Trust Center

Datenschutz & Sicherheit

Vollständige Transparenz, wie wir mit Ihren Daten umgehen. Hetzner-Hosting in Deutschland, Zero-Knowledge-Verschlüsselung, kein Drittland-Transfer von Inhaltsdaten, AVV nach Art. 28 DSGVO verfügbar.

Unsere Datenschutz-Prinzipien

Eigene Infrastruktur in Deutschland

Alle Daten verbleiben auf Servern bei Hetzner in Deutschland (Nürnberg, Falkenstein). Kein US-Cloud-Anbieter.

Zero-Knowledge-Verschlüsselung

Tresor-Inhalte werden lokal auf Ihrem Gerät mit AES-256 verschlüsselt, bevor sie unsere Server erreichen. Wir können sie technisch nicht lesen.

Kein Tracking, kein Profiling

Wir analysieren Ihre Tresor-Inhalte nicht, leiten keine Daten an Werbe- oder Analyse-Dienste weiter und verkaufen niemals Kundendaten.

DSGVO-konform

Vollständige Konformität mit Art. 28 und Art. 32 DSGVO. Server-Hosting nach EU-Recht, klare Verarbeitungs-Dokumentation.

AVV verfügbar

Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Auf Anfrage als gegengezeichnetes PDF, in den nächsten Releases auch direkt im Admin-Panel.

Kein CLOUD Act

Aliru GmbH ist ein deutsches Unternehmen, alle Server stehen in Deutschland. US-Behörden haben keinen Zugriffshebel.

Verantwortlich im Sinne der DSGVO

Aliru GmbH, Julius-Hatry-Straße 1, 68163 Mannheim, Deutschland.
Geschäftsführer: Julian Kissel · Eintragung im Handelsregister Mannheim, HRB 739079.
Datenschutz-Kontakt: datenschutz@keynest.ai.

Für Geschäftskunden, deren Mitarbeiter:innen Key Nest nutzen, sind wir Auftragsverarbeiter; Verantwortlicher ist der jeweilige Arbeitgeber.

Welche Daten wir verarbeiten

  • Tresor-Inhalte (Passwörter, API-Keys, Notizen, Lizenzschlüssel) — ausschließlich verschlüsselt. Wir speichern Chiffrat, nicht Klartext. Der Entschlüsselungs-Schlüssel wird aus Ihrem Master-Passwort lokal abgeleitet und verlässt Ihr Gerät nie.
  • Account-Daten — E-Mail-Adresse, Name (optional), Sprache, 2FA-Status, Anmelde-Zeitpunkte.
  • Team-/Workspace-Daten — Mitgliedschaften, Rollen, geteilte Tresor-IDs, Berechtigungs-Matrix.
  • Audit-Log — wer hat wann auf welchen Tresor zugegriffen, ob ein Eintrag angelegt, geändert oder gelöscht wurde. Notwendig für Compliance und im Verdachtsfall.
  • Technische Metadaten — IP-Adresse, User-Agent, System-IDs, Fehlerprotokolle, Sicherheits-Events.
  • Abrechnungsdaten — bei zahlenden Plänen: Firmenname, Rechnungs­adresse, USt-IdNr., Zahlungsmittel-Tokens (über Stripe), Transaktions­historie.

Was wir niemals tun

  • Wir können Ihre Tresor-Inhalte nicht lesen. Die Zero-Knowledge- Architektur schließt das technisch aus — selbst wenn jemand uns dazu zwingen wollte.
  • Wir trainieren keine KI-Modelle mit Kundendaten — weder unsere eigenen noch fremde. Vertraglich zugesichert und technisch nicht möglich (Verschlüsselungs-Architektur).
  • Wir leiten keine Kundendaten an Werbe-, Tracking- oder Analyse-Dienste weiter.
  • Wir verkaufen oder vermieten keine Kundendaten — niemals.
  • Wir betreiben kein Profiling, keine Sentiment-Analyse, keine Persönlichkeits- Auswertung auf Basis Ihrer Tresor-Inhalte.

