Datenschutzerklärung

Diese Datenschutzerklärung informiert dich über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten bei der Nutzung von DNS Beacon. Sie gilt für die Website, die Web-App und den DynDNS-Update-Endpunkt. Begriffe wie „personenbezogene Daten" sind im Sinne der DSGVO zu verstehen.

Verantwortlicher

Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist der im Impressum genannte Anbieter. Du erreichst uns über die dort angegebene E-Mail- und Telefonadresse. Einen externen Datenschutzbeauftragten haben wir nicht bestellt; es besteht keine gesetzliche Pflicht dazu.

→ Anbieterdaten im Impressum

Überblick

Wir verarbeiten personenbezogene Daten nur, soweit das zur Erbringung unseres Dienstes erforderlich ist oder eine andere Rechtsgrundlage greift. Die zentralen Verarbeitungen sind: Kontoanlage und Anmeldung, Speicherung deiner Hostnamen und der zugehörigen IP-Adressen, Versand von Bestätigungs- und Benachrichtigungs-E-Mails sowie kurze Server-Logs zur Abwehr von Angriffen. Wir geben Daten nur an Auftragsverarbeiter weiter, die zur Erbringung des Dienstes notwendig sind (Hosting, E-Mail-Versand, Bot-Schutz, Zertifizierungsstelle); diese sind weiter unten einzeln benannt.

Server-Logs

Beim Aufruf unserer Website und der API verarbeitet unser Server Standard-Verbindungsdaten: IP-Adresse, Zeitpunkt der Anfrage, abgerufene URL, HTTP-Status, übermittelter User-Agent. Diese Logs entstehen technisch zwingend und werden zur Abwehr von Angriffen, Erkennung von Missbrauch und Fehleranalyse verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb). Die Logs werden nach 14 Tagen automatisch gelöscht, es sei denn, ein konkreter Vorfall erfordert eine längere Aufbewahrung.

Konto, Anmeldung und Sicherheit

Für die Registrierung verarbeiten wir deine E-Mail-Adresse sowie — sofern du eine klassische Anmeldung wählst — ein gehashtes Passwort (bcrypt, cost 12). Optional kannst du einen Anzeigenamen hinterlegen. Zur Verifizierung deiner E-Mail-Adresse senden wir dir einen einmaligen Bestätigungslink. Für die Anmeldung erzeugen wir kurzlebige Access-Tokens (JWT, 1 Stunde gültig) und Refresh-Tokens (7 Tage gültig, nur als Hash bei uns gespeichert). Diese Tokens werden in deinem Browser im Local Storage abgelegt; klassische Cookies setzen wir hierfür nicht. Bei Logout, Passwortänderung oder Kontodeaktivierung werden alle aktiven Refresh-Tokens widerrufen. Du kannst optional eine Zwei-Faktor-Authentifizierung (TOTP) aktivieren; wir speichern dann das TOTP-Secret sowie SHA-256-Hashes deiner Backup-Codes. Zusätzlich oder alternativ kannst du Passkeys (WebAuthn/FIDO2) hinterlegen; pro Passkey speichern wir den öffentlichen Schlüssel, den Signaturzähler und ein Label. Alternativ kannst du dich über Google, GitHub oder Microsoft anmelden. Welche Daten wir dabei vom jeweiligen Anbieter erhalten, ist unten unter Auftragsverarbeiter aufgeführt. Rechtsgrundlage für alle Verarbeitungen in diesem Abschnitt ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie für die Sicherheitsfunktionen Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz deines Kontos).

DynDNS-Updates und IP-Historie

Kern unseres Dienstes ist die Aktualisierung von DNS-Einträgen mit deiner aktuellen IP-Adresse. Jeder Update-Vorgang wird zusammen mit folgenden Daten gespeichert: betroffener Hostname, übermittelte IPv4- und IPv6-Adresse, IP-Adresse des Update-Clients, User-Agent, Zeitstempel und Ergebnis (Erfolg/keine Änderung/Fehler). Diese Verarbeitung ist zur Erbringung des Dienstes zwingend erforderlich (Art. 6 Abs. 1 lit. b DSGVO). Die laufende Speicherung der IP-Historie dient zusätzlich der Fehler- und Missbrauchsanalyse (Art. 6 Abs. 1 lit. f DSGVO). Die Aufbewahrungsdauer richtet sich nach deinem Tarif: Free 7 Tage, Pro 90 Tage, Business 365 Tage. Ältere Einträge werden automatisch gelöscht. Beim Löschen deines Kontos werden alle deine Update-Logs gelöscht. Administratoren können im Rahmen der Missbrauchsbekämpfung und Strafverfolgungsanfragen IP-bezogene Suchen im aktuellen Aufbewahrungszeitraum durchführen. Solche Zugriffe werden protokolliert.

