Datenschutzerklärung

INTEK CENTER SASU, eingetragen unter 369Q Avenue de Verdun, 33700 Mérignac, Frankreich (RCS Bordeaux 844 849 174, Umsatzsteuer-ID FR02844849174), handelt als Verantwortlicher im Sinne der Verordnung (EU) 2016/679 ("DSGVO") und des französischen Gesetzes Nr. 78-17 vom 6. Januar 1978 ("Loi Informatique et Libertés").

Datenschutzkontakt: das In-App-Support-Formular.

Obwohl das Unternehmen nicht gesetzlich verpflichtet ist, einen Datenschutzbeauftragten zu benennen (Artikel 37 DSGVO), dient der obige Kontakt als benannter Ansprechpartner für alle Datenschutzfragen und wird alle Anfragen mit der gleichen Sorgfalt wie ein formeller DSB bearbeiten.

2.1. Dienstdaten

2.2. Kontodaten (optional)

Die Kontoerstellung ist optional. Der kostenlose Dienst zur Entfernung des Eigentümer-Passworts erfordert kein Konto und keine E-Mail.

2.3. Zahlungsdaten

Das Unternehmen speichert keine Kreditkartennummern. Alle Zahlungsdaten werden ausschließlich von Stripe in einer PCI-DSS-konformen Umgebung verarbeitet.

2.4. Technische Daten

2.5. Analysedaten (Einwilligung erforderlich)

Analysedaten werden über Google Analytics 4 (GA4) nur nach ausdrücklicher Einwilligung über das Cookie-Consent-Banner erhoben.

Automatisierte Entscheidungsfindung und Profiling (Art. 22 DSGVO): Der Dienst nimmt keine automatisierte Entscheidungsfindung oder Profilbildung vor, die rechtliche Wirkungen entfaltet oder den Nutzer in ähnlicher Weise erheblich beeinträchtigt.

Wir verwenden Ihre Daten ausschließlich für folgende Zwecke:

• Bereitstellung, Betrieb und Verbesserung des Dienstes (Passwortwiederherstellung, PDF-Entsperrung).
• Extraktion nur des Verschlüsselungs-Hashs aus hochgeladenen PDFs — wir lesen, indexieren oder speichern niemals den tatsächlichen Inhalt Ihrer Dokumente.
• Abwicklung von Zahlungen, Erstellung von Rechnungen und Bearbeitung von Erstattungen über Stripe.
• Kommunikation mit Ihnen (Auftragsabschlussbenachrichtigungen, Kaufbestätigungen, Support-Antworten).
• Erkennung und Verhinderung von Betrug, Missbrauch und unbefugtem Zugriff (Rate-Limiting, Webhook-Verifizierung).
• Erfüllung gesetzlicher Verpflichtungen (Buchhaltung, Steuern, behördliche Anfragen).
• Analyse von Nutzungsmustern mit anonymisierten Daten (nur mit Einwilligung).

Wir verkaufen, vermieten oder handeln niemals mit Ihren personenbezogenen Daten.

Ihre Daten können mit den folgenden Dienstleistern geteilt werden, strikt zu den oben beschriebenen Zwecken:

Wir arbeiten nur mit Auftragsverarbeitern zusammen, die angemessene Garantien gemäß DSGVO bieten. Ihre Daten werden niemals an Werbetreibende, Datenmakler oder andere Dritte weitergegeben.

Die primäre Datenspeicherung erfolgt innerhalb der Europäischen Union (Google Cloud, Belgien, europe-west1). Einige Auftragsverarbeiter haben ihren Sitz in den Vereinigten Staaten. Diese Übermittlungen sind abgesichert durch:

• Das EU-U.S. Data Privacy Framework (DPF), Angemessenheitsbeschluss der Europäischen Kommission (10. Juli 2023), dem unsere US-Auftragsverarbeiter beigetreten und zertifiziert sind.
• Wo das DPF nicht greift, die Standardvertragsklauseln (SVK) der Europäischen Kommission (Beschluss 2021/914), ergänzt durch angemessene technische und organisatorische Maßnahmen (Verschlüsselung bei Übertragung und Speicherung, Zugriffskontrollen, Pseudonymisierung).

Nach DSGVO und anwendbarem Recht haben Sie folgende Rechte:

• Auskunft (Art. 15 DSGVO): Erhalten Sie eine Kopie aller Daten, die wir über Sie gespeichert haben.
• Berichtigung (Art. 16): Korrektur ungenauer oder unvollständiger Daten.
• Löschung (Art. 17): Antrag auf Löschung (vorbehaltlich gesetzlicher Aufbewahrungspflichten).
• Einschränkung (Art. 18): Antrag auf Einschränkung der Verarbeitung.
• Datenübertragbarkeit (Art. 20): Erhalt Ihrer Daten in einem strukturierten, maschinenlesbaren Format.
• Widerspruch (Art. 21): Widerspruch gegen die Verarbeitung auf Grundlage berechtigter Interessen.
• Widerruf der Einwilligung (Art. 7): Widerruf Ihrer Analyse-/Marketing-Einwilligung jederzeit über 'Cookies verwalten' in der Fußzeile.

