Zum Hauptinhalt springen
← Zur Startseite

Datenschutzerklärung

Stand: April 2026 (zuletzt aktualisiert: 10. Juli 2026)

Hinweise zur Nutzung und Haftung

Beta-Stadium

Suveris befindet sich in einer geschlossenen Betaphase. Die Software wird nach bestem Wissen und Gewissen entwickelt und betrieben, kann aber Fehler enthalten. Vor dem öffentlichen Launch werden unabhängige Sicherheitsaudits durchgeführt. Bitte gib in der Betaphase keine hochsensiblen Informationen außerhalb des Ende-zu-Ende-verschlüsselten Tresors ein.

Haftungsbeschränkung: Diese Anwendung wurde nach bestem Wissen und Gewissen entwickelt. Die Haftung für leichte Fahrlässigkeit ist ausgeschlossen. Ausgenommen hiervon ist die Haftung für die Verletzung von Kardinalpflichten (wesentliche Vertragspflichten, deren Erfüllung die ordnungsgemäße Durchführung der Nutzung überhaupt erst ermöglicht) sowie für Schäden an Leben, Körper oder Gesundheit. Die zwingende gesetzliche Haftung für Vorsatz und grobe Fahrlässigkeit bleibt von dieser Beschränkung unberührt.

1. Verantwortlicher

Jan Schmirmund

Gnauthstr. 17, 35390 Gießen

Tel.: +49 (0) 176 64330279

E-Mail: js@janschmirmund.de

2. Hosting

Diese Website wird auf einem Server der Infomaniak Network SA in der Schweiz betrieben (Rue Eugène-Marziano 25, 1227 Genf). Die Schweiz verfügt über einen Angemessenheitsbeschluss der EU-Kommission — deine Daten sind damit gleichwertig zur DSGVO geschützt.

Der Server speichert bei jedem Seitenaufruf automatisch technische Zugriffsdaten (IP-Adresse, Zeitstempel, aufgerufene URL, Browser-Kennung). Diese werden ausschließlich zur Fehleranalyse verwendet und nach spätestens 7 Tagen gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb).

Infomaniak ist als Auftragsverarbeiter nach Art. 28 DSGVO tätig; ein entsprechender Auftragsverarbeitungsvertrag (AVV) ist Bestandteil der Vertragsbeziehung.

3. Cookies, Sessions & Browser-Speicher

Suveris verwendet keine Werbe-Cookies, keine Analyse-Cookies und kein Tracking.

Wenn du dich einloggst, wird ein technisch notwendiger Session-Cookie gesetzt. Dieser Cookie enthält eine zufällig generierte Sitzungs-ID — keine personenbezogenen Daten. Die zugehörige Sitzung ist maximal 7 Tage gültig. Danach musst du dich erneut anmelden. Der Cookie ist nach aktuellen Sicherheitsstandards geschützt und kann nicht von Drittseiten oder Skripten ausgelesen werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Nutzung des Dienstes).

Speicherung im Browser (localStorage / sessionStorage)

Neben Cookies nutzt Suveris den lokalen Speicher deines Browsers (Web Storage). Diese Einträge bleiben auf deinem Gerät, werden nicht an unseren Server übertragen und dienen nicht dem Tracking. Konkret speichert Suveris dort:

  • Einstellungen und Hinweise (localStorage, keine personenbezogenen Daten): deine Bestätigung des Cookie-Banners sowie Darstellungs-Einstellungen — etwa die ein- oder ausgeklappte Seitenleiste, die Hintergrund-Animation, gewählte Feed-Quellen und weggeklickte Hinweise. Diese Einträge bleiben gespeichert, bis du die Website-Daten in deinem Browser löschst.
  • Schlüssel-Backup beim Öffnen eines Freigabe-Links (localStorage, maximal 24 Stunden): Der Entschlüsselungs-Schlüssel eines Freigabe-Links steckt im Link selbst (hinter dem #-Zeichen) und erreicht unseren Server nie. Damit der Schlüssel eine zwischengeschaltete Anmeldung oder Registrierung übersteht, legt dein Browser ein Backup davon im lokalen Speicher ab. Es läuft nach spätestens 24 Stunden automatisch ab und wird gelöscht, sobald es verbraucht ist.
  • Kontakt-Zwischenspeicher beim Übernehmen in den Tresor (sessionStorage, maximal 30 Minuten): Wenn du empfangene Kontaktdaten in deinen Tresor übernimmst, hält dein Browser die bereits entschlüsselten Daten für die Dauer der Weiterleitung kurz im Sitzungs-Speicher. Dieser Eintrag läuft nach spätestens 30 Minuten ab und wird nach erfolgreicher Übernahme sofort gelöscht.

Abgelaufene Einträge werden beim nächsten Besuch der betreffenden Seiten automatisch entfernt. Du kannst alle Einträge jederzeit selbst löschen (Browser-Einstellungen → Website-Daten). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); die Speicherung ist für die jeweils von dir angeforderte Funktion technisch erforderlich (§ 25 Abs. 2 Nr. 2 TDDDG).

4. Authentifizierung & Kontosicherheit

Suveris bietet mehrere Anmeldemethoden an. Alle dienen ausschließlich der sicheren Authentifizierung — mit Ausnahme des optionalen Bluesky-Logins werden dabei keine Daten an Dritte übertragen.

Magic-Link-Login (Standard)

Du meldest dich mit deiner E-Mail-Adresse an. Wir senden dir einen Einmal-Link (Magic Link), der 15 Minuten gültig ist. Es wird kein Passwort benötigt oder gespeichert. Der Versand erfolgt über den SMTP-Dienst von Infomaniak (Schweiz).

Während des Login-Vorgangs wird ein kryptographischer Hash deiner E-Mail-Adresse für maximal 15 Minuten gespeichert, um die Freigabe zum Login zu prüfen. Deine E-Mail-Adresse wird dabei nicht im Klartext in dieser Zwischentabelle gespeichert.

