Datenschutzerklärung

1. Datenschutz auf einen Blick

Allgemeine Hinweise

Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit deinen personenbezogenen Daten passiert, wenn du HeartLock nutzt. Personenbezogene Daten sind alle Daten, mit denen du persönlich identifiziert werden kannst. Ausführliche Informationen entnimmst du der nachstehenden Datenschutzerklärung.

Datenerfassung auf dieser Website

Wer ist verantwortlich für die Datenerfassung?

Die Datenverarbeitung erfolgt durch den Websitebetreiber. Die Kontaktdaten findest du im Abschnitt „Hinweis zur verantwortlichen Stelle".

Wie erfassen wir deine Daten?

Daten erheben wir nur dadurch, dass du sie uns aktiv mitteilst — z. B. beim Anlegen eines Kontos (Benutzername, Passwort) oder beim Erfassen von Inhalten in der App (z. B. Briefe, Gründe, Notizen). Inhalte werden vor der Speicherung verschlüsselt.

Automatisch erfasst werden lediglich technisch notwendige Server-Logdaten beim Aufruf der Seite (z. B. IP-Adresse, Datum/Uhrzeit, User-Agent). Diese werden zeitlich begrenzt zur Sicherstellung des Betriebs gespeichert.

Wofür nutzen wir deine Daten?

Ausschließlich zur Bereitstellung der Funktionalität der App. Es findet kein Tracking statt, keine Profilbildung, keine Werbeauswertung und keine Weitergabe an Dritte.

Welche Rechte hast du bezüglich deiner Daten?

Du hast jederzeit das Recht, unentgeltlich Auskunft über Herkunft, Empfänger und Zweck deiner gespeicherten personenbezogenen Daten zu erhalten. Du hast außerdem ein Recht, die Berichtigung oder Löschung dieser Daten zu verlangen. Außerdem steht dir ein Beschwerderecht bei der zuständigen Aufsichtsbehörde zu.

2. Hosting

Wir hosten HeartLock bei folgendem Anbieter. Es werden keine externen Content Delivery Networks (CDN) eingesetzt; alle Skripte, Schriftarten und Symbole werden direkt von unserem Server in Deutschland ausgeliefert.

Hetzner

Anbieter ist die Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen (nachfolgend Hetzner).

Hosting-Standort: Unsere Website wird ausschließlich in Deutschland gehostet. Die Server befinden sich in einem Hetzner-Rechenzentrum in Deutschland. Es findet keine Datenübertragung in Drittländer außerhalb der EU statt.

Details entnimmst du der Datenschutzerklärung von Hetzner: https://www.hetzner.com/de/rechtliches/datenschutz.

Die Verwendung von Hetzner erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Wir haben ein berechtigtes Interesse an einer zuverlässigen Bereitstellung unseres Dienstes.

Auftragsverarbeitung

Wir haben einen Vertrag über Auftragsverarbeitung (AVV) zur Nutzung des oben genannten Dienstes geschlossen.

3. Allgemeine Hinweise und Pflichtinformationen

Datenschutz

Wir nehmen den Schutz deiner persönlichen Daten sehr ernst. Wir behandeln deine personenbezogenen Daten vertraulich und entsprechend den gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung.

Hinweis zur verantwortlichen Stelle

Nicolas Matschke
Völklinger Weg 5
60529 Frankfurt am Main

Telefon: +49 (0) 1517 0650737
E-Mail: nicolas@nexhub.dev

Speicherdauer

Personenbezogene Daten (Konto + von dir erstellte Inhalte) verbleiben bei uns, bis du sie selbst löschst (z. B. über die App-Einstellungen) oder bis du dein Konto schließt. Du kannst dein Konto inkl. aller Inhalte jederzeit in den Einstellungen endgültig löschen.

4. Datenerfassung auf dieser Website

Konto-Daten

Beim Anlegen eines Kontos verlangen wir:

• Benutzername: Wird zur Anmeldung verwendet. Kann ein beliebiger Spitzname sein.
• Passwort: Wird ausschließlich als bcrypt-Hash gespeichert. Wir können dein Klartext-Passwort technisch nicht einsehen.
• E-Mail-Adresse: Optional. Wir verlangen keine E-Mail-Adresse zur Nutzung. Du kannst eine hinterlegen, etwa für spätere Wiederherstellungs-Funktionen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Inhalts-Daten (Briefe, Gründe, Tresor, Verlauf, Personen)

Alle von dir eingegebenen Inhalte werden vor der Speicherung mit AES-256-GCM verschlüsselt. Jede „Person" in der App erhält einen eigenen Verschlüsselungs-Schlüssel (DEK), der entweder:

• mit einem von deinem Server-Master-Key + deinem User-Salt abgeleiteten Schlüssel umschlossen wird (Standard), oder
• ausschließlich mit einem von deinem persönlichen Personen-Passwort abgeleiteten Schlüssel (scrypt) umschlossen wird, falls du die zusätzliche Personen-Sperre aktivierst. In diesem Fall können auch wir den Inhalt nicht entschlüsseln, solange du das Personen-Passwort nicht eingibst.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Sessions / Cookies

Wir setzen ein technisch notwendiges Session-Cookie (hl_session), um dich nach dem Login angemeldet zu halten. Es enthält ausschließlich einen zufälligen Token. Es werden keine Tracking- oder Marketing-Cookies gesetzt.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderlich).

Server-Logfiles

Bei Aufruf der Website erhebt der Server automatisch Informationen in Logfiles (IP-Adresse, Zeitpunkt der Anfrage, aufgerufene URL, übertragene Datenmenge, User-Agent). Diese werden zur Sicherstellung des Betriebs, zur Fehleranalyse und zur Abwehr von Angriffen verarbeitet und nach maximal 14 Tagen gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an stabilem Betrieb).

5. Verschlüsselungs-Konzept

• Inhalte werden mit AES-256-GCM symmetrisch verschlüsselt.
• Passwort-Hashes: bcrypt (cost factor 12).
• Personen-Passwort-Ableitung: scrypt (N=2^15, r=8, p=1) mit 32-Byte-Salt.
• User-Schlüssel-Ableitung: HKDF-SHA256 aus Server-Master-Key + benutzerspezifischem 32-Byte-Salt.

6. Externe Dienste

HeartLock setzt keine externen Tracker, Analytics-Dienste, Werbe-Netzwerke, Social-Plugins oder CDNs ein. Schriftarten, Icons (Font Awesome) und Skripte werden ausschließlich von unserem eigenen Server in Deutschland ausgeliefert.

7. Deine Rechte

Du hast jederzeit das Recht auf:

• Auskunft über die zu deiner Person gespeicherten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung („Recht auf Vergessenwerden", Art. 17 DSGVO) — direkt umsetzbar über die Konto-Löschung in den App-Einstellungen
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch (Art. 21 DSGVO)
• Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Für sämtliche Anfragen kannst du dich an die im Impressum genannten Kontaktdaten wenden.

8. SSL-/TLS-Verschlüsselung

Diese Seite nutzt aus Sicherheitsgründen eine SSL-/TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennst du daran, dass die Adresszeile des Browsers von „http://" auf „https://" wechselt und am Schloss-Symbol in deiner Browserzeile.