Datenschutzerklärung
summarize Kurz gefasst
- Wir speichern nur das Nötigste: einen Benutzernamen, eine E-Mail-Adresse, falls Sie uns eine angeben möchten, und eine technische Sitzung. Krypto-Zahlungen laufen über NOWPayments — wir sehen weder Ihre Karte noch Ihren Klarnamen.
- Server-Verbindungsprotokolle bewahren wir für 7 Tage auf, um Support zu leisten und Probleme zu diagnostizieren. Die IP-Adresse, von der aus Sie sich verbinden, wird nicht in unserer Datenbank festgehalten.
- Auf den Inhalt Ihres Datenverkehrs haben wir keinen Zugriff — Ihre Verbindung ist verschlüsselt, und uns fehlt technisch jede Möglichkeit, sie einzusehen.
- Keine Werbe-Tracker, keine Analytics, kein Google Analytics, kein Yandex Metrika — nichts davon findet sich hier.
- Marketing-E-Mails versenden wir nur mit Ihrer ausdrücklichen Einwilligung. Abmelden ist mit einem Klick erledigt.
- Sie können Ihr Konto jederzeit löschen — eine Schaltfläche im Bereich „Konto" entfernt Ihre Daten und entzieht den Server-Zugriff.
- Wir halten uns an die DSGVO und an das russische Bundesgesetz Nr. 152-FZ über personenbezogene Daten. Daten geben wir nur dann heraus, wenn wir gesetzlich dazu verpflichtet sind, und auch dann nur das gesetzlich erforderliche Mindestmaß.
1. Wer wir sind und wofür dieses Dokument gilt
Diese Erklärung beschreibt, welche Daten Hlebushek („Hlebushek", „wir") von Ihnen erhält, wenn Sie die Website hlebushek.com, die regionale Domain ru.hlebushek.com, unsere mobile Anwendung sowie den Telegram-Bot @hlebushek_com_bot nutzen.
Das Dokument deckt zwei Rechtsräume zugleich ab:
- DSGVO (Datenschutz-Grundverordnung), EU-Verordnung 2016/679 — für Nutzer im Europäischen Wirtschaftsraum;
- russisches Bundesgesetz Nr. 152-FZ über personenbezogene Daten (im Folgenden „FZ-152") — für Nutzer in Russland.
Wir sind ein kleines Team. Wir haben uns bemüht, diese Erklärung ehrlich zu schreiben, ohne den üblichen juristischen Nebel. Sollte etwas unklar bleiben, schreiben Sie uns — die Kontaktdaten finden Sie ganz unten.
2. Welche Daten wir erhalten
2.1. Bei der Erstellung Ihres Kontos
Je nachdem, wie Sie sich anmelden, speichern wir:
- E-Mail-Adresse und Passwort — wenn Sie sich auf dem üblichen Weg registrieren. Ihr Passwort sehen wir nie: gespeichert wird ausschließlich ein kryptografischer Hash davon.
- Konto-Schlüssel — wenn Sie die anonyme Anmeldung per Schlüssel wählen. Wir hinterlegen nur einen Hash des Schlüssels; der Schlüssel selbst wird nicht im Klartext gespeichert, und wir können ihn für Sie nicht wiederherstellen, falls Sie ihn verlieren.
- Telegram-ID, Vorname und Benutzername — wenn Sie sich über Telegram anmelden. Diese Angaben erreichen uns während der Authentifizierung automatisch von Telegram.
Automatisch festgehalten werden außerdem: das Registrierungsdatum, der Zeitpunkt der letzten Anmeldung, die Region (ru oder eu, abgeleitet aus der von Ihnen geöffneten Domain) sowie eine technische Sitzung (ein zufälliges Token in einem Cookie).
2.2. Wenn Sie bezahlen
Wir akzeptieren Zahlungen ausschließlich in Kryptowährung über NOWPayments. Pro Zahlung speichert unsere Datenbank: Bestellnummer, gewählten Tarif, Betrag, Währung, Status, die NOWPayments-Transaktions-ID und ein Datum.
Kartennummern, Ausweisdokumente, Klarnamen und Adressen erhalten und speichern wir grundsätzlich nicht — nichts davon existiert in unserem System. NOWPayments kann als Zahlungsdienstleister nach eigenen Regeln eine Identitätsprüfung verlangen — das liegt in deren Verantwortung und unter deren eigener Datenschutzerklärung.
