Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist:

Ein Datenschutzbeauftragter ist gesetzlich nicht zu bestellen. Anfragen in Datenschutzangelegenheiten richten Sie bitte an die oben genannte E-Mail-Adresse.

2. Geltungsbereich

Diese Datenschutzerklärung gilt für:

• die Website nachweisapp.de einschließlich aller Unterseiten,
• die Anwendung NachweisApp für iOS (Verteilung über den Apple App Store) und Android (Verteilung im Rahmen eines geschlossenen Tests über Google Play; Anmeldung über diese Website).

Für extern verlinkte Inhalte und Dienste gelten die Datenschutzbestimmungen der jeweiligen Anbieter.

3. Datenminimierung als Designprinzip

NachweisApp ist auf das Prinzip der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO ausgelegt. Die Anwendung verwendet keine Cookies, keine Werbe-Identifikatoren, keine Tracking-Pixel und keine Analyse-Bibliotheken. Ein Benutzerkonto ist nicht erforderlich. Es wird kein Nutzerprofil gebildet.

4. Verarbeitete Daten auf der Website

4.1 Server-Logfiles

Beim Aufruf der Website werden durch den Webserver (Caddy) folgende technisch notwendige Daten in einer Logdatei verarbeitet:

• IP-Adresse des anfragenden Endgeräts,
• Datum und Uhrzeit des Abrufs,
• angeforderte Ressource (URL),
• HTTP-Statuscode,
• übertragene Datenmenge,
• User-Agent-Kennung (Browser- und Betriebssystem-Information).

Zweck der Verarbeitung ist die Sicherstellung des Betriebs, die Abwehr von Angriffen und die Fehleranalyse. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; berechtigtes Interesse ist der sichere und stabile Betrieb der Website. Die Logdaten werden nach 7 Tagen automatisch gelöscht, sofern keine Anhaltspunkte für einen Angriff vorliegen, die eine längere Aufbewahrung zur Beweissicherung rechtfertigen.

4.2 Kontaktaufnahme per E-Mail

Bei einer Kontaktaufnahme per E-Mail werden die übermittelten Angaben (E-Mail-Adresse, Inhalt der Nachricht, gegebenenfalls Name) zur Bearbeitung der Anfrage und für etwaige Anschlussfragen gespeichert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO bei vertraglichen oder vorvertraglichen Anfragen, im Übrigen Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen). Anfragen werden gelöscht, sobald sie nicht mehr erforderlich sind; gesetzliche Aufbewahrungspflichten bleiben unberührt.

4.3 Cookies und lokaler Speicher

Die Website setzt keine Cookies. Es werden weder Local Storage noch Session Storage des Browsers verwendet. Eine Einwilligung nach § 25 TDDDG ist daher nicht erforderlich.

4.4 Anmeldung zum Android-Testprogramm

Auf der Seite Download können Sie sich für den kostenfreien Test der Android-Version anmelden. Dabei wird ausschließlich Ihre E-Mail-Adresse zusammen mit dem Zeitpunkt Ihrer Einwilligung gespeichert. Weitere Daten (Name, IP-Adresse o. Ä.) werden für diese Anmeldung nicht erhoben.

Zweck der Verarbeitung ist die Aufnahme in die Liste der Testteilnehmerinnen und -teilnehmer und Ihre Freischaltung für den geschlossenen Test der Android-Version über Google Play. Zu diesem Zweck wird Ihre E-Mail-Adresse in die Google Play Console eingetragen und dadurch an Google übermittelt (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland; gegebenenfalls Google LLC, USA). Rechtsgrundlage ist Ihre Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO, die Sie vor dem Absenden des Formulars ausdrücklich erteilen. Ihre E-Mail-Adresse wird zudem auf unserem Server (Hetzner Online GmbH, siehe Abschnitt 6.1) gespeichert. Eine etwaige Übermittlung in die USA stützt sich auf das EU-US Data Privacy Framework; eine darüber hinausgehende Weitergabe an Dritte erfolgt nicht.

Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen — formlos per E-Mail an info@ki-shield.de. Nach Widerruf oder nach Abschluss des Testprogramms wird Ihre E-Mail-Adresse gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

5. Verarbeitete Daten in der App (iOS und Android)

5.1 Übergabe per Einmal-Link

Eine aufgenommene Beweisdatei wird als verschlüsselter Einmal-Link übergeben. Den Link versendet die nutzende Person selbst über die von ihr gewählte Anwendung (z. B. Nachrichten-App oder E-Mail). Es wird kein Übergabe-Code und keine SMS verwendet; die Betreiberin der NachweisApp erhält weder eine Mobilfunknummer noch Kenntnis vom Versandweg. Der Server speichert ausschließlich den verschlüsselten Datenblock unter einer zufälligen Kennung und löscht ihn nach dem ersten Abruf, spätestens nach sieben Tagen.