Beta-Zugangscodes

Während der geschlossenen Betaphase ist ein Einladungscode erforderlich. Zu jedem Code speichern wir ein vom Administrator vergebenes Kürzel (z.B. „Max M.“) und ob der Code eingelöst wurde (Zeitstempel). Deine E-Mail-Adresse wird nicht dauerhaft mit dem Beta-Code verknüpft.

Versender-Einladungen: Ein Einladungscode kann einem bestehenden Suveris-Konto als persönlicher Einladungs-Vorrat zugeteilt werden. Teilt diese Person eine Visitenkarte an einen externen Empfänger und koppelt dabei eine Einladung, verknüpfen wir den Code mit dem dabei entstehenden Light-Konto. Dadurch ist ableitbar, welches Konto wen eingeladen hat — das dient ausschließlich der kontrollierten Aufnahme neuer Mitglieder während der geschlossenen Beta und wird darüber hinaus nicht ausgewertet.

Bluesky-Login (AT-Protocol / OAuth)

Du kannst dich alternativ zum Magic-Link mit deinem Bluesky-Konto anmelden. Die Anmeldung erfolgt über den OAuth-Standard des AT-Protocol. Dabei werden folgende Daten an Dritte übertragen bzw. verarbeitet:

  • Übertragung deines Bluesky-Handles: Wenn du deinen Handle eingibst, führt Suveris eine Identitätsauflösung über den zuständigen Server durch, auf dem dein Bluesky-Konto liegt — in der Regel Server von Bluesky Social PBC (USA) oder ein selbst betriebener Server. Dabei erfährt dieser Server deine IP-Adresse und deinen Handle.
  • Weiterleitung: Du wirst zur Anmeldeseite von Bluesky weitergeleitet und meldest dich dort direkt an. Suveris sieht deine Bluesky-Zugangsdaten zu keinem Zeitpunkt.
  • Rückgabe von Zugangstoken: Nach erfolgreicher Anmeldung erhält Suveris von Bluesky deine stabile Identität (DID), deinen Handle sowie kurzlebige Zugangstoken. Diese werden verschlüsselt in unserer Datenbank gespeichert und ausschließlich für die Token-Erneuerung sowie das optionale Cross-Posting auf Bluesky verwendet (siehe Abschnitt 5b).
  • Datenschutz von Bluesky: Bluesky Social PBC hat seinen Sitz in den USA. Beim Login werden deine IP-Adresse und Handle an Bluesky übertragen. Es gilt die Datenschutzerklärung von Bluesky. Wenn du einen eigenen Server nutzt, gelten dessen Bedingungen.

Der Bluesky-Login ist freiwillig. Du kannst die Verknüpfung jederzeit in den Kontoeinstellungen aufheben; die gespeicherten Token und Verknüpfungsdaten werden dabei aus unserer Datenbank gelöscht.

Zwei-Faktor-Authentifizierung (2FA / TOTP)

Du kannst optional eine Zwei-Faktor-Authentifizierung per Authenticator-App aktivieren (z.B. Aegis, 2FAS, Google Authenticator). Dabei werden folgende Daten verarbeitet:

  • TOTP-Schlüssel: Der gemeinsame Schlüssel für die Einmalcodes wird verschlüsselt auf unserem Server gespeichert. Der Verschlüsselungsschlüssel ist nicht im Quellcode enthalten.
  • Wiederherstellungscodes: Bei der 2FA-Aktivierung erhältst du einmalig Wiederherstellungscodes für den Fall, dass du den Zugang zu deiner Authenticator-App verlierst. Diese werden gehasht in der Datenbank gespeichert und können nicht im Klartext ausgelesen werden.

2FA ist freiwillig. Du kannst sie jederzeit in den Kontoeinstellungen aktivieren oder deaktivieren. Bei Deaktivierung werden der TOTP-Schlüssel und die Wiederherstellungscodes aus der Datenbank gelöscht.

Passkeys (WebAuthn / FIDO2)

Du kannst optional einen Passkey registrieren (z.B. Touch ID, Face ID, Windows Hello oder einen USB-Sicherheitsschlüssel). Dabei werden folgende Daten verarbeitet:

  • Öffentlicher Schlüssel: Wird auf unserem Server gespeichert, um deine Anmeldung zu verifizieren.
  • Privater Schlüssel: Verbleibt ausschließlich auf deinem Gerät und wird nie an unseren Server übertragen.
  • Keine biometrischen Daten: Fingerabdruck oder Gesichtserkennung werden nur lokal auf deinem Gerät verarbeitet. Wir erhalten keinerlei biometrische Informationen.
  • Geräte-Kennung: Eine zufällige Kennung, die den Passkey identifiziert — kein Fingerprint deines Geräts.

Passkeys sind freiwillig. Du kannst registrierte Passkeys jederzeit in den Kontoeinstellungen entfernen.

Biometrische Tresor-Entsperrung

Du kannst optional deinen Tresor per FaceID oder Fingerabdruck entsperren, anstatt jedes Mal das Passwort einzugeben. Dabei wird ein kryptographischer Schlüssel direkt aus deinem Sicherheitsgerät abgeleitet.

  • Keine biometrischen Daten auf dem Server: Fingerabdruck und Gesichtserkennung werden ausschließlich lokal auf deinem Gerät verarbeitet. Wir erhalten keinerlei biometrische Informationen.
  • Verschlüsselte Kopie des Tresor-Schlüssels: Bei der Einrichtung wird eine verschlüsselte Kopie deines Tresor-Schlüssels auf unserem Server gespeichert. Diese Kopie kann nur mit deinem physischen Gerät entschlüsselt werden — ohne das Gerät ist sie wertlos.
  • Pro Gerät: Die Einrichtung gilt jeweils für einen einzelnen Passkey. Du kannst die biometrische Entsperrung jederzeit in den Sicherheitseinstellungen deaktivieren.
  • Passwort-Änderung: Wenn du dein Tresor-Passwort änderst, werden alle biometrischen Verknüpfungen automatisch ungültig und müssen neu eingerichtet werden.

