🔒 CorVault

Datenschutzerklärung

gemäß Art. 13 und 14 DSGVO (Datenschutz-Grundverordnung) • Stand: Februar 2026

1. Verantwortlicher

CorSch — Inh. Robert Scheer

Zellerhornstraße 32, 72406 Bisingen, Deutschland

E-Mail: info@corsch.net

Support: support@corsch.net

2. Überblick: Zero-Knowledge-Architektur

CorVault ist ein Passwort-Manager mit Zero-Knowledge-Architektur. Das bedeutet:

• Ihre Passwörter und Zugangsdaten werden ausschließlich auf Ihrem Gerät ver- und entschlüsselt.
• Weder CorSch noch ein Cloud-Anbieter kann Ihre unverschlüsselten Daten lesen.
• Ihr Master-Passwort verlässt niemals Ihr Gerät.

3. Rechtsgrundlagen

Die Verarbeitung personenbezogener Daten erfolgt auf Basis folgender Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (z.B. Beta-Anmeldung, Newsletter)
• Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung (z.B. Bereitstellung des Cloud-Sync, Firmenkonto)
• Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse (z.B. Sicherheit, Server-Logfiles)

4. Datenverarbeitung der Website (vault.corsch.net)

4.1 SSL/TLS-Verschlüsselung

Diese Seite nutzt eine SSL/TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie am Schloss-Symbol in der Adresszeile Ihres Browsers.

4.2 Server-Logfiles

Beim Besuch dieser Website werden automatisch folgende Daten in Server-Logfiles gespeichert:

• Browsertyp und -version
• Verwendetes Betriebssystem
• Referrer URL
• IP-Adresse (anonymisiert nach 14 Tagen gelöscht)
• Uhrzeit der Serveranfrage

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherstellung eines fehlerfreien Betriebs).

4.3 Cookies und Tracking

Diese Website verwendet keine Tracking-Cookies und keine Analyse-Dienste Dritter (kein Google Analytics, kein Facebook Pixel o.ä.).

4.4 Beta-Anmeldung

Bei der Anmeldung zur Closed Beta wird Ihre E-Mail-Adresse gespeichert, um Ihnen den Zugang zur Beta-Version bereitzustellen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können Ihre Anmeldung jederzeit widerrufen per E-Mail an support@corsch.net.

5. Datenverarbeitung der App (CorVault)

5.1 Lokale Nutzung (ohne Cloud-Sync)

• Keine Daten werden an Server übertragen.
• Alle Tresor-Daten (Passwörter, TOTP-Codes, Notizen) bleiben ausschließlich auf Ihrem Gerät.
• Keine Analyse-Tools, kein Tracking, keine Werbung.

5.2 Update-Prüfung

Die Software kann automatisch prüfen, ob Updates verfügbar sind. Dabei wird eine Verbindung zu Servern des Anbieters hergestellt. Es werden keine personenbezogenen Daten übertragen — lediglich die aktuelle Versionsnummer wird abgeglichen.

5.3 CorSch Cloud-Sync

Bei Nutzung des Cloud-Sync werden folgende Daten auf unserem Server gespeichert:

• E-Mail-Adresse — für Kontoerstellung und Anmeldung
• Verschlüsselte Tresor-Datei — kann nur mit Ihrem Master-Passwort entschlüsselt werden
• Zeitstempel der letzten Synchronisierung

Der Anbieter hat zu keinem Zeitpunkt Zugriff auf Ihre unverschlüsselten Daten. Bei Verlust des Master-Passworts ist eine Wiederherstellung technisch nicht möglich.

5.4 Drittanbieter-Cloud (Dropbox, Google Drive, OneDrive)

• Die verschlüsselte Tresor-Datei wird in Ihrem eigenen Cloud-Speicher abgelegt.
• CorSch hat keinen Zugriff auf Ihr Cloud-Konto.
• Es gelten zusätzlich die Datenschutzrichtlinien des jeweiligen Cloud-Anbieters.

