Datenschutz

Datenschutzerklärung

Wir erläutern transparent, welche personenbezogenen Daten wir beim Besuch dieser Website und bei Nutzung unserer Sicherheits-Tools verarbeiten.

Kontakt aufnehmen Impressum anzeigen

1. Verantwortliche Stelle

Wolf-Agents
Inhaber: Eduard Wolf
Vorderhainberg 21
94496 Ortenburg, Deutschland

Telefon: +49 151 46533415
E-Mail: info@wolf-agents.com

Hinweis zur aktuellen Pre-Launch-Phase: Die Plattform befindet sich derzeit in einer geschlossenen Beta-Phase. Während dieser Phase werden keine kostenpflichtigen Abonnements abgeschlossen; die Stripe-Integration ist im Test-Modus aktiv. Es findet daher aktuell keine Übermittlung von Zahlungsdaten an Stripe in den USA statt (vgl. Abschnitt 10). Mit dem Public Launch wird die Stripe-Integration auf den Live-Modus umgestellt; diese Datenschutzerklärung wird zu diesem Zeitpunkt aktualisiert und Beta-Tester werden gemäß Abschnitt 21 informiert.

Datenschutzbeauftragter: Wolf-Agents beschäftigt weniger als 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, und führt keine Verarbeitungen durch, die nach Art. 35 DSGVO eine Datenschutz-Folgenabschätzung erfordern. Die Voraussetzungen für eine zwingende Bestellung eines Datenschutzbeauftragten gemäß § 38 BDSG sind daher nicht erfüllt. Bei Fragen zum Datenschutz wenden Sie sich bitte direkt an die oben genannten Kontaktdaten.

2. Hosting & Server-Logfiles

Unsere Website wird auf einem Hetzner Server (Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland) in Deutschland gehostet. Die Content-Delivery erfolgt über Bunny.net (BunnyWay d.o.o., Cesta komandanta Staneta 4A, 1215 Medvode, Slowenien), einem europäischen CDN-Anbieter mit Edge-Servern in der EU. Mit beiden Anbietern bestehen Auftragsverarbeitungsverträge. Alle Daten werden ausschließlich auf europäischen Servern verarbeitet und verlassen niemals die EU.

Bei jedem Aufruf werden automatisiert folgende Logdaten verarbeitet:

  • IP-Adresse des anfragenden Rechners
  • Datum und Uhrzeit der Anfrage
  • Angeforderte Ressource (URL)
  • Referrer-URL (zuvor besuchte Seite)
  • Browser-Typ, -Version und Betriebssystem
  • Übertragene Datenmenge
  • Zugriffsstatus (HTTP-Statuscode)

Diese Daten werden zur Bereitstellung der Website, Abwehr von Angriffen und Fehleranalyse verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO i.V.m. Erwägungsgrund 49 DSGVO (Netz- und Informationssicherheit als anerkanntes berechtigtes Interesse). Unser berechtigtes Interesse liegt in der technischen Bereitstellung und Aufrechterhaltung einer funktionsfähigen Website, der Gewährleistung der IT-Sicherheit sowie der Erkennung und Abwehr von Cyberangriffen und Missbrauch. Diese Interessen überwiegen die Interessen der betroffenen Personen, da ausschließlich technische Daten kurzzeitig verarbeitet werden und eine zuverlässige Website-Nutzung ohne diese Verarbeitung nicht möglich wäre. Logdaten werden maximal 30 Tage gespeichert; IP-Adressen werden nach spätestens 7 Tagen anonymisiert.

3. Cookies & Browser-Speicher

Wir setzen keine Statistik-, Marketing- oder Tracking-Cookies ein. Es werden keine Werbenetzwerke, Retargeting-Pixel, Analytics-Dienste oder vergleichbare Dienste eingebunden. Ein Cookie-Banner ist daher nicht erforderlich.

3.1 Technisch notwendige Cookies

Folgende Cookies werden ausschließlich für die Authentifizierung und Sicherheit gesetzt. Gemäß § 25 Abs. 2 Nr. 2 TDDDG ist hierfür keine Einwilligung erforderlich, da sie für den vom Nutzer ausdrücklich gewünschten Dienst technisch notwendig sind:

  • wolf.session_token / __Secure-wolf.session_token: Authentifizierungs-Cookie (HttpOnly, Secure, SameSite=Lax). Gültigkeitsdauer: 24 Stunden, Erneuerung nach 4 Stunden Aktivität.
  • wolf.session_data / __Secure-wolf.session_data: Session-Cache-Cookie (HttpOnly, Secure, SameSite=Lax). Gültigkeitsdauer: 5 Minuten.
  • scan_unlock: Token-Cookie für die Freischaltung von Scan-Ergebnissen per E-Mail-Link (HttpOnly, Secure, SameSite=Lax). Gültigkeitsdauer: 7 Tage.

3.2 Local Storage (Browser-Speicher)

Für eine verbesserte Nutzererfahrung speichern wir folgende Präferenzen im Local Storage Ihres Browsers:

  • wolf-agents-theme: Speichert Ihre bevorzugte Darstellung (hell/dunkel)
  • dash-sidebar-collapsed: Speichert den Zustand der Dashboard-Seitenleiste
  • wolf-news-last-read: Zeitstempel der letzten News-Ansicht (für Ungelesen-Indikator)
  • as-scan-{id}: Temporärer Scan-Fortschritt (automatische Löschung nach 10 Minuten)

Diese Speicherungen dienen ausschließlich der Komfort-Funktion und enthalten keine personenbezogenen Daten. Es handelt sich nicht um Cookies und nicht um Tracking. Gemäß § 25 Abs. 2 Nr. 2 TDDDG ist hierfür keine Einwilligung erforderlich, da die Speicherung für den vom Nutzer ausdrücklich gewünschten Dienst technisch notwendig ist.

