Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und Anbieter dieser Website ist:

Firma: KreuzerTec Services UG (haftungsbeschränkt) i. G.

Anschrift:
Königstraße 5
70173 Stuttgart
Deutschland

E-Mail: hello@kreuzertec.de

Die Gesellschaft befindet sich in Gründung (i. G.) und ist noch nicht im Handelsregister eingetragen.

Eine Umsatzsteuer-Identifikationsnummer gemäß § 27a UStG liegt derzeit nicht vor.

2. Übersicht der Verarbeitungen

Der DSGVO Scanner ist ein kostenloser Compliance-Dienst, der Websites umfassend auf DSGVO-Verstöße prüft. Die Prüftiefe richtet sich nach dem gewählten Scan-Profil (Schnell, Standard, Tiefen-Scan) und umfasst u. a. Tracking und Cookies vor und nach Einwilligung, Consent-Banner mit Dark-Pattern- und Reject-Test, TLS- und Security-Header-Analyse (Art. 32 DSGVO), Browser-Fingerprinting, CNAME-Cloaking, Drittdienste (Chat, CDPs, Werbe-/RTB-Plattformen, A/B-Testing), Pay-or-Consent-Modelle, Mobile-Banner-Verhalten, Multi-Page-Crawl, Hosting-Standort, Barrierefreiheit (BFSG) sowie Inhaltsprüfung rechtlicher Seiten.

Arten der verarbeiteten Daten

• Kontaktdaten (Vorname, Nachname, E-Mail-Adresse) - nur bei Report-Freischaltung
• E-Mail-Adresse und Basis-Domain bei freiwilliger Anfrage auf den Archiv-Zugang (zweistufige Freigabe per Link und Code; siehe 4.2a)
• Nutzungsdaten (eingegebene Website-URL und gewähltes Scan-Profil)
• Technische Scan-Ergebnisdaten der von Ihnen eingegebenen Zielwebsite (Tracker, Cookies, technische Header, erkannte Drittdienste, Compliance-Score und Findings nach Schweregrad). Diese Ergebnisse werden zu Archivierungs-, Vergleichs- und Verlaufszwecken verschlüsselt (AES-256-GCM) auf unseren deutschen Servern gespeichert (siehe 4.3).
• SHA-256-Hash der Base-Domain der gescannten URL als Index-Schlüssel der Scan-Historie
• Technische Zugriffsdaten (u. a. IP-Adresse für Rate-Limiting, Bot- und Angriffsschutz; in Protokolldateien in der Regel max. 14 Tage, siehe 4.1)

Nicht verarbeitete Daten

• Keine Tracking-Cookies oder Analytics auf dieser Website
• Keine Profilbildung oder Verhaltensanalyse
• Kein Verkauf, keine Weitergabe oder Veröffentlichung von Scan-Ergebnissen an Dritte
• Keine Verknüpfung der Scan-Historie mit Personen - die Historie ist domain-, nicht personenbezogen indiziert

3. Rechtsgrundlagen

Wir verarbeiten Ihre personenbezogenen Daten auf folgenden Rechtsgrundlagen:

• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Sie geben uns Ihre Kontaktdaten freiwillig ein, um den DSGVO-Report zu erhalten. Die Einwilligung erfolgt durch aktives Ankreuzen der Checkbox im Formular.
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Für die Bereitstellung und Absicherung unseres Dienstes (z.B. Rate-Limiting, Missbrauchsschutz).

4. Datenerhebung bei Nutzung des Scanners

4.1 Scan-Vorgang

Wenn Sie eine Website-URL eingeben und den Scan starten:

