Zum Inhalt springen
Sicherheit & Datenschutz

Vertrauen ist kein Feature. Es ist die Voraussetzung.

Du gibst uns verdächtige Nachrichten - manchmal deine privatesten. Wie wir damit umgehen, steht hier ohne Kleingedrucktes.

01
Die Grundsätze

Vier Zusagen, die alles andere prägen.

Server in der EU

Gehostet in Frankfurt und Falkenstein. Keine Datenflüsse in die USA, keine Drittland-Übermittlung der App-Daten.

Kein Modelltraining

Deine Nachrichten trainieren kein Modell. Sie werden zur Analyse genutzt - nicht zum Lernen, nicht zum Verkauf.

Kein Datenverkauf

Keine Werbung, keine Tracker, kein Weiterverkauf. Das Geschäftsmodell sind später Firmen-Lizenzen, nicht deine Daten.

Verschlüsselt & minimal

TLS überall, Verschlüsselung at rest. Wir speichern so wenig wie möglich und so kurz wie nötig.

02
Datenfluss

Was mit deiner Nachricht passiert.

Je nachdem, wie du prüfst - transparent dargestellt.

01

Anonyme Prüfung (Paste)

Ohne Konto wird der Inhalt nur für die Analyse verarbeitet und nicht dauerhaft gespeichert. Rate-Limit über gehashte IP - ohne Cookies, ohne Fingerprinting.

02

Prüfung mit Konto

Berichte erscheinen in deinem Verlauf, damit du mitlesen kannst. Du kannst jeden Bericht und dein ganzes Konto jederzeit löschen.

03

Reputations-Cache

URL-Reputationen cachen wir bis zu 24 Stunden. Das spart Kosten und beschleunigt - und betrifft Metadaten, nicht deine Nachrichtentexte.

03
Inventur

Was wir speichern - und was nicht.

Wenn du eine Nachricht prüfst, schauen wir nur auf das Nötige. Was wir wirklich auf die Platte schreiben, steht hier.

  • Die Nachricht selbstKlartext, den du eingibst - um sie analysieren zu können. Verschlüsselt auf EU-Storage. Du kannst sie jederzeit löschen.
  • Das Urteil + SignaleDamit du den Bericht später wieder aufrufen kannst, ohne dass wir nochmal analysieren müssen.
  • Deine IP, gehashedWir speichern nicht deine IP. Wir speichern einen Hash, mit dem wir Rate-Limits zählen können. Nicht zurückrechenbar.
  • Audit-Log (mit Konto)Wann hast du ein Token erstellt, einen Alias angelegt oder einen Bericht gelöscht. Append-only - für deine Transparenz.
  • Nicht gespeichertKeine Roh-IPs, keine Browser-Fingerprints, keine Standortdaten, keine Cookies (außer Session bei Login), kein Cross-Site-Tracking, keine Geräte-IDs.
04
Methodik

Sechs Muster - in jedem Bericht namentlich.

Du siehst genau diese Signale unter „Warum wir das denken“. Sie sind stabil und werden nicht still umbenannt.

Signal Bedeutung
urgency
Dringlichkeit
„Letzte Warnung", „24 Stunden", „sofort handeln" - Zeitdruck soll dich vom Nachdenken abhalten.
credential_request
Zugangs-Anfrage
Aufforderung zu Passwort, TAN oder Zugangsdaten. Echte Banken und Behörden machen das nie per Mail.
suspicious_link
Verdächtiger Link
URL führt auf eine Domain, die nicht zur angeblichen Marke gehört. Verschleierung per Subdomain, Shortener oder Punycode.
lookalike_brand
Marken-Imitation
Domain oder Absender imitiert eine bekannte Marke (paypa1.com, sparkasse-de.io). Auch Logo-Diebstahl im Mail-Body.
payment_demand
Zahlungs-Forderung
Aufforderung zur Zahlung - oft kleine Beträge (Gebühren, Zoll) auf Phishing-Seiten, die deine Karte abgreifen.
external_reputation
Externe Datenbank
URL bei Google Safe Browsing oder PhishTank als Phishing-Seite gemeldet. 24-Stunden-Cache, transparente Quelle.
05
Deine Rechte

DSGVO als Klick.

Drei Buttons im Dashboard. Mehr brauchst du nicht.

Artikel 15

Auskunft

Welche Daten haben wir von dir? Jederzeit als JSON-Export einsehbar - ohne dass du eine E-Mail schreiben musst.