Rechtsgrundlage für alle Authentifizierungsmethoden: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit deines Kontos).

Light-Konto (ohne Passwort)

Wenn du Suveris über einen Visitenkarten-Einladungslink kennenlernst, legen wir für dich ein sogenanntes Light-Konto an. Ein Light-Konto ist auf das Empfangen von Visitenkarten und ein schlankes Zurückteilen beschränkt — es gibt keinen öffentlichen Profiltext, keine Beiträge im Netzwerk und kein klassisches Tresor-Passwort. Aktiv teilen kannst du ausschließlich deine beim Einstieg angegebenen Onboarding-Daten (Name und deine zum Login verwendete E-Mail-Adresse), Ende-zu-Ende-verschlüsselt mit dem öffentlichen Schlüssel des Empfängers. Für komplexere Visitenkarten (Telefon, Adresse, Skills) brauchst du ein Vollkonto.

  • Passkey statt Passwort: Dein kryptographischer Schlüssel wird bei der Einrichtung aus deinem Passkey abgeleitet (WebAuthn PRF-Extension). Es gibt kein Passwort, das du dir merken musst.
  • Verschlüsselter Schlüssel auf unserem Server: Wir speichern eine verschlüsselte Hülle deines privaten Schlüssels — entschlüsselbar ausschließlich mit deinem physischen Gerät. Ohne den Passkey ist sie wertlos.
  • Kein Wiederherstellungspfad: Wenn du das Gerät mit dem Passkey verlierst, kannst du empfangene Visitenkarten nicht mehr entschlüsseln. Du kannst dir aber jederzeit eine neue Kopie vom Absender schicken lassen, da empfangene Karten ohnehin Kopien sind.
  • Upgrade möglich: Du kannst jederzeit auf ein Vollkonto wechseln (mit Passwort, Tresor und eigenem Profil) — deine bereits empfangenen Karten bleiben dabei erhalten.

5. Datenverarbeitung bei Nutzung der Plattform

Wenn du ein Konto erstellst und die Plattform nutzt, verarbeiten wir folgende Daten:

  • Profildaten: Name, Headline, Summary, Standort, Website, Skills, Berufserfahrung, Ausbildung, Sprachen, Zertifikate
  • Profilbilder und hochgeladene Fotos: Avatar, Headerbild und Beitrags-Fotos (auf unserem Server gespeichert; beim Hochladen entfernen wir automatisch eingebettete Metadaten wie EXIF- und GPS-Daten)
  • Posts und Kommentare: Beiträge im Feed, Likes, Kommentare
  • Tresor: Optionale sensitive Daten (Gehalt, Telefon, Verfügbarkeit) — zugriffsgesteuert, nur für von dir freigegebene Personen sichtbar

Verschlüsselung:

