Datenschutzerklärung
Zuletzt aktualisiert: 2026-05-08
1. Zwei Arten von Daten
2. Kontodaten
Was wir speichern und warum:
- E-Mail-Adresse - identifiziert Ihr Konto, verwendet für Verifikation, Passwort-Reset und Kontingent-Benachrichtigungen.
- Passwort - als Argon2id-Hash gespeichert, niemals im Klartext.
- Stufe - bestimmt Ihre Formular- und Einsendungslimits.
- Push-Abonnement-Endpoints - nur, wenn Sie Web-Push-Benachrichtigungen aktivieren. Diese stammen vom Push-Dienst Ihres Browsers (Google FCM, Mozilla, Apple) und ermöglichen es uns, Benachrichtigungen zu senden, wenn ein Formular eine Einsendung erhält.
Sie können Ihr Konto jederzeit löschen. Dies entfernt Ihren Kontoeintrag, Ihre Formulare und alle Einsendungsdaten.
3. Einsendungsdaten
Wenn ein Besucher eines Ihrer Formulare absendet, speichern wir:
- das gesendete JSON-Payload (welche Felder Sie auch immer angefordert haben);
- die IP-Adresse der Anfrage;
- den User-Agent-Header;
- den Origin-Header;
- einen Zeitstempel.
Einsendungsdaten sind nur für Sie als Konto-Inhaber sichtbar. Wir sehen sie uns nicht an, verkaufen sie nicht, profilieren sie nicht und teilen sie nicht mit Dritten außer den unten aufgeführten Auftragsverarbeitern. Sie entscheiden über die Aufbewahrung, indem Sie Einsendungen in Ihrem Dashboard löschen. Wenn Sie das Formular löschen, werden alle seine Einsendungen mit ihm entfernt.
Formular-Inhaber: Sie sind dafür verantwortlich, Besuchern mitzuteilen, was Sie sammeln und warum. Ein Link zu Ihrer eigenen Datenschutzerklärung auf der Seite mit dem Formular ist der übliche Ansatz.
4. Cookies
Formhook setzt einen einzigen Cookie: next-auth.session-token. Er ist HTTP-only, sicher, SameSite=Lax und lebt 30 Tage. Er existiert ausschließlich, um Sie im Dashboard angemeldet zu halten. Nach EU/UK-ePrivacy-Recht ist dies ein notwendiger Cookie und erfordert kein Consent-Banner.
Wir betreiben First-Party-Besuchsanalysen ohne Cookies auf unseren öffentlichen Marketing-Seiten: Wir erfassen den Pfad der Seite, die verweisende Website, das Land (aus dem Cloudflare-Header CF-IPCountry), die Browser- und OS-Familie sowie eine täglich rotierende anonyme Kennung, die aus Ihrer IP und Ihrem User-Agent abgeleitet wird. Wir speichern Ihre IP-Adresse nicht, setzen keine Tracking-Cookies und geben diese Daten nicht an Dritte weiter. Wir betreiben keine Drittanbieter-Tracking-Pixel und keine Werbeskripte.
5. Push-Benachrichtigungen
Web Push ist Opt-in. Wenn Sie es aktivieren, generiert Ihr Browser einen Abonnement-Token; wir speichern den Endpoint und die Verschlüsselungsschlüssel, die zur Auslieferung von Benachrichtigungen erforderlich sind. Standardmäßig sind Benachrichtigungstexte opak („Neue Einsendung für [Formularname]“) - kein Einsendungsinhalt geht über den Push-Dienst. Sie können im Dashboard auswählen, eine kurze Vorschau im Body der Benachrichtigung einzubeziehen.
Abmeldung, Passwort-Reset oder Deaktivierung der Benachrichtigungen entfernen Ihre Push-Abonnements aus unserer Datenbank.
6. Auftragsverarbeiter
| Auftragsverarbeiter | Rolle | Standort | Geteilte Daten |
|---|---|---|---|
| Hetzner Online GmbH | Hosting, Datenbank, Backups | Deutschland (EU) | Alle Konto- und Einsendungsdaten in Ruhe |
| Cloudflare, Inc. | DNS, TLS, CDN, Turnstile | Globaler Edge (nur in Transit) | IPs, Anfrage-Header; Turnstile-Tokens für aktivierte Formulare |
| Resend (Resend, Inc.) | Transaktionale E-Mails | EU-Versandregion | E-Mail-Adresse + E-Mail-Body für Verifikation, Passwort-Reset, Kontingent-Alarme |
| Google FCM / Mozilla autopush / Apple APNs | Web-Push-Auslieferung | Variiert je nach Browser-Anbieter | Endpoint-Token + verschlüsseltes Benachrichtigungs-Payload (wenn Push aktiviert) |
7. Datenaufbewahrung
- Konto-E-Mail, Passwort-Hash, Stufe - aufbewahrt, solange Ihr Konto aktiv ist; entfernt, wenn Sie das Konto löschen.
- Einsendungen - aufbewahrt, bis Sie die Einsendung, das Formular oder Ihr gesamtes Konto löschen. Heute kein automatisches Bereinigen.
- E-Mail-Verifikations-Tokens - TTL 24 Stunden, gelöscht bei Nutzung oder Ablauf. Passwort-Reset-Tokens - TTL 10 Minuten, gelöscht bei Nutzung oder Ablauf.
- Push-Abonnements - gelöscht bei Abmeldung, Passwortwechsel oder wenn der Push-Dienst meldet, dass der Endpoint weg ist (HTTP 404 / 410).
- Backups - verschlüsselter nächtlicher Postgres-Dump, 14 Tage auf dem Host aufbewahrt. Backups laufen automatisch ab. Konto-Löschung entfernt Daten sofort aus der Live-Datenbank; sie verschwinden aus historischen Backup-Snapshots innerhalb des 14-Tage-Fensters.