Bodo, the TrustScope mascotTrustScope
Rechtliches

Datenschutzerklärung

TrustScope ist so gebaut, dass es fast keine personenbezogenen Daten verarbeitet: kein Tracking, keine Analyse-Cookies, kein Newsletter und kein verpflichtendes Konto. Bewertet werden öffentliche Repositories, nicht Sie.

§ 1 · Verantwortlicher

Verantwortlich im Sinne der DSGVO ist:

German Rauhut IT Consulting & Digital Ventures

Einzelunternehmen — Inhaber: German Rauhut

Rotebühlstraße 176, 70197 Stuttgart, Deutschland

E-Mail: info@neckarshore.ai

Telefon: +49 160 385 9135

Ein/e Datenschutzbeauftragte/r ist gesetzlich nicht bestellungspflichtig (Art. 37 DSGVO, § 38 BDSG) und daher nicht benannt. Für alle Anliegen zum Datenschutz erreichen Sie uns unter den vorstehenden Kontaktdaten.

§ 2 · Hosting (Vercel)

TrustScope wird bei der Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA, gehostet. Beim Aufruf der Seiten verarbeitet Vercel technisch notwendige Verbindungsdaten (siehe § 3) als Auftragsverarbeiter für uns. Rechtsgrundlage ist unser berechtigtes Interesse an einem sicheren und leistungsfähigen Bereitstellen des Angebots (Art. 6 Abs. 1 lit. f DSGVO). Die Verarbeitung erfolgt auf Grundlage eines Auftragsverarbeitungsvertrags nach Art. 28 DSGVO, den wir mit Vercel geschlossen haben.

Dabei können Daten in die USA übermittelt werden. Grundlage der Übermittlung sind die EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO); zusätzlich ist Vercel unter dem EU-U.S. Data Privacy Framework zertifiziert. Ein Zugriff US-amerikanischer Behörden lässt sich trotz dieser Garantien nicht vollständig ausschließen.

§ 3 · Server-Logfiles

Beim Aufruf der Seiten fallen bei unserem Hosting-Anbieter technisch notwendige Zugriffsdaten an — insbesondere IP-Adresse, Zeitpunkt der Anfrage, angeforderte URL sowie übermittelter Browser- und Betriebssystem-Typ. Diese Daten dienen der Auslieferung, Sicherheit und Stabilität des Angebots und werden nicht mit anderen Datenquellen zusammengeführt. Rechtsgrundlage ist unser berechtigtes Interesse am sicheren Betrieb (Art. 6 Abs. 1 lit. f DSGVO).

Speicherdauer (Art. 13 Abs. 2 lit. a DSGVO): Diese Zugriffsdaten werden nur so lange gespeichert, wie es für die genannten Zwecke erforderlich ist, und anschließend gelöscht. Serverseitige Zugriffsprotokolle unseres Hosting-Anbieters werden regelmäßig kurzfristig vorgehalten und automatisch überschrieben; darüber hinaus führen wir selbst keine dauerhaften Logfiles.

§ 4 · Verarbeitung öffentlicher Repository-Daten

Die Kernfunktion von TrustScope ist das Bewerten öffentlicher GitHub-Repositories. Geben Sie ein Repository ein (URL oder owner/repo), rufen wir öffentlich zugängliche Daten über die GitHub-API ab und lassen die OpenSSF Scorecard darauf laufen. Verarbeitet werden ausschließlich bereits öffentliche Informationen des jeweiligen Projekts — dazu können auch personenbezogene Daten von Maintainern und Mitwirkenden gehören (etwa Namen, GitHub-Benutzernamen oder Angaben aus Governance-Dateien).

Rechtsgrundlage ist unser berechtigtes Interesse sowie das der Nutzer an einer nachvollziehbaren Sicherheits- und Vertrauensbewertung von Open-Source-Software vor deren Einsatz (Art. 6 Abs. 1 lit. f DSGVO). Es werden nur Daten verarbeitet, die die Projekte selbst öffentlich bereitstellen. Betroffene können der Verarbeitung unter den Voraussetzungen des Art. 21 DSGVO widersprechen.

Die erzeugten Berichte werden deterministisch aus den öffentlichen Daten abgeleitet und lediglich kurzzeitig zwischengespeichert (technischer Cache, Richtwert 24 Stunden), um wiederholte Abrufe zu beschleunigen; danach werden sie bei erneuter Anfrage neu erzeugt. Eine dauerhafte Profilbildung findet nicht statt.

