KIShieldCam

Datenschutzerklärung

Stand: 18. Mai 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

KI-Shield UG (haftungsbeschränkt)
Geschäftsführerin: Johanna Bringezu
Ritterstraße 2
99718 Greußen
Deutschland

Telefon: 0175 6486634
E-Mail: info@ki-shield.de

2. Datenschutzbeauftragter

Wir sind gemäß § 38 BDSG nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet, da wir weniger als 20 Personen beschäftigen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind. Bei Fragen zum Datenschutz wenden Sie sich bitte an: info@ki-shield.de

3. Übersicht der Verarbeitungen

KIShieldCam ist eine kryptografisch signierende Plattform für Foto- und Videodokumentation, bestehend aus einer iOS-App, einer Android-App und einer Website. Daneben stellt KI-Shield eine öffentliche, kostenlose Verifikations-Auskunft bereit (siehe Abschnitt 10).

Wir verarbeiten folgende Datenkategorien:

  • Foto- und Video-Hashes (SHA-256) — nicht die Aufnahmen selbst
  • Geräte-Signaturen: Ed25519- und ML-DSA-65-Public-Keys
  • Sensor-Snapshots (Magnetfeld, Luftdruck, Bewegung, Lage), optional GPS bei aktiviertem Sensor-Consent
  • Blockchain-Transaktionsdaten (Polygon-Mainnet, Chain-ID 137)
  • Apple-App-Attest-Assertions (iOS) bzw. Google-Play-Integrity-Tokens (Android, in Vorbereitung)
  • Geräte-Metadaten (Gerätemodell-Klasse, Betriebssystem-Version, App-Version)
  • Google-Play-Purchase-Tokens (Android, zur Tarifverifikation)
  • Server-Logfiles (Web-Zugriffe)

Kategorien betroffener Personen:

  • Nutzer der iOS-App
  • Nutzer der Android-App
  • Besucher der Website
  • Aufrufer der öffentlichen Verifikations-Auskunft

Die Apps verwenden keine Tracking-, Analytics- oder Werbedienste. Die iOS-App nutzt ausschließlich native Apple-Frameworks (CryptoKit, AVFoundation, StoreKit, DeviceCheck). Die Android-App nutzt native AndroidX-Frameworks (CameraX, MediaStore, Security-Crypto) sowie folgende notwendige Drittbibliotheken: Google Play Billing Library (für Abonnement-Käufe gemäß Google-Play-Vorgaben), BouncyCastle (für ML-DSA-65 Post-Quantum-Signaturen, lokal auf dem Gerät), Retrofit/OkHttp/Moshi (HTTPS-Kommunikation mit dem KIShieldCam-Server, Certificate-Pinning auf ISRG Root X1/X2) und ZXing (lokale QR-Code-Erzeugung und -Scan). Es kommen keine Drittanbieter-Tracking-SDKs (Firebase Analytics, Crashlytics, AdMob u. ä.) zum Einsatz.

Hinweis zum Web-Auftritt: Seit dem 17. Mai 2026 werden CSS- und JavaScript-Bibliotheken (Tailwind CSS, Alpine.js) selbst gehostet auf kishieldcam.de/lib/; es findet keine Übermittlung der Besucher-IP an Content Delivery Networks Dritter mehr statt.

4. Datenverarbeitung in der iOS-App

4.1 Kamera und Mikrofon

Die App benötigt Zugriff auf die Kamera (Foto- und Videoaufnahme) und das Mikrofon (Videoaufnahme mit Ton). Der Zugriff erfolgt erst nach ausdrücklicher Zustimmung des Nutzers über die iOS-Systemdialoge. Aufgenommene Fotos und Videos verlassen Ihr Gerät nie — nur der SHA-256-Hash wird an unseren Server übertragen. Die Originalaufnahmen können optional in Ihre Fotomediathek exportiert werden (nur Schreibzugriff, kein Lesezugriff auf bestehende Fotos).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) und Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

4.2 Lokale Datenspeicherung auf dem Gerät

Die App speichert folgende Daten lokal auf Ihrem Gerät:

  • Beweisdaten: SHA-256-Hashes, Ed25519- und ML-DSA-65-Signaturen, Chain-Indizes, Zeitstempel, Sensor-Snapshots, Geräte-Metadaten — gespeichert als verschlüsselte JSON-Datei (iOS completeFileProtection)
  • Kryptografische Schlüssel: Der Ed25519-Private-Key liegt im hardwaregeschützten iOS-Keychain (kSecAttrAccessibleWhenUnlockedThisDeviceOnly). Der ML-DSA-65-Private-Key liegt in der Secure Enclave und ist hardware-isoliert; auch Apple kann ihn nicht auslesen. Beide privaten Schlüssel verlassen das Gerät zu keinem Zeitpunkt.
  • Audit-Log: Lückenloses Protokoll aller Beweissicherungen, inklusive Server-Aussetzer (Event-Typ tsa.failed) — nur Metadaten, keine Bilddaten
  • Server-Status-Cache: Pending-Anker-Warteschlange (noch nicht verankerte Aufnahmen) und letzter Server-Fehler mit Zeitstempel

Alle lokalen Daten können vom Nutzer in den App-Einstellungen vollständig gelöscht werden. Die Speicherung erfolgt ausschließlich auf Ihrem Gerät und unterliegt nicht der Kontrolle durch uns als Verantwortlichen.

4.3 An den Server übertragene Daten

Bei jeder Beweissicherung werden an unseren Server unter https://kishieldguard.de/shieldcam ausschließlich folgende Daten übertragen (Server-Endpunkt seit dem Domain-Rebrand vom 12. Mai 2026; bis dahin lief derselbe Dienst unter https://ki-shield.de/shieldcam, Bestandsverbindungen werden weitergeleitet):

  • SHA-256-Hash des Fotos oder Videos (nicht die Aufnahme selbst)
  • Ed25519- und ML-DSA-65-Signatur sowie zugehörige Public Keys
  • Chain-Index, vorheriger Chain-Hash, Audit-Log-Hash
  • App-Version und Build-Nummer (HTTP-Header X-App-Version, X-App-Build)

Auf dem Gerät bleibt: Foto und Video selbst, Sensor-Snapshot (Magnetfeld, Luftdruck, Bewegung, Lage), GPS-Koordinaten, EXIF-Daten, Apple-App-Attest-Assertion. Diese Daten werden in das lokale Beweisbündel (XMP-Sidecar, PDF-Zertifikat) eingebettet und verlassen das Gerät nur dann, wenn Sie aktiv den Witness-Modus mit einem zweiten Gerät nutzen oder die iCloud-Synchronisation aktivieren — beide Pfade laufen über Apple, siehe Abschnitt 4.4 und 4.7.

Einmalig pro App-Installation wird beim Einrichten der App-Attestierung die Apple-App-Attest-KeyID und das von Apple ausgestellte Attestation-Objekt an unseren Server übertragen (Endpunkte /api/v1/appattest/challenge und /api/v1/appattest/verify). Die spätere, pro Aufnahme erzeugte App-Attest-Assertion bleibt lokal im Beweisbündel.

Verify-Tool im Browser: Wenn Sie auf der Verifikationsseite (/verify) eine Aufnahme zur Prüfung hochladen, wird die Datei kurzzeitig im Arbeitsspeicher unseres Servers verarbeitet (Hash-Vergleich, Signaturprüfung) und nicht persistiert.

Nicht übertragen werden: Originalfotos und -videos (außer transient im Verify-Tool), IDFV, IDFA, Werbe-Identifier, APNs-Push-Token, Kontakte, Kalenderdaten oder sonstige persönliche Daten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Erbringung der Beweissicherung).

4.4 iCloud-Synchronisation und CloudKit-Bridge (Witness)

Sofern iCloud auf Ihrem Gerät aktiviert ist, werden folgende Daten über Apples Cloud-Dienste in Ihrem persönlichen iCloud-Bereich gesichert:

  • Ed25519- und ML-DSA-65-Public-Keys (für Wiederherstellung nach Neuinstallation) im iCloud Key-Value-Store
  • Chain-State (letzter Hash, Chain-Index, Anker-Referenzen) im iCloud Key-Value-Store
  • Optional: Cosignatur-Daten des Witness-Mode (Public Keys, Hashes, Sensor-Konstellation, signierte Bestätigungen) in der CloudKit-Zone iCloud.de.ki-shield.shield-cam der privaten Cloud-Datenbank des Nutzers, sofern beide Witness-Geräte denselben iCloud-Account nutzen

Es werden keine Fotos, Videos oder Private Keys über iCloud synchronisiert. Wir als KI-Shield haben auf diese iCloud-Bereiche keinen Zugriff. Die Synchronisation kann durch Deaktivierung von iCloud Drive in den iOS-Einstellungen unterbunden werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Datenkonsistenz und Wiederherstellbarkeit); für Witness-CloudKit zusätzlich Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Aktivierung des Witness-Modus).

4.5 Apple App Attest

Vor der ersten Beweissicherung erzeugt die App über das Apple-Framework DeviceCheck/App Attest ein hardware-isoliertes Schlüsselpaar und lässt es von Apple attestieren. Bei jeder weiteren Beweissicherung wird eine Assertion gegenüber Apple erstellt und als Bestandteil des Beweisbündels an unseren Server übermittelt. Apple erhält dabei die App-Bundle-ID und die anonymisierte Challenge unseres Servers; jedoch weder die Identität des Nutzers noch Foto- oder Sensor-Daten.

Anbieter: Apple Inc., One Apple Park Way, Cupertino, CA 95014, USA.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Abwehr manipulierter Beweise auf kompromittierten Geräten). Drittlandtransfer abgesichert durch das EU-US Data Privacy Framework (Apple ist zertifiziert) und ergänzend durch EU-Standardvertragsklauseln.

4.6 Sensor-Snapshot und GPS-Consent

Beim Auslösen erfasst die App einen Sensor-Snapshot (Magnetfeld, Luftdruck, Beschleunigung, Lage). Diese Werte werden kryptografisch mit dem Foto- oder Video-Hash verknüpft und mit der Signatur in das Beweisbündel eingebunden. Lokale Verarbeitung erfolgt im Forensic-Modul; auf den Server wird der Snapshot als Bestandteil des Beweisbündels mit übertragen.

Zusätzlich kann der Nutzer den GPS-Sensor-Snapshot aktivieren („Sensor-Consent" in den App-Einstellungen). Default ist deaktiviert. Aktivierung bewirkt, dass Breitengrad und Längengrad zum Aufnahmezeitpunkt in den Snapshot aufgenommen und gemeinsam mit Hash und Signatur an unseren Server übertragen werden. Eine On-Device-Plausibilitätsprüfung gegen Sonnenstand (nach dem NOAA Solar Calculator) und Erdmagnetfeld (IGRF-13-Koeffizienten in Order-3-Näherung) wird ausgeführt; ihr Ergebnis ist nicht-bindend und dient ausschließlich der Beweiswertbildung.

Rechtsgrundlage für GPS: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Widerruf jederzeit über die App-Einstellungen mit Wirkung für die Zukunft. Rechtsgrundlage für die übrigen Sensoren: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — forensische Plausibilität).

4.7 Witness-Mode (BETA)

Im Witness-Mode bestätigt ein zweites iPhone die Aufnahme zeitgleich. Das Pairing erfolgt über Bluetooth Low Energy oder WiFi-Direct (Multipeer-Connectivity-Framework) zwischen den beiden Geräten. Zwischen den Geräten werden ausgetauscht: Public Keys (Ed25519 und ML-DSA-65), Hash der Aufnahme, Sensor-Konstellation (Magnetfeld, Lage, Luftdruck, optional GPS je nach Sensor-Consent jedes einzelnen Gerätes), kryptografische Signaturen. Originalpixel werden nicht übertragen. Eine Verbindung zu unseren Servern findet während des Witness-Pairings nicht statt.

Optionale UWB-Distanzmessung: Auf Geräten mit Apple-U1-Chip (iPhone 11 und neuer) kann zusätzlich das Apple-Framework Nearby Interaction aktiviert werden. Dabei wird der Abstand zwischen beiden Witness-Geräten per Ultra-Wideband (UWB) gemessen und kryptografisch in die Cosignatur eingebunden. Übermittelt werden ausschließlich anonyme Discovery-Tokens und die Distanz selbst; weder Apple noch wir erhalten Standortdaten oder personenbezogene Informationen. Auf Geräten ohne U1-Chip wird die UWB-Funktion automatisch deaktiviert; die Cosignatur funktioniert auch ohne UWB.

Sofern beide Geräte denselben iCloud-Account nutzen, kann der Cosignatur-Austausch alternativ über die Apple-CloudKit-Zone iCloud.de.ki-shield.shield-cam in der privaten Cloud-Datenbank des Nutzers stattfinden (Abschnitt 4.4).

Verantwortlichkeit: Beim P2P-Austausch zwischen zwei privaten iPhones gehen wir davon aus, dass die Verarbeitung unter die Ausnahme „rein persönlicher oder familiärer Tätigkeit" nach Art. 2 Abs. 2 lit. c DSGVO fällt. Im gewerblichen Einsatz sind die beiden Gerätenutzer (bzw. die hinter ihnen stehenden Stellen) gemeinsame Verantwortliche im Sinne von Art. 26 DSGVO und müssen die Modalitäten untereinander regeln.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Aktivierung des Witness-Modus durch beide Nutzer).

4.8 Blockchain-Verankerung

Der Foto-/Video-Hash wird als Polygon-Transaktion auf der Polygon-Mainnet (Chain-ID 137) öffentlich gespeichert. Blockchain-Daten sind technisch unveränderlich und können nicht gelöscht werden. Es werden keine personenbezogenen Daten auf der Blockchain gespeichert — ausschließlich kryptografische Hashes, die ohne Zusatzwissen keinen Rückschluss auf natürliche Personen zulassen.

Hinweis zur Unveränderlichkeit und Art. 17 DSGVO: Mit der Aktivierung der Polygon-Verankerung willigen Sie ausdrücklich in die dauerhafte, technisch unwiderrufliche Speicherung des kryptografischen Hashes auf der öffentlichen Blockchain ein. Eine spätere Löschung oder Berichtigung des Hash-Eintrags ist aus der Natur der Blockchain heraus technisch ausgeschlossen. Da der Hash für sich genommen keinen Rückschluss auf Ihre Person zulässt, bleibt Ihr Recht auf Vergessenwerden im praktischen Ergebnis gewahrt; ein direkter Personenbezug entsteht nur, wenn Sie selbst das Originalmaterial mit dem Anker verknüpfen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung in die dauerhafte Verankerung, jederzeit durch Deaktivierung der Anker-Funktion in den App-Einstellungen mit Wirkung für künftige Aufnahmen widerrufbar), ergänzend Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Beweissicherung).

4.9 Push-Benachrichtigungen über Apple CloudKit

Die iOS-App registriert sich beim Apple Push Notification Service (APNs), um bei eingehenden Witness-Anfragen aus der Apple-CloudKit-Datenbank (siehe Abschnitt 4.4 und 4.7) geweckt zu werden. Das APNs-Geräte-Token wird nicht an unseren Server übertragen — es bleibt zwischen Ihrem Gerät und Apple. Der Push-Wakeup wird ausschließlich durch Apple CloudKit ausgelöst, wenn ein anderer Witness-Peer einen Cosign-Datensatz in der iCloud-Zone hinterlegt.

Wir senden keine eigenen Service-Mitteilungen, keine Marketing-Pushes und kein token-basiertes Push-Routing. Push-Benachrichtigungen lassen sich jederzeit in den iOS-Systemeinstellungen unter „Mitteilungen → KIShieldCam" deaktivieren.

Anbieter: Apple Inc., One Apple Park Way, Cupertino, CA 95014, USA. Drittlandtransfer abgesichert durch das EU-US Data Privacy Framework (Apple ist zertifiziert) und ergänzend durch EU-Standardvertragsklauseln.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über den iOS-Systemdialog), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Synchronisation des Witness-Modus über Apple-CloudKit).

4-A. Datenverarbeitung in der Android-App

Die Android-App ist eine eigenständige Implementierung der KIShieldCam-Plattform mit getrennter Server-Instanz, getrennten kryptografischen Schlüsseln und einer eigenen Polygon-Wallet (0xEB03…D8E3). iOS- und Android-Nutzungsdaten werden technisch und organisatorisch strikt getrennt verarbeitet.

4-A.1 Kamera, Mikrofon und Berechtigungen

Die Android-App fordert die folgenden Berechtigungen an, ausschließlich nach ausdrücklicher Zustimmung des Nutzers über die Android-Systemdialoge:

  • CAMERA — Foto- und Videoaufnahme
  • RECORD_AUDIO — Tonaufnahme bei Videos
  • INTERNET — Verbindung zum KIShieldCam-Server
  • ACCESS_NETWORK_STATE — Erkennung des Verbindungsstatus für die Offline-Queue
  • VIBRATE — haptisches Feedback bei erfolgreicher Beweissicherung
  • com.android.vending.BILLING — Google Play Billing für Abonnement-Käufe
  • ACCESS_FINE_LOCATION und ACCESS_COARSE_LOCATIONoptional, nur bei aktiviertem Sensor-Consent für die GPS-gestützte Sensor-Fusion (siehe Abschnitt 4-A.3). Default: deaktiviert. Ohne Aktivierung werden keine Standortdaten erfasst.
  • WRITE_EXTERNAL_STORAGE (nur Android 8/9, API 26–28; maxSdkVersion="28") — Speicherung von Aufnahmen im Documents-Ordner; ab Android 10 nicht mehr benötigt (Scoped Storage)

Aufgenommene Fotos und Videos verlassen Ihr Gerät nicht — an unseren Server unter https://kishieldcam.de/android/api/v1/… wird ausschließlich der SHA-256-Hash übertragen, niemals die Aufnahme selbst. Die App liest keine bestehenden Fotos oder Kontakte; Werbe-IDs (kein AD_ID) werden nicht angefordert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

4-A.2 Lokale Datenspeicherung auf dem Gerät

Die Android-App speichert folgende Daten lokal auf Ihrem Gerät:

  • Beweisdaten: SHA-256-Hashes, Ed25519- und ML-DSA-65-Signaturen, Chain-Indizes, SHA-256-verkettete Audit-Einträge, Zeitstempel, Geräte-Metadaten — gespeichert in der privaten App-Datenablage (Android Internal Storage, kein Zugriff durch andere Apps)
  • Kryptografische Schlüssel: Der Ed25519-Private-Key und der ML-DSA-65-Private-Key werden in EncryptedSharedPreferences gespeichert, deren AES-256-GCM-Verschlüsselungs-MasterKey im Android Keystore liegt; auf Geräten mit StrongBox-Unterstützung ist der MasterKey zusätzlich hardware-gebunden. Beide Private Keys verlassen das Gerät zu keinem Zeitpunkt.
  • Audit-Log: SHA-256-tamper-evident verkettetes Protokoll aller Beweissicherungen (nur Metadaten, keine Bilddaten)
  • Offline-Queue: Temporäre Liste noch nicht verankerter Beweise mit Backoff-Retry-Mechanismus
  • Aufnahmen (optional): Wenn vom Nutzer aktiviert, im öffentlichen Ordner Documents/KiShieldCam-Aufnahmen/ über MediaStore

Alle lokalen Daten können vom Nutzer in den App-Einstellungen oder durch Deinstallation der App vollständig gelöscht werden.

4-A.3 An den Server übertragene Daten

Bei jeder Beweissicherung werden an den Android-spezifischen Server-Endpunkt (https://kishieldcam.de/android/api/v1/…) ausschließlich folgende Daten übertragen:

  • SHA-256-Hash des Fotos oder Videos (nicht die Aufnahme selbst)
  • Ed25519- und ML-DSA-65-Signatur sowie zugehörige Public Keys
  • Chain-Index, vorheriger Chain-Hash und Audit-Log-Hash (verkettet)
  • App-Version und Build-Nummer (HTTP-Header)
  • Pseudonyme Geräte-Kennung: SHA-256-Hash der Settings.Secure.ANDROID_ID. Der Roh-Wert verlässt das Gerät nicht. Zweck: Anti-Fraud und Begrenzung der Free-Kontingente pro Gerät.

Auf dem Gerät bleibt: Foto und Video selbst, Sensor-Snapshot (Magnetfeld, Luftdruck, Bewegung, Lage, Orientierung), GPS-Koordinaten, EXIF-Daten. Diese Daten werden in das lokale Beweisbündel (XMP-Sidecar, PDF-Zertifikat) eingebettet und verlassen das Gerät nicht an unseren Server.

Nicht übertragen werden: Originalfotos oder -videos, Sensor-Snapshot, GPS-Koordinaten, Android Advertising ID (AAID), Google-Account-Daten, IMEI/IMSI, Kontakte, Kalender oder sonstige persönliche Daten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

4-A.4 Google Play Billing — Abonnement-Verarbeitung

Die Android-App nutzt die Google Play Billing Library, um Abonnements abzuwickeln. Bei einem Kauf werden folgende Daten verarbeitet:

  • Lokal in der App: Aktuelle Tarifstufe (Tier), Liste aktiver Purchases, Purchase-Token (zur Acknowledgement-Pflicht nach Google-Play-Vorgaben)
  • An unseren Server übertragen: Purchase-Token und Produkt-ID, ausschließlich zur serverseitigen Verifikation des Tarif-Status. E-Mail oder Google-Account-Identität werden uns von Google nicht übermittelt.
  • Bei Google verarbeitet (nicht bei uns): Zahlungsdaten (Kreditkarte, SEPA, PayPal über Google Pay), Google-Account-Identität, Rechnungsadresse

Wir erhalten von Google ausschließlich anonymisierte Tarif-Bestätigungen. Wir können den Nutzer einer Android-Subscription nicht namentlich identifizieren.

Bei aktivierten Real-Time-Developer-Notifications (RTDN) sendet Google an unseren Server Statusänderungen (Verlängerung, Kündigung, Stornierung) als Webhook-Event mit dem Purchase-Token. Personenbezogene Daten sind in diesen Events nicht enthalten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Datenschutzerklärung: https://policies.google.com/privacy.

4-A.5 Google Play Integrity API (geplant)

Zukünftige Versionen der Android-App prüfen die Integrität des ausführenden Geräts mittels der Google Play Integrity API. Damit wird verifiziert, dass die App auf einem nicht-gerooteten, originalen Android-Gerät läuft. Bei diesem Vorgang werden ausschließlich kryptografische Integrity-Tokens zwischen Gerät, Google und unserem Server ausgetauscht. Es werden keine zusätzlichen personenbezogenen Daten verarbeitet, die nicht ohnehin Bestandteil von Google Play Services sind. Diese Funktion wird vor ihrer Aktivierung in einer Aktualisierung dieser Datenschutzerklärung dokumentiert.

4-A.6 Biometrische Authentifizierung

Die aktuelle Version der Android-App verwendet keine biometrische Authentifizierung. Die kryptografischen Schlüssel sind durch die Android-Keystore-MasterKey-Hierarchie (Abschnitt 4-A.2) hardware-geschützt; ein zusätzlicher Biometrie-Gate ist nicht implementiert. Sollte eine biometrische Schlüssel-Freischaltung in einer zukünftigen Version ergänzt werden, würde diese Datenschutzerklärung vor Aktivierung entsprechend aktualisiert.

4-A.7 Polygon-Verankerung (Android-Wallet)

Foto-/Video-Hashes der Android-App werden über eine von der iOS-Wallet getrennte Polygon-Wallet (0xEB0374BcB28b3e64D9eAB7c8C7738Cce86A3D8E3) auf der Polygon-Mainnet (Chain-ID 137) verankert. Die Trennung dient der forensischen Eindeutigkeit der Beweiskette pro Plattform. Es gelten dieselben Regeln wie für die iOS-Verankerung: keine personenbezogenen Daten auf der Blockchain, ausschließlich kryptografische Hashes. Blockchain-Daten sind technisch unveränderlich.

4-A.8 Kein Google-Drive-Sync

Die Android-App synchronisiert keine Daten über Google Drive, Google Backup oder vergleichbare Cloud-Dienste. Im AndroidManifest ist android:allowBackup="false" gesetzt — ein automatisches Backup durch Android System Backup findet nicht statt.

4-A.9 Kein Crash- oder Telemetrie-Reporting

Die Android-App enthält kein Firebase Crashlytics, kein Sentry, kein Bugsnag und keine vergleichbaren Telemetrie-SDKs. Crash-Daten werden ausschließlich von Google Play Services im Rahmen der gesetzlich vorgesehenen Pre-Launch-Reports und Android-Vitals verarbeitet, sofern der Nutzer dies in seinen Google-Konto-Einstellungen erlaubt.

5. Zahlungsabwicklung

5.1 In-App-Käufe (Apple, iOS)

In-App-Käufe in der iOS-App werden ausschließlich über Apple (Apple Media Services) abgewickelt. Wir erhalten von Apple lediglich eine anonymisierte Transaktionsbestätigung. Zahlungsdaten (Kreditkarte, Apple Pay etc.) werden ausschließlich von Apple verarbeitet und sind uns nicht zugänglich.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Einzelheiten in Apples Datenschutzrichtlinie.

5.2 In-App-Käufe (Google Play, Android)

In-App-Käufe in der Android-App werden ausschließlich über Google Play (Google Ireland Limited) abgewickelt. Wir erhalten von Google lediglich einen anonymisierten Purchase-Token, mit dem wir den Tarif-Status serverseitig verifizieren. Zahlungsdaten und Google-Account-Identitäten werden ausschließlich von Google verarbeitet und sind uns nicht zugänglich (Details siehe Abschnitt 4-A.4).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Einzelheiten in Googles Datenschutzerklärung.

5a. Chat-Assistent auf der Website

Auf kishieldcam.de bieten wir seit dem 17. Mai 2026 einen KI-gestützten Chat-Assistenten („Site-Bot") an, der Fragen zur App, zu Funktionen, Preisen und rechtlichen Themen beantwortet. Die Nutzung ist freiwillig.

5a.1 Was wird verarbeitet

  • Ihre Eingabe im Chat-Fenster (Freitext)
  • Die auf unserem Server vorgehaltenen RAG-Inhalte (236 Textbausteine aus dieser Website inklusive FAQ, Hilfe und Kontaktangaben)
  • Ihre IP-Adresse zur Durchsetzung des Rate-Limits (maximal 10 Anfragen pro Minute) und zum Schutz gegen automatisierte Crawler

5a.2 Datenfluss

Ihre Eingabe wird zusammen mit relevanten Textbausteinen aus unserer Wissensdatenbank an das Sprachmodell Mistral Large 2512 der Mistral AI SAS (15 rue des Halles, 75001 Paris, Frankreich) übermittelt. Mistral AI ist ein europäisches Unternehmen mit Sitz und Rechenzentren in der EU; ein Drittlandtransfer findet nicht statt. Mistral verarbeitet die Anfrage gemäß dem mit uns geschlossenen API-Vertrag und verwendet die Inhalte nicht zum Training eigener Modelle.

5a.3 Speicherung und Löschung

Wir speichern weder die Chat-Verläufe noch die Eingaben dauerhaft. Auf unserem Server werden lediglich die IP-Adresse für das Rate-Limit-Fenster (60 Sekunden) und ein Honeypot-Status (zur Bot-Erkennung) flüchtig vorgehalten. Es werden keine Cookies gesetzt, keine Sitzungs-Identifier vergeben und keine Konversations-Historie aufgebaut.

5a.4 Hinweise zur Nutzung

  • Der Chat-Assistent ist eine KI und kann Fehler machen. Verbindliche Auskünfte erhalten Sie über /kontakt.
  • Geben Sie keine personenbezogenen Daten Dritter, keine Geschäftsgeheimnisse und keine Zugangsdaten in das Chat-Fenster ein.
  • Wenn Sie den Chat nicht nutzen möchten, ignorieren Sie das Widget — es wird ohne Ihre aktive Eingabe keine Daten an Mistral übertragen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Nutzung des Chat-Fensters), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer niedrigschwelligen Hilfe-Funktion).

Anbieter Sprachmodell: Mistral AI SAS, 15 rue des Halles, 75001 Paris, Frankreich. Datenschutzerklärung: mistral.ai/terms.

6. Drittanbieter-Dienste

Neben Apple und Google nutzen wir folgende Drittanbieter-Dienste:

  • KIShieldCam-Zeitstempeldienst: Eigener RFC-3161-konformer Zeitstempel-Server, betrieben in Deutschland (siehe Abschnitt 7). Übermittelt wird ausschließlich der SHA-256-Hash — keine personenbezogenen Daten.
  • Polygon-Mainnet (Chain-ID 137): Öffentliches, dezentrales Blockchain-Netzwerk zur Verankerung kryptografischer Hashes. Keine personenbezogenen Daten. Das Polygon-Netzwerk ist dezentral und hat keinen einzelnen Verantwortlichen im Sinne der DSGVO.
  • Apple iCloud / CloudKit: Optionale Synchronisation von Public Keys, Chain-State und Witness-Cosignaturen (Abschnitt 4.4). Anbieter: Apple Distribution International Ltd., Hollyhill Industrial Estate, Cork, Irland.
  • Apple App Attest (DeviceCheck): Geräte-Integritätsprüfung bei jeder Beweissicherung (Abschnitt 4.5). Anbieter: Apple Inc., USA.
  • Apple Push Notification Service (APNs): Auslieferung von Service-Benachrichtigungen an die iOS-App (Abschnitt 4.9). Anbieter: Apple Inc., USA.
  • Apple TestFlight: Verteilung von Beta-Versionen der iOS-App. Wer die App über TestFlight installiert, erscheint im TestFlight-Programm von Apple; Apple erfasst dabei automatisch Daten zur Build-Installation, Absturzberichte (Crash-Logs) und — sofern vom Tester aktiviert — Feedback. Wir erhalten von Apple aggregierte Beta-Telemetrie (Installationen, Abstürze) ohne Zuordnung zu einer einzelnen Person; sofern ein Tester ausdrücklich Feedback einsendet, sind die darin enthaltenen Angaben (E-Mail-Adresse, freier Text, optional Screenshot) für uns einsehbar. Anbieter: Apple Inc., USA. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Qualitätssicherung im Beta-Programm).
  • Google Ireland Limited (Android): Google Play Billing zur Abwicklung von Abonnements und (geplant) Google Play Integrity API zur Geräte-Integritätsprüfung (Abschnitt 4-A.4, 4-A.5).
  • Mistral AI SAS (Chat-Assistent): Sprachmodell für den Site-Bot auf kishieldcam.de, siehe Abschnitt 5a. Sitz Paris, Frankreich (EU-Inland, kein Drittlandtransfer).
  • Eigene Auslieferung: CSS- und JavaScript-Bibliotheken werden seit dem 17. Mai 2026 selbst gehostet auf kishieldcam.de/lib/; keine CDN-Drittanbieter mehr.

Wir setzen keine Analytics-, Tracking- oder Werbedienste ein.

7. Hosting und Infrastruktur

KIShieldCam wird auf Servern der Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, Deutschland) betrieben. Eigene Daten werden ausschließlich in Deutschland verarbeitet und gespeichert. Externe Auftragsverarbeiter und Dienste mit Drittlandbezug sind in Abschnitt 16 gesondert ausgewiesen.

  • Datenbank: PostgreSQL 16, betrieben in einem isolierten Docker-internen Netzwerk ohne externe Port-Freigabe, Authentifizierung der App-Container per SCRAM-SHA-256
  • Cache: Redis 7, betrieben in demselben isolierten Docker-internen Netzwerk ohne externe Port-Freigabe, ausschließlich flüchtige Daten (keine personenbezogenen Daten persistent)
  • Transportverschlüsselung nach außen: TLS 1.3
  • Container: Docker mit Read-only-Filesystem und no-new-privileges

Hetzner verarbeitet Daten im Auftrag auf Grundlage eines Auftragsverarbeitungsvertrags (AVV) gemäß Art. 28 DSGVO.

Datenschutzerklärung: https://www.hetzner.com/de/legal/privacy-policy

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an zuverlässigem Hosting), Art. 28 DSGVO (Auftragsverarbeitung).

8. Cookies und lokale Speicherung (Website)

Die KIShieldCam-Website verwendet ausschließlich technisch notwendige Speicherung. Es werden keine Tracking-, Analyse- oder Werbe-Cookies eingesetzt. Ein Cookie-Banner ist daher nicht erforderlich (§ 25 Abs. 2 Nr. 2 TDDDG).

  • Dark-Mode-Präferenz: Speicherung Ihrer Anzeigeeinstellung (Hell-/Dunkel-Modus) im localStorage Ihres Browsers. Keine personenbezogenen Daten.

Die für die Darstellung notwendigen CSS- und JavaScript-Bibliotheken (Tailwind CSS, Alpine.js) werden ausschließlich vom eigenen Server kishieldcam.de/lib/ ausgeliefert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an funktionsfähigem Dienst), § 25 Abs. 2 Nr. 2 TDDDG (technische Notwendigkeit).

9. Server-Logfiles

Bei jedem Zugriff auf die Website werden automatisch erfasst:

  • IP-Adresse
  • Zeitpunkt des Zugriffs
  • Aufgerufener Pfad
  • HTTP-Statuscode
  • User-Agent (Browsertyp und -version)
  • Übertragene Datenmenge

Diese Daten sind für den sicheren Betrieb technisch zwingend erforderlich. Sie werden nicht mit anderen Datenquellen zusammengeführt. Löschung erfolgt nach 14 Tagen durch eine zeitbasierte Log-Rotation; zusätzlich räumt ein täglicher Cron-Job ältere Log-Dateien hart auf.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Stabilität des Dienstes).

10. Öffentliche Verifikations-Auskunft

KI-Shield stellt eine kostenlose, authentifizierungsfreie Verifikations-Auskunft bereit, über die Dritte die kryptografische Gültigkeit einer KIShieldCam-Dokumentation prüfen können. Beim Aufruf werden lediglich die Standard-Server-Logdaten (siehe Abschnitt 9) und der vom Aufrufenden übermittelte Hash bzw. das Beweisbündel verarbeitet. Es werden keine Account-Daten erhoben.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an unabhängiger Verifizierbarkeit von Beweismitteln).

11. Kontaktaufnahme

Wenn Sie uns per E-Mail oder Telefon kontaktieren, werden die von Ihnen mitgeteilten Daten (E-Mail-Adresse, ggf. Name, Telefonnummer, Inhalt der Anfrage) zum Zweck der Bearbeitung Ihres Anliegens verarbeitet und gespeichert. Diese Daten werden nach vollständiger Bearbeitung Ihres Anliegens gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen).

12. Datensicherheit (Technische und organisatorische Maßnahmen)

KIShieldCam schützt Ihre Daten mit umfangreichen technischen und organisatorischen Maßnahmen (TOMs) gemäß Art. 32 DSGVO:

  • SHA-256-Hashing: Einweg-Hash-Funktion, die keine Rückrechnung auf das Original ermöglicht
  • Ed25519-Signaturen: Kryptografische Authentifizierung jeder Beweissicherung
  • ML-DSA-65-Post-Quantum-Signaturen: Zusätzliche quantencomputerresistente Signaturen (NIST FIPS 204)
  • RFC-3161-Zeitstempel: Kryptografische Zeitstempel über den KIShieldCam-Zeitstempeldienst
  • Apple App Attest: Hardware-attestierte Geräte-Integrität bei jeder Beweissicherung (iOS)
  • Hash-Chain-Verkettung: Kryptografische Verkettung aller Beweissicherungen zur Manipulationserkennung
  • Polygon-Blockchain-Verankerung: Dezentrale, unveränderliche Verankerung der Hashes
  • Transportverschlüsselung: TLS 1.3 für alle externen Verbindungen; interne Dienste laufen in einem isolierten Docker-Netzwerk ohne externe Erreichbarkeit
  • Netzwerksicherheit: UFW-Firewall, Fail2Ban, CrowdSec IP-Reputation-Blocking, Wazuh HIDS/IDS
  • Backup: Verschlüsselte stündliche Backups, tägliche Offsite-Backups, regelmäßige Integritätsprüfung

13. Ihre Rechte als betroffene Person

Sie haben gemäß DSGVO folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

  • Auskunftsrecht (Art. 15 DSGVO): Sie können jederzeit unentgeltlich Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten, deren Herkunft, Empfänger und den Zweck der Verarbeitung verlangen.
  • Berichtigungsrecht (Art. 16 DSGVO): Sie können die unverzügliche Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.
  • Löschungsrecht (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern nicht gesetzliche Aufbewahrungspflichten oder berechtigte Interessen entgegenstehen.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung verlangen.
  • Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, die Sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen.
  • Widerspruchsrecht (Art. 21 DSGVO): Sofern die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO beruht, können Sie jederzeit aus Gründen, die sich aus Ihrer besonderen Situation ergeben, Widerspruch einlegen.

Hinweis zu Blockchain-Daten: Auf der Polygon-Blockchain verankerte Hashes können technisch nicht gelöscht werden. Da es sich jedoch ausschließlich um kryptografische Hashes (keine personenbezogenen Daten) handelt, ist eine Zuordnung zu natürlichen Personen ohne Zusatzwissen nicht möglich.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: info@ki-shield.de

Wir werden Ihr Anliegen unverzüglich, spätestens jedoch innerhalb eines Monats bearbeiten (Art. 12 Abs. 3 DSGVO).

14. Widerruf der Einwilligung

Soweit die Verarbeitung Ihrer personenbezogenen Daten auf einer Einwilligung beruht (Art. 6 Abs. 1 lit. a DSGVO), können Sie diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO). Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung wird hierdurch nicht berührt.

Dies betrifft insbesondere:

  • iOS: Einwilligung zur Nutzung von Kamera, Mikrofon und Fotomediathek — widerrufbar über die iOS-Einstellungen → KIShieldCam
  • iOS: GPS-Sensor-Consent — widerrufbar in den App-Einstellungen
  • iOS: Witness-Mode — Beendigung jederzeit über die App
  • Android: Einwilligung zur Nutzung von Kamera, Mikrofon, Speicher und Biometrie — widerrufbar über die Android-Einstellungen → Apps → KIShieldCam → Berechtigungen

15. Beschwerderecht bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt (Art. 77 DSGVO). Die für uns zuständige Aufsichtsbehörde ist:

Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit (TLfDI)
Häßlerstraße 8
99096 Erfurt
Telefon: 0361 57-3112900
E-Mail: poststelle@datenschutz.thueringen.de
Web: www.tlfdi.de

16. Drittlandtransfer

Eigene Server stehen ausschließlich in Deutschland (siehe Abschnitt 7). Daneben kommt es bei folgenden Verarbeitungen zu Übermittlungen in oder über die USA bzw. den EWR:

  • Apple Inc. (USA): App Attest, iCloud Key-Value-Store, CloudKit-Zone für Witness-Mode, In-App-Käufe. Apple ist nach dem EU-US Data Privacy Framework zertifiziert; ergänzend setzt Apple EU-Standardvertragsklauseln ein.
  • Google Ireland Limited (Irland, EWR): Google Play Billing und ggf. Google Play Integrity API. Konzernweite Verarbeitung in den USA über EU-Standardvertragsklauseln.
  • jsDelivr / Cloudflare: entfällt seit dem 17. Mai 2026 — Self-Hosting umgesetzt, keine Auslieferung statischer Bibliotheken über Drittanbieter-CDN mehr.
  • Polygon-Mainnet (global verteilt): Verankerung kryptografischer Hashes auf der öffentlichen Polygon-PoS-Chain. Da ausschließlich kryptografische Hashes ohne Personenbezug übermittelt werden, liegt nach unserer Auffassung kein Drittlandtransfer personenbezogener Daten vor (Erwägungsgrund 26 DSGVO).

17. Pflicht zur Bereitstellung personenbezogener Daten

Die Nutzung der iOS- und Android-App erfordert keine Registrierung und keine Angabe persönlicher Identitätsdaten. Beide Apps übertragen ausschließlich kryptografische Hashes, Signaturen und Geräte-Metadaten. Für Abonnement-Käufe ist ein Apple-ID- bzw. Google-Konto bei Apple/Google notwendig — uns gegenüber bleibt der Nutzer dabei anonym (siehe Abschnitte 5.1 und 5.2).

Eine gesetzliche Pflicht zur Bereitstellung von Daten besteht nicht. Die Nichtbereitstellung von Berechtigungen (z. B. Kamera) hat lediglich zur Folge, dass die App nicht genutzt werden kann.

18. Automatisierte Entscheidungsfindung und Profiling

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO statt. Insbesondere die in der App durchgeführte Plausibilitätsprüfung (Sonnenstand, IGRF-13-Magnetfeld) erfolgt ausschließlich on-device und liefert ein nicht-bindendes Ergebnis, das in das Beweisbündel aufgenommen wird; sie entfaltet keine rechtliche Wirkung gegenüber dem Nutzer.

19. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

  • Lokale App-Daten (iOS- bzw. Android-Gerät): Bis zur Löschung durch den Nutzer in den App-Einstellungen oder bis zur Deinstallation der App
  • Ed25519- und ML-DSA-65-Private-Keys (iOS Keychain / Secure Enclave bzw. Android Keystore): Bis zur Deinstallation der App
  • iCloud Key-Value-Store und CloudKit-Witness-Zone (iOS): Bis zur Deaktivierung durch den Nutzer
  • Android Auto-Backup: deaktiviert (allowBackup=false) — keine Speicherung über Android System Backup
  • Foto-Hashes und Chain-Daten (Server): Unbefristet, solange dem Beweiszweck dienend; auf Antrag des Nutzers wird der serverseitige Eintrag gelöscht, soweit dem keine berechtigten Interessen Dritter entgegenstehen. Die Polygon-Verankerung bleibt aus technischen Gründen bestehen (siehe Hinweis in Abschnitt 13).
  • Blockchain-Daten: Permanent (technisch unveränderlich)
  • Server-Logs: 14 Tage
  • Google Play Purchase-Tokens (Android, serverseitig): Bis zum Ende des Abonnement-Lebenszyklus zuzüglich 90 Tage Kulanzfrist; danach automatische Löschung
  • Kontaktanfragen: Bis zur vollständigen Bearbeitung, maximal 6 Monate
  • Apple In-App-Purchase-Daten: Gemäß Apple-Richtlinien (bei Apple, nicht bei uns gespeichert)
  • Google Play Billing-Daten: Gemäß Google-Richtlinien (bei Google, nicht bei uns gespeichert)

20. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen, behördliche Vorgaben oder Änderungen des Dienstes anzupassen. Die jeweils aktuelle Version finden Sie stets auf dieser Seite. Bei wesentlichen Änderungen, die Ihre Rechte erheblich betreffen, informieren wir Sie über die App per In-App-Benachrichtigung.