Impressum

Angaben gemäß § 5 TMG.

Verantwortlich für den Inhalt:
Tobias Wagner
Anschrift bitte vor Veröffentlichung eintragen
Deutschland

Kontakt:
E-Mail: kontakt@twgnr.de

Verantwortlich i. S. d. § 18 Abs. 2 MStV:
Tobias Wagner (Anschrift wie oben)

Haftung für Inhalte

Als Diensteanbieter sind wir gemäß § 7 Abs. 1 TMG für eigene Inhalte auf diesen Seiten nach den allgemeinen Gesetzen verantwortlich. Nach §§ 8 bis 10 TMG sind wir als Diensteanbieter jedoch nicht verpflichtet, übermittelte oder gespeicherte fremde Informationen zu überwachen oder nach Umständen zu forschen, die auf eine rechtswidrige Tätigkeit hinweisen.

Haftung für Links

Unser Angebot enthält Links zu externen Webseiten Dritter, auf deren Inhalte wir keinen Einfluss haben. Deshalb können wir für diese fremden Inhalte auch keine Gewähr übernehmen.

Urheberrecht

Die durch die Seitenbetreiber erstellten Inhalte und Werke auf diesen Seiten unterliegen dem deutschen Urheberrecht. Die Vervielfältigung, Bearbeitung, Verbreitung und jede Art der Verwertung außerhalb der Grenzen des Urheberrechtes bedürfen der schriftlichen Zustimmung des jeweiligen Autors bzw. Erstellers.

Datenschutzerklärung

Diese Anwendung ist ein Passwort-Tresor mit Ende-zu-Ende-Verschlüsselung. Wir erfassen so wenige personenbezogene Daten wie technisch möglich. Diese Erklärung beschreibt, welche Daten zu welchem Zweck verarbeitet werden.

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung ist die im Impressum genannte Person.

2. Verarbeitete Daten und Zwecke

a) Konto-Daten

• E-Mail-Adresse: für Login, Wiederherstellungs-Codes, Geräte-Benachrichtigungen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
• Hashed Authentication-Key: bcrypt-Hash eines vom Master-Passwort abgeleiteten Schlüssels. Das Master-Passwort selbst verlässt dein Gerät NIE.
• Lizenz-Status (Trial / Subscription / Perpetual): zur Zugriffsverwaltung.

b) Tresor-Daten

Sämtliche Tresor-Einträge (Logins, Karten, Identitäten, Notizen, Anhänge) werden AES-256-GCM-verschlüsselt mit einem Schlüssel, den nur DU kennst. Der Server speichert ausschließlich Ciphertext. Wir können den Inhalt deines Tresors weder lesen noch wiederherstellen.

c) Server-Logs

• IP-Adresse + Zeitstempel bei jedem Request — für Spam-/Brute-Force-Schutz und Anomalie-Erkennung. Aufbewahrung: 30 Tage. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit).
• Audit-Log (Login, Vault-Änderungen, Sharing-Aktionen) — für deine eigene Sicht ins Sicherheits-Dashboard. Aufbewahrung: 180 Tage. Rechtsgrundlage: Art. 6 Abs. 1 lit. f.

d) Cookies

Wir setzen ein einziges, technisch notwendiges Cookie für die Login-Sitzung (HttpOnly, Secure, SameSite=None für native Apps bzw. Lax im Browser). Es enthält ein zufälliges Sitzungs-Token, keine personenbezogenen Daten. Keine Tracking-, Analyse- oder Werbecookies.

3. Drittanbieter-Dienste

• Stripe (Zahlungsabwicklung): Stripe Payments Europe Ltd., Dublin, Irland. Bei Abschluss eines kostenpflichtigen Abos werden Name, E-Mail-Adresse und Zahlungsdaten direkt an Stripe übermittelt — wir selbst speichern keine Kartendaten auf unseren Servern. Stripe ist PCI-DSS-Level-1-zertifiziert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO ist mit Stripe abgeschlossen. Datenschutz-Erklärung von Stripe: stripe.com/de/privacy.
• HIBP / haveibeenpwned.com: Optional. Bei Klick auf den Breach-Check senden wir die ersten 5 Hex-Zeichen eines SHA-1-Hashes deines Passworts an die HIBP-API (k-anonymity, RFC 8959). Das tatsächliche Passwort wird NIEMALS übertragen.
• SMTP-Mailversand: Für Verifizierungs- und Alarm-E-Mails über den im Backend konfigurierten SMTP-Provider.

4. Cross-Origin-Requests von nativen Apps

Die Android- und Desktop-App melden sich beim Server unter den Origins https://localhost bzw. pwdapp://app an. Diese sind in unserer CORS-Allowlist eingetragen. Cookies werden mit SameSite=None;Secure gesetzt, sodass die Login-Sitzung über das Origin hinweg funktioniert.

5. Deine Rechte

• Auskunft (Art. 15 DSGVO) — wir liefern dir auf Anfrage alle zu deinem Konto gespeicherten Daten als JSON-Export.
• Berichtigung (Art. 16) — Email-Adresse änderbar via Einstellungen → Konto.
• Löschung (Art. 17) — „Konto löschen" in den Konto-Einstellungen. Hard-Delete von User-Datensatz, Tresor, Sessions und Audit-Log.
• Datenübertragbarkeit (Art. 20) — Vault-Export als JSON jederzeit möglich.
• Widerruf einer Einwilligung mit Wirkung für die Zukunft.
• Beschwerde bei der zuständigen Aufsichtsbehörde.

6. Aufbewahrungsdauer

Konto-Daten: bis Konto gelöscht wird. Server-Logs: 30 Tage. Audit-Log: 180 Tage. Verifizierungs-Tokens: 24 h. WebAuthn-Challenges: 5 Minuten.

7. Sicherheit

Argon2id-Schlüsselableitung clientseitig (64 MiB, 3 Iterationen), AES-256-GCM für jeden Tresor-Eintrag, HTTPS-only mit HSTS, strikte Content-Security-Policy, Brute-Force-Lockout, 2FA via WebAuthn / Passkeys.

Kontakt

Datenschutz-Anfragen und Auskunftsersuchen: datenschutz@twgnr.de

Letzte Aktualisierung: Mai 2026.

Imprint

Information pursuant to § 5 of the German Telemedia Act (TMG).

Responsible for content:
Tobias Wagner
Address to be filled in before publication
Germany

Contact: kontakt@twgnr.de

Privacy Policy

This application is an end-to-end encrypted password vault. We collect the minimum personal data technically necessary.

1. Data we process

• Account: email address, bcrypt(authKey), licence state. Your master password never leaves your device.
• Vault: AES-256-GCM-encrypted client-side. We store only ciphertext and cannot read your entries.
• Server logs: IP + timestamp (30 days for security), audit log (180 days).
• Cookies: one HttpOnly session cookie. No tracking.

2. Third-party services

• Stripe (Stripe Payments Europe Ltd., Dublin, IE) — payment processing for paid subscriptions. Name, email and card details are sent directly to Stripe; we do not store card data on our servers. Stripe is PCI-DSS Level 1 certified. Legal basis: Art. 6(1)(b) GDPR (contract performance). Data Processing Agreement (DPA) per Art. 28 GDPR is in place. Stripe privacy: stripe.com/privacy.
• haveibeenpwned.com — optional breach check via SHA-1 5-char prefix (k-anonymity). Your password is never sent.
• SMTP provider — for verification and alert emails.

3. Your rights (GDPR)

• Access (Art. 15) — JSON export of all stored data on request.
• Erasure (Art. 17) — “Delete account” in settings, hard-deletes everything.
• Portability (Art. 20) — vault export to JSON anytime.
• Complaint with the competent supervisory authority.

4. Security

Client-side Argon2id (64 MiB, 3 iterations), AES-256-GCM, HTTPS+HSTS, strict CSP, brute-force lockout, WebAuthn / passkey 2FA.

5. Contact

Privacy requests: datenschutz@twgnr.de

Last updated: May 2026.