Datenschutzerklärung / Privacy Policy
Zur deutschen Version | Zur englischen Version
Datenschutzerklärung
Stand: 8. Mai 2026
Diese Datenschutzerklärung wird in deutscher und englischer Sprache bereitgestellt. Bei Auslegungswidersprüchen ist die deutsche Fassung maßgebend.
§ 1 Verantwortlicher
Verantwortlicher im Sinne von Artikel 4 Absatz 7 der Datenschutz-Grundverordnung (DSGVO) und § 5 des Gesetzes über digitale Dienste (DDG) ist:
Patrick Schlesinger
Parkstraße 19, 80339 München, Deutschland
E-Mail:reportedip
§ 2 Datenschutzbeauftragter
Die Bestellung eines Datenschutzbeauftragten ist gemäß Art. 37 DSGVO sowie § 38 BDSG nicht zwingend vorgeschrieben. Anfragen zum Datenschutz richten Sie bitte direkt an [email protected].
§ 3 Allgemeine Hinweise zur Datenverarbeitung
(1) Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung einer funktionsfähigen Plattform sowie unserer Inhalte und Leistungen erforderlich ist. Eine Verarbeitung erfolgt in der Regel nur nach Einwilligung des Nutzers (Art. 6 Abs. 1 lit. a DSGVO), zur Vertragserfüllung (lit. b), zur Erfüllung rechtlicher Verpflichtungen (lit. c) oder auf Grundlage berechtigter Interessen (lit. f).
(2) Personenbezogene Daten werden nur so lange gespeichert, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.
§ 4 Erhebung und Verarbeitung beim Besuch der Website
Beim Aufruf von reportedip.de Unser Hosting-Anbieter Hetzner sowie der vorgelagerte CDN-Dienst Cloudflare erfassen automatisch Informationen über
a) IP-Adresse des aufrufenden Geräts,
b) Datum und Uhrzeit des Zugriffs,
c) angefragte URL und HTTP-Status,
d) übertragene Datenmenge,
e) Referrer-URL (sofern vom Browser übermittelt),
f) User-Agent-String (sofern vom Browser übermittelt).
Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; berechtigtes Interesse ist der sichere Betrieb der Website, die Abwehr missbräuchlicher Zugriffe (DDoS-Schutz) und die Fehlerdiagnose. Die Daten werden 14 Tage nach dem Zugriff gelöscht oder anonymisiert.
§ 5 Registrierung und Kontoverwaltung
(1) Bei der Registrierung erfassen wir folgende Pflichtangaben: E-Mail-Adresse, gewähltes Passwort (gehasht), Anzeigename. Optional werden Vor- und Nachname sowie eine Rechnungsadresse erfasst, sofern der Nutzer ein kostenpflichtiges Abonnement abschließt.
(2) Die Registrierung erfolgt im Double-Opt-In-Verfahren: Nach dem Absenden des Formulars erhalten Sie eine Bestätigungs-E-Mail. Erst durch Klicken auf den Bestätigungslink wird das Konto aktiviert.
(3) Rechtsgrundlage ist Art. 6 Abs. 1 Buchstabe b DSGVO (Vertragsanbahnung und Vertragserfüllung).
(4) Die Registrierungsdaten werden bis zur Löschung des Kontos gespeichert. Auf Wunsch des Nutzers wird das Konto vollständig gelöscht; von der Löschung ausgenommen sind Daten, die wir aufgrund gesetzlicher Verpflichtungen (insbesondere § 147 AO, § 257 HGB – 10-jährige steuerrechtliche Aufbewahrungspflicht für Rechnungen) weiterhin aufbewahren müssen.
§ 6 Zahlung über Stripe
(1) Zahlungen für Abonnements und Bundle-Käufe werden über Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland, abgewickelt. Stripe ist ein im Europäischen Wirtschaftsraum zugelassenes Zahlungsinstitut.
(2) Im Rahmen des Stripe-Checkouts werden folgende Daten an Stripe übermittelt: Name, E-Mail-Adresse, Rechnungsadresse, ggf. Umsatzsteuer-Identifikationsnummer (B2B), Zahlungsdaten (Kreditkarte, SEPA-Einzugsermächtigung). Stripe ist eigenständiger Verantwortlicher für diese Daten.
