$ cat /etc/internalhost/privacy

Datenschutzerklärung

Version 1.0 · Zuletzt aktualisiert: 2026-05-19 · Sofort wirksam

TL;DR

Wir erfassen nur das Minimum, um einen Server zu liefern und dir eine Rechnung zu schicken. Kein Tracking, keine Werbenetzwerke, kein Datenverkauf. Wir sitzen in der EU, die DSGVO gilt, und wir teilen deine Daten nie mit Dritten, außer wenn das Gesetz es verlangt.

1. Wer wir sind

InternalHost ist ein Einzelunternehmen (KvK 90174720) im Besitz von Xaviero Kajafas, ansässig in Amsterdam. Sitz: Bijlmerdreef 910, 1103 DV Amsterdam. Büro (nach Vereinbarung): Nieuwe Hemweg 26, 1013 CX Amsterdam. Wir sind „Verantwortlicher" im Sinne der DSGVO für die personenbezogenen Daten, die du uns als Kunde anvertraust.

2. Was wir erfassen

Drei Kategorien, mehr nicht:

  • Kontodaten: Name, E-Mail, Firmenname (optional), USt-ID (optional, für B2B). Von dir bei der Registrierung angegeben.
  • Abrechnungsdaten: Rechnungsanschrift, Zahlungsmethode (wir speichern keine Kartennummern — die liegen bei Mollie/Revolut), Zahlungshistorie. Erforderlich nach NL-Steuerrecht + DSGVO Art. 6(1)(b) (Vertrag).
  • Technische Daten: Session-IP, Browser-User-Agent, Anmelde-Zeitstempel. Erforderlich für Sicherheit (CrowdSec, fail2ban) und Betrugsprävention. Rechtsgrundlage: Art. 6(1)(f) (berechtigtes Interesse).

Wir erfassen nicht: Third-Party-Tracking-Cookies, Social-Media-Pixel, Werbe-IDs, Geolokation jenseits der IP, Verhaltensanalyse, Maus-Tracking oder andere Überwachungstechnik.

3. Wofür wir es nutzen

  • Lieferung des bestellten Dienstes (Server provisionieren, Mail schicken, Support).
  • Rechnungen erstellen und versenden.
  • Missbrauch auf unserer Infrastruktur erkennen und stoppen (siehe AUP).
  • Erfüllung gesetzlicher Aufbewahrungspflichten (NL-Steuer: Rechnungen 7 Jahre).

Wir nutzen es nicht für: Profiling, personalisierte Werbung, Weiterverkauf, KI-Modelltraining oder andere Nebengeschäfte.

4. Wie lange wir es aufbewahren

  • Kontodaten: solange du Kunde bist + 30 Tage nach Kündigung für eventuelle Ansprüche.
  • Rechnungen: 7 Jahre (NL-Steuerrecht).
  • Login-Logs: 90 Tage (Security-Forensik).
  • Server-Daten (dein VPS-Inhalt): solange dein Dienst aktiv ist. Nach Kündigung 14 Tage für Recovery, danach dauerhaft gelöscht.
  • Support-Tickets: 2 Jahre.

5. Mit wem wir teilen

Kurze Liste. Alle hier sind Auftragsverarbeiter unter EU-Gerichtsbarkeit:

  • Mollie (NL): Zahlungsdienstleister. Erhält deinen Namen, Rechnungsbetrag, E-Mail. Mollie Datenschutz.
  • Revolut Business (LT, EU): alternativer Zahlungsdienstleister. Gleicher Umfang wie Mollie.
  • Cloudflare (US, EU-Datenregion): CDN/DDoS für diese Website. Verarbeitet deine IP + Browser-Fingerprint für Anti-Bot. Standardvertragsklauseln gelten. Cloudflare Datenschutz.
  • Qupra DC (NL): Datacenter. Physischer Zugriff auf unsere Hardware, kein logischer Zugriff auf Daten.
  • OpenProvider (NL): Domain-Registrar — nur relevant, wenn du eine Domain bei uns registrierst. Erhält WHOIS-Kontaktdaten.

Das war's. Keine Tracking-Pixel, keine Werbeplattformen, keine „Analytics"-SaaS.

6. Deine Rechte (DSGVO)

Du hast das Recht auf:

  • Zugriff auf alle deine Daten.
  • Berichtigung.
  • Löschung (außer wo gesetzliche Aufbewahrung gilt).
  • Maschinenlesbare Kopie (Datenübertragbarkeit).
  • Widerspruch gegen Verarbeitung auf Grundlage des berechtigten Interesses.
  • Beschwerde bei der niederländischen Datenschutzbehörde.

E-Mail an [email protected]. Wir antworten innerhalb von 30 Tagen, meistens innerhalb von 5.

7. Sicherheit

  • TLS überall (HSTS preloaded).
  • Passwörter bcrypt-gespeichert, nie im Klartext.
  • Produktions-SSH nur über ed25519-Keys, Passwort-Auth aus.
  • MFA Pflicht für Admin-Konten.
  • CrowdSec + fail2ban auf allen öffentlichen Endpoints.
  • Tägliche verschlüsselte Backups der Kundendaten.
  • Beschränkter Zugriff: Nur Nick und Jarreth haben Prod-Shell, nur Xavi hat Filament-Admin.

Datenpanne? Wir informieren die Datenschutzbehörde und betroffene Kunden innerhalb von 72 Stunden, gemäß DSGVO Art. 33-34.

8. Kontakt + Änderungen

Fragen, Anfragen oder Beschwerden: [email protected] oder Signal (Link im Footer). Wir behalten uns vor, diese Erklärung anzupassen. Wesentliche Änderungen werden aktiven Kunden mindestens 30 Tage vor Inkrafttreten per E-Mail mitgeteilt.