2.3. Server-Verbindungsprotokolle
Damit wir auf Ihre „funktioniert nicht"-Meldung reagieren und Probleme zügig beheben können, sammeln wir auf unseren Servern automatisch eine kurze technische Übersicht. Da dies die sensibelste Datenkategorie ist, legen wir genau offen, was sie enthält:
| Feld | Inhalt |
|---|---|
| Zeit | Zeitstempel des Ereignisses |
| Server | Welcher unserer Server die Anfrage bearbeitet hat (zum Beispiel RU-1, FI-1) |
| Kennung | Eine interne Markierung der Form user-<username> — dieselbe ist in unserer Datenbank mit Ihrem Konto verknüpft |
| Ereignistyp | Verbindung angenommen, abgelehnt, Handshake-Fehler, Zeitüberschreitung |
| Ziel | Der Host und Port, zu dem die Verbindung hergestellt werden soll, etwa youtube.com:443 |
Wir speichern die IP-Adresse nicht, von der aus Sie sich mit unseren Servern verbinden — dies ist eine bewusste Designentscheidung zur Datenminimierung. Unsere Serversoftware verarbeitet Ihre IP während der Verbindung im Arbeitsspeicher, schreibt sie aber nicht in unsere langfristige Datenbank, sondern verwirft sie.
Wir haben keinen Zugriff auf den Inhalt Ihres Datenverkehrs: Die Verbindung wird auf Ihrem Gerät verschlüsselt. Wir können weder die von Ihnen aufgerufenen Seiten noch Ihre Nachrichten, Videos oder Dateien einsehen. Sichtbar sind für uns lediglich Ziel-Host und Port.
Wir speichern keine vollständigen URLs — nur die Domain und den Port. Kein ?q=..., keine Pfade wie /profile/....
Wir geben diese Protokolle nicht an Dritte weiter — weder zu Werbe-, Marketing- noch zu Analysezwecken.
Diese Protokolle werden nach 7 Tagen automatisch gelöscht.
2.4. Support-Konversationen
Wenn Sie sich über den Telegram-Bot oder Ihr Konto an den Support wenden, bewahren wir den Gesprächsverlauf auf (Nachrichtentext, Zeitstempel und die Verknüpfung zu Ihrem Konto), um den Dialog fortzusetzen und bei Bedarf später darauf zurückzukommen. Wir sehen ausschließlich das, was Sie uns selbst geschrieben haben.
2.5. Benachrichtigungen und Feedback
Wenn Sie eine Mitteilung mit der Schaltfläche „gefällt mir / gefällt mir nicht" bewerten, halten wir diese Stimme fest, um künftige Inhalte besser auszuwählen. Außerdem speichern wir den Lesestatus von In-App-Bannern.
2.6. Störungsmeldungen
Wenn Sie in der mobilen Anwendung auf „funktioniert nicht" tippen, erhalten wir einen kurzen technischen Bericht: Ihre derzeit sichtbare IP-Adresse, das aktive Verbindungsprofil, den Status, die Geräteplattform und einen optionalen Freitext-Kommentar. So kann der Support innerhalb von Minuten statt Stunden nachvollziehen, was los ist.
2.7. Push-Benachrichtigungen (mobile Anwendung)
Um Ihnen Push-Benachrichtigungen zustellen zu können (etwa „Ihr Abonnement läuft in 3 Tagen ab"), speichern wir das von Firebase Cloud Messaging ausgegebene Geräte-Token sowie die Plattform (Android / iOS). Sobald Sie sich abmelden oder Google das Token serverseitig zurückzieht, löschen wir es.
2.8. Empfehlungsprogramm
Nehmen Sie an unserem Empfehlungsprogramm teil, speichern wir: wer Sie eingeladen hat, wen Sie eingeladen haben und welche Gutschriften vergeben wurden. Diese Daten verwenden wir ausschließlich zur Abrechnung innerhalb des Programms.
2.9. Aggregiertes Datenvolumen
Für die Abrechnung, zum Schutz vor Missbrauch und um Sie an die Grenzen Ihres Tarifs zu erinnern, planen wir, eine tägliche Gesamtmenge des übertragenen Datenvolumens pro Konto vorzuhalten — aggregierte Zähler aus unserer Routing-Infrastruktur, ohne Verknüpfung zu konkreten Zielen oder zum zeitlichen Ablauf einzelner Verbindungen.
