Datenschutzerklärung

Verantwortlich für die Datenverarbeitung ist [NOCH ZU ERGÄNZEN: vollständiger Firmenname], eingetragen unter der Nummer [NOCH ZU ERGÄNZEN: SIREN / Steuernummer / KvK / Registernummer], mit Sitz in [NOCH ZU ERGÄNZEN: vollständige Postanschrift]. Bei Fragen zum Datenschutz wenden Sie sich bitte an unseren Datenschutzbeauftragten unter dpo@securssh.com.

• Kontodaten - E-Mail-Adresse, gehashter Master-Passwort-Verifier (PBKDF2 mit 100.000 Iterationen), Teamzugehörigkeit.
• Tresorinhalte - Zugangsdaten, Host-Einträge, Snippets, vollständig clientseitig verschlüsselt. Der Server speichert ausschließlich Chiffretext und kann nicht auf den Klartextinhalt der Tresore zugreifen.
• Audit-Log - Verbindungsmetadaten: Zeitstempel, Akteur, Host-Kennung und Aktionstyp. Die Aufbewahrung beträgt 24 Monate im Team-Tarif und ist im Enterprise-Vertrag unbegrenzt.
• Abrechnung - abgewickelt durch Stripe. Wir speichern niemals vollständige Kreditkartennummern (PAN); auf unserer Seite werden nur Abrechnungs-IDs, Rechnungsmetadaten und die Kundenreferenz aufbewahrt.
• Nutzungsanalyse - Google Tag Manager (Container GTM-P7PRZ37K) und Google Analytics 4. Ereignisse werden standardmäßig anonymisiert (IP-Kürzung, keine Werbefunktionen aktiviert).

• Vertragserfüllung (Artikel 6 Abs. 1 lit. b) - Kontoverwaltung, Tresor-Synchronisation, Abrechnung.
• Berechtigtes Interesse (Artikel 6 Abs. 1 lit. f) - Sicherheits-Audit-Log, Betrugsprävention, Missbrauchserkennung.
• Einwilligung (Artikel 6 Abs. 1 lit. a) - Analyse-Cookies und sonstige nicht erforderliche Cookies.
• Rechtliche Verpflichtung (Artikel 6 Abs. 1 lit. c) - Steuerunterlagen, Buchhaltung, regulatorische oder Compliance-Audits.

• Aktives Konto - die Daten werden für die Dauer des Kontos gespeichert.
• Nach Löschung - 30-tägige Karenzfrist zur Abdeckung der Backup-Rotation, danach werden Produktions- und Backup-Systeme endgültig bereinigt.
• Audit-Log - Aufbewahrung je nach Tarif: 24 Monate (Team), unbegrenzt (Enterprise) oder gemäß Vertrag.
• Abrechnungsdaten - 10 Jahre, gemäß den europäischen handels- und steuerrechtlichen Aufbewahrungspflichten.

• Auskunftsrecht (Artikel 15) - vollständiger Datenexport auf Anfrage verfügbar.
• Recht auf Berichtigung (Artikel 16) - direkt im Einstellungsbereich des Kontos verfügbar.
• Recht auf Löschung (Artikel 17) - als Ein-Klick-Kontolöschung im Produkt integriert. Es handelt sich um eine ausgelieferte Funktion, nicht um einen manuellen Vorgang.
• Recht auf Datenübertragbarkeit (Artikel 20) - verschlüsselter JSON-Export von Tresor- und Kontodaten.
• Widerspruchsrecht / Recht auf Einschränkung der Verarbeitung (Artikel 21).
• Beschwerderecht bei einer Aufsichtsbehörde - beispielsweise der CNIL (Frankreich), dem Datatilsynet (Dänemark), dem BfDI (Deutschland), der AP (Niederlande) oder der Aufsichtsbehörde Ihres Mitgliedstaats.

Zur Ausübung dieser Rechte wenden Sie sich bitte an privacy@securssh.com.

