Datenschutzerklärung

Ein Benutzername (kann erfunden sein), ein von dir gewähltes Passwort und ein öffentlicher Name, damit deine Kontakte dich erkennen (kann ebenfalls erfunden sein). Keine E-Mail. Keine Telefonnummer. Keine Daten, die dich mit einer echten Person in Verbindung bringen.

Für eine umfassende Übersicht aller gespeicherten Felder, wie wir sie schützen und wie lange wir sie aufbewahren, schau in unser Transparenz-Manifest

Die Verarbeitung deiner Daten stützt sich auf folgende Rechtsgrundlagen der Datenschutz-Grundverordnung (DSGVO)

• Vertragsabwicklung ( Art. 6.1.b RGPD ): Ihre Kontodaten sind für die Bereitstellung des Dienstes erforderlich.
• Berechtigtes Interesse ( Art. 6.1.f RGPD ): Anonyme Messung der Besuche auf der Präsentationsseite (keine Cookies, keine IP, keine Identifizierung).
• Gesetzliche Verpflichtung ( Art. 6.1.c RGPD ): Aufbewahrung von Aufzeichnungen über Zahlungen für Steuerpflichten.

Jede Datenkategorie hat eine unterschiedliche Aufbewahrungsfrist, die in unserem Transparenz-Manifest

• Kontodaten: bis zur Löschung deines Kontos.
• Sitzungen: maximal 24 Stunden.
• Verbindungssignale: maximal 60 Sekunden, nur im Arbeitsspeicher.
• Verknüpfungsanfragen: maximal 3 Tage.
• Zahlungsnachweise: dauerhaft (steuerliche Verpflichtung). Diese Nachweise sind vollständig anonym: Sie enthalten nur den Betrag und das Datum der Transaktion, um den entsprechenden Kassenbeleg ausstellen zu können. Sie enthalten keine Daten, die die Zahlung mit einem bestimmten Nutzer verknüpfen.

Alle unsere Server befinden sich in Deutschland

Zahlungen werden über externe Zahlungsdienstleister abgewickelt. Diese können Transaktionsdaten gemäß ihren eigenen Datenschutzrichtlinien verarbeiten. Wir erhalten und speichern keine persönlichen Daten des Zahlers – wir erhalten lediglich eine Bestätigung und einen Betrag.

Auf der Präsentationsseite (nicht in der App) führen wir eine anonyme Besuchsmessung auf unseren eigenen Servern in Deutschland durch. Ohne Cookies, ohne IP-Adressen, ohne jemanden zu identifizieren und ohne Daten mit Dritten zu teilen.

Rechtsgrundlage:

Widerspruchsrecht:

Du kannst dein Konto und alle damit verbundenen technischen Daten mit einem einzigen Klick löschen. Ohne Rückfragen.

Gemäß der DSGVO und der LOPDGDD hast du das Recht auf:

• Zugriff: Erfahren Sie, welche Daten wir über Sie haben. Alles ist im Transparenzmanifest detailliert beschrieben; Für Ihr spezifisches Konto kontaktieren Sie uns.
• Korrektur: Sie können Ihren öffentlichen Namen und Ihr Passwort direkt in der Anwendung ändern.
• Löschen: Löschen Sie Ihr Konto und alle damit verbundenen Daten mit einem Klick in den Einstellungen.
• Portabilität: Solo2 bietet den Export verschlüsselter Backups, die alle Ihre lokalen Daten enthalten.
• Einschränkung der Verarbeitung: In der Praxis sind die Daten, die wir über Sie haben, so gering, dass es kaum eine Einschränkung gibt. Wenn Sie dies wünschen, schränken wir jedoch jede Verarbeitung ein, die nicht unbedingt zur Aufrechterhaltung des Dienstes erforderlich ist.
• Einspruch: Sie können der Behandlung jederzeit widersprechen. Für anonyme Analysen deaktivieren Sie einfach JavaScript.

Um eines dieser Rechte auszuüben, schreib uns an hola@menzuri.com

Wenn du der Meinung bist, dass wir deine Rechte nicht angemessen berücksichtigt haben, kannst du eine Beschwerde beim BfDI (Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit)

Solo2 verwendet von der akademischen Gemeinschaft geprüfte Kryptografie, keine eigenen Schemata. Die Primitive sind dieselben, die von Fachzeitschriften validierte Publikationen bestätigen und die seit Jahren weltweit in anderen Systemen eingesetzt werden.

• X3DH (Extended Triple Diffie-Hellman) für den ersten Sitzungsaufbau zwischen zwei Kontakten: Beide leiten einen gemeinsamen Schlüssel ab, ohne zuvor jemals ein Geheimnis ausgetauscht zu haben.
• Double Ratchet für die laufende Verschlüsselung jedes Gesprächs. Jede Nachricht wird mit einem anderen Schlüssel verschlüsselt, der abgeleitet und sofort nach der Verschlüsselung der nächsten Nachricht gelöscht wird.
• ChaCha20-Poly1305 für die authentifizierte Verschlüsselung jeder einzelnen Nachricht innerhalb von Double Ratchet. Ruhende Daten — dein lokaler Tresor und Backups — werden mit AES-256-GCM verschlüsselt. Beide sind weit verbreitete und validierte authentifizierte Verschlüsselungen (AEAD).
• Argon2id um aus deinem Passwort den Schlüssel abzuleiten, der deinen Hauptschlüssel umhüllt (verschlüsselt). Widerstandsfähig gegen Angriffe mit spezialisierter Hardware (GPUs, ASICs).
• Curve25519 und Ed25519 für die Verschlüsselungs- und Signaturschlüsselpaare. Moderne elliptische Kurven ohne verdächtige «magische Konstanten».

Eine Schlüsseleigenschaft, die diese Primitive bieten, ist forward secrecy: Wenn ein Sitzungsschlüssel kompromittiert wird, bleiben frühere Nachrichten weiterhin unlesbar. Und die komplementäre Eigenschaft post-compromise security: Das Gespräch «heilt sich selbst», sobald neue Nachrichten ausgetauscht werden.

Es gibt keinen Master-Key, keine Hintertür und keinen Wiederherstellungsmechanismus, der es uns ermöglicht, Ihre Nachrichten zu lesen. Dies schließt den Fall einer gerichtlichen Anordnung ein: Technisch gesehen können wir nicht entschlüsseln, was wir nicht haben.

Eine seriöse Datenschutzerklärung ist nicht nur eine Liste dessen, was wir tun: Es ist auch eine klare Liste dessen, was wir niemals tun werden.

• Wir trainieren keine KI-Modelle mit Ihren Nachrichten. Das ist kein freiwilliges Versprechen: Es ist eine Folge aus all dem Vorgenannten. Wir haben sie zu keinem Zeitpunkt – die Klausel, die in anderen Erklärungen beruhigend klingt, ist hier konstruktionsbedingt zwangsläufig wahr.
• Wir verkaufen keine Werbung. Solo2 ist ein kostenpflichtiger Dienst, der nicht durch Anzeigen monetarisiert wird. Ihre Daten sind nicht unser Geschäftsmodell.
• Wir erstellen keine Profile über Nutzung, Verhalten, Standort, Kontakte oder Interessen. Wir haben auch keinen sozialen Graphen, der Benutzer miteinander verknüpft.
• Wir teilen keine Daten mit Dritten zu kommerziellen Zwecken. Die einzige Ausnahme sind Zahlungsanbieter, die lediglich den Transaktionsbetrag erhalten.
• Wir verwenden keine Tracking-Cookies, keine Pixel, kein Browser-Fingerprinting und keine externen Dienste wie Google Analytics oder Facebook Pixel.
• Wir speichern Ihre IP-Adresse nicht dauerhaft. Die Verbindung benötigt eine vorübergehende IP, aber diese wird nicht mit Ihrem Konto verknüpft gespeichert.

In Anwendung von Artikel 28 der DSGVO sind die Unterauftragsverarbeiter, die derzeit an der Erbringung der Dienstleistung beteiligt sind, die folgenden. Sollte zu irgendeinem Zeitpunkt ein neuer Unterauftragsverarbeiter hinzukommen, wird diese Liste aktualisiert und wir werden die Änderung den Nutzern mitteilen, bevor sie in Kraft tritt.

• Hetzner Online GmbH (Deutschland) — Serverinfrastruktur mit Rechenzentren in der Europäischen Union. Erfüllt die DSGVO und ISO 27001 Zertifizierungen.
• Infomaniak (Schweiz) — Unternehmenseigene E-Mail. Daten gehostet in der Schweiz, einem Land mit einem Angemessenheitsbeschluss der Europäischen Kommission.
• Zahlungsanbieter — Abwicklung von Zahlungen. Sie erhalten keine personenbezogenen Daten des Nutzers, sondern nur den Betrag und die Währung der Transaktion.

Wenn wir eine gültige gerichtliche Anordnung erhalten, die von einer zuständigen spanischen oder europäischen Behörde erlassen wurde, kommen wir dieser nach. Die interessante Frage ist nicht, ob wir ihr nachkommen würden, sondern was wir tatsächlich liefern könnten.

Das technische Design von Solo2 schränkt drastisch ein, was wir zu einer Anforderung beitragen könnten. Wir haben keinen Zugriff auf den Inhalt der Nachrichten (Ende-zu-Ende-Verschlüsselung), wir speichern keine Metadaten darüber, wer mit wem spricht, wir speichern keine Verbindungshistorien und wir speichern keine IP-Adressen, die Konten zugeordnet sind.

Was wir gegebenenfalls liefern könnten, sind die im Transparenz-Manifest beschriebenen Mindestdaten eines Kontos: Benutzername und öffentlicher Name (beides kann erfunden sein), ein Hash des Passworts und ein mit diesem Passwort verschlüsselter Master-Key, der für uns ein undurchsichtiger Blob ist.

Diese Richtlinie gilt nur für zuständige Behörden in Spanien und der Europäischen Union. Wir beantworten keine Anfragen von Strafverfolgungsbehörden aus Drittländern ohne einen zwischengeschalteten europäischen Rechtsweg.