• Die eingegebene URL und das gewählte Scan-Profil werden an unseren Server übermittelt.
• Unser Server ruft die angegebene Website mit einem isolierten Headless-Browser auf und führt - je nach Profil - folgende Analysen durch:
  • Schnell-Scan: nur Startseite - Tracking und Cookies vor Einwilligung, Consent-Banner-Analyse mit Dark-Pattern-Erkennung, TLS-/HTTPS-Konfiguration (Art. 32 DSGVO), Security-Header (CSP, HSTS, X-Frame-Options etc.), Erkennung rechtlicher Seiten
  • Standard-Scan: bis zu 10 wichtige Unterseiten (priorisiert via Hauptnavigation, Footer und Standardpfade wie /datenschutz, /impressum, /kontakt) - zusätzlich Reject-/Ablehnen-Test des Consent-Banners, Cookie-Attribut-Analyse (SameSite, Secure, HttpOnly, 1st/3rd-Party), Erkennung von Chat-/Support-Widgets, Customer Data Platforms, Werbe-/RTB-Plattformen und A/B-Testing-Tools, Browser-Fingerprinting, CNAME-Cloaking via DNS-Prüfung, Pay-or-Consent-Modelle, reCAPTCHA-/hCaptcha-Erkennung in Formularen, Inhaltsprüfung von Datenschutzerklärung und Impressum, Social-Media-Embeds mit 2-Klick-Prüfung. Auf jeder Unterseite werden Tracker, Cookies, externe Embeds, Formular-Sicherheit und Mixed-Content geprüft
  • Tiefen-Scan: bis zu 65 Unterseiten (Sitemap-Index, robots.txt-Sitemaps, Smart-Crawl mit BFS-Tiefe 2) - zusätzlich Hosting-/IP-Geolocation-Lookup, Barrierefreiheits-Check (BFSG/WCAG-Heuristiken), Newsletter-/Double-Opt-In-Hinweise, WordPress-Sicherheitschecks (User-Enumeration, .git/.env, xmlrpc), Banner-Verhalten in mobilem Viewport (375x667)
• Beim Scan werden ausschließlich öffentlich abrufbare Inhalte der Zielwebsite verarbeitet. Es findet kein Login, keine Eingabe in Formulare und keine Kontaktaufnahme mit Drittsystemen außerhalb der gescannten Website statt.
• Die vollständigen Scan-Ergebnisse werden für maximal 30 Minuten unverschlüsselt im Arbeitsspeicher des Backends vorgehalten, um die Report-Freischaltung und den optionalen PDF-Download zu ermöglichen, und anschließend automatisch verworfen.
• Parallel dazu wird ein verschlüsseltes Archiv jedes Scans in unserer Datenbank abgelegt (siehe Abschnitt 4.3 „Scan-Historie und Archivierung").
• Ihre IP-Adresse wird für Rate-Limiting und Bot-Schutz verwendet.
• Aus Betriebs- und Sicherheitsgründen führen wir technische Server- bzw. Anwendungsprotokolle (einschließlich Container-Logrotation auf dem Host). Inhalte können u. a. umfassen: Zeitstempel, IP-Adresse (konfigurierbar teilweise maskiert), eine technische Request- bzw. Korrelations-ID (X-Request-ID) sowie bei Scan-Vorgängen die gekürzt erfasste gescannte Ziel-URL. Für normale API-Zugriffe protokollieren wir typischerweise HTTP-Methode, API-Pfad (ohne Abfrageparameter), Antwort-Statuscode und Antwortdauer, keine vollständigen Anfrage- bzw. Antwortkörper kostenpflichtiger oder besonders sensibler Endpunkte. Wo Metadaten technisch mit übergeben werden, werden Geheimnisse (z. B. Zahlungs- oder API-Schlüssel) in der Regel vor dem Speichern unkenntlich gemacht. Die vollständigen Scan-Findings werden nicht als Klartext in solchen Standard-Access-Logs abgelegt. Aufbewahrung: App-Logdateien typischerweise bis zu 14 Tage, danach Löschung/Rotation; Docker-Logdateien sind zusätzlich in Größe und Anzahl begrenzt.

4.2 Report-Freischaltung (E-Mail-Formular)

Wenn Sie den vollständigen DSGVO-Report mit allen Details freischalten möchten:

• Erfasste Daten: Vorname, Nachname, E-Mail-Adresse, gescannte URL, Anzahl der Findings nach Schweregrad
• Zweck: Freischaltung der vollständigen Scan-Ergebnisse; mögliche Kontaktaufnahme für weiterführende Compliance-Beratung
• Speicherung: Diese Kontaktdaten werden in unserer Datenbank auf deutschen Servern gespeichert.
• Speicherdauer: Bis zum Widerruf Ihrer Einwilligung oder Ablauf der handels- und steuerrechtlichen Aufbewahrungsfristen (max. 10 Jahre).

4.2a Scan-Archiv (Zugang per E-Mail-Bestätigung)

Wenn Sie den zusätzlichen Archivbereich nutzen möchten (Übersicht archivierter Domain-Statistiken, optional danach der kostenpflichtige Detail-Report):

• Erfasste Daten: Ihre angegebene E-Mail-Adresse, die angegebene Basis-Domain, ein technisches Sitzungs-Cookie sowie der Link-Token und eine gehashte Repräsentation des einmaligen Bestätigungscodes in der Datenbank;
• Zweck: zweistufige Freischaltung (Link aus der E-Mail plus Code aus derselben Nachricht), damit Dritte nicht prüfen können, welche Domains bereits gescannt wurden; keine öffentliche Recherche in fremdem Namen ohne den Nachweis der verwendeten E-Mail-Adresse;
• Speicherorte: Bestätigungsanfragen und ein datenschutzarmes Aktivitätsprotokoll (Ereignis-Typ sowie Hashwerte ohne Klartext-Domain oder Klartext-E-Mail in Logdateien nach technischer Gestaltung) auf unseren Servern;
• Speicherdauer: Aktivitäts-Einträge und offene oder verbrauchte Bestätigungssätze können nach Zweckerreichung automatisiert bereinigt werden; das Sitzungs-Cookie ist befristet (siehe technische Dokumentation in Ihrem Browser).

Ein Zahlungsprozessor (Stripe) kann bei Erwerb eines kostenpflichtigen Archiv-Detail-Reports separat Daten verarbeiten; siehe die jeweiligen Checkout-Hinweise.

4.3 Scan-Historie und Archivierung der Scan-Ergebnisse

Damit Sie Veränderungen einer Website über die Zeit nachvollziehen können (z. B. „Habe ich seit dem letzten Scan Compliance-Verstöße behoben oder neue eingefangen?"), legen wir nach jedem abgeschlossenen Scan einen Eintrag in unserer Scan-Historie an.

Was wird gespeichert?

• Eine technische Scan-ID (UUID)
• Die von Ihnen eingegebene URL und die daraus abgeleitete Base-Domain
• Ein SHA-256-Hash dieser Base-Domain (als Index zur effizienten Wiederfindung der Historie, ohne den Domainnamen in WHERE-Klauseln zu protokollieren)
• Compliance-Score, Scan-Profil, Scan-Dauer und Zeitstempel
• Anzahl der Findings nach Schweregrad (kritisch / hoch / mittel / niedrig / info)
• Ein vollständiger Snapshot der Scan-Ergebnisse (alle Findings, erkannte Tracker, Cookies, technische Header, Drittdienste, Multi-Page-Daten). Dieser Snapshot wird ausschließlich verschlüsselt mit AES-256-GCM abgelegt; der Schlüssel liegt nur im Backend und nicht in der Datenbank. Bei einem Datenbank-Diebstahl bleibt der Inhalt damit unlesbar.

Was wird ausdrücklich nicht gespeichert: Ihre IP-Adresse oder eine sonstige nutzerbezogene Kennung wird nicht mit dem Historieneintrag verknüpft. Die Historie ist ausschließlich domain-bezogen, nicht personenbezogen.

Wozu nutzen wir diese Daten?

• Anzeige einer Verlaufs-Timeline für die jeweilige Domain im Scanner-Frontend (zeigt ausschließlich Datum, Uhrzeit, Profil, Score und Anzahl der Findings nach Schweregrad - keine Detail-Findings vorheriger Scans).
• Re-Generierung des PDF-Reports innerhalb der 30-Minuten-Sitzung.
• Interne Qualitätssicherung und Verbesserung der Scanner-Heuristiken (in aggregierter, nicht personenbezogener Form).

Wofür wir die Daten nicht nutzen: Kein Verkauf, keine Weitergabe an Dritte, keine werbliche Verwendung, kein automatisiertes Re-Scanning ohne Ihren Anstoß, keine Veröffentlichung von Findings einer fremden Domain.

Welche Daten sind über die Timeline-API öffentlich abrufbar?

Die im Frontend angezeigte Verlaufs-Timeline ruft serverseitig ausschließlich die folgenden Felder ab: Scan-ID, Datum/Uhrzeit, Scan-Profil, Compliance-Score, Scan-Dauer und Anzahl der Findings je Schweregrad. Vendor-Namen, konkrete Tracker, Cookies, URLs und sonstige Detail-Findings älterer Scans werden niemals über diese Schnittstelle ausgeliefert. Detail-Daten sind nur innerhalb der 30-Minuten-Sitzung des aktuellen Scans und nur nach Eingabe Ihrer Kontaktdaten freischaltbar.

