Zur Startseite
Das Wichtigste in Kürze

malziLINK ist datensparsam: kein Tracking, keine Werbung, keine Profile. Deine Link-Daten werden Ende-zu-Ende-verschlüsselt gespeichert und in der EU verarbeitet. Teilnehmer:innen brauchen kein Konto. Für die Link-Vorschau wird keine URL an unseren Server gesendet — es gibt keine Ausnahme vom Ende-zu-Ende-Prinzip.

Verantwortlicher

malziland – learning | training | consulting e.U.

Inhaber: Christoph Krieger

Tassilostraße 22, 4501 Neuhofen an der Krems, Österreich

E-Mail: datenschutz@malzi.link

💾 Was wird gespeichert?

Als Trainer:in

Datenpunkt Details
Passwort Serverseitig nur als kryptografischer Hash (PBKDF2-SHA512, 100.000 Iterationen). Das Klartext-Passwort wird nie dauerhaft oder serverseitig gespeichert. Während Registrierung und Login wird es kurzzeitig im Browser-Sitzungsspeicher transportiert, um die Ende-zu-Ende-Verschlüsselung einzurichten, und sofort nach Verwendung gelöscht.
Links (Titel, URL, Beschreibung) Ende-zu-Ende-verschlüsselt (AES-256-GCM). Weder wir noch Firebase können sie im Klartext lesen.
Notfallcodes 6 Einmalcodes bei Registrierung, ebenfalls nur als Hash gespeichert.
Account-Laufzeit Ablaufdatum. Nach Ablauf werden alle Daten automatisch gelöscht.
Technische Account-Daten Erstellungszeitpunkt, Zeitpunkt des letzten Logins und die aktuelle Laufzeit-Stufe. Rein technisch, kein Personenbezug — dienen dem Betrieb (z. B. Ablauf-Berechnung).
Keine persönlichen Daten: Kein Name, keine E-Mail, keine Telefonnummer. Dein Passwort ist dein einziger Zugang.

Als Teilnehmer:in

Wenn du über einen Teilnahme-Code beitrittst: Es werden keine personenbezogenen Daten über dich gespeichert. Kein Account, kein Login, keine Cookies. Zum Missbrauchsschutz (Rate-Limiting) verarbeiten wir deine IP-Adresse ausschließlich in pseudonymisierter Form (HMAC-Hash, nicht rückrechenbar zur Klartext-IP) und kurzzeitig. Wie bei jedem Internetdienst können in den technischen Server-Protokollen unseres Auftragsverarbeiters (Google Cloud, EU-Region) Verbindungsdaten (u. a. IP-Adresse) für einen begrenzten Zeitraum anfallen.

Anonyme Fehlerdiagnose

Damit wir Probleme wie den Vorfall „Code scheinbar abgelaufen" (blockierendes WLAN) erkennen können, meldet die App im Fehlerfall einen anonymen Fehlercode aus einer festen Liste (z. B. „Netzwerkfehler beim Beitreten"). Übertragen wird nur dieser Code und die App-Version — keine IP-Speicherung, kein Link, kein Inhalt, kein Klartext-Gerätekennzeichen (nur die grobe Browser-Familie). Der Zero-Knowledge-Grundsatz bleibt vollständig gewahrt.

🔒 Verschlüsselung

Alle Link-Daten (Titel, URL, Beschreibung) werden auf deinem Gerät verschlüsselt, bevor sie unseren Server erreichen. Der Schlüssel wird aus deinem Passwort abgeleitet und verlässt dein Gerät nie.

Wer Links sehen? Bearbeiten?
Du (Trainer:in) ✓ Alle ✓ Ja
Teilnehmer:innen ✓ Freigeschaltete (angezeigt) ✕ Nein
Server / Firebase ✕ Nur verschlüsselt ✕ Nein
Wichtig zur „Freigabe": Das Freischalten steuert, welche Links den Teilnehmer:innen angezeigt werden — es ist eine Präsentationssteuerung, keine Zugriffssperre. Technisch erhält das Gerät einer teilnehmenden Person die gesamte (verschlüsselte) Liste des Raums; technisch versierte Personen könnten daher auch noch nicht freigeschaltete Einträge sichtbar machen. Lege deshalb nichts Vertrauliches in einen Raum, das niemand sehen soll.

Technische Details

🖼 Link-Vorschau

Vollständig Ende-zu-Ende

Für die Link-Vorschau wird keine URL an unseren Server übertragen und kein Vorschaubild von Drittservern geladen. Es gibt damit keine Ausnahme mehr vom Ende-zu-Ende-Prinzip.

Was angezeigt wird

Was die verlinkte Seite sieht

Beim Laden des Favicons stellt dein Browser eine Anfrage direkt an die verlinkte Seite. Deren Betreiber kann dabei deine IP-Adresse sehen — dieselbe IP, die du beim Anklicken des Links ohnehin preisgibst. An uns oder an Google geht dabei nichts.

🛡 Link-Sicherheitsprüfung

Jeder Link wird automatisch gegen ~800.000 bekannte gefährliche Domains geprüft (Malware, Phishing, Glücksspiel, nicht jugendfreie Inhalte).

Vollständig lokal

Die Prüfung findet auf deinem Gerät statt. Keine URLs werden an externe Prüfdienste gesendet (kein Google Safe Browsing o.ä.).

Die Blocklisten stammen aus Open-Source-Quellen (OISD, StevenBlack, URLhaus) und werden täglich automatisch aktualisiert. Dein Browser speichert sie lokal (~2,5 MB).

Hinweis:

Kein Filter ist perfekt. Ungeeignete Links können durchrutschen, harmlose Links können fälschlicherweise blockiert werden. Probleme melden: support@malzi.link

Externer Dienst

malziLINK nutzt Firebase (Google Cloud) für Hosting, Datenbank und Server-Funktionen.

Es sind keine Tracking-Dienste und keine Social-Media-Plugins eingebunden, und es geht keine Link-URL an unseren Server. Beim Anzeigen von Links lädt dein Browser lediglich das Seiten-Symbol (Favicon) direkt von der jeweiligen Zielseite (siehe Abschnitt „Link-Vorschau") — kein Google. Im Footer befindet sich ein externer Link zu buymeacoffee.com — dieser lädt erst beim Anklicken Inhalte.

🍪 Cookies & lokaler Speicher

malziLINK verwendet keine Tracking-Cookies. Folgende lokale Speicher werden technisch benötigt:

Speicher Zweck Dauer
sessionStorage Login-Status, Encryption-Keys Bis Tab geschlossen
localStorage Verschlüsselungs-Backup, Backup-Status, gewähltes Farbschema (hell/dunkel) Bis Logout oder manuell gelöscht
sessionStorage (technisch) Reload-Zähler zur Absturz-Erkennung (Safari/WebKit) Bis Tab geschlossen
IndexedDB Sicherheits-Blocklisten (Cache) 24 Stunden

🚫 Was wir nicht tun

Deine Rechte

Nach DSGVO hast du das Recht auf Auskunft, Berichtigung, Löschung und Datenübertragbarkeit. Da malziLINK keine persönlichen Daten speichert, sind die meisten dieser Rechte bereits erfüllt. Dein Account wird nach Ablauf automatisch gelöscht.

Bei Fragen zum Datenschutz: datenschutz@malzi.link

Aufsichtsbehörde: Österreichische Datenschutzbehörde, Barichgasse 40-42, 1030 Wien (dsb.gv.at)