Personenbezogene Daten werden ausschließlich innerhalb der Europäischen Union gespeichert und verarbeitet. Produktions-Workloads werden in europäischen Rechenzentrumsregionen (Frankfurt, Amsterdam) auf einer Infrastruktur mit Sitz in der EU betrieben.

SecurSSH übermittelt keine personenbezogenen Daten zur Speicherung in die USA. Im Anschluss an das Schrems II-Urteil entfällt damit die Rechtsunsicherheit bei Übermittlungen außerhalb des EWR.

Die Auftragsverarbeiter sind in Abschnitt 8 unten aufgeführt. Künftige Änderungen bei Auftragsverarbeitern, die den Datenstandort berühren könnten, werden mindestens 30 Tage im Voraus angekündigt.

• Unbedingt erforderlich - Session-Cookie, CSRF-Token, Spracheinstellung. Sie sind für den Betrieb des Dienstes erforderlich und benötigen keine Einwilligung.
• Analytisch - Google Tag Manager und Google Analytics 4. Werden ausschließlich nach Einwilligung geladen.
• Keine Marketing-Cookies Dritter werden auf der Website oder im Produkt SecurSSH eingesetzt.

• Stripe Payments Europe Ltd. (Irland) - Zahlungsabwicklung.
• Google Ireland Ltd. (Irland - EU-Vertretung von Google) - Analytics über Google Tag Manager und Google Analytics 4.
• [NOCH ZU ERGÄNZEN: EU-Hosting-Anbieter] - Produktions-Hosting und Backups.
• [NOCH ZU ERGÄNZEN: EU-Anbieter für Transaktions-E-Mails] - Versand transaktionaler E-Mails.

Ein Auftragsverarbeitungsvertrag (DPA) ist auf Anfrage für Kunden mit Team- und Enterprise-Tarifen verfügbar. Der DPA enthält gegebenenfalls die Standardvertragsklauseln (SCC), die aktuelle Liste der Auftragsverarbeiter, Speicherdauern sowie an Artikel 28 DSGVO ausgerichtete Sicherheitsmaßnahmen.

Zur Anforderung des DPA schreiben Sie bitte an dpa@securssh.com.

• Ende-zu-Ende-Verschlüsselung der Tresorinhalte mit AES-GCM, clientseitig ausgeführt.
• PBKDF2 mit 100.000 Iterationen zur Schlüsselableitung aus dem Master-Passwort.
• Verschlüsselung während der Übertragung mittels TLS 1.3 an allen SecurSSH-Endpunkten.
• Manipulationssicheres Audit-Log; jede unbefugte Änderung unterbricht die Kette und ist erkennbar.
• Regelmäßige interne Sicherheitsprüfungen und Zugriffskontrollen nach dem Least-Privilege-Prinzip für SecurSSH-Operatoren.
• Roadmap: SOC 2 Type II-Audit für H2 2026 geplant (derzeit nicht zertifiziert - wird nicht als bereits erlangt beansprucht).

Der Dienst ist für die geschäftliche Nutzung bestimmt und richtet sich nicht an Nutzer unter 16 Jahren. SecurSSH erhebt nicht wissentlich personenbezogene Daten von Kindern unter 16 Jahren. Sollten Sie der Auffassung sein, dass ein Kind personenbezogene Daten übermittelt hat, kontaktieren Sie uns bitte, damit wir die betreffenden Datensätze löschen können.

Wesentliche Änderungen dieser Datenschutzerklärung werden mindestens 30 Tage vor Inkrafttreten per E-Mail an aktive Kunden sowie über ein In-Product-Banner mitgeteilt. Geringfügige Änderungen (Tippfehler, Klarstellungen) werden mit aktualisiertem Revisionsdatum veröffentlicht.

Allgemeine Fragen zum Datenschutz: privacy@securssh.com.

Datenschutzbeauftragter: dpo@securssh.com.