Datenschutzerklärung

1. Einleitung

Der Schutz personenbezogener Daten ist uns, der Identeco GmbH & Co. KG, ein wichtiges Anliegen. In dieser Datenschutzerklärung informieren wir darüber, welche personenbezogenen Daten wir im Rahmen der Nutzung des Leak Inspectors und verwandter Risikoanalyseprodukte erheben, wie wir diese verwenden und welche Rechte Sie im Bezug auf Ihre Daten haben.

2. Verantwortlicher

Verantwortlicher für die Verarbeitung der personenbezogenen Daten im Rahmen der Nutzung des Leak Inspectors ist:

Identeco GmbH & Co. KG
Joachimstraße 8
53113 Bonn
E-Mail: support@leak-inspector.de
Telefon: +49 (0) 228 286 285 81

3. Erhobene Daten und deren Nutzung

3.1 Nutzung des Leak Inspectors

Im Rahmen der Nutzung des Leak Inspectors erheben wir folgende personenbezogene Daten:

• Stammdaten: E-Mail-Adresse, IP-Adresse, Hostname.
• Technische Daten: IP-Adresse, Hostname, Browsertyp, Betriebssystem, Datum und Uhrzeit des Zugriffs.
• Zugriffsdaten: Informationen zum Zugriff auf persönliche Risikoanalyse, einschließlich Zeitpunkt und Gültigkeitsdauer der Anfrage sowie einer eindeutigen Report-ID.

3.2 Herkunft und Nutzung der für die Analyse genutzten Leak-Daten

Im Rahmen der Analyse durch den Leak Inspector und weitere Risikoanalyseprodukte verarbeiten wir personenbezogene Leak-Daten, die aus folgenden Quellen stammen:

• Öffentlich zugängliche Orte im Internet: Leak-Daten, die durch Sicherheitsvorfälle im Internet öffentlich zugänglich gemacht wurden, beispielsweise im Darknet oder Deep Web.
• Leak-Daten von Dritten: Leak-Daten, die uns von Dritten unentgeltlich bereitgestellt werden, die diese Informationen rechtmäßig gesammelt haben.

Wir weisen darauf hin, dass wir diese Daten nicht selbst generieren oder erwerben, sondern ausschließlich auf bereits im Internet veröffentlichte Informationen zugreifen, die in einschlägigen Datenbanken, Foren oder Ähnlichem zugänglich gemacht wurden.

Verarbeitete Datenkategorien:

• Geleakte Login-Daten: E-Mail-Adressen, Benutzernamen, Passwörter, Telefonnummern und andere Zugangsdaten, die durch Sicherheitsvorfälle öffentlich zugänglich gemacht wurden.
• Domainbezogene Daten: Informationen, die eine Domain betreffen und nicht direkt einer Person zugeordnet werden können.

Nutzung der Leak-Daten in Risikoanalyseprodukten:

• Leak Inspector: Die gesammelten Leak-Daten werden anonymisiert gespeichert und zur Durchführung einer individuellen Risikoanalyse genutzt. Der Benutzer erhält Zugriff auf eine Analyse der potenziellen Risiken, sofern eine entsprechende Anfrage über den Leak Inspector oder im Auftrag einer Organisation gestellt wird.
• Domainbasierte Risikoanalyse: Analysen, die auf Basis der Domain von E-Mail-Adressen durchgeführt werden, um ein Lagebild für Unternehmen oder Organisationen zu erstellen, ohne direkte Zuordnung zu einer Person.
• Risikoanalyse von Portal- und Unternehmensaccounts: Risikoanalysen zur Sicherstellung von Accountsicherheit können im Auftrag durch berechtigte Organisationen erfolgen.

