// privacy
DatenschutzerklÀrung
zuletzt aktualisiert · 2026-05-17
Wer wir sind
FixVibe wird von EGO HERO LLC betrieben (âwirâ, âunsâ), dem Verantwortlichen fĂŒr die in dieser Richtlinie beschriebenen personenbezogenen Daten. Bei Datenschutzfragen, einschlieĂlich Betroffenenanfragen nach GDPR, UK GDPR oder CCPA, kontaktiere privacy@fixvibe.app. FĂŒr alles andere schreibe an support@fixvibe.app.
Was wir erheben, warum und wie lange wir es aufbewahren
Kontodaten
E-Mail-Adresse, OAuth-Kennung (wenn du dich mit Google oder GitHub anmeldest) und jeder Name, den wir von deinem OAuth-Anbieter erhalten. Verwendet, um dich zu authentifizieren und dich zu deinem Konto zu kontaktieren. Wird aufbewahrt, solange dein Konto aktiv ist. Wenn du dein Konto löschst, werden diese Daten innerhalb von 30 Tagen entfernt, auĂer wenn wir zu ihrer Aufbewahrung verpflichtet sind (z. B. Abrechnungsunterlagen nach Steuerrecht).
Rechtsgrundlage · VertragserfĂŒllung â Art. 6(1)(b) GDPR
Scanziele und Befunde
Die URLs, die du scannst, die Anfragen, die wir an diese URLs stellen, und die Befunde, die wir erzeugen. Sie werden deiner Organisation zugeordnet gespeichert. Wir löschen automatisch DatensĂ€tze, die Ă€lter sind als das Aufbewahrungsfenster deines Plans: 30 Tage (Hobby), 90 Tage (Pro), 365 Tage (Unlimited). Du kannst deinen Scanverlauf jederzeit unter Konto â Datenschutz exportieren oder löschen.
Rechtsgrundlage · VertragserfĂŒllung â Art. 6(1)(b) GDPR
Anonyme Scan-Sitzungen
Wenn du einen Scan ohne Anmeldung ausfĂŒhrst, stellen wir ein HMAC-signiertes Cookie (fixvibe_anon_session, Lebensdauer 24 Stunden) aus, das eine opake zufĂ€llige ID enthĂ€lt. Nicht beanspruchte anonyme Scan-DatensĂ€tze löschen wir nach 24 Stunden automatisch. Wenn du dich innerhalb des 24-Stunden-Fensters registrierst, wird dein Scan in dein neues Konto migriert. Wir wissen nicht, wer anonyme Nutzer sind, es sei denn, sie registrieren sich.
Rechtsgrundlage · Unbedingt erforderlich â Ausnahme nach ePrivacy Art. 5(3)
Abrechnungsdaten
Stripe ist unser Zahlungsabwickler. Stripe speichert deine Kartendaten auf PCI-DSS-Infrastruktur; wir speichern nur eine Stripe-Kunden-ID, Abonnementstatus, Plan, Beginn/Ende des Zeitraums und einen kleinen Idempotenzdatensatz zu webhook-Ereignissen. Sieh dir die DatenschutzerklÀrung von Stripe unter stripe.com/privacy an.
Rechtsgrundlage · VertragserfĂŒllung â Art. 6(1)(b) GDPR
Serverprotokolle und PrĂŒfprotokolle
Kurzlebige API-Anfrageprotokolle können IP-Adresse, Benutzeragent, Methode, Pfad, Status, Dauer, Anfrage-ID, Benutzer-/Organisationskontext und Fehlerzeichenfolgen enthalten, damit wir den Dienst debuggen und Missbrauch erkennen können. Diese Anforderungsprotokolle werden nach 72 Stunden automatisch von unserem Aufbewahrungs-Cron bereinigt, mit bis zu 24 Stunden Cron-Planungsverzögerung. Ăberwachungsprotokolle fĂŒr sicherheitsrelevante Aktionen (einschlieĂlich Anmeldung, gestarteter Scan, erstelltes/widerruftes Token, PlanĂ€nderung, Kontolöschung und Administrator-/Supportaktionen) können IP-Adresse, Benutzeragent und Anforderungsmetadaten enthalten. PrĂŒfprotokolle werden nach 18 Monaten automatisch bereinigt, es sei denn, ein lĂ€ngerer Zeitraum ist erforderlich, um einem rechtlichen Verfahren nachzukommen oder einen Rechtsanspruch abzuwehren.