Hostnamen, DNS-Records und eigene Domains

Zu jedem Hostnamen kannst du neben A/AAAA-Records auch TXT-, MX- und CNAME-Einträge selbst verwalten. Diese Daten werden in unserer Datenbank gespeichert und an den jeweiligen DNS-Provider weitergereicht, damit sie öffentlich aufgelöst werden können. Wenn du eine eigene Domain (BYOD) einbindest, speichern wir die für die Verwaltung notwendigen API-Credentials des Providers verschlüsselt (AES-256-GCM) in unserer Datenbank. Beim Löschen der Domain oder deines Kontos werden diese Credentials gelöscht; wir versuchen außerdem, von uns gesetzte Records beim Provider zu entfernen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

TLS-Zertifikate und Certificate-Transparency-Logs

Wenn du für einen Hostnamen ein SSL-Zertifikat anforderst, stellen wir es über die ACME-Schnittstelle von Let's Encrypt aus. Dabei werden der Hostname und unsere ACME-Kontakt-E-Mail an Let's Encrypt übermittelt. Den ausgestellten privaten Schlüssel speichern wir verschlüsselt (AES-256-GCM) in unserer Datenbank, sofern du nicht selbst einen CSR hochlädst. Zertifizierungsstellen sind gesetzlich verpflichtet, jedes ausgestellte Zertifikat in öffentliche Certificate-Transparency-Logs einzutragen. Dabei wird unter anderem der Hostname (einschließlich aller SANs) öffentlich einsehbar. Hierauf haben wir keinen Einfluss; das ist ein Branchenstandard und die Voraussetzung für vertrauenswürdige Browser-Zertifikate. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. c DSGVO (CT-Veröffentlichung als rechtliche Pflicht der Zertifizierungsstelle).

Team-Workspaces und Einladungen

Wenn du eine Organisation anlegst, werden der Name, ein URL-Slug und der Eigentümer gespeichert. Pro Mitglied speichern wir die Rolle (Owner/Admin/Member/Viewer) und den Beitrittszeitpunkt. Einladungen erfolgen per E-Mail mit einem zeitlich begrenzten Token; der Token selbst wird nur als Hash bei uns gespeichert. Eingeladene E-Mail-Adressen werden bis zum Widerruf oder Ablauf der Einladung aufbewahrt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO sowie für den Versand der Einladungs-E-Mail an Dritte unser berechtigtes Interesse als auch das des einladenden Nutzers (Art. 6 Abs. 1 lit. f DSGVO).

Benachrichtigungen (E-Mail, Webhook, Web-Push)

Du kannst Benachrichtigungskanäle anlegen, um über Ereignisse informiert zu werden (IP-Wechsel, Host offline, Zertifikatsverlängerung fehlgeschlagen, Zertifikat läuft ab). Wir speichern je nach Kanal: für E-Mail die Empfangsadresse, für Webhook die Ziel-URL und einen HMAC-Secret, für Web-Push die Push-Endpoint-URL und die vom Browser bereitgestellten Verschlüsselungsschlüssel. Für Web-Push erhält der Push-Service des Browser-Anbieters (typischerweise Google für Chrome/Android, Mozilla für Firefox, Apple für Safari) den Inhalt der Benachrichtigung in verschlüsselter Form; das Routing erfolgt anonymisiert über den Endpoint. Versand- und Fehlerprotokolle werden zur Nachvollziehbarkeit gespeichert. Beim Deaktivieren eines Kanals oder Löschen des Kontos werden die Kanaldaten gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (du konfigurierst die Benachrichtigung selbst).

GitHub Sponsors

Wenn du uns über GitHub Sponsors unterstützt und dein Konto mit deinem GitHub-Account verknüpfst, erhalten wir per Webhook von GitHub deine GitHub-Nutzer-ID, deinen Login-Namen, den Sponsoring-Betrag und Statusänderungen. Wir speichern diese Daten, um deinen Tarif automatisch zu aktivieren bzw. wieder auf das Free-Niveau zurückzustufen, wenn das Sponsoring endet. Die ursprüngliche Webhook-Payload speichern wir zur Nachvollziehbarkeit und um Doppelverarbeitungen zu verhindern. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Bot-Schutz (Cloudflare Turnstile)

Auf den Seiten Registrierung, Anmeldung und Passwort-Reset setzen wir Cloudflare Turnstile ein, um automatisierte Anfragen abzuwehren. Dabei wird ein Verifizierungstoken zwischen deinem Browser und Cloudflare ausgetauscht; wir prüfen das Token serverseitig durch eine Anfrage an Cloudflare. Cloudflare kann hierfür eine Risikobewertung anhand von Verbindungsmerkmalen vornehmen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Missbrauchsschutz). Weitere Informationen findest du unter https://www.cloudflare.com/privacypolicy/.

Reichweitenmessung (Umami Analytics)

Zur bedarfsgerechten Verbesserung und zum sicheren Betrieb unseres Dienstes erfassen wir pseudonyme Nutzungsstatistiken mit Umami, einer datenschutzfreundlichen Analyse-Software, die wir selbst auf unserer eigenen Infrastruktur betreiben. Es werden keine Cookies gesetzt und keine geräteübergreifenden Kennungen gebildet. Erfasst werden Seitenaufrufe sowie anonyme Ereignisse zur Funktionsnutzung (z. B. „Hostname angelegt“, „Zertifikat ausgestellt“, „Plan-Limit erreicht“). Die zu einem Ereignis gespeicherten Zusatzangaben sind ausschließlich kategorial (z. B. Tarifstufe, Provider-Typ) und enthalten keine Hostnamen, Domains, IP-Adressen oder E-Mail-Adressen. Deine IP-Adresse wird hierbei nur kurzzeitig serverseitig verarbeitet, um daraus eine tageweise wechselnde, nicht zurückrechenbare Kennung sowie ein ungefähres Herkunftsland abzuleiten; die IP-Adresse selbst wird nicht gespeichert. Da wir Umami selbst hosten, werden diese Daten nicht an Dritte übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer bedarfsgerechten und sicheren Bereitstellung unseres Dienstes). Eine automatisierte Entscheidungsfindung oder ein Profiling findet nicht statt.

Cookies und lokaler Speicher

Wir setzen keine Tracking-Cookies; unsere Reichweitenmessung arbeitet cookielos (siehe vorstehenden Abschnitt). Im Browser legen wir lediglich technisch notwendige Daten im Local Storage ab: dein Access- und Refresh-Token für die angemeldete Sitzung, deine Sprachpräferenz sowie ggf. eine Push-Subscription, wenn du Web-Push-Benachrichtigungen aktivierst. Diese Daten verlassen deinen Browser nur im Rahmen authentifizierter API-Aufrufe.

Speicherdauer und Löschung

Wir speichern personenbezogene Daten so lange, wie es für den jeweiligen Zweck erforderlich ist: • Konto, Hostnamen, Domains, Zertifikate, API-Keys: bis zur Löschung des Kontos. • Update-Logs (IP-Historie): tarifabhängig 7/90/365 Tage. • Server-Logs: 14 Tage. • Refresh-Tokens: 7 Tage ab Ausstellung, danach automatisch ungültig. • Audit-Logs (Sicherheits- und Verwaltungsereignisse): bis zur Löschung des Kontos, ausgenommen Einträge, die wir aus Gründen der Nachvollziehbarkeit (z. B. nach Sicherheitsvorfällen) länger benötigen. • Zertifikat-Historie: solange ein Zertifikat aktiv ist; abgelaufene private Schlüssel werden mit der Cert-Rotation entfernt. • GitHub-Sponsors-Daten: solange du Sponsor bist und für eine angemessene Nachlauffrist nach Beendigung. Du kannst dein Konto jederzeit selbst löschen; wir entfernen dabei deine Daten kaskadierend und versuchen, von uns gesetzte DNS-Records bei deinem Provider zu entfernen sowie aktive Zertifikate zu widerrufen.

Pflicht zur Bereitstellung

Die Angabe deiner E-Mail-Adresse ist für die Anlage und Nutzung eines Kontos zwingend erforderlich. Ohne diese Daten können wir den Dienst nicht erbringen. Alle übrigen Angaben (Anzeigename, 2FA, Passkeys, Benachrichtigungen, eigene Domains) sind freiwillig.

Automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO einschließlich Profiling findet nicht statt. Plan-Limits (z. B. maximale Anzahl Hostnamen) werden regelbasiert geprüft, beinhalten aber keine Bewertung deiner Person.

Auftragsverarbeiter und Empfänger

Zur Erbringung des Dienstes setzen wir die folgenden Auftragsverarbeiter ein. Mit jedem haben wir einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geschlossen. Drittlandübermittlungen erfolgen auf Basis der Standardvertragsklauseln (SCC) bzw. — soweit verfügbar — eines Angemessenheitsbeschlusses (EU-US Data Privacy Framework).

Deine Rechte als betroffene Person

Du hast jederzeit die folgenden Rechte uns gegenüber:

• •Auskunft (Art. 15 DSGVO): Du kannst erfragen, welche Daten wir über dich verarbeiten.
• •Berichtigung (Art. 16 DSGVO): Du kannst die Korrektur unrichtiger oder unvollständiger Daten verlangen.
• •Löschung (Art. 17 DSGVO): Du kannst die Löschung deiner Daten verlangen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Eine Selbst-Löschung deines Kontos ist im Dashboard möglich.
• •Einschränkung (Art. 18 DSGVO): Du kannst die Einschränkung der Verarbeitung verlangen, wenn die Richtigkeit der Daten bestritten wird oder die Verarbeitung unrechtmäßig erscheint.
• •Datenübertragbarkeit (Art. 20 DSGVO): Du kannst die dir betreffenden Daten in einem strukturierten, gängigen, maschinenlesbaren Format erhalten.
• •Widerspruch (Art. 21 DSGVO): Du kannst der Verarbeitung auf Grundlage berechtigter Interessen widersprechen.
• •Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO): Soweit eine Verarbeitung auf deiner Einwilligung beruht, kannst du diese jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung dieser Rechte genügt eine formlose Mitteilung an die im Impressum genannte E-Mail-Adresse.

Beschwerderecht bei der Aufsichtsbehörde

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn du der Ansicht bist, dass die Verarbeitung deiner personenbezogenen Daten gegen die DSGVO verstößt. Für uns zuständig ist: Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg Lautenschlagerstraße 20, 70173 Stuttgart https://www.baden-wuerttemberg.datenschutz.de