
Datenschutz · FraudShield
Datenschutzerklärung
Transparente Informationen zur Verarbeitung von Daten bei der Nutzung von FraudShield, insbesondere Domain-Prüfung, IBAN-Prüfung, Verdachtsmeldung, Fallbericht und Free-OSINT-Quellenabruf.

Wichtiger Hinweis
Diese Datenschutzerklärung ist eine sorgfältig ausgearbeitete Projektfassung für die Präsentation und den aktuellen Entwicklungsstand. Vor einem Produktivbetrieb mit Nutzerkonten, Uploads, Datenbank, Partner-API oder institutioneller Nutzung sollte sie juristisch geprüft und an die tatsächliche technische Umsetzung angepasst werden.

2. Zweck der Plattform
FraudShield dient der strukturierten Risikoprüfung von Online-Shops, Domains, URLs, Zahlungsdaten und Verdachtsfällen. Das System soll Nutzerinnen und Nutzer vor Zahlungsausgängen sensibilisieren, Belege ordnen und bei Bedarf einen sachlichen Bericht für Bank, Polizei, Verbraucherzentrale oder Rechtsberatung vorbereiten.

3. Server-Logdaten
Beim Aufruf der Website können technisch notwendige Zugriffsdaten verarbeitet werden. Dazu gehören insbesondere IP-Adresse, Datum und Uhrzeit des Zugriffs, aufgerufene Datei, Referrer-URL, Browsertyp, Betriebssystem, HTTP-Statuscode und übertragene Datenmenge.
Die Verarbeitung erfolgt zur Auslieferung der Website, zur technischen Stabilität, zur Missbrauchsabwehr und zur IT-Sicherheit.

4. Eingaben im Scanner und IBAN-Check
Bei einer Domain- oder URL-Prüfung können die eingegebene Domain, technische Metadaten, Prüfergebnisse, Risikosignale und Quellenverweise verarbeitet werden. Bei einer IBAN-Prüfung sollte die IBAN grundsätzlich maskiert und zusätzlich nur als Hash verarbeitet werden, damit Wiedererkennung möglich ist, ohne die vollständige IBAN öffentlich offenzulegen.
Öffentlich sichtbare Ausgaben sollen keine vollständigen IBANs, keine unnötigen personenbezogenen Daten und keine unbelegten Vorwürfe enthalten.

5. Lokale Speicherung im Browser
Teile der aktuellen Anwendung speichern Scans, Logbucheinträge und Berichtsentwürfe lokal im Browser des Nutzers über LocalStorage. Diese Daten verbleiben grundsätzlich auf dem jeweiligen Gerät, solange sie nicht aktiv exportiert, gelöscht oder in eine spätere Serverfunktion übernommen werden.

6. Verdachtsmeldungen und Fallberichte
Wenn Nutzer einen Verdachtsfall erfassen, können je nach Eingabe folgende Daten betroffen sein: Domain, Shopname, Produkt, Zahlungsart, Betrag, Empfängername, maskierte IBAN, IBAN-Hash, Bestellnummer, Beschreibung, Quellenlinks und Anlagenhinweise.
Diese Daten dienen der Beweissicherung, der strukturierten Risikodokumentation und der Vorbereitung von Meldungen an Bank, Polizei, Verbraucherzentrale oder Rechtsberatung. Eine Veröffentlichung als „bestätigter Betrugsfall“ sollte nur nach Prüfung und mit belastbaren Quellen erfolgen.

7. Externe Quellen und Free-OSINT-Abrufe
FraudShield kann frei erreichbare Quellen und Feeds zur Risikoeinschätzung abrufen, zum Beispiel öffentliche Warnlisten, Phishing-/Malware-Feeds, technische URL-Analysequellen oder Verbraucherschutzseiten. Dabei können Suchbegriffe wie eine Domain oder URL an externe Dienste übertragen werden, sofern diese Funktion aktiv genutzt wird.
Für einen produktiven Betrieb sollte in der Oberfläche klar angezeigt werden, welche Module aktiv sind und welche externen Dienste kontaktiert werden.

8. Datenminimierung und Schutzkonzept
- IBANs öffentlich nur maskiert anzeigen.
- Interne Wiedererkennung über Hash und Salt statt öffentlicher Vollanzeige.
- Keine personenbezogenen Vorwürfe ohne Beleg veröffentlichen.
- Trennung zwischen bestätigter Warnquelle, öffentlichem Hinweis, Community-Meldung und bloßem Muster.
- Admin-Prüfung vor Aufnahme in bestätigte Watchlists.
- Lösch- und Korrekturprozess für betroffene Personen und Unternehmen vorsehen.

9. Rechtsgrundlagen
Je nach konkreter Funktion und Betriebsart kommen insbesondere die Verarbeitung zur Bereitstellung der Website, berechtigte Interessen an IT-Sicherheit, Betrugsprävention und Beweissicherung sowie gegebenenfalls Einwilligungen oder vertragliche Grundlagen für Partnerzugänge in Betracht.
Die konkrete Rechtsgrundlage sollte im Produktivbetrieb passend zur tatsächlich aktivierten Funktion dokumentiert werden.

10. Speicherdauer und Löschung
Technische Logdaten sollten nur so lange gespeichert werden, wie es für Betrieb, Sicherheit und Nachvollziehbarkeit erforderlich ist. Fall- und Meldedaten sollten mit Status, Zweck, Quelle und Prüffrist versehen werden. Unbelegte oder widerlegte Meldungen sollten entfernt oder korrigiert werden.

11. Betroffenenrechte
Betroffene Personen haben nach der DSGVO insbesondere Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch, Widerruf einer Einwilligung und Beschwerde bei einer Aufsichtsbehörde.
Anfragen können an die oben genannte E-Mail-Adresse gerichtet werden.

12. Keine automatisierte Einzelentscheidung
FraudShield soll Risikosignale und Belege sichtbar machen. Ein Risiko-Score ist keine gerichtliche Feststellung und keine alleinige Grundlage für belastende Maßnahmen. Entscheidungen von Banken, Behörden oder Partnern sollten auf eigener Prüfung, rechtlicher Bewertung und nachvollziehbaren Belegen beruhen.