Die NachweisApp ist jetzt im Apple App Store — die Android-Version gibt es als kostenlosen Test.

Hinweise für Empfänger

Was Versicherer, Banken, Behörden, Sachverständige und Anwaltskanzleien erhalten — und wie sie prüfen und sich anbinden.

Was Sie als Empfänger erhalten

Über die NachweisApp eingehende Aufnahmen kommen als verschlüsselter Einmal-Link. Sie tragen eine Hybrid-Signatur (Ed25519 + ML-DSA-65, NIST FIPS 204) und einen RFC-3161-Zeitstempel. Beides lässt sich kostenlos und ohne Konto nachprüfen — im Browser oder in der App.

Die Signatur erstreckt sich auf den kryptografischen Hash der Aufnahme samt Mess-Daten. Eine Veränderung einzelner Bestandteile nach der Signierung fiele damit auf. Die Beweiswürdigung dieser Daten obliegt im Streitfall dem Gericht.

  • Prüfbare Herkunft — Hybrid-Signatur belegt, welches Gerät die Aufnahme erstellt hat.
  • RFC-3161-Zeitstempel — belegt kryptografisch nachprüfbar, wann der Hash vorlag.
  • Echtheitsdaten — Mess-Daten und Prüf-Aufgaben (PRNU, Burst-Parallaxe, LiDAR sofern Gerät, optionale Liveness, Geo-Plausibilität) nach heutigem Stand der Technik.
  • Zero-Knowledge — die KI-Shield UG hat zu keinem Zeitpunkt Klartext-Zugriff auf Aufnahmen.

Sicherheitskonzept und Kryptografie

Wie die Übergabe läuft

Die sendende Person verschlüsselt die Aufnahme in der App mit AES-256-GCM. Der Schlüssel steht ausschließlich im Link — nach dem #-Anker. Der Server der KI-Shield UG sieht ihn nicht. Das ist Ende-zu-Ende-Verschlüsselung nach dem Zero-Knowledge-Prinzip.

Der Link ist genau einmal öffenbar: Nach dem Öffnen wird der verschlüsselte Block sofort gelöscht. Nicht geöffnete Blöcke werden nach spätestens 7 Tagen automatisch entfernt.

Es gibt keine empfängerseitige Schlüsselinfrastruktur und keine Schlüsselpaare auf Ihrer Seite. Der verschlüsselte Einmal-Link selbst trägt den Schlüssel. Die App schreibt den Empfänger nicht vor: Der Link lässt sich an jede Person oder Organisation senden.

Vollständige Funktionsweise

Wie Sie als Empfänger prüfen

Die Prüfung läuft über den Web-Verifier unter nachweisapp.de/verify.html — oder direkt in der App. Beides ist kostenlos und erfordert kein Konto.

Der Web-Verifier prüft:

  • Herkunft — Signaturen (Ed25519 + ML-DSA-65) gegen den gespeicherten Hash.
  • Integrität — Hash der Aufnahme stimmt mit dem signierten Hash überein.
  • Zeitpunkt — der RFC-3161-Zeitstempel belegt, wann der Hash vorlag.

Die Prüfung läuft lokal im Browser, ohne Serveranfrage. Das Ergebnis können Sie für Ihre Akten sichern.

Jetzt eine Aufnahme prüfen

Anbindung als Empfänger

Drei Schritte vom Kontakt bis zum produktiven API-Zugang.

1. Kontakt und AVV

Anfrage per E-Mail an info@ki-shield.de mit dem Betreff „Empfänger-Onboarding NachweisApp". Anschließend schließen wir einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO ab. Vorlage erhalten Sie im Onboarding-Prozess.

Jetzt anfragen

2. API-Zugang

Nach Vertragsschluss erhalten Sie Zugangsdaten für api.nachweisapp.de mit getrennter Test- und Produktivumgebung. Über die API rufen Sie verschlüsselte Pakete ab, die an Sie gesendet wurden.

Kein öffentlicher API-Schlüssel ohne Anbindungsvertrag.

3. Prüfung im Betrieb

Empfangene Aufnahmen prüfen Sie über den Web-Verifier oder in der App — kostenlos, ohne Konto. Für Prozess-Integration steht die API bereit. Die Testumgebung erlaubt Eingangs-Probeläufe vor dem Produktivbetrieb.

Web-Verifier öffnen

Hinweise für Behörden

Ordnungsbehörden, Bauämter, Polizeidienststellen und vergleichbare Stellen.

Behördliche Anbindung

Behördliche Stellen können die NachweisApp als Eingangskanal für Foto-Aufnahmen mit prüfbarer Herkunft nutzen. Die Anbindung folgt demselben Weg wie bei anderen Empfängern: Kontaktaufnahme, Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, API-Zugang mit getrennter Test- und Produktivumgebung.

Für behördliche Anfragen gilt zusätzlich:

  • Schriftliche API-Dokumentation für die Aktenführung auf Anfrage.
  • Web-Verifier prüft Aufnahmen ohne Netzwerkzugriff auf den KI-Shield-Server — geeignet für Revisionszwecke.
  • Anfragen bevorzugt schriftlich per E-Mail; Rückmeldung werktags innerhalb von fünf Werktagen.

Behörden-Anfrage stellen

Datenschutz und Auftragsverarbeitung

Die empfangende Organisation ist Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO für die bei ihr eingehenden Beweisdaten. Die KI-Shield UG ist Auftragsverarbeiterin nach Art. 4 Nr. 8 DSGVO und verarbeitet ausschließlich verschlüsselte Transportblöcke. Eine Kenntnisnahme des Klartexts durch die KI-Shield UG ist technisch ausgeschlossen.

Vor produktiver Nutzung ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO erforderlich. Die Vorlage erhalten Sie im Onboarding-Prozess.

Hinweise zur Auftragsverarbeitung

Status

Jetzt verfügbar — iOS und Android.

Projektstand

Die App ist im Apple App Store verfügbar (iPhone und iPad, iOS 26 oder neuer). Für die Android-Version können Sie sich über die Download-Seite zum Test anmelden.

Empfänger-Onboarding anfragen

Schreiben Sie uns — für Versicherer, Banken, Behörden, Sachverständige und Kanzleien. Wir erklären die Anbindung und den Auftragsverarbeitungsvertrag und melden uns werktags innerhalb von fünf Werktagen.

info@ki-shield.de  ·  Zum Kontaktformular  ·  Häufige Fragen