Datenschutzerklärung

Wir erheben die folgenden Datenkategorien, wenn Sie SMSCode nutzen:

Kontodaten

• E-Mail-Adresse (für Anmeldung und Benachrichtigungen).
• Passwort (gespeichert als argon2-Hash — wir speichern niemals Klartext-Passwörter).

Google-Sign-In-Daten

Wenn Sie sich über Google anmelden, greifen wir auf folgende Daten Ihres Google-Kontos zu:

• E-Mail-Adresse — Wird als Kontoidentifikation und für die Servicekommunikation verwendet.
• Google-Benutzer-ID — Wird verwendet, um Ihr Google-Konto mit Ihrem SMSCode-Konto zu verknüpfen.

Wir fordern nur die für die Authentifizierung minimal erforderlichen Berechtigungen an (email und openid). Wir greifen nicht auf Ihre Google-Kontakte, Ihren Kalender, Google Drive oder andere Google-Dienste zu.

Transaktionsdaten

• Bestellhistorie (Nummernvermietungen, Dienst, Land, Zeitstempel, Status).
• Einzahlungshistorie (Beträge, Zahlungsmethode, Status).
• Kontoguthaben und Transaktionsaufzeichnungen.

Daten der mobilen App

• Firebase Cloud Messaging (FCM) Geräte-Token — Werden für die Zustellung von Push-Benachrichtigungen über Bestellaktualisierungen und Kontoaktivitäten verwendet.
• Push-Benachrichtigungseinstellungen (aktiviert/deaktiviert).
• Gerätename (optional, zur Identifikation von Geräten in Ihrem Konto).

Nutzungsdaten

• IP-Adresse und ungefährer Standort.
• Geräte- und Browserinformationen (User Agent).
• Serverprotokolle (Zeitstempel der Anfragen, aufgerufene Endpunkte).

API-Nutzungsdaten

• API-Anfragenprotokolle (Endpunkte, Zeitstempel, Antwortcodes).
• Rate-Limit-Zähler.

• Diensterbringung — Verarbeitung von Nummernvermietungen, Verwaltung Ihres Guthabens und Auftragsabwicklung.
• Authentifizierung — Ihre E-Mail-Adresse und Google-Benutzer-ID (bei Nutzung von Google Sign-In) werden ausschließlich zur Kontoauthentifizierung und -identifikation verwendet. Wir nutzen Google-Benutzerdaten nicht für Werbung, Profilerstellung oder Zwecke, die nicht mit der Bereitstellung des SMSCode-Dienstes zusammenhängen.
• Push-Benachrichtigungen — FCM-Geräte-Token werden ausschließlich zur Zustellung von Bestellaktualisierungen, Einzahlungsbestätigungen und Kontosicherheitswarnungen auf Ihrem Mobilgerät verwendet.
• Betrugsprävention — Erkennung und Verhinderung von Missbrauch, unbefugtem Zugriff und Richtlinienverstößen.
• Analysen — Verständnis von Nutzungsmustern zur Verbesserung der Plattformzuverlässigkeit und -leistung.
• Support — Beantwortung Ihrer Anfragen und Lösung von Problemen mit Ihrem Konto oder Ihren Bestellungen.
• Kommunikation — Versand dienstbezogener Benachrichtigungen (Bestellaktualisierungen, Sicherheitswarnungen). Wir versenden keine Marketing-E-Mails ohne Ihre Einwilligung.

• OTP-Codes sind flüchtig — Empfangene SMS-Inhalte (OTP-Codes) werden Ihnen in Echtzeit angezeigt und nach Ablauf oder Abschluss der Bestellung nicht langfristig gespeichert.
• Telefonnummern sind temporär — Gemietete Nummern sind vorübergehend und werden nach Ablauf der Mietdauer wiederverwendet. Wir verknüpfen gemietete Nummern über die aktive Bestellung hinaus nicht mit Ihrer Identität.
• Keine Anrufdaten — SMSCode verarbeitet ausschließlich SMS-Verifizierungen; wir verarbeiten keine Sprachanrufe oder Anruf-Metadaten.

