Zurück

Datenschutzerklärung

Stand: 28.04.2026 · gemäß DSGVO, BDSG & TDDDG

1. Verantwortlicher

Vorname Nachname
Musterstraße 1, 12345 Musterstadt
E-Mail:

2. Technisches Datenschutzprinzip

SafeScreen.cloud bietet zwei Upload-Modi mit unterschiedlichem Schutzniveau. Alle Uploads werden mit AES-256-GCM verschlüsselt gespeichert.

Browser-Upload — Ende-zu-Ende-verschlüsselt

Verschlüsselung findet ausschließlich im Browser statt.

Der Bildschlüssel wird nie im Klartext an den Server übertragen. Er wird im Browser mit dem Master-Key des Nutzers verschlüsselt und erst dann serverseitig im Key-Vault gespeichert.

Der Betreiber hat keinen Zugriff auf die Bildinhalte oder den Master-Key.

ShareX / API-Upload — serverseitig verschlüsselt

Verschlüsselung erfolgt auf dem Server nach dem Empfang der Daten.

Der Verschlüsselungsschlüssel liegt auf dem Server — kein Ende-zu-Ende-Schutz.

Der Betreiber kann diese Uploads theoretisch entschlüsseln.

Master-Key & Key-Vault-System

🔑

Registrierte Nutzer erhalten bei der Ersteinrichtung einen Master-Key — eine 32-Byte-Zufallszahl, die ausschließlich im Browser generiert und niemals an den Server übertragen wird.

🔑

Der Master-Key wird mit einem nutzergewählten Passwort via PBKDF2 (600.000 Iterationen, SHA-256) und AES-256-GCM verschlüsselt in einer .key-Datei lokal gespeichert.

🔑

Serverseitig wird ausschließlich ein SHA-256-Hash des Master-Keys zur Verifikation gespeichert — nicht der Key selbst.

🔑

Die mit dem Master-Key verschlüsselten Bildschlüssel werden im Key-Vault serverseitig gespeichert. Ohne den Master-Key sind diese nicht entschlüsselbar — auch nicht durch den Betreiber.

3. Erhobene Daten

3.1 Beim Besuch der Website

Beim Aufrufen der Website werden automatisch Informationen in Server-Logfiles gespeichert:

  • IP-Adresse (anonymisiert nach Speicherung)
  • Datum und Uhrzeit des Zugriffs
  • Aufgerufene URL
  • HTTP-Statuscode
  • Browser- und Betriebssystem (User-Agent)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit). Speicherdauer: max. 7 Tage.

3.2 Beim Hochladen von Bildern

Gespeichert werden unabhängig vom Upload-Modus:

  • Verschlüsselte Bilddaten
  • Initialisierungsvektor (IV)
  • MIME-Typ und Dateigröße
  • Erstellungszeitpunkt

Bei Browser-Uploads ist der verschlüsselte Inhalt für den Betreiber nicht lesbar. Bei ShareX/API-Uploads liegt der Schlüssel serverseitig vor.

Uploads sind ausschließlich für registrierte Nutzer möglich. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

3.3 Bei der Registrierung & Master-Key-Einrichtung

Bei der Erstellung eines Kontos werden Name, E-Mail-Adresse und ein gehashtes Passwort (bcrypt) gespeichert. Registrierung ist ausschließlich per Einladung möglich. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Im Rahmen der Ersteinrichtung des Key-Vault-Systems werden zusätzlich folgende Daten serverseitig gespeichert:

  • SHA-256-Hash des Master-Keys — ausschließlich zur Verifikation beim Entsperren des Vaults. Der Master-Key selbst wird niemals gespeichert.
  • Mit dem Master-Key verschlüsselte Bildschlüssel (Key-Vault-Einträge) — pro Bild ein AES-256-GCM-verschlüsselter Eintrag. Ohne den Master-Key des Nutzers sind diese Daten wertlos.

Der Master-Key verlässt den Browser des Nutzers zu keinem Zeitpunkt im Klartext. Bei Verlust des Master-Keys sind die damit geschützten E2E-Bilder dauerhaft nicht wiederherstellbar — auch nicht durch den Betreiber. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

3.4 Likes

Registrierte Nutzer können Bilder liken. Dabei wird die User-ID sowie die Bild-ID gespeichert. Likes haben keine öffentliche Wirkung außer der Anzeige der Gesamtzahl. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

3.5 Serverseitige Verarbeitungsprozesse

Nach dem Hochladen eines Bildes kann die Plattform serverseitige Nachbearbeitungsschritte durchführen, insbesondere die automatische Konvertierung von Bilddateien ins WebP-Format zur Optimierung der Dateigröße. Diese Verarbeitung erfolgt ausschließlich auf dem eigenen Server und betrifft nur serverseitig verschlüsselte Uploads (ShareX/API). E2E-verschlüsselte Bilddaten werden dabei nicht verarbeitet, da der Betreiber keinen Zugriff auf deren Inhalt hat. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

4. Cookies & Session

SafeScreen.cloud verwendet ausschließlich technisch notwendige Cookies gemäß § 25 Abs. 2 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz): ein Session-Cookie zur Aufrechterhaltung der Anmeldung sowie ein CSRF-Token zur Absicherung von Formularen. Es werden keine Tracking-, Analyse- oder Werbe-Cookies gesetzt. Ein Cookie-Consent-Banner ist daher nicht erforderlich.

Sitzungsdaten werden serverseitig in einem Redis-Datenspeicher auf demselben Server zwischengespeichert und nach Ablauf der Sitzung automatisch gelöscht. Redis wird ausschließlich als technische Infrastrukturkomponente genutzt und stellt keinen Drittanbieter dar.

5. Hosting & technische Infrastruktur

Der Server wird in Deutschland betrieben. Es werden keine Daten an Drittanbieter für Werbung, Analyse oder soziale Netzwerke übertragen. Es werden keine externen Ressourcen (Fonts, CDNs) von Drittservern nachgeladen.

Folgende Technologien laufen ausschließlich auf dem eigenen Server und stellen keine Drittanbieter dar:

  • Redis — In-Memory-Datenspeicher für Session-Verwaltung, Anwendungs-Caching (z.B. Statistiken) sowie die asynchrone Verarbeitung von Upload-Nachbearbeitungsprozessen (Queue). Alle Redis-Daten verbleiben auf dem eigenen Server und werden nicht an Dritte übermittelt. Redis ist passwortgeschützt und nicht öffentlich erreichbar.
  • MySQL — Relationale Datenbank für Nutzerkonten, Bild-Metadaten und Key-Vault-Einträge. Läuft lokal auf demselben Server.
  • PHP / Laravel — Serverseitige Anwendungslogik. Keine externen Dienste oder Cloud-Funktionen eingebunden.

6. Speicherdauer

Personenbezogene Daten werden gelöscht sobald der Zweck der Speicherung entfällt und keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Konten und zugehörige Daten werden auf Anfrage oder bei Kontolöschung entfernt. Server-Logs werden nach spätestens 7 Tagen automatisch gelöscht. Redis-Daten (Sessions, Cache) werden nach Ablauf ihrer technisch festgelegten Gültigkeitsdauer automatisch entfernt.

7. Deine Rechte

Nach DSGVO stehen dir folgende Rechte zu:

Art. 15

Recht auf Auskunft

Welche Daten über dich gespeichert sind

Art. 16

Recht auf Berichtigung

Unrichtige Daten korrigieren zu lassen

Art. 17

Recht auf Löschung

Deine Daten löschen zu lassen ("Recht auf Vergessenwerden")

Art. 18

Recht auf Einschränkung

Die Verarbeitung deiner Daten einzuschränken

Art. 20

Recht auf Übertragbarkeit

Deine Daten in maschinenlesbarem Format zu erhalten

Art. 21

Recht auf Widerspruch

Der Verarbeitung auf Basis berechtigter Interessen zu widersprechen

Art. 77

Recht auf Beschwerde

Bei einer Datenschutz-Aufsichtsbehörde Beschwerde einzureichen

Zur Ausübung deiner Rechte wende dich an: