Datenschutzerklärung

Stand: 29.07.2025

Verantwortlicher
Raphael Nußbaumer BSc (Einzelunternehmer)
Sohlstraße 3, 6845 Hohenems, Österreich
E-Mail: raphaeln@outlook.com

1. Erhebung und Verwendung personenbezogener Daten

Wir erheben und verarbeiten die folgenden personenbezogenen Daten:

Datenkategorie	Zweck	Rechtsgrundlage
E-Mail-Adresse	Anmeldung, Versand von Login-Codes (passwortloser Login)	Art. 6 Abs. 1 lit. b DSGVO (Vertrag)
Zeitstempel (Erstellung, Synchronisation)	Geräte-Synchronisation und Versionsverwaltung von Notizen, Dateien, Bildern und Videos	Art. 6 Abs. 1 lit. b DSGVO (Vertrag)
IP-Adresse (temporär, nicht persistent)	Rate-Limiting und Schutz vor Überlastung	Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
Session-Cookie (nur bei Login)	Aufrechterhaltung der Sitzung	Art. 6 Abs. 1 lit. b DSGVO (Vertrag)
hCaptcha-Daten	Abwehr automatisierter Anmelde- und Login-Versuche; Erfassung von IP-Adresse, Interaktionsdaten (z. B. Mausbewegungen, Klickmuster) und HTTP-Headern	Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
Notizen, Dateien, Bilder, Videos (verschlüsselt)	Speicherung, Synchronisation und Anzeige in der PWA (Notizen: max. 1 MB, Render/AWS, Frankfurt; Dateien/Bilder/Videos: max. 100 MB, Wasabi Hot Cloud, Frankfurt)	Art. 6 Abs. 1 lit. b DSGVO (Vertrag)

Hinweis: Es findet kein Tracking, kein User-Agent-Logging, kein Fehler-Reporting und kein Performance-Monitoring statt.

2. Speicherdauer

E-Mail-Adresse & Zeitstempel: Gespeichert bis zur Löschung durch den Nutzer.
Notizen, Dateien, Bilder, Videos: Gespeichert bis zur Löschung durch den Nutzer; Backups werden maximal 7 Tage gespeichert.
IP-Adresse: Wird sofort nach Verarbeitung (z. B. Rate-Limiting) gelöscht.
hCaptcha-Daten: Werden nach Verarbeitung durch hCaptcha gemäß deren Datenschutzrichtlinie gelöscht (max. 30 Tage).
Inaktive Accounts: Können nach 1 Jahr Inaktivität gelöscht werden.

3. Weitergabe an Dritte & Auftragsverarbeiter

Wir nutzen folgende Auftragsverarbeiter, mit denen Verträge gemäß Art. 28 DSGVO bestehen:

Hosting & Infrastruktur
- Render.com (AWS, Standort Frankfurt) für die Speicherung von Notizen (max. 2 MB).
- Wasabi Hot Cloud (Standort Frankfurt) für die Speicherung von Dateien, Bildern und Videos (max. 100 MB).
E-Mail-Versand
- Mailjet
Bot-Schutz
- hCaptcha Inc. (Erfassung von IP-Adresse, Interaktionsdaten wie Mausbewegungen und Klickmuster sowie Browser-Header-Informationen zur Bot-Abwehr)
Keine weiteren Auftragsverarbeiter im kostenlosen Basis-Service.

4. Cookies & lokale Speicherung

Cookies: Nur ein temporäres Session-Cookie beim Login, das nach Sitzungsende gelöscht wird.
IndexedDB: Notizen im Klartext, lokal im Browser gespeichert.
LocalStorage: AES-GCM-Schlüssel im Klartext, lokal im Browser gespeichert.

5. Sicherheit & Verschlüsselung

Transport: Alle Daten werden über HTTPS (TLS, aktueller Standard, HSTS) übertragen.
Ende-zu-Ende-Verschlüsselung:
- Notizen, Dateien, Bilder und Videos werden clientseitig mit AES-GCM verschlüsselt, bevor sie übertragen werden.
- Der Verschlüsselungsschlüssel verbleibt ausschließlich im Browser-LocalStorage des Nutzers.
- Der Betreiber hat keinen Zugriff auf unverschlüsselte Inhalte.

6. Betroffenenrechte

Sie können jederzeit per E-Mail (raphaeln@outlook.com) folgende Rechte geltend machen:

Auskunft (Art. 15 DSGVO)
Berichtigung (Art. 16 DSGVO)
Löschung (Art. 17 DSGVO)
Einschränkung (Art. 18 DSGVO)
Datenübertragbarkeit (Art. 20 DSGVO)
Widerspruch (Art. 21 DSGVO)

Wir bearbeiten Anfragen innerhalb der gesetzlichen Frist (in der Regel 1 Monat).

7. Export & Löschung

Export-Funktion: Nutzer können ihre Notizen, Dateien, Bilder und Videos über die PWA exportieren.
Account-Löschung: Jederzeit über die PWA möglich, wodurch alle personenbezogenen Daten gelöscht werden.

8. Benachrichtigung bei Datenschutzvorfällen

Bei einem Datenschutzvorfall (z. B. unbefugter Zugriff auf personenbezogene Daten) informieren wir betroffene Nutzer unverzüglich per E-Mail über den Vorfall, seine Auswirkungen und die ergriffenen Maßnahmen, gemäß Art. 34 DSGVO.

9. Österreichische Datenschutzbehörde

Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren. Zuständig ist:
Österreichische Datenschutzbehörde
Wickenburggasse 8, 1080 Wien, Österreich
E-Mail: dsb@dsb.gv.at

10. Barrierefreiheit

Bei Fragen oder Problemen zur Barrierefreiheit dieser Datenschutzerklärung oder der PWA „ciphernotes“ kontaktieren Sie uns bitte unter raphaeln@outlook.com.

11. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen (z. B. bei neuen Funktionen oder rechtlichen Änderungen). Nutzer werden über wesentliche Änderungen per E-Mail oder durch einen Hinweis in der PWA informiert. Die aktuelle Version ist jederzeit in der PWA unter „Datenschutz“ abrufbar.