(3) Wir erhalten von Stripe pseudonymisierte Bestätigungsdaten (Kunden-ID, Abonnement-ID, Rechnungs- und Steuerdaten). Vollständige Karten- oder Kontodaten werden von uns weder gespeichert noch verarbeitet.
(4) Mit Stripe besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Datenschutzerklärung von Stripe: https://stripe.com/de/privacy.
(5) Rechtsgrundlage ist Art. 6 Abs. 1 Buchstabe b DSGVO (Erfüllung eines Vertrags).
§ 7 Nutzung der REST-API und IP-Berichte
(1) Bei der Nutzung der REST-API protokollieren wir den verwendeten API-Schlüssel, den Zeitstempel des Aufrufs sowie den angefragten Endpunkt, um die tierbezogenen Tageskontingente einzuhalten und Missbrauch aufzudecken (Art. 6 Abs. 1 lit. b und f DSGVO). API-Protokolle werden 90 Tage lang gespeichert.
(2) Bei einem IP-Bericht werden die gemeldete IP-Adresse, die gewählte Bedrohungskategorie, der Zeitstempel und (optional) ein Kommentar gespeichert. Bei der Verarbeitung gemeldeter IP-Adressen handelt es sich um eine Verarbeitung personenbezogener Daten Dritter im Sinne des Urteils des EuGH in der Rechtssache Breyer (C-582/14).
(3) Rechtsgrundlage für die Verarbeitung gemeldeter IP-Adressen ist Art. 6 Abs. 1 lit. f DSGVO. Berechtigte Interessen sind der Aufbau einer kollektiven Bedrohungserkennung, die Abwehr von Angriffen, die Aufklärung von Sicherheitsvorfällen und die Bereitstellung der dynamischen Blacklist für die Community. Eine Identifizierung des Inhabers der gemeldeten IP-Adresse durch uns findet nicht statt; eine Re-Identifizierung wäre nur mit dem unverhältnismäßigen Aufwand der Anrufung der zuständigen Telekommunikationsdienstleister möglich, den wir nicht unternehmen.
(4) Reputationsdaten zu gemeldeten IP-Adressen werden in pseudonymisierter Form dauerhaft in der Sicherheitsdatenbank gespeichert; ältere Meldungen werden nach 12 Monaten anonymisiert (Hash-Trimming, Entfernung des konkreten Bezugs zum Melder).
§ 8 Honeypot-Ebene und automatisierte Berichte
Honeypot-Betreiber übermitteln IP-Berichte automatisiert. Diese Berichte unterliegen denselben Rechtsgrundlagen und Aufbewahrungsfristen wie manuelle Berichte gemäß § 7. Honeypot-Berichte erhalten bei der Berechnung des Confidence-Scores ein erhöhtes Gewicht, da sie von speziell präparierten Systemen stammen, die keinen legitimen Datenverkehr empfangen.
§ 9 Hive-Plugin (Community-Netzwerk)
(1) Wenn Website-Betreiber das Open-Source-Plugin reportedIP im Modus „Community Network“ auf ihren eigenen WordPress-Websites einsetzen, übermittelt das Plugin folgende Daten an unsere REST-API:
a) IP-Adresse eines Angreifers,
b) Gefährdungskategorie,
c) Zeitstempel,
d) optional: Kommentar / Vorfallsbeschreibung,
e) API-Schlüssel des Website-Betreibers (im HTTP-Header X-Key).
(2) Im Modus „Local Shield“ findet keine Datenübertragung an reportedip.de statt.
(3) Bei Nutzung der E-Mail- und SMS-Relay-Funktion (ab der Stufe „Professional“) werden zusätzlich folgende Daten übertragen:
a) Mail-Relay: E-Mail-Adresse des Empfängers, Betreff, Textkörper, Website-URL, optional Antwortadresse,
b) SMS-Relay: Empfängertelefonnummer (im E.164-Format; der Versand erfolgt grundsätzlich weltweit, der Anbieter behält sich Einschränkungen für einzelne Länder vor (siehe Nutzungsbedingungen § 9)), Vorlagencode (z. B. 2fa_login), Vorlagenvariablen (sechs- bis achtstelliger Code, Gültigkeitsdauer, Sprache), Website-URL.
