Datenschutzerklärung
TL;DR: CookieVaults Datenschutzerklärung ist kurz, weil wir fast nichts erheben — eine E-Mail, einen undurchsichtigen verschlüsselten Sync-Blob, den wir nicht lesen können, und eine Abrechnungs-ID. Wir sehen niemals deine Cookies, deinen Browserverlauf, deine IP oder irgendwelche Telemetrie, und wir verkaufen niemals Daten.
Eine Datenschutzerklärung ist das Dokument, das dir genau sagt, welche Daten ein Dienst über dich erhebt, warum, wie lange er sie aufbewahrt, mit wem er sie teilt und welche Rechte du daran hast. Die Datenschutzerklärung von CookieVault ist ungewöhnlich kurz, weil das Produkt so gebaut ist, dass wir so wenig deiner Daten halten wie technisch möglich: Cookie-Inhalte werden auf deinem Gerät Ende-zu-Ende-verschlüsselt, bevor sie uns erreichen, sodass der Server nur Chiffretext speichert, den er nicht entschlüsseln kann.1
Was wir erheben
Kurz gesagt: Für bezahlte Konten: deine E-Mail, einen undurchsichtigen verschlüsselten Sync-Blob und eine Paddle-Kunden-ID. Für Free-Nutzer mit reiner Lokalnutzung: nichts, weil es kein Konto gibt. Art. 5 Abs. 1 lit. c DSGVO nennt das Datenminimierung — “dem Zweck angemessen und erheblich sowie auf das notwendige Maß beschränkt”2 — und das ist die Designregel, der das gesamte Produkt folgt.
| Daten, die wir erheben | Zweck | Wer hat sie | Können wir sie lesen? |
|---|---|---|---|
| E-Mail-Adresse | Anmeldung, Belege, Sicherheitsmeldungen | CookieVault | Ja |
| Undurchsichtiger Sync-Blob | Geräteübergreifende verschlüsselte Cookie-Synchronisierung | CookieVault | Nein — nur Chiffretext |
| Paddle-Kunden-ID | Abrechnung und Steuerabwicklung | CookieVault | Ja (eine undurchsichtige ID) |
| Zahlungskartendaten | Belastung deines Abonnements | Nur Paddle | Nein — wir erhalten sie nie |
| Inhalt von Support-Mails | Beantwortung deiner Support-Anfrage | CookieVault | Ja, bis zum Ticketabschluss |
Free-Nutzer, die nie ein Konto erstellen, erzeugen nichts davon. Die Erweiterung speichert deine Cookies und Profile lokal und führt keine Netzwerkaufrufe aus, es sei denn, du aktivierst die Synchronisierung in einem bezahlten Tarif ausdrücklich.
Was wir niemals erheben
Kurz gesagt: Wir erheben niemals den Inhalt deiner Cookies, deinen Browserverlauf, deine IP-Adresse oder Verhaltenstelemetrie. Der DSGVO-Grundsatz lautet, dass die Rechtsgrundlage für jede Verarbeitung bestimmt sein muss — und wir haben schlicht keine Grundlage und keinen Wunsch, irgendetwas davon zu sammeln.2
Die Liste der Dinge, die CookieVault bewusst nicht erhebt:
- Cookie-Inhalte — auf dem Gerät vor der Synchronisierung verschlüsselt; wir speichern nur Chiffretext
- Browserverlauf — die Erweiterung liest oder übermittelt nie die Seiten, die du besuchst
- IP-Adressen — unsere Analytics sind cookielos und ausschließlich aggregiert, ohne IP-Logging pro Besucher
- Geräte-Fingerprints — kein Canvas, kein WebGL, keine Schriftarten-Enumeration
- Verhaltenstelemetrie — die Erweiterung wird ohne jegliche Analytics-SDKs ausgeliefert
- Drittanbieter-Werbe-Kennungen — wir betreiben keine Werbung und integrieren keine Werbenetzwerke
Unsere Website-Analytics sind Cloudflare Web Analytics und Plausible, beide von Grund auf cookielos und ausschließlich aggregiert, weshalb diese Website kein Cookie-Einwilligungsbanner zeigt — es gibt nichts, dem man zustimmen müsste.
Deine Rechte
Kurz gesagt: Nach DSGVO, CCPA und LGPD hast du Rechte auf Auskunft, Löschung, Berichtigung, Übertragbarkeit und Widerspruch. Schreibe an privacy@cookievault.net und wir antworten innerhalb von 30 Tagen. Da der Großteil dessen, was wir halten, Chiffretext ist, den wir nicht lesen können, ist die Löschung schnell und überprüfbar.
Die Rechte, die du ausüben kannst, nach Rechtsrahmen:
- DSGVO (EU/EWR/UK) — Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit und Widerspruch nach Art. 15–223
- CCPA/CPRA (Kalifornien) — Recht zu erfahren, zu löschen, zu berichtigen und dem “Verkauf” oder “Teilen” zu widersprechen nach Cal. Civ. Code §1798.100 ff.4
- LGPD (Brasilien) — Bestätigung, Auskunft, Berichtigung, Anonymisierung, Übertragbarkeit und Löschung nach Lei 13.709/20185
Um ein Recht auszuüben, schreibe von deiner Konto-Adresse an privacy@cookievault.net. Wir erheben keine Gebühr für angemessene Anfragen und antworten innerhalb von 30 Tagen.
Aufbewahrung
Kurz gesagt: Kontodaten werden bis zur Löschung deines Kontos plus einem 30-tägigen Kulanzfenster aufbewahrt und dann endgültig entfernt. Verschlüsselte Blobs leben, bis du sie clientseitig löschst. Abrechnungsunterlagen werden so lange aufbewahrt, wie es das Steuerrecht verlangt (üblicherweise bis zu sieben Jahre), und ausschließlich durch Paddle.
| Datentyp | Aufbewahrungsdauer | Auslöser für Löschung |
|---|---|---|
| Konto-E-Mail | Bis zur Konto-Löschung + 30 Tage Kulanz | Du löschst dein Konto |
| Verschlüsselter Sync-Blob | Bis du ihn vom Client löschst | Clientseitige Löschung |
| Support-Korrespondenz | Bis zum Ticketabschluss + 12 Monate | Automatische Bereinigung |
| Abrechnungs-/Rechnungsunterlagen | Wie vom Steuerrecht verlangt, üblicherweise bis zu 7 Jahre | Gesetzliches Minimum (Paddle) |
Auftragsverarbeiter
Kurz gesagt: Genau zwei — Cloudflare für Hosting und Sync-Transit und Paddle als unser Merchant of Record für die Abrechnung. Kein Analytics-Verarbeiter erhält personenbezogene Daten, und wir nutzen keine Werbenetzwerke oder Datenhändler. Eine aktuelle Liste wird hier gepflegt.
| Auftragsverarbeiter | Rolle | Daten, die sie verarbeiten | Standort |
|---|---|---|---|
| Cloudflare | Hosting, Sync-API, verschlüsselter Speicher | Undurchsichtiger Chiffretext, Anfrage-Metadaten | Globale Edge |
| Paddle | Merchant of Record, Abrechnung, Steuern | Name, E-Mail, Zahlungsdaten, Rechnungen | Global |
Cloudflare sieht jemals nur verschlüsselte Blobs und routinemäßige Anfrage-Metadaten; Schlüssel werden dort nie gehalten.6 Paddle wickelt als Merchant of Record Zahlungsdaten sowie die Mehrwertsteuer- und Umsatzsteuer-Compliance in über 100 Rechtsräumen ab — deshalb erreichen deine Kartendaten Paddle und nie uns.7 Wenn wir je einen Auftragsverarbeiter hinzufügen oder ändern, aktualisieren wir diese Tabelle und benachrichtigen Pro-Abonnenten im Voraus.
Siehe auch
- Sicherheit — die Verschlüsselungsarchitektur, die diese Erklärung möglich macht
- No-Sale-Versprechen — unsere dauerhafte Zusage, Daten niemals zu verkaufen
- Nutzungsbedingungen — die Vereinbarung, die deine Nutzung des Dienstes regelt
- Über uns — wer CookieVault baut und wie es finanziert wird
Footnotes
-
“Ende-zu-Ende-Verschlüsselung” bedeutet, dass Daten auf dem Gerät des Absenders verschlüsselt und nur auf dem des Empfängers entschlüsselt werden, sodass Zwischenstellen Chiffretext speichern, den sie nicht lesen können. Hintergrund siehe Mozillas Datenschutz-Dokumentation: https://developer.mozilla.org/en-US/docs/Web/Privacy. ↩
-
Art. 5 Abs. 1 DSGVO legt die Grundsätze der Datenminimierung und Zweckbindung fest. Offizieller konsolidierter Text: https://gdpr-info.eu/art-5-gdpr/. ↩ ↩2
-
Die DSGVO-Betroffenenrechte sind in Art. 15–22 definiert. Siehe die Hinweise des UK Information Commissioner’s Office: https://ico.org.uk. ↩
-
Der California Consumer Privacy Act, in der durch den CPRA geänderten Fassung, wird vom California Attorney General zusammengefasst: https://oag.ca.gov/privacy/ccpa. ↩
-
Brasiliens Lei Geral de Proteção de Dados (LGPD, Lei 13.709/2018) wird von der ANPD verwaltet: https://www.gov.br/anpd/pt-br. ↩
-
Die eigenen Datenschutzzusagen von Cloudflare sind hier veröffentlicht: https://www.cloudflare.com/privacypolicy/. ↩
-
Paddle handelt als Merchant of Record und übernimmt Steuer- und Zahlungs-Compliance. Datenschutzdetails: https://www.paddle.com/legal/privacy. ↩