Datenschutzerklärung

Stand: April 2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist:

Tobias Bulla, Franz‑Joseph‑Str. 11, 80801 München, Deutschland

E‑Mail: support@topolis.de

2. Was AppSync ist

AppSync ist ein selbst gehosteter Authentifizierungs‑ und Synchronisations­dienst für eine kleine Anzahl persönlicher Anwendungen. Es handelt sich nicht um einen öffentlichen Dienst. Eine Registrierung ist nur nach manueller Freigabe für die jeweilige Anwendung möglich.

3. Welche Daten verarbeitet werden

Beim Aufruf der Website

Beim Aufruf werden technische Verbindungsdaten verarbeitet:

  • IP‑Adresse
  • Browsertyp und Version (User‑Agent)
  • Datum und Uhrzeit des Zugriffs
  • Aufgerufene Seite

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Bereitstellung und Sicherheit des Dienstes). Diese Daten werden nicht zu Profilen zusammengeführt und nicht an Dritte weitergegeben.

Bei der Registrierung und Anmeldung

Für ein Konto verarbeite ich:

  • Benutzername
  • E‑Mail‑Adresse
  • Passwort (ausschließlich als Bcrypt‑Hash)
  • Sprachpräferenz
  • Bestätigungsstatus der E‑Mail‑Adresse
  • Optional: TOTP‑Geheimnis (verschlüsselt) und Wiederherstellungs­codes (gehasht) zur Zwei‑Faktor‑Authentifizierung
  • Zeitpunkte von Erstellung und Änderung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Bereitstellung des Dienstes auf deine Anforderung).

Sicherheitsprotokoll

Zum Schutz vor Missbrauch werden für eine begrenzte Zeit gespeichert:

  • Fehlgeschlagene Anmeldeversuche pro IP‑Adresse (max. 24 Stunden)
  • Sicherheits­ereignisse (z. B. Anmeldung, 2FA‑Aktivierung, Passwort­zurücksetzung) mit Zeitstempel, IP‑Adresse, User‑Agent und Ereignistyp (Standard‑Speicherdauer: 90 Tage, höchstens 365 Tage)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit des Dienstes).

Cookies

Es werden ausschließlich technisch notwendige Cookies gesetzt:

  • appsync_sso: Sitzungs‑Cookie nach erfolgreicher Anmeldung (HttpOnly, SameSite=Lax, max. 7 Tage).
  • _csrf: Schutz gegen Cross‑Site‑Request‑Forgery.
  • lang: Speichert die gewählte Sprache (max. 1 Jahr).

Es werden keine Tracking‑, Analyse‑ oder Werbe‑Cookies verwendet. Eine Einwilligung nach § 25 TTDSG ist daher nicht erforderlich.

4. Empfänger und Auftragsverarbeitung

Personenbezogene Daten werden nicht an Dritte weitergegeben. Der Dienst läuft auf einem von mir betriebenen Server. E‑Mails werden über das lokale Mailsystem des Servers versendet. Es findet keine Übermittlung in Drittländer statt.

5. Speicherdauer

Daten Aufbewahrung
Konto­daten (Benutzername, E‑Mail, Passwort‑Hash, 2FA) bis zur Löschung des Kontos
Sitzungen max. 7 Tage
E‑Mail‑Tokens (Bestätigung, Passwort­zurücksetzung) max. 24 Stunden
Refresh‑Tokens max. 30 Tage
Fehlgeschlagene Anmeldeversuche max. 24 Stunden
Sicherheits­ereignisse 90 Tage (konfigurierbar bis 365)

6. Deine Rechte

Du hast nach DSGVO jederzeit das Recht auf:

  • Auskunft (Art. 15) – über das Profil verfügbar als Datenexport (JSON).
  • Berichtigung (Art. 16) – über das Profil änderbar.
  • Löschung (Art. 17) – über das Profil als „Konto löschen" verfügbar; löscht alle persönlichen Daten unwiderruflich.
  • Einschränkung der Verarbeitung (Art. 18)
  • Widerspruch gegen die Verarbeitung (Art. 21)
  • Datenübertragbarkeit (Art. 20) – siehe Datenexport oben.
  • Beschwerde bei einer Aufsichtsbehörde (Art. 77) – zuständig ist das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), https://www.lda.bayern.de.

Anfragen an: support@topolis.de

7. Mindestalter

Die Nutzung des Dienstes ist Personen ab 16 Jahren vorbehalten (Art. 8 DSGVO, § 8 BDSG).

8. Änderungen

Diese Datenschutz­erklärung kann angepasst werden, wenn sich der Funktions­umfang des Dienstes ändert. Die jeweils aktuelle Fassung ist über diese Seite abrufbar.