Verständlich erklärt
Stand: Juni 2026
malziLINK ist datensparsam: kein Tracking, keine Werbung, keine Profile. Deine Link-Daten werden Ende-zu-Ende-verschlüsselt gespeichert und in der EU verarbeitet. Teilnehmer:innen brauchen kein Konto. Für die Link-Vorschau wird keine URL an unseren Server gesendet — es gibt keine Ausnahme vom Ende-zu-Ende-Prinzip.
malziland – learning | training | consulting e.U.
Inhaber: Christoph Krieger
Tassilostraße 22, 4501 Neuhofen an der Krems, Österreich
E-Mail: datenschutz@malzi.link
| Datenpunkt | Details |
|---|---|
| Passwort | Serverseitig nur als kryptografischer Hash (PBKDF2-SHA512, 100.000 Iterationen). Das Klartext-Passwort wird nie dauerhaft oder serverseitig gespeichert. Während Registrierung und Login wird es kurzzeitig im Browser-Sitzungsspeicher transportiert, um die Ende-zu-Ende-Verschlüsselung einzurichten, und sofort nach Verwendung gelöscht. |
| Links (Titel, URL, Beschreibung) | Ende-zu-Ende-verschlüsselt (AES-256-GCM). Weder wir noch Firebase können sie im Klartext lesen. |
| Notfallcodes | 6 Einmalcodes bei Registrierung, ebenfalls nur als Hash gespeichert. |
| Account-Laufzeit | Ablaufdatum. Nach Ablauf werden alle Daten automatisch gelöscht. |
| Technische Account-Daten | Erstellungszeitpunkt, Zeitpunkt des letzten Logins und die aktuelle Laufzeit-Stufe. Rein technisch, kein Personenbezug — dienen dem Betrieb (z. B. Ablauf-Berechnung). |
Wenn du über einen Teilnahme-Code beitrittst: Es werden keine personenbezogenen Daten über dich gespeichert. Kein Account, kein Login, keine Cookies. Zum Missbrauchsschutz (Rate-Limiting) verarbeiten wir deine IP-Adresse ausschließlich in pseudonymisierter Form (HMAC-Hash, nicht rückrechenbar zur Klartext-IP) und kurzzeitig. Wie bei jedem Internetdienst können in den technischen Server-Protokollen unseres Auftragsverarbeiters (Google Cloud, EU-Region) Verbindungsdaten (u. a. IP-Adresse) für einen begrenzten Zeitraum anfallen.
Damit wir Probleme wie den Vorfall „Code scheinbar abgelaufen" (blockierendes WLAN) erkennen können, meldet die App im Fehlerfall einen anonymen Fehlercode aus einer festen Liste (z. B. „Netzwerkfehler beim Beitreten"). Übertragen wird nur dieser Code und die App-Version — keine IP-Speicherung, kein Link, kein Inhalt, kein Klartext-Gerätekennzeichen (nur die grobe Browser-Familie). Der Zero-Knowledge-Grundsatz bleibt vollständig gewahrt.
Alle Link-Daten (Titel, URL, Beschreibung) werden auf deinem Gerät verschlüsselt, bevor sie unseren Server erreichen. Der Schlüssel wird aus deinem Passwort abgeleitet und verlässt dein Gerät nie.
| Wer | Links sehen? | Bearbeiten? |
|---|---|---|
| Du (Trainer:in) | ✓ Alle | ✓ Ja |
| Teilnehmer:innen | ✓ Freigeschaltete (angezeigt) | ✕ Nein |
| Server / Firebase | ✕ Nur verschlüsselt | ✕ Nein |
Für die Link-Vorschau wird keine URL an unseren Server übertragen und kein Vorschaubild von Drittservern geladen. Es gibt damit keine Ausnahme mehr vom Ende-zu-Ende-Prinzip.
Beim Laden des Favicons stellt dein Browser eine Anfrage direkt an die verlinkte Seite. Deren Betreiber kann dabei deine IP-Adresse sehen — dieselbe IP, die du beim Anklicken des Links ohnehin preisgibst. An uns oder an Google geht dabei nichts.
Jeder Link wird automatisch gegen ~800.000 bekannte gefährliche Domains geprüft (Malware, Phishing, Glücksspiel, nicht jugendfreie Inhalte).
Die Prüfung findet auf deinem Gerät statt. Keine URLs werden an externe Prüfdienste gesendet (kein Google Safe Browsing o.ä.).
Die Blocklisten stammen aus Open-Source-Quellen (OISD, StevenBlack, URLhaus) und werden täglich automatisch aktualisiert. Dein Browser speichert sie lokal (~2,5 MB).
Kein Filter ist perfekt. Ungeeignete Links können durchrutschen, harmlose Links können fälschlicherweise blockiert werden. Probleme melden: support@malzi.link
malziLINK nutzt Firebase (Google Cloud) für Hosting, Datenbank und Server-Funktionen.
Es sind keine Tracking-Dienste und keine Social-Media-Plugins eingebunden, und es geht keine Link-URL an unseren Server. Beim Anzeigen von Links lädt dein Browser lediglich das Seiten-Symbol (Favicon) direkt von der jeweiligen Zielseite (siehe Abschnitt „Link-Vorschau") — kein Google. Im Footer befindet sich ein externer Link zu buymeacoffee.com — dieser lädt erst beim Anklicken Inhalte.
malziLINK verwendet keine Tracking-Cookies. Folgende lokale Speicher werden technisch benötigt:
| Speicher | Zweck | Dauer |
|---|---|---|
sessionStorage |
Login-Status, Encryption-Keys | Bis Tab geschlossen |
localStorage |
Verschlüsselungs-Backup, Backup-Status, gewähltes Farbschema (hell/dunkel) | Bis Logout oder manuell gelöscht |
sessionStorage (technisch) |
Reload-Zähler zur Absturz-Erkennung (Safari/WebKit) | Bis Tab geschlossen |
IndexedDB |
Sicherheits-Blocklisten (Cache) | 24 Stunden |
Nach DSGVO hast du das Recht auf Auskunft, Berichtigung, Löschung und Datenübertragbarkeit. Da malziLINK keine persönlichen Daten speichert, sind die meisten dieser Rechte bereits erfüllt. Dein Account wird nach Ablauf automatisch gelöscht.
Bei Fragen zum Datenschutz: datenschutz@malzi.link