Datenschutzerklärung

FixVibe wird von EGO HERO LLC betrieben („wir“, „uns“), dem Verantwortlichen für die in dieser Richtlinie beschriebenen personenbezogenen Daten. Bei Datenschutzfragen, einschließlich Betroffenenanfragen nach GDPR, UK GDPR oder CCPA, kontaktiere privacy@fixvibe.app. Für alles andere schreibe an support@fixvibe.app.

• Kontodaten

  E-Mail-Adresse, OAuth-Kennung (wenn du dich mit Google oder GitHub anmeldest) und jeder Name, den wir von deinem OAuth-Anbieter erhalten. Verwendet, um dich zu authentifizieren und dich zu deinem Konto zu kontaktieren. Wird aufbewahrt, solange dein Konto aktiv ist. Wenn du dein Konto löschst, werden diese Daten innerhalb von 30 Tagen entfernt, außer wenn wir zu ihrer Aufbewahrung verpflichtet sind (z. B. Abrechnungsunterlagen nach Steuerrecht).

  Rechtsgrundlage · Vertragserfüllung — Art. 6(1)(b) GDPR

• Scanziele und Befunde

  Die URLs, die du scannst, die Anfragen, die wir an diese URLs stellen, und die Befunde, die wir erzeugen. Sie werden deiner Organisation zugeordnet gespeichert. Wir löschen automatisch Datensätze, die älter sind als das Aufbewahrungsfenster deines Plans: 30 Tage (Hobby), 90 Tage (Pro), 365 Tage (Unlimited). Du kannst deinen Scanverlauf jederzeit unter Konto → Datenschutz exportieren oder löschen.

  Rechtsgrundlage · Vertragserfüllung — Art. 6(1)(b) GDPR

• Anonyme Scan-Sitzungen

  Wenn du einen Scan ohne Anmeldung ausführst, stellen wir ein HMAC-signiertes Cookie (fixvibe_anon_session, Lebensdauer 24 Stunden) aus, das eine opake zufällige ID enthält. Nicht beanspruchte anonyme Scan-Datensätze löschen wir nach 24 Stunden automatisch. Wenn du dich innerhalb des 24-Stunden-Fensters registrierst, wird dein Scan in dein neues Konto migriert. Wir wissen nicht, wer anonyme Nutzer sind, es sei denn, sie registrieren sich.

  Rechtsgrundlage · Unbedingt erforderlich — Ausnahme nach ePrivacy Art. 5(3)

• Abrechnungsdaten

  Stripe ist unser Zahlungsabwickler. Stripe speichert deine Kartendaten auf PCI-DSS-Infrastruktur; wir speichern nur eine Stripe-Kunden-ID, Abonnementstatus, Plan, Beginn/Ende des Zeitraums und einen kleinen Idempotenzdatensatz zu webhook-Ereignissen. Sieh dir die Datenschutzerklärung von Stripe unter stripe.com/privacy an.

  Rechtsgrundlage · Vertragserfüllung — Art. 6(1)(b) GDPR

• Serverprotokolle und Prüfprotokolle

  Short-lived API request logs may include IP address, user-agent, method, path, status, duration, request ID, user/org context, and error strings so we can debug the service and detect abuse. These request logs are automatically pruned after 72 hours by our retention cron, with up to 24 hours of cron scheduling slop. Audit logs for security-relevant actions (including sign in, scan started, token created/revoked, plan change, account deletion, and admin/support actions) may include IP address, user-agent, and request metadata. Audit logs are automatically pruned after 18 months, except where a longer period is required to comply with legal process or to defend a legal claim.

  Rechtsgrundlage · Berechtigtes Interesse — Art. 6(1)(f) GDPR

• GitHub-Integration (optional, nur Pro+)

  Wenn du ein GitHub-Konto unter Konto → Integrationen verbindest, speichern wir ein verschlüsseltes OAuth-Zugriffstoken für deine Organisation, deinen GitHub-Login + numerische Benutzer-ID und die gewährten scopes. Wir verwenden das Token ausschließlich, um Repositorys zu lesen, für die du Scans startest. Quellcode wird pro Scan abgerufen, im Speicher verarbeitet, und nur einzelne Befundnachweise werden dauerhaft gespeichert (keine vollständigen Quellcode-Dumps). Wird innerhalb von 30 Tagen nach der Trennung gelöscht.

  Rechtsgrundlage · Vertragserfüllung / Einwilligung — Art. 6(1)(b) + 6(1)(a) GDPR

• API-Token + MCP-Server (optional)

  Tokens, die du unter Konto → API-Token erstellst, werden als SHA-256-Hash gespeichert, zusammen mit den ersten 8 Klartextzeichen (zur Identifizierung), dem von dir vergebenen Namen sowie Zeitstempeln für Erstellung/letzte Nutzung/Widerruf. Der Klartext wird dir bei der Erstellung genau einmal angezeigt und niemals dauerhaft gespeichert. Tokens sind bearer-Anmeldeinformationen: Jede Person mit diesem Wert kann deine Scans lesen und neue starten, bis du das Token widerrufst. Der MCP-Server unter /api/mcp wird mit denselben Tokens authentifiziert, stellt dieselben Daten bereit wie das Dashboard und schafft keine separate Datenkategorie.

  Rechtsgrundlage · Vertragserfüllung — Art. 6(1)(b) GDPR

• Outbound webhooks (optional, paid plans)

  If you create webhook endpoints from Account → Webhooks, we store the endpoint URL, selected event types, delivery status, short response excerpts, and an encrypted signing secret. We send scan, finding, monitor-alert, and scheduled-run metadata to the endpoints you configure. Those endpoints are recipients chosen by your organization, not FixVibe sub-processors.

  Rechtsgrundlage · Performance of contract — Art. 6(1)(b) GDPR

• Live-Bedrohungserkennung (optional, nur Unlimited)

  Wenn du Monitoring für eine verifizierte Domain aktiviert hast, erfassen wir regelmäßig Certificate-Transparency-Protokolleinträge, DNS-Einträge und Threat-Intel-Listen (Spamhaus DBL, URLhaus) für diese Domain. Diese Snapshots enthalten Hostnamen, für die du uns bereits zum Scannen autorisiert hast, sowie die öffentlichen Ergebnisse öffentlicher Abfragen. Es werden keine personenbezogenen Daten deiner Endnutzer erfasst. Snapshots, die älter als 7 Tage sind, werden automatisch gelöscht; die jeweils neueste Baseline wird pro Signaltyp aufbewahrt.

  Rechtsgrundlage · Vertragserfüllung — Art. 6(1)(b) GDPR

• Geplante erneute Scans (optional, nur Pro+)

  Wenn du geplante Scans für eine verifizierte Domain aktivierst, erfassen wir den Rhythmus, die letzte Ausführungszeit, die nächste Ausführungszeit und welcher Benutzer den Zeitplan aktiviert hat. Jeder durch cron ausgelöste Scan übernimmt die Scan-Autorisierungsbestätigung, die bei der ersten Verifizierung der Domain abgegeben wurde — du bestätigst nicht bei jeder Ausführung erneut. Jederzeit unter Domains → Zeitplan deaktivierbar.

  Rechtsgrundlage · Vertragserfüllung — Art. 6(1)(b) GDPR

• Analyse (optional, einwilligungsgebunden)

  Wenn du der Analyse zustimmst und wir Analyse für das von dir verwendete Deployment konfiguriert haben, nutzen wir einen datenschutzfreundlichen Produktanalyseanbieter (über unsere eigene Domain proxied), um anonyme Nutzung zu erfassen — welche Buttons angeklickt werden, welche Prüfungen ausgeführt werden, an welcher Stelle Nutzer im Funnel abspringen. Wir übertragen keine URLs, die du scannst, keine Beweisinhalte und keine personenbezogenen Daten in Analyseereignisse. Widerrufe die Einwilligung jederzeit über Cookie-Einstellungen.

  Rechtsgrundlage · Einwilligung — Art. 6(1)(a) GDPR / ePrivacy Art. 5(3)

• Einlösung von Promotionsangeboten

  Wenn Sie einen Promo-Code, Einladungslink oder Empfehlungsguthaben einlösen, speichern wir den Kampagnencode, den Plan und die Dauer, die wir gewährt haben, die Start- und End-Zeitstempel der Testphase, den Plan, den Sie vor der Testphase hatten, und einen HMAC-SHA256-Hash Ihrer IP-Adresse zum Zeitpunkt der Einlösung (wir speichern niemals die rohe IP — der Hash existiert nur, damit wir Eine-Einlösung-pro-Netzwerk-Limits durchsetzen können, und das Rotieren des zugrunde liegenden HMAC-Schlüssels macht alle gespeicherten Hashes ungültig, ohne jemanden zu exponieren). Aufbewahrt für die Lebensdauer der Kampagne plus 18 Monate für Buchhaltungs- und Betrugsermittlungszwecke, dann zusammen mit dem Rest der Kampagnenaufzeichnung gelöscht.