Da wir diese Daten nicht bei den betroffenen Personen selbst, sondern aus der öffentlich zugänglichen Quelle GitHub erheben, erfolgt die Information nach Art. 14 DSGVO über diese Datenschutzerklärung. Eine gesonderte Benachrichtigung jeder einzelnen betroffenen Person wäre nur mit unverhältnismäßigem Aufwand möglich (Art. 14 Abs. 5 lit. b DSGVO), zumal ausschließlich bereits veröffentlichte Informationen verarbeitet werden.

§ 5 · Anmeldung mit GitHub (optional)

TrustScope funktioniert vollständig ohne Anmeldung. Optional können Sie sich mit Ihrem GitHub-Konto anmelden, um einen Verbesserungsvorschlag direkt als GitHub-Issue in Ihrem Namen zu eröffnen („file as yourself“). Ohne Anmeldung stehen gleichwertige Alternativen bereit — Markdown kopieren oder ein vorbefülltes Issue-Formular öffnen; dabei werden keine Anmeldedaten verarbeitet.

Melden Sie sich an, nutzen wir GitHub OAuth (Auth.js/NextAuth) mit dem minimalen Berechtigungsumfang read:user public_repo. Im Zuge der Anmeldung übermittelt GitHub Angaben zu Ihrer GitHub-Identität (u. a. Benutzername, numerische Nutzer-ID, angezeigter Name, Avatar-URL sowie, sofern bei GitHub öffentlich, Ihre E-Mail-Adresse). Davon speichert TrustScope ausschließlich das für die Funktion Notwendige — Ihre Nutzer-ID und ein Access-Token, das allein dazu dient, das von Ihnen ausgelöste Issue in Ihrem Namen bei GitHub zu erstellen (Datenminimierung, Art. 5 Abs. 1 lit. c DSGVO). Empfänger des Tokens ist GitHub. Diese Daten werden in einer technisch notwendigen, verschlüsselten Session (Cookie via NextAuth) gehalten und nicht dauerhaft in einer Datenbank gespeichert; mit Abmeldung oder Ablauf der Session endet die Nutzung durch TrustScope.

Rechtsgrundlage ist die Durchführung der von Ihnen angeforderten Funktion (Art. 6 Abs. 1 lit. b DSGVO) sowie unser berechtigtes Interesse an deren sicherer Umsetzung (Art. 6 Abs. 1 lit. f DSGVO); das notwendige Session-Cookie stützt sich auf § 25 Abs. 2 Nr. 2 TDDDG. Unabhängig davon setzt TrustScope keine Analyse- oder Tracking-Cookies und bindet keine Werbe- oder Tracking-Dienste Dritter ein.

GitHub wird von der GitHub, Inc. (USA) als eigenständig Verantwortliche betrieben. Mit der Anmeldung und dem Erstellen des Issues werden personenbezogene Daten in die USA übermittelt. Als Rechtsgrundlage kommen die Erforderlichkeit für die von Ihnen veranlasste Funktion (Art. 49 Abs. 1 lit. b DSGVO) sowie die Zertifizierung von GitHub, Inc. unter dem EU-U.S. Data Privacy Framework (Angemessenheit, Art. 45 DSGVO) in Betracht.

§ 6 · Lokale Speicherung (zuletzt angesehene Repositories)

Damit Sie zuletzt angesehene Repositories schnell wiederfinden, speichert TrustScope eine kurze Liste dieser Projekte ausschließlich lokal in Ihrem Browser (localStorage, Schlüssel trustscope:recent-repos, maximal acht Einträge). Gespeichert werden nur die von Ihnen selbst aufgerufenen Repository-Kennungen (owner/repo) samt Zeitpunkt — keine personenbezogenen Daten über Sie.

Diese Angaben verbleiben auf Ihrem Gerät und werden nicht an unseren Server oder an Dritte übermittelt. Es handelt sich um eine unbedingt für die von Ihnen gewünschte Komfortfunktion erforderliche Speicherung im Sinne des § 25 Abs. 2 Nr. 2 TDDDG; eine Einwilligung ist dafür nicht erforderlich. Sie können den Eintrag jederzeit löschen, indem Sie die Liste in der Oberfläche zurücksetzen oder die Websitedaten in Ihrem Browser leeren.

§ 7 · Ihre Rechte

Sie haben im Rahmen der gesetzlichen Voraussetzungen das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO), Einschränkung der Verarbeitung (Art. 18 DSGVO), Datenübertragbarkeit (Art. 20 DSGVO) sowie ein Widerspruchsrecht gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (Art. 21 DSGVO). Wenden Sie sich dafür an die in § 1 genannte Kontaktadresse.

§ 8 · Beschwerderecht

Unbeschadet anderweitiger Rechtsbehelfe haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO), insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.