Anonymisierung und Schutz der Daten:

Alle gesammelten Daten werden von uns anonymisiert gespeichert und streng vertraulich behandelt. Ein Zugriff auf diese Daten durch unberechtigte Dritte ist ausgeschlossen. Die Verarbeitung der Daten erfolgt ausschließlich zu dem Zweck, den jeweiligen Nutzern oder Organisationen eine fundierte Risikoanalyse zur Verfügung zu stellen und die Accountsicherheit zu gewährleisten.

3.3 Interaktive Funktionen im Leak Inspector

Der Leak Inspector bietet Benutzern verschiedene interaktive Funktionen, um die Analyseergebnisse zu bewerten und zu verwalten. Es besteht beispielsweise die Möglichkeit, Leaks als abgeschlossen zu kennzeichnen oder deren Relevanz zu bewerten. Diese Daten werden verarbeitet, um diese Funktionalitäten bereitzustellen und sicherzustellen, dass die gewählte Präferenz bei zukünftigen Anfragen berücksichtigt wird. Bewertungen helfen uns auch dabei, die Qualität unserer Services für alle Nutzer, einschließlich anderer Kunden und Organisationen, kontinuierlich zu verbessern.

Speicherdauer und Löschmöglichkeit:

Die vorgenommenen Bewertungen und Kennzeichnungen werden gespeichert, um eine personalisierte Nutzungserfahrung zu bieten und unsere Services kontinuierlich zu verbessern. Bewertungen und Abschlussstatus können selbstständig geändert oder entfernt werden. Dazu steht eine entsprechende Funktion im Leak Inspector zur Verfügung.

Im Falle einer beauftragten Risikoanalyse durch eine Organisation werden anonymisierte Auswertungen über den Status der gekennzeichneten Leaks und die Relevanzbewertungen der Ergebnisse an den Verantwortlichen der Organisation übermittelt. Persönliche Daten, wie Login- oder Passwortinformationen, werden hierbei nicht weitergegeben.

3.4 Verarbeitung bei beauftragten Risikoanalysen durch Organisationen

Falls die Nutzung des Leak Inspectors im Rahmen einer von einer Organisation beauftragten Risikoanalyse erfolgt, werden zusätzlich folgende Daten erhoben und verarbeitet:

• Feedback-ID: Diese ID wird im Zugriffstoken gespeichert und dient dazu, den Status des Versands, Empfangs und Zugriffs auf die persönliche Risikosanalyse sowie den Umfang durchgeführter Leakbewertungen und Kennzeichnungen an den Verantwortlichen der beauftragenden Organisation zurückzumelden.

Es wird ausdrücklich darauf hingewiesen, dass die Feedback-ID nur im Kontext von beauftragten Risikoanalysen durch Organisationen eingeführt und genutzt wird. Ein Zugriff auf persönliche Leak-Daten, insbesondere Login- oder Passwortdaten, erfolgt nicht. Wenn der Leak Inspector als Einzelperson benutzt wird, wird keine Feedback-ID generiert oder verarbeitet.

3.5 Webanalyse mit Matomo

Wir verwenden Matomo, eine Open-Source-Software zur statistischen Auswertung der Besucherzugriffe. Matomo wird lokal auf unseren Servern gehostet, sodass keine Daten an Dritte weitergegeben werden. Die folgenden Daten werden zu Analysezwecken erfasst:

• Anonymisierte IP-Adresse: Die IP-Adresse wird anonymisiert, bevor sie gespeichert wird, sodass keine Rückschlüsse auf einzelne Nutzer möglich sind.
• Nutzungsdaten: Informationen über das Nutzungsverhalten auf der Website, einschließlich der besuchten Seiten, Verweildauer, Herkunft des Zugriffs (z.B. Referrer), und verwendete Geräte- und Browserinformationen.

Die Datenverarbeitung durch Matomo erfolgt auf Grundlage unseres berechtigten Interesses an der Optimierung und Analyse unseres Webangebots gemäß Art. 6 Abs. 1 lit. f DSGVO.

