Datenschutzerklärung

Diese Erklärung gilt für die Website holgertheymann.com. Eine aktuelle Fassung steht jeweils unter https://holgertheymann.com/datenschutz zur Verfügung.

1. Verantwortlicher

Holger Theymann
Dresdener Str. 38
70794 Filderstadt
USt-IdNr.: DE329501766

Kontakt: über das Kontaktformular dieser Website.

Ein Datenschutzbeauftragter ist nach § 38 BDSG nicht benannt, da regelmäßig weniger als 20 Personen mit automatisierter Verarbeitung personenbezogener Daten befasst sind.

2. Grundsätze dieser Verarbeitung

1. Datenminimierung: Es werden nur die für den technischen Betrieb zwingend erforderlichen Daten verarbeitet.
2. Frühzeitige Anonymisierung: Zugriffs-IPs werden vor dem Schreiben in persistente Logs kryptografisch gehasht (HMAC-SHA256 mit täglich rotierendem Schlüssel). Eine Rückführung auf den ursprünglichen Besucher ist ohne den gültigen Tagesschlüssel nicht möglich; nach 24 Stunden wird der Schlüssel verworfen und die Hashes gelten als anonymisiert.
3. Security-Ausnahme: Bei Angriffsmustern (Brute-Force, Exploit-Scans, Spam) wird die Klartext-IP zeitlich begrenzt verarbeitet, um den Angriff abzuwehren. Rechtsgrundlage: Art. 6 (1) f DSGVO i. V. m. Art. 32 DSGVO.
4. Keine Drittanbieter-Analytics (kein Google Analytics, Meta-Pixel, Hotjar o. ä.).
5. Keine Cookies zur Wiedererkennung. Ausgenommen: ein lokal im Browser gespeicherter Eintrag zur gewählten Farbschema-Präferenz (nuxt-color-mode, kein Cookie, kein Server-Kontakt) — nach § 25 Abs. 2 Nr. 2 TDDDG ohne Einwilligung zulässig.

3. Hosting

Die Website wird auf einem dedizierten Server der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen gehostet. Mit Hetzner besteht ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO. Hetzner betreibt die Infrastruktur in deutschen Rechenzentren; eine Übermittlung personenbezogener Daten in Drittländer findet durch Hetzner nicht statt.

4. Zugriffs-Logs

Bei jedem Aufruf dieser Website werden durch den Reverse-Proxy (Traefik) und die nachgelagerte Telemetrie-Pipeline (Grafana Alloy → Loki) folgende Metadaten verarbeitet:

Zweck: Technischer Betrieb, Fehleranalyse, grobe Reichweitenmessung (ohne Einzelbesucher-Nachverfolgung).
Rechtsgrundlage: Art. 6 (1) f DSGVO (berechtigtes Interesse am sicheren und fehlerfreien Betrieb).

Wiedererkennung innerhalb eines Tages: Durch das tägliche Rotieren des Salts ist ein Hash max. 24 Stunden zur Wiedererkennung nutzbar. Das dient ausschließlich der Tagesstatistik; nach Schlüsselwechsel ist eine Zuordnung nicht mehr möglich.

5. Abwehr von Angriffen

Auffälliges Verhalten (Exploit-Scans, Brute-Force gegen Login-Seiten, bekannte Bot-Signaturen, Spam) wird durch CrowdSec erkannt. Dafür werden die rohen Nginx-/Traefik-Logs (mit Klartext-IP) von CrowdSec im Arbeitsspeicher gelesen; eine Persistenz der rohen Logs erfolgt nur für maximal 14 Tage in einem zugriffsgeschützten Pfad.

Bei einer Sperrentscheidung:

Rechtsgrundlage: Art. 6 (1) f DSGVO i. V. m. Art. 32 DSGVO. Die Maßnahme kann als automatisierte Entscheidung im Einzelfall i. S. v. Art. 22 DSGVO qualifizieren; sie ist zur Abwehr rechtswidriger Zugriffe erforderlich. Eine fehlerhafte Sperrung wird auf Anfrage über das Kontaktformular unverzüglich geprüft.

6. Externe Sperrlisten

Zur Bewertung eingehender Verbindungen und E-Mails werden öffentliche DNS-basierte Sperrlisten (u. a. Spamhaus, SURBL, URIBL, CrowdSec-Community-Blocklist) abgefragt. Dabei wird die IP des Anfragenden als DNS-Lookup an den Listen-Anbieter übermittelt; es findet keine eigene Speicherung dieser Anfragen bei uns statt.

Rechtsgrundlage: Art. 6 (1) f DSGVO.

7. Kontaktformular

Diese Website veröffentlicht keine E-Mail-Adresse im HTML. Wer uns erreichen möchte, nutzt das Kontaktformular. Es wird über einen eigens betriebenen Mini-Webservice (Contact-Gateway) auf demselben Hetzner-Server an unseren Mailserver (Mailcow) durchgereicht.

Verarbeitungskette:

1. Browser → POST /api/contact (HTTPS)
2. Traefik + CrowdSec (Angriffs-Filter, siehe §5)
3. Contact-Gateway prüft mCaptcha-Token (Proof-of-Work, selbst gehostet, cookielos), Honeypot-Feld, Mindest-Verweildauer, Rate-Limit
4. Bei Erfolg: Übergabe an Mailcow → rspamd-Prüfung → Mailbox we@ssi.st
5. Bei Misserfolg: Verwerfen ohne Persistenz

Das Gateway speichert keine Formular-Inhalte. Die resultierende E-Mail wird in der Mailbox wie sonstige geschäftliche Korrespondenz aufbewahrt, längstens 3 Jahre; rspamd-Signale max. 30 Tage (danach nur noch anonyme Fuzzy-Hashes).

Rechtsgrundlage: Art. 6 (1) b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 (1) f DSGVO.

Hinweis: Diese Lösung ist ein Übergang. Mittelfristig wird der Nachrichtenweg auf das dezentrale BeastNet-Protokoll (siehe §9) umgestellt, bei dem der Betrieb eines zentralen Gateways entfällt.

8. Ihre Rechte

Sie haben das Recht auf

• Auskunft über die Sie betreffenden Daten (Art. 15 DSGVO),
• Berichtigung unrichtiger Daten (Art. 16 DSGVO),
• Löschung (Art. 17 DSGVO),
• Einschränkung der Verarbeitung (Art. 18 DSGVO),
• Datenübertragbarkeit (Art. 20 DSGVO),
• Widerspruch gegen auf berechtigtem Interesse gestützte Verarbeitung (Art. 21 DSGVO),
• Beschwerde bei einer Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO) — zuständig: LfDI Baden-Württemberg .

Hinweis zur Wirksamkeit auf Logs: Da Zugriffs-Logs nach 24 h nicht mehr auf Ihre IP zurückführbar sind (Salt-Rotation), können wir ältere Einträge nicht mehr Ihnen zuordnen — eine Auskunft oder Löschung ist dann nicht mehr möglich, aber auch nicht mehr erforderlich.

9. Änderungen

Diese Erklärung wird bei technischen oder rechtlichen Änderungen angepasst. Die jeweils aktuelle Fassung ist unter /datenschutz abrufbar.

Stand: 2026-04-16