Speicherort und Speicherdauer

Speicherung erfolgt in einer PostgreSQL-Datenbank auf unseren in Deutschland gehosteten Servern (Hetzner, siehe 5.1). Verschlüsselte Scan-Inhalte und die für die Verlaufs-Timeline verwendeten Kennzahlen (Score, Anzahl der Findings je Schweregrad, Profil, Zeitstempel) liegen in derselben Datenzeile und werden gemeinsam höchstens 24 Monate ab dem jeweiligen Scanzeitpunkt aufbewahrt und danach automatisch gelöscht. Sie können jederzeit die Löschung der Historie für eine bestimmte Domain verlangen (siehe Abschnitt 8 „Ihre Rechte").

Rechtsgrundlage

Die Speicherung erfolgt auf Grundlage unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO), Ihnen eine sinnvolle Vergleichs- und Verlaufsfunktion bereitzustellen sowie unseren Dienst technisch und qualitativ weiterzuentwickeln. Da die Historie ausschließlich domain- und nicht personenbezogen indiziert wird und der Snapshot verschlüsselt at rest gespeichert wird, ist Ihr schutzwürdiges Interesse durch geeignete technische Maßnahmen gewahrt.

5. Empfänger der Daten und Auftragsverarbeiter

5.1 Hosting (Hetzner Online GmbH)

Unser Dienst wird auf Servern der Hetzner Online GmbH in Deutschland gehostet. Hetzner ist Auftragsverarbeiter gemäß Art. 28 DSGVO.

Weitere Informationen: Hetzner Datenschutz

5.2 E-Mail-Versand (SpaceMail)

Für den Versand der DSGVO-Reports nutzen wir unseren E-Mail-Dienst SpaceMail (Team Internet AG). Die Datenverarbeitung erfolgt in Deutschland.

Übertragene Daten: Empfänger-E-Mail-Adresse, Vorname (für personalisierte Anrede), E-Mail-Inhalt (Scan-Zusammenfassung ohne sensible Details).

5.3 Bot-Schutz (Cloudflare Turnstile)

Zum Schutz vor automatisierten Missbrauch setzen wir Cloudflare Turnstile ein. Dabei werden folgende Daten an Cloudflare übermittelt:

• IP-Adresse
• Browser-Informationen (User-Agent)
• Interaktionsdaten zur Unterscheidung von Menschen und Bots

Rechtsgrundlage ist unser berechtigtes Interesse an der Sicherheit unseres Dienstes (Art. 6 Abs. 1 lit. f DSGVO).

Cloudflare ist unter dem EU-U.S. Data Privacy Framework zertifiziert. Weitere Informationen: Cloudflare Datenschutz

5.4 Reverse-Proxy / Edge-Netzwerk (Cloudflare CDN)

Diese Website wird über das Edge-Netzwerk der Cloudflare, Inc. ausgeliefert (eingesetzter Dienst: Cloudflare CDN). Cloudflare fungiert als vorgelagerter Reverse-Proxy bzw. Content Delivery Network (CDN) zur Auslieferung statischer Inhalte (HTML, CSS, JavaScript, Bilder, Schriftarten) und zur Abwehr von Angriffen (DDoS-Schutz, Web Application Firewall).

Beim Aufruf dieser Website werden technisch zwingend folgende Daten an Cloudflare übermittelt:

• IP-Adresse des Besuchers
• Datum und Uhrzeit des Zugriffs
• Aufgerufene URL und HTTP-Methode
• Referrer (zuvor besuchte Seite)
• User-Agent (Browser- und Betriebssystem-Informationen)
• Antwortstatus (HTTP-Statuscode) und übertragene Datenmenge

Diese Verarbeitung dient der Bereitstellung, Stabilität und Sicherheit unserer Website. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren, performanten und ausfallresistenten Bereitstellung unseres Online-Angebots).

Cloudflare ist unter dem EU-U.S. Data Privacy Framework zertifiziert. Eine Übermittlung in die USA findet auf Grundlage des Angemessenheitsbeschlusses der EU-Kommission statt. Ergänzend gelten die EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.

Weitere Informationen: Cloudflare Datenschutzerklärung - Auftragsverarbeitungsvertrag (DPA) - EU-U.S. Data Privacy Framework Liste

5.5 Zahlungsabwicklung (Stripe)

Für kostenpflichtige Funktionen (z. B. PDF-Export, Archiv-Detail-Report, Freischaltung der Scan-Historie) nutzen wir den Zahlungsdienst Stripe Payments Europe Ltd. (Irland) bzw. je nach Konfiguration verbundene Stripe-Unternehmen. Karten- und ggf. weitere Zahlungsdaten geben Sie unmittelbar in der von Stripe gehosteten Checkout-Oberfläche ein. Vollständige Karten- oder Zahlungsmitteldaten speichern wir nicht. Bei uns verbleiben die mit dem Kauf verknüpfte Bestell- bzw. Zugangsnummer, der Zahlstatus, die im Checkout angegebene E-Mail-Adresse sowie technische Vorgangskennungen (z. B. Checkout-Session- und Zahlungstransaktions-IDs) zur Erfüllung des Kaufvertrags und ggf. zur Erfüllung handels- und steuerrechtlicher Pflichten.

Rechtsgrundlage ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Weitere Informationen: Datenschutz bei Stripe, Vertragsunterlagen inkl. Auftragsverarbeitung (AVV / DPA).

5.6 Keine weiteren Dritten in dieser Hinsicht

Darüber hinaus verwenden wir:

• Keine externen Fonts (wie Google Fonts)
• Keine Tracking- oder Analyse-Dienste
• Keine Social-Media-Plugins
• Keine Werbenetzwerke
• Keine weiteren Content Delivery Networks von Drittanbietern

6. Cookies, Tracking und Cookie-Informationen

Cookie-Informationen: Diese Website verwendet keine Cookies und kein Tracking. Wir setzen weder eigene Cookies (First-Party-Cookies) noch Cookies von Drittanbietern (Third-Party-Cookies) ein. Es findet keinerlei Profiling, Verhaltensanalyse oder Re-Targeting statt.

Da keine Cookies gesetzt werden, ist eine Einwilligung gemäß § 25 TTDSG nicht erforderlich und es muss kein Cookie-Banner / Consent-Tool eingeblendet werden.

7. Datensicherheit

Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre Daten zu schützen:

• TLS/SSL-Verschlüsselung für alle Datenübertragungen
• Verschlüsselte Datenbank-Verbindungen
• At-rest-Verschlüsselung der archivierten Scan-Ergebnisse mit AES-256-GCM (authenticated encryption); der Schlüssel wird ausschließlich im Backend vorgehalten und nicht in der Datenbank gespeichert
• Domain-Index per SHA-256-Hash, sodass Klartext-Domainnamen nicht in Datenbank-Logs / WHERE-Klauseln auftauchen
• Strikte Whitelist-Projektion auf der Timeline-API, sodass Detail-Findings älterer Scans technisch nicht ausgeliefert werden können
• Rate-Limiting zum Schutz vor Missbrauch
• SSRF-Schutz (Server-Side Request Forgery)
• Protokollrotation und Größenbegrenzung (Anwendung und Container), um ein unkontrolliertes Anwachsen von Logdatenträgern zu vermeiden
• Regelmäßige Sicherheitsupdates

Ein unternehmensinterner Endpunkt zu aggregierten Betriebskennzahlen (z. B. Anzahl technischer Anfragen nach Statusgruppe) ist technisch abgesichert, enthält keine Inhalte Ihrer Scans und dient ausschließlich der Erreichbarkeit und Kapazitätsplanung.

8. Ihre Rechte

Sie haben nach der DSGVO folgende Rechte:

• Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über Ihre gespeicherten Daten verlangen.
• Berichtigungsrecht (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
• Löschungsrecht (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen.
• Datenübertragbarkeit (Art. 20 DSGVO): Sie können die Herausgabe Ihrer Daten in einem maschinenlesbaren Format verlangen.
• Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung auf Basis berechtigter Interessen widersprechen.
• Widerrufsrecht / Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie können Ihre einmal erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Der Widerruf der Einwilligung berührt nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: hello@kreuzertec.de

9. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständige Behörde für uns ist:

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte Rechtslagen oder Änderungen unseres Dienstes anzupassen. Die aktuelle Version finden Sie stets auf dieser Seite.