4. Online-Sicherheitstools

Wir bieten kostenlose Sicherheits-Analyse-Tools an, die als passive Informations- und Konfigurations-Audit-Dienste arbeiten. Sie ermitteln anhand öffentlich abrufbarer Daten (HTTP-Header, DNS-Records, TLS-Zertifikate, Mailserver-Antworten) den jeweiligen IST-Zustand sicherheitsrelevanter Konfigurationen einer vom Nutzer eingegebenen Domain bzw. eines API-Endpunkts. Die Tools schützen nicht aktiv (kein Antivirus, keine Firewall, kein WAF, keine Code-Analyse, kein Penetration Test). Bei der Nutzung dieser Tools werden folgende Daten verarbeitet:

4.1 Web Security Check

Zweck: Analyse von HTTP-Security-Headern, SSL/TLS-Zertifikaten und DNS-Sicherheitseinstellungen einer Website.

Vom Nutzer eingegebene Daten:

  • Website-URL oder Domain-Name

Datenfluss und technische Verarbeitung:

  1. DNS-Abfragen werden über unsere eigenen Scanner-Server durchgeführt. Dabei wird nur der Domain-Name übermittelt, keine Nutzer-IP.
  2. HTTP-Header-Analyse erfolgt über unseren dedizierten Scanner-Server bei Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, Deutschland). Der Scanner kontaktiert die Zielwebsite mit einer Browser-ähnlichen Anfrage (curl-impersonate). Die Zielwebsite sieht nur die IP-Adresse unseres Scanners, nicht Ihre IP-Adresse.
  3. SSL/TLS-Analyse prüft Zertifikate, TLS-Versionen und Cipher-Suites der Zielwebsite.
  4. Fallback-System: Bei Nichterreichbarkeit des Hauptscanners wird ein Backup-Scanner bei netcup GmbH (Daimlerstraße 25, 76185 Karlsruhe, Deutschland) genutzt. Beide Scanner befinden sich in Deutschland.

Speicherdauer: Scan-Ergebnisse werden für maximal 24 Stunden zwischengespeichert (Redis-Cache), um wiederholte Abrufe zu ermöglichen. Für eingeloggte Nutzer wird zusätzlich eine Zusammenfassung (Domain, Score, Note, Zeitpunkt) dauerhaft in der Datenbank gespeichert und bei Account-Löschung gelöscht.

Rate-Limiting: Zum Schutz vor Missbrauch werden Anfragen pro IP-Adresse begrenzt. Dabei wird Ihre IP-Adresse temporär im Arbeitsspeicher des Servers gehalten und anschließend verworfen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO i.V.m. Erwägungsgrund 49 DSGVO. Unser berechtigtes Interesse liegt in der Bereitstellung der Sicherheitstools zur Förderung der Netz- und Informationssicherheit der Nutzer und ihrer Systeme. Da nur die technische Konfiguration der vom Nutzer aktiv eingegebenen Domain geprüft wird (keine Inhaltsanalyse, keine Übertragung der Nutzer-IP an die Zielseite), überwiegen diese Interessen.

4.2 E-Mail Security Check

Zweck: Analyse von E-Mail-Sicherheitseinstellungen (SPF, DKIM, DMARC, MTA-STS, BIMI, DANE, DNSSEC) einer Domain.

Vom Nutzer eingegebene Daten:

  • Domain-Name (z.B. beispiel.de)

Datenfluss und technische Verarbeitung:

  1. DNS-Abfragen werden über unsere eigenen Server durchgeführt für folgende Record-Typen: MX, TXT (SPF, DKIM, DMARC), CNAME (BIMI), TLSA (DANE), DS (DNSSEC), CAA.
  2. SMTP-Verbindungstest erfolgt über unseren dedizierten Server bei netcup GmbH (Daimlerstraße 25, 76185 Karlsruhe, Deutschland). Der Server verbindet sich mit dem Mail-Server (MX-Record) der eingegebenen Domain über Port 25, prüft STARTTLS-Unterstützung, TLS-Version und Zertifikatdetails. Der Mail-Server sieht nur die IP-Adresse unseres Servers, nicht Ihre IP-Adresse. Es werden keine E-Mail-Inhalte übertragen oder gelesen.

Speicherdauer: Scan-Ergebnisse werden für maximal 24 Stunden zwischengespeichert (Redis-Cache). Für eingeloggte Nutzer wird eine Zusammenfassung dauerhaft gespeichert und bei Account-Löschung gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO i.V.m. Erwägungsgrund 49 DSGVO (Netz- und Informationssicherheit). Berechtigtes Interesse: Bereitstellung der E-Mail-Security-Analyse für die vom Nutzer aktiv eingegebene Domain.

4.3 API Security Check

Zweck: Analyse von API-Sicherheitseinstellungen (CORS, Authentication, Rate-Limiting, Header-Konfiguration, bekannte Schwachstellen) eines API-Endpunkts.

Vom Nutzer eingegebene Daten:

  • API-URL oder Domain-Name

Datenfluss: Wie beim Web Security Check; der Scanner-Server kontaktiert den API-Endpunkt direkt. Die Zielseite sieht nur die IP-Adresse unseres Scanners. Es werden keine Authentifizierungsdaten übermittelt.

Speicherdauer: Wie bei 4.1 (24 Stunden Cache, dauerhafte Zusammenfassung für eingeloggte Nutzer).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO i.V.m. Erwägungsgrund 49 DSGVO (Netz- und Informationssicherheit). Berechtigtes Interesse: Bereitstellung der API-Security-Analyse für den vom Nutzer aktiv eingegebenen API-Endpunkt.

