KernelScan.io

Datenschutzerklärung

Stand: 29. Mai 2026

Maßgeblich ist diese deutsche Fassung. Eine englische Übersetzung steht zur Information bereit; bei Abweichungen gilt die deutsche Fassung.

Diese Datenschutzerklärung klärt Sie über die Art, den Umfang und Zweck der Verarbeitung von personenbezogenen Daten (nachfolgend „Daten") innerhalb dieses Onlineangebots und der mit ihm verbundenen Webseiten, Funktionen und Inhalte (nachfolgend gemeinsam bezeichnet als „Onlineangebot") auf. Maßgeblich ist die Datenschutz-Grundverordnung (DSGVO) sowie ergänzend das Bundesdatenschutzgesetz (BDSG).

1. Verantwortlicher

KernelScan UG (haftungsbeschränkt)
Silcherstrasse 25
72631 Aichtal, Deutschland
E-Mail: info@kernelscan.io

Vollständige Kontaktdaten siehe Impressum.

2. Übersicht der Verarbeitungen

Wir verarbeiten folgende Kategorien personenbezogener Daten:

Kategorie Daten Rechtsgrundlage Speicherdauer
Kontodaten E-Mail-Adresse, Passwort-Hash, Rolle Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) Bis zur Kontolöschung
Authentifizierung JWT-Tokens im localStorage des Browsers Art. 6 Abs. 1 lit. b DSGVO (zur Vertragsdurchführung erforderlich) Access-Token: 30 Minuten; Refresh-Token: 7 Tage
Server-Logs / Traces IP-Adresse, Request-Pfad, HTTP-Methode, Zeitstempel, Statuscode Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: IT-Sicherheit, Missbrauchsprävention, Fehleranalyse) 7 Tage (konfigurierbar)
Reichweitenmessung Login-Sitzungen, Ereignisprotokoll (Login, Upload, Produkt-Erstellung, Seitenaufrufe öffentlicher Seiten), abgeleitetes Land aus IP via lokaler MaxMind-GeoLite2-Datenbank (kein externer Aufruf) Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Produktverbesserung, Verständnis der Nutzung) IP-Adressen werden nach 30 Tagen anonymisiert (letztes Oktett bzw. letzte 80 Bit auf 0); Land und aggregierte Statistiken bleiben dauerhaft erhalten
Hochgeladene Kernel-Konfigurationen Inhalt der .config-Datei Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) Bis zur manuellen Löschung durch den Nutzer
Analyseergebnisse Erzeugte VEX-Reports, CVE-Statistiken Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) Bis zur manuellen Löschung durch den Nutzer
Kontaktanfragen Name (optional), E-Mail-Adresse, Kategorie, Betreff, Nachrichtentext Art. 6 Abs. 1 lit. b DSGVO (Beantwortung vorvertraglicher Anfragen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung allgemeiner Anfragen) Bis zur abschließenden Bearbeitung der Anfrage; anschließend Löschung, soweit keine gesetzlichen Aufbewahrungsfristen entgegenstehen

3. Keine Tracking-Cookies, keine Werbe-Tools

Die Anwendung selbst setzt keine HTTP-Cookies. Für die Authentifizierung angemeldeter Nutzer werden ausschließlich Tokens (Access- und Refresh-Token) im localStorage des Browsers gespeichert. Diese Speicherung ist für die Bereitstellung des vom Nutzer ausdrücklich gewünschten Dienstes „unbedingt erforderlich" im Sinne des § 25 Abs. 2 Nr. 2 TDDDG und daher einwilligungsfrei. Im Rahmen des Sicherheits- und Verfügbarkeitsbetriebs kann unser CDN-/Sicherheitsanbieter Cloudflare in Einzelfällen ein unbedingt erforderliches Sicherheits-Cookie (cf_clearance) setzen, wenn eine manuelle Sicherheitsprüfung ausgelöst wurde; Details siehe Abschnitt 4.2.

Wir verwenden kein Google Analytics, keine Tracking-Pixel, keine Werbe-Cookies und keine externen CDNs für Schriftarten oder Skripte. Schriftarten werden lokal von unserem Server ausgeliefert. Beim Aufruf der Seite werden keine Daten an Werbenetzwerke, Analyse-Anbieter oder Schriftart-CDNs (z. B. Google Fonts) übertragen.

Hinweis zum Auslieferungspfad. Unsere Domain wird über das globale Edge-Netzwerk von Cloudflare ausgeliefert (CDN, Web Application Firewall, DDoS-Schutz). Cloudflare verarbeitet dabei für jede eingehende Anfrage Verbindungsmetadaten. Die hierfür maßgeblichen Angaben — einschließlich Rechtsgrundlage, Drittlandübermittlung in die USA und Auftragsverarbeitungsvertrag — finden Sie in Abschnitt 4.2.

