Syncory verbindet deine Kalender, ohne dass du die Kontrolle abgibst. Wir setzen auf bewährte Verschlüsselung, zertifizierte Infrastruktur und das Prinzip der Datensparsamkeit – damit deine Termine privat bleiben. Hier erfährst du im Detail, wie wir das umsetzen.
Drei Prinzipien bestimmen jede technische Entscheidung bei Syncory.
Wir verarbeiten nur, was für die Synchronisierung wirklich nötig ist. Ereignisinhalte wie Titel, Beschreibungen oder Teilnehmer werden nicht dauerhaft gespeichert – nur die technischen Verknüpfungen, die zwei Termine als „denselben" identifizieren.
Daten sind unterwegs (TLS) und im Ruhezustand (AES-256-GCM für sensible Tokens) verschlüsselt. Selbst wer Zugriff auf die Datenbank hätte, sieht nur Chiffretext – nicht deine Zugangsschlüssel.
Der Zugriff erfolgt über OAuth – wir sehen deine Passwörter nie. Du kannst jede Verbindung jederzeit beim Anbieter oder in Syncory widerrufen und dein Konto vollständig löschen.
Wenn du einen Kalender verbindest, geben wir dein Passwort nie ein und sehen es nie. Stattdessen läuft alles über den offiziellen, sicheren OAuth-Fluss des jeweiligen Anbieters.
Du wirst direkt zu Google, Microsoft oder Apple weitergeleitet und meldest dich dort an – auf den Servern des Anbieters, nicht bei uns.
Du siehst genau, welche Berechtigungen Syncory anfragt. Wir fordern nur Kalenderzugriff an – keinen Zugriff auf E-Mails, Dateien oder Kontakte.
Statt eines Passworts erhält Syncory ein widerrufbares Zugangstoken. Es ist auf den Kalender beschränkt und kann jederzeit entzogen werden.
Das Token wird sofort verschlüsselt gespeichert und niemals im Klartext abgelegt – verwendet wird es ausschließlich, um deine Kalender zu synchronisieren.
Wichtig: Syncory erhält zu keinem Zeitpunkt deine Anmeldedaten. Du kannst den Zugriff jederzeit in den Sicherheitseinstellungen deines Kalender-Anbieters mit einem Klick widerrufen.
Zugangstokens sind die sensibelsten Daten, die Syncory hält. Deshalb werden sie mit AES-256-GCM verschlüsselt, bevor sie die Datenbank überhaupt erreichen.
ya29.a0Ad…Tk7Qpz9Renc:v1:9f3a2b…:7b2c4e…:e1d4c8a9f0…Syncory baut auf etablierte Cloud-Anbieter, die nach den höchsten Industriestandards geprüft sind. Deren Zertifizierungen kommen direkt deiner Sicherheit zugute.
Die Syncory-Anwendung läuft auf Vercel mit automatischem HTTPS, DDoS-Schutz und einem globalen Edge-Netzwerk.
Deine Daten liegen in einer PostgreSQL-Datenbank bei Supabase mit Row-Level-Security, gespeichert in der EU-Region.
Die Datenbank-Infrastruktur läuft auf Amazon Web Services – Rechenzentren mit jahrzehntelang etablierten Sicherheitsstandards.
Die genannten Zertifizierungen werden von den jeweiligen Anbietern (Vercel, Supabase, Amazon Web Services) gehalten und nachgewiesen. Sie beschreiben die Infrastruktur, auf der Syncory aufbaut.
Schutz endet nicht bei der Verschlüsselung der Tokens. Vom Browser bis zur Datenbank ist jede Schicht abgesichert.
Jede Verbindung läuft über HTTPS/TLS. Daten zwischen deinem Browser, Syncory und den Kalender-Anbietern werden verschlüsselt übertragen.
PostgreSQL Row-Level-Security stellt auf Datenbankebene sicher, dass jeder Nutzer ausschließlich seine eigenen Daten sehen kann – technisch erzwungen, nicht nur im Code.
Gespeicherte Daten sind auf Infrastruktur-Ebene verschlüsselt; sensible Tokens zusätzlich auf Anwendungsebene mit AES-256-GCM.
Dienste und Schlüssel erhalten nur die minimal nötigen Rechte. Administrativer Zugriff ist eng begrenzt und gesondert geschützt.
Syncory ist so gebaut, dass möglichst wenig sensible Information überhaupt anfällt. Das ist der wirksamste Datenschutz.
