Datenschutzerklärung
Stand: Februar 2026
1. Verantwortliche Stelle
SSIG-IT GmbH
Zum weißen Jura 3
89143 Blaubeuren
E-Mail: datenschutz@secretexpiry.com
2. Überblick der Verarbeitungen
SecretExpiry ist ein B2B-SaaS-Dienst, der Microsoft-Entra-App-Registrierungen überwacht und Nutzer rechtzeitig per E-Mail über ablaufende Client Secrets und Zertifikate informiert. Diese Datenschutzerklärung informiert Sie über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten im Rahmen der Nutzung von SecretExpiry.
3. Rechtsgrundlagen
Die Verarbeitung personenbezogener Daten erfolgt auf Basis folgender Rechtsgrundlagen:
- Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung: Verarbeitung von E-Mail-Adresse, Tenant-IDs und Metadaten zur Erbringung des Dienstes.
- Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse: Fehlerüberwachung (Sentry), Rate Limiting und Missbrauchsschutz (Cloudflare Turnstile, Upstash Redis).
- Art. 6 Abs. 1 lit. a DSGVO – Einwilligung: Microsoft Admin Consent zur Erteilung von API-Berechtigungen für die Überwachung von App-Registrierungen.
4. Erhobene Daten
SecretExpiry verarbeitet folgende personenbezogene Daten zur Bereitstellung des Dienstes:
- E-Mail-Adresse – Login via Magic Link (Supabase Auth), Benachrichtigungsversand
- Microsoft Entra Tenant-ID – Zuordnung der überwachten Tenants
- Metadaten von App-Registrierungen – Name, Ablaufdaten von Secrets und Zertifikaten, Anzeigename der Applikation (keine echten Secret-Werte)
- Sprachpräferenz – Deutsch oder Englisch, für lokalisierte E-Mails
- Abrechnungsdaten – Stripe Customer-ID, Abonnementstatus, Abrechnungsintervall, Lizenzanzahl
- IP-Adresse – Temporär für Rate Limiting (nicht dauerhaft gespeichert)
5. Zero-Knowledge-Architektur
SecretExpiry liest ausschließlich Metadaten über die Microsoft Graph API mit der Berechtigung Application.Read.All. Echte Secret-Werte, Passwörter oder private Zertifikatsschlüssel werden zu keinem Zeitpunkt abgerufen, übertragen oder gespeichert.
6. Hosting & Auftragsverarbeiter
Folgende Drittanbieter verarbeiten personenbezogene Daten in unserem Auftrag. Mit allen Auftragsverarbeitern bestehen Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO bzw. Standardvertragsklauseln (SCCs) bei Drittlandstransfer:
| Anbieter | Zweck | Standort |
|---|---|---|
| Vercel Inc. | Hosting, Serverless Functions | EU-Region (Frankfurt) |
| Supabase Inc. | PostgreSQL-Datenbank, Authentifizierung | EU-Region (Frankfurt) |
| Stripe Inc. | Zahlungsabwicklung, Abonnementverwaltung | USA (SCCs/DPA vorhanden) |
| Resend Inc. | Transaktionale E-Mails (Benachrichtigungen, Onboarding) | USA (SCCs/DPA vorhanden) |
| Upstash Inc. | Rate Limiting (Redis) | EU-Region |
| Functional Software Inc. (Sentry) | Fehlerüberwachung, Performance-Monitoring | USA (SCCs/DPA vorhanden) |
| Cloudflare Inc. | Bot-Schutz (Turnstile CAPTCHA) | Global (SCCs/DPA vorhanden) |
| Microsoft Corporation | Graph API (Lesen von App-Registrierungsmetadaten) | Global (SCCs/DPA vorhanden) |
7. Cookies & Lokale Speicherung
SecretExpiry verwendet ausschließlich technisch notwendige Cookies zur Sitzungsverwaltung (Supabase Auth). Es werden keine Tracking-, Marketing- oder Analyse-Cookies eingesetzt.
| Cookie | Zweck | Dauer | Typ |
|---|---|---|---|
sb-*-auth-token | Authentifizierung & Sitzungsverwaltung | Sitzung / 7 Tage | Technisch notwendig |
Da ausschließlich technisch notwendige Cookies verwendet werden, ist gemäß § 25 Abs. 2 Nr. 2 TDDDG keine Einwilligung (Cookie-Banner) erforderlich.
8. E-Mail-Kommunikation
SecretExpiry versendet folgende transaktionale E-Mails:
- Onboarding-E-Mail (hello@secretexpiry.com) – Nach erfolgreicher Verbindung eines Tenants mit Willkommensnachricht und nächsten Schritten.
- Ablaufwarnungen (alerts@secretexpiry.com) – Wenn ein Secret oder Zertifikat demnächst abläuft (konfigurierbar: 90, 30, 14, 7, 1 Tage vorher).
- Verbindungsverlust (alerts@secretexpiry.com) – Wenn die Synchronisierung eines Tenants wiederholt fehlschlägt und der Tenant automatisch deaktiviert wird.
- Magic Link (via Supabase) – Einmaliger Anmeldelink per E-Mail.
Es werden keine Werbe- oder Marketing-E-Mails versendet. Der E-Mail-Versand wird bei Bounces automatisch eingestellt (Bounce-Handling via Resend-Webhooks).
9. Datensicherheit
Wir setzen folgende technische und organisatorische Maßnahmen ein:
- TLS-Verschlüsselung für alle Datenübertragungen (HTTPS, HSTS)
- Row-Level Security (RLS) in der Datenbank – jeder Nutzer sieht nur seine eigenen Daten
- AES-256-GCM-Verschlüsselung für OAuth-State-Parameter (10-Minuten-TTL)
- Content Security Policy (CSP) zum Schutz vor Cross-Site-Scripting
- Rate Limiting zum Schutz vor Brute-Force- und Missbrauchsangriffen
- Bot-Schutz (Cloudflare Turnstile) beim Login
- Validierung gegen Wegwerf-E-Mail-Domains
10. Speicherdauer
- Nutzerdaten – Werden gespeichert, solange das Konto besteht. Bei Kontolöschung werden alle Daten unverzüglich und vollständig gelöscht (kaskadierend: Tenants, App-Registrierungen, Secrets, Benachrichtigungseinstellungen).
- Abrechnungsdaten – Gemäß gesetzlicher Aufbewahrungsfristen (§ 147 AO, § 257 HGB) bis zu 10 Jahre.
- Stripe-Webhook-Events – Maximal 90 Tage zur Sicherstellung der Zahlungsidempotenz.
- Fehlerlogs (Sentry) – Gemäß der Sentry-Retention-Policy, standardmäßig 90 Tage.
- Rate-Limiting-Daten (IP-Adressen) – Maximal 1 Minute (Sliding Window), danach automatisch gelöscht.
11. Betroffenenrechte
Sie haben jederzeit folgende Rechte gemäß DSGVO:
- Auskunft (Art. 15) – Welche Daten über Sie gespeichert sind
- Berichtigung (Art. 16) – Korrektur unrichtiger Daten
- Löschung (Art. 17) – Löschung Ihrer Daten ("Recht auf Vergessenwerden")
- Einschränkung (Art. 18) – Einschränkung der Verarbeitung
- Datenübertragbarkeit (Art. 20) – Export Ihrer Daten in einem gängigen Format
- Widerspruch (Art. 21) – Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen
- Widerruf der Einwilligung (Art. 7 Abs. 3) – Jederzeit mit Wirkung für die Zukunft
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: datenschutz@secretexpiry.com
12. Beschwerderecht bei der Aufsichtsbehörde
Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu (Art. 77 DSGVO). Die zuständige Aufsichtsbehörde richtet sich nach dem Sitz des Verantwortlichen.
13. Drittlandstransfer
Soweit Daten in Drittländer (insbesondere die USA) übertragen werden, erfolgt dies auf Grundlage von Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO und/oder dem EU-U.S. Data Privacy Framework (DPF). Die eingesetzten Auftragsverarbeiter (Stripe, Resend, Sentry, Cloudflare) unterliegen entsprechenden Garantien.
14. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen des Dienstes anzupassen. Die jeweils aktuelle Fassung finden Sie stets auf dieser Seite. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.