• Zahlungen werden über Drittanbieter-Zahlungsdienstleister (Duitku, Heleket) abgewickelt. Wir speichern keine Kreditkarten-, Bankkonten- oder Zahlungsinstrumentdaten.
• Wir speichern Transaktionsreferenzen (Zahlungsdienstleister-IDs, Beträge, Status) für Abstimmungs- und Supportzwecke.
• Zahlungsdienstleister unterliegen eigenen Datenschutzerklärungen hinsichtlich der Verarbeitung Ihrer Zahlungsinformationen.

Wir geben Daten nur weiter, soweit dies zur Erbringung des Dienstes erforderlich ist. Nachfolgend die vollständige Liste der Kategorien von Drittverarbeitern, die wir beauftragen; detaillierte Verarbeitungsstandorte und Übermittlungs­garantien werden in Abschnitt 13 (Internationale Datenübermittlung) beschrieben.

• Cloudflare, Inc. — Content Delivery Network, DDoS-Schutz und ausgehende Netzwerkinfrastruktur. Verarbeitet IP-Adressen, Anfragemetadaten und TLS-terminierten Datenverkehr während der Übertragung.
• Resend, Inc. — Zustellung transaktionaler E-Mails (Verifizierung, Passwort-Zurücksetzung, Bestellbenachrichtigungen). Verarbeitet Ihre E-Mail-Adresse und Nachrichteninhalte.
• Vorgelagerte SMS-Anbieter — Vermietung virtueller Rufnummern und Weiterleitung eingehender SMS. Wir übermitteln minimale Bestellparameter (Land, Dienst), um Vermietungen zu erfüllen; wir geben Ihre Identität oder Kontodaten nicht an die Anbieter weiter.
• Zahlungs-Gateways — Transaktionsdaten werden an Zahlungs­dienstleister übergeben, um Einzahlungen abzuschliessen. Wir erhalten und speichern keine vollständigen Zahlungsmittel­daten.
• Firebase Cloud Messaging (Google) — FCM-Gerätetokens werden an den Firebase-Dienst von Google übermittelt, um Push-Benachrichtigungen zuzustellen. Es werden keine weiteren personenbezogenen Daten an Firebase übertragen.
• Strafverfolgungsbehörden — Wir können Daten offenlegen, wenn dies gesetzlich vorgeschrieben ist, aufgrund einer gerichtlichen Anordnung oder zum Schutz der Rechte, des Eigentums oder der Sicherheit von SMSCode, unseren Nutzern oder der Öffentlichkeit.

Wir verkaufen Ihre personenbezogenen Daten nicht an Dritte. Wir geben Ihre personenbezogenen Daten nicht an Werbetreibende weiter. Wir beteiligen uns an keinem Datenhändler- oder Werbenetzwerk. Über Google Sign-In erhaltene Google-Nutzerdaten werden niemals an Dritte weitergegeben und werden ausschliesslich zur Authentifizierung innerhalb von SMSCode verwendet.

• Bestellhistorie — Wird zu Abstimmungs-, Support- und Prüfungszwecken aufbewahrt.
• OTP-/SMS-Inhalte — Werden nach Ablauf oder Abschluss der Bestellung gelöscht.
• Kontodaten — Werden aufbewahrt, solange Ihr Konto aktiv ist.
• Serverprotokolle — Werden bis zu 90 Tage lang für Sicherheits- und Debugging-Zwecke aufbewahrt.
• FCM-Geräte-Token — Werden sofort gelöscht, wenn Sie ein Gerät abmelden oder Ihr Konto löschen.