Zweck und Rechtsgrundlage

Die Verarbeitung erfolgt zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) bzw. bei Geschäftskunden als Auftragsverarbeiter auf dokumentierte Weisung (Art. 28 DSGVO):

Tresor-Speicherung
Speichern und Synchronisieren verschlüsselter Tresor-Items
Team-Sharing
Geteilte Tresore zwischen autorisierten Mitgliedern
Audit-Trail
Sicherheits- und Compliance-Anforderungen
2FA / MFA
Schutz des Master-Account-Zugangs
Account-Verwaltung
Anmeldung, E-Mail-Verifikation, Passwort-Reset
Abrechnung
Subscription-Management, Rechnungsstellung, Steuerpflicht

Wo Daten gespeichert werden

Sämtliche Anwendungsdaten und verschlüsselten Tresor-Chiffrate werden in den Rechenzentren der Hetzner Online GmbH in Nürnberg und Falkenstein gespeichert. Beide Standorte liegen in Deutschland und sind nach ISO/IEC 27001 zertifiziert. Wir nutzen keine US-Cloud-Anbieter für die Verarbeitung von Tresor-Inhalten.

Eine Übermittlung in Drittländer findet ausschließlich für die Zahlungsabwicklung über Stripe statt (EU → USA, abgesichert durch EU-Standardvertragsklauseln und DPF-Zertifizierung). Diese Übermittlung betrifft nur Abrechnungs-Metadaten — niemals Tresor-Inhalte.

Aufbewahrung und Löschung

Tresor-Items
Werden vom Nutzer selbst kontrolliert. Bei Löschung aus dem Tresor werden sie sofort entfernt; Backup-Bereinigung erfolgt mit 14-Tage-Rotation.
Audit-Logs
12 Monate ab Aktion, danach automatische Bereinigung.
Account-Daten
Bis zur Account-Löschung durch den Nutzer; danach 30 Tage Kulanz, dann irreversibel entfernt.
Rechnungsdaten
10 Jahre gemäß § 147 AO / § 257 HGB (gesetzliche Aufbewahrungspflicht).
Backups
14 Tage rollierend, AES-256-verschlüsselt, in einem zweiten Rechenzentrum.

Ihre Rechte nach Art. 15–22 DSGVO

Sie haben jederzeit das Recht auf:

  • Auskunft (Art. 15): Übersicht aller personenbezogenen Daten, die wir über Sie verarbeiten. Auf Anfrage liefern wir technisch innerhalb von 5 Werktagen einen vollständigen JSON-Export.
  • Berichtigung (Art. 16): Korrektur unrichtiger Daten — selbst direkt in den Account-Einstellungen oder per E-Mail an uns.
  • Löschung (Art. 17, „Recht auf Vergessenwerden"): Sie können Ihr Konto und sämtliche zugehörigen Daten jederzeit löschen. Die Löschung wird sofort wirksam; Backups bereinigen sich innerhalb von 14 Tagen.
  • Einschränkung der Verarbeitung (Art. 18): Solange Sie die Richtigkeit Ihrer Daten anzweifeln oder einen Widerspruch geltend gemacht haben, kennzeichnen wir betroffene Datensätze entsprechend.
  • Datenübertragbarkeit (Art. 20): Strukturierter, maschinenlesbarer Export als JSON — direkt an einen anderen Anbieter weitergebbar.
  • Widerspruch (Art. 21): Verarbeitung auf Basis berechtigten Interesses (z. B. Audit-Logs zur Sicherheit) kann jederzeit widersprochen werden.
  • Keine automatisierten Entscheidungen (Art. 22): Key Nest trifft keine automatisierten Entscheidungen mit rechtlicher Wirkung gegenüber Personen.

Anfragen richten Sie bitte an datenschutz@keynest.ai — wir antworten innerhalb von 5 Werktagen. Wenn Ihr Arbeitgeber Key Nest nutzt, wenden Sie sich an dessen Datenschutzbeauftragten; wir handeln dann im Auftrag des Verantwortlichen.

Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Verschlüsselung: Sämtliche Datenübertragungen erfolgen TLS-verschlüsselt (mindestens TLS 1.2, bevorzugt TLS 1.3). HSTS ist auf allen öffentlichen Endpunkten aktiv. HTTP-Anfragen werden auf HTTPS umgeleitet. Tresor-Inhalte werden zusätzlich client-seitig mit AES-256-GCM verschlüsselt, der Schlüssel wird via Argon2id aus dem Master-Passwort abgeleitet — wir verarbeiten ausschließlich Chiffrat.

Passwort-Speicherung: Master-Passwort wird nie übertragen oder gespeichert. Account-Passwörter (falls separat genutzt) werden mit bcrypt (Cost ≥ 10) gehasht. API-Keys werden gehasht abgelegt und nur einmalig bei Erstellung im Klartext angezeigt.

Zugangskontrolle: Administrative Zugriffe auf Produktionssysteme laufen ausschließlich über SSH mit asymmetrischer Schlüsselauthentifizierung — Passwort-Login ist deaktiviert. Mitarbeiter-Accounts auf Plattform- und Cloud-Konsolen sind durch TOTP-basierte Zwei-Faktor-Authentifizierung geschützt.

Mandantentrennung: Jede Workspace ist logisch über eine UUID gegen alle anderen abgegrenzt. Cross-Tenant-Lesezugriff ist technisch nicht möglich.

Backups & Wiederherstellung: Tägliche automatisierte Backups, 14 Tage rollierend, AES-256-verschlüsselt, in einem zweiten Rechenzentrum. RTO 4 h, RPO max. 24 h.

Incident Response: Dokumentierter Prozess mit Eskalation, Meldung an betroffene Kunden binnen 24 h nach Bekanntwerden. Behörden­meldung nach Art. 33 DSGVO (72-h-Frist) liegt beim Verantwortlichen — wir unterstützen mit allen notwendigen Informationen.

Auftragsverarbeitungsvertrag (AVV)

Sobald Sie Key Nest geschäftlich nutzen und Mitarbeiterdaten verarbeitet werden, schließen wir mit Ihnen einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Der AVV enthält Anlagen zu Verarbeitungszwecken, Sub-Auftragsverarbeitern, technisch- organisatorischen Maßnahmen und Datenschutz-Verfahrensverzeichnis.

Anforderung formlos per E-Mail an datenschutz@keynest.ai. Sie erhalten in der Regel binnen 24 h ein gegengezeichnetes PDF mit Ihren Firmendaten.

Buchungsformular auf dieser Website

Zur Vereinbarung eines Verkaufs- oder Demo-Termins binden wir auf den Marketing-Seiten ein Formular von Microsoft Dynamics 365 Marketing ein. Das Formular- Skript (FormLoader.bundle.js) wird von einem Microsoft-Endpunkt geladen; das Formular sendet die eingegebenen Daten an die europäische D365-Marketing-Instanz unserer Vertriebsorganisation (Aliru GmbH).

Das Skript wird erst nach Ihrer ausdrücklichen Zustimmung geladen (Klick auf „Formular laden"). Bis dahin wird keine Verbindung zu Microsoft hergestellt. Ihre Zustimmung speichern wir lokal in Ihrem Browser unter dem Schlüssel keynest_d365_consent; Sie können sie jederzeit widerrufen, indem Sie diesen Eintrag in den Browser-Entwicklertools löschen.

An Microsoft übertragen werden: IP-Adresse, Browser-Informationen (User-Agent), Referrer, technische Verbindungsdaten sowie — beim Absenden — die im Formular eingegebenen Daten (Vorname, Nachname, E-Mail-Adresse) und automatisch generierte Zusatzinformationen aus der vorgelagerten ROI-Schätzung (Unternehmensgröße, geschätzte Lizenzanzahl, errechnete Zeitersparnis).

Rechtsgrundlage: Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO sowie § 25 Abs. 1 TTDSG. Empfänger: Microsoft Ireland Operations Ltd. (EU-Instanz) und Microsoft Corporation (USA, Loader-Skript). Die Datenübertragung in die USA ist durch das EU-US Data Privacy Framework und EU-Standardvertragsklauseln abgesichert. Speicherdauer: Bei Abschicken des Formulars werden die Daten in unserem CRM (D365 Sales) bis zur Beendigung der Vertriebskontakt-Beziehung verarbeitet, längstens 36 Monate ab letztem Kontakt.

Sub-Auftragsverarbeiter

Wir setzen folgende Sub-Auftragsverarbeiter ein. Eine aktualisierte Liste ist Anlage 3 des AVV; Änderungen werden mit 30 Tagen Vorlauf angekündigt.

Hetzner Online GmbH
Hosting der Anwendung, Datenbank und verschlüsselten Tresor-Chiffrate (Standort: Deutschland)
Stripe Payments Europe Ltd.
Zahlungsabwicklung für zahlende Pläne (EU/USA, DPF + EU-SCC)
Microsoft Ireland Operations Ltd.
Transaktionale E-Mails (Login-Verifikation, Passwort-Reset) via Microsoft Graph
Microsoft Dynamics 365 Marketing
Einbettung des Buchungsformulars auf Marketing-Seiten (EU-Instanz; Loader-Skript aus den USA, abgesichert durch EU-SCC und EU-US DPF). Laden nur nach Einwilligung.

Kontakt zum Thema Datenschutz

Bei Fragen, Hinweisen oder zur Wahrnehmung Ihrer Rechte erreichen Sie uns unter:

Aliru GmbH
Julius-Hatry-Straße 1, 68163 Mannheim
E-Mail: datenschutz@keynest.ai

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig für Aliru GmbH ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg.