Sicherheit & Datenschutz

Deine Kalenderdaten – kompromisslos geschützt

Syncory verbindet deine Kalender, ohne dass du die Kontrolle abgibst. Wir setzen auf bewährte Verschlüsselung, zertifizierte Infrastruktur und das Prinzip der Datensparsamkeit – damit deine Termine privat bleiben. Hier erfährst du im Detail, wie wir das umsetzen.

EU
Deine Daten werden in der Europäischen Union gespeichert
OAuth 2.0
Verbinden ohne Passwort – jederzeit widerrufbar
AES-256-GCM
Zugangstokens verschlüsselt gespeichert
SOC 2 · ISO 27001
Zertifizierte Cloud-Infrastruktur
Grundprinzipien

Sicherheit ist kein Feature, sondern die Grundlage

Drei Prinzipien bestimmen jede technische Entscheidung bei Syncory.

Datensparsamkeit

Wir verarbeiten nur, was für die Synchronisierung wirklich nötig ist. Ereignisinhalte wie Titel, Beschreibungen oder Teilnehmer werden nicht dauerhaft gespeichert – nur die technischen Verknüpfungen, die zwei Termine als „denselben" identifizieren.

Verschlüsselung überall

Daten sind unterwegs (TLS) und im Ruhezustand (AES-256-GCM für sensible Tokens) verschlüsselt. Selbst wer Zugriff auf die Datenbank hätte, sieht nur Chiffretext – nicht deine Zugangsschlüssel.

Du behältst die Kontrolle

Der Zugriff erfolgt über OAuth – wir sehen deine Passwörter nie. Du kannst jede Verbindung jederzeit beim Anbieter oder in Syncory widerrufen und dein Konto vollständig löschen.

Verbindung & Authentifizierung

OAuth 2.0: Zugriff ohne dein Passwort

Wenn du einen Kalender verbindest, geben wir dein Passwort nie ein und sehen es nie. Stattdessen läuft alles über den offiziellen, sicheren OAuth-Fluss des jeweiligen Anbieters.

1

Anmeldung beim Anbieter

Du wirst direkt zu Google, Microsoft oder Apple weitergeleitet und meldest dich dort an – auf den Servern des Anbieters, nicht bei uns.

2

Zustimmung zu minimalen Rechten

Du siehst genau, welche Berechtigungen Syncory anfragt. Wir fordern nur Kalenderzugriff an – keinen Zugriff auf E-Mails, Dateien oder Kontakte.

3

Anbieter stellt ein Token aus

Statt eines Passworts erhält Syncory ein widerrufbares Zugangstoken. Es ist auf den Kalender beschränkt und kann jederzeit entzogen werden.

4

Sichere Nutzung

Das Token wird sofort verschlüsselt gespeichert und niemals im Klartext abgelegt – verwendet wird es ausschließlich, um deine Kalender zu synchronisieren.

Wichtig: Syncory erhält zu keinem Zeitpunkt deine Anmeldedaten. Du kannst den Zugriff jederzeit in den Sicherheitseinstellungen deines Kalender-Anbieters mit einem Klick widerrufen.

Verschlüsselung

Deine Tokens sind verschlüsselt – nicht nur „geschützt"

Zugangstokens sind die sensibelsten Daten, die Syncory hält. Deshalb werden sie mit AES-256-GCM verschlüsselt, bevor sie die Datenbank überhaupt erreichen.

  • AES-256-GCM – authentifizierte Verschlüsselung, die auch Manipulation erkennt
  • Eigener Initialisierungsvektor pro Token (96 Bit)
  • Der Schlüssel liegt getrennt von der Datenbank in einer geschützten Umgebungsvariable
  • In der Datenbank steht nur Chiffretext – nie ein lesbares Token
Dein Zugangstoken
ya29.a0Ad…Tk7Qpz9R
AES-256-GCM
In der Datenbank gespeichert
enc:v1:9f3a2b…:7b2c4e…:e1d4c8a9f0…
Infrastruktur & Zertifizierungen

Auf Schultern zertifizierter Rechenzentren

Syncory baut auf etablierte Cloud-Anbieter, die nach den höchsten Industriestandards geprüft sind. Deren Zertifizierungen kommen direkt deiner Sicherheit zugute.

Vercel
Anwendung & Hosting

Die Syncory-Anwendung läuft auf Vercel mit automatischem HTTPS, DDoS-Schutz und einem globalen Edge-Netzwerk.

SOC 2 Type IIISO 27001Automatisches TLS
Supabase
Datenbank & Auth

Deine Daten liegen in einer PostgreSQL-Datenbank bei Supabase mit Row-Level-Security, gespeichert in der EU-Region.

SOC 2 Type IIEU-RegionVerschlüsselung at rest
AWS
Zugrunde liegende Cloud

Die Datenbank-Infrastruktur läuft auf Amazon Web Services – Rechenzentren mit jahrzehntelang etablierten Sicherheitsstandards.

ISO 27001 / 27017 / 27018SOC 1 / 2 / 3Physische Sicherheit

Die genannten Zertifizierungen werden von den jeweiligen Anbietern (Vercel, Supabase, Amazon Web Services) gehalten und nachgewiesen. Sie beschreiben die Infrastruktur, auf der Syncory aufbaut.

Übertragung & Zugriff

Sicher auf jeder Ebene

Schutz endet nicht bei der Verschlüsselung der Tokens. Vom Browser bis zur Datenbank ist jede Schicht abgesichert.

Verschlüsselte Übertragung

Jede Verbindung läuft über HTTPS/TLS. Daten zwischen deinem Browser, Syncory und den Kalender-Anbietern werden verschlüsselt übertragen.

Strikte Zugriffskontrolle

PostgreSQL Row-Level-Security stellt auf Datenbankebene sicher, dass jeder Nutzer ausschließlich seine eigenen Daten sehen kann – technisch erzwungen, nicht nur im Code.

Verschlüsselung im Ruhezustand

Gespeicherte Daten sind auf Infrastruktur-Ebene verschlüsselt; sensible Tokens zusätzlich auf Anwendungsebene mit AES-256-GCM.

Least Privilege

Dienste und Schlüssel erhalten nur die minimal nötigen Rechte. Administrativer Zugriff ist eng begrenzt und gesondert geschützt.

Datenminimierung

Was wir nicht speichern, kann nicht verloren gehen

Syncory ist so gebaut, dass möglichst wenig sensible Information überhaupt anfällt. Das ist der wirksamste Datenschutz.

  • Keine dauerhafte Speicherung von Ereignisinhalten wie Titeln, Beschreibungen oder Teilnehmern – über die für einen Sync nötige Verarbeitung hinaus.
  • Über die Anonymisierungs-Option in den Sync-Einstellungen werden Titel und Details durch einen neutralen „Beschäftigt"-Eintrag ersetzt.
  • Wir nutzen deine Kalenderdaten niemals für Werbung und verkaufen sie nicht.
  • Daten von Google-APIs werden gemäß der Google API Services User Data Policy ausschließlich für nutzerseitige Funktionen verwendet – nicht zum Training von KI-Modellen.
Deine Kontrolle

Du entscheidest – jederzeit

Sicherheit bedeutet auch, dass du in jedem Moment die Hoheit über deine Daten hast.

Zugriff widerrufen

Trenne jede Kalenderverbindung in Syncory oder direkt in den Konto-Einstellungen deines Anbieters. Das Token wird damit sofort ungültig.

Konto löschen

Lösche dein Konto und die zugehörigen Daten vollständig. Damit enden auch alle Synchronisierungen.

Anonymisierung

Aktiviere die Anonymisierung pro Sync – im Zielkalender erscheint dann nur „Beschäftigt" ohne Titel, Ort oder Teilnehmer. Ideal, wenn private und berufliche Kalender getrennt bleiben sollen.

DSGVO-Rechte

Innerhalb des EWR hast du Anspruch auf Auskunft, Berichtigung, Löschung und Datenübertragbarkeit. Eine Nachricht an uns genügt.

Betrieb & Entwicklung

Sicherheit, die im Hintergrund mitläuft

Sichere Software entsteht nicht einmalig, sondern wird kontinuierlich gepflegt.

Sichere Schlüsselverwaltung

Alle Geheimnisse – API-Schlüssel, Verschlüsselungsschlüssel, Datenbank-Zugänge – liegen ausschließlich in geschützten Umgebungsvariablen, niemals im Quellcode.

