bytewurst.de

Datenschutzerklärung

Letztes Update: 2025-04-01 // v1.2.0

Einleitung und Zusammenfassung

Dies ist die Datenschutzerklärung für bytewurst.de. Sie beschreibt, wie und warum wir Informationen über Sie erheben, speichern, verwenden, weitergeben und offenlegen (zusammengefasst: „verarbeiten”), wenn Sie die Website, deren Funktionen nutzen oder auch nur deren Inhalte konsumieren (unsere „Dienste”). bytewurst.de ist eine Website im Aufbau.

Wer ist „wir”? Wir sind die Codepals OÜ und wir sind für die genannten Dienste verantwortlich. Wir sind Eigentümer und Verantwortlicher im Sinne der DSGVO für die personenbezogenen Daten, die bei der Nutzung der Website erhoben werden. Wenn Sie mit uns in Kontakt treten möchten, finden Sie weiter unten entsprechende Möglichkeiten.

Verantwortlicher

Codepals OÜ

Adresse:
Sepapaja tn 6
15551 Tallinn
Estland

E-Mail: privacy@codepals.com

Allgemeiner Aufbau dieser Datenschutzerklärung

Jeder von uns angebotene Dienst wird in einem eigenen Abschnitt beschrieben. Wir erläutern

  • welche Daten wir (und unser Infrastrukturanbieter) verarbeiten
  • welche Rolle unser Infrastrukturanbieter spielt
  • wie lange wir die Daten aufbewahren
  • ob Daten in Drittländer übermittelt werden

Dienste, erhobene Daten, rechtliche Grundlagen

Dienst: Allgemeine Website & Inhaltsbereitstellung

Daten, die wir (und unser Infrastrukturanbieter) verarbeiten

Um diese Website funktionsfähig zu machen (z. B. Blogbeiträge oder diese Datenschutzerklärung anzuzeigen), sind keine Daten erforderlich, die Sie manuell eingeben müssten. Bevor Sie Inhalte unserer Website sehen, sendet Ihr Browser Anfragen an den Server, um diese Inhalte abzurufen. Dabei werden auch Metadaten an den Server übermittelt, wie zum Beispiel:

  • IP-Adresse
  • Browsertyp und -version
  • Betriebssystemtyp und -version
  • Die verwendete Sprache
  • Die Verweisquelle (Referrer)

Die IP-Adresse gilt als personenbezogenes Datum und kann zur Identifizierung verwendet werden. Wenn Sie diese Website beispielsweise innerhalb der nächsten Stunden erneut besuchen, kann möglicherweise festgestellt werden, dass es sich um dieselbe IP-Adresse und damit sehr wahrscheinlich um dieselbe Person handelt. Wir verwenden diese Daten, um den sicheren Betrieb unserer Dienste zu gewährleisten (z. B. Sperrung von IP-Adressen bei verdächtigen Aktivitäten). Wir haben daher ein berechtigtes Interesse an der Verarbeitung dieser Daten.

Einsatz von Cloudflare

Unser Dienst läuft auf der Infrastruktur von Cloudflare, Inc. mit Sitz in den USA. Cloudflare hilft dabei, unsere Inhalte effizient und sicher bereitzustellen, indem anhand Ihrer IP-Adresse der nächstgelegene Server ermittelt wird. Weitere Informationen finden Sie in der Cloudflare-Datenschutzerklärung.

Aus der IP-Adresse lässt sich der ungefähre Standort des Nutzers ableiten (z. B. Land, Stadt, Region). Diese Daten werden zur Verbesserung unserer Dienste verwendet, etwa um lokalisierte Inhalte anzubieten, vor allem aber um sicherzustellen, dass unsere Dienste ordnungsgemäß funktionieren und um unsere Website vor Angriffen zu schützen. Dies selbst umzusetzen würde erheblichen Zeit- und Kostenaufwand erfordern. Wir haben daher ein berechtigtes Interesse am Einsatz von Cloudflare. Sollte diese Website in Zukunft Einnahmen generieren, werden wir einen Wechsel zu einem Anbieter mit Sitz in der EU in Betracht ziehen.