(4) Bei Nutzung der Relay-Funktion sind wir Auftragsverarbeiter im Sinne von Art. 28 DSGVO; Verantwortlicher bleibt der Betreiber der Website. Ein Auftragsverarbeitungsvertrag steht im Kundenportal als PDF-Datei zum Download bereit.
§ 10 Unterauftragsverarbeiter
Wir greifen auf folgende Auftragsverarbeiter zurück:
| Anbieter | Sitz | Zweck | Datenkategorien |
|---|---|---|---|
| Stripe Payments Europe Ltd. | Irland | Zahlungen, Rechnungen, Steuern, Kundenportal | Name, E-Mail-Adresse, Anschrift, Umsatzsteuer-Identifikationsnummer, Zahlungsdaten |
| Avernis (api.avernis.com) | Deutschland | SMS-Versand (im Auftrag des Website-Betreibers über Relay) | Telefonnummer, Vorlageninhalt |
| Mailjet (Sinch SAS) | Frankreich | Postversand (Auswahl) | Empfänger, Betreff, Text |
| seven.io | Deutschland | Postversand (Auswahl) | Empfänger, Betreff, Text |
| sevDesk GmbH | Deutschland | Buchhaltung, Rechnungsabgleich | Rechnungs- und Belegdaten |
| Hetzner Online GmbH | Deutschland | Hosting | Serverprotokolle (IP, Uhrzeit, URL) |
| Cloudflare, Inc. | USA / Deutschland (EU-Edge) | CDN, DDoS-Schutz | IP, User-Agent, HTTP-Header |
| GitHub, Inc. (Microsoft) | USA | Bereitstellung von Plugin-Updates | Anonyme Update-Anfragen |
| MaxMind, Inc. | USA (lokale GeoLite2-Datenbank) | IP-Geolokalisierung – kein Datentransfer pro Abfrage, die Daten verlassen die EU nicht | – |
| Anthropic PBC (optional, nur bei aktivem Support-AI-Tool) | USA | Support-Chatbot (sofern aktiviert; Standard: deaktiviert) | Chat-Texte |
Mit jedem Auftragsverarbeiter besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Die jeweiligen Auftragsverarbeitungsverträge können auf Anfrage zur Verfügung gestellt werden.
§ 11 Datenübermittlung in Drittländer
(1) Die meisten unserer Auftragsverarbeiter haben ihren Sitz im Europäischen Wirtschaftsraum (EWR). Bei Cloudflare, GitHub, MaxMind und Anthropic erfolgt ein Datentransfer in die USA.
(2) Für diese Übermittlungen stützen wir uns auf
a) das EU-US Data Privacy Framework (DPF), sofern der jeweilige Anbieter zertifiziert ist,
b) hilfsweise auf die Standardvertragsklauseln der EU-Kommission (Beschluss 2021/914), ergänzt durch zusätzliche technische und organisatorische Maßnahmen,
c) Cloudflare leitet Anfragen aus Europa über EU-Edge-Knoten weiter; eine Verarbeitung in den USA erfolgt nur in Ausnahmefällen.
(3) Pro IP-Abfrage findet keine Datenübermittlung an Drittländer durch MaxMind statt – wir nutzen die GeoLite2-Datenbank ausschließlich lokal auf unseren EU-Servern.
§ 12 Cookies und Consent-Manager
(1) Wir setzen technisch notwendige Cookies ein (Session-Cookie für die Anmeldung, CSRF-Schutz). Für diese Cookies ist gemäß § 25 Abs. 2 TDDDG keine Einwilligung erforderlich; Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.
(2) Optionale Cookies (Statistik, Marketing) werden nur nach ausdrücklicher Einwilligung des Nutzers gesetzt (Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 25 Abs. 1 TDDDG). Die Verwaltung der Einwilligungen erfolgt über den Consent-Manager im Plugin reportedIP“. Die Einwilligung kann jederzeit für die Zukunft widerrufen werden – entweder über den Consent-Manager oder im Dashboard unter /dashboard/#privacy.
(3) Cloudflare setzt das Cookie __cf_bm (Bot-Management) für maximal 30 Minuten zur Abwehr automatisierter Angriffe (technisch erforderlich).
§ 13 Aufbewahrungsfristen
| Datenkategorie | Aufbewahrung |
|---|---|
| Server-Protokolle (Hetzner / Cloudflare) | 14 Tage |
| API-Protokolle | 90 Tage |
| Stripe-Ereignisprotokoll (Webhook-Payloads) | 90 Tage |
| Protokoll (Plugin-Aktionen) | 365 Tage |
| E-Mail- und SMS-Relay-Protokolle | 30 Tage |
| Mail- und SMS-Relay-Warteschlange | 90 Tage |
| Kontodaten | bis zur Löschung des Kontos |
| Rechnungen (UStG / AO) | 10 Jahre |
| Reputationsdaten gemeldeter IP-Adressen | dauerhaft pseudonymisiert (12 Monate lang mit Bezug zum Reporter, danach anonymisiert) |
| Vertrauenswürdige Gerätetoken (2FA) | 30 Tage ab der letzten Nutzung |
§ 14 Rechte der betroffenen Personen
(1) Sie haben gegenüber uns folgende Rechte in Bezug auf die Sie betreffenden personenbezogenen Daten:
a) Recht auf Auskunft (Art. 15 DSGVO),
b) Recht auf Berichtigung (Art. 16 DSGVO),
c) Recht auf Löschung (Art. 17 DSGVO),
d) Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO),
e) Recht auf Datenübertragbarkeit (Art. 20 DSGVO),
f) Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO),
g) Recht auf Widerruf einer erteilten Einwilligung (Art. 7 Abs. 3 DSGVO).
(2) Auskunfts- und Löschungsanfragen können Sie über das Dashboard (/dashboard/, Reiter „Konto“) als Self-Service auslösen oder formlos per E-Mail an [email protected] Wir beantworten Anfragen unverzüglich, spätestens innerhalb eines Monats nach Eingang.
(3) Beschwerderecht. Sie haben das Recht, bei einer Datenschutz-Aufsichtsbehörde Beschwerde gegen die Verarbeitung Ihrer personenbezogenen Daten durch uns einzulegen . Zuständig für uns ist:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach, Deutschland
Telefon: +49 981 180093-0
E-Mail: [email protected]
Web: https://www.lda.bayern.de
§ 15 Sicherheit der Verarbeitung
Wir ergreifen geeignete technische und organisatorische Maßnahmen (TOM) im Sinne von Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu gehören insbesondere:
a) Verschlüsselung der Übertragung (TLS 1.2+ / HTTPS), Verschlüsselung sensibler Datenfelder bei der Speicherung,
b) Zugriffskontrolle durch Rollen- und Rechte-Management, Hash-basierte Passwortspeicherung (bcrypt),
c) Zwei-Faktor-Authentifizierung für Admin-Konten,
d) Backups mit verschlüsselter Off-Site-Replikation,
e) Protokollierung sicherheitsrelevanter Ereignisse, regelmäßige Auswertung,
f) Trennung von Produktions-, Staging- und Entwicklungsumgebungen,
g) Audits von Auftragsverarbeitern gemäß Art. 28 Abs. 3 lit. h DSGVO.
Eine ausführliche Liste der TOM stellen wir Abonnenten auf Anfrage zur Verfügung.
§ 16 Änderungen dieser Datenschutzerklärung
Diese Datenschutzerklärung wird aktualisiert, wenn sich die Verarbeitungsvorgänge oder die gesetzlichen Bestimmungen ändern. Wesentliche Änderungen teilen wir Abonnenten per E-Mail mit. Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar.
Hinweise und Kontakt
Verantwortlicher: Patrick Schlesinger, Parkstraße 19, 80339 München, Deutschland
E-Mail:reportedip
Aufsichtsbehörde: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach
Diese Fassung gilt seit: 8. Mai 2026
Datenschutzerklärung
Gültig ab: 8. Mai 2026
Diese Datenschutzerklärung liegt in deutscher und englischer Sprache vor. Bei unterschiedlicher Auslegung ist die deutsche Fassung maßgebend.
