Architektonischer Datenschutz, kein Datenschutzversprechen.

Die 30-Sekunden-Verifikation

1. Öffnen Sie das Vastiko-Tool Edit PDF.
2. Öffnen Sie die DevTools Ihres Browsers (F12 oder Rechtsklick → Untersuchen).
3. Wechseln Sie zum Network-Tab. Aktivieren Sie 'Preserve log'.
4. Legen Sie ein PDF auf die Drop-Zone.
5. Beobachten Sie das Network-Panel. Es gibt keinen POST-Upload, kein PUT, keinen WebSocket, der Ihre Datei trägt. Die einzigen Anfragen sind Abrufe statischer Assets (HTML, CSS, JS) und (falls aktiviert) anonyme Analytik-Pings.

Dasselbe gilt für jedes Vastiko-Tool. Sie können den Datenschutzanspruch selbst verifizieren — Sie müssen uns nicht aufs Wort glauben.

Wie jedes Tool lokal bleibt

Kryptographie (Unlock PDF / Protect PDF)

Passwortgeschützte Operationen laufen vollständig in Ihrem Browser:

• WebAssembly-Modul (qpdf-wasm) parst den PDF-Security-Handler und wendet AES-256 R5, AES-128 und RC4 (40/128-bit) an — die volle PDF-Security-Handler-Spezifikation abdeckend.
• Keine Serverübertragung: Ihr Passwort wird nie an uns gesendet. Es existiert nur im Browser-Speicher für die Dauer der Operation und wird dann verworfen.
• Lazy-loaded: Das WASM-Modul wird nur abgerufen, wenn Sie Unlock PDF oder Protect PDF besuchen, sodass der Rest der Site leichtgewichtig bleibt.

Sie können dies genauso verifizieren wie bei den anderen Tools: Öffnen Sie DevTools → Network, legen Sie Ihre verschlüsselte PDF ab und bestätigen Sie, dass kein Upload stattfindet — nur der Download des WASM-Moduls.

Was Angreifer nicht tun können

Da Dateidaten unsere Server niemals erreichen:

• Eine Sicherheitsverletzung unseres Hosting-Anbieters kann Ihre Dateien nicht offenlegen. Es gibt keinen Dateispeicher, der verletzt werden könnte.
• Eine Vorladung kann uns nicht zwingen, Ihre Dateien herauszugeben. Wir haben sie nicht und hatten sie nie.
• Ein böswilliger Akteur kann keine Nutzerinhalte von uns exfiltrieren. Die Daten sind auf Ihrer Maschine, nicht auf unserer.

Code-Obfuskation und Transparenz

Das JavaScript-Bundle ist minifiziert und obfuskiert. Das ist eine bewusste Entscheidung zum Schutz des geistigen Eigentums von Vastiko — um es Klonen zu erschweren, unsere Arbeit zu kopieren — und es kompromittiert die Datenschutzgarantie nicht. Datenschutz ist anhand des Laufzeitverhaltens verifizierbar, nicht anhand des Quellcodes: Öffnen Sie DevTools → Network und bestätigen Sie, dass kein Datei-Upload stattfindet. Die Architektur (alles in Ihrem Browser) macht Vastiko privat; die Obfuskation schützt nur, was wir gebaut haben.

Wenn Sie ein Sicherheitsproblem oder ein Verhalten bemerken, das diesen Aussagen widerspricht, melden Sie es bitte an info [at] vastiko [Punkt] com. Wir behandeln solche Meldungen als Priorität.

Hosting-Infrastruktur

Die Site wird als statisches HTML, CSS und JavaScript von einem cloud-gehosteten Webserver ausgeliefert. Es gibt kein Anwendungs-Backend, keine Benutzer-Datenbank und keine serverseitige Dateiverarbeitungspipeline. Die Datenschutzgarantie kommt aus der Architektur, nicht von einem bestimmten Anbieter oder einer bestimmten Region — Ihre Dateien würden unsere Server unabhängig vom Standort nicht erreichen.

Schwachstellen melden

Wir sind ein kleines Team und führen noch kein formelles Bug-Bounty-Programm, schätzen aber verantwortungsvolle Offenlegung. Schreiben Sie an info [at] vastiko [Punkt] com mit Reproduktionsschritten. Wir streben an, innerhalb von 48 Stunden zu bestätigen und Sie öffentlich zu nennen, wenn Sie es wünschen.

Compliance-Umfang

Da wir keine personenbezogenen Daten verarbeiten, die an identifizierbare Nutzer auf dem Server gebunden sind, ist unsere DSGVO- und CCPA-Exposition minimal — aber die Datenschutzgarantien, die wir geben, sind stärker, als Compliance verlangt. Details siehe Datenschutzerklärung.