Rechtsgrundlage · Berechtigtes Interesse â Art. 6(1)(f) GDPR
GitHub-Integration (optional, nur Pro+)
Wenn du ein GitHub-Konto unter Konto â Integrationen verbindest, speichern wir ein verschlĂŒsseltes OAuth-Zugriffstoken fĂŒr deine Organisation, deinen GitHub-Login + numerische Benutzer-ID und die gewĂ€hrten scopes. Wir verwenden das Token ausschlieĂlich, um Repositorys zu lesen, fĂŒr die du Scans startest. Quellcode wird pro Scan abgerufen, im Speicher verarbeitet, und nur einzelne Befundnachweise werden dauerhaft gespeichert (keine vollstĂ€ndigen Quellcode-Dumps). Wird innerhalb von 30 Tagen nach der Trennung gelöscht.
Rechtsgrundlage · VertragserfĂŒllung / Einwilligung â Art. 6(1)(b) + 6(1)(a) GDPR
API-Token + MCP-Server (optional)
Tokens, die du unter Konto â API-Token erstellst, werden als SHA-256-Hash gespeichert, zusammen mit den ersten 8 Klartextzeichen (zur Identifizierung), dem von dir vergebenen Namen sowie Zeitstempeln fĂŒr Erstellung/letzte Nutzung/Widerruf. Der Klartext wird dir bei der Erstellung genau einmal angezeigt und niemals dauerhaft gespeichert. Tokens sind bearer-Anmeldeinformationen: Jede Person mit diesem Wert kann deine Scans lesen und neue starten, bis du das Token widerrufst. Der MCP-Server unter /api/mcp wird mit denselben Tokens authentifiziert, stellt dieselben Daten bereit wie das Dashboard und schafft keine separate Datenkategorie.
Rechtsgrundlage · VertragserfĂŒllung â Art. 6(1)(b) GDPR
Ausgehende Webhooks (optional, kostenpflichtige PlÀne)
Wenn Sie Webhook-Endpunkte ĂŒber Konto â Webhooks erstellen, speichern wir die Endpunkt-URL, ausgewĂ€hlte Ereignistypen, den Zustellungsstatus, kurze AntwortauszĂŒge und ein verschlĂŒsseltes Signaturgeheimnis. Wir senden Metadaten zu Scans, Befunden, Ăberwachungswarnungen und geplanten AusfĂŒhrungen an die von Ihnen konfigurierten Endpunkte. Bei diesen Endpunkten handelt es sich um von Ihrer Organisation ausgewĂ€hlte EmpfĂ€nger, nicht um FixVibe-Unterauftragsverarbeiter.
Rechtsgrundlage · VertragserfĂŒllung â Art. 6(1)(b) GDPR
Live-Bedrohungserkennung (optional, nur Unlimited)
Wenn du Monitoring fĂŒr eine verifizierte Domain aktiviert hast, erfassen wir regelmĂ€Ăig Certificate-Transparency-ProtokolleintrĂ€ge, DNS-EintrĂ€ge und Threat-Intel-Listen (Spamhaus DBL, URLhaus) fĂŒr diese Domain. Diese Snapshots enthalten Hostnamen, fĂŒr die du uns bereits zum Scannen autorisiert hast, sowie die öffentlichen Ergebnisse öffentlicher Abfragen. Es werden keine personenbezogenen Daten deiner Endnutzer erfasst. Snapshots, die Ă€lter als 7 Tage sind, werden automatisch gelöscht; die jeweils neueste Baseline wird pro Signaltyp aufbewahrt.