§ 1 Verantwortlicher
Verantwortlicher im Sinne von Art. 4 Nr. 7 der Datenschutz-Grundverordnung (DSGVO) und § 5 des Gesetzes über digitale Dienste (DDG) ist:
Patrick Schlesinger
Parkstraße 19, 80339 München, Deutschland
E-Mail:reportedip
§ 2 Datenschutzbeauftragter
Die Bestellung eines Datenschutzbeauftragten ist gemäß Art. 37 DSGVO bzw. § 38 BDSG nicht verpflichtend. Bitte richten Sie datenschutzrechtliche Anfragen direkt an [email protected].
§ 3 Allgemeine Informationen zur Datenverarbeitung
(1) Wir verarbeiten personenbezogene Daten nur insoweit, als dies für die Bereitstellung einer funktionsfähigen Plattform sowie unserer Inhalte und Dienste erforderlich ist. Die Verarbeitung erfolgt in der Regel auf der Grundlage der Einwilligung des Nutzers (Art. 6 Abs. 1 Buchstabe a DSGVO), zur Erfüllung eines Vertrags (b), zur Einhaltung gesetzlicher Verpflichtungen (c) oder auf der Grundlage berechtigter Interessen (f).
(2) Personenbezogene Daten werden nur so lange gespeichert, wie dies für die jeweiligen Zwecke erforderlich ist oder wie gesetzliche Aufbewahrungspflichten bestehen.
§ 4 Datenerhebung beim Besuch der Website
Wenn Sie auf reportedip.de, unser Hosting-Anbieter Hetzner und der vorgelagerte CDN-Dienst Cloudflare erfassen automatisch:
a) IP-Adresse des anfragenden Geräts,
b) Datum und Uhrzeit des Zugriffs,
c) angeforderte URL und HTTP-Status,
d) übertragene Datenmenge,
e) Referrer-URL (sofern vom Browser übermittelt),
f) User-Agent-String (sofern vom Browser übermittelt).
Rechtsgrundlage ist Art. 6 Abs. 1 Buchstabe f DSGVO; das berechtigte Interesse besteht im sicheren Betrieb der Website, im Schutz vor missbräuchlichem Zugriff (DDoS-Schutz) sowie in der Fehlerdiagnose. Die Daten werden 14 Tage nach dem Zugriff gelöscht oder anonymisiert.
§ 5 Registrierung und Kontoverwaltung
(1) Bei der Registrierung erfassen wir folgende Pflichtangaben: E-Mail-Adresse, gewähltes Passwort (gehasht), Anzeigename. Optional werden Vor- und Nachname sowie eine Rechnungsadresse erfasst, wenn der Nutzer ein kostenpflichtiges Abonnement abschließt.
(2) Die Registrierung erfolgt per Double-Opt-in: Nach dem Absenden des Formulars erhalten Sie eine Bestätigungs-E-Mail; das Konto wird erst durch Anklicken des Bestätigungslinks aktiviert.
(3) Rechtsgrundlage ist Art. 6 Abs. 1 Buchstabe b DSGVO (vorvertragliche Maßnahmen und Vertragserfüllung).
(4) Die Registrierungsdaten werden bis zur Löschung des Kontos gespeichert. Auf Wunsch wird das Konto vollständig gelöscht; Daten, zu deren Aufbewahrung wir aufgrund gesetzlicher Verpflichtungen verpflichtet sind (insbesondere § 147 der Abgabenordnung (AO) und § 257 des Handelsgesetzbuchs (HGB) – 10-jährige Aufbewahrungspflicht für Rechnungen), sind von der Löschung ausgenommen.
§ 6 Zahlung über Stripe
(1) Zahlungen für Abonnements und Bundle-Käufe werden über Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland, abgewickelt. Stripe ist ein im Europäischen Wirtschaftsraum zugelassenes Zahlungsinstitut.
(2) Im Rahmen des Stripe-Checkouts werden folgende Daten an Stripe übermittelt: Name, E-Mail-Adresse, Rechnungsadresse, gegebenenfalls Umsatzsteuer-Identifikationsnummer (B2B) sowie Daten zur Zahlungsmethode (Kreditkarte, SEPA-Einzugsermächtigung). Stripe ist ein eigenständiger Verantwortlicher für diese Daten.
(3) Wir erhalten von Stripe pseudonymisierte Zahlungsdaten (Kunden-ID, Abonnement-ID, Rechnungs- und Steuerdaten). Vollständige Kreditkarten- oder Bankkontodaten werden von uns weder gespeichert noch verarbeitet.
(4) Mit Stripe besteht eine Auftragsverarbeitungsvereinbarung gemäß Art. 28 DSGVO. Datenschutzerklärung von Stripe: https://stripe.com/privacy.
(5) Die Rechtsgrundlage ist Art. 6 Abs. 1 Buchstabe b DSGVO (Erfüllung eines Vertrags).
§ 7 Nutzung der REST-API und IP-Berichte
(1) Bei der Nutzung der REST-API protokollieren wir den verwendeten API-Schlüssel, den Zeitstempel des Aufrufs und den angeforderten Endpunkt, um tierbezogene Tageskontingente durchzusetzen und Missbrauch aufzudecken (Art. 6 Abs. 1 Buchst. b und f DSGVO). API-Protokolle werden 90 Tage lang aufbewahrt.
(2) In einem IP-Bericht speichern wir die gemeldete IP-Adresse, die ausgewählte Bedrohungskategorie, den Zeitstempel und (optional) einen Kommentar. Die Verarbeitung gemeldeter IP-Adressen stellt eine Verarbeitung personenbezogener Daten Dritter im Sinne des Urteils des EuGH in der Rechtssache Breyer (C-582/14) dar.
(3) Die Rechtsgrundlage für die Verarbeitung gemeldeter IP-Adressen ist Art. 6 Abs. 1 Buchst. f DSGVO. Die berechtigten Interessen bestehen in der Erstellung gemeinsamer Bedrohungsinformationen, der Abwehr von Angriffen, der Untersuchung von Sicherheitsvorfällen und der Bereitstellung der dynamischen Sperrliste für die Community. Wir ermitteln nicht den Inhaber der gemeldeten IP-Adresse; eine Rückverfolgung wäre nur mit unverhältnismäßigem Aufwand durch Kontaktaufnahme mit den jeweiligen Telekommunikationsanbietern möglich, was wir nicht vornehmen.
(4) Reputationsdaten zu gemeldeten IP-Adressen werden dauerhaft in pseudonymisierter Form in der Sicherheitsdatenbank gespeichert; ältere Meldungen werden nach 12 Monaten anonymisiert (Hash-Trimming, Entfernung des konkreten Verweises auf den Melder).
§ 8 Honeypot-Stufen und automatisierte Berichte
Honeypot-Betreiber übermitteln IP-Meldungen automatisch. Für diese Meldungen gelten dieselben Rechtsgrundlagen und Aufbewahrungsfristen wie für manuelle Meldungen gemäß § 7. Honeypot-Meldungen wird bei der Berechnung des Vertrauenswerts ein höheres Gewicht beigemessen, da sie von speziell dafür eingerichteten Systemen stammen, die keinen legitimen Datenverkehr empfangen.
§ 9 Hive-Plugin (Community-Netzwerk)
(1) Wenn Website-Betreiber das Open-Source-Plugin reportedIP im „Community Network“-Modus auf ihren eigenen WordPress-Seiten einsetzen, übermittelt das Plugin die folgenden Daten an unsere REST-API:
a) IP-Adresse eines Angreifers,
b) Bedrohungskategorie,
c) Zeitstempel,
d) optional: Kommentar / Beschreibung des Vorfalls,
e) API-Schlüssel des Websitebetreibers (im HTTP-Header) X-Key).
(2) Im Modus „Local Shield“ werden keine Daten an reportedip.de übermittelt.
(3) Bei Nutzung der E-Mail- und SMS-Weiterleitungsfunktion (ab der Professional-Stufe) werden zusätzlich folgende Daten übertragen:
a) E-Mail-Weiterleitung: E-Mail-Adresse des Empfängers, Betreff, Text, Website-URL, optional Antwortadresse,
b) SMS-Relay: Telefonnummer des Empfängers (im E.164-Format; der Versand erfolgt grundsätzlich weltweit, der Anbieter behält sich jedoch das Recht vor, einzelne Länder auszuschließen (siehe Nutzungsbedingungen § 9)), Vorlagencode (z. B. 2fa_login), Vorlagenvariablen (sechs- bis achtstelliger Code, Gültigkeit, Sprache), URL der Website.
(4) Bei Nutzung der Weiterleitungsfunktion sind wir Auftragsverarbeiter im Sinne von Art. 28 DSGVO; der Verantwortliche bleibt der Betreiber der Website. Eine Vereinbarung zur Auftragsverarbeitung steht im Kundenportal als PDF-Download zur Verfügung.
§ 10 Unterauftragsverarbeiter
Wir beauftragen folgende Unterauftragsverarbeiter:
| Anbieter | Standort | Zweck | Datenkategorien |
|---|---|---|---|
| Stripe Payments Europe Ltd. | Irland | Zahlungen, Rechnungen, Steuern, Kundenportal | Name, E-Mail-Adresse, Anschrift, Umsatzsteuer-Identifikationsnummer, Zahlungsdaten |
| Avernis (api.avernis.com) | Deutschland | SMS-Versand (im Auftrag des Website-Betreibers über einen Relay-Server) | Telefonnummer, Inhalt der Vorlage |
| Mailjet (Sinch SAS) | Frankreich | E-Mail-Versand (wählbar) | Empfänger, Betreff, Text |
| seven.io | Deutschland | E-Mail-Versand (wählbar) | Empfänger, Betreff, Text |
| sevDesk GmbH | Deutschland | Buchhaltung, Rechnungsabgleich | Rechnungs- und Dokumentdaten |
| Hetzner Online GmbH | Deutschland | Hosting | Serverprotokolle (IP, Uhrzeit, URL) |
| Cloudflare, Inc. | USA / Deutschland (EU-Randgebiet) | CDN, DDoS-Schutz | IP-Adresse, User-Agent, HTTP-Header |
| GitHub, Inc. (Microsoft) | USA | Bereitstellung von Plugin-Updates | Anonyme Aktualisierungsanfragen |
| MaxMind, Inc. | USA (lokal lizenzierte GeoLite2-Datenbank) | IP-Standortbestimmung – keine Datenübertragung bei jeder Abfrage, die Daten verlassen die EU nicht | – |
| Anthropic PBC (optional, nur bei aktivem Support-AI-Tool) | USA | Chatbot unterstützen (falls aktiviert; Standard: deaktiviert) | Chat-Nachrichten |
Mit jedem Unterauftragsverarbeiter besteht eine Auftragsverarbeitungsvereinbarung gemäß Art. 28 DSGVO. Die jeweiligen Auftragsverarbeitungsvereinbarungen können auf Anfrage zur Verfügung gestellt werden.
§ 11 Übermittlung in Drittländer
(1) Die meisten unserer Unterauftragsverarbeiter haben ihren Sitz im Europäischen Wirtschaftsraum (EWR). Datenübermittlungen in die USA erfolgen an Cloudflare, GitHub, MaxMind und Anthropic.
(2) Für diese Übermittlungen stützen wir uns auf
a) das EU-US-Datenschutz-Rahmenwerk (DPF), nach dem der betreffende Anbieter zertifiziert ist,
b) ergänzend die Standardvertragsklauseln der EU-Kommission (Beschluss 2021/914), ergänzt durch zusätzliche technische und organisatorische Maßnahmen,
c) Cloudflare leitet Anfragen aus Europa über EU-Edge-Knoten weiter; eine Verarbeitung in den USA findet nur in Ausnahmefällen statt.
(3) Bei der IP-Abfrage durch MaxMind finden keine Datenübermittlungen in Drittländer statt – wir nutzen die GeoLite2-Datenbank ausschließlich lokal auf unseren EU-Servern.
§ 12 Cookies und Einwilligungsmanager
(1) Wir verwenden technisch notwendige Cookies (Sitzungscookie für die Anmeldung, CSRF-Schutz). Für diese Cookies ist gemäß § 25 Abs. 2 TDDDG keine Einwilligung erforderlich; Rechtsgrundlage ist Art. 6 Abs. 1 Buchstabe f DSGVO.
(2) Optionale Cookies (Statistik, Marketing) werden erst nach ausdrücklicher Einwilligung des Nutzers gesetzt (Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 25 Abs. 1 TDDDG). Die Einwilligung wird über den Einwilligungsmanager im reportedIP verwaltet. Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden – entweder über den Einwilligungsmanager oder im Dashboard unter /dashboard/#privacy.
