Vertrauen ist kein Feature. Es ist die Voraussetzung.
Du gibst uns verdächtige Nachrichten - manchmal deine privatesten. Wie wir damit umgehen, steht hier ohne Kleingedrucktes.
Vier Zusagen, die alles andere prägen.
Server in der EU
Gehostet in Frankfurt und Falkenstein. Keine Datenflüsse in die USA, keine Drittland-Übermittlung der App-Daten.
Kein Modelltraining
Deine Nachrichten trainieren kein Modell. Sie werden zur Analyse genutzt - nicht zum Lernen, nicht zum Verkauf.
Kein Datenverkauf
Keine Werbung, keine Tracker, kein Weiterverkauf. Das Geschäftsmodell sind später Firmen-Lizenzen, nicht deine Daten.
Verschlüsselt & minimal
TLS überall, Verschlüsselung at rest. Wir speichern so wenig wie möglich und so kurz wie nötig.
Was mit deiner Nachricht passiert.
Je nachdem, wie du prüfst - transparent dargestellt.
Anonyme Prüfung (Paste)
Ohne Konto wird der Inhalt nur für die Analyse verarbeitet und nicht dauerhaft gespeichert. Rate-Limit über gehashte IP - ohne Cookies, ohne Fingerprinting.
Prüfung mit Konto
Berichte erscheinen in deinem Verlauf, damit du mitlesen kannst. Du kannst jeden Bericht und dein ganzes Konto jederzeit löschen.
Reputations-Cache
URL-Reputationen cachen wir bis zu 24 Stunden. Das spart Kosten und beschleunigt - und betrifft Metadaten, nicht deine Nachrichtentexte.
Was wir speichern - und was nicht.
Wenn du eine Nachricht prüfst, schauen wir nur auf das Nötige. Was wir wirklich auf die Platte schreiben, steht hier.
- Die Nachricht selbstKlartext, den du eingibst - um sie analysieren zu können. Verschlüsselt auf EU-Storage. Du kannst sie jederzeit löschen.
- Das Urteil + SignaleDamit du den Bericht später wieder aufrufen kannst, ohne dass wir nochmal analysieren müssen.
- Deine IP, gehashedWir speichern nicht deine IP. Wir speichern einen Hash, mit dem wir Rate-Limits zählen können. Nicht zurückrechenbar.
- Audit-Log (mit Konto)Wann hast du ein Token erstellt, einen Alias angelegt oder einen Bericht gelöscht. Append-only - für deine Transparenz.
- Nicht gespeichertKeine Roh-IPs, keine Browser-Fingerprints, keine Standortdaten, keine Cookies (außer Session bei Login), kein Cross-Site-Tracking, keine Geräte-IDs.
Sechs Muster - in jedem Bericht namentlich.
Du siehst genau diese Signale unter „Warum wir das denken“. Sie sind stabil und werden nicht still umbenannt.
| Signal | Bedeutung |
|---|---|
| urgency Dringlichkeit | „Letzte Warnung", „24 Stunden", „sofort handeln" - Zeitdruck soll dich vom Nachdenken abhalten. |
| credential_request Zugangs-Anfrage | Aufforderung zu Passwort, TAN oder Zugangsdaten. Echte Banken und Behörden machen das nie per Mail. |
| suspicious_link Verdächtiger Link | URL führt auf eine Domain, die nicht zur angeblichen Marke gehört. Verschleierung per Subdomain, Shortener oder Punycode. |
| lookalike_brand Marken-Imitation | Domain oder Absender imitiert eine bekannte Marke (paypa1.com, sparkasse-de.io). Auch Logo-Diebstahl im Mail-Body. |
| payment_demand Zahlungs-Forderung | Aufforderung zur Zahlung - oft kleine Beträge (Gebühren, Zoll) auf Phishing-Seiten, die deine Karte abgreifen. |
| external_reputation Externe Datenbank | URL bei Google Safe Browsing oder PhishTank als Phishing-Seite gemeldet. 24-Stunden-Cache, transparente Quelle. |
DSGVO als Klick.
Drei Buttons im Dashboard. Mehr brauchst du nicht.
Auskunft
Welche Daten haben wir von dir? Jederzeit als JSON-Export einsehbar - ohne dass du eine E-Mail schreiben musst.
