Datenschutzerklärung
Stand: [DATUM DER LETZTEN AKTUALISIERUNG]
Maßgeblich ist diese deutsche Fassung. Eine englische Übersetzung steht zur Information bereit; bei Abweichungen gilt die deutsche Fassung.
Diese Datenschutzerklärung klärt Sie über die Art, den Umfang und Zweck der Verarbeitung von personenbezogenen Daten (nachfolgend „Daten") innerhalb dieses Onlineangebots und der mit ihm verbundenen Webseiten, Funktionen und Inhalte (nachfolgend gemeinsam bezeichnet als „Onlineangebot") auf. Maßgeblich ist die Datenschutz-Grundverordnung (DSGVO) sowie ergänzend das Bundesdatenschutzgesetz (BDSG).
1. Verantwortlicher
[UNTERNEHMENSNAME]
[STRASSE UND HAUSNUMMER]
[PLZ ORT, LAND]
E-Mail: [DATENSCHUTZ@DOMAIN.DE]
Vollständige Kontaktdaten siehe Impressum.
2. Übersicht der Verarbeitungen
Wir verarbeiten folgende Kategorien personenbezogener Daten:
| Kategorie | Daten | Rechtsgrundlage | Speicherdauer |
|---|---|---|---|
| Kontodaten | E-Mail-Adresse, Passwort-Hash, Rolle | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) | Bis zur Kontolöschung |
| Authentifizierung | JWT-Tokens im localStorage des Browsers | Art. 6 Abs. 1 lit. b DSGVO (zur Vertragsdurchführung erforderlich) | Access-Token: 30 Minuten; Refresh-Token: 7 Tage |
| Server-Logs / Traces | IP-Adresse, Request-Pfad, HTTP-Methode, Zeitstempel, Statuscode | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: IT-Sicherheit, Missbrauchsprävention, Fehleranalyse) | 7 Tage (konfigurierbar) |
| Hochgeladene Kernel-Konfigurationen | Inhalt der .config-Datei |
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) | Bis zur manuellen Löschung durch den Nutzer oder nach [RETENTION] |
| Analyseergebnisse | Erzeugte VEX-Reports, CVE-Statistiken | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) | Bis zur manuellen Löschung durch den Nutzer |
3. Keine Cookies, keine Drittanbieter-Tools
KernelScan setzt keine HTTP-Cookies ein. Für die Authentifizierung angemeldeter Nutzer werden ausschließlich Tokens (Access- und Refresh-Token) im localStorage des Browsers gespeichert. Diese Speicherung ist für die Bereitstellung des vom Nutzer ausdrücklich gewünschten Dienstes „unbedingt erforderlich" im Sinne des § 25 Abs. 2 Nr. 2 TTDSG und daher einwilligungsfrei.
Wir verwenden kein Google Analytics, keine Tracking-Pixel, keine Werbe-Cookies, keine externen CDNs für Schriftarten oder Skripte. Schriftarten werden lokal von unserem Server ausgeliefert, sodass beim Aufruf der Seite keine Daten an Google, Cloudflare oder andere Drittanbieter übertragen werden.
4. Weitergabe an Dritte
Eine Übermittlung Ihrer personenbezogenen Daten an Dritte findet nicht statt, außer:
- wenn Sie ausdrücklich eingewilligt haben (Art. 6 Abs. 1 lit. a DSGVO),
- zur Erfüllung rechtlicher Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO),
- an technische Auftragsverarbeiter gemäß Art. 28 DSGVO: Hosting bei [HOSTING-PROVIDER, z. B. Render Inc., USA]. Mit dem Anbieter besteht ein Auftragsverarbeitungsvertrag und — bei US-Anbietern — die Übermittlung erfolgt auf Grundlage der EU-Standardvertragsklauseln sowie geeigneter technischer und organisatorischer Maßnahmen.
5. Ihre Rechte als betroffene Person
Ihnen stehen folgende Rechte zu:
- Auskunft (Art. 15 DSGVO): Sie können Auskunft über die von uns verarbeiteten Daten verlangen.
- Berichtigung (Art. 16 DSGVO): Sie können unrichtige Daten berichtigen lassen.
- Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen. Sie können Ihren Account jederzeit selbst über die Kontoeinstellungen löschen; dabei werden Ihr Nutzerkonto sowie alle zugeordneten API-Keys und Verifizierungstokens unwiderruflich entfernt.
- Einschränkung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen.
- Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten.
- Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung aus Gründen, die sich aus Ihrer besonderen Situation ergeben, widersprechen.
- Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO): Sofern die Verarbeitung auf Einwilligung beruht, können Sie diese jederzeit widerrufen.
6. Beschwerderecht bei der Aufsichtsbehörde
Sie haben gemäß Art. 77 DSGVO das Recht, sich bei einer Aufsichtsbehörde zu beschweren. Zuständig für uns ist:
[ZUSTÄNDIGE LANDESDATENSCHUTZBEHÖRDE]
[ADRESSE]
[WEBSITE]
7. Keine automatisierte Entscheidungsfindung, kein Profiling
Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO einschließlich Profiling findet nicht statt. Die im Dienst erzeugten CVE-Analysen stellen eine technische Auswertung Ihrer hochgeladenen Kernel-Konfiguration gegen eine öffentliche Schwachstellendatenbank dar und haben keine rechtliche Wirkung Ihnen gegenüber.
