Datenschutzerklärung
Stand: 29. Mai 2026
Maßgeblich ist diese deutsche Fassung. Eine englische Übersetzung steht zur Information bereit; bei Abweichungen gilt die deutsche Fassung.
Diese Datenschutzerklärung klärt Sie über die Art, den Umfang und Zweck der Verarbeitung von personenbezogenen Daten (nachfolgend „Daten") innerhalb dieses Onlineangebots und der mit ihm verbundenen Webseiten, Funktionen und Inhalte (nachfolgend gemeinsam bezeichnet als „Onlineangebot") auf. Maßgeblich ist die Datenschutz-Grundverordnung (DSGVO) sowie ergänzend das Bundesdatenschutzgesetz (BDSG).
1. Verantwortlicher
KernelScan UG (haftungsbeschränkt)
Silcherstrasse 25
72631 Aichtal, Deutschland
E-Mail: info@kernelscan.io
Vollständige Kontaktdaten siehe Impressum.
2. Übersicht der Verarbeitungen
Wir verarbeiten folgende Kategorien personenbezogener Daten:
| Kategorie | Daten | Rechtsgrundlage | Speicherdauer |
|---|---|---|---|
| Kontodaten | E-Mail-Adresse, Passwort-Hash, Rolle | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) | Bis zur Kontolöschung |
| Authentifizierung | JWT-Tokens im localStorage des Browsers | Art. 6 Abs. 1 lit. b DSGVO (zur Vertragsdurchführung erforderlich) | Access-Token: 30 Minuten; Refresh-Token: 7 Tage |
| Server-Logs / Traces | IP-Adresse, Request-Pfad, HTTP-Methode, Zeitstempel, Statuscode | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: IT-Sicherheit, Missbrauchsprävention, Fehleranalyse) | 7 Tage (konfigurierbar) |
| Reichweitenmessung | Login-Sitzungen, Ereignisprotokoll (Login, Upload, Produkt-Erstellung, Seitenaufrufe öffentlicher Seiten), abgeleitetes Land aus IP via lokaler MaxMind-GeoLite2-Datenbank (kein externer Aufruf) | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Produktverbesserung, Verständnis der Nutzung) | IP-Adressen werden nach 30 Tagen anonymisiert (letztes Oktett bzw. letzte 80 Bit auf 0); Land und aggregierte Statistiken bleiben dauerhaft erhalten |
| Hochgeladene Kernel-Konfigurationen | Inhalt der .config-Datei |
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) | Bis zur manuellen Löschung durch den Nutzer |
| Analyseergebnisse | Erzeugte VEX-Reports, CVE-Statistiken | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) | Bis zur manuellen Löschung durch den Nutzer |
| Kontaktanfragen | Name (optional), E-Mail-Adresse, Kategorie, Betreff, Nachrichtentext | Art. 6 Abs. 1 lit. b DSGVO (Beantwortung vorvertraglicher Anfragen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung allgemeiner Anfragen) | Bis zur abschließenden Bearbeitung der Anfrage; anschließend Löschung, soweit keine gesetzlichen Aufbewahrungsfristen entgegenstehen |
3. Keine Tracking-Cookies, keine Werbe-Tools
Die Anwendung selbst setzt keine HTTP-Cookies. Für die Authentifizierung
angemeldeter Nutzer werden ausschließlich Tokens (Access- und Refresh-Token) im
localStorage des Browsers gespeichert. Diese Speicherung ist für die Bereitstellung
des vom Nutzer ausdrücklich gewünschten Dienstes „unbedingt erforderlich" im Sinne des
§ 25 Abs. 2 Nr. 2 TDDDG und daher einwilligungsfrei. Im Rahmen des
Sicherheits- und Verfügbarkeitsbetriebs kann unser CDN-/Sicherheitsanbieter
Cloudflare in Einzelfällen ein unbedingt erforderliches Sicherheits-Cookie
(cf_clearance) setzen, wenn eine manuelle Sicherheitsprüfung
ausgelöst wurde; Details siehe Abschnitt 4.2.
Wir verwenden kein Google Analytics, keine Tracking-Pixel, keine Werbe-Cookies und keine externen CDNs für Schriftarten oder Skripte. Schriftarten werden lokal von unserem Server ausgeliefert. Beim Aufruf der Seite werden keine Daten an Werbenetzwerke, Analyse-Anbieter oder Schriftart-CDNs (z. B. Google Fonts) übertragen.
