Datenschutzerklärung — Krest
Stand: 2026-06-11
Vorlagen-Hinweis. Dies ist eine sorgfältig vorbereitete Vorlage, keine Rechtsberatung. Vor dem Launch von einer Anwältin/einem Anwalt prüfen lassen und jeden<…>-Platzhalter ausfüllen. Inhaltlich gespiegelte englische Fassung:PRIVACY.md. Welche Sprachfassung im Streitfall maßgeblich ist, klärt der anwaltliche Sign-off.
Diese Erklärung beschreibt, welche Daten Krest verarbeitet, wohin sie gehen und welche Wahlmöglichkeiten Sie haben. Krest ist privacy-first gebaut: Die App funktioniert ohne Konto, und der kryptographische Verankerungsdienst sieht niemals den Inhalt Ihrer Medien.
1. Verantwortlicher
TODO vor Launch: Rechtsträger, Anschrift, Land und Kontakt-E-Mail des Betreibers (Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO) eintragen.
Verantwortlicher: <Firma / Inhaber>
Anschrift: <Strasse, PLZ, Ort, Land>
E-Mail: <privacy@deine-domain.de>2. Was Krest verarbeitet — und was nicht
2.1 Daten, die Ihr Gerät niemals verlassen
- Die Foto-/Video-Bytes, die zur Verifizierung aufgenommen oder ausgewählt
werden.
- Der AES-256-GCM-Sitzungsschlüssel, mit dem Krest-Share-Blobs verschlüsselt
werden.
- Der private Secure-Enclave-Schlüssel, der Ihre Aufnahmen signiert.
- Ihre Apple-Fotomediathek außerhalb der Objekte, die Sie ausdrücklich
auswählen.
2.2 Daten, die der Anchoring-Relay sieht
Der Relay nimmt ausschließlich undurchsichtiges kryptographisches Material entgegen:
- Einen 32-Byte-Geräte-Public-Key (anonym; nicht mit Ihrer Apple-ID verknüpft).
- Einen 32-Byte-Merkle-Root-Hash nebst einer Signatur darüber.
- Eine App-Attest-Assertion, die belegt, dass die Anfrage von einer echten
Krest-Installation auf einem echten Apple-Gerät stammt.
- Standard-Anfrage-Metadaten (IP-Adresse, User-Agent, Zeitstempel), die zur
Missbrauchsabwehr höchstens 30 Tage vorgehalten und dann gelöscht werden.
Der Relay sieht, speichert oder leitet keine Medien-Bytes, Dateinamen, Sensordaten, Bildunterschriften, Kontakte oder personenbezogene Kennungen.
2.3 Daten, die der Share-Relay sieht
Wenn Sie einen krest://share/<token>-Link erstellen, lädt Krest den bereits verschlüsselten Chiffretext zu einem Transport-Relay hoch. Der Relay sieht:
- Den verschlüsselten Blob (Zufallsbytes).
- Token, Byte-Anzahl, MIME-Hinweis (
image/jpeg,video/mp4, …), TTL. - Den Geräte-Public-Key + die App-Attest-Assertion (derselbe anonyme Schlüssel
wie oben).
Der Relay erhält niemals den Entschlüsselungsschlüssel — dieser reist ausschließlich im Share-Link (URL-Fragment oder Query-Parameter, den Sie per WhatsApp, iMessage usw. weitergeben).
Einmal-Links werden unmittelbar nach dem ersten Download gelöscht. Andernfalls verfallen Links zur von Ihnen gewählten TTL (max. 7 Tage) und werden bereinigt.
2.4 Daten, die der Lookup-Dienst sieht
Wenn Sie fremde Inhalte verifizieren, sendet die App nur den SHA-256-Hash der betreffenden Datei. Der Lookup-Dienst antwortet mit Zeitstempel, Merkle-Beweis und Bitcoin-Anker, die er zu diesem Hash findet. Wir protokollieren nichts Nutzer-Identifizierendes.
2.5 Bitcoin-Verankerung
Krest schreibt Merkle-Roots über OP_RETURN-Transaktionen in die Bitcoin- Blockchain. Die Blockchain ist konstruktionsbedingt öffentlich und permanent. Die geschriebenen Daten sind ein 48-Byte-Hash — keine Medien, keine Identität.
2.6 Rechtsgrundlagen (Art. 6 DSGVO)
Die oben beschriebenen, begrenzten Daten verarbeiten wir auf folgenden Grundlagen:
- Betrieb des von Ihnen angeforderten Verifizierungsdienstes — Registrierung
Ihres anonymen Geräte-Public-Keys, Annahme von Merkle-Roots, Verankerung, Lookup und Share-Transport: Art. 6 Abs. 1 lit. b (Erbringung des von Ihnen angeforderten Dienstes) und Art. 6 Abs. 1 lit. f (unser berechtigtes Interesse an einem funktionsfähigen, missbrauchsresistenten Protokoll).
