Passwort-Generator · Datenleck-Checker (HIBP) · Über uns
Datenschutzrichtlinie
In Kraft: 2. Dezember 2025 | Zuletzt aktualisiert: 2. Dezember 2025
Willkommen bei passwords.lu. Diese Datenschutzrichtlinie erläutert, welche personenbezogenen Daten wir verarbeiten, wie wir sie verarbeiten und welche Maßnahmen wir zum Schutz Ihrer Privatsphäre ergreifen. Unser Dienst ist datenschutzfreundlich konzipiert – die Kernfunktionen erzeugen Passwörter lokal in Ihrem Browser, und Ihre Geheimnisse verlassen nie Ihr Gerät.
Kurz: Wir minimieren die Datenerhebung, setzen keine Tracking-Cookies ein und empfangen oder speichern niemals generierte Passwörter, Passphrasen, PINs oder API-Schlüssel.
1. Datenschutzfreundliche Gestaltung
Kurz: Die gesamte Passwortgenerierung erfolgt lokal in Ihrem Browser; keine Geheimnisse werden an uns gesendet.
- Lokale Erzeugung: Alle Geheimnisse werden über die Web Crypto API direkt in Ihrem Browser erzeugt.
- Keine Speicherung: Wir speichern oder protokollieren keine generierten Werte.
- Keine Übertragung: Generierte Passwörter, Passphrasen, PINs und API-Schlüssel verlassen nie Ihr Gerät.
- Keine Konten: Sie können alle Tools anonym ohne Registrierung nutzen.
- Clientseitige Verarbeitung: Passwortstärke und Breach-Abfragen werden in Ihrem Browser ausgewertet.
2. Daten, die wir nicht gezielt erheben
Kurz: Bei der Nutzung der Kern-Tools erheben wir nicht absichtlich personenbezogene Daten.
Für die Kern-Passwort-Tools erheben oder verarbeiten wir nicht absichtlich:
- Passwörter, Passphrasen, PINs oder API-Schlüssel
- personenbezogene Daten (außer Sie geben sie freiwillig an)
- Analysen, Tracking-Daten oder Nutzungsmuster
- Geräte- oder Browser-Fingerprints
- Werbe- oder Marketing-IDs
- Standortdaten
- nicht unbedingt erforderliche Cookies oder Tracking-Pixel
Begrenzte technische Daten werden jedoch automatisch von unserem Infrastrukturanbieter (Cloudflare) verarbeitet, wie unten beschrieben.
3. Daten, die wir in begrenzten Fällen verarbeiten können
Kurz: Minimale Daten nur bei freiwilliger Interaktion mit uns.
A. Newsletter-Anmeldung (freiwillig)
Wenn Sie den Newsletter abonnieren:
- speichern wir Ihre E-Mail-Adresse
- die Anmeldeseite (falls angegeben)
- Daten werden in Supabase gespeichert (EU-Region wenn verfügbar)
- nur für gelegentliche Updates genutzt
Rechtsgrundlage (DSGVO Art. 6(1)(a)): Einwilligung. Sie können sich jederzeit abmelden.
B. Kontakt-E-Mails
Wenn Sie uns per E-Mail schreiben, verarbeiten wir:
- Ihre E-Mail-Adresse
- Nachrichteninhalt
- alle von Ihnen mitgeteilten Daten
Rechtsgrundlage: Vertragserfüllung / Beantwortung einer Anfrage (DSGVO Art. 6(1)(b)) und Berechtigtes Interesse (DSGVO Art. 6(1)(f)).
C. Infrastruktur-Logs (automatisch)
Cloudflare Pages verarbeitet automatisch:
- IP-Adressen
- User-Agent-Strings
- Anfrage-URLs
- Zeitstempel
- aggregierter Standort auf Länderebene (aus IP abgeleitet)
Diese Daten dienen der Sicherheit (z. B. DDoS-Schutz), Performance, Fehlersuche und Missbrauchsabwehr. Cloudflare ist unser Auftragsverarbeiter. Wir analysieren oder speichern diese Logs nicht außerhalb der Cloudflare-Dashboards.
Rechtsgrundlage: Berechtigtes Interesse (DSGVO Art. 6(1)(f)).
4. Infrastruktur-Anbieter, Logs und Cookies
Kurz: Cloudflare protokolliert IP-Adressen und kann streng notwendige Sicherheits-Cookies setzen.
Cloudflare kann streng notwendige Cookies setzen, z. B.:
- __cf_bm (Bot-Erkennung)
- andere sicherheitsrelevante Kennungen
Diese werden nicht zum Tracking genutzt, sind für Betrieb und Schutz der Seite erforderlich und unterliegen der Datenschutzrichtlinie von Cloudflare.
Cloudflare-Logs werden je nach Tarif automatisch 30–90 Tage aufbewahrt. Wir setzen selbst keine Cookies.
5. Breach-Prüfung (Have I Been Pwned – HIBP)
Kurz: Es werden nur die ersten 5 Zeichen eines SHA-1-Hash gesendet; das Passwort selbst verlässt nie Ihr Gerät.
Unser Breach-Check nutzt das K-Anonymitätsmodell:
- Ihr Passwort wird lokal mit SHA-1 gehasht.
- Nur die ersten 5 Zeichen des Hash werden an HIBP gesendet.
- HIBP liefert passende Hash-Suffixe zurück.
- Der Abgleich erfolgt vollständig in Ihrem Browser.
SHA-1 wird nur für die Kompatibilität mit der HIBP-Datenbank verwendet. Die Sicherheit Ihrer Passwortgenerierung bleibt unberührt. Die Datenschutzrichtlinie von HIBP gilt für deren API.
6. Browser-Lokalspeicher
Kurz: Einstellungen werden nur auf Ihrem Gerät gespeichert und uns nicht übermittelt.
Wir können folgendes in localStorage oder sessionStorage speichern:
- Spracheinstellung
- Design (hell/dunkel)
- Generator-Einstellungen
- Einstellung zum Löschen der Zwischenablage (falls in künftigen Updates aktiviert)
Diese Daten verlassen nie Ihr Gerät und können jederzeit in den Browsereinstellungen gelöscht werden.
7. Drittanbieter-Dienste
Kurz: Cloudflare, Supabase und HIBP verarbeiten Daten nach eigenen Richtlinien.
Wir nutzen:
- Cloudflare Pages (Hosting) – verarbeitet IPs und Anfrage-Metadaten
- Supabase (Newsletter) – speichert E-Mail-Adressen
- Have I Been Pwned (HIBP) – erhält partielle Passwort-Hashes
Jeder Anbieter ist für die eigene Datenverarbeitung verantwortlich. Wir verkaufen oder teilen Ihre Daten nicht mit Werbe- oder Tracking-Unternehmen.
8. DSGVO-Konformität und Rechtsgrundlagen
Kurz: Wir agieren in Luxemburg und folgen den Grundsätzen der DSGVO.
Wir verarbeiten Daten nur bei Notwendigkeit und nur für klare Zwecke.
Verwendete Rechtsgrundlagen:
- Einwilligung: Newsletter-Anmeldungen
- Vertragserfüllung: Beantwortung von Anfragen
- Berechtigtes Interesse: Sicherheit, Betrugsprävention, Infrastruktur-Logs
Ihre DSGVO-Rechte
- Recht auf Auskunft
- Recht auf Berichtigung
- Recht auf Löschung
- Recht auf Einschränkung der Verarbeitung
- Recht auf Widerspruch
- Recht auf Datenübertragbarkeit
Kontakt: contact@passwords.lu. Wir antworten innerhalb eines Monats gemäß DSGVO.
Keine automatisierten Entscheidungen: Wir führen kein Profiling oder automatische Entscheidungsfindung durch.
9. Datensicherheit
Kurz: Wir wenden branchenübliche Maßnahmen an; kein System ist absolut sicher.
Sicherheitsmaßnahmen umfassen:
- TLS-Verschlüsselung
- minimale Backend-Oberfläche
- Cloudflare DDoS-Schutz
- regelmäßige Software-Updates
- keine serverseitige Verarbeitung generierter Geheimnisse
Wir nehmen Sicherheit ernst, aber keine Methode ist 100 % sicher. Clientseitige Passwortgenerierung reduziert Risiken erheblich.
10. Aufbewahrung
Kurz: Wir bewahren Daten nur so lange wie nötig.
- Newsletter-E-Mails: bis zur Abmeldung
- Kontaktanfragen: für angemessene Zeit
- Cloudflare-Logs: gemäß Cloudflare-Richtlinien (ca. 30–90 Tage)
Sobald Daten nicht mehr benötigt werden, löschen oder anonymisieren wir sie.
11. Datenschutz für Kinder
Kurz: Nicht für Kinder unter 13 Jahren bestimmt.
Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 13. Wenn Sie glauben, ein Kind hat Daten übermittelt, kontaktieren Sie uns – wir löschen sie.
12. Internationale Datenübermittlungen
Kurz: Wir setzen geeignete Garantien für außerhalb der EU verarbeitete Daten ein.
Cloudflare und Supabase können Daten in der EU, den USA oder anderen Regionen verarbeiten. Übermittlungen erfolgen unter den von der DSGVO geforderten Garantien (z. B. Standardvertragsklauseln oder Angemessenheitsbeschlüsse).
13. Ihre Rechte und Wahlmöglichkeiten
Kurz: Sie kontrollieren Ihre Daten und können die Nutzung unserer Tools jederzeit einstellen.
Sie können:
- Newsletter abbestellen
- Löschung Ihrer E-Mail verlangen
- localStorage leeren
- die Seite ohne Einschränkung nicht mehr nutzen
Sie können uns jederzeit kontaktieren, um Ihre Rechte auszuüben.
14. Änderungen dieser Richtlinie
Kurz: Änderungen werden im Datum oben angezeigt.
Bei Aktualisierung dieser Richtlinie wird das Datum „Zuletzt aktualisiert“ geändert. Ihre weitere Nutzung gilt als Zustimmung.
15. Kontakt
Kurz: Kontaktieren Sie uns bei Datenschutzfragen oder DSGVO-Anfragen.
E-Mail: contact@passwords.lu
Website: passwords.lu
Wir bearbeiten DSGVO-Anfragen innerhalb eines Monats.