Datenschutzerklärung
Diese Datenschutzerklärung gilt für den von der blueredix GmbH unter scan.blueredix.com betriebenen Schwachstellenscanner-Dienst (der „Dienst"). Sie beschreibt, welche personenbezogenen Daten wir verarbeiten, auf welcher Rechtsgrundlage, wie lange und welche Rechte Ihnen nach der Datenschutz-Grundverordnung (DSGVO) zustehen.
Informationen zum Datenschutz auf der Hauptwebsite blueredix.com finden Sie in unserem Impressum.
1. Verantwortlicher
Verantwortlicher im Sinne der DSGVO ist:
blueredix GmbH
Diemersgraben 1
98574 Schmalkalden
E-Mail: privacy@blueredix.com
2. Verarbeitete Daten
Bei der Nutzung des Dienstes verarbeiten wir folgende personenbezogene Daten:
| Daten | Zweck | Rechtsgrundlage |
|---|---|---|
| E-Mail-Adresse | Versand des Bestätigungslinks; Übermittlung des Ergebnislinks; Kommunikation zur Anfrage | Einwilligung – Art. 6 Abs. 1 lit. a DSGVO |
| Scan-Ziel (IP-Adresse oder Hostname) | Durchführung des angeforderten Schwachstellenscans | Einwilligung – Art. 6 Abs. 1 lit. a DSGVO; Vertragserfüllung – Art. 6 Abs. 1 lit. b DSGVO |
| Scan-Ergebnisse/Befunde | Übermittlung der Ergebnisse | Vertragserfüllung – Art. 6 Abs. 1 lit. b DSGVO |
| Session-Token (Cookie) | Authentifizierung während der Sitzung | Berechtigtes Interesse – Art. 6 Abs. 1 lit. f DSGVO |
| Einträge im Audit-Log | Unveränderliches Protokoll für Sicherheit und Nachvollziehbarkeit | Berechtigtes Interesse – Art. 6 Abs. 1 lit. f DSGVO |
| Server-Zugriffsprotokolle (IP, Zeitstempel, Pfad) | Sicherheitsmonitoring, Missbrauchsprävention | Berechtigtes Interesse – Art. 6 Abs. 1 lit. f DSGVO |
Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) werden nicht verarbeitet.
3. Speicherdauer
| Daten | Speicherdauer |
|---|---|
| E-Mail-Adresse, Scan-Ziel, Scan-Ergebnisse | 90 Tage nach Scan-Abschluss, danach dauerhafte Löschung |
| Nicht bestätigte E-Mail (Link nicht geklickt) | Wird sofort verworfen – nicht gespeichert |
| Session-Cookies | 7 Tage |
| Ergebnis-Zugriffstoken | 30 Tage ab Scan-Abschluss |
| Audit-Log-Einträge | Unbefristet; Anonymisierung (Akteur/Ziel durch „[gelöscht]" ersetzt) auf Löschantrag |
| Server-Zugriffsprotokolle | 7 Tage, danach automatische Löschung |
4. Empfänger und Auftragsverarbeiter
Wir beauftragen folgende Auftragsverarbeiter auf Grundlage von Datenverarbeitungsverträgen:
| Auftragsverarbeiter | Zweck | Standort |
|---|---|---|
| Hetzner Online GmbH | Server-Hosting (scan.blueredix.com läuft auf einem Hetzner-Server in Deutschland) | Deutschland (EU) |
| Resend Inc. | Versand von Transaktions-E-Mails (Bestätigungslinks, Ergebnis-Benachrichtigungen) | USA – Standardvertragsklauseln (SCC) gelten |
Ihre Daten werden weder verkauft noch an sonstige Dritte weitergegeben.
5. Datenübermittlungen in Drittländer
Resend Inc. ist in den USA ansässig. Wir haben mit Resend Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO (Beschluss 2021/914 der EU-Kommission) abgeschlossen, um ein angemessenes Schutzniveau zu gewährleisten. Alle übrigen Datenverarbeitungen finden ausschließlich innerhalb der EU statt.
6. Ihre Rechte
Gemäß DSGVO stehen Ihnen folgende Rechte zu:
- Auskunftsrecht (Art. 15 DSGVO) – Bestätigung, ob Daten über Sie verarbeitet werden, und Erhalt einer Kopie.
- Recht auf Berichtigung (Art. 16 DSGVO) – Korrektur unrichtiger Daten.
- Recht auf Löschung (Art. 17 DSGVO) – Löschung Ihrer Daten („Recht auf Vergessenwerden").
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) – Einschränkung, aber nicht Löschung Ihrer Daten.
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO) – Erhalt Ihrer Daten in einem strukturierten, maschinenlesbaren Format.
- Widerspruchsrecht (Art. 21 DSGVO) – Widerspruch gegen Verarbeitung auf Grundlage berechtigter Interessen.
- Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) – Widerruf jederzeit möglich; die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.
7. Löschantrag
Zur Beantragung der Löschung Ihrer Daten senden Sie bitte eine E-Mail an privacy@blueredix.com mit dem Betreff „Löschantrag" und der beim Scan verwendeten E-Mail-Adresse. Wir bearbeiten Ihren Antrag innerhalb von 30 Tagen und bestätigen die Löschung.
In jeder Ergebnis-Benachrichtigungs-E-Mail ist außerdem ein Löschlink enthalten.
Nach der Löschung: E-Mail-Adresse, Scan-Ziel und Scan-Ergebnisse werden dauerhaft gelöscht. Audit-Log-Einträge werden anonymisiert – sie bleiben aus Sicherheitsgründen erhalten, ermöglichen aber keine Identifizierung mehr.
8. Beschwerderecht
Sie haben das Recht, sich bei der zuständigen Datenschutzaufsichtsbehörde zu beschweren:
Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit
Häßlerstraße 8
99096 Erfurt
E-Mail: poststelle@tldi.thueringen.de
9. Änderungen dieser Erklärung
Wir behalten uns vor, diese Erklärung bei Änderungen des Dienstes oder der gesetzlichen Anforderungen zu aktualisieren. Das Datum oben auf dieser Seite zeigt den letzten Änderungsstand.
Zuletzt aktualisiert: 4. Mai 2026