Datenlöschung / Aufbewahrung

  • Die meisten IP-Adressen werden noch am selben Tag aus den Serverprotokollen gelöscht.
  • Bei Fehlern oder vermuteten Angriffen können sie zur Fehlersuche länger gespeichert werden.
  • Cloudflare gibt an, Protokolle unter bestimmten Umständen für 1 Woche aufzubewahren.

Datenübermittlung in Drittländer

Cloudflare ist weltweit tätig, einschließlich in den USA. Da Cloudflare dem US-amerikanischen Recht unterliegt, ist ein Zugriff durch US-Behörden auf Metadaten möglich. Wir haben darauf keinen Einfluss, nutzen Cloudflare jedoch, um eine effiziente Bereitstellung unserer Dienste zu gewährleisten.

Dienst: Benutzerauthentifizierung & Kontoverwaltung

Einige unserer Dienste erfordern die Erstellung eines Benutzerkontos. Anstatt ein eigenes passwortbasiertes Login zu entwickeln, nutzen wir OAuth-Authentifizierung über Google und GitHub (Microsoft). Dies ist eine bewusste Entscheidung nach dem Prinzip Security by Design: Wir speichern Ihr Passwort zu keinem Zeitpunkt. Google und GitHub sind führend in der Authentifizierungssicherheit und investieren erheblich in den Schutz Ihrer Zugangsdaten — weit über das hinaus, was ein kleines Startup verantwortungsvoll selbst umsetzen könnte. Indem wir die Passwortspeicherung an diese Anbieter delegieren, minimieren wir das Risiko von Passwort-Datenlecks auf unserer Seite.

Wenn Sie auf „Mit Google anmelden” oder „Mit GitHub anmelden” klicken, werden Sie zum jeweiligen Anbieter weitergeleitet, wo Sie sich direkt authentifizieren. Wir sehen oder verarbeiten Ihr Passwort zu keinem Zeitpunkt.

Daten, die wir verarbeiten

Nach Ihrer Authentifizierung beim gewählten Anbieter erhalten und speichern wir folgende Daten:

  • E-Mail-Adresse — dient als Ihr primärer Identifikator über unsere Dienste hinweg
  • Anzeigename — Ihr Name, wie vom OAuth-Anbieter bereitgestellt
  • Profilbild-URL — zur Personalisierung Ihrer Nutzungserfahrung
  • Benutzername — abgeleitet aus Ihrem Anbieterprofil oder Ihrer E-Mail-Adresse
  • Anbieterspezifische Profildaten — wie Unternehmen, Standort und Biografie (sofern in Ihrem Anbieterprofil öffentlich verfügbar)
  • Anbieter-Benutzer-ID — eine eindeutige Kennung von Google oder GitHub, die Ihr Anbieterkonto mit Ihrem Konto auf unserer Plattform verknüpft

Wir speichern diese Daten in unserer Datenbank auf Cloudflare D1. Wir speichern weder Ihr Passwort noch Zugriffstoken oder Aktualisierungstoken.

Sitzungsverwaltung

Nach einer erfolgreichen Anmeldung erstellen wir ein Sitzungstoken (JWT — JSON Web Token), das in Ihrem Browser als httpOnly-Cookie gespeichert wird. Dieses Cookie:

  • Ist für JavaScript auf der Seite nicht zugänglich (httpOnly)
  • Ist gegen Cross-Site-Request-Forgery geschützt (sameSite: lax)
  • Verwendet in der Produktivumgebung sichere Übertragung (nur HTTPS)
  • Läuft nach 7 Tagen ab, danach müssen Sie sich erneut anmelden

Das Sitzungstoken enthält Ihre Benutzer-ID, Ihren Anzeigenamen, Ihre Profilbild-URL und Ihre Berechtigungen für die aktuelle Domain. Es enthält weder Ihre E-Mail-Adresse noch sensible Anbieterdaten.

Rollen und Berechtigungen

Jede Domain auf unserer Plattform kann Ihnen eine Rolle zuweisen (z. B. Administrator, Autor, Betrachter). Ihre Rolle bestimmt, auf welche Funktionen Sie zugreifen können. Berechtigungen sind in Ihrem Sitzungstoken eingebettet und sind die alleinige Grundlage für Zugriffskontrollentscheidungen. Ihre Rollenzuweisung wird in unserer Datenbank gespeichert und ist sowohl mit Ihrem Benutzerkonto als auch mit der jeweiligen Domain verknüpft.

