Datenschutz – malziLINK

✓ Das Wichtigste in Kürze

malziLINK ist datensparsam: kein Tracking, keine Werbung, keine Profile. Deine Link-Daten werden Ende-zu-Ende-verschlüsselt gespeichert. Teilnehmer:innen bleiben anonym. Alle Daten liegen in der EU.

⚖ Verantwortlicher

malziland – digitale Wissensgestaltung e.U.

Inhaber: Christoph Krieger

Tassilostraße 22, 4501 Neuhofen an der Krems, Österreich

E-Mail: datenschutz@malzi.link

💾 Was wird gespeichert?

Als Trainer:in

Datenpunkt	Details
Passwort	Serverseitig nur als kryptografischer Hash (PBKDF2-SHA512, 100.000 Iterationen). Das Klartext-Passwort wird nie dauerhaft oder serverseitig gespeichert. Während Registrierung und Login wird es kurzzeitig im Browser-Sitzungsspeicher transportiert, um die Ende-zu-Ende-Verschlüsselung einzurichten, und sofort nach Verwendung gelöscht.
Links (Titel, URL, Beschreibung)	Ende-zu-Ende-verschlüsselt (AES-256-GCM). Weder wir noch Firebase können sie im Klartext lesen.
Notfallcodes	6 Einmalcodes bei Registrierung, ebenfalls nur als Hash gespeichert.
Account-Laufzeit	Ablaufdatum. Nach Ablauf werden alle Daten automatisch gelöscht.

Keine persönlichen Daten: Kein Name, keine E-Mail, keine Telefonnummer. Dein Passwort ist dein einziger Zugang.

Als Teilnehmer:in

Wenn du über einen Teilnahme-Code beitrittst: Es werden keine personenbezogenen Daten über dich gespeichert. Kein Account, kein Login, keine Cookies. Zum Missbrauchsschutz (Rate-Limiting) wird deine IP-Adresse kurzfristig verarbeitet und danach automatisch gelöscht.

🔒 Verschlüsselung

Alle Link-Daten (Titel, URL, Beschreibung) werden auf deinem Gerät verschlüsselt, bevor sie unseren Server erreichen. Der Schlüssel wird aus deinem Passwort abgeleitet und verlässt dein Gerät nie.

Wer	Links sehen?	Bearbeiten?
Du (Trainer:in)	✓ Alle	✓ Ja
Teilnehmer:innen	✓ Freigeschaltete	✕ Nein
Server / Firebase	✕ Nur verschlüsselt	✕ Nein

Technische Details

Algorithmus: AES-256-GCM (Authenticated Encryption)
Key-Derivation: PBKDF2 mit SHA-256, 100.000 Iterationen (Trainer:in) / 10.000 (Teilnehmer:in), 128-Bit Salt
Passwort-Hash: PBKDF2-SHA512, 100.000 Iterationen, 256-Bit Salt

🖼 Link-Vorschau

Transparenzhinweis

Beim Anlegen eines Links holt unser Server einmalig Titel und Vorschaubild von der Zielseite. Dafür muss die URL kurzzeitig an unseren Server übertragen werden. Das ist die einzige Ausnahme vom Ende-zu-Ende-Prinzip.

Warum?

Browser können aus Sicherheitsgründen (CORS) keine beliebigen Webseiten abrufen. Deshalb übernimmt unser Server das einmalig.

Was passiert mit der URL?

Die URL existiert nur im Arbeitsspeicher (RAM), während die Vorschau abgerufen wird
Danach ist sie weg: nicht geloggt, nicht gespeichert, nicht an Dritte weitergegeben
Private Netzwerkadressen werden blockiert (SSRF-Schutz)

🛡 Link-Sicherheitsprüfung

Jeder Link wird automatisch gegen ~800.000 bekannte gefährliche Domains geprüft (Malware, Phishing, Glücksspiel, nicht jugendfreie Inhalte).

✓ Vollständig lokal

Die Prüfung findet auf deinem Gerät statt. Keine URLs werden an externe Prüfdienste gesendet (kein Google Safe Browsing o.ä.).

Die Blocklisten stammen aus Open-Source-Quellen (OISD, StevenBlack, URLhaus) und werden täglich automatisch aktualisiert. Dein Browser speichert sie lokal (~2,5 MB).

Hinweis:

Kein Filter ist perfekt. Ungeeignete Links können durchrutschen, harmlose Links können fälschlicherweise blockiert werden. Probleme melden: support@malzi.link

☁ Externer Dienst

malziLINK nutzt Firebase (Google Cloud) für Hosting, Datenbank und Server-Funktionen.

Standort: EU (Frankfurt, europe-west3)
Firebase sieht nur verschlüsselte Link-Daten
IP-Adressen werden ausschließlich pseudonymisiert (HMAC) und temporär für Missbrauchsschutz (Rate-Limiting) verarbeitet
Kein Google Analytics, kein Firebase Analytics

Darüber hinaus werden keine weiteren externen Dienste eingebunden (kein CDN für Tracking, keine Social-Media-Plugins). Im Footer befindet sich ein externer Link zu buymeacoffee.com — dieser lädt erst beim Anklicken Inhalte.

🍪 Cookies & lokaler Speicher

malziLINK verwendet keine Tracking-Cookies. Folgende lokale Speicher werden technisch benötigt:

Speicher	Zweck	Dauer
`sessionStorage`	Login-Status, Encryption-Keys	Bis Tab geschlossen
`localStorage`	Verschlüsselungs-Backup, Backup-Status	Bis Logout oder manuell gelöscht
`IndexedDB`	Sicherheits-Blocklisten (Cache)	24 Stunden

🚫 Was wir nicht tun

Kein Tracking (keine Analytics, kein Facebook Pixel, kein Google Tag Manager)
Keine Werbung
Keine Nutzerprofile
Kein Datenverkauf oder Datenweitergabe an Dritte
Keine E-Mails (wir haben deine E-Mail-Adresse gar nicht)

✎ Deine Rechte

Nach DSGVO hast du das Recht auf Auskunft, Berichtigung, Löschung und Datenübertragbarkeit. Da malziLINK keine persönlichen Daten speichert, sind die meisten dieser Rechte bereits erfüllt. Dein Account wird nach Ablauf automatisch gelöscht.

Bei Fragen zum Datenschutz: datenschutz@malzi.link

Aufsichtsbehörde: Österreichische Datenschutzbehörde, Barichgasse 40-42, 1030 Wien (dsb.gv.at)