Kontolöschung und Datenbereinigung

Sie können Ihr Konto jederzeit über die Kontoeinstellungen im Web-Dashboard oder in der mobilen App löschen. Bei der Löschung Ihres Kontos geschieht Folgendes:

• Ihr Konto wird sofort als gelöscht markiert (Status auf „Gelöscht“ gesetzt).
• Ihr verbleibendes Guthaben verfällt und wird als abschließende Transaktion verbucht.
• Alle aktiven Sitzungen (Web und Mobil) werden sofort widerrufen.
• FCM-Geräte-Token und Push-Abonnements werden gelöscht.
• API-Token und Webhook-Konfigurationen werden entfernt.
• Es gilt eine 30-tägige Neuregistrierungssperre — Sie können während dieses Zeitraums kein neues Konto mit derselben E-Mail-Adresse erstellen.
• Nach 30 Tagen entfernt eine geplante Aufgabe dauerhaft Ihre personenbezogenen Daten (PII): Ihre E-Mail-Adresse wird durch einen nicht identifizierbaren Platzhalter ersetzt, Ihr Passwort-Hash wird gelöscht, und Ihre Google-Benutzer-ID wird entfernt.
• Transaktionshistorie und Bestellaufzeichnungen werden in anonymisierter Form für Buchhaltungs- und Rechtskonformitätszwecke aufbewahrt.

• Wir verwenden ein einzelnes httpOnly-Sitzungs-Cookie (__session) zur Aufrechterhaltung Ihrer authentifizierten Sitzung. Dieses Cookie ist verschlüsselt und kann von clientseitigen Skripten nicht ausgelesen werden.
• Wir verwenden keine Tracking-Cookies, Werbe-Cookies oder Drittanbieter-Analyse-Cookies.
• Ein Cookie-Banner ist nicht erforderlich, da wir ausschließlich technisch notwendige Cookies für die Authentifizierung verwenden.

Datenspeicherung

• Infrastruktur — Alle Daten werden auf dedizierten, von uns betriebenen Servern gespeichert. Wir verwenden kein Shared-Cloud-Hosting für Benutzerdaten.
• Datenbank — Benutzerdaten werden in PostgreSQL gespeichert, wobei der Zugriff ausschließlich auf Anwendungsdienste beschränkt ist.
• Verschlüsselung bei der Übertragung — Der gesamte Datenverkehr zwischen Ihnen und unseren Servern wird über TLS (HTTPS) verschlüsselt.
• Sitzungsverschlüsselung — Sitzungs-Cookies werden mit AES-256-GCM verschlüsselt.

Datenschutzmaßnahmen

• Passwort-Hashing — Passwörter werden mit argon2 gehasht, einem speicherintensiven Algorithmus, der resistent gegen Brute-Force-Angriffe ist.
• CSRF-Schutz — Zustandsändernde Endpunkte sind gegen Cross-Site-Request-Forgery geschützt.
• Rate Limiting — API- und Authentifizierungs-Endpunkte sind ratenlimitiert, um Missbrauch zu verhindern.
• Zugriffskontrolle — Interne Dienste kommunizieren über authentifizierte Kanäle mit geheimen Schlüsseln. Datenbank- und Cache-Dienste sind in einem privaten Netzwerk isoliert, das nicht über das Internet erreichbar ist.

Obwohl wir branchenübliche Sicherheitsmaßnahmen implementieren, ist kein System zu 100 % sicher. Wenn Sie eine Sicherheitslücke entdecken, melden Sie diese bitte an [email protected].

Sie haben das Recht auf:

• Auskunft — Anforderung einer Kopie der über Sie gespeicherten personenbezogenen Daten.
• Berichtigung — Anforderung der Korrektur unrichtiger personenbezogener Daten.
• Löschung — Löschen Sie Ihr Konto und die zugehörigen personenbezogenen Daten direkt über Ihre Kontoeinstellungen (Web oder mobile App). Personenbezogene Daten werden innerhalb von 30 Tagen nach der Löschung dauerhaft entfernt. Sie können die Löschung auch durch Kontaktaufnahme mit uns beantragen.
• Datenübertragbarkeit — Anforderung Ihrer Daten in einem portablen Format.

Zur Ausübung Ihrer Auskunfts-, Berichtigungs- oder Datenübertragbarkeitsrechte kontaktieren Sie uns unter [email protected]. Wir antworten innerhalb von 30 Tagen.