Zum Zeitpunkt der Veröffentlichung dieser Version befindet sich diese Funktion in der Entwicklung: Die Zähler werden anonymisiert erfasst und gespeichert, aber noch nicht in Ihrem Konto angezeigt. Sobald wir es ausgeliefert haben, sehen Sie Ihren täglichen Datenverbrauch im Bereich „Konto". Diese Zähler bewahren wir höchstens 60 Tage auf.
3. Was wir in Cookies speichern
Wir verwenden ausschließlich funktionale Cookies — keine für Werbung oder Analyse. Es sind genau drei:
| Cookie | Zweck | Lebensdauer |
|---|---|---|
user_session | Hält Sie angemeldet | 30 Tage, bei jeder Anmeldung erneuert |
lang | Merkt sich die gewählte Oberflächensprache | 1 Jahr |
csrf | Schutz vor Cross-Site-Request-Forgery | Sitzung |
Da diese Cookies für den Betrieb des Dienstes unbedingt erforderlich sind, blenden wir keinen separaten Cookie-Banner ein (die DSGVO erlaubt dies für rein funktionale Cookies).
4. Weshalb wir das erheben (Rechtsgrundlagen)
Im Sinne der DSGVO stützen wir uns je nach Datenart auf folgende Rechtsgrundlagen:
- Vertragserfüllung — der Großteil der Daten (Konto, Zahlung, 7-Tage-Verbindungsprotokolle, Push-Token) ist erforderlich, um Ihnen den von Ihnen gebuchten Dienst zu erbringen;
- Einwilligung — für Marketing-E-Mails und Werbebenachrichtigungen: die Schalter
notify_promo,notify_emailundnotify_tgsind für Werbung standardmäßig deaktiviert. Technische Mitteilungen (etwas funktioniert nicht, ein Server hat sich geändert) gelten als notwendig und sind standardmäßig aktiv — Sie können sie in Ihrem Konto ausschalten; - Berechtigtes Interesse — Diagnose und Sicherheit der Infrastruktur: interne Server-Prüfungen, Latenz-Monitoring, Brute-Force-Schutz;
- Rechtliche Verpflichtung — Beantwortung rechtmäßiger Anfragen staatlicher Stellen, jedoch nur in dem Umfang, zu dem wir gesetzlich verpflichtet sind.
Im Sinne von FZ-152 ist die Grundlage der Verarbeitung der Angebotsvertrag über den Dienst (geschlossen im Moment der Registrierung) sowie Ihre gesonderte Einwilligung für einzelne Kommunikationsarten.
5. Wie lange wir Daten aufbewahren
| Was | Aufbewahrung |
|---|---|
| Server-Verbindungsprotokolle | 7 Tage, danach automatische Löschung |
| Interne Server-Diagnosen (nicht mit Ihnen verknüpft) | 7 Tage |
| Konto, Zahlungsverlauf, Empfehlungs-Gutschriften | Bis Sie sie löschen, oder bis zu 3 Jahre Inaktivität |
| Support-Konversationen | 1 Jahr nach Schließung des Tickets |
| Störungsmeldungen aus der App | Bis zur Löschung des Kontos oder bis zur manuellen Bereinigung |
| Text von Rundbenachrichtigungen | Unbegrenzt (es handelt sich um geteilte Inhalte, nicht um personenbezogene Daten) |
| Zustellungsprotokolle von Benachrichtigungen pro Nutzer (Lesestatus, Bewertung) | Bis zur Löschung Ihres Kontos |
| E-Mail-Bestätigungscodes, Passwort-Reset-Token, temporäre Nonces für die Telegram-Anmeldung | Minuten bis Stunden (kurze TTL) |
| FCM-Geräte-Token | Bis Sie sich abmelden oder Google das Token als ungültig markiert |
| Aggregierte Traffic-Zähler pro Konto | 60 Tage |
| IP-Adresse in der „Neue Anmeldung"-E-Mail | Nicht in der Datenbank gespeichert — nur in der E-Mail selbst, in Ihrem Posteingang vorhanden |
6. Mit wem wir zusammenarbeiten (Drittanbieter)
Um den Dienst zu betreiben, müssen wir auf einige wenige Anbieter zurückgreifen. An sie geben wir nur das weiter, was für deren Aufgabenbereich technisch erforderlich ist. Mit Analyse-, Werbe- oder CRM-Partnern arbeiten wir nicht zusammen.
| Anbieter | Was er erhält | Wozu | Standort |
|---|---|---|---|
| NOWPayments | Zahlungsparameter, die Wallet-Adresse des Zahlenden sowie KYC-Daten, sofern dies nach deren eigenen Regeln erforderlich ist | Abwicklung von Krypto-Zahlungen | Zypern / EU |
| Cloudflare | IP-Adressen von Verbindungen zu Website und API, DNS-Anfragen, HTTP-Metadaten | DNS, CDN, DDoS-Schutz, Performance | USA |
| Firebase Cloud Messaging | Geräte-Token, Text der Push-Benachrichtigungen | Zustellung von Push-Benachrichtigungen an die mobile App | USA |
| Hostinger | Server-Infrastruktur (unsere VPS) | Hosting der Website, der Datenbank und der Dienst-Infrastruktur | Zypern / Litauen |
| Hostinger SMTP | Empfängeradresse und E-Mail-Inhalt | Versand transaktionaler und massenhafter E-Mails | Zypern / Litauen |
Diese fünf bilden die vollständige Liste. Wir setzen weder Google Analytics, Yandex Metrika, Sentry, Segment, Mixpanel, Hotjar, Facebook Pixel, customer.io noch sonstige Analyse- oder Marketing-Werkzeuge ein.
Auskünfte an Behörden
Jedes legal arbeitende Unternehmen muss auf rechtmäßig zugestellte Anfragen reagieren. Wir werden nicht behaupten, „wir geben niemals etwas heraus" — das wäre nicht wahr. Deshalb hier die ehrliche Variante:
- Daten geben wir nur dann an Dritte heraus, wenn das geltende Recht uns dazu verpflichtet;
- Jede Anfrage prüfen wir einzeln und stellen sicher, dass sie in der vorgeschriebenen Form gestellt wurde;
- Wir antworten mit dem gesetzlich erforderlichen Mindestmaß und keinen Schritt darüber hinaus — denn alles, was über das in dieser Erklärung Beschriebene hinausgeht, existiert in unseren Systemen schlicht nicht;
- Insbesondere die IP-Adressen, von denen aus Sie sich mit den Servern von Hlebushek verbinden, finden sich nicht in unserer Datenbank — wir zeichnen sie nicht auf (siehe Abschnitt 2.3).
7. Wie die Verbindungsverschleierung funktioniert
In Russland nutzt unser Dienst eine Verkehrs-Verschleierungstechnik, bei der unsere verschlüsselte Verbindung äußerlich wie eine gewöhnliche Verbindung zu einer bekannten russischen Online-Ressource aussieht. Dies ist erforderlich für die Kompatibilität mit Netzwerkfilter-Systemen, die in einigen Regionen nur Verbindungen zu bestimmten Zielen zulassen.
Was das für Sie bedeutet:
- Wir haben keinerlei Verbindung zu diesen Websites und keinen Zugriff auf deren Datenverkehr;
- Wir nutzen lediglich deren öffentliche TLS-Zertifikate als „Tarnung" für unsere eigenen Verbindungen — das ist eine technische Methode, kein Auftreten an Stelle dieser Websites;
- Es handelt sich um eine nicht standardisierte Verwendung fremder Zertifikate. Diese Praxis bewegt sich in einer Grauzone — wir holen keine formelle Erlaubnis der Inhaber dieser Websites ein. Wir halten es für richtig, das offen zu benennen.
8. Ihre Rechte
Nach DSGVO und FZ-152 haben Sie das Recht: Ihre Daten einzusehen, sie berichtigen zu lassen, sie löschen zu lassen (Recht auf Löschung / Art. 17 DSGVO), eine Einwilligung zu widerrufen, die Datenübertragbarkeit zu verlangen (Art. 20 DSGVO) sowie sich bei einer Aufsichtsbehörde zu beschweren. Die meisten dieser Rechte können Sie direkt in Ihrem Konto ausüben — ohne formellen Antrag:
Konto löschen
Entfernt Ihre Daten aus der Datenbank und entzieht den Server-Zugriff.
Konto → Konto löschenE-Mails abbestellen
Jede Marketing-E-Mail enthält einen Abmeldelink, der mit einem Klick wirkt.
Konto → BenachrichtigungenBenachrichtigungen anpassen
Schalten Sie technische, produktbezogene und werbliche Mitteilungen ein oder aus und wählen Sie den Zustellweg.
Konto → BenachrichtigungenZwei-Faktor-Schutz
Aktivieren Sie 2FA über eine Authenticator-App, um die Anmeldung zusätzlich abzusichern.
