Transparenzbericht
Letzte Aktualisierung: Januar 2026
Dieses Dokument bietet einen umfassenden Überblick darüber, wie fabi-sc-id Ihre Daten verarbeitet. Wir glauben an Transparenz und möchten, dass Sie genau verstehen, was passiert, wenn Sie unseren Dienst nutzen.
Unser Engagement
Wir haben fabi-sc-id mit Datenschutz als Kernprinzip entwickelt, nicht als nachträglicher Gedanke. Jede Entscheidung, die wir treffen, berücksichtigt die Auswirkungen auf Ihre personenbezogenen Daten. Wir erheben nur das Notwendige, schützen es mit branchenüblichen Sicherheitsmaßnahmen und geben Ihnen die volle Kontrolle über Ihre Informationen.
Daten, die wir erheben
Kontoinformationen
Bei der Erstellung eines Kontos erheben wir:
- Benutzername — Ihre eindeutige Kennung auf unserer Plattform
- E-Mail-Adresse — Verwendet für Kontoverifizierung, Passwortwiederherstellung und wichtige Sicherheitsbenachrichtigungen
- Passwort — Gespeichert mit einem modernen, sicheren Hashing-Algorithmus, der gegen Brute-Force-Angriffe resistent ist
Optionale Profilinformationen
Sie können zusätzliche Informationen angeben, um Ihr Profil zu erweitern:
- Anzeigename
- Vor- und Nachname
- Biografie
- Geburtsdatum — Wird nur gespeichert, wenn explizit angegeben, und ausschließlich für Funktionen verwendet, die altersbezogene Informationen erfordern
- Profilbild
- Zeitzone und Spracheinstellungen
Alle optionalen Felder bleiben unter Ihrer Kontrolle. Sie können sie jederzeit hinzufügen, ändern oder entfernen.
Automatisch erhobene Informationen
Zum Schutz Ihres Kontos und zur Bereitstellung unserer Dienste erheben wir automatisch:
- Login-Historie — Zeitstempel, ungefährer Standort (Land/Stadt) und grundlegende Geräteinformationen zur Sicherheitsüberwachung
- Sitzungsdaten — Informationen über Ihre aktiven Sitzungen, um sicheren Zugriff über verschiedene Geräte zu ermöglichen
Wir verwenden IP-basierte Geolokalisierung zur Bestimmung des ungefähren Standorts. Diese Daten werden auf unseren Servern unter Verwendung einer lokalen Datenbank verarbeitet — Ihre IP-Adresse wird niemals an externe Geolokalisierungsdienste gesendet.
Wie wir Ihre Daten schützen
Verschlüsselung
Sensible Daten werden mit starken Verschlüsselungsstandards geschützt:
- Passwörter — Gehasht mit einem speicherintensiven Algorithmus, der speziell gegen Passwort-Cracking-Versuche entwickelt wurde
- Sicherheitszugangsdaten — Zwei-Faktor-Authentifizierungsgeheimnisse und Passkey-Daten werden verschlüsselt gespeichert
- Backup-Codes — Als Einweg-Hashes gespeichert, wodurch sie nicht wiederherstellbar, aber bei Verwendung verifizierbar sind
Sichere Infrastruktur
- Alle Verbindungen werden mit HTTPS verschlüsselt
- Wir setzen moderne Sicherheits-Header ein, um gegen gängige Web-Schwachstellen zu schützen
- Sitzungs-Tokens sind kryptografisch sicher und laufen automatisch ab
Zugriffskontrolle
- Wir implementieren Rate-Limiting zur Verhinderung von Missbrauch und Brute-Force-Angriffen
- Fehlgeschlagene Anmeldeversuche werden überwacht und können zusätzliche Sicherheitsmaßnahmen auslösen
- Administrative Aktionen werden zur Nachvollziehbarkeit protokolliert
Drittanbieter-Anwendungen
Verbinden von Anwendungen
Wenn Sie eine Drittanbieter-Anwendung mit Ihrem Konto verbinden, kontrollieren Sie genau, auf welche Informationen diese Anwendung zugreifen kann. Während des Autorisierungsprozesses sehen Sie:
- Welche Berechtigungen die Anwendung anfordert
- Welche Berechtigungen erforderlich bzw. optional sind
- Eine klare Beschreibung dessen, was jede Berechtigung erlaubt
Datenschutzfreundliches Design
Wir unternehmen zusätzliche Schritte zum Schutz Ihrer Privatsphäre bei der Nutzung von Drittanbieter-Anwendungen:
- Eindeutige Kennungen — Jede Anwendung erhält eine andere Kennung für Ihr Konto. Dies verhindert, dass Anwendungen Sie über verschiedene Dienste hinweg verfolgen können.
- Berechtigungsbasierter Zugriff — Anwendungen können nur auf die spezifischen Daten zugreifen, die Sie autorisieren
- Widerrufbare Einwilligung — Sie können jede Anwendung jederzeit in Ihren Kontoeinstellungen trennen
Verfügbare Berechtigungen
Anwendungen können Zugriff anfordern auf:
| Berechtigung | Was sie beinhaltet |
|---|---|
| Basis-Authentifizierung | Bestätigt Ihre Identität ohne Weitergabe persönlicher Details |
| Profilinformationen | Benutzername, Anzeigename und Profilbild |
| E-Mail-Adresse | Ihre verifizierte E-Mail-Adresse |
| Erweitertes Profil | Zusätzliche Details wie Name und Biografie |
| Geburtsdatum | Ihr Geburtsdatum, falls angegeben |
Webhook-Benachrichtigungen
Einige Anwendungen können Benachrichtigungen erhalten, wenn bestimmte Ereignisse eintreten (zum Beispiel, wenn Sie die Anwendung trennen). Diese Benachrichtigungen:
- Enthalten niemals Ihre echte Kontoidentifikation
- Sind kryptografisch signiert, um Manipulation zu verhindern
- Werden validiert, um Missbrauch zu verhindern
Datenaufbewahrung
Wir bewahren Ihre Daten nur so lange auf wie nötig:
| Datentyp | Aufbewahrungsfrist |
|---|---|
| Aktive Kontodaten | Solange Ihr Konto existiert |
| Login-Historie | 90 Tage |
| Passwort-Reset-Anfragen | 1 Stunde (dann gelöscht) |
| E-Mail-Verifizierungstoken | 24 Stunden (dann gelöscht) |
| Inaktive Konten | Löschung nach 1 Jahr Inaktivität (E-Mail-Warnung 30 Tage vor Löschung) |
| Unverifizierte Konten | Löschung nach 7 Tagen |
Automatische Bereinigung
Wir führen regelmäßige Bereinigungsprozesse durch, um abgelaufene Daten zu entfernen. Dies umfasst:
- Abgelaufene Sitzungen und Tokens
- Alte Login-Historie-Einträge
- Aufgegebene Kontoregistrierungen
Ihre Rechte und Kontrollen
Zugriff auf Ihre Daten
Sie können jederzeit alle Ihre personenbezogenen Daten aus Ihren Kontoeinstellungen exportieren. Der Export umfasst:
- Ihre Profilinformationen
- Login-Historie
- Verbundene Anwendungen
- Passkey-Metadaten
- Verifizierte Domains
- Von Ihnen erstellte Anwendungen
Ändern Ihrer Daten
Sie haben die volle Kontrolle, um Informationen in Ihrem Profil jederzeit zu aktualisieren oder zu entfernen.