/settings/security/auditDatenübertragbarkeit
Alles, was wir über dich speichern, als ZIP. Mit Berichten, Aliassen, Audit-Trail. Asynchron generiert, per Mail-Link zugestellt.
/settings/security/exportRecht auf Löschung
Type-to-confirm, asynchrone Lösch-Kaskade, ein einziger Tombstone-Eintrag bleibt - um Regulierern eine Löschung zu beweisen.
/settings/security/deleteWer noch mitliest - alle namentlich.
Damit Scampilot funktioniert, geben wir Daten an wenige andere Dienste weiter. Hier ist die vollständige Liste.
| Dienst | Wofür | Sitz | DPA |
|---|---|---|---|
| KI-Anbieter | KI-Analyse der Nachricht-Inhalte | USA (EU-SCC) | unterzeichnet |
| E-Mail-Provider | Eingehende und ausgehende E-Mails | USA (EU-SCC) | unterzeichnet |
| Hosting | App-Server, Datenbank, Object-Storage | Deutschland (Falkenstein, Nürnberg) | unterzeichnet |
| Fehler-Telemetrie (EU) | Fehler-Telemetrie (10 % Sample-Rate) | Frankfurt | unterzeichnet |
| Safe Browsing & PhishTank | URL-Reputations-Datenbanken | Nur URLs, kein Inhalt | öffentliche API |
Vollständige Datenschutzerklärung mit Rechtsgrundlagen und Aufbewahrungs-Fristen unter /legal/privacy.
Wie wir Scampilot selbst absichern.
Authentifizierung, Tokens, Transport, Speicher - die ganze Liste.
Authentifizierung
Passwort-Login mit Argon2id-Hashing. Optional: TOTP-2FA und WebAuthn-Hardware-Keys. Session-Cookies sind HttpOnly, SameSite=Lax, Secure.
API-Tokens
Bearer-Token mit Per-Token-Abilities. Hash-on-store (sha256) - selbst wir sehen den Klartext-Token nur einmal beim Erstellen.
Transport
TLS 1.3, HSTS mit 6-Monaten-Header. Keine Mixed-Content-Möglichkeiten, weil alle Ressourcen relative URLs sind.
Speicher-Verschlüsselung
Full-Disk auf allen DB-Hosts. Backups mit dediziertem Key, separat verwaltet. Object-Storage server-side-encrypted.
CSRF + CORS
CSRF-Token auf allen Form-POSTs. API ist stateless ohne Cookie-Auth. Die Browser-Erweiterung nutzt explizite Chrome/Firefox-Origins, keine Wildcards.
Audit & Telemetrie
Privilegierte Aktionen append-only ins Audit-Log. Unhandled Errors an die EU-Fehler-Telemetrie mit 10 % Sample-Rate, immer ohne Payload.
Bindend - auch nach bezahlten Tarifen.
Die Versprechen, die wir nicht brechen. Auch nicht, wenn ein Business-Tarif eingeführt wird.
Der Schutz für dich bleibt gratis.
Prüfen ist und bleibt kostenlos. Bezahlt wird später nur der optionale Familien- und Firmenschutz - nicht dein Inhalt.
Keine Werbung in Berichten.
Keine „Powered by"-Banner, keine Cross-Sell-Hinweise. Ein Bericht enthält das Urteil und sonst nichts.
Wenn wir verkaufen, sagen wir es.
Eine Übernahme bindet diese Versprechen nur, soweit wir sie öffentlich machen. Deshalb stehen sie hier.
„Daten verkaufen ist kein versehentlicher Fehler. Wenn jemand das macht, ist es ein Geschäftsmodell. Unseres ist es nicht."- Pixel & Process UG, Lübeck
Häufige Fragen
Wo speichert Scampilot meine Daten?
Ausschließlich auf Servern in der EU (Deutschland). Es gibt keine Datenflüsse in die USA, und Inhalte werden nicht für KI-Training verwendet.
Setzt Scampilot Tracking-Cookies?
Nein. Keine Tracking-Pixel, keine Analyse-Cookies außerhalb der Session und keine Roh-IP-Speicherung - IPs nur als Hash. Analytics laden nur nach ausdrücklicher Zustimmung.
Ist Scampilot DSGVO-konform?
Ja. EU-Hosting, vollständige Unterauftragnehmer-Liste, und du kannst deine Daten jederzeit per Klick im Dashboard exportieren oder endgültig löschen.
