Datenschutzerklärung
Stand: Juni 2026 | gemäß DSGVO & TDDDG
Datenschutz ist für ein Cybersicherheits-Institut keine Pflichtübung, sondern Kernüberzeugung. Wir erheben so wenig personenbezogene Daten wie möglich, speichern sie nicht länger als für den jeweiligen Zweck nötig und geben nichts an Dritte weiter, was nicht zwingend erforderlich ist. Wo eine kurzzeitige Verarbeitung technisch notwendig ist – etwa zur Abwehr von Missbrauch – oder wo uns gesetzliche Aufbewahrungspflichten binden, legen wir dies in dieser Erklärung offen. Diese Erklärung beschreibt transparent, was bei der Nutzung unserer Website und Tools mit Ihren Daten geschieht.
Inhaltsverzeichnis
- 1. Verantwortlicher
- 2. Grundsätze und Speicherdauer
- 3. Hosting und Server-Logfiles
- 4. Keine Tracking-Cookies durch IFCSD
- 5. Cloudflare Turnstile (Spam-Schutz)
- 6. Kontaktformular und E-Mail
- 7. Kostenlose Sicherheits-Tools
- 8. Geräte- und Verbindungsinformationen
- 9. Empfänger und Auftragsverarbeiter
- 10. Datenübermittlung in Drittländer
- 11. Ihre Rechte
- 12. Beschwerderecht bei der Aufsichtsbehörde
- 13. Aktualität und Änderung dieser Erklärung
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
GENO Group eG
– Institut für Cybersicherheit Deutschland (IFCSD) –
Ostendorfer Straße 1, 39130 Magdeburg
Vertreten durch den Vorstand: Steffen Huntscha
Telefon: +49 391 59756243
E-Mail: [email protected]
Die Bestellung eines Datenschutzbeauftragten ist gesetzlich nicht erforderlich. Für Datenschutzanliegen erreichen Sie uns unter der oben genannten Adresse.
2. Grundsätze und Speicherdauer
Wir verarbeiten personenbezogene Daten ausschließlich, soweit dies für die Bereitstellung unserer Angebote erforderlich ist. Personenbezogene Daten werden gelöscht, sobald der Zweck der Verarbeitung entfällt – im Regelfall mit vollständiger Bearbeitung Ihrer Anfrage. Gesetzliche Aufbewahrungspflichten (insbesondere handels- und steuerrechtliche Fristen nach § 257 HGB und § 147 AO von bis zu zehn Jahren) bleiben unberührt; für die Dauer dieser Fristen wird die Verarbeitung eingeschränkt.
3. Hosting und Server-Logfiles
Diese Website wird über Cloudflare Pages (Cloudflare, Inc., 101 Townsend St., San Francisco, CA 94107, USA) ausgeliefert. Beim Aufruf der Website verarbeitet Cloudflare technisch notwendige Verbindungsdaten (IP-Adresse, Datum und Uhrzeit, angefragte URL, übertragene Datenmenge, Referrer, Browsertyp). Diese Verarbeitung ist für die sichere und zuverlässige Bereitstellung sowie zur Abwehr von Angriffen erforderlich. Rechtsgrundlage ist unser berechtigtes Interesse an einem sicheren Betrieb (Art. 6 Abs. 1 lit. f DSGVO). Zur Datenübermittlung in die USA siehe Abschnitt 10.
5. Cloudflare Turnstile (Spam-Schutz)
Auf Seiten mit Formularen oder Tools setzen wir Cloudflare Turnstile ein, um automatisierte und missbräuchliche Anfragen abzuwehren. Turnstile prüft im Hintergrund, ob die Anfrage von einem Menschen stammt, und verarbeitet dazu technische Geräte- und Verhaltensmerkmale, ohne dass Sie ein klassisches CAPTCHA lösen müssen. Rechtsgrundlage ist unser berechtigtes Interesse am Schutz unserer Dienste vor Missbrauch (Art. 6 Abs. 1 lit. f DSGVO). Die dabei verarbeiteten technischen Merkmale werden an Cloudflare, Inc. (USA) übermittelt; zur Datenübermittlung in die USA siehe Abschnitt 10.
6. Kontaktformular und E-Mail
Wenn Sie uns über das Kontaktformular oder per E-Mail kontaktieren, verarbeiten wir Ihre Angaben (Name, E-Mail-Adresse, ggf. Telefonnummer, Anliegen und Nachrichteninhalt) ausschließlich zur Bearbeitung Ihrer Anfrage. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Anbahnung bzw. Durchführung eines Vertrags) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen).
Für den Versand und die Zustellung von E-Mails nutzen wir den Dienst Resend (Resend, Inc., USA). Die Übertragung erfolgt TLS-verschlüsselt. Nachrichten werden nicht dauerhaft in Logdateien gespeichert. Zur Bestätigung des Eingangs erhalten Sie zudem automatisch eine Bestätigungsmail an die von Ihnen angegebene E-Mail-Adresse. Die Datenübermittlung in die USA ist durch geeignete Garantien (Standardvertragsklauseln gemäß Art. 46 DSGVO) abgesichert. Datenschutzhinweise von Resend: resend.com/legal/privacy-policy.