Hinweis zum Auslieferungspfad. Unsere Domain wird über das globale Edge-Netzwerk von Cloudflare ausgeliefert (CDN, Web Application Firewall, DDoS-Schutz). Cloudflare verarbeitet dabei für jede eingehende Anfrage Verbindungsmetadaten. Die hierfür maßgeblichen Angaben — einschließlich Rechtsgrundlage, Drittlandübermittlung in die USA und Auftragsverarbeitungsvertrag — finden Sie in Abschnitt 4.2.
Selbst-gehostete Reichweitenmessung. Wir protokollieren auf eigenen Servern Login-Sitzungen, hochgeladene Konfigurationen und Seitenaufrufe öffentlicher Seiten. Das Land wird offline aus einer lokalen MaxMind-GeoLite2-Datenbank ermittelt — ohne Aufruf einer externen Schnittstelle. IP-Adressen werden nach 30 Tagen anonymisiert (letztes Oktett bzw. letzte 80 Bit auf 0). Anonyme Besucher werden nicht über Sitzungen hinweg verfolgt, da hierfür weder Cookies noch andere Identifikatoren gesetzt werden.
4. Auftragsverarbeiter und Weitergabe an Dritte
Eine Übermittlung Ihrer personenbezogenen Daten an Dritte findet nicht statt, außer
- wenn Sie ausdrücklich eingewilligt haben (Art. 6 Abs. 1 lit. a DSGVO),
- zur Erfüllung rechtlicher Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO),
- an die nachfolgend genannten technischen Auftragsverarbeiter gemäß Art. 28 DSGVO.
4.1 Hosting — IONOS SE (Deutschland)
Anbieter: IONOS SE, Elgendorfer Straße 57, 56410 Montabaur, Deutschland. Auf den Servern von IONOS werden die Anwendung sowie die zugehörige Datenbank betrieben. Verarbeitet werden daher sämtliche in Abschnitt 2 genannten Datenkategorien. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem zuverlässigen Betrieb des Onlineangebots). Mit IONOS besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. Die Verarbeitung erfolgt ausschließlich innerhalb der Europäischen Union; eine Übermittlung in Drittländer findet im Rahmen des Hostings nicht statt.
4.2 CDN, WAF und DDoS-Schutz — Cloudflare
Anbieter: Cloudflare, Inc., 101 Townsend Street, San Francisco, CA 94107, USA; in der Europäischen Union vertreten durch Cloudflare Germany GmbH, Rosental 7, c/o Mindspace, 80331 München. Beim Aufruf unserer Seiten werden Verbindungsmetadaten — insbesondere IP-Adresse, angeforderte URL, Zeitstempel, HTTP-Methode, User-Agent und Referrer — am globalen Edge-Netzwerk von Cloudflare verarbeitet. Cloudflare übernimmt für uns das Caching statischer Inhalte (Content Delivery Network, CDN), die Filterung bösartigen Datenverkehrs (Web Application Firewall, WAF) sowie den Schutz vor Distributed-Denial-of-Service-Angriffen (DDoS).
Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der
Verfügbarkeit, Integrität und Sicherheit des Onlineangebots). Mit Cloudflare besteht
ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO einschließlich der
EU-Standardvertragsklauseln. Cloudflare, Inc. ist nach dem
EU-US Data Privacy Framework zertifiziert; die Übermittlung
personenbezogener Daten in die USA stützt sich auf den Angemessenheitsbeschluss
der Europäischen Kommission vom 10. Juli 2023 (DPF). Bot-Erkennungsdienste
(Bot Fight Mode, Bot Management) sind in unserer Cloudflare-Konfiguration
deaktiviert. Lediglich bei einer manuell ausgelösten Sicherheitsprüfung kann
Cloudflare ein unbedingt erforderliches Cookie (cf_clearance)
setzen; dessen Speicherung ist gemäß § 25 Abs. 2 Nr. 2 TDDDG einwilligungsfrei. Weitere Informationen:
Cloudflare-Datenschutzerklärung.
5. Ihre Rechte als betroffene Person
Ihnen stehen folgende Rechte zu:
- Auskunft (Art. 15 DSGVO): Sie können Auskunft über die von uns verarbeiteten Daten verlangen.
- Berichtigung (Art. 16 DSGVO): Sie können unrichtige Daten berichtigen lassen.
- Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen. Sie können Ihren Account jederzeit selbst über die Kontoeinstellungen löschen; dabei werden Ihr Nutzerkonto sowie alle zugeordneten API-Keys und Verifizierungstokens unwiderruflich entfernt.
- Einschränkung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen.
- Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten.
- Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung aus Gründen, die sich aus Ihrer besonderen Situation ergeben, widersprechen.
- Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO): Sofern die Verarbeitung auf Einwilligung beruht, können Sie diese jederzeit widerrufen.