  • Tresor (Ende-zu-Ende-verschlüsselt): Daten im Tresor (Gehalt, Telefon, persönliche E-Mail, Verfügbarkeit, Notizen) werden Ende-zu-Ende-verschlüsselt nach aktuellem Stand der Technik. Der Schlüssel wird aus deinem Passwort in deinem Browser abgeleitet und verlässt dein Gerät nie — der Betreiber hat keinen Zugriff auf diese Daten (Zero-Knowledge-Architektur). Es gibt keinen unverschlüsselten Speicherweg für Tresor-Daten: Du richtest den Tresor einmalig ein, danach werden alle Eingaben ausschließlich Ende-zu-Ende verschlüsselt abgelegt.
  • Visitenkarten (Ende-zu-Ende-verschlüsselt): Visitenkarten sind kuratierte Sichten auf deinen Tresor, die du gezielt mit einzelnen Empfängern teilst. Bei Empfängern mit Suveris-Konto wird der Schlüssel mit dem öffentlichen Schlüssel des Empfängers verschlüsselt; bei Empfängern ohne Suveris-Konto wird ein Link erzeugt, der den Entschlüsselungsschlüssel ausschließlich im URL-Fragment trägt (wird nie an den Server übertragen). Eine Visitenkarte kannst du jederzeit zurückziehen.
  • Adressbuch (Ende-zu-Ende-verschlüsselt): Die Kontakte in deinem Adressbuch — inklusive der Namen — werden Ende-zu-Ende-verschlüsselt mit deinem Tresor-Schlüssel gespeichert. Nur du kannst sie lesen; für uns sind sie technisch nicht lesbar, auch nicht auf Gerichtsbeschluss. Listendarstellung und Suche laufen in deinem Browser, nachdem du den Tresor entsperrt hast.
  • Notfallpass: Du kannst einen speziellen Notfallpass erstellen, der medizinisch relevante Daten (Blutgruppe, Allergien, Medikamente, Notfallkontakt) per QR-Code ohne PIN-Schutz und ohne Ablaufdatum zugänglich macht. Dieser bewusste Verzicht dient dem Schutz deiner Gesundheit in Notfallsituationen. Der Notfallpass ist eine eigenständige Funktion in deinem Tresor und wird nicht mit deinen Visitenkarten vermischt. Du kannst ihn jederzeit widerrufen.
  • 2FA-Geheimnisse: TOTP-Secrets sind serverseitig verschlüsselt. Recovery-Codes werden als irreversibler Hash gespeichert.
  • Serverseitig verschlüsselt: Posts, Kommentare, deine E-Mail-Adresse, dein Community-Profil, deine Suveris-internen Profildaten (Fähigkeiten, Berufserfahrung, Ausbildung, Sprachen und Zertifikate), die Texte deiner Portfolio-Projekte (Titel, Beschreibung, Zeitraum, Link), dein Über-mich-Text und deine Angebote/Leistungen (Titel, Format, Beschreibung), die karten-spezifischen Überschreibungswerte deiner Visitenkarten (abweichende Werte, die du für eine einzelne Karte hinterlegst), dein SovereignMe-Bedrohungsprofil (privat/Journalist/Aktivist/geschäftlich), die Freitexte aus Inhalts-Meldungen und Einsprüchen, deine privaten Stummschalt-Notizen, frei wählbare Anzeige- und Absendernamen (bei Beta-Feedback, SovereignMe-Dienst-Vorschlägen und Kontaktanfragen) sowie technische Sicherheits-Metadaten (IP-Adressen im Audit-Log und bei Supporter-Einreichungen) sind serverseitig verschlüsselt (Schutz vor Datendiebstahl). Den Schlüssel hält der Betreiber: Wir können diese Daten entschlüsseln, wenn der Betrieb es erfordert (z.B. deine E-Mail-Adresse, um dir einen Newsletter zu senden), und sind bei rechtlicher Verpflichtung (z.B. Gerichtsbeschluss) verpflichtet, sie herauszugeben. Anders als bei Ende-zu-Ende-verschlüsselten Daten, die für uns technisch nicht lesbar sind — auch nicht auf Gerichtsbeschluss.
  • Öffentlich (unverschlüsselt, bewusst sichtbar): Dein öffentliches Profil (Anzeigename, Überschrift, Kurzbiografie, Standort, Website, Avatar) und dein @-Handle werden im Klartext gespeichert — sie sind dafür gedacht, für andere sichtbar zu sein (auch im Fediverse, sobald du die Föderation aktivierst). Ebenfalls öffentlich sichtbar sind — sobald du sie anlegst — dein Über-mich-Text, deine Angebote/Leistungen (Titel, Format, Beschreibung) und dein Portfolio (Projekte mit Titel, Beschreibung, Zeitraum, Link und Bild). Diese Texte speichern wir serverseitig verschlüsselt (Schutz vor Datendiebstahl, siehe oben), die Portfolio-Bilddatei liegt wie dein Avatar unverschlüsselt in unserem Speicher. Alles davon zeigt deine öffentliche Profilseite allen Besuchern. Löschst du ein Projekt oder ersetzt das Bild, ist die alte Bilddatei sofort über keine Seite mehr erreichbar; die Datei selbst wird durch eine regelmäßige serverseitige Aufräumung endgültig entfernt.
  • Unverschlüsselte Metadaten: Im Klartext liegen außerdem dein Name sowie technische Stamm- und Nutzungsdaten: Konto-Einstellungen (z.B. Standard-Startseite, Föderations- und Benachrichtigungs-Einstellungen), die in SovereignMe von dir erfassten Dienst-Kategorien sowie Zähler und Zeitstempel. Diese Daten benötigen wir für den Betrieb der App; wir werten sie nicht aus. Eine vollständige Auskunft über alle zu dir gespeicherten Daten erhältst du jederzeit über den Datenexport.
  • Direktnachrichten: Private Nachrichten zwischen Nutzern werden Ende-zu-Ende-verschlüsselt, sobald beide Seiten den Tresor eingerichtet haben — dann können ausschließlich Sender und Empfänger den Inhalt lesen, wir nicht. Hat eine Seite den Tresor noch nicht eingerichtet, wird die Nachricht stattdessen serverseitig verschlüsselt gespeichert (wie Posts und Kommentare); der Betreiber könnte den Inhalt dann bei rechtlicher Verpflichtung entschlüsseln. Der Nachrichteninhalt wird in keinem Fall unverschlüsselt gespeichert. Nachrichten-Anfragen: Du kannst grundsätzlich jeder anderen Person eine Nachricht senden — auch wenn ihr noch keine gegenseitigen Adressbuch-Kontakte seid. Die erste Nachricht an eine fremde Person wird als Anfrage zugestellt: sie erscheint im Postfach des Empfängers in einem eigenen „Anfragen“-Bereich, und der Empfänger entscheidet, ob er die Unterhaltung annimmt, ablehnt oder die Person blockiert. Bis zur Annahme kannst du genau eine Nachricht senden. Diese eine Nachricht wird — wie alle Direktnachrichten — bereits vor der Zustimmung des Empfängers verschlüsselt gespeichert (Ende-zu-Ende, sobald beide Seiten den Tresor eingerichtet haben, sonst serverseitig). Der Empfänger sieht beim Erhalt einer Anfrage den Namen des Absenders; der Nachrichtentext wird erst nach dem Öffnen der Anfrage angezeigt und erscheint nicht