Rechtsgrundlage · VertragserfĂŒllung â Art. 6(1)(b) GDPR
Geplante erneute Scans (optional, nur Pro+)
Wenn du geplante Scans fĂŒr eine verifizierte Domain aktivierst, erfassen wir den Rhythmus, die letzte AusfĂŒhrungszeit, die nĂ€chste AusfĂŒhrungszeit und welcher Benutzer den Zeitplan aktiviert hat. Jeder durch cron ausgelöste Scan ĂŒbernimmt die Scan-AutorisierungsbestĂ€tigung, die bei der ersten Verifizierung der Domain abgegeben wurde â du bestĂ€tigst nicht bei jeder AusfĂŒhrung erneut. Jederzeit unter Domains â Zeitplan deaktivierbar.
Rechtsgrundlage · VertragserfĂŒllung â Art. 6(1)(b) GDPR
Analyse (optional, einwilligungsgebunden)
Wenn du der Analyse zustimmst und wir Analyse fĂŒr das von dir verwendete Deployment konfiguriert haben, nutzen wir einen datenschutzfreundlichen Produktanalyseanbieter (ĂŒber unsere eigene Domain proxied), um anonyme Nutzung zu erfassen â welche Buttons angeklickt werden, welche PrĂŒfungen ausgefĂŒhrt werden, an welcher Stelle Nutzer im Funnel abspringen. Wir ĂŒbertragen keine URLs, die du scannst, keine Beweisinhalte und keine personenbezogenen Daten in Analyseereignisse. Widerrufe die Einwilligung jederzeit ĂŒber .
Rechtsgrundlage · Einwilligung â Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)
Einlösung von Promotionsangeboten
Wenn Sie einen Promo-Code, Einladungslink oder Empfehlungsguthaben einlösen, speichern wir den Kampagnencode, den Plan und die Dauer, die wir gewĂ€hrt haben, die Start- und End-Zeitstempel der Testphase, den Plan, den Sie vor der Testphase hatten, und einen HMAC-SHA256-Hash Ihrer IP-Adresse zum Zeitpunkt der Einlösung (wir speichern niemals die rohe IP â der Hash existiert nur, damit wir Eine-Einlösung-pro-Netzwerk-Limits durchsetzen können, und das Rotieren des zugrunde liegenden HMAC-SchlĂŒssels macht alle gespeicherten Hashes ungĂŒltig, ohne jemanden zu exponieren). Aufbewahrt fĂŒr die Lebensdauer der Kampagne plus 18 Monate fĂŒr Buchhaltungs- und Betrugsermittlungszwecke, dann zusammen mit dem Rest der Kampagnenaufzeichnung gelöscht.
Rechtsgrundlage · Berechtigte Interessen (BetrugsprĂ€vention, Buchhaltung) â Art. 6 Abs. 1 lit. f DSGVO
Wettbewerbe, Gewinnspiele und Challenges
Wenn Sie an einer FixVibe-Challenge teilnehmen (wie der Security Preflight Challenge), speichern wir die von Ihnen eingereichte Kontakt-E-Mail (erforderlich, damit wir Sie erreichen können, falls Sie gewinnen), die Reddit- und Product Hunt-Benutzernamen, die Sie optional angeben, Ihre Scan-ID und Root-Domain, den selbst gemeldeten Projekttyp, Stack und Eine-Sache-die-ich-gelernt-habe-Text, den Sie optional angeben, den Entdeckungskanal-Wert, den Sie optional auswĂ€hlen, und die drei erforderlichen Zustimmungs-Checkboxen, die Sie akzeptieren (Autorisierung, Regeln, Kontakt). Wenn Sie zusĂ€tzlich die optionale Vorstellung-im-Marketing-Zustimmung ankreuzen, können wir Ihren öffentlichen Score, Bewertung, Stack, Benutzernamen und eingereichtes Zitat auf der FixVibe-Startseite, der Challenge-Seite oder einem Recap-Beitrag anzeigen â niemals andere Felder und niemals ohne dieses Opt-in. Challenge-Einsendungen werden fĂŒr die Lebensdauer der Challenge plus 18 Monate fĂŒr Verifizierungs- und Streitzwecke aufbewahrt. Sie können die Vorstellung-im-Marketing-Zustimmung jederzeit per E-Mail an privacy@fixvibe.app widerrufen; der Widerruf berĂŒhrt nicht die rechtmĂ€Ăige Verarbeitung vor dem Widerruf.
Rechtsgrundlage · VertragserfĂŒllung (DurchfĂŒhrung der Challenge) und Einwilligung (Vorstellung) â Art. 6 Abs. 1 lit. b und Art. 6 Abs. 1 lit. a DSGVO
Was wir NICHT erheben
- Wir verkaufen deine Daten niemals.
- Wir binden keine Ad-Tech Dritter, kein Fingerprinting und keine Session-Replay-Skripte ein.
- Wir ĂŒbertragen deine Scanziel-URLs oder Befundnachweise nicht in Analyse-Properties â diese Daten liegen nur in unserer Datenbank und sind durch Row-Level Security geschĂŒtzt.
- Wir teilen deine Daten nicht mit Dritten fĂŒr deren eigenes Marketing.
Unterauftragsverarbeiter
Wir verlassen uns auf die folgenden Unterauftragsverarbeiter, um FixVibe zu betreiben:
- Vercel Inc. (USA) â Anwendungshosting und Edge-Netzwerk. Datenschutzhinweis: vercel.com/legal/privacy-policy.
- Supabase Inc. (USA) â Postgres-Datenbank, Authentifizierung, Dateispeicher, Realtime. Die Produktionsdatenbank von FixVibe befindet sich in der Region AWS us-east-1. Datenschutzhinweis: supabase.com/privacy.
- Stripe Inc. (USA) â Zahlungsabwicklung fĂŒr kostenpflichtige PlĂ€ne. Datenschutzhinweis: stripe.com/privacy.
- Upstash, Inc. (USA, ĂŒber Vercel Marketplace) â Redis-gestĂŒtzte Ratenbegrenzung; speichert nur kurzlebige IP-basierte ZĂ€hler. Datenschutzhinweis: upstash.com/privacy.
- PostHog Inc. (USA) â Produktanalyse, nur wenn du Analyse-Einwilligung erteilst und nur wenn Analyse fĂŒr das von dir verwendete Deployment konfiguriert ist. Datenschutzhinweis: posthog.com/privacy.
- GitHub, Inc. (USA) â nur wenn du die optionale GitHub-Integration verbindest. Wir verwenden GitHubs API, um Repositorys zu lesen, fĂŒr die du Scans startest. Datenschutzhinweis: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
- Resend, Inc. (USA) â Versand transaktionaler E-Mails. ErhĂ€lt deine E-Mail-Adresse und den E-Mail-Text, wenn wir E-Mails zu abgeschlossenen Scans, geplanten Scans, Live-Bedrohungsalarmen und wöchentlichen Zusammenfassungen senden. Resend speichert Zustellmetadaten (Zeitstempel, Status, Bounce-DatensĂ€tze) fĂŒr operative Zwecke; wir senden niemals Marketing-E-Mails ĂŒber Resend. Datenschutzhinweis: resend.com/legal/privacy-policy.
Ăbermittlungen personenbezogener Daten auĂerhalb des EWR/Vereinigten Königreichs stĂŒtzen sich auf die Standardvertragsklauseln der EuropĂ€ischen Kommission (oder das International Data Transfer Addendum des Vereinigten Königreichs), ergĂ€nzt durch die unter âSicherheitâ unten beschriebenen MaĂnahmen zur VerschlĂŒsselung bei Ăbertragung und Speicherung.
Wir werden diese Liste aktualisieren und Kunden in der App benachrichtigen, wenn wir einen neuen Unterauftragsverarbeiter hinzufĂŒgen, der personenbezogene Daten in unserem Namen verarbeitet. Vom Kunden konfigurierte ausgehende Webhook-Endpunkte sind vom Kunden ausgewĂ€hlte EmpfĂ€nger und keine FixVibe-Unterprozessoren.
Deine Rechte
Nach GDPR, UK GDPR und gleichwertigen Gesetzen (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act usw.) hast du das Recht:
- auf eine Kopie deiner Daten zuzugreifen (das kannst du per Self-Service unter Konto â Datenschutz tun);
- deine Daten berichtigen zu lassen;
- deine Daten löschen zu lassen (ebenfalls per Self-Service);
- der Verarbeitung auf Grundlage berechtigter Interessen zu widersprechen;
- die Einwilligung zur Analyse jederzeit ĂŒber zu widerrufen;
- DatenĂŒbertragbarkeit â dein Export liegt in JSON vor;
- eine Beschwerde bei deiner lokalen Aufsichtsbehörde (EU/Vereinigtes Königreich/EWR) oder einer entsprechenden Stelle einzureichen.