6. Beschwerderecht bei der Aufsichtsbehörde
Sie haben gemäß Art. 77 DSGVO das Recht, sich bei einer Aufsichtsbehörde zu beschweren. Zuständig für uns ist:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit
Baden-Württemberg (LfDI BW)
Lautenschlagerstraße 20
70173 Stuttgart, Deutschland
www.baden-wuerttemberg.datenschutz.de
7. Keine automatisierte Entscheidungsfindung, kein Profiling
Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO einschließlich Profiling findet nicht statt. Die im Dienst erzeugten CVE-Analysen stellen eine technische Auswertung Ihrer hochgeladenen Kernel-Konfiguration gegen eine öffentliche Schwachstellendatenbank dar und haben keine rechtliche Wirkung Ihnen gegenüber.
8. Datensicherheit
Wir verwenden TLS-Verschlüsselung (HTTPS) zur Übertragung aller Daten zwischen Ihrem Browser und unserem Server. Passwörter werden ausschließlich als kryptographische Hashes gespeichert. Der Zugriff auf die Datenbank ist auf autorisierte Administratoren beschränkt.
9. Meldung von Datenpannen
Im Falle einer Verletzung des Schutzes personenbezogener Daten benachrichtigen wir gemäß Art. 33 DSGVO die zuständige Aufsichtsbehörde innerhalb von 72 Stunden, nachdem uns die Verletzung bekannt geworden ist — es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen.
Hat die Verletzung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Personen zur Folge, benachrichtigen wir Sie zusätzlich gemäß Art. 34 DSGVO unverzüglich direkt — in der Regel per E-Mail an die in Ihrem Konto hinterlegte Adresse. Die Mitteilung beschreibt in klarer und einfacher Sprache die Art der Verletzung, die voraussichtlichen Folgen sowie die ergriffenen oder vorgeschlagenen Maßnahmen zur Eindämmung möglicher nachteiliger Auswirkungen.
10. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.
Privacy Policy
Last updated: 29 May 2026
The German version of this privacy policy is the legally binding one. This English text is provided for convenience; in case of discrepancies, the German version prevails.
This privacy policy informs you of the nature, scope, and purpose of the processing of personal data (hereinafter „data") within this online offer and the associated websites, features, and content. It is based on the EU General Data Protection Regulation (GDPR) and, in addition, the German Federal Data Protection Act (BDSG).
1. Controller
KernelScan UG (haftungsbeschränkt)
Silcherstrasse 25
72631 Aichtal, Germany
Email: info@kernelscan.io
Full contact details are listed in the Imprint.
2. Data we process
| Category | Data | Legal basis | Retention |
|---|---|---|---|
| Account data | Email address, password hash, role | Art. 6(1)(b) GDPR — contract performance | Until account deletion |
| Authentication | JWT tokens in browser localStorage | Art. 6(1)(b) GDPR — necessary for service | Access token: 30 min; refresh token: 7 days |
| Server logs / traces | IP address, request path, method, timestamp, status code | Art. 6(1)(f) GDPR — legitimate interest (security, abuse prevention) | 7 days (configurable) |
| Reach measurement | Login sessions, event log (login, upload, product creation, public-page views), country derived from IP via a local MaxMind GeoLite2 database (no external call) | Art. 6(1)(f) GDPR — legitimate interest (product improvement, usage understanding) | IP addresses are anonymized after 30 days (last octet / last 80 bits set to zero); country and aggregate statistics are retained indefinitely |
| Uploaded kernel configs | Content of .config files |
Art. 6(1)(b) GDPR — contract performance | Until deleted by user |
| Analysis results | Generated VEX reports, CVE statistics | Art. 6(1)(b) GDPR — contract performance | Until deleted by user |
| Contact requests | Name (optional), email address, category, subject, message text | Art. 6(1)(b) GDPR (handling pre-contractual enquiries) or Art. 6(1)(f) GDPR (legitimate interest in handling general enquiries) | Until the enquiry has been fully handled; deleted thereafter unless statutory retention periods apply |
3. No tracking cookies, no advertising tools
The application itself does not set HTTP cookies. For authentication of
logged-in users, only short-lived tokens (access and refresh) are stored in the browser's
localStorage. This storage is strictly necessary to provide the service the user
has explicitly requested and is therefore exempt from consent under § 25(2)(2) TDDDG. As
part of the security and availability layer, our CDN/security provider Cloudflare may set
a strictly necessary security cookie (cf_clearance) when a security check
has been manually triggered — see section 4.2.
We use no Google Analytics, no tracking pixels, no advertising cookies, and no third-party CDNs for fonts or scripts. All fonts are self-hosted; no data is transmitted to advertising networks, analytics providers, or font CDNs (e.g. Google Fonts) when you load a page.