4.4 Gemeinsame Aspekte der Tools

  • Keine Nutzer-IP an Zielseiten: Die von Ihnen analysierten Websites/Domains sehen nur die IP-Adresse unserer Scanner-Server, nicht Ihre persönliche IP-Adresse.
  • Kein Account erforderlich: Die Tools können ohne Registrierung genutzt werden.
  • Server-Logs: Auf unseren Scanner-Servern werden minimale Logs für Fehleranalyse geführt (Zeitstempel, angefragte Domain, Fehlercodes). IP-Adressen werden nach 7 Tagen anonymisiert, Logs nach spätestens 30 Tagen gelöscht.

4.5 Scan-Report-Freischaltung (E-Mail-Gate)

Für den vollständigen Zugriff auf Scan-Ergebnisse ohne Registrierung bieten wir eine E-Mail-basierte Freischaltung an. Dabei wird Ihre E-Mail-Adresse zum Versand der Bestätigungs-E-Mail verarbeitet und im Anschluss ausschließlich verschlüsselt (AES-256-GCM) sowie als SHA-256-Hash zur Zuordnung gespeichert; im Klartext wird sie nicht persistiert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) sowie Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung). Bei Marketing-Einwilligung erfolgt die Bestätigung im Double-Opt-In-Verfahren: Sie erhalten eine separate Bestätigungs-E-Mail und Ihre Einwilligung wird erst nach Klick auf den Bestätigungslink wirksam.

5. Kontaktaufnahme

5.1 Kontaktformular

Wenn Sie uns über das Formular kontaktieren, verarbeiten wir die von Ihnen übermittelten Pflicht- und freiwilligen Angaben (Name, E-Mail-Adresse, Nachricht sowie optional Unternehmen, Telefonnummer oder Projektdetails) zur Bearbeitung Ihres Anliegens bzw. zur Anbahnung eines Vertrags. Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Kommunikation).

Wir verwenden ein Double-Opt-In-Verfahren: Nach Absenden der Anfrage erhalten Sie eine Bestätigungs-E-Mail. Bis zur Bestätigung speichern wir das zugehörige Token pseudonymisiert in einem Redis-Speicher auf unserem eigenen KV-API-Server bei netcup GmbH (Deutschland) mit einer Speicherdauer von 48 Stunden.

5.2 Bot- und Spam-Schutz (Proof-of-Work)

Zum Schutz vor automatisierten Formular-Missbräuchen setzen wir ein eigenes Proof-of-Work-Verfahren ein, das vollständig auf unserer eigenen Infrastruktur läuft. Dabei löst der Browser des Nutzers eine kleine Rechenaufgabe. Es werden keine personenbezogenen Daten erhoben.

Zur Verifizierung übermittelt Ihr Browser lediglich:

  • Das berechnete Proof-of-Work-Ergebnis
  • Einen einmalig-gültigen Token (verfällt nach Verwendung)

Das Verfahren setzt keine Cookies, speichert keine IP-Adressen und überträgt keine Daten an Dritte. Die gesamte Verarbeitung erfolgt auf unserer eigenen europäischen Infrastruktur. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt im Schutz unserer Formulare vor automatisiertem Missbrauch (Bots, Spam) und der Sicherstellung der Verfügbarkeit unserer Dienste. Da das Verfahren ohne Cookies und ohne personenbezogene Daten arbeitet, ist der Eingriff in die Rechte der Nutzer minimal.

5.3 Serverseitiges Rate-Limiting

Zur Abwehr massenhafter Formularanfragen speichern wir kurzzeitige Zähler pro IP-Adresse und Zeitfenster (typischerweise 60 Sekunden) in einem Redis-Speicher auf unserem eigenen Server bei netcup GmbH (Deutschland). Die Einträge werden nach Ablauf der jeweiligen TTL automatisch gelöscht; eine weitergehende Profilbildung findet nicht statt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Aufrechterhaltung der Dienstqualität, dem Schutz vor Denial-of-Service-Angriffen und der Gewährleistung einer fairen Nutzung für alle Besucher. Da nur ein temporärer Zähler (keine personenbezogenen Profile) gespeichert wird und die Daten nach 60 Sekunden automatisch gelöscht werden, überwiegen diese Sicherheitsinteressen.

5.4 Validierung von E-Mail-Adressen (ZeroBounce)

Zur Vermeidung fehlerhafter oder missbräuchlicher Kontaktaufnahmen prüfen wir eingegebene E-Mail-Adressen automatisiert über ZeroBounce (ZeroBounce Ltd., 44 Broadway, London E15 1XH, UK). Die Verarbeitung erfolgt am EU-Endpoint des Anbieters; aufgrund des Sitzes von ZeroBounce in London handelt es sich gleichwohl um einen Drittlandtransfer i.S.d. Art. 44 ff. DSGVO. Dieser ist abgesichert durch (a) den Angemessenheitsbeschluss der EU-Kommission für das Vereinigte Königreich (Durchführungsbeschluss (EU) 2021/1772 vom 28. Juni 2021, derzeit in Verlängerung über den ursprünglichen Auslaufzeitpunkt 27. Juni 2025 hinaus) sowie ergänzend (b) EU-Standardvertragsklauseln (Modul Verantwortlicher → Auftragsverarbeiter, Durchführungsbeschluss (EU) 2021/914) als Rückfall-Mechanismus. Übermittelt werden die E-Mail-Adresse und ggf. technische Metadaten wie die IP-Adresse. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Sicherstellung valider Kommunikation, der Vermeidung von Spam-Fallen und der Reduzierung von Bounce-Raten, die unserer E-Mail-Reputation schaden könnten. Da lediglich die technische Gültigkeit der E-Mail-Adresse geprüft wird (keine Inhaltsanalyse), überwiegen diese Interessen. ZeroBounce agiert als Auftragsverarbeiter; es bestehen ein Auftragsverarbeitungsvertrag sowie EU-Standardvertragsklauseln. Informationen: https://www.zerobounce.net/privacy-policy.html.