Wir beantworten verifizierbare Rechteanfragen innerhalb von 30 Tagen. FĂŒr Anfragen, die wir nicht per Self-Service erfĂŒllen können (Berichtigung eines Feldes, das wir nicht anzeigen, EinschrĂ€nkung der Verarbeitung, Widerspruch), sende eine E-Mail an support@fixvibe.app mit dem Betreff âPrivacy requestâ.
Einwohner Kaliforniens (CCPA / CPRA)
Wir verkaufen deine personenbezogenen Informationen nicht. Wir teilen personenbezogene Informationen nicht fĂŒr kontextĂŒbergreifende verhaltensbezogene Werbung. Analyse ĂŒber PostHog lĂ€uft erst, nachdem du in unserem Cookie-Banner eingewilligt hast; du kannst diese Einwilligung jederzeit ĂŒber oder durch Klick auf Deine Datenschutzoptionen im Footer widerrufen.
Wenn du in Kalifornien wohnst, hast du auĂerdem das Recht:
- zu erfahren, welche personenbezogenen Informationen wir erheben, aus welchen Quellen, zu welchen Zwecken und mit welchen Dritten wir sie teilen (alles oben ausfĂŒhrlich beschrieben);
- die Löschung deiner personenbezogenen Informationen zu verlangen (per Self-Service ĂŒber Konto â Datenschutz oder per E-Mail an uns);
- unrichtige personenbezogene Informationen zu korrigieren;
- die Nutzung und Offenlegung sensibler personenbezogener Informationen zu beschrĂ€nken â wir erheben keine ĂŒber Authentifizierungsdaten und Sitzungsmetadaten hinaus, die beide fĂŒr die Bereitstellung des Dienstes erforderlich sind;
- dem Verkauf oder der Weitergabe zu widersprechen â nicht anwendbar, da wir keines von beidem tun;
- wegen der AusĂŒbung eines der oben genannten Rechte nicht diskriminiert zu werden.
Wir berĂŒcksichtigen Global Privacy Control (GPC)-Signale automatisch; das Senden eines GPC-Headers behandelt deinen Besuch so, als hĂ€ttest du jeder kĂŒnftigen Analyse-Einwilligung ausdrĂŒcklich widersprochen.
Sicherheit
Wir erzwingen Sicherheit auf Zeilenebene fĂŒr jede Datenbanktabelle. Benutzer sehen nur DatensĂ€tze von Organisationen, denen sie angehören. Authentifizierte Scan-Header werden, sofern bereitgestellt, im Ruhezustand mit AES-256-GCM verschlĂŒsselt und nach Abschluss des Scans gelöscht. Stripe Webhook-Nutzlasten werden vor der Verarbeitung HMAC-verifiziert, und ausgehende Webhook-Signaturgeheimnisse des Kunden werden im Ruhezustand verschlĂŒsselt. Die Anmeldeinformationen fĂŒr die Dienstrollendatenbank werden nur auf der Serverlaufzeit gespeichert und niemals dem Browser angezeigt. Der gesamte Datenverkehr zwischen Ihnen und FixVibe sowie zwischen FixVibe und unseren Unterauftragsverarbeitern verwendet TLS 1.2 oder höher.
Kein Sicherheitsprogramm ist perfekt. Wenn du glaubst, eine Schwachstelle in FixVibe gefunden zu haben, melde sie bitte an support@fixvibe.app.
Ănderungen dieser Richtlinie
Wenn wir wesentliche Ănderungen vornehmen â neue Unterauftragsverarbeiter, neue Datenkategorien, neue Aufbewahrungsfristen â aktualisieren wir das Datum oben und benachrichtigen dich in der App. Kleinere FormulierungsĂ€nderungen lösen keine Benachrichtigung aus.
Kontakt
privacy@fixvibe.app â Antworten normalerweise innerhalb von 5 Werktagen, niemals lĂ€nger als die nach GDPR Art. 12(3) erforderlichen 30 Tage.