Sicherheit bedeutet auch, dass du in jedem Moment die Hoheit über deine Daten hast.
Trenne jede Kalenderverbindung in Syncory oder direkt in den Konto-Einstellungen deines Anbieters. Das Token wird damit sofort ungültig.
Lösche dein Konto und die zugehörigen Daten vollständig. Damit enden auch alle Synchronisierungen.
Aktiviere die Anonymisierung pro Sync – im Zielkalender erscheint dann nur „Beschäftigt" ohne Titel, Ort oder Teilnehmer. Ideal, wenn private und berufliche Kalender getrennt bleiben sollen.
Innerhalb des EWR hast du Anspruch auf Auskunft, Berichtigung, Löschung und Datenübertragbarkeit. Eine Nachricht an uns genügt.
Sichere Software entsteht nicht einmalig, sondern wird kontinuierlich gepflegt.
Alle Geheimnisse – API-Schlüssel, Verschlüsselungsschlüssel, Datenbank-Zugänge – liegen ausschließlich in geschützten Umgebungsvariablen, niemals im Quellcode.
Webhooks und API-Endpunkte sind durch Signaturen bzw. geheime Tokens abgesichert, damit nur legitime Anfragen verarbeitet werden.
Wir halten Frameworks und Bibliotheken aktuell, um bekannte Schwachstellen zeitnah zu schließen.
Jeder Sync läuft mit Sperren gegen Doppelausführung und greift nur auf die Daten der jeweiligen Regel zu.
Nein. Die Verbindung läuft ausschließlich über OAuth 2.0. Du meldest dich direkt beim Anbieter an; Syncory erhält nur ein widerrufbares Zugangstoken – nie deine Anmeldedaten.
Sie werden mit AES-256-GCM verschlüsselt, bevor sie die Datenbank erreichen. Der Schlüssel liegt getrennt von der Datenbank in einer geschützten Umgebungsvariable – in der Datenbank steht ausschließlich Chiffretext.
Trenne die Verbindung in Syncory oder entziehe Syncory in den Sicherheitseinstellungen deines Kalender-Anbieters die Berechtigung. Das Token wird sofort ungültig.
In einer PostgreSQL-Datenbank bei Supabase, gespeichert in der EU-Region auf AWS-Infrastruktur. Die Anwendung selbst läuft auf Vercel.
Ereignisinhalte wie Titel, Beschreibungen oder Teilnehmer werden nicht über die für einen Sync nötige Verarbeitung hinaus dauerhaft gespeichert. Mit der Anonymisierung pro Sync werden Titel und Details zusätzlich durch „Beschäftigt" ersetzt.
Ja. Schreib unserem Team – wir stellen dir die bei uns gespeicherten Daten in einem gängigen, maschinenlesbaren Format bereit. Innerhalb des EWR ist das Teil deines Rechts auf Datenübertragbarkeit.
Nein. Wir verkaufen keine Daten, schalten keine Werbung darauf und nutzen sie nicht zum Training von Machine-Learning-Modellen.
Die Anwendung läuft hinter dem globalen Edge-Netzwerk von Vercel, das automatischen DDoS-Schutz und Lastverteilung bietet. Auffälliger Traffic wird abgefangen, bevor er die Anwendung erreicht.
Wir nutzen zentrale Protokolle, Monitoring und automatische Alerts unserer Infrastruktur-Anbieter. Auffälligkeiten werden nach Schweregrad priorisiert und intern eskaliert, damit wir schnell reagieren können.
Ja. Automatisierte Schwachstellen- und Abhängigkeits-Scans laufen kontinuierlich während der Entwicklung und im Betrieb.
Die Datenbank wird automatisch und regelmäßig gesichert. In Kombination mit Infrastructure-as-Code lässt sich der Dienst im Notfall zügig und mit minimaler Ausfallzeit wiederherstellen.
Wir arbeiten bewusst nur mit etablierten Anbietern, die nach anerkannten Standards zertifiziert sind. Vor und während der Zusammenarbeit achten wir auf Reputation, Zertifizierungen, Vorfallhistorie und Sicherheitsrichtlinien.
Sollte es trotz aller Maßnahmen zu einer Verletzung des Schutzes deiner Daten kommen, benachrichtigen wir betroffene Nutzer unverzüglich im Rahmen der DSGVO.
Verbinde deine Kalender mit einem Dienst, der Datenschutz von Anfang an mitdenkt.