Zur technischen Umsetzung der Opt-Out-Funktion wird ein Cookie mit dem Namen MATOMO_SESSID gesetzt. Dieser enthält eine zufällige Sitzungs-ID, dient ausschließlich dem Schutz vor CSRF-Angriffen und wird automatisch nach 14 Tagen gelöscht. Es erfolgt keine Speicherung personenbezogener Daten über diesen Cookie.

Ergänzend wird zur dauerhaften Speicherung der Opt-Out-Präferenz ein Eintrag im Local Storage des Browsers mit dem Namen flutter.matomo_opt_out abgelegt. Beide Maßnahmen sind technisch notwendig, um die Funktionalität und Datenschutzpräferenzen der Nutzer zuverlässig umzusetzen.

3.6 Benutzeraccount und Authentifizierung

Zur Nutzung erweiterter Funktionen des Leak Inspectors können Nutzer einen persönlichen Benutzeraccount anlegen. Dabei werden folgende personenbezogene Daten verarbeitet:

• Registrierungsdaten: E-Mail-Adresse, gehashtes Passwort, Zeitpunkt der Registrierung, letzter Login.
• Authentifizierungsdaten: Ein Authentifizierungstoken, das im lokalen Speicher Ihres Browsers (Local Storage) abgelegt wird. Dieses Token enthält keine Passwörter.

Zweck der Datenverarbeitung: Die Verarbeitung erfolgt zur Bereitstellung des Benutzeraccounts, zur Authentifizierung und zur Anzeige individueller Analyseergebnisse.

Speicherdauer: Die Daten werden solange gespeichert, wie der Benutzeraccount besteht. Bei Löschung des Accounts werden auch die damit verbundenen personenbezogenen Daten gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht.

3.7 Lokale Speicherung (Local Storage)

Zur technisch notwendigen Funktionsweise des Leak Inspectors werden folgende Informationen lokal im Browser gespeichert (Local Storage). Diese Daten verbleiben ausschließlich auf dem Gerät des Nutzers und werden nicht serverseitig ausgewertet:

• flutter.matomo_opt_out: Speicherung der Opt-Out-Präferenz für die Webanalyse (Matomo). Persistent, technisch erforderlich.
• sb-localhost-auth-token: Speicherung des Authentifizierungstokens für registrierte Benutzer. Wird bei Anmeldung gesetzt und bei Abmeldung gelöscht. Persistent, technisch erforderlich.

Diese Einträge sind erforderlich, um die gewählten Nutzerpräferenzen sowie die Anmeldefunktion ohne Cookies und externe Trackingdienste umzusetzen.

4. Zweck der Datenverarbeitung

Wir verarbeiten personenbezogenen Daten zu folgenden Zwecken:

• Bereitstellung des Leak Inspectors: Um die Nutzung des Leak Inspectors zu ermöglichen, einschließlich der Anzeige, Verwaltung und Personalisierung von Analyseergebnisse und Bewertungen.
• Registrierung und Benutzeraccount: Zur Verwaltung von Benutzeraccounts, zur Authentifizierung und zur Erbringung individueller Leistungen (z. B. Benachrichtigung bei neuen Bedrohungen).
• Webanalyse: Zur Analyse des Nutzerverhaltens auf unserer Website und zur Optimierung unseres Angebots durch die Verwendung von Matomo.
• Sicherstellung der Sicherheit: Um Missbrauch des Dienstes zu verhindern und die Sicherheit der Verarbeitung zu gewährleisten.
• Serviceverbesserung: Wir nutzen aggregierte und anonymisierte Leak-Bewertungen, um die Qualität unseres Serviceangebots kontinuierlich zu verbessern.
• Verarbeitung im Auftrag: Sofern die Analyse im Kontext einer beauftragten Risikoanalyse durch eine Organisation erfolgt, verarbeiten wir personenbezogene Daten, um den Verantwortlichen über den Status und den Umfang der Bewertungen zu informieren. Eine Weitergabe oder Zugriff auf persönliche Leak-Daten, insbesondere Login- oder Passwortdaten, erfolgt nicht.

5. Rechtsgrundlagen der Datenverarbeitung

Die Verarbeitung personenbezogenen Daten erfolgt auf folgenden Rechtsgrundlagen:

• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Sofern Sie freiwillig einen Benutzeraccount anlegen, verarbeiten wir Ihre Daten auf Grundlage Ihrer Einwilligung.
• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Die Verarbeitung ist notwendig, um die vertraglichen Pflichten im Rahmen der Nutzung des Leak Inspectors zu erfüllen.
• Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Die Verarbeitung ist notwendig, um die Sicherheit und Funktionsfähigkeit des Dienstes zu gewährleisten, Missbrauch zu verhindern, die Nutzung unserer Dienste zu analysieren und die Benutzerfreundlichkeit zu verbessern. Darüber hinaus nutzen wir aggregierte und anonymisierte Leak-Bewertungen zur Optimierung unseres Serviceangebots, ohne dass ein Bezug zu einzelnen Benutzern besteht.

6. Verarbeitung von Daten im Auftrag von Organisationen

Wenn der Leak Inspector im Rahmen einer beauftragten Risikoanalyse durch eine Organisation genutzt wird, erfolgt die Datenverarbeitung im Auftrag des beauftragenden Unternehmens:

• Verantwortlichkeit: Die beauftragende Organisation ist eigenständig verantwortlich für die Einhaltung der Datenschutzgesetze im Rahmen der Analyse.
• Auftragsverarbeitung: Wir verarbeiten die Daten gemäß den Weisungen der beauftragenden Organisation und im Rahmen der vertraglichen Vereinbarungen.

7. Weitergabe und Übermittlung von Daten

Personenbezogenen Daten werden nur dann an Dritte weitergegeben, wenn dies zur Erfüllung unserer vertraglichen Pflichten erforderlich ist, wir gesetzlich dazu verpflichtet sind oder eine Einwilligung vorliegt.

• Dienstleister: Wir setzen externe Dienstleister, beschrieben in Punkt 7.2, für den Unterhalt des Leak Inspectors ein, die in unserem Auftrag tätig sind.

Rechtliche Verpflichtungen: Im Falle gesetzlicher Verpflichtungen können Daten an Behörden oder andere staatliche Stellen weitergegeben werden.

7.2 Externe Dienstleister

7.2.1 Hosting

Wir hosten unsere Dienste bei Hetzner. Anbieter ist die Hetzner Online GmbH (nachfolgend Hetzner genannt):

Hetzner Online GmbH
Industriestr. 25
91710 Gunzenhausen

E-Mail: info@hetzner.com

Details entnehmen Sie der Datenschutzerklärung von Hetzner: https://www.hetzner.com/de/rechtliches/datenschutz.

Auftragsvereinbarung: Wir haben einen Vertrag über Auftragsverarbeitung (AVV) mit Hetzner geschlossen. Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass dieser die personenbezogenen Daten unserer Besucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet.

8. Dauer der Datenspeicherung

Personenbezogenen Daten werden nur so lange gespeichert, wie dies für die Erfüllung der Zwecke, für die sie erhoben wurden, erforderlich ist, oder solange wir gesetzlich dazu verpflichtet sind.

• Risikoberichte: Die Daten im Zusammenhang mit Risikoberichten werden für die Dauer der Gültigkeit des Zugriffs gespeichert und anschließend gemäß den gesetzlichen Aufbewahrungsfristen gelöscht.
• Bewertungen und Kennzeichnungen: Vorgenommene Leak-Bewertungen und Kennzeichnungen im Leak Inspector werden gespeichert, damit diese bei zukünftigen Anfragen präsentiert werden können. Leak-Bewertungen und Kennzeichnungen können selbstständig geändert oder entfernt werden.
• Anonymisierte und aggregierte Daten: Anonymisierte und aggregierte Daten, die zur Serviceverbesserung genutzt werden, unterliegen keiner festen Speicherfrist, da sie keinen Personenbezug aufweisen. Diese Daten können so lange gespeichert und verwendet werden, wie sie für die Optimierung unseres Serviceangebots relevant sind.