5.5 Firmenkonto (Business)

Bei Registrierung eines Firmenkontos werden zusätzlich gespeichert:

• Firmenname und Ansprechpartner
• E-Mail-Adresse und ggf. Telefonnummer
• Rechnungsdaten (für die Abrechnung)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

6. Verschlüsselung

• Algorithmus: AES-256-GCM (Advanced Encryption Standard)
• Schlüsselableitung: Argon2id mit hohem Speicher- und Zeitaufwand
• Verschlüsselungsort: Ausschließlich auf Ihrem Gerät (Client-Side Encryption)
• Der Verschlüsselungsschlüssel wird aus Ihrem Master-Passwort abgeleitet und niemals an Server übertragen.

7. Biometrische Daten

• CorVault nutzt die biometrischen Sensoren Ihres Geräts (Fingerabdruck, Gesichtserkennung) zur Entsperrung.
• Biometrische Daten werden ausschließlich lokal vom Betriebssystem verarbeitet.
• CorVault speichert oder überträgt keine biometrischen Daten.

8. Datenleck-Prüfung (HaveIBeenPwned)

• Bei der Passwort-Prüfung wird nicht Ihr vollständiges Passwort übertragen.
• Es wird das k-Anonymity-Verfahren verwendet: Nur die ersten 5 Zeichen des SHA-1-Hashs werden an die API gesendet.
• Ihr Passwort kann daraus nicht rekonstruiert werden.

9. Hosting und Serverstandort

Diese Website und die CorSch Cloud werden auf Servern in Deutschland gehostet. Eine Übermittlung personenbezogener Daten in Drittländer findet nicht statt.

10. Weitergabe an Dritte

Ihre personenbezogenen Daten werden nicht an Dritte verkauft, gehandelt oder anderweitig weitergegeben. Eine Ausnahme besteht nur bei gesetzlicher Verpflichtung (z.B. auf richterliche Anordnung) — wobei wir in diesem Fall nur verschlüsselte Daten herausgeben können.

11. Speicherdauer

• Server-Logfiles: max. 14 Tage
• Beta-Anmeldung: bis zum Ende der Beta-Phase oder bis zum Widerruf
• Cloud-Konto: bis zur Löschung durch Sie
• Firmenkonto: bis zur Kündigung, danach gemäß gesetzlicher Aufbewahrungsfristen (max. 10 Jahre für Rechnungsdaten)

12. Ihre Rechte

Sie haben gemäß DSGVO folgende Rechte:

• Auskunft (Art. 15 DSGVO) — Auskunft über Ihre gespeicherten Daten
• Berichtigung (Art. 16 DSGVO) — Berichtigung unrichtiger Daten
• Löschung (Art. 17 DSGVO) — Löschung Ihrer Daten ("Recht auf Vergessenwerden")
• Einschränkung (Art. 18 DSGVO) — Einschränkung der Verarbeitung
• Datenübertragbarkeit (Art. 20 DSGVO) — Ihre Daten in einem gängigen Format erhalten
• Widerspruch (Art. 21 DSGVO) — Widerspruch gegen die Verarbeitung
• Widerruf (Art. 7 Abs. 3 DSGVO) — erteilte Einwilligungen jederzeit widerrufen

Zur Ausübung Ihrer Rechte: support@corsch.net

13. Kontolöschung

Sie können Ihr CorSch Cloud-Konto jederzeit löschen:

• In der App unter Einstellungen > Konto > Konto löschen
• Über die Webseite: /delete-account
• Per E-Mail an support@corsch.net

Alle zugehörigen verschlüsselten Daten werden innerhalb von 30 Tagen von unseren Servern entfernt. Lokale Daten werden durch Deinstallation der App gelöscht.

14. Beschwerderecht bei einer Aufsichtsbehörde

Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren.

Zuständige Aufsichtsbehörde:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg

Lautenschlagerstraße 20, 70173 Stuttgart

www.baden-wuerttemberg.datenschutz.de

Stand: Februar 2026