Datenschutzerklärung
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) ist:
[NAME EINTRAGEN]
[ADRESSE EINTRAGEN]
E-Mail: [E-MAIL EINTRAGEN]
2. Welche Daten wir verarbeiten
2.1 Bei der Registrierung
- Benutzername (frei wählbar, kein Klarname erforderlich)
- Passwort-Hash (Ihr Passwort selbst wird niemals gespeichert; wir speichern nur einen kryptografisch sicheren Hash mittels BCRYPT/Argon2id)
- Recovery-Codes (8 zufällig generierte Codes, ebenfalls nur als Hash gespeichert)
- Zeitstempel der Registrierung sowie der DSGVO- und AGB-Einwilligung
Wichtig: Wir erheben keine E-Mail-Adresse, keinen Klarnamen, keine Anschrift, kein Geburtsdatum und keine sonstigen personenbezogenen Pflichtangaben.
2.2 Bei jeder Anmeldung
- IP-Adresse (zur Erkennung von Brute-Force-Angriffen, automatische Löschung nach 30 Tagen)
- User-Agent (Browser-Kennung, gleiche Speicherdauer)
- Zeitstempel erfolgreicher und fehlgeschlagener Anmeldeversuche
2.3 Bei der Nutzung des Dienstes
- Käufe und Bestände: Daten, die Sie selbst eingeben (Kaufdatum, Händler, Menge, Preis, optionale Beschreibungen und Notizen)
- Persönliche Einstellungen (Standard-Währung, Anzeigepräferenzen, Theme)
- Audit-Log: Änderungen an Käufen und Bestand werden mit Zeitstempel protokolliert (zur Nachvollziehbarkeit der Datenintegrität)
3. Zwecke und Rechtsgrundlagen der Verarbeitung
| Zweck | Datenkategorie | Rechtsgrundlage (DSGVO) |
|---|---|---|
| Bereitstellung des Nutzerkontos und der Funktionen | Username, Passwort-Hash, Käufe, Bestand, Einstellungen | Art. 6 Abs. 1 lit. b (Vertragserfüllung) |
| Abwehr von Brute-Force-Angriffen | IP-Adresse, User-Agent, Login-Zeitstempel | Art. 6 Abs. 1 lit. f (berechtigtes Interesse: IT-Sicherheit) |
| Nachvollziehbarkeit von Datenänderungen (Audit-Log) | Änderungs-Zeitstempel, alte/neue Werte | Art. 6 Abs. 1 lit. f (berechtigtes Interesse: Datenintegrität) |
| Aktueller Silberpreis | Externe API-Abfrage (anonym, ohne Übertragung Ihrer Daten) | Art. 6 Abs. 1 lit. b (Vertragserfüllung) |
4. Cookies und Tracking
Wir verwenden ausschließlich technisch notwendige Cookies:
- Session-Cookie (
SR_SESSION): hält Ihre Anmeldung aufrecht. Wird nach Logout oder spätestens nach 24 Stunden Inaktivität gelöscht. Eigenschaften:HttpOnly,Secure,SameSite=Lax.
Diese Cookies sind für den Betrieb der Website unbedingt erforderlich (Art. 25 Abs. 2 TTDSG, Art. 6 Abs. 1 lit. b DSGVO) und benötigen daher keine Einwilligung.
Wir verwenden kein Tracking, kein Google Analytics, kein Facebook Pixel, keine Werbung und keine externen Drittanbieter-Skripte (außer Google Fonts, siehe unten).
4.1 Google Fonts
Die Schriftarten "Cormorant Garamond" und "Source Sans 3" werden von Google Fonts (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland) geladen. Dabei wird Ihre IP-Adresse an Google übertragen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an konsistenter Darstellung). Datenschutz: https://policies.google.com/privacy.
Hinweis für Betreiber: Für maximale DSGVO-Konformität sollten die Schriften lokal gehostet werden (siehe Anleitung im README).
4.2 Externe API für Silberpreise
Zur Aktualisierung der Silberpreise wird eine Anfrage an einen externen Anbieter (z.B. GoldAPI.io oder Metals-API.com) gesendet. Diese Anfrage erfolgt serverseitig – Ihre IP-Adresse oder andere persönliche Daten werden nicht an den API-Anbieter übertragen.
5. Speicherdauer
| Konto-Daten (Username, Passwort-Hash) | Bis zur Löschung des Kontos durch den Nutzer |
| Käufe, Bestand, Einstellungen | Bis zur Löschung des Kontos oder einzelner Einträge durch den Nutzer |
| Login-Versuche (IP-Adresse, User-Agent) | Maximal 30 Tage, danach automatische Löschung |
| Audit-Logs (Änderungshistorie) | Bis zur Löschung des zugehörigen Datensatzes |
6. Datenweitergabe
Eine Weitergabe Ihrer Daten an Dritte findet nicht statt – mit folgenden Ausnahmen:
- Hosting-Provider: Die Daten werden auf Servern unseres Hosting-Anbieters (Hostinger International Ltd., Litauen) gespeichert. Mit dem Anbieter wurde ein Auftragsverarbeitungs-Vertrag gemäß Art. 28 DSGVO geschlossen.
- Behörden: Bei gesetzlicher Verpflichtung (z.B. richterliche Anordnung).
Eine Übermittlung in Drittländer (außerhalb der EU/des EWR) findet nicht statt, mit Ausnahme der unter Punkt 4.1 genannten Schriftart-Auslieferung über Google Fonts.
7. Ihre Rechte
Sie haben jederzeit das Recht auf:
- Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO)
- Berichtigung unrichtiger Daten (Art. 16 DSGVO)
- Löschung Ihrer Daten ("Recht auf Vergessenwerden", Art. 17 DSGVO) – direkt umsetzbar über die Account-Löschung in Ihren Einstellungen
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO) – Sie können Ihre Daten jederzeit als JSON-Datei exportieren (siehe Account-Einstellungen)
- Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
- Widerruf der Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
- Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)
Zur Ausübung dieser Rechte wenden Sie sich an: [E-MAIL EINTRAGEN]
Zuständige Aufsichtsbehörde in Bayern:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach
www.lda.bayern.de
8. Datensicherheit
Wir setzen technische und organisatorische Maßnahmen zum Schutz Ihrer Daten ein:
- Verschlüsselte Übertragung: Sämtliche Verbindungen erfolgen über HTTPS (TLS 1.2 oder höher).
- Passwort-Hashing: Passwörter werden mit BCRYPT (Cost-Faktor 12) bzw. Argon2id gespeichert. Auch ein erfolgreicher Datenbankzugriff erlaubt keine Wiederherstellung der Klartext-Passwörter.
- Brute-Force-Schutz: Nach 5 fehlgeschlagenen Anmeldeversuchen wird der Account für 15 Minuten gesperrt.
- Session-Hardening: HttpOnly-, Secure- und SameSite-Cookies; Session-ID-Regeneration bei Login; Subnet-Pinning gegen Session-Hijacking.
- CSRF-Schutz: Alle Formulare sind durch Tokens gegen Cross-Site-Request-Forgery geschützt.
- SQL-Injection-Schutz: Sämtliche Datenbankabfragen verwenden Prepared Statements.
9. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich die Rechtslage oder unsere Datenverarbeitung ändert. Es gilt jeweils die aktuelle, auf dieser Seite veröffentlichte Fassung.