[…] markierten Stellen musst du ausfüllen, und die
rechtliche Bewertung solltest du fachkundig prüfen lassen, bevor du
diesen Hinweis entfernst (public/legal/datenschutz.html).
[VORNAME NACHNAME]
[STRASSE HAUSNUMMER], [PLZ ORT], Deutschland
E-Mail: [DEINE-EMAIL@DOMAIN.DE]
Deine Inhalte — Finanzdaten, Notizen, Passwörter, Servereinträge — werden mit AES-256-GCM verschlüsselt, bevor sie gespeichert werden. Der Schlüssel wird aus deinem Passwort abgeleitet und existiert nur, solange du angemeldet bist, ausschließlich im Arbeitsspeicher. In der Datenbank steht ausschließlich Chiffretext.
Das bedeutet: Der Betreiber kann deine Inhalte nicht lesen — auch nicht bei vollem Serverzugriff, auf behördliche Anordnung oder im Fall eines Datenlecks. Es bedeutet aber auch: Ohne dein Passwort und ohne deinen Recovery-Code sind deine Daten unwiederbringlich verloren. Wir können sie nicht wiederherstellen.
| Daten | Zweck | Rechtsgrundlage |
|---|---|---|
| E-Mail-Adresse, Name | Kontoführung, Anmeldung, Einladungen in geteilte Tresore | Art. 6 Abs. 1 lit. b DSGVO (Vertrag) |
| Passwort (nur als bcrypt-Hash, Cost 12) | Authentifizierung | Art. 6 Abs. 1 lit. b DSGVO |
| Inhalte (verschlüsselt, für uns unlesbar) | Bereitstellung der Werkzeuge | Art. 6 Abs. 1 lit. b DSGVO |
| Zeitstempel (Registrierung, Änderungen) | Technischer Betrieb | Art. 6 Abs. 1 lit. f DSGVO |
| Server-Logs des Webservers (IP-Adresse, Zeitpunkt, aufgerufene Adresse) | Betriebssicherheit, Missbrauchsabwehr | Art. 6 Abs. 1 lit. f DSGVO |
Es findet kein Tracking statt: keine Analyse-Werkzeuge, keine Werbe-Netzwerke, keine Weitergabe an Dritte zu Werbezwecken.
Toolb0x setzt ausschließlich technisch erforderliche Cookies — deshalb erscheint kein Cookie-Banner (§ 25 Abs. 2 Nr. 2 TDDDG):
auth_token — hält dich angemeldet. HttpOnly (für Skripte
unlesbar), SameSite=Strict, im Betrieb nur über HTTPS. Läuft nach
20 Minuten Inaktivität ab.
csrf_token — schützt vor Cross-Site Request Forgery.
Die Anwendung läuft auf einem Server der [HETZNER ONLINE GMBH, Industriestr. 25, 91710 Gunzenhausen] in [Nürnberg, Deutschland]. Mit dem Anbieter besteht ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO. [PRÜFEN: AVV in der Hetzner-Konsole abgeschlossen?]
Eine Übermittlung in Drittländer findet nicht statt. Schriftarten werden lokal von unserem Server ausgeliefert — es besteht keine Verbindung zu Google Fonts oder anderen externen Diensten.
Dir stehen die Rechte auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21) zu. Zwei davon kannst du direkt in der Anwendung ausüben, ohne uns kontaktieren zu müssen:
Für alles Weitere erreichst du uns unter [DEINE-EMAIL@DOMAIN.DE]. Außerdem steht dir ein Beschwerderecht bei einer Aufsichtsbehörde zu (Art. 77 DSGVO), etwa der für [DEIN BUNDESLAND] zuständigen Stelle.
Das Angebot richtet sich an Personen ab 16 Jahren. Jüngere Nutzerinnen und Nutzer benötigen die Einwilligung der Sorgeberechtigten (Art. 8 DSGVO).
Stand: [DATUM EINTRAGEN]. Wir passen diese Erklärung an, wenn sich die Anwendung ändert.