PrivateStaterDaten- und Verschlüsselungs-Stack
Transparenz und Sicherheit sind sehr wichtig und sollten standardmäßig gewährleistet sein. Deshalb habe ich in den Tabellen auf dieser Seite zusammengestellt, welche Daten PrivateStater verarbeitet, wie sie bei der Übertragung und im Ruhezustand geschützt werden und wie sie verwendet werden. Den rechtlichen Text finden Sie auf der Seite /privacy.txt.
Zuletzt aktualisiert: 2026-05-26 (UTC+9)
So lesen Sie diese Tabellen
Hinweis: PrivateStater ist ein SaaS, das hauptsächlich auf dem Server läuft, daher kann aus technischen Gründen keine Ende-zu-Ende-Verschlüsselung angewendet werden. Dasselbe gilt für andere SaaS-Anbieter, die hauptsächlich auf dem Server laufen.
| Begriff | Bedeutung in diesem Dokument |
|---|---|
| Bei der Übertragung | Daten, die über HTTPS zwischen einem Browser, Ihrer Website und PrivateStater übertragen werden |
| Im Ruhezustand | Daten, die nach dem Empfang auf Servern und in Datenbanken gespeichert bleiben |
| Einweg-Hash | Eine Einweg-Verschlüsselungstechnik zur Verifizierung; kann nicht in den ursprünglichen Wert zurückgeführt werden |
| Anbietersicherheit | Grundlegende Sicherheit, die von Hosting-Anbietern wie MongoDB und Redis Cloud verwaltet wird |
| Klartextspeicherung | In der Datenbank ohne Entschlüsselung lesbar |
| Temporär | Kurz in Redis oder im Prozessspeicher gehalten und dann durch TTL, Verbrauch oder Anfrageende entfernt |
Infrastruktur und Speicherorte
Regionen der primären Datenbank und der Anwendungsserver.
| Hauptkomponente | Anbieter und Standort | Im Ruhezustand | Gespeicherter Inhalt |
|---|---|---|---|
| Webserver | DigitalOcean, FRA1 (Deutschland) | Anbietersicherheit | - |
| MongoDB | DigitalOcean, FRA1 (Deutschland) | Anbietersicherheit | Konten, Projekte, Analysen, Captcha, Rückmeldung, Protokolle, Registry und Ähnliches |
| Redis | Redis Cloud, AWS us-west-1 (USA) | Anbietersicherheit | Captcha-/Analysen-Puffer, Sitzungs-Cache, Rate-Limit-Zähler der öffentlichen API und Ähnliches |
| Resend (Drittanbieterdienst) | - | Anbietersicherheit | Empfängeradresse, Nachrichtentext, Bounce-Status |
| Paddle (Drittanbieterdienst) | - | Anbietersicherheit (PCI DSS SAQ A-konform) | Zahlungsmethoden und zahlungsbezogene Daten |
Schutz bei der Übertragung
Alle Endpunkte werden über HTTPS bereitgestellt. HSTS ist für höhere Sicherheit aktiviert, und der gesamte Pfad Nutzer–Cloudflare–PrivateStater ist mit TLS verschlüsselt.
| Pfad | Bei der Übertragung | Zweck |
|---|---|---|
| Dashboard ↔ privatestater.com | TLS | Dashboard, Landingpage, API und andere Funktionen |
| Besucher ↔ privatestater.com | TLS | Analysen, Captcha, Rückmeldung und andere Funktionen |
| Authentifizierungs-Cookies | TLS, HttpOnly, Secure, SameSite=Lax | Anmeldung des Kontos aufrechterhalten, Sitzungen validieren |
PrivateStater ID
Kontodaten werden in MongoDB gespeichert, das auf DigitalOcean Droplets läuft.
| Daten | Speicherort | Im Ruhezustand | Aufbewahrung |
|---|---|---|---|
| Benutzername | MongoDB | Klartext | Bis zur Kontolöschung |
| Passwort | MongoDB | Zweimal SHA-256-gehasht, dann bcrypt (12 Runden) | Bis zur Änderung oder Kontolöschung |
| MongoDB | Klartext | Bis zur Änderung oder Kontolöschung | |
| E-Mail-Bestätigungscode | MongoDB | SHA-256 | 10 Minuten |
| Sitzungsschlüssel | Cookie, MongoDB | Klartext | 7 Tage |
| Sitzungs-Cache | Redis | Klartext | 5 Minuten |
| TOTP-Geheimnis | MongoDB | Klartext | Bis 2FA deaktiviert wird |
| Wiederherstellungscodes | MongoDB | SHA-256 | Bis zur Verwendung |
| GitHub OAuth | MongoDB | Klartext | Bis zur Trennung |
| Open-API-Schlüssel | MongoDB | Argon2id-Hash | Bis zur Löschung |
| Abonnements / Lizenzen | MongoDB, Paddle | Klartext | Bis zur Kündigung |
| OAuth-Status | Serverspeicher | Klartext | 10 Minuten |
Betriebsprotokolle
Diese Daten werden nur zur Fehlerbehebung und zur Abwehr von Angriffen verwendet, nicht für Marketing.
| Daten | Speicherort | Im Ruhezustand | Aufbewahrung |
|---|---|---|---|
| Serverprotokolle | MongoDB | Klartext (maskiert) | Bis zu 1 Jahr |
| Rate-Limits für Konto-Authentifizierung | RAM | Klartext | - |
Drittanbieter-Auftragsverarbeiter
Unternehmen, die in meinem Auftrag Daten verarbeiten. (Ich verkaufe Ihre Informationen nicht.)
| Auftragsverarbeiter | Grund der Weitergabe |
|---|---|
| Paddle | Zahlungen und Abonnement-Checkout |
| Resend | E-Mail-Versand |
| GitHub | OAuth-Anmeldung |
| Cloudflare | CDN |
| DigitalOcean | Webserver und Datenbanken |
| Redis Cloud | Datenbank |