- Kurzlebige Anfrage-Metadaten (IP-Adresse, User-Agent, Zeitstempel,
höchstens 30 Tage vorgehalten): Art. 6 Abs. 1 lit. f (berechtigtes Interesse an Sicherheit und Missbrauchsabwehr).
- Geräte-Berechtigungen (Kamera, Mikrofon, Fotomediathek, Bewegungssensoren)
erteilen Sie über iOS; sie werden ausschließlich auf Ihrem Gerät genutzt — der Betreiber erhält keine dieser Sensor- oder Mediathek-Daten und verarbeitet sie daher nicht i. S. d. DSGVO.
Es findet keine automatisierte Entscheidungsfindung oder Profilbildung (Art. 22) statt, und wir verarbeiten auf unseren Servern keine besonderen Kategorien personenbezogener Daten (Art. 9).
3. Berechtigungen, die Krest auf Ihrem Gerät anfragt
| Berechtigung | Wofür |
|---|---|
| Kamera | Aufnahme von Fotos/Videos, die von der Secure Enclave signiert werden. |
| Mikrofon | Tonspur für Videoaufnahmen. |
| Fotomediathek | Optional — zum Verifizieren oder Teilen ausgewählter vorhandener Fotos. |
| Bewegungssensoren | Beschleunigung/Gyroskop, in den Aufnahmebeweis eingebunden. |
| App-Attest (Secure Enclave) | Nachweis gegenüber dem Relay, dass die Aufnahme wirklich von Ihrem Gerät stammt. |
Alle Berechtigungen sind opt-in und jederzeit in den iOS-Einstellungen widerrufbar.
4. Speicherdauer
| Bereich | Speicherdauer |
|---|---|
| Anchoring-Relay-Logs | 30 Tage, danach gelöscht. |
| Share-Relay-Blobs | Bis zum Einmal-Download oder TTL-Ablauf (max. 7 Tage). |
| Lookup-Dienst-Anfragen | Nicht mit nutzer-identifizierenden Feldern protokolliert. |
| Bitcoin-Blockchain | Permanent (öffentlich). Enthält nur 32-Byte-Hashes. |
| Lokale App-Datenbank | Bleibt auf dem Gerät. Wird mit der App gelöscht. |
5. Ihre Rechte nach der DSGVO
Befinden Sie sich in der EU/im EWR, haben Sie das Recht auf:
- Auskunft, Berichtigung und Löschung der personenbezogenen Daten, die wir über
Sie verarbeiten,
- Einschränkung der oder Widerspruch gegen die Verarbeitung,
- Datenübertragbarkeit,
- Beschwerde bei der Aufsichtsbehörde Ihres Landes.
Da Krest kontenlos ist, speichert der Relay keine personenbezogenen Daten, die sich auf Sie als Einzelperson zurückführen ließen. Sollten Sie dennoch der Auffassung sein, dass eine Angabe identifizierend ist, kontaktieren Sie uns mit Details — wir löschen oder berichtigen innerhalb der gesetzlich vorgesehenen Frist.
6. Übermittlung außerhalb der EU/des EWR
Die Server-Infrastruktur läuft derzeit in Deutschland (Hetzner Cloud). Bitcoin- Verankerungstransaktionen werden an das öffentliche Bitcoin-Netzwerk übermittelt und sind damit global sichtbar, enthalten aber wie oben dargelegt nur nicht identifizierende Hash-Daten.
TODO vor Launch: Sicherstellen, dass mit jedem Auftragsverarbeiter, der Anfrage-Metadaten berührt (z. B. der Hosting-Anbieter), ein Auftragsverarbeitungsvertrag (AV-Vertrag, Art. 28 DSGVO) besteht, und ihn hier benennen.
7. Kinder
Krest ist nicht für Kinder unter dem Alter der digitalen Einwilligung in Ihrer Rechtsordnung bestimmt (16 in den meisten EU-Mitgliedstaaten, 13 in den USA nach COPPA).
8. Änderungen
Wir können diese Erklärung anpassen, wenn sich Funktionen weiterentwickeln. Das Datum „Stand" oben spiegelt die jeweils jüngste Überarbeitung. Wesentliche Änderungen werden im App-Changelog angekündigt.
9. Kontakt
Für Datenschutzfragen oder Betroffenenanfragen:
<privacy@deine-domain.de>Siehe auch: AGB.md (Nutzungsbedingungen) und IMPRESSUM.md (Anbieterkennzeichnung nach § 5 DDG). Englische Fassung: PRIVACY.md.