Wenn Sie in Kalifornien wohnen, gewährt Ihnen der California Consumer Privacy Act (CCPA) in der durch den California Privacy Rights Act (CPRA) geänderten Fassung zusätzlich zu den in Abschnitt 9 (Ihre Rechte) genannten Rechten bestimmte Rechte hinsichtlich Ihrer personenbezogenen Informationen.

Recht auf Auskunft. Sie können verlangen, dass wir die Kategorien und konkreten personenbezogenen Informationen, die wir über Sie erhoben haben, deren Quellen, die Zwecke der Erhebung oder Offenlegung sowie die Kategorien der Dritten, mit denen wir sie teilen, offenlegen. Die von uns erhobenen Kategorien sind in Abschnitt 1 (Welche Daten wir erheben) aufgeführt.

Recht auf Löschung. Sie können die Löschung der über Sie erhobenen personen­bezogenen Informationen verlangen, vorbehaltlich bestimmter gesetzlicher Ausnahmen (z. B. zur Abwicklung einer Transaktion, zur Aufdeckung von Sicherheitsvorfällen oder zur Erfüllung einer gesetzlichen Pflicht).

Recht auf Berichtigung. Sie können verlangen, dass wir unrichtige personen­bezogene Informationen, die wir über Sie führen, berichtigen.

Recht auf Widerspruch gegen Verkauf oder Weitergabe. Wir verkaufen Ihre personenbezogenen Informationen nicht an Dritte und geben sie auch nicht für kontextübergreifende verhaltensbezogene Werbung weiter. Es gibt nichts zu widersprechen, aber wir erklären es ausdrücklich, damit Sie es wissen.

Recht auf Einschränkung der Nutzung sensibler personenbezogener Informationen. Wir verwenden sensible personenbezogene Informationen (im Sinne des CPRA) nicht für Zwecke, die über das zur Erbringung des Dienstes Notwendige hinausgehen.

Recht auf Nichtdiskriminierung. Wir werden Sie nicht für die Ausübung dieser Rechte benachteiligen. Ihre Nutzungserfahrung bleibt unverändert, und weder Gebühren, Bedingungen noch Dienstqualität werden davon berührt.

Ausübung. Um ein CCPA-Recht auszuüben, kontaktieren Sie uns unter [email protected]. Wir überprüfen Ihre Identität vor einer Antwort und antworten innerhalb von 45 Tagen (verlängerbar um weitere 45 Tage, soweit dies vernünftigerweise erforderlich ist).

SMSCode nutzt keine Web-Analyse-Dienste Dritter, Verhaltens­tracking-Werkzeuge oder Werbetechnologie. Konkret:

• Wir nutzen weder Google Analytics, Mixpanel, Amplitude, Hotjar, Segment noch einen ähnlichen Analysedienst;
• Wir binden keine Tracking-Pixel, Marketing-Tags oder Retargeting-Skripte auf Seiten ein;
• Wir nehmen an keinem Werbenetzwerk oder seitenübergreifenden Werbeökosystem teil;
• Wir erstellen keine Verhaltens­profile einzelner Nutzer zu Marketing- oder Empfehlungszwecken.

Die einzigen Daten, die wir über Ihre Nutzung des Dienstes erheben, sind die für Bereitstellung und Sicherheit erforderlichen Betriebsdaten: Serveranfrage-Logs, Rate-Limit-Zähler, Bestellhistorie und Session-Cookies. Diese sind im Detail in Abschnitt 1 (Welche Daten wir erheben), Abschnitt 7 (Cookies und Sitzungen) und Abschnitt 8 (Sicherheits­massnahmen) beschrieben. Serverlogs werden maximal 90 Tage für Sicherheit und Fehlerbehebung aufbewahrt und anschliessend gelöscht.

Sollten wir zukünftig Analytik einführen, wird diese Datenschutz­erklärung vor Inkrafttreten der Änderung aktualisiert und Sie werden gemäss Abschnitt 14 (Änderungen dieser Erklärung) benachrichtigt.

SMSCode ist nicht für Personen unter 18 Jahren bestimmt. Wir erheben wissentlich keine personenbezogenen Daten von Minderjährigen. Wenn Sie der Ansicht sind, dass ein Minderjähriger unter 18 Jahren uns personenbezogene Daten übermittelt hat, kontaktieren Sie uns bitte, damit wir diese umgehend löschen können.