5.2 Beweisaufnahmen

Beim Anfertigen einer Beweisaufnahme (Foto, optional Sensor- und Standortdaten) wird die Datei auf dem Endgerät der nutzenden Person mit einem dort zufällig erzeugten symmetrischen Schlüssel Ende-zu-Ende-verschlüsselt und nur in dieser verschlüsselten Form an den Server übertragen. Der Schlüssel verbleibt ausschließlich im Übergabe-Link (im Adress-Fragment nach dem Zeichen „#“) und wird nie an den Server übermittelt. Der Server hat zu keinem Zeitpunkt Zugriff auf den Klartext.

Eingesetzte kryptografische Verfahren:

• Verschlüsselung: AES-256-GCM (authentifizierte Verschlüsselung mit 256-Bit-Schlüssel),
• Schlüssel: 256-Bit-Zufallswert, ausschließlich im Übergabe-Link, nicht auf dem Server,
• Integritäts-Hash: SHA-256.

Rechtsgrundlage für die Übermittlung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung gegenüber dem von der nutzenden Person ausgewählten Empfänger). Für die optionale Aufzeichnung von Sensor- und Standortdaten ist Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO (Einwilligung); diese kann jederzeit mit Wirkung für die Zukunft widerrufen werden, ohne die Rechtmäßigkeit der bisherigen Verarbeitung zu berühren.

5.3 Identitätsschlüssel

Auf dem Endgerät wird eine langfristige Hybrid-Schlüsselpaarung erzeugt. Es kommen zum Einsatz:

• Ed25519 als klassische Signatur,
• ML-DSA-65 als Post-Quanten-Signatur nach NIST FIPS 204 (Sicherheitsstufe 3).

Die privaten Schlüssel werden ausschließlich im iOS-Keychain mit Hardware-Schutz gespeichert. Sie verlassen das Endgerät zu keinem Zeitpunkt und werden nicht an die Betreiberin übertragen.

5.4 Privatarchiv

Die App führt ein lokales Privatarchiv mit Vorschaubildern abgeschickter Übergaben und den zugehörigen Übergabe-Links. Das Archiv wird ausschließlich auf dem Endgerät gespeichert. Es wird die iOS-Geräteverschlüsselung mit der Schutzklasse Complete File Protection verwendet, sodass die Daten bei gesperrtem Gerät auf Festplatten- und Dateisystem-Ebene nicht zugänglich sind. Eine Synchronisation in die iCloud findet nicht statt.

5.5 Löschung nach Abruf (Self-Destruct)

Der verschlüsselte Datenblock wird nach dem ersten erfolgreichen Abruf über den Übergabe-Link sofort und unwiderruflich vom Server gelöscht; ein erneuter Aufruf desselben Links ist danach nicht mehr möglich. Unabhängig davon werden nicht abgerufene Pakete spätestens nach sieben Tagen automatisch gelöscht.

5.6 Beweis-Hash-Register (Echtheitsnachweis)

Damit Echtheit und Erstellungszeitpunkt einer Beweisaufnahme später unabhängig überprüfbar bleiben, übermittelt die App beim Anfertigen jeder Aufnahme einen kompakten Prüfdatensatz an den Server, der dort dauerhaft in einem Register gespeichert wird. Dieser Datensatz enthält ausschließlich:

• den kryptografischen Fingerabdruck der Aufnahme (SHA-256),
• die Verkettungs-Hashes und die Position in der Hash-Kette,
• die klassische Signatur (Ed25519) und die Post-Quanten-Signatur (ML-DSA-65) über den Fingerabdruck,
• den Zeitpunkt der Registrierung.

Ausdrücklich nicht gespeichert werden Bilddaten, Standort- oder Sensordaten, Geräte- oder Personenkennungen sowie öffentliche Schlüssel. Die gespeicherten Werte sind kryptografische Prüfsummen und Signaturen ohne Personenbezug; aus ihnen lässt sich weder der Bildinhalt rekonstruieren noch eine Person bestimmen. Es handelt sich somit um anonyme Daten.

Zweck ist ein dauerhafter, unabhängig nachprüfbarer Nachweis, dass ein Beweis mit einem bestimmten Fingerabdruck zu einem bestimmten Zeitpunkt bereits existierte. Über die Prüfseite (nachweisapp.de/verify) kann jede Person durch Eingabe eines Beweis-Fingerabdrucks abfragen, ob dieser registriert ist und seit wann; dabei wird ausschließlich der Fingerabdruck an den Server gesendet, kein Bild. Die Prüfung des Bildinhalts selbst erfolgt weiterhin ausschließlich lokal im Browser. Soweit den Prüfdatensätzen entgegen vorstehender Einordnung ein Personenbezug beigemessen würde, ist Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO; das berechtigte Interesse besteht in einem manipulationssicheren, langfristig überprüfbaren Echtheitsnachweis der Aufnahmen.