Datenlöschung / Aufbewahrung

Ihre Kontodaten werden gespeichert, solange Ihr Konto besteht. Sie können jederzeit die Löschung Ihres Kontos beantragen, indem Sie uns unter privacy@codepals.com kontaktieren. Bei der Löschung entfernen wir:

  • Ihren Benutzerdatensatz und alle zugehörigen Metadaten
  • Ihre OAuth-Anbieterdaten (das bei uns gespeicherte Google-/GitHub-Profil)
  • Alle Rollen- und Berechtigungszuweisungen
  • Alle Organisationsmitgliedschaften

Domain-Eigentümerschaft wird separat behandelt — wenn Sie Domains besitzen, wird die Eigentümerschaft vor der Löschung übertragen oder bereinigt.

Datenübermittlung in Drittländer

Während des Anmeldevorgangs kommuniziert Ihr Browser direkt mit Google (USA) oder GitHub/Microsoft (USA) zur Authentifizierung. Nach der Authentifizierung werden Ihre Anbieterprofildaten an unseren Server gesendet und auf der Cloudflare-D1-Infrastruktur gespeichert. Cloudflare ist weltweit tätig, einschließlich in den USA. Einzelheiten zur Datenverarbeitung durch Cloudflare finden Sie im Abschnitt „Einsatz von Cloudflare” weiter oben.

Wir geben Ihre Kontodaten nicht an andere Dritte weiter.

Als Alternative zum OAuth-Login über Google oder GitHub bieten wir einen passwortlosen Login per E-Mail mittels sogenannter Magic Links an. Wenn Sie Ihre E-Mail-Adresse auf der Login- oder Registrierungsseite eingeben und auf „Login-Link senden” klicken, senden wir Ihnen einen einmaligen Link an Ihre E-Mail-Adresse. Durch Klicken auf diesen Link werden Sie authentifiziert — ein Passwort wird zu keinem Zeitpunkt erstellt, gespeichert oder benötigt.

So funktioniert es

  1. Sie geben Ihre E-Mail-Adresse auf der Login- oder Registrierungsseite ein.
  2. Wir erzeugen einen kryptografisch signierten, einmalig verwendbaren Token, der Ihre E-Mail-Adresse, die Domain und eine eindeutige Nonce (Zufallskennung) enthält.
  3. Dieser Token wird temporär in unserer Datenbank (Cloudflare D1) gespeichert und über unseren E-Mail-Versanddienstleister Brevo (ehemals Sendinblue) an Ihre E-Mail-Adresse gesendet.
  4. Wenn Sie den Magic Link in Ihrer E-Mail anklicken, überprüft unser Server den Token, stellt sicher, dass er noch nicht verwendet wurde, und erstellt oder ruft Ihr Benutzerkonto ab.
  5. Eine Sitzung wird mit dem gleichen JWT-basierten Mechanismus erstellt, der im Abschnitt „Benutzerauthentifizierung & Kontoverwaltung” oben beschrieben ist.

Daten, die wir verarbeiten

  • E-Mail-Adresse — von Ihnen im Login-/Registrierungsformular eingegeben. Wird als primärer Identifikator und als Empfänger für die Magic-Link-E-Mail verwendet.
  • Domainname — die Website, bei der Sie sich anmelden, im Token zur Verifizierung eingebettet.
  • Eindeutige Nonce — eine Zufallskennung, die sicherstellt, dass jeder Magic Link nur einmal verwendet werden kann.
  • Zeitstempel — Erstellungs- und Ablaufzeitpunkt jedes Tokens, verwendet für Ratenbegrenzung und Ablaufkontrolle.

Wir speichern zu keinem Zeitpunkt Ihr Passwort — diese Anmeldemethode ist von Grund auf passwortlos konzipiert.

Ratenbegrenzung

Um Missbrauch zu verhindern, begrenzen wir die Anzahl der Magic-Link-Anfragen auf 3 pro E-Mail-Adresse innerhalb eines 15-Minuten-Fensters. Wenn Sie dieses Limit überschreiten, müssen Sie warten, bevor Sie einen neuen Link anfordern können.

