Datenschutzerklärung

1. Verantwortlicher und Kontakt

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Für Anfragen zum Datenschutz wenden Sie sich bitte per E-Mail an support@digitmedia.de. Ein gesetzlich benannter Datenschutzbeauftragter ist nicht erforderlich.

2. Allgemeine Hinweise

Diese Datenschutzerklärung informiert Sie gemäß Art. 13 DSGVO über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten bei der Nutzung von KoSync.eu, einem kostenlosen KoSync-Synchronisationsdienst.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Die Nutzung des Dienstes ist freiwillig; ohne Registrierung ist keine Synchronisation möglich.

3. Bereitstellung der Website und Server-Logfiles

Bei jedem Aufruf dieser Website werden automatisch folgende Daten in Server-Logs erfasst:

• IP-Adresse des anfragenden Geräts
• Datum und Uhrzeit des Zugriffs
• Aufgerufene URL und HTTP-Methode
• HTTP-Statuscode und übertragene Datenmenge
• Referrer-URL (sofern übermittelt)
• Browser und Betriebssystem (User-Agent, gekürzt auf 128 Zeichen)

Sicherheitsrelevante Header wie Cookie, Authorization und X-CSRF-Token werden niemals geloggt.

Zweck: Sicherstellung des Betriebs, Fehlerbehebung, Abwehr von Missbrauch.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem Betrieb).
Speicherdauer: 7 Tage, danach automatische Löschung.

4. Verschlüsselung

Diese Website verwendet ausschließlich HTTPS (TLS 1.2 oder höher). Alle Datenübertragungen zwischen Ihrem Gerät und unseren Servern sind vollständig verschlüsselt. Unverschlüsselte HTTP-Verbindungen werden automatisch auf HTTPS umgeleitet.

5. Cookies und vergleichbare Technologien

KoSync.eu verwendet ausschließlich technisch notwendige Cookies, die für den Betrieb des Dienstes unbedingt erforderlich sind. Tracking-, Werbe- oder Marketing-Cookies werden nicht eingesetzt. Die Webanalyse erfolgt ohne Cookies (vgl. § 9).

Da ausschließlich technisch notwendige Cookies eingesetzt werden, ist keine Einwilligung gemäß § 25 Abs. 2 Nr. 2 TDDDG erforderlich.

Eingesetzte Cookies dienen ausschließlich der Sitzungsverwaltung und dem CSRF-Schutz. Sie sind als HttpOnly, Secure und SameSite=Strict konfiguriert und können nicht durch JavaScript ausgelesen werden.

6. Nutzerkonto und Registrierung

Bei der Registrierung werden folgende Daten erhoben:

• Benutzername (3–32 Zeichen, frei wählbar)
• Passwort-Hash (bcrypt über MD5-Vorstufe — das Klartextpasswort wird nicht gespeichert)
• E-Mail-Adresse (optional, ausschließlich für Passwort-Reset)
• Erstellungsdatum des Accounts
• Zeitpunkt der letzten Synchronisation

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Bereitstellung des Sync-Dienstes).
Speicherdauer: Bis zur Löschung des Accounts durch den Nutzer (im Dashboard jederzeit möglich).

7. KoSync-Synchronisationsdienst

Für die Synchronisation Ihres Lesefortschritts werden folgende Daten verarbeitet:

• Dokument-Hash — ein technischer Fingerabdruck des Dokuments (kein Buchinhalt, kein Titel)
• Leseposition — internes KOReader-Positions-Token (kein Klartext)
• Lesefortschritt — Prozentwert (0–100 %)
• Geräte-ID — pseudonymer Hash zur Geräteidentifikation
• Gerätename — Anzeigename des Lesegeräts
• Metadaten — optionale JSON-Daten (max. 16 KB) zur Synchronisation weiterer Parameter
• IP-Adresse und User-Agent — für Sicherheits-Logs und Geräteerkennung

Es werden keine Buchinhalte, keine Buchtitel und keine Metadaten aus Lesematerialien gespeichert. Der Dokument-Hash ist ein technischer Wert, der keine Rückschlüsse auf den Titel oder Inhalt erlaubt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Speicherdauer: Synchronisationsdaten bis zur Account-Löschung; Sync-Ereignisse (Aktivitätsverlauf) werden nach 90 Tagen automatisch gelöscht.

8. Audit-Logs und Sicherheits-Logs

Zur Sicherstellung des Betriebs und zur Abwehr von Missbrauch werden folgende Ereignisse protokolliert: Registrierung, Anmeldung (Erfolg und Fehlschlag), Passwort-Rücksetzung, Account-Löschung sowie administrative Aktionen. Protokolliert werden Zeitpunkt, Aktion, Akteur und IP-Adresse.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit).
Speicherdauer: Audit-Einträge werden dauerhaft gespeichert; IP-Adressen in Audit-Logs werden nach 365 Tagen automatisch gelöscht (anonymisiert). Sync-Ereignisse werden nach 90 Tagen automatisch gelöscht.

9. Passwort-Reset per E-Mail

Wenn Sie eine E-Mail-Adresse hinterlegt haben und eine Passwort-Zurücksetzung beantragen, wird eine E-Mail mit einem individuellen, zeitlich begrenzten Reset-Link versendet.

