ScanCompliance.deZurück zur Startseite

Datenschutzerklärung

1. Datenschutz auf einen Blick

Diese Datenschutzerklärung klärt Sie über die Art, den Umfang und Zweck der Verarbeitung von personenbezogenen Daten innerhalb unseres Onlineangebotes ScanCompliance.de auf. ScanCompliance.de ist ein Dienst zur automatisierten technischen Analyse von Websites hinsichtlich datenschutz- und internetrechtlicher Auffälligkeiten. Personenbezogene Daten sind alle Informationen, mit denen Sie persönlich identifiziert werden können.

2. Verantwortliche Stelle

Neujeffski Software Development
Lars Neujeffski
Hanninghof 24
48249 Dülmen
Deutschland

E-Mail für alle Anfragen: hello@scancompliance.de
Telefon: +49 (0) 2594-7929-775

3. Rechtsgrundlagen der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt auf folgenden Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) – bei Registrierung, Alert-Benachrichtigungen per E-Mail
  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) – bei Nutzung der Dienste (Scans, Käufe, Credit-System)
  • Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse) – bei Server-Log-Dateien, Sicherheitsmaßnahmen und der technischen Analyse öffentlich zugänglicher Websites (siehe Abschnitt 6)

4. Ihre Rechte

Sie haben jederzeit das Recht:

  • Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten zu erhalten (Art. 15 DSGVO)
  • Die Berichtigung unrichtiger Daten zu verlangen (Art. 16 DSGVO)
  • Die Löschung Ihrer Daten zu verlangen (Art. 17 DSGVO) – Sie können Ihr Konto und alle zugehörigen Daten jederzeit in den Einstellungen löschen
  • Die Einschränkung der Verarbeitung zu verlangen (Art. 18 DSGVO)
  • Datenübertragbarkeit zu verlangen (Art. 20 DSGVO)
  • Einwilligungen zur Datenverarbeitung jederzeit zu widerrufen (Art. 7 Abs. 3 DSGVO)
  • Sich bei einer Aufsichtsbehörde zu beschweren (Art. 77 DSGVO) – zuständig: Landesbeauftragte für Datenschutz und Informationsfreiheit NRW

5. Speicherdauer und Aufbewahrungsfristen

  • Nutzerkonto-Daten – bis zur Löschung des Kontos durch den Nutzer
  • Scan-Ergebnisse (Realtime, Self-Scan) – 12 Monate nach Erstellung, danach automatische Löschung
  • Index-Scans (Domain-Scans) – bis zur Entfernung aus dem Index oder Befundbehebung
  • PDF-Berichte – 12 Monate nach Erstellung
  • Credit-Buchungen – 10 Jahre (steuerliche Aufbewahrungspflicht gem. § 147 AO)
  • Server-Log-Dateien – 30 Tage

6. Technische Website-Analyse (Segment A: Index)

ScanCompliance.de führt automatisierte technische Analysen öffentlich zugänglicher Websites durch. Dabei werden folgende Daten erhoben und gespeichert:

  • HTTP-Request- und Response-Daten (Header, Status-Codes, URLs)
  • DOM-Snapshot der öffentlich zugänglichen Seite (HTML-Quelltext)
  • Screenshots der öffentlich zugänglichen Seite
  • Technische Befunde (z.B. fehlende Cookie-Banner, externe Ressourcen)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Das berechtigte Interesse liegt in der Bereitstellung eines Dienstes zur technischen Überprüfung der Einhaltung geltender gesetzlicher Anforderungen an Websites (DDG, DSGVO, TDDDG, BFSG). Es werden ausschließlich öffentlich zugängliche Informationen verarbeitet, die von den Websitebetreibern selbst im Internet veröffentlicht wurden.

Scanner-Kennung: Der Scanner identifiziert sich als ScanComplianceBot. Websitebetreiber können den Scanner per robots.txt blockieren (siehe Abschnitt 6a).

Anonymisierung: Im öffentlichen Index werden Domain-Namen nicht angezeigt. Erst nach Kauf durch einen registrierten Nutzer wird der Domain-Name offengelegt. Verschlüsselung erfolgt mit AES-256-GCM.

6a. Rechte betroffener Domaininhaber (Nicht-Nutzer)

Da über das Impressum einer Website in der Regel eine natürliche Person identifizierbar ist, verarbeitet ScanCompliance.de personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO auch von Personen, die nicht selbst Nutzer der Plattform sind (Domaininhaber gescannter Websites).

Informationspflicht (Art. 14 DSGVO): Die Daten werden nicht beim Betroffenen selbst erhoben, sondern von der öffentlich zugänglichen Website. Eine individuelle Benachrichtigung jedes Domaininhabers wäre mit unverhältnismäßigem Aufwand verbunden (Art. 14 Abs. 5 lit. b DSGVO). Stattdessen stellen wir diese Information öffentlich zur Verfügung.

Betroffene Domaininhaber haben folgende Rechte:

  • Auskunftsrecht (Art. 15 DSGVO) – Welche Daten sind zu meiner Domain gespeichert? Die Auskunft wird an die im Impressum der Domain hinterlegte E-Mail-Adresse gesendet.
  • Recht auf Löschung (Art. 17 DSGVO) – Alle Daten zur Domain werden gelöscht und die Domain auf eine Blacklist gesetzt (kein erneuter Scan).
  • Widerspruchsrecht (Art. 21 DSGVO) – Die Verarbeitung wird eingestellt, die Domain aus dem Index entfernt und nicht erneut gescannt.

Anfragen: Über unser Online-Formular unter scancompliance.de/auskunft. Zur Identitätsprüfung ist eine Domain-Verifikation per DNS-TXT-Record, HTML-Meta-Tag oder .well-known-Datei erforderlich. Bearbeitungsfrist: 14 Tage (Art. 12 Abs. 3 DSGVO erlaubt bis zu 1 Monat).

Technischer Opt-Out: Alternativ können Domaininhaber unseren Scanner über die robots.txt-Datei blockieren:

User-Agent: ScanComplianceBot
Disallow: /

6b. Kostenloser Website-Check (Quick-Scan)

Unter scancompliance.de/check bieten wir einen kostenlosen Kurzcheck an. Dabei werden folgende Daten verarbeitet:

  • Die eingegebene Domain (zur Durchführung des Checks)
  • HTTP-Header und HTML-Inhalte der öffentlich zugänglichen Website (temporär, nur während der Analyse)
  • IP-Adresse des Anfragenden (für Rate-Limiting, 24h Speicherdauer)

Speicherdauer: Die Analysedaten werden nicht dauerhaft gespeichert. Die Verarbeitung erfolgt ausschließlich im Arbeitsspeicher und wird nach Anzeige des Ergebnisses verworfen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung eines kostenlosen Prüfdienstes). Für die gescannte Website: siehe Abschnitt 6.

7. Registrierung und Nutzerkonto

Bei der Registrierung werden folgende Daten erhoben:

  • Kanzlei-/Firmenname
  • E-Mail-Adresse
  • Passwort (gespeichert als bcrypt-Hash mit 12 Salt-Rounds)
  • Gewählter Tarif

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) und Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

8. Cookies und Local Storage

ScanCompliance.de setzt keine Cookies ein. Es wird ausschließlich der Local Storage des Browsers für technisch notwendige Authentifizierungs-Tokens (JWT) zur Sitzungsverwaltung verwendet.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (technisch erforderlich).

Webanalyse (Matomo)

Zur Verbesserung unseres Angebots nutzen wir Matomo, eine selbst gehostete Webanalyse-Software. Matomo wird im cookielosen Modus betrieben – es werden keine Cookies gesetzt und kein Zugriff auf Endeinrichtungen im Sinne von § 25 TDDDG vorgenommen.

  • Kein Setzen von Cookies oder Local-Storage-Einträgen für Analysezwecke
  • IP-Adressen werden um 2 Bytes anonymisiert (z.B. 192.168.xxx.xxx)
  • Die „Do Not Track"-Einstellung Ihres Browsers wird respektiert
  • Daten werden ausschließlich auf unserem eigenen Server in Deutschland verarbeitet
  • Keine Weitergabe an Dritte

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der statistischen Auswertung des Nutzerverhaltens zur Optimierung des Webauftritts). Da keine Cookies gesetzt und keine Endeinrichtungen zugegriffen werden, ist keine Einwilligung nach § 25 TDDDG erforderlich.

9. E-Mail-Benachrichtigungen und Newsletter

Folgende E-Mail-Benachrichtigungen können versendet werden:

  • Alert-Benachrichtigungen – bei neuen Einträgen im Index, die Ihren Filterkriterien entsprechen (abbestellbar über Einstellungen oder Abmelde-Link)
  • Vorkaufsfenster-Erinnerungen – bei ablaufenden Exklusivperioden (abbestellbar)
  • Newsletter (DSGVO-Radar) – monatliche Updates zu regulatorischen Änderungen (nur nach expliziter Einwilligung per Checkbox)

Jede E-Mail enthält einen Abmelde-Link. Sie können E-Mail-Benachrichtigungen jederzeit in den Einstellungen oder per Klick auf den Abmelde-Link deaktivieren.

Newsletter: Bei Anmeldung zum Newsletter wird Ihre E-Mail-Adresse sowie Ihre IP-Adresse (zum Nachweis der Einwilligung gem. Art. 7 Abs. 1 DSGVO) gespeichert. Die IP-Adresse wird ausschließlich zum Missbrauchsschutz und als Einwilligungsnachweis verwendet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden. E-Mails werden über SMTP-Server in Deutschland (mailer.xcony.com) verarbeitet und nicht an Dritte weitergegeben.

10. Zahlungsabwicklung

Die Zahlungsabwicklung erfolgt über den Zahlungsdienstleister Stripe, Inc. (354 Oyster Point Blvd, South San Francisco, CA 94080, USA). Zahlungsdaten (Kreditkartennummern, Bankdaten) werden ausschließlich von Stripe verarbeitet und erreichen unsere Server zu keinem Zeitpunkt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Auftragsverarbeitung: Mit Stripe besteht ein Data Processing Agreement (DPA) gem. Art. 28 DSGVO. Die Datenübermittlung in die USA erfolgt auf Basis des EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission).
Datenschutzhinweise von Stripe: https://stripe.com/de/privacy

11. RFC-3161 Zeitstempel

Zur gerichtsfesten Dokumentation von Scan-Ergebnissen werden RFC-3161-Zeitstempel über den externen TSA-Dienst freetsa.org (Standort: Deutschland) angefordert. Dabei wird ausschließlich ein kryptografischer Hash (SHA-512 für neue Scans, SHA-256 für Bestandsdaten aus der Zeit vor April 2026) des PDF-Berichts an den TSA-Server übermittelt – keine personenbezogenen Daten, Domain-Namen oder Scan-Inhalte.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Beweissicherung).
Anbieter: freetsa.org, Betreiber in der EU. Es werden keine personenbezogenen Daten an den TSA übermittelt.

11a. KI-gestützte Datenverarbeitung

Zur Analyse von Websites werden KI-Modelle (Large Language Models) eingesetzt. Dabei werden folgende Datenverarbeitungen durchgeführt:

  • Anthropic API (Claude) – DOM-Snapshots und HTTP-Logs werden zur Analyse an die Anthropic API (USA) übermittelt. Es werden keine personenbezogenen Daten der Websitebesucher übermittelt, sondern ausschließlich technische Daten der öffentlich zugänglichen Website. Anthropic verwendet API-Daten nicht zum Modelltraining (Zero Data Retention Policy).
  • Lokale KI-Modelle (Ollama) – Für bestimmte Verifikationsschritte werden lokal gehostete KI-Modelle eingesetzt. Diese Daten verlassen den EU-Serverstandort nicht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der qualitätsgesicherten technischen Analyse). Die Übermittlung an Anthropic (USA) erfolgt auf Basis des EU-US Data Privacy Framework.

12. SSL/TLS-Verschlüsselung

Diese Seite nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte eine SSL/TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von "http://" auf "https://" wechselt.

13. Datenerfassung auf unserer Website

Server-Log-Dateien

Der Provider der Seiten erhebt und speichert automatisch Informationen in Server-Log-Dateien: Browsertyp, Betriebssystem, Referrer URL, IP-Adresse, Uhrzeit der Serveranfrage. Eine Zusammenführung mit anderen Datenquellen wird nicht vorgenommen. Speicherdauer: 30 Tage.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Systemsicherheit).

14. Widerruf und Löschung

Sie können Ihr Konto und alle zugehörigen Daten jederzeit in den Einstellungen Ihres Dashboards löschen (Art. 17 DSGVO). Alternativ kontaktieren Sie uns unter:

E-Mail: hello@scancompliance.de
Telefon: +49 (0) 2594-7929-775

15. Aufsichtsbehörde

Zuständige Aufsichtsbehörde für den Datenschutz:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Postfach 20 04 44
40102 Düsseldorf
https://www.ldi.nrw.de

16. Aktualität

Stand: April 2026