Datenweitergabe an Dritte: Brevo (E-Mail-Versand)

Für den Versand der Magic-Link-E-Mail nutzen wir Brevo (Sendinblue GmbH, mit Sitz in Deutschland). Beim Versand eines Magic Links werden folgende Daten an die API von Brevo übermittelt:

  • Ihre E-Mail-Adresse (als Empfänger)
  • Der E-Mail-Betreff und -Inhalt (der die Magic-Link-URL enthält)

Brevo verarbeitet diese Daten ausschließlich zum Zweck der E-Mail-Zustellung in unserem Auftrag. Brevo handelt dabei als Auftragsverarbeiter gemäß DSGVO. Weitere Informationen zum Datenschutz bei Brevo finden Sie in deren Datenschutzerklärung unter https://www.brevo.com/legal/privacypolicy/.

Aufbewahrung und Löschung von Tokens

Magic-Link-Tokens sind kurzlebig und werden automatisch bereinigt:

  • Tokens laufen nach 10 Minuten ab und können danach nicht mehr verwendet werden.
  • Jeder Token kann nur einmal verwendet werden — nachdem Sie den Link angeklickt haben, wird der Token als verbraucht markiert und kann nicht wiederverwendet werden.
  • Abgelaufene und verbrauchte Tokens werden im Rahmen routinemäßiger Bereinigungsoperationen periodisch aus der Datenbank gelöscht.

Rechtsgrundlage

Die Verarbeitung Ihrer E-Mail-Adresse für die Magic-Link-Authentifizierung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) — Sie initiieren den Vorgang aktiv, indem Sie Ihre E-Mail-Adresse eingeben und auf „Login-Link senden” klicken. Wenn Sie diese Funktion nicht nutzen möchten, können Sie sich stattdessen über Google oder GitHub anmelden.

Dienst: Protokollierung von Authentifizierungsereignissen

Zum Schutz Ihres Kontos und zur Erkennung von Missbrauch protokollieren wir sicherheitsrelevante Ereignisse während des Authentifizierungsprozesses — unabhängig davon, ob Sie sich per Magic Link, Google oder GitHub anmelden. Diese Protokolle helfen uns, verdächtige Aktivitäten wie Brute-Force-Versuche, Token-Replay-Angriffe oder unbefugte Zugriffsversuche über unsere Domains hinweg zu erkennen.

Ereignisse, die wir protokollieren

Wir erfassen die folgenden Authentifizierungsereignisse:

  • Magic Link angefordert — wenn Sie Ihre E-Mail-Adresse eingeben, um einen Login-Link zu erhalten
  • Magic Link verifiziert — wenn Sie sich erfolgreich durch Klicken auf den Link anmelden
  • Magic Link fehlgeschlagen — wenn ein Verifizierungsversuch fehlschlägt (z. B. abgelaufener Token, bereits verwendeter Link oder Domain-Abweichung)
  • Ratenbegrenzung ausgelöst — wenn zu viele Magic-Link-Anfragen für dieselbe E-Mail-Adresse innerhalb eines kurzen Zeitfensters gestellt werden
  • OAuth-Login erfolgreich — wenn Sie sich erfolgreich über Google oder GitHub anmelden
  • OAuth-Login fehlgeschlagen — wenn der Token-Austausch mit Google oder GitHub während des Anmeldevorgangs fehlschlägt

Daten, die wir verarbeiten

Für jedes Ereignis werden die folgenden Daten erfasst:

  • IP-Adresse — wie von Cloudflare bereitgestellt (cf-connecting-ip Header)
  • Ungefährer Standort — Stadt und Land, abgeleitet aus Ihrer IP-Adresse durch Cloudflare
  • User Agent — die Kennung Ihres Browsers
  • Domainname — die Website, auf der das Authentifizierungsereignis stattfand
  • E-Mail-Adresse — die an dem Authentifizierungsversuch beteiligte E-Mail-Adresse (nur bei Magic-Link-Ereignissen)
  • Benutzer-ID — Ihre interne Kontokennung (nur bei erfolgreichen Anmeldungen)
  • Authentifizierungsanbieter — welche Anmeldemethode verwendet wurde (Magic Link, Google oder GitHub)
  • Ereignis-Metadaten — kontextbezogene Details wie der Fehlergrund bei fehlgeschlagenen Versuchen

Diese Daten werden an unseren eigenen Analysedienst CP Insights gesendet, der als Cloudflare Worker betrieben wird und Daten in einer Cloudflare D1 Datenbank speichert. Es sind keine Drittanbieter-Analysedienste beteiligt.

