Tracking- oder Analyse-Cookies ein. Es werden keine Daten an Drittanbieter-Werbenetzwerke uebermittelt.

8. Server-Logs

Unser Server protokolliert Anfragen mit anonymisierter IP-Adresse (letztes Oktett entfernt), HTTP-Methode, aufgerufener Pfad und User-Agent. Diese Daten dienen der Fehleranalyse und Sicherheit. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Log-Dateien werden nach 14 Tagen automatisch gelöscht.

9. Hosting

Diese Website wird auf Servern der Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, Deutschland) gehostet. Hetzner verarbeitet Daten ausschliesslich in Deutschland und ist DSGVO-konform. Auftragsverarbeitungsvertrag liegt vor.

9a. E-Mail-Versand

Für den Versand transaktionaler E-Mails (Registrierungsbestätigung, Passwort-Zurücksetzung, Benachrichtigungen) nutzen wir den Mail-Dienst der Hostinger International Ltd. (61 Lordou Vironos Street, 6023 Larnaca, Zypern). Hostinger verarbeitet Daten innerhalb der EU (Rechenzentren in Litauen und den Niederlanden) und ist DSGVO-konform. Beim Versand werden Ihre E-Mail-Adresse und der Inhalt der Nachricht verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Kommunikation mit unseren Nutzern). Ein Auftragsverarbeitungsvertrag (DPA) nach Art. 28 DSGVO liegt vor (https://www.hostinger.com/legal/dpa). Die Absenderadresse lautet contact@scanclusive.com.

10. Speicherdauer

Ihre Daten werden so lange gespeichert, wie Ihr Account besteht. Bei Account-Löschung werden alle Daten (Projekte, Scans, API-Keys, Verifizierungen) unwiderruflich gelöscht. Server-Logs werden nach 14 Tagen automatisch rotiert und gelöscht.

11. Ihre Rechte

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

• Auskunftsrecht (Art. 15 DSGVO) - Welche Daten wir über Sie speichern
• Recht auf Berichtigung (Art. 16 DSGVO) - Korrektur unrichtiger Daten
• Recht auf Löschung (Art. 17 DSGVO) - Löschung Ihres Accounts und aller Daten
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO) - Export Ihrer Daten als JSON
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Widerspruchsrecht (Art. 21 DSGVO)

12. Datenexport

Sie können jederzeit alle Ihre Daten als JSON-Datei exportieren. Gehen Sie dazu auf die Abrechnungsseite und klicken Sie auf 'Daten exportieren'. Der Export enthält alle Ihre Profildaten, Projekte, Scan-Ergebnisse und API-Key-Metadaten.

13. Account-Löschung

Sie können Ihren Account jederzeit über die Abrechnungsseite löschen. Dabei werden alle zugehörigen Daten (Projekte, Scans, API-Keys, Verifizierungen) unwiderruflich gelöscht. Ein eventuell bestehendes Stripe-Abo wird automatisch gekündigt.

14. Sicherheitsmassnahmen

Wir setzen folgende technische Massnahmen zum Schutz Ihrer Daten ein: Verschlüsselte Übertragung (HTTPS/TLS 1.3), Passwort-Hashing (bcryptjs, 12 Runden), AES-256-GCM-Verschlüsselung für gespeicherte Zugangsdaten und 2FA-Geheimnisse, optionale Zwei-Faktor-Authentifizierung (TOTP via Authenticator-App oder Email-OTP), anonymisierte IP-Adressen in Logs, sowie Security-Headers (HSTS, X-Frame-Options, CSP).

15. Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen unseres Dienstes anzupassen. Die aktuelle Version ist stets auf dieser Seite abrufbar.

16. Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Zuständige Aufsichtsbehörde: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach.