// Datenschutzerklärung

Datenschutz

Wir bauen die App so, dass möglichst wenig Daten bei uns landen — und das was landet, wird transparent gehandhabt. Diese Erklärung beschreibt was wirklich passiert, basierend auf dem Code im Backend (v60.6).

Stand: 2026-04-25 · Version v60.6 · Inhaber: siehe Impressum

1. Daten die wir nicht speichern

  • Deine privaten Schlüssel — weder Stellar Secret noch Nostr Secret. Beide werden auf deinem Gerät via SecureStore (iOS Keychain / Android Keystore) verwaltet. Wir kennen sie nicht.
  • Deine 12 BIP-39 Wörter — werden lokal verschlüsselt mit deinem PIN gespeichert (nur als optionales Cloud-Backup, das DU aktivieren musst, ist eine PIN-verschlüsselte Kopie auf unseren Servern).
  • Roh-Sensor-Daten (Beschleunigung, Gyro) — werden nur lokal für G-Ball-Berechnung verwendet, niemals geuploadet. Für Federated ML schicken wir nur differential-private Gradient-Summen.
  • GPS-Punkte älter als 30 Tage — werden automatisch anonymisiert/gelöscht via Background-Loop. Bleiben nur SHA-256-Aggregate (Distanz, Höhe).

2. Daten die wir speichern

2.1 Konto-Daten (optional)

  • Username (selbst gewählt) — öffentlich
  • E-Mail-Adresse — nur für Login + Kommunikation, niemals geteilt
  • Passwort — bcrypt-gehasht (cost factor 12), niemals im Klartext

2.2 Wallet-Identitäten (öffentlich on-chain)

  • Stellar Pubkey (z.B. G...) — ist ohnehin öffentlich, sobald du eine TX machst
  • Nostr Pubkey (npub) — ist ohnehin öffentlich, sobald du ein Event publizierst

2.3 Tour-Daten

  • GPS-Punkte (mit deiner Einwilligung über GPS-Consent) — automatisch nach 30 Tagen anonymisiert
  • Aggregat-Statistiken (Distanz, Höhe, Pässe) — bleiben dauerhaft als SHA-256-Hash referenziert
  • Lean-Angle-Aggregate (G-Ball) — nur statistisch

2.4 Gerät- und Diagnose-Daten

  • Device-ID (UUID) für Authentifizierung
  • Diagnostics-Logs (anonymisiert, opt-in über Privacy-Consent)
  • App-Version, OS-Version (für Bug-Reports)
Nur das Nötigste. Wenn du keine Tour aufzeichnest, sind keine GPS-Daten bei uns. Wenn du Diagnostics nicht aktivierst, sind keine Diagnose-Logs bei uns.

3. Wie wir GPS anonymisieren

Background-Loop läuft einmal pro Stunde (Code: services/anonymize.py):

  • Touren älter als 30 Tage → Roh-Punkte werden gelöscht
  • Aggregate (Distanz, Höhe, Dauer, Pässe) bleiben — als SHA-256-Hash deiner Pubkey referenziert
  • Du siehst alte Touren weiter als Statistik in deinem Profil, aber niemand kann mehr deine genaue Route rekonstruieren

4. Federated ML & Differential Privacy

Wir trainieren ein Modell zur Lean-Angle-Berechnung (G-Ball). Statt Roh-Sensor-Daten zu sammeln, schickt dein Phone:

  • Nur Gradient-Summen (lokal vorberechnet)
  • Mit Gauss'schem Noise versetzt (Differential Privacy)
  • Aggregiert über alle User → einzelne User sind mathematisch nicht extrahierbar

Code: routes/federated_ml.py. Wer das mathematisch prüfen will: Differential Privacy (ε-DP).

5. Drittanbieter / Sub-Processors

  • Hostpoint (Schweiz) — Server-Hosting
  • Stellar Network — On-Chain Tokenomics (öffentlich)
  • Nostr Relays (nos.lol, damus.io, NAS-eigener Relay) — Badges öffentlich publizieren
  • Synology NAS (LAN, Schweiz) — Valhalla Map-Matching, kein Internet-Zugriff für User-Daten
  • Apple/Google — Push-Notifications-Token (mit deiner Zustimmung)

Wir verwenden kein Google Analytics, kein Facebook Pixel, keine Marketing-Tracker.

6. Stellar & Nostr — was öffentlich ist

Stellar und Nostr sind öffentliche Netzwerke. Sobald du eine TX machst oder ein Badge bekommst, ist diese Information für jeden sichtbar:

  • Deine Stellar-Pubkey + alle TXs damit
  • Deine ARC-Balance
  • Deine Nostr-Pubkey + alle Badges (NIP-58)

Wir verknüpfen nicht deinen Username mit deiner Pubkey öffentlich. Aber wer dich nach Pubkey kennt, kann auf stellar.expert deine Aktivitäten sehen — das ist Eigenschaft der Blockchain, nicht von uns.

7. Deine Rechte (DSGVO / revDSG)

Du kannst jederzeit:

  • Auskunft verlangen — was speichern wir über dich
  • Löschung verlangen — komplette Account-Löschung in der App unter Profile → GDPR
  • Export deiner Daten — JSON-Export aller deiner Daten (Code: routes/gdpr.py)
  • Berichtigung verlangen — falsche Daten korrigieren
  • Widerruf erteilter Consents (GPS, Privacy, Marketing) jederzeit in der App

Anfragen an: [email protected]

8. Was bleibt nach Account-Löschung

Wir können nicht löschen:

  • Stellar-TXs auf der Blockchain (immutable)
  • Nostr-Events auf den Relays (öffentlich, immutable)
  • Anonymisierte Aggregate (SHA-256-Hashes ohne Rückbezug zu dir)

Was wir löschen: dein User-Konto, alle GPS-Daten, alle E-Mail-Records, alle Diagnostics-Logs. Deine Wallet-Pubkey bleibt auf der Blockchain — du kannst sie aber einfach nicht mehr nutzen, weil deine private Key bei dir auf dem Phone war.

9. Kontakt für Datenschutz-Fragen

Verantwortliche Stelle und Datenschutz-Anfragen: siehe Impressum. E-Mail: [email protected]