Ihre Anfragedaten werden gelöscht, sobald Ihre Anfrage abschließend bearbeitet ist und keine gesetzlichen Aufbewahrungspflichten entgegenstehen (siehe Abschnitt 2).
7. Kostenlose Sicherheits-Tools
Wir stellen mehrere kostenlose Sicherheits-Tools bereit. Alle Tools arbeiten datensparsam: Ihre Eingaben und die Ergebnisse werden ausschließlich in Echtzeit verarbeitet und nicht in Datenbanken oder Logdateien gespeichert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung kostenloser Sicherheitsdienste). Im Einzelnen:
- IP-/Port-Check: Geprüft wird die IP-Adresse, die unser Server bei Ihrem Aufruf von Cloudflare für Ihre aktuelle Verbindung erhält. Zur Anzeige Ihrer öffentlichen IP-Adresse wird zusätzlich der Dienst ipify (api64.ipify.org) abgerufen. Auf dieser IP-Adresse führt unser über Cloudflare betriebener Dienst einen technischen Port-Scan durch: Er versucht kurzzeitig, gängige Netzwerk-Ports (z. B. für Fernzugriff, Web- oder Datenbankdienste) zu erreichen, um deren Erreichbarkeit (offen/gefiltert/geschlossen) festzustellen und Sie auf mögliche Angriffsflächen hinzuweisen. Es wird stets nur Ihre eigene Verbindung geprüft. Die IP-Adresse und die Ergebnisse werden ausschließlich in Echtzeit verarbeitet und nicht gespeichert.
- E-Mail-Leak-Check: Vor der eigentlichen Abfrage wird technisch geprüft, ob die Domain der eingegebenen Adresse einen Mailserver besitzt (MX-Eintrag); dieser DNS-Abgleich erfolgt über unseren bereits genannten Dienstleister Cloudflare und verarbeitet nur den Domain-Teil. Die vollständige E-Mail-Adresse wird anschließend TLS-verschlüsselt einmalig über die API von „Have I Been Pwned“ (HIBP, betrieben von Troy Hunt) abgefragt. HIBP erhält die angefragte Adresse im Rahmen der Abfrage. Das IFCSD speichert keine eingegebenen Adressen.
- Passwort-Check: Ihr Passwort wird lokal in Ihrem Browser als SHA-1-Hash berechnet. Nur die ersten fünf Zeichen dieses Hashes werden an HIBP übermittelt (k-Anonymitäts-Verfahren). Das Passwort selbst verlässt Ihr Gerät nie.
- Domain-Breach-Check: Die eingegebene Domain wird über die öffentliche API von „Have I Been Pwned“ (HIBP) mit dem öffentlich bekannten Katalog der Datenleck-Vorfälle abgeglichen, die diese Domain betreffen. Es werden dabei keine personenbezogenen Einzeldaten Dritter abgefragt oder angezeigt. Eine Speicherung der Domain erfolgt nicht.
- IP-Reputationscheck: Die eingegebene IP-Adresse wird an den Dienst AbuseIPDB (Marathon Studios Inc., USA) übermittelt und dort gegen eine gemeinschaftlich gepflegte Missbrauchsdatenbank abgeglichen. Eine Speicherung der IP-Adresse durch uns erfolgt nicht.
- DNS-Leak-Check: Zur Erkennung des von Ihnen genutzten DNS-Resolvers stellt Ihr Browser DNS-Testanfragen an die öffentlichen Resolver von Cloudflare (cloudflare-dns.com) und Google (dns.google, Google LLC, USA). Dabei wird die von Ihnen genutzte Resolver-Adresse ermittelt. Eine Speicherung erfolgt nicht.
- SSL/TLS-Prüfung: Der von Ihnen eingegebene Host wird von unserem Server auf HTTPS-Erreichbarkeit, Sicherheits-Header und Zertifikatsdaten geprüft. Zertifikatsinformationen werden über den öffentlichen Certificate-Transparency-Dienst crt.sh (Sectigo Ltd.) abgefragt. Personenbezogene Daten werden dabei nicht an Dritte übermittelt; eine Speicherung erfolgt nicht.
Bitte nutzen Sie die Tools nur für E-Mail-Adressen, Domains oder Systeme, die Sie selbst nutzen bzw. kontrollieren oder für die Sie ausdrücklich berechtigt sind.