Aufbewahrung und Löschung

Protokolle von Authentifizierungsereignissen werden regelmäßig überprüft und entweder gelöscht oder anonymisiert (IP-Adressen und E-Mail-Adressen werden unkenntlich gemacht). Sie können jederzeit die Löschung Ihrer Authentifizierungsprotokolle beantragen, indem Sie uns unter privacy@codepals.com kontaktieren.

Rechtsgrundlage

Die Verarbeitung von Authentifizierungsereignisdaten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse). Wir haben ein berechtigtes Interesse an der Erkennung und Verhinderung von unbefugtem Zugriff, Missbrauch und Sicherheitsvorfällen auf unserer Plattform. Die erhobenen Daten beschränken sich auf das für die Sicherheitsüberwachung Notwendige und werden nicht für Marketing- oder Profilierungszwecke verwendet.

Dienst: Kontaktaufnahme

Wir bieten verschiedene Möglichkeiten, uns zu kontaktieren, z. B. per E-Mail oder Post. Relevante Drittanbieter sind:

Daten, die wir (und unsere Drittanbieter) verarbeiten

Wenn Sie uns kontaktieren, werden die von Ihnen mitgeteilten Daten verarbeitet, gespeichert und gelöscht, sobald sie nicht mehr benötigt werden.

Datenlöschung / Aufbewahrung

Die Aufbewahrungsdauer hängt vom Zweck ab, zu dem die Daten mitgeteilt wurden. Beispielsweise können wir E-Mail-Adressen aufbewahren, um Anfragen nachzuverfolgen oder Aktualisierungen bereitzustellen.

Ihre Rechte

Löschung von Daten auf Anfrage

Wir haben erläutert, welche Daten wir verarbeiten und wie wir sie nutzen. Wenn Sie möchten, dass wir Ihre Daten löschen, kontaktieren Sie uns.

Export / Übertragung Ihrer Daten

Da wir Daten nicht langfristig speichern, ist ein Datenexport möglicherweise nicht anwendbar.

Auskunft über gespeicherte Daten

Sie haben das Recht, Auskunft über die von uns gespeicherten Daten zu verlangen. Allerdings bewahren wir personenbezogene Daten wie IP-Adressen in der Regel nicht über längere Zeiträume auf.

Widerruf der Einwilligung

Sie haben das Recht, Ihre Einwilligung jederzeit zu widerrufen. Derzeit verarbeiten wir keine Daten, die eine Einwilligung erfordern.

Berichtigung von Daten

Sie haben das Recht, Ihre Daten berichtigen zu lassen. Allerdings verarbeiten wir nur minimale personenbezogene Daten (z. B. IP-Adressen).

Beschwerde einreichen

Sie haben das Recht, sich bei einer Datenschutzbehörde zu beschweren. Ihre zuständige Behörde finden Sie über die EDPB-Mitgliederliste.

Cookies

Wenn Sie eine andere Sprache als die Standardsprache auswählen (also die, auf die Ihr Browser eingestellt ist), speichern wir diese Information in Ihrem Browser, indem wir ein Cookie setzen. Darüber hinaus verwenden wir keine weiteren Cookies. Wir haben ein berechtigtes Interesse daran, unseren Kunden (Ihnen) zu ermöglichen, die Inhalte unserer Website zu verstehen.

Web-Beacons

Wir verwenden ein Skript von Cloudflare, um anonymisierte Analysedaten zu erheben, wie z. B. Besucherinteraktionen und den allgemeinen Standort (Land). Diese Daten werden zur Verbesserung der Website verwendet.

Datensicherheit

Wir priorisieren den Datenschutz durch datenschutzfreundliches Design und Partnerschaften mit vertrauenswürdigen Anbietern. Die Website verwendet HTTPS und TLS/SSL-Verschlüsselung für eine sichere Kommunikation.

Letztes Update: 2025-04-01 // v1.2.0