Konto → SicherheitAuskunft und Export
Anfragen zu einer Kopie Ihrer Daten bearbeiten wir derzeit über den Support. Antwort innerhalb von 30 Tagen.
privacy@hlebushek.comWenn Sie der Auffassung sind, dass wir Ihre Rechte verletzt haben, schreiben Sie uns bitte — wir bemühen uns um eine zügige Antwort. Nutzer aus der EU bzw. dem EWR können sich zudem an die für sie zuständige nationale Datenschutz-Aufsichtsbehörde wenden; in Deutschland ist dies auf Bundesebene die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) bzw. die für Sie zuständige Landesdatenschutzbehörde, in Österreich die Datenschutzbehörde (DSB), in der Schweiz der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB). Nutzer aus weiteren Ländern können sich an die zuständige Datenschutzbehörde ihres Landes wenden.
9. Mindestalter
Hlebushek richtet sich nicht an Personen unter 16 Jahren (im Einklang mit Art. 8 DSGVO). Wir verlangen keine Ausweise, doch sollten Sie feststellen, dass Ihr Kind unter 16 Jahren ohne Ihre Einwilligung ein Konto angelegt hat, schreiben Sie uns bitte — wir werden es löschen.
10. Wie wir Daten schützen
Wir sind ein kleines Team und konzentrieren uns daher auf einfache, bewährte Maßnahmen:
- Passwörter speichern wir nie im Klartext — ausschließlich kryptografische Hashes;
- Sitzungs-Cookies sind mit den Attributen
HttpOnly,SecureundSameSite=Laxversehen; - Zwei-Faktor-Authentifizierung (TOTP) wird unterstützt;
- Verbindungen zu Website und API sind durch TLS geschützt;
- Server-Zugang erfolgt ausschließlich per SSH-Schlüssel, mit Brute-Force-Schutz;
- Sicherheitsupdates spielen wir auf unseren Servern regelmäßig ein;
- Datenbank-Backups halten wir lokal vor und geben sie nicht nach außen.
Kein System ist vollständig unverwundbar. Sollte es zu einem Vorfall kommen, der Ihre Daten betreffen kann, werden wir Sie innerhalb einer angemessenen Frist informieren — entsprechend den Anforderungen aus FZ-152 und DSGVO (Art. 33–34).
11. Wo die Daten physisch liegen
Unsere zentrale Datenbank und Infrastruktur betreiben wir auf Servern im Europäischen Wirtschaftsraum (EWR), wo die DSGVO eines der weltweit strengsten Datenschutzregimes vorgibt. Die in Abschnitt 6 genannten Anbieter können die Daten, die wir an sie übermitteln, auf eigenen Servern in den USA (Cloudflare, Firebase Cloud Messaging) sowie in der EU bzw. auf Zypern (NOWPayments, Hostinger) verarbeiten.
Für Nutzer in Russland: Wir respektieren die Ihnen nach FZ-152 zustehenden Rechte — Auskunft, Berichtigung, Löschung, Widerruf der Einwilligung — unabhängig davon, wo unsere Server physisch stehen. Wie Sie diese Rechte ausüben, beschreibt Abschnitt 8.
Wenn Sie die Datenmenge, die Sie mit uns teilen, möglichst gering halten möchten, können Sie sich anonym mit einem Konto-Schlüssel registrieren — ohne E-Mail und ohne Telegram-Verknüpfung. In diesem Fall liegen uns über die bloße Existenz Ihres Kontos hinaus keine identifizierenden Angaben vor.
12. Änderungen dieser Erklärung
Sollten wir wesentliche Änderungen an dieser Erklärung vornehmen, kündigen wir sie vorab an: durch eine Benachrichtigung in Ihrem Konto und per E-Mail (sofern Sie uns eine bestätigte Adresse hinterlegt haben). Die jeweils aktuelle Version finden Sie am Seitenende. Ältere Fassungen bewahren wir in einer Versionshistorie auf und senden sie Ihnen auf Wunsch zu.
13. So erreichen Sie uns
- Allgemeine Anfragen
- support@hlebushek.com
- Anfragen nach DSGVO und FZ-152
- privacy@hlebushek.com
- Telegram-Support
- @hlebushek_sup
- Website
- hlebushek.com · ru.hlebushek.com
Wir bemühen uns um eine Antwort innerhalb von 1–3 Werktagen. Anfragen nach DSGVO oder FZ-152 bearbeiten wir innerhalb der gesetzlichen Fristen (bis zu 30 Tage nach DSGVO, bis zu 30 Tage nach FZ-152).