Selbst-gehostete Reichweitenmessung. Wir protokollieren auf eigenen Servern Login-Sitzungen, hochgeladene Konfigurationen und Seitenaufrufe öffentlicher Seiten. Das Land wird offline aus einer lokalen MaxMind-GeoLite2-Datenbank ermittelt — ohne Aufruf einer externen Schnittstelle. IP-Adressen werden nach 30 Tagen anonymisiert (letztes Oktett bzw. letzte 80 Bit auf 0). Anonyme Besucher werden nicht über Sitzungen hinweg verfolgt, da hierfür weder Cookies noch andere Identifikatoren gesetzt werden.

4. Auftragsverarbeiter und Weitergabe an Dritte

Eine Übermittlung Ihrer personenbezogenen Daten an Dritte findet nicht statt, außer

4.1 Hosting — IONOS SE (Deutschland)

Anbieter: IONOS SE, Elgendorfer Straße 57, 56410 Montabaur, Deutschland. Auf den Servern von IONOS werden die Anwendung sowie die zugehörige Datenbank betrieben. Verarbeitet werden daher sämtliche in Abschnitt 2 genannten Datenkategorien. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem zuverlässigen Betrieb des Onlineangebots). Mit IONOS besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. Die Verarbeitung erfolgt ausschließlich innerhalb der Europäischen Union; eine Übermittlung in Drittländer findet im Rahmen des Hostings nicht statt.

4.2 CDN, WAF und DDoS-Schutz — Cloudflare

Anbieter: Cloudflare, Inc., 101 Townsend Street, San Francisco, CA 94107, USA; in der Europäischen Union vertreten durch Cloudflare Germany GmbH, Rosental 7, c/o Mindspace, 80331 München. Beim Aufruf unserer Seiten werden Verbindungsmetadaten — insbesondere IP-Adresse, angeforderte URL, Zeitstempel, HTTP-Methode, User-Agent und Referrer — am globalen Edge-Netzwerk von Cloudflare verarbeitet. Cloudflare übernimmt für uns das Caching statischer Inhalte (Content Delivery Network, CDN), die Filterung bösartigen Datenverkehrs (Web Application Firewall, WAF) sowie den Schutz vor Distributed-Denial-of-Service-Angriffen (DDoS).

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verfügbarkeit, Integrität und Sicherheit des Onlineangebots). Mit Cloudflare besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO einschließlich der EU-Standardvertragsklauseln. Cloudflare, Inc. ist nach dem EU-US Data Privacy Framework zertifiziert; die Übermittlung personenbezogener Daten in die USA stützt sich auf den Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023 (DPF). Bot-Erkennungsdienste (Bot Fight Mode, Bot Management) sind in unserer Cloudflare-Konfiguration deaktiviert. Lediglich bei einer manuell ausgelösten Sicherheitsprüfung kann Cloudflare ein unbedingt erforderliches Cookie (cf_clearance) setzen; dessen Speicherung ist gemäß § 25 Abs. 2 Nr. 2 TDDDG einwilligungsfrei. Weitere Informationen: Cloudflare-Datenschutzerklärung.

5. Ihre Rechte als betroffene Person

Ihnen stehen folgende Rechte zu:

6. Beschwerderecht bei der Aufsichtsbehörde

Sie haben gemäß Art. 77 DSGVO das Recht, sich bei einer Aufsichtsbehörde zu beschweren. Zuständig für uns ist:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW)
Lautenschlagerstraße 20
70173 Stuttgart, Deutschland
www.baden-wuerttemberg.datenschutz.de

7. Keine automatisierte Entscheidungsfindung, kein Profiling

Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO einschließlich Profiling findet nicht statt. Die im Dienst erzeugten CVE-Analysen stellen eine technische Auswertung Ihrer hochgeladenen Kernel-Konfiguration gegen eine öffentliche Schwachstellendatenbank dar und haben keine rechtliche Wirkung Ihnen gegenüber.

8. Datensicherheit

Wir verwenden TLS-Verschlüsselung (HTTPS) zur Übertragung aller Daten zwischen Ihrem Browser und unserem Server. Passwörter werden ausschließlich als kryptographische Hashes gespeichert. Der Zugriff auf die Datenbank ist auf autorisierte Administratoren beschränkt.

9. Meldung von Datenpannen

Im Falle einer Verletzung des Schutzes personenbezogener Daten benachrichtigen wir gemäß Art. 33 DSGVO die zuständige Aufsichtsbehörde innerhalb von 72 Stunden, nachdem uns die Verletzung bekannt geworden ist — es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen.

Hat die Verletzung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Personen zur Folge, benachrichtigen wir Sie zusätzlich gemäß Art. 34 DSGVO unverzüglich direkt — in der Regel per E-Mail an die in Ihrem Konto hinterlegte Adresse. Die Mitteilung beschreibt in klarer und einfacher Sprache die Art der Verletzung, die voraussichtlichen Folgen sowie die ergriffenen oder vorgeschlagenen Maßnahmen zur Eindämmung möglicher nachteiliger Auswirkungen.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.