6. Auftragsverarbeitung und Empfänger der Daten

6.1 Hetzner Online GmbH

Der Webserver, der API-Server und die Datenbank werden in einem Rechenzentrum der Hetzner Online GmbH (Industriestraße 25, 91710 Gunzenhausen) am Standort Falkenstein in Deutschland betrieben. Mit der Hetzner Online GmbH ist ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO geschlossen.

6.2 Apple Inc.

Die Verteilung der iOS-Anwendung erfolgt über den Apple App Store, betrieben durch die Apple Inc., One Apple Park Way, Cupertino, CA 95014, USA, und in Europa durch die Apple Distribution International Ltd., Hollyhill Industrial Estate, Hollyhill, Cork, Irland. Es gelten die Standard-Datenschutzbedingungen von Apple. Übermittlungen in die USA stützen sich auf das EU-US Data Privacy Framework; die Apple Inc. ist nach diesem Rahmenwerk zertifiziert.

6.3 Empfänger der Beweispakete

Empfänger der Beweispakete sind die von der nutzenden Person ausgewählten Versicherer, Banken, Behörden, Sachverständigen oder Anwaltskanzleien. Diese sind für die weitere Verarbeitung des Klartextinhalts datenschutzrechtlich eigenverantwortlich (Art. 4 Nr. 7 DSGVO).

7. Speicherdauer

• Verschlüsselte Beweispakete auf dem Server: Höchstens 7 Tage nach Upload; nach dem ersten Abruf über den Übergabe-Link erfolgt die Löschung sofort und unwiderruflich (Self-Destruct).
• Beweis-Hash-Register auf dem Server: Dauerhaft, damit der Echtheits- und Zeitnachweis langfristig überprüfbar bleibt. Die Einträge sind anonym (kryptografische Prüfsummen und Signaturen ohne Personenbezug, siehe Abschnitt 5.6).
• Server-Logs: 7 Tage (siehe Abschnitt 4.1).
• E-Mail-Korrespondenz: Bis zum Abschluss der Bearbeitung der Anfrage; gesetzliche Aufbewahrungsfristen bleiben unberührt.
• Lokales Privatarchiv auf dem Endgerät: Solange, bis die nutzende Person es selbst löscht oder die App vom Gerät entfernt.
• Identitätsschlüssel im iOS-Keychain: Bis zur manuellen Löschung durch den Nutzer.

8. Rechte der betroffenen Personen

Betroffene Personen haben gegenüber der Betreiberin folgende Rechte:

• Auskunft über die zu ihrer Person verarbeiteten Daten (Art. 15 DSGVO),
• Berichtigung unrichtiger Daten (Art. 16 DSGVO),
• Löschung der Daten (Art. 17 DSGVO),
• Einschränkung der Verarbeitung (Art. 18 DSGVO),
• Datenübertragbarkeit (Art. 20 DSGVO),
• Widerspruch gegen die Verarbeitung auf Grundlage berechtigter Interessen (Art. 21 DSGVO),
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO),
• Beschwerde bei einer Datenschutzaufsichtsbehörde (Art. 77 DSGVO).

Anfragen zu Betroffenenrechten richten Sie bitte an info@ki-shield.de. Aufgrund des Zero-Knowledge-Designs kann die Betreiberin Anfragen zu konkreten Beweispaket-Inhalten technisch nicht beantworten; betroffene Personen wenden sich hierfür an den jeweiligen Empfänger.

9. Zuständige Aufsichtsbehörde

Eine Beschwerde kann insbesondere bei der für den Sitz der Betreiberin zuständigen Aufsichtsbehörde eingelegt werden:

Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit
Häßlerstraße 8
99096 Erfurt
E-Mail: poststelle@datenschutz.thueringen.de

10. Datenübermittlung in Drittländer

Eine Übermittlung personenbezogener Daten in Drittländer außerhalb des Europäischen Wirtschaftsraums findet ausschließlich im Rahmen der Verteilung der iOS-Anwendung durch die Apple Inc. statt. Die Übermittlung stützt sich auf das EU-US Data Privacy Framework (Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023). Eine Übermittlung des Inhalts von Beweispaketen findet aufgrund der Ende-zu-Ende-Verschlüsselung nicht statt, da der Server keinen Klartextzugriff besitzt.

11. Automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO findet nicht statt.

12. Transportverschlüsselung

Die Website und die API werden ausschließlich über das Hypertext Transfer Protocol Secure (HTTPS) ausgeliefert. Zum Einsatz kommt TLS 1.3 mit X.509-Zertifikaten der Zertifizierungsstelle Let's Encrypt (Internet Security Research Group). Die TLS-Konfiguration wird regelmäßig überprüft.

13. Änderungen dieser Datenschutzerklärung

Die Betreiberin behält sich vor, diese Datenschutzerklärung an geänderte rechtliche oder tatsächliche Verhältnisse anzupassen. Die jeweils aktuelle Fassung ist auf dieser Seite einsehbar. Wesentliche Änderungen werden in geeigneter Form angekündigt.