9. Betroffenenrechte

Es gelten die gesetzlichen Bestimmungen und insbesondere folgende Rechte in Bezug auf personenbezogenen Daten:

• Auskunft: Betroffene haben das Recht, Auskunft über die von uns verarbeiteten personenbezogenen Daten zu erhalten.
• Berichtigung: Betroffene können die Berichtigung unrichtiger oder unvollständiger Daten verlangen.
• Löschung: Betroffene haben das Recht, die Löschung Ihrer Daten zu verlangen, soweit dies gesetzlich zulässig ist.
• Einschränkung der Verarbeitung: Betroffene können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
• Widerspruch: Betroffene können der Verarbeitung Ihrer Daten widersprechen, wenn die Verarbeitung auf einem berechtigten Interesse beruht.
• Datenübertragbarkeit: Betroffene haben das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen.

10. Sicherheitsmaßnahmen

Wir treffen angemessene technische und organisatorische Maßnahmen, um personenbezogenen Daten vor unbefugtem Zugriff, Verlust oder Missbrauch zu schützen. Dazu gehören unter anderem:

• Verschlüsselung der Datenübertragung: Zugriffe und Übertragungen erfolgen über gesicherte Verbindungen (SSL/TLS).
• Zugriff über sicheren Link: Analyseergebnisse sind über einen einmaligen, sicheren Link abrufbar.
• Keine Speicherung von E-Mail-Adressen: Ihre E-Mail-Adresse wird nur zur Generierung und zum Versand des Links verwendet und danach gelöscht.
• Dynamische Berichterstellung: Der Risikobericht wird erst beim Aufruf des Links erzeugt, um die Datenhaltung zu minimieren.
• ID-basierte Verwaltung: Bewertungen und Präferenzen werden über eine eindeutige ID verwaltet, dies erlaubt den Verzicht einer dauerhaften Speicherung Ihrer E-Mail-Adresse.

Der Leak Inspector kann weiterhin ohne Benutzeraccount genutzt werden. Für registrierte Benutzer gelten zusätzlich folgende Maßnahmen zur Erhöhung der Sicherheit ihrer Accounts:

• Sichere Authentifizierung: Authentifizierungsinformationen werden nur temporär auf dem Endgerät gespeichert und beim Logout automatisch entfernt.
• Zwei-Faktor-Authentifizierung (2FA): Wir unterstützen die Nutzung einer Zwei-Faktor-Authentifizierung für Benutzeraccounts. Nutzer werden aktiv und transparent auf diese zusätzliche Schutzmaßnahme hingewiesen und dazu ermutigt, sie zu aktivieren, um die Sicherheit ihres Leak Inspector Accounts weiter zu erhöhen.
• Löschung bei Inaktivität: Benutzeraccounts, die über einen langen Zeitraum inaktiv sind, können aus Sicherheits- und Datenschutzgründen automatisch gelöscht werden. Nutzer werden darüber im Vorfeld informiert.
• Schutz vor unbefugtem Zugriff: Fehlgeschlagene Anmeldeversuche werden protokolliert. Der Zugang zum Account kann nach mehreren fehlgeschlagenen Versuchen vorübergehend gesperrt werden.

11. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung zu ändern, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes sowie der Datenverarbeitung anzupassen. Die aktuelle Version ist stets auf unserer Website verfügbar.

12. Kontakt

Für Fragen, Anmerkungen oder zur Ausübung von Betroffenenrechten in Bezug auf Ihre personenbezogenen Daten wenden Sie sich bitte an:

Identeco GmbH & Co. KG
Joachimstraße 8
53113 Bonn
E-Mail: support@leak-inspector.de
Telefon: +49 (0) 228 286 285 81