Note on the delivery path. Our domain is served through Cloudflare's global edge network (CDN, Web Application Firewall, DDoS protection). Cloudflare processes connection metadata for every incoming request. Legal basis, US transfer, and the data processing agreement are described in section 4.2.
Self-hosted reach measurement. We log login sessions, uploaded configurations, and public-page views on our own servers. Country is resolved offline from a local MaxMind GeoLite2 database — never from an external API. IP addresses are anonymized after 30 days (last octet / last 80 bits set to zero). Anonymous visitors are not tracked across sessions because we set neither cookies nor any other identifier.
4. Data processors and disclosure to third parties
Your personal data is not shared with third parties, except:
- if you have given explicit consent (Art. 6(1)(a) GDPR);
- to meet legal obligations (Art. 6(1)(c) GDPR);
- with the technical data processors named below, under Art. 28 GDPR.
4.1 Hosting — IONOS SE (Germany)
Provider: IONOS SE, Elgendorfer Straße 57, 56410 Montabaur, Germany. The application and its database run on IONOS servers, which means all data categories listed in section 2 are processed there. Legal basis: Art. 6(1)(b) GDPR (contract performance) and Art. 6(1)(f) GDPR (legitimate interest in reliable operation of the service). A data processing agreement (DPA) under Art. 28 GDPR is in place. Processing takes place exclusively within the European Union; the hosting layer involves no transfer to third countries.
4.2 CDN, WAF and DDoS protection — Cloudflare
Provider: Cloudflare, Inc., 101 Townsend Street, San Francisco, CA 94107, USA; represented in the European Union by Cloudflare Germany GmbH, Rosental 7, c/o Mindspace, 80331 Munich. When you access our pages, connection metadata — in particular IP address, requested URL, timestamp, HTTP method, User-Agent, and Referrer — is processed at Cloudflare's global edge network. Cloudflare provides caching of static content (Content Delivery Network, CDN), filtering of malicious traffic (Web Application Firewall, WAF), and protection against Distributed-Denial-of-Service (DDoS) attacks.
Legal basis: Art. 6(1)(f) GDPR (legitimate interest in availability, integrity, and
security of the service). A data processing agreement under Art. 28 GDPR, including
the EU Standard Contractual Clauses, is in place. Cloudflare, Inc. is certified
under the EU-US Data Privacy Framework; transfers to the United
States rely on the European Commission's adequacy decision of 10 July 2023 (DPF).
Bot detection services (Bot Fight Mode, Bot Management) are disabled in our
Cloudflare configuration. Only when a security check is manually triggered may
Cloudflare set a strictly necessary cookie (cf_clearance); its
storage is exempt from consent under § 25(2)(2) TDDDG. Further information:
Cloudflare Privacy Policy.
5. Your rights
- Access (Art. 15 GDPR)
- Rectification (Art. 16 GDPR)
- Erasure (Art. 17 GDPR): you can delete your account at any time from the account settings. This irrevocably removes your user record along with any associated API keys and verification tokens.
- Restriction (Art. 18 GDPR)
- Data portability (Art. 20 GDPR)
- Objection (Art. 21 GDPR)
- Withdrawal of consent (Art. 7(3) GDPR), where processing is based on consent
6. Right to lodge a complaint
Under Art. 77 GDPR, you have the right to lodge a complaint with a supervisory authority. The competent authority for us is:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit
Baden-Württemberg (LfDI BW)
Lautenschlagerstraße 20
70173 Stuttgart, Germany
www.baden-wuerttemberg.datenschutz.de
7. No automated decision-making, no profiling
No automated decision-making or profiling within the meaning of Art. 22 GDPR takes place. The CVE analyses generated by the service are a technical evaluation of your uploaded kernel configuration against a public vulnerability database and have no legal effect on you.
8. Data security
All data is transmitted between your browser and our server via TLS (HTTPS). Passwords are stored only as cryptographic hashes. Database access is restricted to authorized administrators.
9. Data breach notification
In the event of a personal-data breach, we will notify the competent supervisory authority within 72 hours of becoming aware of the breach, in line with Art. 33 GDPR, unless the breach is unlikely to result in a risk to the rights and freedoms of natural persons.
Where the breach is likely to result in a high risk to the rights and freedoms of affected individuals, we will additionally notify you directly without undue delay in accordance with Art. 34 GDPR — typically by email to the address on file in your account. The notification will describe, in clear and plain language, the nature of the breach, its likely consequences, and the measures taken or proposed to mitigate possible adverse effects.
10. Changes to this privacy policy
We reserve the right to update this privacy policy as needed to reflect current legal requirements. The latest version applies on each new visit.