• Verarbeitete Daten: E-Mail-Adresse des Empfängers, Reset-Token (gehashter Einmalwert)
• Token-Gültigkeit: 1 Stunde, danach automatisch ungültig
• Versand über eigenen Mailserver (Digitmedia e.K.) — kein externer Mail-Dienstleister

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Kontowiederherstellung).
Speicherdauer: Reset-Token werden nach Ablauf oder Einlösung sofort gelöscht. Die E-Mail-Adresse bleibt bis zur Account-Löschung gespeichert.

10. Webanalyse mit Matomo

Diese Website nutzt Matomo, eine Open-Source-Software zur Webanalyse. Die Matomo-Instanz wird selbst betrieben auf Servern der Digitmedia e.K. bei Hetzner Online GmbH in Deutschland (analytics.digitmedia.de). Es werden keine Daten an Dritte übermittelt.

Matomo wird ohne Cookies und ohne Zugriff auf das Endgerät betrieben. Da keine Informationen auf dem Endgerät gespeichert oder ausgelesen werden, ist keine Einwilligung nach § 25 TDDDG erforderlich.

Erfasst werden: Seitenaufrufe, Verweildauer, Referrer-URLs, Bildschirmauflösung, Browser, Betriebssystem sowie eine anonymisierte IP-Adresse (die letzten zwei Oktette werden vor der Speicherung entfernt). Eine Zuordnung zu einzelnen Personen ist nicht möglich.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Reichweitenmessung und Verbesserung des Dienstes).
Matomo-Tracking ist nur auf öffentlichen Seiten aktiv. Im eingeloggten Bereich (Dashboard) findet kein Tracking statt.

11. Kontaktaufnahme per E-Mail

Wenn Sie uns per E-Mail kontaktieren, werden die übermittelten Daten (E-Mail-Adresse, Betreff, Inhalt) zur Bearbeitung Ihrer Anfrage verarbeitet. Diese Daten werden nicht ohne Ihre Einwilligung an Dritte weitergegeben.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b oder lit. f DSGVO.
Speicherdauer: Bis zur vollständigen Klärung Ihres Anliegens, bei Geschäftsbriefen gemäß handels- und steuerrechtlicher Aufbewahrungsfristen (6–10 Jahre).

12. Auftragsverarbeiter und Empfänger

Die Server von KoSync.eu werden bei folgendem Dienstleister betrieben, mit dem ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO besteht:

Darüber hinaus werden keine personenbezogenen Daten an Dritte weitergegeben. Es sind keine weiteren externen Auftragsverarbeiter oder Empfänger eingebunden.

13. Drittlandübermittlung

Eine Übermittlung personenbezogener Daten in Drittländer (Länder außerhalb der EU/des EWR) findet nicht statt. Alle Verarbeitungen erfolgen auf Servern in Deutschland.

14. Ihre Betroffenenrechte

Sie haben gegenüber uns folgende Rechte:

• Auskunft (Art. 15 DSGVO): Sie können Auskunft über die zu Ihrer Person gespeicherten Daten verlangen.
• Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
• Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen. Accounts können Sie jederzeit selbst im Nutzerdashboard löschen.
• Einschränkung (Art. 18 DSGVO): Sie können unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung verlangen.
• Datenübertragbarkeit (Art. 20 DSGVO): Sie können eine Kopie Ihrer Daten in maschinenlesbarem Format anfordern.
• Widerspruch (Art. 21 DSGVO): Bei Verarbeitungen auf Basis des berechtigten Interesses (Art. 6 Abs. 1 lit. f) können Sie Widerspruch einlegen.

Zur Ausübung dieser Rechte wenden Sie sich per E-Mail an support@digitmedia.de.

15. Beschwerderecht bei der Aufsichtsbehörde

Gemäß Art. 77 DSGVO haben Sie das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt.

Die zuständige Aufsichtsbehörde für Nordrhein-Westfalen ist:

16. Automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO findet nicht statt.

17. Technische und organisatorische Maßnahmen

Wir setzen gemäß Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen um, um Ihre Daten zu schützen:

• Ausschließliche Übertragung per TLS 1.2 oder höher (HTTPS)
• Passwort-Hashing mit bcrypt (kein Klartextpasswort wird gespeichert)
• HMAC-signierte, serverseitig verwaltete Sitzungs-Tokens
• CSRF-Schutz auf allen Formularen
• Rate-Limiting und automatische Sperrung bei zu vielen Fehlversuchen
• Append-only Audit-Logs (unveränderliche Sicherheitsprotokolle)
• Keine Speicherung von Cookies durch Tracking-Dienste
• Server-Hosting ausschließlich in Deutschland
• Regelmäßige Backups der Datenbank

18. Aktualität dieser Datenschutzerklärung

Diese Datenschutzerklärung hat den Stand 1. Mai 2026. Wir behalten uns vor, sie bei Änderungen des Dienstes oder der Rechtslage zu aktualisieren. Die jeweils aktuelle Fassung finden Sie stets unter kosync.eu/datenschutz.