Datenschutzerklärung
Stand: Juni 2026. Diese Datenschutzerklärung informiert Sie gemäß Art. 13 und Art. 14 DSGVO darüber, welche personenbezogenen Daten wir bei der Nutzung von secret.bytexx.de verarbeiten, zu welchem Zweck und auf welcher Rechtsgrundlage.
1. Verantwortlicher
Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist:
BYTEXX IT
Inh. Rico Becker
Albert-Einstein-Str. 18
23617 Stockelsdorf
Tel.: +49 (0) 40 209 339 559
Mobil: +49 (0) 172 675 059 6
E-Mail: info@bytexx.de
Ein gesetzlich vorgeschriebener Datenschutzbeauftragter ist mangels Erreichen der Schwellenwerte des § 38 BDSG nicht bestellt. Für Datenschutzanliegen wenden Sie sich bitte direkt an die oben genannte E-Mail-Adresse.
2. Grundprinzip — Ende-zu-Ende-Verschlüsselung
SharePassword verschlüsselt Ihre Inhalte ausschließlich
in Ihrem Browser mit AES-256-GCM. Der Verschlüsselungs-
schlüssel wird in Ihrem Browser erzeugt, im Link-Fragment
(#…) übertragen und niemals an unseren Server
gesendet. Wir können den Inhalt Ihres Geheimnisses zu
keinem Zeitpunkt einsehen.
3. Welche Daten verarbeiten wir?
3.1 Verschlüsselte Inhaltsdaten
| Datenfeld | Inhalt | Speicherdauer |
|---|---|---|
| Cipher-Block | verschlüsselter Inhalt + ggf. Dateien (für uns unlesbar) | bis zum ersten Abruf oder bis zum Ablauf (max. 30 Tage) |
| Metadaten | Ablaufzeitpunkt, Burn-Flag, Salt (bei Passphrase) | wie Cipher-Block |
| Hinweistext (optional) | vom Absender frei eingegeben, im Klartext gespeichert | wie Cipher-Block |
| Benachrichtigungs-E-Mail (optional) | vom Absender frei eingegeben, im Klartext gespeichert | wie Cipher-Block, plus einmaliger Mail-Versand |
3.2 Technische Daten zur Missbrauchserkennung
| Datenfeld | Form | Speicherdauer |
|---|---|---|
| IP-Adresse (Erstellen) | nur als HMAC-SHA-256-Hash mit geheimem Schlüssel | max. 24 Stunden (rollierendes Tageslimit) |
| IP-Adresse (Brute-Force-Versuche) | nur als HMAC-SHA-256-Hash mit geheimem Schlüssel | max. 24 Stunden |
| Klartext-IP-Adresse | — wird nicht gespeichert — | — |
3.3 Server-Logs
Unser Webserver schreibt aus betrieblichen Gründen Zugriffsprotokolle:
Zeitstempel, HTTP-Methode, Pfad (ohne Token), Status-Code, User-Agent.
IP-Adressen erscheinen nur als HMAC-Hash. Diese Logs
werden nach 14 Tagen automatisch gelöscht
(logrotate).
3.4 Lokaler Browser-Speicher (localStorage)
Wir speichern in Ihrem Browser zwei kleine Einträge zur Personalisierung der Oberfläche:
sp.theme— Ihre Wahl von Hell- oder Dunkelmodussp.lang— Ihre Sprachwahl (Deutsch oder Englisch)
Diese Einträge verlassen Ihren Browser nicht und werden nicht an unseren Server übertragen. Sie können sie jederzeit in den Einstellungen Ihres Browsers löschen.
3.5 Cookies
Wir setzen keine Cookies. Wir verwenden kein Tracking, kein Web-Analytics, keine Inhalte von Drittanbietern (Google Fonts, externe CDNs etc.).
4. Zweck der Verarbeitung
- Bereitstellung des Dienstes: Speicherung und Auslieferung des verschlüsselten Cipher-Blocks für den einmaligen Abruf durch den Empfänger.
- Benachrichtigung: einmaliger E-Mail-Versand an den Absender, sofern dieser eine Benachrichtigungsadresse hinterlegt hat.
- Missbrauchserkennung: Rate-Limits (10 Anfragen/Min, 24 Geheimnisse/Tag pro IP) und Brute-Force-Schutz auf Passphrase- Versuche.
5. Rechtsgrundlagen (Art. 6 DSGVO)
- Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) — für die Bereitstellung des Dienstes selbst: die Verarbeitung der verschlüsselten Inhalte ist notwendig, um Ihnen das Tool im von Ihnen angeforderten Umfang bereitzustellen.
- Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) — für die Missbrauchserkennung (gehashte IP, Server-Logs). Unser berechtigtes Interesse besteht im sicheren und stabilen Betrieb des Dienstes und in der Verhinderung von Bot-Spam.
- Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) — für die optionale Benachrichtigungs-E-Mail: durch die freiwillige Eingabe Ihrer E-Mail-Adresse erteilen Sie konkludent Ihre Einwilligung in deren Verarbeitung zur Benachrichtigung. Sie können die Mail nicht hinterlegen, wenn Sie die Verarbeitung nicht wünschen.
6. Empfänger der Daten
Die verschlüsselten Daten verlassen unseren Server nicht. Es findet keine Übermittlung an Dritte statt — mit folgenden Ausnahmen:
-
Mail-Provider: Bei optionaler Benachrichtigung
wird die Mail über unseren SMTP-Server (
mail.bytexx.de, Standort Deutschland) versendet. Die Mail enthält weder Token noch URL noch Klartext — nur Zeitstempel und einen IP-Hash zur Korrelation. - Empfänger der Geheimnis-URL: Die Person, an die Sie den Link weitergeben, kann auf den Cipher-Block zugreifen und ihn (mit dem im Link enthaltenen Schlüssel) entschlüsseln. Sie tragen Verantwortung für die sichere Übermittlung des Links.
7. Drittlandübermittlung
Standardmäßig findet keine Übermittlung in Drittländer außerhalb der EU statt. Der Server steht in Deutschland.
Hinweis: Sollten wir zukünftig einen Bot-Schutz-Service (z. B. Cloudflare Turnstile) aktivieren, kommt es bei dessen Nutzung zu einer Übermittlung von technischen Daten (IP-Adresse, Browser-Fingerprint) an Cloudflare Inc. (USA). Die Übermittlung erfolgt dann auf Basis der EU-Standardvertragsklauseln und Cloudflares EU-US Data Privacy Framework-Zertifizierung. Diese Erklärung wird in diesem Fall ergänzt.
8. Verschlüsselung (TLS)
Die Verbindung zu secret.bytexx.de ist mit TLS (HTTPS)
verschlüsselt. Sie erkennen das am Schloss-Symbol in Ihrem Browser.
Wir setzen HSTS (HTTP Strict Transport Security) ein,
sodass Ihr Browser den Server nach dem ersten Besuch nur noch über
TLS kontaktiert.
9. Ihre Rechte als betroffene Person
Sie haben gegenüber uns folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:
- Auskunftsrecht (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung (Art. 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruchsrecht (Art. 21 DSGVO)
- Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)
Sie können diese Rechte jederzeit per formloser E-Mail an info@bytexx.de geltend machen.
Praktischer Hinweis: Da wir Ihre IP nur als nicht umkehrbaren Hash speichern und der Cipher-Block keinen Personen- bezug erkennen lässt, können wir Ihre Daten in den meisten Fällen gar nicht identifizieren. Eine Auskunft kann daher nur in eingeschränktem Umfang erfolgen. Sie können jederzeit selbst ein von Ihnen erstelltes Geheimnis über den Link löschen lassen (Burn-Funktion) oder das Ablaufen abwarten.
10. Beschwerderecht bei der Aufsichtsbehörde
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Für uns zuständig ist:
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD)
Holstenstraße 98
24103 Kiel
Tel.: +49 (0) 431 988-1200
E-Mail: mail@datenschutzzentrum.de
Web: datenschutzzentrum.de
11. Quellcode & Transparenz
Der vollständige Quellcode von SharePassword ist öffentlich einsehbar unter github.com/devbytexx/SharePassword . Sie können jederzeit nachprüfen, wie wir mit Ihren Daten umgehen.
12. Änderungen dieser Erklärung
Wir behalten uns vor, diese Datenschutzerklärung an geänderte Rechtslagen, Service-Änderungen oder Datenverarbeitungs-Praktiken anzupassen. Die jeweils aktuelle Fassung ist auf dieser Seite verfügbar.