8. Datensicherheit
Wir verwenden TLS-Verschlüsselung (HTTPS) zur Übertragung aller Daten zwischen Ihrem Browser und unserem Server. Passwörter werden ausschließlich als kryptographische Hashes gespeichert. Der Zugriff auf die Datenbank ist auf autorisierte Administratoren beschränkt.
9. Meldung von Datenpannen
Im Falle einer Verletzung des Schutzes personenbezogener Daten benachrichtigen wir gemäß Art. 33 DSGVO die zuständige Aufsichtsbehörde innerhalb von 72 Stunden, nachdem uns die Verletzung bekannt geworden ist — es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen.
Hat die Verletzung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Personen zur Folge, benachrichtigen wir Sie zusätzlich gemäß Art. 34 DSGVO unverzüglich direkt — in der Regel per E-Mail an die in Ihrem Konto hinterlegte Adresse. Die Mitteilung beschreibt in klarer und einfacher Sprache die Art der Verletzung, die voraussichtlichen Folgen sowie die ergriffenen oder vorgeschlagenen Maßnahmen zur Eindämmung möglicher nachteiliger Auswirkungen.
10. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.
Privacy Policy
Last updated: [LAST UPDATED DATE]
The German version of this privacy policy is the legally binding one. This English text is provided for convenience; in case of discrepancies, the German version prevails.
This privacy policy informs you of the nature, scope, and purpose of the processing of personal data (hereinafter „data") within this online offer and the associated websites, features, and content. It is based on the EU General Data Protection Regulation (GDPR) and, in addition, the German Federal Data Protection Act (BDSG).
1. Controller
[COMPANY NAME]
[STREET AND NUMBER]
[POSTAL CODE, CITY, COUNTRY]
Email: [PRIVACY@DOMAIN.DE]
Full contact details are listed in the Imprint.
2. Data we process
| Category | Data | Legal basis | Retention |
|---|---|---|---|
| Account data | Email address, password hash, role | Art. 6(1)(b) GDPR — contract performance | Until account deletion |
| Authentication | JWT tokens in browser localStorage | Art. 6(1)(b) GDPR — necessary for service | Access token: 30 min; refresh token: 7 days |
| Server logs / traces | IP address, request path, method, timestamp, status code | Art. 6(1)(f) GDPR — legitimate interest (security, abuse prevention) | 7 days (configurable) |
| Uploaded kernel configs | Content of .config files |
Art. 6(1)(b) GDPR — contract performance | Until deleted by user or after [RETENTION] |
| Analysis results | Generated VEX reports, CVE statistics | Art. 6(1)(b) GDPR — contract performance | Until deleted by user |
3. No cookies, no third-party tracking
KernelScan does not set HTTP cookies. For authentication of logged-in users, only short-lived tokens (access and refresh) are stored in the browser's localStorage. This storage is strictly necessary to provide the service the user has explicitly requested and is therefore exempt from consent under § 25(2)(2) TTDSG.
We use no Google Analytics, no tracking pixels, no advertising cookies, and no third-party CDNs for fonts or scripts. All fonts are self-hosted, so no data is transmitted to Google, Cloudflare, or other third parties when you load a page.
4. Sharing with third parties
Your personal data is not shared with third parties, except:
- if you have given explicit consent (Art. 6(1)(a) GDPR);
- to meet legal obligations (Art. 6(1)(c) GDPR);
- with technical data processors under Art. 28 GDPR: hosting with [HOSTING PROVIDER, e.g. Render Inc., USA]. A data processing agreement is in place; for US providers, transfers rely on the EU Standard Contractual Clauses and appropriate technical and organizational safeguards.
5. Your rights
- Access (Art. 15 GDPR)
- Rectification (Art. 16 GDPR)
- Erasure (Art. 17 GDPR): you can delete your account at any time from the account settings. This irrevocably removes your user record along with any associated API keys and verification tokens.
- Restriction (Art. 18 GDPR)
- Data portability (Art. 20 GDPR)
- Objection (Art. 21 GDPR)
- Withdrawal of consent (Art. 7(3) GDPR), where processing is based on consent
6. Right to lodge a complaint
Under Art. 77 GDPR, you have the right to lodge a complaint with a supervisory authority. The competent authority for us is:
[COMPETENT SUPERVISORY AUTHORITY]
[ADDRESS]
[WEBSITE]
7. No automated decision-making, no profiling
No automated decision-making or profiling within the meaning of Art. 22 GDPR takes place. The CVE analyses generated by the service are a technical evaluation of your uploaded kernel configuration against a public vulnerability database and have no legal effect on you.
8. Data security
All data is transmitted between your browser and our server via TLS (HTTPS). Passwords are stored only as cryptographic hashes. Database access is restricted to authorized administrators.
9. Data breach notification
In the event of a personal-data breach, we will notify the competent supervisory authority within 72 hours of becoming aware of the breach, in line with Art. 33 GDPR, unless the breach is unlikely to result in a risk to the rights and freedoms of natural persons.
Where the breach is likely to result in a high risk to the rights and freedoms of affected individuals, we will additionally notify you directly without undue delay in accordance with Art. 34 GDPR — typically by email to the address on file in your account. The notification will describe, in clear and plain language, the nature of the breach, its likely consequences, and the measures taken or proposed to mitigate possible adverse effects.
10. Changes to this privacy policy
We reserve the right to update this privacy policy as needed to reflect current legal requirements. The latest version applies on each new visit.