  Rechtsgrundlage · Berechtigte Interessen (Betrugsprävention, Buchhaltung) — Art. 6 Abs. 1 lit. f DSGVO

• Wettbewerbe, Gewinnspiele und Challenges

  Wenn Sie an einer FixVibe-Challenge teilnehmen (wie der Security Preflight Challenge), speichern wir die von Ihnen eingereichte Kontakt-E-Mail (erforderlich, damit wir Sie erreichen können, falls Sie gewinnen), die Reddit- und Product Hunt-Benutzernamen, die Sie optional angeben, Ihre Scan-ID und Root-Domain, den selbst gemeldeten Projekttyp, Stack und Eine-Sache-die-ich-gelernt-habe-Text, den Sie optional angeben, den Entdeckungskanal-Wert, den Sie optional auswählen, und die drei erforderlichen Zustimmungs-Checkboxen, die Sie akzeptieren (Autorisierung, Regeln, Kontakt). Wenn Sie zusätzlich die optionale Vorstellung-im-Marketing-Zustimmung ankreuzen, können wir Ihren öffentlichen Score, Bewertung, Stack, Benutzernamen und eingereichtes Zitat auf der FixVibe-Startseite, der Challenge-Seite oder einem Recap-Beitrag anzeigen — niemals andere Felder und niemals ohne dieses Opt-in. Challenge-Einsendungen werden für die Lebensdauer der Challenge plus 18 Monate für Verifizierungs- und Streitzwecke aufbewahrt. Sie können die Vorstellung-im-Marketing-Zustimmung jederzeit per E-Mail an privacy@fixvibe.app widerrufen; der Widerruf berührt nicht die rechtmäßige Verarbeitung vor dem Widerruf.

  Rechtsgrundlage · Vertragserfüllung (Durchführung der Challenge) und Einwilligung (Vorstellung) — Art. 6 Abs. 1 lit. b und Art. 6 Abs. 1 lit. a DSGVO

• Wir verkaufen deine Daten niemals.
• Wir binden keine Ad-Tech Dritter, kein Fingerprinting und keine Session-Replay-Skripte ein.
• Wir übertragen deine Scanziel-URLs oder Befundnachweise nicht in Analyse-Properties — diese Daten liegen nur in unserer Datenbank und sind durch Row-Level Security geschützt.
• Wir teilen deine Daten nicht mit Dritten für deren eigenes Marketing.

Wir verlassen uns auf die folgenden Unterauftragsverarbeiter, um FixVibe zu betreiben:

• Vercel Inc. (USA) — Anwendungshosting und Edge-Netzwerk. Datenschutzhinweis: vercel.com/legal/privacy-policy.
• Supabase Inc. (USA) — Postgres-Datenbank, Authentifizierung, Dateispeicher, Realtime. Die Produktionsdatenbank von FixVibe befindet sich in der Region AWS us-east-1. Datenschutzhinweis: supabase.com/privacy.
• Stripe Inc. (USA) — Zahlungsabwicklung für kostenpflichtige Pläne. Datenschutzhinweis: stripe.com/privacy.
• Upstash, Inc. (USA, über Vercel Marketplace) — Redis-gestützte Ratenbegrenzung; speichert nur kurzlebige IP-basierte Zähler. Datenschutzhinweis: upstash.com/privacy.
• PostHog Inc. (USA) — Produktanalyse, nur wenn du Analyse-Einwilligung erteilst und nur wenn Analyse für das von dir verwendete Deployment konfiguriert ist. Datenschutzhinweis: posthog.com/privacy.
• GitHub, Inc. (USA) — nur wenn du die optionale GitHub-Integration verbindest. Wir verwenden GitHubs API, um Repositorys zu lesen, für die du Scans startest. Datenschutzhinweis: docs.github.com/site-policy/privacy-policies/github-general-privacy-statement.
• Resend, Inc. (USA) — Versand transaktionaler E-Mails. Erhält deine E-Mail-Adresse und den E-Mail-Text, wenn wir E-Mails zu abgeschlossenen Scans, geplanten Scans, Live-Bedrohungsalarmen und wöchentlichen Zusammenfassungen senden. Resend speichert Zustellmetadaten (Zeitstempel, Status, Bounce-Datensätze) für operative Zwecke; wir senden niemals Marketing-E-Mails über Resend. Datenschutzhinweis: resend.com/legal/privacy-policy.

Übermittlungen personenbezogener Daten außerhalb des EWR/Vereinigten Königreichs stützen sich auf die Standardvertragsklauseln der Europäischen Kommission (oder das International Data Transfer Addendum des Vereinigten Königreichs), ergänzt durch die unter „Sicherheit“ unten beschriebenen Maßnahmen zur Verschlüsselung bei Übertragung und Speicherung.

We will update this list and notify customers in-app if we add a new sub-processor that processes personal data on our behalf. Customer-configured outbound webhook endpoints are customer-selected recipients, not FixVibe sub-processors.

Nach GDPR, UK GDPR und gleichwertigen Gesetzen (CCPA/CPRA, LGPD, PIPEDA, Australian Privacy Act usw.) hast du das Recht:

• auf eine Kopie deiner Daten zuzugreifen (das kannst du per Self-Service unter Konto → Datenschutz tun);
• deine Daten berichtigen zu lassen;
• deine Daten löschen zu lassen (ebenfalls per Self-Service);
• der Verarbeitung auf Grundlage berechtigter Interessen zu widersprechen;
• die Einwilligung zur Analyse jederzeit über Cookie-Einstellungen zu widerrufen;
• Datenübertragbarkeit — dein Export liegt in JSON vor;
• eine Beschwerde bei deiner lokalen Aufsichtsbehörde (EU/Vereinigtes Königreich/EWR) oder einer entsprechenden Stelle einzureichen.

Wir beantworten verifizierbare Rechteanfragen innerhalb von 30 Tagen. Für Anfragen, die wir nicht per Self-Service erfüllen können (Berichtigung eines Feldes, das wir nicht anzeigen, Einschränkung der Verarbeitung, Widerspruch), sende eine E-Mail an support@fixvibe.app mit dem Betreff „Privacy request“.

Wir verkaufen deine personenbezogenen Informationen nicht. Wir teilen personenbezogene Informationen nicht für kontextübergreifende verhaltensbezogene Werbung. Analyse über PostHog läuft erst, nachdem du in unserem Cookie-Banner eingewilligt hast; du kannst diese Einwilligung jederzeit über Cookie-Einstellungen oder durch Klick auf Deine Datenschutzoptionen im Footer widerrufen.

Wenn du in Kalifornien wohnst, hast du außerdem das Recht:

• zu erfahren, welche personenbezogenen Informationen wir erheben, aus welchen Quellen, zu welchen Zwecken und mit welchen Dritten wir sie teilen (alles oben ausführlich beschrieben);
• die Löschung deiner personenbezogenen Informationen zu verlangen (per Self-Service über Konto → Datenschutz oder per E-Mail an uns);
• unrichtige personenbezogene Informationen zu korrigieren;
• die Nutzung und Offenlegung sensibler personenbezogener Informationen zu beschränken — wir erheben keine über Authentifizierungsdaten und Sitzungsmetadaten hinaus, die beide für die Bereitstellung des Dienstes erforderlich sind;
• dem Verkauf oder der Weitergabe zu widersprechen — nicht anwendbar, da wir keines von beidem tun;
• wegen der Ausübung eines der oben genannten Rechte nicht diskriminiert zu werden.

Wir berücksichtigen Global Privacy Control (GPC)-Signale automatisch; das Senden eines GPC-Headers behandelt deinen Besuch so, als hättest du jeder künftigen Analyse-Einwilligung ausdrücklich widersprochen.

We force row-level security on every database table; users only see records belonging to organizations they are members of. Authenticated-scan headers, when supplied, are encrypted at rest with AES-256-GCM and purged after the scan completes. Stripe webhook payloads are HMAC-verified before processing, and customer outbound webhook signing secrets are encrypted at rest. The service-role database credential is held only on the server runtime and is never exposed to the browser. All traffic between you and FixVibe, and between FixVibe and our sub-processors, uses TLS 1.2 or higher.

Kein Sicherheitsprogramm ist perfekt. Wenn du glaubst, eine Schwachstelle in FixVibe gefunden zu haben, melde sie bitte an support@fixvibe.app.

Wenn wir wesentliche Änderungen vornehmen — neue Unterauftragsverarbeiter, neue Datenkategorien, neue Aufbewahrungsfristen — aktualisieren wir das Datum oben und benachrichtigen dich in der App. Kleinere Formulierungsänderungen lösen keine Benachrichtigung aus.

privacy@fixvibe.app — Antworten normalerweise innerhalb von 5 Werktagen, niemals länger als die nach GDPR Art. 12(3) erforderlichen 30 Tage.