Löschen Ihres Kontos
Sie können Ihr Konto jederzeit löschen. Dabei geschieht Folgendes:
- Verbundene Anwendungen werden benachrichtigt, dass Sie die Verbindung getrennt haben
- Alle Ihre personenbezogenen Daten werden dauerhaft aus unseren Systemen entfernt
Wenn Ihr Konto wegen Richtlinienverstößen gesperrt wurde, können Ihre E-Mail-Adresse und Ihr Benutzername aufbewahrt werden, um eine erneute Registrierung zu verhindern und gesetzlichen Aufbewahrungspflichten nachzukommen.
Anwendungen trennen
Sie können den Zugriff für jede verbundene Anwendung in Ihren Kontoeinstellungen überprüfen und widerrufen. Wenn Sie eine Anwendung trennen:
- Wird die Anwendung benachrichtigt
- Werden alle Tokens für diese Anwendung ungültig
- Kann die Anwendung nicht mehr auf Ihre Daten zugreifen
Sicherheitsbenachrichtigungen
Wir benachrichtigen Sie automatisch per E-Mail, wenn wichtige Sicherheitsereignisse auftreten:
- Passwortänderungen
- E-Mail-Adressänderungen
- Änderungen der Zwei-Faktor-Authentifizierung
- Neue Passkey-Registrierungen
- Kontolöschung
- Inaktivitätswarnung (30 Tage vor automatischer Löschung)
Diese Benachrichtigungen helfen Ihnen, unbefugten Zugriff auf Ihr Konto zu erkennen.
Zwei-Faktor-Authentifizierung
Wir bieten mehrere Optionen zur Absicherung Ihres Kontos mit Zwei-Faktor-Authentifizierung:
- Authenticator-Apps — Zeitbasierte Einmalpasswörter mit jeder Standard-Authenticator-App
- Sicherheitsschlüssel und Passkeys — Hardware-basierte Authentifizierung für erhöhte Sicherheit
- Backup-Codes — Einmal verwendbare Wiederherstellungscodes für den Notfallzugriff
Wir empfehlen dringend, mindestens eine Form der Zwei-Faktor-Authentifizierung zu aktivieren.
Für Entwickler
Wenn Sie eine Anwendung erstellen, die sich mit fabi-sc-id integriert:
Anwendungsdaten
Wenn Sie eine Anwendung registrieren, speichern wir:
- Anwendungsname und -beschreibung
- Autorisierte Domains und Callback-URLs
- Angeforderte Berechtigungen (Scopes)
- Webhook-Konfiguration (falls zutreffend)
API-Zugriff
- API-Schlüssel werden vor der Speicherung gehasht — wir können Ihren ursprünglichen Schlüssel nicht wiederherstellen
- Schlüssel können jederzeit widerrufen werden
- Der Zugriff wird zu Sicherheitszwecken protokolliert
Inhaltsrichtlinien
Wir verwenden begrenzte automatisierte Inhaltsmoderation zur Erkennung offensichtlicher Missbräuche und Richtlinienverstöße. Diese Verarbeitung erfolgt vollständig auf unserer Infrastruktur, ohne Daten an externe Dienste zu senden.
Externe Dienste
Wir haben unsere Infrastruktur so konzipiert, dass externe Abhängigkeiten minimiert werden:
- E-Mail-Versand — Wird von unseren eigenen Mailservern abgewickelt
- Geolokalisierung — Wird auf unseren Servern unter Verwendung einer lokalen Datenbank verarbeitet, ohne externe API-Aufrufe
- Inhaltsmoderation — Wird vor Ort mit lokaler Verarbeitung durchgeführt
Im Rahmen unseres Kerndienstes werden keine Benutzerdaten an externe Drittanbieter-Dienste übermittelt. Wir verwenden keine Drittanbieter-Analysetools, Tracker oder Werbung.
Änderungen an diesem Bericht
Wir können diesen Transparenzbericht aktualisieren, um Änderungen unserer Praktiken widerzuspiegeln. Wesentliche Änderungen werden über geeignete Kanäle kommuniziert.
Fragen
Bei Fragen zur Verarbeitung Ihrer Daten kontaktieren Sie uns bitte unter support@id.fabi-sc.com.