Um Ihre Rechte auszuüben, kontaktieren Sie the in-app support form. Wir antworten innerhalb von 30 Tagen (verlängerbar auf 60 Tage bei komplexen Anfragen, mit Benachrichtigung).

Sie haben das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen. In Deutschland: Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI) — bfdi.bund.de, oder die zuständige Landesdatenschutzbehörde.

Wir setzen branchenübliche technische und organisatorische Maßnahmen um:

• Alle Kommunikation verschlüsselt über TLS 1.2+ (HTTPS erzwungen durch Firebase Hosting).
• Benutzerpasswörter gehasht — wir speichern niemals Authentifizierungspasswörter im Klartext.
• Datenbankzugriff kontrolliert durch strenge Firestore-Sicherheitsregeln (Prinzip der geringsten Privilegien).
• PDF-Dateien gespeichert in Firebase Storage mit automatischer Löschung nach TTL (24 Stunden).
• Webhook-Signaturen (Stripe) kryptographisch verifiziert zur Verhinderung von Manipulationen.
• Rate-Limiting auf allen API-Endpunkten zur Verhinderung von Brute-Force-Angriffen und Missbrauch (5 Uploads/Stunde pro IP, max. 3 gleichzeitige Aufträge).
• Wiederhergestellte PDF-Passwörter verschlüsselt gespeichert, nach 7 Tagen automatisch gelöscht.
• Regelmäßige Sicherheitsüberprüfungen und Aktualisierung von Abhängigkeiten.

Im Falle einer Datenschutzverletzung, die wahrscheinlich ein Risiko für Ihre Rechte und Freiheiten darstellt, werden wir die zuständige Aufsichtsbehörde innerhalb von 72 Stunden benachrichtigen (Art. 33 DSGVO) und betroffene Nutzer unverzüglich informieren (Art. 34 DSGVO).

9.1. Unbedingt erforderlich (keine Einwilligung nötig)

• Authentifizierungssitzung — Hält den Anmeldestatus aufrecht (localStorage).
• UI-Präferenzen — Theme (hell/dunkel) und Sprache (localStorage-Schlüssel: pdfunlock-theme, pdfunlock-locale).
• Einwilligungswahl — Speichert Ihre Cookie-Entscheidung.

9.2. Analyse (Einwilligung erforderlich)

• Google Analytics 4 — Cookies: _ga, _ga_*. Dauer: bis zu 14 Monate. Zweck: Nutzungsmuster der Website verstehen. Wird nur nach ausdrücklicher Einwilligung aktiviert.

9.3. Marketing (Einwilligung erforderlich)

• Google Ads — Cookies: _gcl_*. Zweck: Messung der Werbewirksamkeit über GA4-Verknüpfung.
• Microsoft Advertising (Bing UET) — Cookies: _uetmsclkid, _uetvid. Zweck: Conversion-Tracking.

Wir implementieren Google Consent Mode v2. Alle Analyse- und Marketing-Tracker sind standardmäßig blockiert (analytics_storage: denied, ad_storage: denied, ad_user_data: denied, ad_personalization: denied) und werden erst nach Ihrer ausdrücklichen, bejahenden Einwilligung über das Cookie-Banner aktiviert.

Sie können Ihre Auswahl jederzeit ändern, indem Sie auf 'Cookies verwalten' in der Fußzeile klicken.

Serverseitige Events (purchase, refund) werden über das GA4 Measurement Protocol von unserem Backend (Stripe-Webhook) gesendet und unterliegen nicht der Cookie-Einwilligung, da sie keine clientseitige Erfassung personenbezogener Daten über die Transaktion selbst hinaus beinhalten.

Der Dienst richtet sich nicht an Kinder unter 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Kindern. Wenn wir feststellen, dass wir Daten eines Kindes unter 16 Jahren ohne elterliche Einwilligung erhoben haben, werden wir diese umgehend löschen. Wenn Sie glauben, dass dies geschehen ist, kontaktieren Sie uns unter the in-app support form.

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren, um Änderungen in unseren Praktiken, der Technologie, den rechtlichen Anforderungen oder anderen Faktoren widerzuspiegeln. Änderungen werden auf dieser Seite mit einem aktualisierten Datum 'Letzte Aktualisierung' veröffentlicht.

Bei wesentlichen Änderungen, die Ihre Rechte betreffen, werden wir registrierte Nutzer mindestens 15 Tage vor Inkrafttreten der Änderungen per E-Mail benachrichtigen.