Datenschutzerklärung

(encrypt.lu / decrypt.lu)

Zuletzt aktualisiert: 12. Februar 2026

1. Verantwortlicher

Verantwortlicher für die Datenverarbeitung nach der Verordnung (EU) 2016/679 (DSGVO) ist:

Marjan Skrobot
Einzelunternehmer
62, rue Marie-Adelaide, 2128, Luxemburg
Luxemburg
E-Mail: legal@encrypt.lu

Der Dienst wird unter den Handelsnamen encrypt.lu und decrypt.lu betrieben.

2. Art des Dienstes

decrypt.lu ist die empfangerseitige Seite des Dienstes. Sie ermöglicht das Öffnen geteilter Links und das Entschlüsseln von .enc-Dateien in Ihrem Browser. Alle Entschlüsselung und schlüsselbasierte Ableitung erfolgen ausschließlich in Ihrem Browser.

Der Betreiber:

  • Erhält keine Entschlüsselungsschlüssel
  • Erhält keine Passwörter
  • Kann gespeicherte Dateien nicht entschlüsseln
  • Hat keinen Zugriff auf entschlüsselte Dateiinhalte

Wenn Sie einen geteilten Link öffnen, werden nur verschlüsselte Daten (Chiffrat) vom Relais heruntergeladen; die Entschlüsselung erfolgt lokal in Ihrem Browser. Der Dienst speichert auf dem Relais nur verschlüsselte Daten.

3. Kategorien verarbeiteter Daten

3.1 Verschlossene Dateien

Beim Hochladen einer Datei:

  • Die Datei wird clientseitig verschlüsselt.
  • Nur die verschlüsselte Datei (Chiffrat) wird übertragen.
  • Der verschlüsselte Blob wird im Objektspeicher gespeichert.

Gespeicherte technische Metadaten umfassen:

  • Transfer-ID
  • Upload-Zeitstempel
  • Dateigröße (Bytes)
  • Download-Anzahl
  • Aufbewahrungseinstellung
  • Ablauf-Zeitstempel

Wir speichern nicht:

  • Klartext-Dateinamen
  • Dateiinhalte
  • Verschlüsselungsschlüssel
  • Passwörter

3.2 IP-basierte Missbrauchsprävention

Wir speichern keine rohen IP-Adressen.

Zur Missbrauchsprävention und Ratenbegrenzung:

  • Ein täglich wechselnder, nicht umkehrbarer gehashter Bezeichner wird aus der verbindenden IP abgeleitet.
  • Die ursprüngliche IP-Adresse wird nicht gespeichert.
  • Der abgeleitete Bezeichner läuft automatisch ab (in der Regel innerhalb von 24 Stunden).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f) DSGVO (berechtigtes Interesse — Dienstesicherheit und Missbrauchsprävention).

3.3 Aggregierte Nutzungsstatistiken

Wir erheben minimale, aggregierte, nicht identifizierende Statistiken:

  • Seitenaufrufe (nur Anzahl)
  • Verschlüsseln-Button-Klicks
  • Verschlüsselungsmodus-Auswahl
  • Aufbewahrungsoption-Auswahl
  • Löschen-nach-erstem-Download-Auswahl

Wir erheben nicht:

  • IP-Adressen
  • Tracking-Cookies
  • Sitzungsbezeichner
  • Geräte-Fingerabdrücke
  • Kontodaten

Diese Statistiken werden nur als aggregierte Zähler gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f) DSGVO (berechtigtes Interesse — Verbesserung des Dienstes).

3.4 Missbrauchsschutz über Cloudflare

Der Dienst nutzt Infrastruktur von Cloudflare, Inc. Bei Überschreitung von Missbrauchsschwellen kann Cloudflare Turnstile zur Abwehr automatisierter Missbrauchsnutzung eingesetzt werden.

Bei der Turnstile-Prüfung senden wir die IP-Adresse des Nutzers nicht an Cloudflare; nur das Verifizierungstoken wird übermittelt. So beschränken wir die mit Cloudflare geteilten Daten auf das für die Missbrauchsprävention erforderliche Minimum.

Cloudflare kann technische Informationen unabhängig als eigener Verantwortlicher verarbeiten. Internationale Datenübermittlungen werden durch geeignete Mechanismen abgesichert, einschließlich Standardvertragsklauseln.

4. Speicherung und Aufbewahrung

Nutzer können wählen:

  • 10 Minuten
  • 1 Stunde
  • 1 Tag
  • 3 Tage

Verschlüsselte Dateien werden nach Ablauf automatisch gelöscht. Ist „Löschen nach erstem Download“ aktiviert, erfolgt die Löschung unmittelbar nach erfolgreichem Download.

Der Betreiber garantiert keine absolute Löschung bei Systemausfall, höherer Gewalt oder Infrastrukturstörung. Die Löschmechanismen werden jedoch in gutem Glauben umgesetzt.

5. Sicherheitsmaßnahmen

Technische Maßnahmen umfassen:

  • Nur clientseitige Verschlüsselung
  • Argon2id zur passwortbasierten Schlüsselableitung
  • XChaCha20-Poly1305 authentifizierte Verschlüsselung
  • TLS-Transportverschlüsselung
  • Automatische Ablauf-Löschung
  • Keine Klartext-Dateispeicherung

Trotz dieser Maßnahmen kann kein System absolute Sicherheit garantieren. Nutzer bleiben für den Schutz ihrer Passwörter und Links verantwortlich.

6. Ihre Rechte

Nach der DSGVO können Sie geltend machen:

  • Recht auf Auskunft
  • Recht auf Berichtigung
  • Recht auf Löschung
  • Recht auf Einschränkung
  • Recht auf Widerspruch

Aufgrund des minimalen und nicht identifizierbaren Charakters der gespeicherten Daten kann die Ausübung bestimmter Rechte technisch nicht möglich sein.

Sie können Beschwerde einlegen bei:

Commission nationale pour la protection des données (CNPD)

7. Keine Gewähr für Datenwiederherstellung

Da Verschlüsselungsschlüssel niemals an den Betreiber übermittelt werden:

  • Verlorene Passwörter können nicht wiederhergestellt werden.
  • Verlorene Links können nicht wiederhergestellt werden.
  • Gelöschte Dateien können nicht wiederhergestellt werden.

Der Betreiber hat keine technische Möglichkeit, Nutzerdaten wiederherzustellen.

8. Änderungen dieser Erklärung

Diese Datenschutzerklärung kann jederzeit aktualisiert werden. Die aktuelle Fassung ist stets auf dieser Seite verfügbar.