Die Void Zero Ltd hat ihren Sitz im Vereinigten Königreich, und die von Ihnen bereitgestellten personen­bezogenen Daten werden hauptsächlich im Vereinigten Königreich und im Europäischen Wirtschaftsraum (EWR) verarbeitet. Zur Erbringung des Dienstes nutzen wir Unterauftrags­verarbeiter und Drittinfrastruktur, die Ihre Daten in anderen Rechtsordnungen verarbeiten können, einschliesslich der Vereinigten Staaten und anderer Länder ausserhalb des Vereinigten Königreichs/EWR.

Übermittlungs­mechanismus

Wenn wir personen­bezogene Daten aus dem Vereinigten Königreich oder dem EWR in ein Land übermitteln, für das weder das UK Information Commissioner's Office (ICO) noch die Europäische Kommission einen Angemessenheits­beschluss erlassen haben, stützen wir uns auf eine oder mehrere der folgenden Garantien:

• den in unsere Verträge mit Unterauftrags­verarbeitern aufgenommenen UK International Data Transfer Addendum (UK IDTA);
• die von der Europäischen Kommission genehmigten Standard­vertragsklauseln (SCCs; Beschluss 2021/914) für EU-Daten;
• Angemessenheits­beschlüsse für Rechtsordnungen, denen ein im Wesentlichen gleichwertiges Schutzniveau zuerkannt wurde (einschliesslich der UK Data Bridge für qualifizierte US-Empfänger im Rahmen des Data Privacy Framework);
• andere Garantien, die nach Art. 46 UK-DSGVO oder Art. 46 EU-DSGVO anerkannt sind.

Kontrolle weiterer Übermittlungen

Alle Unterauftrags­verarbeiter, die Ihre personen­bezogenen Daten erhalten, sind durch schriftliche Verträge gebunden, die sie verpflichten, (a) Daten nur auf dokumentierte Weisung der Void Zero Ltd zu verarbeiten; (b) geeignete technische und organisatorische Sicherheits­massnahmen umzusetzen; (c) die Vertraulichkeit der Personen mit Datenzugriff zu gewährleisten; (d) uns bei der Erfüllung von Anfragen betroffener Personen zu unterstützen; und (e) die Daten bei Vertragsende zu löschen oder zurückzugeben. Diese Verpflichtungen folgen den Anforderungen des Art. 28 UK-DSGVO und des Art. 28 EU-DSGVO.

Aktuelle Kategorien von Unterauftrags­verarbeitern

Unterauftrags­verarbeiter, die Ihre Daten ausserhalb des Vereinigten Königreichs/EWR verarbeiten können, umfassen unter anderem:

• Cloudflare, Inc. (Vereinigte Staaten) — Content Delivery, DDoS-Schutz und ausgehendes Networking;
• Resend, Inc. (Vereinigte Staaten) — Zustellung transaktionaler E-Mails;
• international tätige SMS-Provider-Partner — Vermietung virtueller Rufnummern und Routing eingehender SMS (siehe Abschnitt 3);
• Zahlungs­gateways — transaktionale Zahlungs­verarbeitung für Einzahlungen (siehe Abschnitt 4).

Ihre Rechte

Sie können eine Kopie der für Ihre Daten geltenden Übermittlungs­garantien anfordern, indem Sie uns unter [email protected] kontaktieren. Wir werden innerhalb von 30 Tagen antworten, wie in Abschnitt 9 (Ihre Rechte) und Art. 12 DSGVO beschrieben.

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren. Wesentliche Änderungen werden per E-Mail oder durch einen Hinweis auf der Plattform mitgeteilt. Das Datum "Zuletzt aktualisiert" oben zeigt die letzte Überarbeitung an.

Bei datenschutzbezogenen Fragen oder Anfragen kontaktieren Sie uns unter [email protected].

Für allgemeine Unterstützung erreichen Sie uns unter [email protected].