Erklärung zur Barrierefreiheit
Datenschutz - Produkt
Datenschutzerklärung (Produkt)
Auftragsverarbeitungsvertrag
Unterauftragsverarbeiter
Technische & Organisatorische Maßnahmen
Datenschutz - Marketing
Datenschutzerklärung (Marketing)
Trennung von Marketing & Produkt
Kein Cookie-Banner
Sicherheit
Übersicht
Whitepaper
Schwachstellenmeldung
Weiteres
Informationen für Strafverfolgungsbehörden
Accessibility Statement
Impressum

Informationen für Strafverfolgungsbehörden

Aktualisiert am 17.03.2026

Über heylogin

heylogin ist ein Passwort-Manager, der von der heylogin GmbH mit Sitz in Braunschweig, Deutschland, entwickelt und betrieben wird. Unser Dienst verwendet hardwarebasierte Ende-zu-Ende-Verschlüsselung, d.h. alle Nutzertresore werden mithilfe der Sicherheitschips der jeweiligen Nutzergeräte verschlüsselt. Die heylogin GmbH ist nach ISO 27001:2022 zertifiziert und unterliegt deutschem und europäischem Recht.

Daten, die wir nicht herausgeben können

Der überwiegende Teil der bei heylogin gespeicherten Daten ist Ende-zu-Ende-verschlüsselt. Unsere Architektur stellt sicher, dass die heylogin GmbH technisch nicht in der Lage ist, auf diese Daten zuzugreifen, sie zu entschlüsseln oder herauszugeben, auch nicht auf gerichtliche Anordnung.

Alle Nutzertresore werden mithilfe von Hardware-Sicherheitschips verschlüsselt, die in das persönliche Gerät des Nutzers (Smartphone oder FIDO2-Sicherheitsschlüssel) eingebaut sind. Die Entschlüsselungsschlüssel verlassen diese Geräte nie und werden weder an unsere Server übertragen noch dort gespeichert. Unsere Cloud-Infrastruktur dient ausschließlich als verschlüsselter Datenspeicher ohne Möglichkeit zur Entschlüsselung der Inhalte.

Wir können daher nicht herausgeben:

  • Gespeicherte Passwörter, Zugangsdaten oder Login-Informationen
  • TOTP-Geheimnisse oder Zwei-Faktor-Authentifizierungscodes
  • Kreditkartendaten oder andere sensible Elemente in Nutzertresoren
  • Inhalte von persönlichen oder geteilten Team-Tresoren
  • Tresor-Metadaten wie Titel, URLs oder Notizen

Es gibt keine Hintertür, keinen Generalschlüssel und keinen Wiederherstellungsmechanismus, der der heylogin GmbH oder Dritten Zugang zu verschlüsselten Tresordaten ermöglichen würde. Weitere Details zu unserer Sicherheitsarchitektur finden Sie in unserem Security Whitepaper.

Daten, die wir auf rechtmäßige Anfrage herausgeben können

Eine geringe Menge unverschlüsselter Konto-Metadaten ist für den Betrieb des Dienstes erforderlich. Auf Basis einer gültigen und durchsetzbaren rechtlichen Anfrage kann heylogin folgende Daten bereitstellen:

  • E-Mail-Adresse des Kontos
  • Datum der Kontoerstellung
  • Art des Abonnements (Privat, Business usw.)
  • Organisationszugehörigkeit (ob ein Nutzer zu einem Unternehmenskonto gehört)
  • Zeitstempel der letzten Anmeldung

Rechtlicher Rahmen

Die heylogin GmbH ist ein deutsches Unternehmen und unterliegt deutschem Recht. Wir bearbeiten Anfragen von Strafverfolgungsbehörden gemäß:

  • der Strafprozessordnung (StPO)
  • dem Telekommunikationsgesetz (TKG)
  • der EU-Datenschutz-Grundverordnung (DSGVO)
  • weiteren anwendbaren deutschen und EU-Rechtsvorschriften

Anfragen deutscher Behörden

Deutsche Strafverfolgungsbehörden können Anfragen zu Bestandsdaten gemäß den anwendbaren deutschen Rechtsvorschriften stellen. Anfragen zu Verkehrsdaten oder zur Telekommunikationsüberwachung erfordern einen richterlichen Beschluss.

Anfragen ausländischer Behörden

Anfragen von Behörden außerhalb Deutschlands müssen grundsätzlich über die zuständigen Rechtshilfekanäle gestellt werden, wie etwa:

  • Rechtshilfeabkommen (MLATs) über das Bundesamt für Justiz
  • Europäische Ermittlungsanordnungen (EEA) für EU-Mitgliedstaaten
  • Direkte Anfragen können in Fällen von Missbrauch, Phishing oder unmittelbarer Gefahr für eine Kontosperrung in Betracht gezogen werden

Die heylogin GmbH wird Nutzerdaten nicht direkt an ausländische Behörden außerhalb dieser etablierten Rechtsrahmen herausgeben.

Benachrichtigung der Nutzer

heylogin ist der Transparenz verpflichtet. Wir werden betroffene Nutzer über Anfragen von Strafverfolgungsbehörden zu ihren Daten vor der Weitergabe informieren, es sei denn:

  • Die Benachrichtigung ist durch einen Gerichtsbeschluss oder geltendes Recht untersagt
  • Es besteht eine unmittelbare Gefahr für das Leben oder die Sicherheit einer Person
  • Die Benachrichtigung würde eine laufende Ermittlung gefährden, wie von einem deutschen Gericht festgestellt

Einreichung einer Anfrage

Anfragen von Strafverfolgungsbehörden können gesendet werden an:

E-Mail: security@heylogin.com

OpenPGP-Fingerabdruck: 327E E095 BDC1 BD81 631C 8D82 2949 0F2D 481F 4E59

Per E-Mail übermittelte Anfragen müssen mit unserem OpenPGP-Schlüssel verschlüsselt werden. Unverschlüsselte Anfragen zu Nutzerdaten werden gemäß den Datenschutzanforderungen abgelehnt.

Erforderliche Angaben

Alle Anfragen müssen folgende Informationen enthalten:

  • Identität und Zuständigkeit der anfragenden Behörde (Name, Dienstausweis-/Personalnummer, offizielle E-Mail-Adresse, direkte Telefonnummer)
  • Die betroffenen heylogin-Konten (z. B. E-Mail-Adresse)
  • Eine klare Beschreibung der angeforderten Informationen
  • Die Rechtsgrundlage der Anfrage einschließlich der einschlägigen Rechtsvorschriften
  • Eine Kopie des zugrunde liegenden Gerichtsbeschlusses, einer Vorladung oder eines anderen Rechtsakts
  • Angabe, ob ein Auskunftsverweigerungsgebot besteht
  • Dringlichkeit und Frist der Anfrage

Zu weitreichende, unklare oder rechtlich unzureichende Anfragen werden abgelehnt.

Transparenzbericht

heylogin ist zur Transparenz hinsichtlich behördlicher Anfragen zu Nutzerdaten verpflichtet.

Die heylogin GmbH hat bis heute keine Anfragen von Strafverfolgungsbehörden zu Nutzerdaten erhalten.