/settings/security/audit
Artikel 20

Datenübertragbarkeit

Alles, was wir über dich speichern, als ZIP. Mit Berichten, Aliassen, Audit-Trail. Asynchron generiert, per Mail-Link zugestellt.

/settings/security/export
Artikel 17

Recht auf Löschung

Type-to-confirm, asynchrone Lösch-Kaskade, ein einziger Tombstone-Eintrag bleibt - um Regulierern eine Löschung zu beweisen.

/settings/security/delete
06
Lieferkette

Wer noch mitliest - alle namentlich.

Damit Scampilot funktioniert, geben wir Daten an wenige andere Dienste weiter. Hier ist die vollständige Liste.

DienstWofürSitzDPA
KI-AnbieterKI-Analyse der Nachricht-InhalteUSA (EU-SCC)unterzeichnet
E-Mail-ProviderEingehende und ausgehende E-MailsUSA (EU-SCC)unterzeichnet
HostingApp-Server, Datenbank, Object-StorageDeutschland (Falkenstein, Nürnberg)unterzeichnet
Fehler-Telemetrie (EU)Fehler-Telemetrie (10 % Sample-Rate)Frankfurtunterzeichnet
Safe Browsing & PhishTankURL-Reputations-DatenbankenNur URLs, kein Inhaltöffentliche API

Vollständige Datenschutzerklärung mit Rechtsgrundlagen und Aufbewahrungs-Fristen unter /legal/privacy.

07
Operativ

Wie wir Scampilot selbst absichern.

Authentifizierung, Tokens, Transport, Speicher - die ganze Liste.

Authentifizierung

Passwort-Login mit Argon2id-Hashing. Optional: TOTP-2FA und WebAuthn-Hardware-Keys. Session-Cookies sind HttpOnly, SameSite=Lax, Secure.

API-Tokens

Bearer-Token mit Per-Token-Abilities. Hash-on-store (sha256) - selbst wir sehen den Klartext-Token nur einmal beim Erstellen.

Transport

TLS 1.3, HSTS mit 6-Monaten-Header. Keine Mixed-Content-Möglichkeiten, weil alle Ressourcen relative URLs sind.

Speicher-Verschlüsselung

Full-Disk auf allen DB-Hosts. Backups mit dediziertem Key, separat verwaltet. Object-Storage server-side-encrypted.

CSRF + CORS

CSRF-Token auf allen Form-POSTs. API ist stateless ohne Cookie-Auth. Die Browser-Erweiterung nutzt explizite Chrome/Firefox-Origins, keine Wildcards.

Audit & Telemetrie

Privilegierte Aktionen append-only ins Audit-Log. Unhandled Errors an die EU-Fehler-Telemetrie mit 10 % Sample-Rate, immer ohne Payload.

08
Drei Versprechen

Bindend - auch nach bezahlten Tarifen.

Die Versprechen, die wir nicht brechen. Auch nicht, wenn ein Business-Tarif eingeführt wird.

01

Der Schutz für dich bleibt gratis.

Prüfen ist und bleibt kostenlos. Bezahlt wird später nur der optionale Familien- und Firmenschutz - nicht dein Inhalt.

02

Keine Werbung in Berichten.

Keine „Powered by"-Banner, keine Cross-Sell-Hinweise. Ein Bericht enthält das Urteil und sonst nichts.

03

Wenn wir verkaufen, sagen wir es.

Eine Übernahme bindet diese Versprechen nur, soweit wir sie öffentlich machen. Deshalb stehen sie hier.

„Daten verkaufen ist kein versehentlicher Fehler. Wenn jemand das macht, ist es ein Geschäftsmodell. Unseres ist es nicht."- Pixel & Process UG, Lübeck

Häufige Fragen

Wo speichert Scampilot meine Daten?

Ausschließlich auf Servern in der EU (Deutschland). Es gibt keine Datenflüsse in die USA, und Inhalte werden nicht für KI-Training verwendet.

Setzt Scampilot Tracking-Cookies?

Nein. Keine Tracking-Pixel, keine Analyse-Cookies außerhalb der Session und keine Roh-IP-Speicherung - IPs nur als Hash. Analytics laden nur nach ausdrücklicher Zustimmung.

Ist Scampilot DSGVO-konform?

Ja. EU-Hosting, vollständige Unterauftragnehmer-Liste, und du kannst deine Daten jederzeit per Klick im Dashboard exportieren oder endgültig löschen.