5.5 E-Mail-Versand und Archivierung (Scaleway TEM, Tuta)

Nach erfolgreicher Prüfung versenden wir Ihre Nachricht über Scaleway Transactional Email (Scaleway SAS, 8 rue de la Ville l'Évêque, 75008 Paris, Frankreich) in der Region fr-par (Paris). Unsere Postfächer betreiben wir mit Tuta (Tutao GmbH, Deisterstraße 17a, 30449 Hannover, Deutschland); E-Mails werden Ende-zu-Ende verschlüsselt gespeichert. Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) sowie Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrungspflichten). Alle E-Mail-Dienste werden ausschließlich auf europäischen Servern betrieben.

Kein E-Mail-Tracking: Scaleway Transactional Email bietet keine Open-Tracking-Pixel und kein Click-Tracking-Rewriting an. In den von uns versendeten E-Mails werden daher weder unsichtbare Tracking-Pixel eingebettet noch Links über einen Tracking-Redirect umgeschrieben. Wir erfahren technisch nicht, ob, wann oder wie oft Sie eine E-Mail geöffnet oder einen darin enthaltenen Link angeklickt haben. Wir erhalten lediglich technische Zustellinformationen wie Bounces oder Soft-Failures, soweit diese vom Empfänger-Mailserver an Scaleway zurückgemeldet werden — diese dienen ausschließlich der Sicherstellung der Zustellbarkeit.

5.6 Alternative Kontaktwege

Bei einer Kontaktaufnahme per E-Mail oder Telefon verarbeiten wir die von Ihnen bereitgestellten Kommunikationsdaten auf denselben Rechtsgrundlagen und zu den oben genannten Zwecken.

6. Registrierung & Benutzerkonto

Bei der Registrierung verarbeiten wir: Name, E-Mail-Adresse und Passwort. Das Passwort wird ausschließlich als kryptographischer Hash gespeichert (bcrypt). Optional können Firmenname, USt-IdNr. und Rechnungsadresse hinterlegt werden. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

6.1 Passwort-Sicherheitsprüfung (HaveIBeenPwned)

Bei Registrierung und Passwortänderung prüfen wir, ob das gewählte Passwort in bekannten Datenlecks vorkommt. Dazu wird ein SHA-1-Hash des Passworts erzeugt und nur die ersten 5 Zeichen (k-Anonymity-Verfahren) an die API von HaveIBeenPwned (Troy Hunt, Australien via Cloudflare CDN) übermittelt. Ihr Passwort wird niemals im Klartext übertragen. Es handelt sich nicht um einen Drittlandtransfer personenbezogener Daten, da nur ein nicht-rückrechenbarer Hash-Prefix übertragen wird. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (Schutz Ihres Kontos vor kompromittierten Passwörtern).

6.2 Sessions & Geräteerkennung

Bei jedem Login speichern wir eine Session mit: IP-Adresse, User-Agent (Browser/Betriebssystem) und Zeitstempel. Sessions sind 24 Stunden gültig. Zur Erkennung neuer Geräte führen wir eine Liste bekannter Geräte (Browser, Betriebssystem, IP-Adresse). Bei Login von einem unbekannten Gerät erhalten Sie eine Sicherheitsbenachrichtigung per E-Mail. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz Ihres Kontos). Sie können aktive Sessions und bekannte Geräte jederzeit unter Einstellungen > Sicherheit einsehen und beenden.

6.3 E-Mail-Verifizierung

Bei der Registrierung senden wir eine Bestätigungs-E-Mail. Der Verifizierungscode wird mit einer Gültigkeitsdauer von 24 Stunden gespeichert und nach Ablauf automatisch gelöscht.

7. Monitoring-Plattform

Registrierte Nutzer können Domains für automatisches Security-Monitoring hinterlegen. Dabei verarbeiten wir:

  • Domain-Daten: Domain-Name, DNS-Konfiguration, SSL-Zertifikate, Security-Header, E-Mail-Sicherheitseinstellungen, Uptime-Status
  • Scan-Ergebnisse: Security-Scores, Bewertungen, erkannte Änderungen
  • Alert-E-Mails: Empfängeradresse und Zeitpunkt der Zustellung

Speicherdauer: Während aktiver Subscription bis zu 90 Tage (Rolling Retention). Nach Kündigung 90 Tage, dann automatische Löschung. Sofortige Löschung jederzeit über Account-Löschung möglich (Art. 17 DSGVO).

Alert-Abmeldung: Jede Monitoring-E-Mail enthält einen individuellen Abmeldelink (RFC 8058 One-Click-Unsubscribe). Die Abmeldung kann jederzeit im Dashboard rückgängig gemacht werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

8. Kostenlose Testphase aktuell nicht aktiv

Keine kostenlose Testphase aktiv: Wolf-Agents bietet derzeit keine kostenlose Testphase mit hinterlegter Zahlungsmethode an. Im paid-only Self-Service-Launch werden bei Abschluss eines kostenpflichtigen Abonnements die in Sektion 7 und Sektion 10 beschriebenen Vertrags- und Zahlungsdaten verarbeitet.

Es werden aktuell keine Trial-Ende-Erinnerungen verarbeitet oder versendet. Sollte später eine kostenlose Testphase eingeführt werden, wird diese Datenschutzerklärung vor Aktivierung um Zweck, Datenkategorien, Rechtsgrundlage, Erinnerungsprozess und Speicherdauer ergänzt.

Monitoring-Daten aus kostenpflichtigen Abonnements unterliegen den regulären Aufbewahrungs- und Löschfristen aus Sektion 15.

9. Team-Accounts, Organisationen und Workspaces

Nutzer können Organisationen und innerhalb dieser Workspaces erstellen sowie Mitglieder per E-Mail einladen. Bei der Einladung speichern wir die E-Mail-Adresse und einen gehashten Einladungstoken. Einladungen verfallen nach 7 Tagen und werden automatisch gelöscht. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

9.1 Daten-Modell: Organisation und Workspace

Die Plattform nutzt ein zweistufiges Mandanten-Modell zur Trennung von Daten und Berechtigungen:

  • Organisation (Subscriber): Die Organisation ist die vertragliche Einheit (Firma, Einzelunternehmer oder persönlicher Arbeitsbereich). Sie trägt die Subscription, das Billing und die rechtliche Verantwortung für die verarbeiteten Daten. In der Datenbank wird sie in der Tabelle organizations geführt.
  • Workspace (Sub-Unit): Innerhalb einer Organisation können mehrere Workspaces erstellt werden, um Domains, Monitoring-Konfigurationen und Scan-Ergebnisse logisch zu bündeln (z. B. pro Endkunde eines MSP oder pro Projekt). In der Datenbank geführt in den Tabellen workspaces und workspace_member_overrides.
  • Mitgliedschaft: Ein Nutzer kann in mehreren Organisationen und Workspaces Mitglied sein. Die Rolle (org_admin, org_member, workspace_admin, workspace_member, workspace_viewer) regelt den Zugriff. Im Allowlist-Modus kann der Zugriff eines Mitglieds auf bestimmte Workspaces beschränkt werden.

9.2 MSP-Szenario und dreistufige Auftragsverarbeitungs-Kette

Wenn ein Managed Service Provider (MSP) oder ein IT-Systemhaus die Plattform zur Erbringung von Dienstleistungen für eigene Endkunden nutzt, entsteht eine dreistufige Datenschutz-Kette:

  • Endkunde des MSP ist Verantwortlicher (Art. 4 Nr. 7 DSGVO) für die in seinem Workspace verarbeiteten Daten.
  • Der MSP ist Auftragsverarbeiter (Art. 28 DSGVO) gegenüber seinem Endkunden.
  • Wolf-Agents ist Unter-Auftragsverarbeiter gegenüber dem MSP.

Die rechtliche Basis für diese Konstruktion bildet der Auftragsverarbeitungsvertrag (AVV) zwischen Wolf-Agents und der Organisation. Die Sub-Auftragsverarbeiter-Liste ist dauerhaft öffentlich einsehbar.

9.3 Daten-Trennung pro Workspace

Die Datenbank-Architektur stellt sicher, dass Daten eines Workspaces niemals in einen anderen Workspace oder eine andere Organisation gelangen können. Jede API-Abfrage wird sowohl organisations- als auch workspace-gefiltert, sofern der zugreifende Nutzer nicht explizit für den betreffenden Workspace berechtigt ist. Die technischen Maßnahmen sind im AVV, Anhang 1 (TOMs), Kategorie 7 Trennungskontrolle dokumentiert.

9.4 Eingeladene Workspace-Gäste

Bei Annahme einer Einladung akzeptiert der eingeladene Nutzer beim ersten Login die Nutzungsbedingungen für eingeladene Nutzer. Diese regeln die Rechte und Pflichten der Nutzer gegenüber Wolf-Agents, während die vertragliche Hauptbeziehung (Subscription, Billing) zwischen Wolf-Agents und der einladenden Organisation besteht.

Rechte eingeladener Nutzer bei Account-Löschung: Löscht ein eingeladener Nutzer seinen persönlichen Account, werden sein Profil und seine Mitgliedschaften entfernt. Die Daten des Workspaces (Scan-Ergebnisse, Monitoring-Konfigurationen) bleiben bei der Organisation, da diese als Verantwortlicher fungiert. Der Audit-Log wird anonymisiert (Benutzer-ID auf NULL gesetzt) und bleibt zur Nachweisführung sicherheitsrelevanter Vorgänge erhalten (Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO; ergänzend ggf. Art. 6 Abs. 1 lit. c DSGVO bei künftigen Pflichten aus dem deutschen NIS2-Umsetzungsgesetz).

9.5 Rechtsgrundlagen

Die Verarbeitung im Organisations- und Workspace-Kontext erfolgt auf folgenden Grundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung gegenüber der Organisation), Art. 28 DSGVO (Auftragsverarbeitung für Workspace-Daten) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Datensicherheit, Mandantentrennung und Audit-Nachvollziehbarkeit).

10. Zahlungsabwicklung (Stripe)

Aktueller Status (Pre-Launch): Während der Pre-Launch-Phase (Closed Beta) ist die Stripe-Integration ausschließlich im Test-Modus aktiviert. Es werden keine realen Zahlungen abgewickelt und keine Zahlungsdaten an Stripe in den USA übermittelt. Die nachfolgenden Ausführungen beschreiben die Verarbeitung im regulären Betrieb nach dem Public Launch; sie greifen erst, sobald kostenpflichtige Abonnements freigeschaltet werden.