in der Benachrichtigung. Wann eine empfangene Nachricht in deinem Posteingang erstmals sichtbar in deinem Bildschirmausschnitt erscheint, wird als Lesebestätigung mit Zeitstempel gespeichert und ist für den Absender der jeweiligen Nachricht sichtbar. Gespeichert wird nur der Zeitpunkt, nicht die Geräte-Identität. Wenn du den Thread öffnest, ohne weit zu scrollen, bekommen nur die tatsächlich sichtbaren Nachrichten einen Zeitstempel — ältere Nachrichten weiter oben im Verlauf bleiben für den Absender ohne Bestätigung, bis du sie tatsächlich gesehen hast. Wenn du jemanden stummgeschaltet hast, werden eingehende Direktnachrichten dieser Person zwar normal in deinen Thread zugestellt, lösen aber keine Benachrichtigung in deiner Glocke oder per E-Mail mehr aus. Reaktionen auf Nachrichten (Smileys aus einer kleinen Auswahl von sechs Standardsymbolen) sind für beide Beteiligten sichtbar — sowohl wer welches Symbol gesetzt hat als auch wann. Antworten auf eine bestimmte vorherige Nachricht verknüpfen die beiden Nachrichten miteinander; ein Klick auf den kleinen Verweis über der Antwort springt zur Originalnachricht. Du kannst eine Unterhaltung außerdem archivieren — die Information „archiviert ab Datum“ wird unter deinem Account gespeichert und ist nur für dich sichtbar (der Empfänger sieht nichts davon). Eine Suche innerhalb einer Unterhaltung läuft ausschließlich in deinem Browser auf den bereits entschlüsselten Nachrichten; der Server erfährt nichts über deine Suchbegriffe oder Treffer. Eine eigene Nachricht kannst du nachträglich bearbeiten oder für beide Seiten löschen — eine bearbeitete Nachricht trägt den Hinweis „bearbeitet“, eine gelöschte wird vollständig entfernt; es wird keine Versionshistorie gespeichert. Enthält eine Nachricht eine Web-Adresse (Link), wird sie anklickbar dargestellt und öffnet sich in einem neuen Tab.
  • Gruppen-Nachrichten: Du kannst mehrere Personen zu einer Gruppen-Unterhaltung zusammenführen. Gruppen-Nachrichten sind Ende-zu-Ende-verschlüsselt: Jede Nachricht wird im Browser des Absenders einzeln für jeden aktiven Teilnehmer (inklusive des Absenders selbst) mit dessen öffentlichem Tresor-Schlüssel verschlüsselt — der Server speichert nur den verschlüsselten Inhalt und kann ihn nicht lesen. Voraussetzung ist, dass jeder Teilnehmer einen Tresor eingerichtet hat. Mitglieder hinzufügen darf jedes aktive Mitglied; die hinzugefügte Person wird eingeladen und Teil der Gruppe erst, wenn sie aktiv beitritt (Zustimmung). Wer beitritt, kann nur Nachrichten lesen, die ab seinem Beitritt gesendet werden — frühere Nachrichten bleiben für ihn dauerhaft verschlüsselt und unlesbar, da sein Schlüssel bei deren Verschlüsselung noch nicht berücksichtigt war. Hast du eine Person blockiert, kann sie nicht über eine gemeinsame Gruppe Kontakt zu dir aufnehmen und nicht zu einer Gruppe hinzugefügt werden, in der du Mitglied bist. Wer wann beigetreten ist, jemanden hinzugefügt hat oder die Gruppe verlässt, wird als kurze Hinweiszeile im Verlauf gespeichert und allen aktiven Mitgliedern angezeigt. Reaktionen (dieselben sechs Standardsymbole), Antworten auf eine bestimmte Nachricht, die unterhaltungs-interne Suche (läuft nur in deinem Browser), Lesebestätigungen, Stummschalten und die ab-Beitritt-Sichtbarkeit funktionieren wie bei Direktnachrichten — eine Reaktion in einer Gruppe ist dabei für alle aktiven Mitglieder sichtbar (wer welches Symbol gesetzt hat und wann). Du kannst eine Gruppe jederzeit verlassen; danach siehst du keine neuen Nachrichten mehr. Du kannst eine Gruppe außerdem für dich archivieren — die Information „archiviert ab Datum“ wird unter deinem Account gespeichert, die Gruppe wandert in einen eigenen „Archiv“-Tab aus deinem aktiven Postfach (die anderen Mitglieder merken nichts davon, die Nachrichten bleiben erhalten). Eine neue Gruppen-Nachricht löst — sofern nicht stummgeschaltet — eine Benachrichtigung im Postfach und optional per E-Mail aus; der Nachrichtentext erscheint dabei nicht (er ist Ende-zu-Ende-verschlüsselt). Wie bei Direktnachrichten kannst du eine eigene Gruppen-Nachricht nachträglich bearbeiten oder für alle Mitglieder löschen (bearbeitete tragen den Hinweis „bearbeitet“, keine Versionshistorie); enthaltene Links werden anklickbar dargestellt und öffnen in einem neuen Tab.
  • Adressbuch (Ende-zu-Ende-verschlüsselt): Dein Adressbuch ist Ende-zu-Ende-verschlüsselt (abgeleitet aus deinem Passwort). Alle Einträge — Name, E-Mails, Telefonnummern, Adressen, Spitznamen, private Notizen — sind nur von dir lesbar. Der Betreiber sieht ausschließlich verschlüsselte Daten und den Klartext-Namen, der für die Listendarstellung und Suche benötigt wird. Kontakte, die du aus geteilten Profilen speicherst, enthalten einen kryptographischen Fingerprint des Teilenden — damit können wir dich warnen, falls sich der Schlüssel unbemerkt ändert. Wenn der Teilende seine Freigabe widerruft, werden die geteilten Daten beim nächsten Abruf automatisch unlesbar; deine eigenen Anmerkungen (Spitzname, Notiz) bleiben erhalten.
  • Adressbuch-Anfragen mit Visitenkarte: Wenn du eine Vernetzen-Anfrage sendest, kannst du optional eine deiner Visitenkarten beilegen. Der Inhalt der Karte wird dabei bereits in deinem Browser mit dem öffentlichen Schlüssel des Empfängers verschlüsselt und auf dem Server abgelegt. Der Empfänger sieht vor der Annahme nur den Namen der Karte und dieAnzahl der enthaltenen Felder — nicht den Inhalt. Nimmt der Empfänger an, wird die Visitenkarte direkt in sein Adressbuch übernommen: Der Inhalt wird in seinem Browser entschlüsselt und mit seinem eigenen Tresor-Schlüssel neu verschlüsselt gespeichert (als widerrufbare, automatisch aktualisierte Freigabe). Lehnt der Empfänger ab oder läuft die Anfrage aus, fließen keine Daten — der Blob wird gelöscht. Der Empfänger entscheidet freiwillig, ob er eine eigene Karte zurückgibt.
  • Warteliste: E-Mail-Adressen sind serverseitig verschlüsselt, aber zur Administration entschlüsselbar — keine Zero-Knowledge-Verschlüsselung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, bei optionalen Funktionen wie dem Tresor).