(3) Cloudflare setzt das Cookie __cf_bm (Bot-Management) für maximal 30 Minuten, um automatisierte Angriffe abzuwehren (technisch erforderlich).
§ 13 Aufbewahrungsfristen
| Datenkategorie | Kundenbindung |
|---|---|
| Serverprotokolle (Hetzner / Cloudflare) | 14 Tage |
| API-Protokolle | 90 Tage |
| Stripe-Ereignisprotokoll (Webhook-Nutzdaten) | 90 Tage |
| Protokoll (Plugin-Aktionen) | 365 Tage |
| Protokolle für E-Mail- und SMS-Weiterleitung | 30 Tage |
| Warteschlange für E-Mail- und SMS-Weiterleitung | 90 Tage |
| Kontodaten | bis zur Löschung des Kontos |
| Rechnungen (UStG / AO) | 10 Jahre |
| Reputationsdaten zu gemeldeten IP-Adressen | dauerhaft pseudonymisiert (12 Monate lang mit Verweis auf den Meldenden, danach anonymisiert) |
| Token für vertrauenswürdige Geräte (2FA) | 30 Tage seit der letzten Nutzung |
§ 14 Rechte der betroffenen Person
(1) Sie haben gegenüber uns folgende Rechte in Bezug auf Ihre personenbezogenen Daten:
a) Recht auf Auskunft (Art. 15 DSGVO),
b) Recht auf Berichtigung (Art. 16 DSGVO),
c) Recht auf Löschung (Art. 17 DSGVO),
d) Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO),
e) Recht auf Datenübertragbarkeit (Art. 20 DSGVO),
f) Widerspruchsrecht ( Art. 21 DSGVO),
g) Recht auf Widerruf einer erteilten Einwilligung (Art. 7 Abs. 3 DSGVO).
(2) Anträge auf Auskunftserteilung und Löschung können über das Dashboard im Self-Service-Verfahren gestellt werden (/dashboard/(Registerkarte „Konto“) oder informell per E-Mail an [email protected]. Wir beantworten Anfragen unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang.
(3) Recht auf Beschwerde. Sie haben das Recht, bei einer Datenschutzaufsichtsbehörde Beschwerde gegen die Verarbeitung Ihrer personenbezogenen Daten durch uns einzulegen. Die für uns zuständige Behörde ist:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach, Deutschland
Telefon: +49 981 180093-0
E-Mail: [email protected]
Web: https://www.lda.bayern.de
§ 15 Sicherheit der Verarbeitung
Wir ergreifen geeignete technische und organisatorische Maßnahmen (TOMs) im Sinne von Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu gehören insbesondere:
a) Verschlüsselung der Datenübertragung (TLS 1.2+ / HTTPS), Verschlüsselung sensibler Datenfelder im Ruhezustand,
b) Zugriffskontrolle durch Rollen- und Berechtigungsverwaltung, hashbasierte Passwortspeicherung (bcrypt),
c) Zwei-Faktor-Authentifizierung für Administratorkonten,
d) Backups mit verschlüsselter Offsite-Replikation,
e) Protokollierung sicherheitsrelevanter Ereignisse, regelmäßige Überprüfung,
f) Trennung von Produktions-, Staging- und Entwicklungsumgebungen,
g) Audits von Auftragsverarbeitern gemäß Art. 28 Abs. 3 Buchstabe h DSGVO.
Eine detaillierte Liste der TOMs wird Abonnenten auf Anfrage zur Verfügung gestellt.
§ 16 Änderungen dieser Datenschutzerklärung
Diese Datenschutzerklärung wird aktualisiert, wenn sich die Verarbeitungsvorgänge oder die gesetzlichen Anforderungen ändern. Wesentliche Änderungen werden den Abonnenten per E-Mail mitgeteilt. Die aktuell gültige Fassung ist auf dieser Seite verfügbar.
Hinweise und Kontakt
Verantwortlicher: Patrick Schlesinger, Parkstraße 19, 80339 München, Deutschland
E-Mail:reportedip
Aufsichtsbehörde: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach, Deutschland
Diese Fassung gilt ab: 8. Mai 2026