Gehärtete Schnittstellen

Webhooks und API-Endpunkte sind durch Signaturen bzw. geheime Tokens abgesichert, damit nur legitime Anfragen verarbeitet werden.

Aktuelle Abhängigkeiten

Wir halten Frameworks und Bibliotheken aktuell, um bekannte Schwachstellen zeitnah zu schließen.

Isolierte Verarbeitung

Jeder Sync läuft mit Sperren gegen Doppelausführung und greift nur auf die Daten der jeweiligen Regel zu.

Häufige Fragen

Sicherheit – kurz beantwortet

Kann Syncory mein Passwort sehen?

Nein. Die Verbindung läuft ausschließlich über OAuth 2.0. Du meldest dich direkt beim Anbieter an; Syncory erhält nur ein widerrufbares Zugangstoken – nie deine Anmeldedaten.

Wie sind die Zugangstokens geschützt?

Sie werden mit AES-256-GCM verschlüsselt, bevor sie die Datenbank erreichen. Der Schlüssel liegt getrennt von der Datenbank in einer geschützten Umgebungsvariable – in der Datenbank steht ausschließlich Chiffretext.

Wie widerrufe ich den Zugriff?

Trenne die Verbindung in Syncory oder entziehe Syncory in den Sicherheitseinstellungen deines Kalender-Anbieters die Berechtigung. Das Token wird sofort ungültig.

Wo werden meine Daten gespeichert?

In einer PostgreSQL-Datenbank bei Supabase, gespeichert in der EU-Region auf AWS-Infrastruktur. Die Anwendung selbst läuft auf Vercel.

Werden meine Termininhalte gespeichert?

Ereignisinhalte wie Titel, Beschreibungen oder Teilnehmer werden nicht über die für einen Sync nötige Verarbeitung hinaus dauerhaft gespeichert. Mit der Anonymisierung pro Sync werden Titel und Details zusätzlich durch „Beschäftigt" ersetzt.

Kann ich meine Daten exportieren?

Ja. Schreib unserem Team – wir stellen dir die bei uns gespeicherten Daten in einem gängigen, maschinenlesbaren Format bereit. Innerhalb des EWR ist das Teil deines Rechts auf Datenübertragbarkeit.

Nutzt ihr meine Daten für Werbung oder KI-Training?

Nein. Wir verkaufen keine Daten, schalten keine Werbung darauf und nutzen sie nicht zum Training von Machine-Learning-Modellen.

Wie schützt ihr euch vor DDoS-Angriffen?

Die Anwendung läuft hinter dem globalen Edge-Netzwerk von Vercel, das automatischen DDoS-Schutz und Lastverteilung bietet. Auffälliger Traffic wird abgefangen, bevor er die Anwendung erreicht.

Wie werden Sicherheitsvorfälle erkannt und behandelt?

Wir nutzen zentrale Protokolle, Monitoring und automatische Alerts unserer Infrastruktur-Anbieter. Auffälligkeiten werden nach Schweregrad priorisiert und intern eskaliert, damit wir schnell reagieren können.

Führt ihr regelmäßige Sicherheitsprüfungen durch?

Ja. Automatisierte Schwachstellen- und Abhängigkeits-Scans laufen kontinuierlich während der Entwicklung und im Betrieb.

Wie sieht euer Backup- und Wiederherstellungsplan aus?

Die Datenbank wird automatisch und regelmäßig gesichert. In Kombination mit Infrastructure-as-Code lässt sich der Dienst im Notfall zügig und mit minimaler Ausfallzeit wiederherstellen.

Wie wählt ihr eure Drittanbieter aus?

Wir arbeiten bewusst nur mit etablierten Anbietern, die nach anerkannten Standards zertifiziert sind. Vor und während der Zusammenarbeit achten wir auf Reputation, Zertifizierungen, Vorfallhistorie und Sicherheitsrichtlinien.

Wie informiert ihr bei einer Datenschutzverletzung?

Sollte es trotz aller Maßnahmen zu einer Verletzung des Schutzes deiner Daten kommen, benachrichtigen wir betroffene Nutzer unverzüglich im Rahmen der DSGVO.

Bereit, sicher zu synchronisieren?

Verbinde deine Kalender mit einem Dienst, der Datenschutz von Anfang an mitdenkt.