Für die Abwicklung kostenpflichtiger Abonnements nutzen wir Stripe (Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland / Stripe, Inc., 354 Oyster Point Blvd, South San Francisco, CA 94080, USA). Bei Abschluss eines Abonnements werden Sie auf die Checkout-Seite von Stripe weitergeleitet. Wir übermitteln dabei:

  • E-Mail-Adresse und Name
  • Gewählter Tarif und Preis

Zahlungsdaten (Kreditkartennummer, IBAN etc.) werden ausschließlich von Stripe verarbeitet und niemals auf unseren Servern gespeichert. Wir speichern lediglich die Stripe-Kunden-ID und Abonnement-ID. Für die Zahlungsabwicklung agiert Stripe als eigenständig Verantwortlicher (Art. 4 Nr. 7 DSGVO); für die zugeordneten Subscription-Metadaten in unserer Plattform agiert Stripe als Auftragsverarbeiter nach Art. 28 DSGVO. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Bei Konto-Löschung werden Ihre Daten bei Stripe automatisch gelöscht. Datenschutzinformationen: https://stripe.com/de/privacy.

Drittlandtransfer: Soweit personenbezogene Daten an die Muttergesellschaft Stripe, Inc. in den USA übermittelt werden, erfolgt dies auf Grundlage des EU-US Data Privacy Framework (DPF, Durchführungsbeschluss (EU) 2023/1795 der EU-Kommission vom 10. Juli 2023). Stripe, Inc. ist unter dem DPF zertifiziert. Sollte das DPF durch den EuGH für ungültig erklärt werden oder seine Selbstzertifizierung erlöschen, basiert der Drittlandtransfer als Rückfall-Mechanismus auf den EU-Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914, Modul Verantwortlicher → Verantwortlicher bzw. Modul Verantwortlicher → Auftragsverarbeiter, je nach Verarbeitungsrolle).

11. Warteliste

Die Anmeldung zur Warteliste erfolgt im Double-Opt-In-Verfahren: Nach Eingabe Ihrer E-Mail-Adresse erhalten Sie eine Bestätigungs-E-Mail. Erst nach Klick auf den Bestätigungslink wird Ihre Anmeldung gespeichert. Bis zur Bestätigung werden Ihre Daten verschlüsselt (AES-256-GCM) in einem Redis-Speicher mit einer Gültigkeitsdauer von 48 Stunden zwischengespeichert. Wir speichern Ihre E-Mail-Adresse und den Zeitpunkt der Anmeldung. Diese Daten verwenden wir ausschließlich, um Sie über die Verfügbarkeit unserer Plattform zu informieren. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können Ihre Anmeldung jederzeit widerrufen, indem Sie uns unter info@wolf-agents.com kontaktieren.

12. Audit-Log

Sicherheitsrelevante Aktionen (Login, Passwortänderung, Domain-Änderungen, Account-Löschung) werden in einem Audit-Log protokolliert. Der Audit-Log enthält die Benutzer-ID, Aktion, betroffene Ressource und Zeitstempel. Bei Account-Löschung wird die Benutzer-ID anonymisiert (auf NULL gesetzt), die Einträge bleiben als anonymisierte Sicherheitsdokumentation für höchstens 10 Jahre erhalten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO i.V.m. Erwägungsgrund 49 DSGVO (berechtigtes Interesse an der Nachvollziehbarkeit sicherheitsrelevanter Vorgänge); ergänzend ggf. Art. 6 Abs. 1 lit. c DSGVO bei künftigen gesetzlichen Verpflichtungen aus dem deutschen NIS2-Umsetzungsgesetz (NIS2UmsuCG, Inkrafttreten zum Zeitpunkt der Drucklegung dieser Datenschutzerklärung noch nicht abschließend erfolgt). Sie können Ihren Audit-Log unter Dashboard > Aktivität einsehen.

13. Empfänger / Auftragsverarbeiter

Empfänger personenbezogener Daten sind ausschließlich die nachfolgend genannten Auftragsverarbeiter sowie interne Stellen:

Anbieter Zweck Standort Grundlage
Hetzner Online GmbH Website-Hosting, wolf-scanner, Datenbank Deutschland AVV
BunnyWay d.o.o. (Bunny.net) CDN, DNS Slowenien (EU) AVV
netcup GmbH smtp-api (E-Mail Security), wolf-scanner Fallback Deutschland AVV
Tutao GmbH (Tuta) E-Mail-Hosting Deutschland AVV
Scaleway SAS Transaktions-E-Mail (TEM) Frankreich (Paris) AVV
ZeroBounce Ltd. E-Mail-Validierung UK EU-SCC
Stripe Payments Europe Ltd. Zahlungsabwicklung (eigenverantwortlich für Zahlungsdaten / AV für Subscription-Metadaten) Irland (EU) / USA AVV, EU-US DPF + SCC als Rückfall
Hostinger International Ltd. Domain-Registrierung wolf-agents.com (Inhaber-Daten gemäß ICANN-Vorgaben) Zypern (EU) AVV, EU-SCC

Eine weitergehende Weitergabe erfolgt nur, wenn wir gesetzlich dazu verpflichtet sind oder Sie ausdrücklich eingewilligt haben. Kopien der geschlossenen Standardvertragsklauseln und Auftragsverarbeitungsverträge stellen wir auf Anfrage zur Verfügung.

14. Internationale Datenübermittlung

Unsere eigene Infrastruktur (Server, Datenbanken, Caches) befindet sich ausschließlich in der Europäischen Union. Die deutschen Anbieter Hetzner, netcup und Tuta verarbeiten Daten ausschließlich in Deutschland. Bunny.net (Slowenien) betreibt CDN-Edge-Server innerhalb der EU. Scaleway verarbeitet E-Mail-Daten in der EU-Region fr-par (Paris, Frankreich). Hostinger (Domain-Registrar) hat seinen Sitz in Zypern (EU).

Drittlandtransfers: Folgende Dienste verarbeiten Daten außerhalb der EU:

  • Stripe (USA): Zahlungsdaten werden von Stripe Payments Europe Ltd. (Irland) verarbeitet, wobei eine Übermittlung an Stripe, Inc. (USA) stattfinden kann. Grundlage: EU-US Data Privacy Framework (DPF, Durchführungsbeschluss (EU) 2023/1795 vom 10. Juli 2023). Sollte der DPF-Beschluss durch den EuGH für ungültig erklärt werden, basiert der Transfer als Rückfall-Mechanismus auf den EU-Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914). Details: stripe.com/de/privacy.
  • ZeroBounce (UK): E-Mail-Validierung über den EU-Endpoint. Aufgrund des Sitzes von ZeroBounce in London handelt es sich um einen Drittlandtransfer. Grundlage: UK Adequacy Decision (Durchführungsbeschluss (EU) 2021/1772 vom 28. Juni 2021, derzeit in Verlängerung über den ursprünglichen Auslaufzeitpunkt 27. Juni 2025 hinaus) sowie ergänzend EU-Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914) als Rückfall-Mechanismus.
  • Hostinger (Zypern, EU): Domain-Registrar für die Domain wolf-agents.com. Verarbeitet werden Domain-Inhaber-Daten (Name, Anschrift, E-Mail) gemäß ICANN-Vorgaben. Hostinger speichert diese Daten teilweise in einem ICANN-konformen Verzeichnis, das auch von ICANN (USA) eingesehen werden kann. Grundlage: Vertragliche Notwendigkeit nach Art. 6 Abs. 1 lit. c DSGVO i.V.m. ICANN-Vorgaben.

15. Speicherdauer

Datenkategorie Speicherdauer
Account-Daten (Name, E-Mail, Firma) Bis zur Account-Löschung
Sessions 24 Stunden (abgelaufene Sessions werden täglich gelöscht)
Bekannte Geräte Bis zur Account-Löschung
Scan-Ergebnisse (Cache) Maximal 24 Stunden
Scan-Zusammenfassung (eingeloggte Nutzer) Bis zur Account-Löschung
E-Mail-Gate (verschlüsselt) Bis zur Löschung durch Nutzer oder Account-Löschung
Rate-Limiting-Zähler 60 Sekunden bis 60 Minuten (TTL je Endpoint)
Double-Opt-In-Token 48 Stunden
Verifizierungs-Codes 24 Stunden (abgelaufene Codes werden täglich gelöscht)
Team-Einladungen 7 Tage (abgelaufene Einladungen werden täglich gelöscht)
Server-Logs (IP-Adressen) 7 Tage (dann anonymisiert)
Server-Logs (anonymisiert) 14 Tage
Kontaktanfragen 24 Monate nach Abschluss
E-Mail-Archiv (geschäftlich) 10 Jahre (§ 147 Abs. 3 AO i.V.m. § 14b Abs. 1 UStG)
Monitoring-Daten Maximal 90 Tage (Rolling Retention); nach Kündigung 90 Tage, dann automatische Löschung
Audit-Log Höchstens 10 Jahre, anonymisiert bei Account-Löschung (Art. 6 Abs. 1 lit. f DSGVO; ergänzend ggf. Art. 6 Abs. 1 lit. c DSGVO bei NIS2UmsuCG-Pflichten)
Warteliste Bis zur Löschung auf Anfrage oder Account-Löschung
Leads ohne Marketing-Einwilligung 12 Monate, danach automatische Löschung
Leads mit Marketing-Einwilligung Bis zum Widerruf der Einwilligung oder Account-Löschung
CSP-Violation-Reports 90 Tage, danach automatische Löschung
Rechnungsdaten (anonymisiert) 10 Jahre (§ 147 Abs. 3 AO i.V.m. § 14b Abs. 1 UStG), danach automatische Löschung

16. Ihre Rechte

Sie haben jederzeit das Recht auf:

  • Auskunft (Art. 15 DSGVO) über Ihre verarbeiteten Daten
  • Berichtigung (Art. 16 DSGVO) unrichtiger Daten — Sie können Ihre E-Mail-Adresse selbstständig über Ihr Dashboard ändern (Einstellungen > Profil). Nach Eingabe der neuen Adresse erhalten Sie eine Bestätigungs-E-Mail. Die Änderung wird erst nach Bestätigung wirksam.
  • Löschung (Art. 17 DSGVO) Ihrer Daten — über Einstellungen > Konto löschen oder per E-Mail an info@wolf-agents.com
  • Einschränkung (Art. 18 DSGVO) der Verarbeitung
  • Datenübertragbarkeit (Art. 20 DSGVO) — Sie können Ihre Daten über Ihr Dashboard exportieren (Einstellungen > Gefahrenzone > Meine Daten exportieren). Der Export erfolgt in einem maschinenlesbaren JSON-Format.
  • Widerspruch (Art. 21 DSGVO) gegen die Verarbeitung
  • Widerruf (Art. 7 Abs. 3 DSGVO) erteilter Einwilligungen
  • Beschwerde (Art. 77 DSGVO) bei einer Aufsichtsbehörde

Praktischer Hinweis: Registrierte Nutzer können ihre Daten über das Dashboard einsehen, berichtigen und exportieren. Bei reiner Tool-Nutzung ohne Registrierung werden keine dauerhaften personenbezogenen Daten gespeichert.

Zuständige Aufsichtsbehörde ist das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach. Eine Liste aller deutschen Datenschutzbeauftragten finden Sie unter: https://www.bfdi.bund.de/DE/Service/Anschriften/anschriften_node.html.

17. Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen.

Nach Eingang Ihres Widerspruchs verarbeiten wir Ihre Daten nicht mehr für die betreffenden Zwecke, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

So üben Sie Ihr Widerspruchsrecht aus:
Senden Sie eine E-Mail an info@wolf-agents.com mit dem Betreff „Widerspruch Datenverarbeitung".

18. Automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO statt, die Ihnen gegenüber eine rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt. Klarstellung: Die automatisierten Sicherheitsbewertungen unserer Scan-Tools (Scores, Noten, Empfehlungen) entfalten keine rechtliche Wirkung gegenüber den geprüften Personen oder den Nutzern und stellen keine automatisierte Einzelentscheidung im Sinne von Art. 22 DSGVO dar. Die Ergebnisse dienen ausschließlich der Information; jede daraus folgende Maßnahme liegt im Ermessen des Nutzers.

19. Datensicherheit (TOMs nach Art. 32 DSGVO)

Wir treffen technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO, um Ihre personenbezogenen Daten gegen unbefugten Zugriff, Verlust, Veränderung oder Vernichtung zu schützen. Die Maßnahmen werden regelmäßig überprüft und an den Stand der Technik angepasst. Detailliert sind sie im AVV (/legal/avv, Anhang 1) dokumentiert; im Überblick:

  • Transport-Verschlüsselung: Sämtliche Verbindungen erfolgen ausschließlich über TLS 1.2 und TLS 1.3 mit modernen Cipher-Suites und Forward Secrecy. HSTS-Preloading ist aktiviert; Mixed Content ist ausgeschlossen.
  • Verschlüsselung im Ruhezustand: Sensitive personenbezogene Daten (E-Mail-Adressen im Scan-Report-Gate, Wartelisten-Daten, Webhook-Secrets) werden mit AES-256-GCM verschlüsselt gespeichert. Datenbank-Backups werden vor der Übertragung an die Offsite-Speicherung verschlüsselt.
  • Passwort-Sicherheit: Passwörter werden ausschließlich mit bcrypt (aktueller Cost-Faktor) gehasht und gegen die HaveIBeenPwned-Datenbank im k-Anonymity-Verfahren geprüft (siehe Sektion 6.1).
  • Authentifizierung & Sessions: Sessions sind 24 Stunden gültig, werden serverseitig in Redis verwaltet und enthalten ausschließlich HttpOnly-, Secure- und SameSite=Lax-Cookies. Bei Login von einem unbekannten Gerät erfolgt eine Sicherheitsbenachrichtigung per E-Mail (siehe Sektion 6.2).
  • Mandantentrennung: Die Plattform ist als Multi-Tenant-System mit organisations- und workspace-bezogener Zugriffstrennung umgesetzt. Jede API-Abfrage wird sowohl organisations- als auch workspace-gefiltert; rollenbasierte Berechtigungen (org_admin, org_member, workspace_admin, workspace_member, workspace_viewer) regeln den Zugriff (Sektion 9, AVV Anhang 1, Kategorie 7 Trennungskontrolle).
  • Backup & Recovery: Tägliche verschlüsselte Backups (PostgreSQL + Redis + 15 Konfigurationen) um 03:00 UTC, 14 Tage lokal, 30 Tage Offsite (Hetzner Storage Box, Falkenstein). Wöchentliche Konfigurations-Backups (60 Tage Offsite). WAL-Archivierung mit Point-in-Time-Recovery (RPO ≤ 5 Minuten, RTO ~3 Stunden).
  • Monitoring & Alerting: Modulare Health-Checks (13 Sub-Checks inkl. WAL-Archive-Lag und HMAC-Verschlüsselungs-Schlüssel), Cron-Heartbeat-Datei, Fehler-Eskalation per E-Mail an die Administratoren.
  • Audit & Nachvollziehbarkeit: Sicherheitsrelevante Aktionen werden im Audit-Log protokolliert (siehe Sektion 12). PII werden vor Speicherung sanitisiert.
  • Web-Application-Security: Hash- bzw. nonce-basierte Content Security Policy (CSP), Trusted Types, Subresource Integrity, dreistufiger CSRF-Schutz (SameSite=Lax + Content-Type-Check + Origin-Whitelist), Rate-Limiting pro IP und Endpoint, Proof-of-Work-Bot-Schutz auf öffentlichen Formularen.
  • Infrastruktur-Härtung: Eigene Unbound-DNS-Resolver auf europäischer Infrastruktur, PgBouncer-Connection-Pooling, regelmäßige Sicherheitsupdates und automatisierte Dependency-Updates, isolierte Workload-Trennung (Website, Scanner, Monitor) auf separaten Systemen.
  • Personelle Maßnahmen: Zugriff auf Produktionssysteme nur durch den Inhaber. Vertraulichkeit, Zugriff auf Need-to-know-Basis. Schulung in DSGVO-Anforderungen.

Die TOMs werden mindestens jährlich überprüft und nach jeder wesentlichen Änderung der Verarbeitung angepasst.

20. Unternehmensübergang

Im Falle einer Unternehmensumwandlung, Verschmelzung, Spaltung oder eines Unternehmensverkaufs können personenbezogene Daten im Rahmen des Betriebsübergangs an einen Rechtsnachfolger übermittelt werden. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Fortführung des Geschäftsbetriebs). Dies umfasst auch einen Wechsel der Rechtsform des Verantwortlichen (z. B. Einzelunternehmen zu GmbH). Betroffene Personen werden gemäß Art. 13 Abs. 1 lit. e DSGVO über den neuen Verantwortlichen informiert.

21. Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung wird bei Bedarf angepasst, etwa bei Änderungen unserer Website, neuen Funktionen oder geänderten rechtlichen Anforderungen. Die jeweils aktuelle Version ist stets unter /datenschutz abrufbar. Bei wesentlichen Änderungen — insbesondere bei neuen Verarbeitungszwecken, neuen Sub-Auftragsverarbeitern oder einer Ausweitung der Datenkategorien — informieren wir registrierte Nutzer aktiv per E-Mail an die hinterlegte Adresse, mindestens vier (4) Wochen vor Inkrafttreten der Änderung.

Stand: 13. Mai 2026