Zur Abwehr von Missbrauch (etwa automatisierten Massenabfragen) setzen wir eine Anfragenbegrenzung ein. Dabei wird Ihre IP-Adresse für eine kurze Zeitspanne (bis zu einer Stunde) in einem flüchtigen Zwischenspeicher verarbeitet, um die Zahl der Anfragen pro Anschluss zu begrenzen. Eine inhaltliche Auswertung, eine dauerhafte Speicherung oder eine Zusammenführung mit anderen Daten findet nicht statt. Rechtsgrundlage ist unser berechtigtes Interesse am Schutz unserer Dienste vor Missbrauch (Art. 6 Abs. 1 lit. f DSGVO).
8. Geräte- und Verbindungsinformationen („Was sieht diese Seite?“)
Im Seitenfooter bieten wir eine optionale, vom Nutzer aktiv auszulösende Funktion an, die zu Demonstrations- und Aufklärungszwecken anzeigt, welche technischen Informationen ein Webserver bei jedem Seitenaufruf ohnehin erhält. Erst wenn Sie diese Funktion anklicken, ruft Ihr Browser den Endpunkt /api/device-info auf und zeigt Ihnen live folgende Verbindungsdaten an: IP-Adresse, Internetanbieter und Netz (ASN), ungefährer Standort (Land, Region, Stadt) und Zeitzone, verwendetes Protokoll und Verschlüsselung (HTTP-Version, TLS-Version und -Cipher), Browser-Kennung (User-Agent) sowie bevorzugte Sprache.
Diese Daten werden ausschließlich in Echtzeit zur Anzeige in Ihrem Browser verarbeitet und nicht gespeichert, nicht protokolliert und nicht an Dritte weitergegeben. Rechtsgrundlage ist unser berechtigtes Interesse an Aufklärung über digitale Datenspuren (Art. 6 Abs. 1 lit. f DSGVO). Lösen Sie die Funktion nicht aus, findet diese Verarbeitung nicht statt.
9. Empfänger und Auftragsverarbeiter
Eine Weitergabe Ihrer Daten erfolgt nur, soweit dies zur Erbringung unserer Leistungen erforderlich ist. Eingesetzte Dienstleister:
- Cloudflare, Inc. (USA) – Hosting, Auslieferung, Sicherheit und Spam-Schutz (Turnstile).
- Resend, Inc. (USA) – Versand und Zustellung von E-Mails aus dem Kontaktformular.
- Have I Been Pwned (Troy Hunt) – Abgleich von E-Mail-Adressen, Domains und Passwort-Hashes für die genannten Tools.
- AbuseIPDB (Marathon Studios Inc., USA) – Abgleich von IP-Adressen für den IP-Reputationscheck.
- ipify – Ermittlung der öffentlichen IP-Adresse für den IP-/Port-Check.
- Google LLC (USA) und Cloudflare, Inc. – öffentliche DNS-Resolver zur Auflösung der DNS-Testanfragen des DNS-Leak-Checks.
- crt.sh (Sectigo Ltd.) – Abruf öffentlicher Zertifikatsdaten für die SSL/TLS-Prüfung.
Mit Auftragsverarbeitern bestehen Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO, soweit erforderlich.
10. Datenübermittlung in Drittländer
Soweit Daten an Dienstleister mit Sitz in den USA übermittelt werden (insbesondere Cloudflare, Resend, AbuseIPDB sowie – beim DNS-Leak-Check – Google), erfolgt dies auf Grundlage geeigneter Garantien im Sinne der Art. 44 ff. DSGVO – insbesondere des EU-US Data Privacy Framework (DPF), soweit der jeweilige Anbieter zertifiziert ist, andernfalls auf Basis von Standardvertragsklauseln (Art. 46 DSGVO).
Bei einzelnen Tools rufen Sie bzw. Ihr Browser zusätzlich öffentliche Infrastruktur- und Auskunftsdienste auf (z. B. öffentliche DNS-Resolver, einen Dienst zur Anzeige der eigenen IP-Adresse sowie das Certificate-Transparency-Verzeichnis crt.sh). Diese Abrufe sind technisch erforderlich, um die von Ihnen ausdrücklich angeforderte Prüfung durchzuführen (Art. 49 Abs. 1 lit. b DSGVO). Die Abfrage bei „Have I Been Pwned“ erfolgt im Rahmen der angebotenen API-Funktion.
11. Ihre Rechte
Sie haben gemäß DSGVO das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) sowie auf Widerspruch gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. f DSGVO beruhen (Art. 21). Zur Wahrnehmung Ihrer Rechte genügt eine formlose Nachricht an [email protected].
12. Beschwerderecht bei der Aufsichtsbehörde
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Behörde ist:
Landesbeauftragter für den Datenschutz Sachsen-Anhalt
Leiterstraße 9, 39104 Magdeburg
Telefon: 0391 81803-0
E-Mail: [email protected]
13. Aktualität und Änderung dieser Erklärung
Diese Datenschutzerklärung hat den Stand Juni 2026. Durch die Weiterentwicklung unserer Website und Angebote oder aufgrund geänderter rechtlicher Vorgaben kann es notwendig werden, diese Erklärung anzupassen. Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar.