Datenschutzerklärung – Bitwarden (venonext.de)
1. Verantwortlicher
Fabian Klix
Benediktinergasse 2
49186 Bad Iburg
Deutschland
E-Mail: support@venonext.de
Telefon: +49 156 78656923
2. Dienstbeschreibung
Diese Datenschutzerklärung bezieht sich auf die unter venonext.de betriebene Bitwarden-Instanz (Vaultwarden / selbstgehostete Bitwarden-Variante). Bitwarden dient der sicheren Passwortverwaltung und -synchronisation.
3. Ende-zu-Ende-Verschlüsselung (E2EE)
Wichtiger Hinweis: Alle sensiblen Daten in Bitwarden – insbesondere Passwörter, Notizen, Tresorinhalte und Kreditkarteninformationen – werden ende-zu-ende-verschlüsselt. Die Verschlüsselung erfolgt auf dem Gerät des Nutzers, bevor die Daten an den Server übertragen werden. Der Server speichert nur verschlüsselte Daten ("ciphertext") und kann den Inhalt weder einsehen noch entschlüsseln. Der Entschlüsselungsschlüssel (Master-Password und ggf. Zwei-Faktor-Schlüssel) verbleibt ausschließlich beim Nutzer.
Dies bedeutet: Selbst im Falle eines Datenlecks oder einer rechtmäßigen Auskunftspflicht gegenüber dem Betreiber können die eigentlichen Tresorinhalte nicht preisgegeben werden, da der Betreiber keinen Zugriff auf die Entschlüsselung hat.
4. Verarbeitete Daten und Zweck
- Account-Daten: E-Mail-Adresse (als Login), Konto-Einstellungen
- Sicherheitsdaten: Master-Password-Hash (für Login-Validierung, nicht einsehbar), 2FA-Authentifikations-Schlüssel (sofern aktiviert)
- Verschlüsselte Tresordaten: Passwörter, sichere Notizen, Kreditkarten, Identitäten, Login-URLs (alles E2E-verschlüsselt, serverseitig nicht einsehbar)
- Nutzungsdaten: IP-Adresse, Zeitstempel, Login-/Sync-Ereignisse, verwendete Clients (Browser-Extension, Mobile App, Desktop), Browsertyp
Zweck: Bereitstellung der Passwortverwaltung, Synchronisation zwischen Geräten, Zwei-Faktor-Authentifizierung, technische Sicherheit.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Bereitstellung des Dienstes und technischer Sicherheit).
5. Hosting und Infrastruktur
Die Bitwarden-Instanz wird auf eigener Verbraucher-Hardware (Unraid-Server im Heimnetzwerk) betrieben. Alle Daten verbleiben auf dieser selbstverwalteten Infrastruktur.
Der Zugriff erfolgt über einen selbstverwalteten Nginx Proxy Manager (Reverse Proxy) bei der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland. Dieser führt TLS-Terminierung durch und verarbeitet Zugriffslogs. Ein Auftragsverarbeitungsvertrag (AVV) mit Hetzner liegt vor. Die Datenverarbeitung durch den Reverse Proxy erfolgt auf Grundlage eines Auftragsverarbeitungsvertrags (AVV) bzw. im Rahmen eigener technischer Infrastruktur.
Cloudflare (DNS): Die DNS-Auflösung erfolgt über Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA. Im Rahmen der DNS-Auflösung können technische Verbindungsdaten verarbeitet werden. Cloudflare tritt hierbei ausschließlich als DNS-Resolver auf; es findet kein Content-Proxying, kein CDN und keine Inhaltsverarbeitung statt. Die Datenverarbeitung erfolgt innerhalb der eingesetzten Auftragsverarbeiter im Rahmen der technischen Infrastruktur des Verantwortlichen auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO). Datenschutzerklärung Cloudflare
6. Cookies und Session-Speicher
Bitwarden verwendet ausschließlich technisch notwendige Cookies zur Sitzungsverwaltung und Authentifizierung. Diese sind für den Betrieb unerlässlich und werden nicht zu Tracking- oder Analysezwecken eingesetzt. Es gibt keine Marketing-Cookies, keine Analyse-Tools und kein Cookie-Banner.
7. Kein Tracking, keine Analyse
Diese Bitwarden-Instanz verwendet keine Tracking-Tools, keine Analyse-Software und keine extern eingebetteten Inhalte. Alle Ressourcen werden vom eigenen Server ausgeliefert.
8. Weitergabe
Keine Weitergabe personenbezogener Daten an Dritte. Alle Daten verbleiben auf der selbstverwalteten Infrastruktur. Die E2E-Verschlüsselung stellt sicher, dass selbst der Betreiber keinen Einblick in die Tresorinhalte hat.
9. Sicherheit und Zwei-Faktor-Authentifizierung
Bitwarden unterstützt optionale Zwei-Faktor-Authentifizierung (2FA) via TOTP, WebAuthn/FIDO2 oder E-Mail. Die 2FA-Daten werden serverseitig gespeichert, sind jedoch zur Funktionsweise des 2FA-Verfahrens erforderlich und werden nicht zu anderen Zwecken verwendet.
10. Speicherdauer
Account-Daten und verschlüsselte Tresordaten werden so lange gespeichert, wie der Account besteht. Nach Löschung des Accounts werden alle Daten umgehend entfernt. Logs (Login, Sync) werden nach 30 Tagen gelöscht.
11. Ihre Rechte
Ihnen stehen grundsätzlich die folgenden Rechte zu:
- Auskunft über die bei uns gespeicherten Daten (Art. 15 DSGVO)
- Berichtigung falscher oder unvollständiger Daten (Art. 16 DSGVO)
- Löschung der Daten, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
- Beschwerde bei der zuständigen Aufsichtsbehörde (Art. 77 DSGVO)
Zuständige Aufsichtsbehörde: Landesbeauftragte/r für Datenschutz und Informationsfreiheit Niedersachsen, Prinzenstraße 5, 30159 Hannover
12. Kontakt
Bei Fragen zum Datenschutz erreichen Sie uns unter: support@venonext.de
13. Änderung und Aktualisierung
Wir passen diese Datenschutzerklärung an, sobald Änderungen der Datenverarbeitung dies erforderlich machen. Die aktuelle Version ist stets auf dieser Seite einsehbar.