5b. Fediverse-Anbindung (ActivityPub) und Bluesky

Dein Suveris-Profil kann mit dem Fediverse (z.B. Mastodon) und/oder Bluesky verbunden sein. Seit Juni 2026 wird die Fediverse-Anbindung bei einem Voll-Konto bereits im Onboarding aktiviert — sobald du deinen @Namen (Handle) vergibst. Dadurch wird dein öffentliches Profil (Anzeigename, Handle, Profiltext/Bio und Profilbild) ohne Login unter suveris.eu/p/deinname abrufbar, und dein Konto wird im Fediverse serverübergreifend auffindbar. Du kannst diese Anbindung jederzeit in den Einstellungen wieder abschalten — dann ist sowohl die Fediverse-Auffindbarkeit als auch deine öffentliche Profilseite (suveris.eu/p/deinname) wieder privat und für Nicht-Eingeloggte nicht mehr abrufbar. Light-Konten werden nicht föderiert und bleiben nach außen unsichtbar. Die Bluesky-Verknüpfung bleibt separat und wird ausdrücklich von dir vorgenommen. Im Einzelnen:

  • Öffentliche Posts: Posts, die du als „für alle in Suveris sichtbar“ markierst, können — wenn du die Anbindung aktiviert hast — an andere Server im Fediverse und/oder an Bluesky gesendet werden. Übertragen werden dabei: der Beitragstext, angehängte Bilder (inkl. Alt-Text), sowie bei gesetzter Inhaltswarnung auch der Warnhinweis-Text. Dort gelten die jeweiligen Datenschutzrichtlinien dieser Plattformen. Suveris hat keinen Einfluss darauf, wie diese Server deine Daten verarbeiten.
  • Likes: Wenn du einen öffentlichen Beitrag likest, der ans Fediverse weitergeleitet wurde, wird diese Information an die beteiligten Server gesendet. Umgekehrt: Wenn jemand aus dem Fediverse einen deiner Posts liked, speichert Suveris diese Information zur Anzeige der Like-Zahl.
  • Kommentare: Wenn du einen öffentlichen Beitrag kommentierst, der ans Fediverse weitergeleitet wurde, wird dein Kommentar mit einem Verweis auf den Ursprungsbeitrag an den Ursprungsserver gesendet. Übertragen werden dabei: der Kommentartext und dein Fediverse-Handle. Umgekehrt: Wenn jemand aus dem Fediverse auf einen deiner Posts antwortet, speichert Suveris den Kommentartext und den Absender-Handle zur Anzeige unter deinem Beitrag.
  • Teilen (Boost): Wenn du einen öffentlichen Beitrag eines anderen Nutzers teilst, wird diese Information an die Fediverse-Server gesendet, die den Beitrag bei deinen Followern anzeigt. Umgekehrt: Wenn jemand aus dem Fediverse einen deiner Posts teilt, speichert Suveris diese Information zur Anzeige der Teilen-Zahl. Du kannst das Teilen jederzeit zurücknehmen.
  • Profildaten: Dein Anzeigename, dein Handle und dein Profiltext werden im Fediverse öffentlich sichtbar; dein öffentliches Profil (inkl. Profilbild) ist zusätzlich ohne Login unter suveris.eu/p/deinname abrufbar. Für neue Voll-Konten ist dies seit Juni 2026 ab dem Onboarding aktiv; schaltest du die Fediverse-Anbindung in den Einstellungen ab, wird auch diese Profilseite wieder privat und nur noch für dich selbst sichtbar. Bei Bluesky werden diese Daten von Bluesky gespeichert.
  • Sicherheitsschlüssel: Für die sichere Kommunikation mit anderen Fediverse-Servern wird ein kryptographisches Schlüsselpaar generiert. Der private Schlüssel wird serverseitig verschlüsselt in unserer Datenbank gespeichert.
  • Bluesky-Verbindung: Die Verknüpfung erfolgt über das AT-Protokoll (OAuth). Wir speichern deine Bluesky-Identität und Zugangstoken, um in deinem Namen posten zu können. Du kannst die Verbindung jederzeit in den Einstellungen trennen.
  • Bluesky-Timeline-Cache: Wenn du dein Bluesky-Konto verknüpft hast, ruft Suveris in regelmäßigen Abständen (ca. alle 5 Minuten) deine Bluesky-Timeline ab. Dabei werden die letzten 50 Posts deiner Timeline temporär in unserer Datenbank zwischengespeichert (Autorname, Handle, Avatar, Beitragstext). Diese Daten werden nach 7 Tagen automatisch gelöscht. Zweck: Darstellung der Bluesky-Beiträge in deinem Suveris-Feed. Der Abruf erfolgt über dein persönliches Zugangstoken — Bluesky erhält dabei Kenntnis, dass der Abruf von deinem Konto aus erfolgt.
  • Bluesky-Kontakt-Vorschläge: Wenn du die Rubrik „Menschen entdecken → Bluesky“ in Suveris öffnest, ruft Suveris die von deinem Bluesky-PDS persönlich für dich gerankten Vorschläge ab (Bluesky-API-Methode app.bsky.actor.getSuggestions). Die Antwort enthält je Vorschlag: Handle, DID, Anzeigename, Avatar-URL und Kurzbeschreibung. Diese Daten werden für 5 Minuten in deinem Suveris-Konto zwischengespeichert (Cache), damit die Seite schnell lädt und keine unnötigen Anfragen an Bluesky entstehen. Der Cache wird bei jedem frischen Abruf überschrieben und beim Trennen des Bluesky-Kontos gelöscht. Der Abruf erfolgt über dein persönliches Zugangstoken — Bluesky erhält dabei Kenntnis, dass Vorschläge für dein Konto angefragt wurden.
  • Posts nur für Kontakte: Posts, die du als „nur für Kontakte“ markierst, werden nicht an das Fediverse oder Bluesky gesendet.
  • Beitrag bearbeiten (US-278): Wenn du einen eigenen Beitrag bearbeitest, speichern wir die vorherige Fassung (Text, Inhaltswarnung, Hashtags, Fotos zum Zeitpunkt der Ablösung) in einem Archiv. Dadurch sehen Leser:innen, was sich geändert hat — analog zu Mastodon. Das Archiv wird zusammen mit dem Beitrag gelöscht (keine eigenständige Aufbewahrung). Für öffentliche Beiträge im Fediverse senden wir eine Update(Note)-Nachricht an alle Follower-Instanzen, damit sie den neuen Stand anzeigen. Auf Bluesky überschreiben wir den Originaleintrag (Bluesky-Clients zeigen kein „bearbeitet“-Label — das ist eine technische Besonderheit des AT-Protocols, nicht unsere Entscheidung).
  • Linkvorschau (Open Graph): Wenn du beim Verfassen eines Beitrags eine URL eingibst, ruft unser Server die Ziel-Seite einmalig ab, um eine Vorschau (Titel, Beschreibung, Vorschaubild) zu erstellen. Das Vorschaubild wird auf unserem Server gespeichert und neu kodiert (WebP, EXIF-Daten werden dabei entfernt). Deine IP-Adresse wird dabei nicht an den externen Server geleakt — der Abruf erfolgt ausschliesslich von unserem Server. Beim späteren Anzeigen der Vorschau wird das Bild ebenfalls von unserem Server ausgeliefert (kein Hotlinking auf die Originalseite). Du kannst die Vorschau im Composer mit „X“ wegklicken oder durch ein eigenes Bild ersetzen — dann wird kein externer Abruf gespeichert.
  • Folgen-Anfragen (manuelle Freigabe als Standard): Wenn jemand aus dem Fediverse dir folgen möchte, wird die Anfrage standardmaessig nicht automatisch angenommen. Stattdessen erscheint sie unter „Folgen-Anfragen“ und du entscheidest, ob du die Anfrage annimmst oder ablehnst. Erst wenn du annimmst, wird die Annahme an die andere Instanz zurückgemeldet (`Accept(Follow)`-Activity nach ActivityPub). Bei Ablehnung wird der Eintrag lokal gelöscht — die andere Seite erhaelt keine explizite Reject-Mitteilung. Du kannst in den Einstellungen optional „Folgen-Anfragen automatisch annehmen“ aktivieren — dann werden eingehende Follows wie bei Mastodon-Public-Accounts ohne Rueckfrage uebernommen.
  • Konto-Löschung (Art. 17 DSGVO): Wenn du dein Suveris-Konto löschst und die Fediverse-Anbindung aktiv war, senden wir vor der Löschung eine Delete(Actor)-Nachricht an alle Server, von denen dir jemand folgt. Diese fordert die anderen Instanzen auf, ihre gespeicherte Kopie deines Profils zu entfernen — so wirkt deine Löschung über die Instanzgrenzen hinweg. Ob die fremden Server dem folgen, können wir technisch nicht garantieren; die Löschung deines Kontos bei uns findet in jedem Fall statt.

Die Anbindung an externe Netzwerke ist freiwillig und kann jederzeit deaktiviert werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Gemeinsame Verantwortlichkeit (Art. 26 DSGVO)

Durch die aktive Teilnahme am Fediverse (ActivityPub) und am AT-Protocol (Bluesky) findet ein strukturierter Datenaustausch mit anderen Servern statt. Nach der Rechtsprechung des Europäischen Gerichtshofs (vgl. EuGH „Wirtschaftsakademie Schleswig-Holstein“ und „Fashion ID“) kann dies eine gemeinsame Verantwortlichkeit im Sinne von Art. 26 DSGVO zwischen dem Betreiber von Suveris und den Betreibern der empfangenden Instanzen begründen.

Wesentliche Regelung: Die Verantwortung für die Datenverarbeitung auf Suveris (Speicherung, Verschlüsselung, Löschung) liegt beim Betreiber von Suveris. Für die Verarbeitung auf externen Fediverse-Instanzen oder Bluesky-Servern nach der Übermittlung sind die jeweiligen Betreiber dieser Dienste verantwortlich. Der Betreiber von Suveris hat auf die dortige Datenverarbeitung keinen technischen oder organisatorischen Einfluss.

Du kannst deine Betroffenenrechte (Auskunft, Berichtigung, Löschung, Widerspruch) jederzeit gegenüber Suveris geltend machen — unabhängig davon, ob die Verarbeitung auf unserem Server oder auf einer föderierten Instanz stattfindet (Art. 26 Abs. 3 DSGVO).

Kein Auftragsverarbeitungsvertrag (AVV): Für die Nutzung dieser dezentralen Netzwerke besteht kein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO. Aufgrund der dezentralen Struktur handelt es sich rechtlich um eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO, da wir keinen weisungsgebundenen Zugriff auf die externen Instanzen haben. Die Nutzung erfolgt auf Grundlage unseres berechtigten Interesses an offener Kommunikation und dezentraler Öffentlichkeitsarbeit (Art. 6 Abs. 1 lit. f DSGVO).

Bitte beachte: Daten, die einmal an föderierte Instanzen übermittelt wurden, unterliegen dort den jeweiligen Nutzungsbedingungen und Datenschutzrichtlinien. Eine Löschung auf fremden Servern kann Suveris nicht garantieren.

5d. Curator-Bot (@kurator@suveris.eu)

Suveris betreibt einen System-Account @kurator@suveris.eu, der öffentliche Fediverse-Beiträge thematisch in unsere kuratierten Räume teilt („boostet“). Er erstellt keine eigenen Inhalte und übernimmt keine fremden Inhalte unter eigenem Namen. Die Original-Autorin oder der Original-Autor bleibt sichtbar; der Teilen-Eintrag macht die kuratorische Vermittlung transparent.

Opt-in-Prinzip (geändert am 22.05.2026)

Der Curator teilt einen Beitrag nur dann, wenn dessen Autorin oder Autor zuvor explizit zugestimmt hat — über einen von drei Wegen:

  • Gegenseitiges Folgen (Mutual-Follow): Der Curator folgt zunächst zurückhaltend (siehe unten), die Autorin oder der Autor folgt zurück. Diese aktive Folge-Bewegung ist die Zustimmung. Sie kann jederzeit per Entfolgen widerrufen werden — der Curator stoppt sofort.
  • DM-Aktivierung: Eine Direktnachricht (DM) an den Curator mit dem Befehl boost me, aktivieren oder start erlaubt das Teilen aller zukünftigen passenden Beiträge. Widerruf jederzeit per DM mit stop, stopp oder deaktivieren.
  • Punktuelle Erwähnung: Eine direkte Erwähnung des Curators ( @kurator@suveris.eu) in einem einzelnen Fediverse-Beitrag erlaubt das Teilen dieses einen Beitrags. Kein dauerhaftes Opt-in.

Erstkontakt-Hygiene (Folge-Anfrage des Bots)

Damit Fediverse-Nutzer:innen den Curator überhaupt kennen lernen können, sendet er gelegentlich Folge-Anfragen (max. 30 pro Tag). Vor jeder Folge-Anfrage prüft er die Bio der Zielperson auf #nobot, #nospam oder vergleichbare Hinweise — bei Treffer wird keine Folge-Anfrage gesendet. Zusätzlich gilt: Folge-Anfragen werden nur an Accounts gesendet, die thematisch passende öffentliche Beiträge in den letzten 30 Tagen geschrieben haben und seit mindestens 30 Tagen aktiv sind.

Welche Daten werden verarbeitet

Verarbeitet werden nur bereits öffentliche Daten: der öffentliche Handle, die öffentliche Bio (zur Prüfung auf#nobot-Marker), die Beitrags-URL und der Beitrag selbst. Bei DM-Aktivierung zusätzlich die Inhalte der DM-Kommandos (rein zum Erkennen der Aktivierungs-/ Stop-Befehle). Es findet keine Profilbildung und keine Auswertung über den thematischen Filter hinaus statt.

Widerspruch und Löschung

Da das Teilen nur mit aktiver Zustimmung erfolgt, ist der Widerruf an dieselben Wege gebunden: Entfolgen (bei Mutual-Follow), stop-DM (bei DM-Aktivierung). Zusätzlich greift bei jeder Blockierung des Curators auf der Fediverse-Instanz der sofortige Stop — keine weiteren Boosts. Bereits bestehende Teilen-Einträge kannst du per Mail an opt-out@suveris.eu entfernen lassen.

Speicherdauer

Zu jedem Curator-Teilen wird ein internes Audit-Protokoll geführt (für Nachvollziehbarkeit und Opt-Out-Bearbeitung). Es wird automatisch mit dem zugrundeliegenden Teilen-Eintrag gelöscht — auch im Rahmen einer Löschung nach Art. 17 DSGVO. Opt-in-Aktivierungen (DM-Pfad) werden mit dem Widerruf gelöscht; Erst-Folge-Versuche werden nicht persistent gespeichert.

5e. Erweiterte Personensuche an externen Fediverse-Instanzen

In der globalen Personensuche (/suche) und im Adressbuch-Wizard sucht Suveris standardmaessig nur in der eigenen Datenbank, in bereits bekannten Fediverse-Konten und auf der oeffentlichen Bluesky-AppView — also ohne deine Suchanfrage an andere Fediverse-Server zu senden.

Zusätzlich gibt es eine Schaltflaeche „Erweitert suchen“. Wenn du darauf klickst, sendet Suveris deine Such-Eingabe parallel an eine kleine, vom Betreiber konfigurierte Liste grosser Fediverse-Instanzen (aktuell: chaos.social, mastodon.social) und zeigt deren Treffer in deiner Trefferliste. Der externe Server sieht die Such-Phrase und die IP-Adresse des Suveris-Servers — nicht deine IP. Es wird keine Login-Information übermittelt; wir nutzen die oeffentliche Account-Search-Schnittstelle/api/v2/search?type=accounts ohne Anmeldung.

Hashtag-Suche an dieselben Instanzen (seit 26.05.2026): Wenn du in der Post-Suche (/suche?tab=posts) einen Hashtag eingibst — oder im Feed auf eine Hashtag- Pille klickst, die dich genau dorthin fuehrt —, fragt Suveris zusaetzlich zur eigenen Datenbank und zur Bluesky-AppView dieselben konfigurierten Fediverse-Instanzen ueber deren oeffentliche Tag-Timeline-Schnittstelle /api/v1/timelines/tag/<tag> nach Posts mit diesem Hashtag. Form und Empfaengerkreis sind identisch zur Personensuche oben (oeffentlicher Endpunkt ohne Anmeldung, IP-Adresse des Suveris-Servers); nur der gesuchte Begriff ist jetzt ein Hashtag statt ein Personenname. Treffer werden nicht persistiert — nur zur Laufzeit zur Anzeige gehalten.

Es findet keine Profilbildung statt; die Treffer werden nicht persistiert (nur zur Laufzeit zur Anzeige gehalten). Wenn du anschliessend einem Treffer folgst, wird der Fediverse-Account ueblicher Weise in den lokalen Cache aufgenommen — wie bei jeder anderen Folge-Geste auch. Die externen Such-Instanzen koennen die Anfrage ihrerseits protokollieren; auf deren Datenverarbeitung hat Suveris keinen Einfluss (vgl. Sektion 5c, gemeinsame Verantwortlichkeit nach Art. 26 DSGVO).

Sichtbarkeit:Die Schaltflaeche „Erweitert suchen“ erscheint nur, wenn der Betreiber externe Such-Instanzen ueber die Umgebungsvariable MASTODON_SEARCH_INSTANCES konfiguriert hat. Ohne Konfiguration ist die Funktion nicht verfuegbar und keine externen Anfragen werden ausgeloest. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktiven Klick).

Profil-Vorschau bei Avatar-Klick (seit 26.05.2026): Wenn du in einer Mastodon- oder Bluesky-Karte (Feed, Raum, Suche) auf einen Avatar oder Namen tippst, fragt Suveris das jeweilige Drittsystem live nach den oeffentlichen Profil-Daten (Anzeigename, Bio, Follower-Zahl, Avatar) und zeigt sie in einer Profil-Vorschau. Bei Mastodon-Karten geht die Anfrage an die im Handle genannte Instanz (/api/v1/accounts/lookup). Bei Bluesky-Karten an die oeffentliche AppView public.api.bsky.app. Es werden keine Login-Daten uebermittelt; die Drittsysteme sehen die Such-Identitaet und die IP-Adresse des Suveris-Servers. Die Profil-Daten werden nicht in der Suveris-Datenbank gespeichert, sondern nur zur Laufzeit fuer die Anzeige gehalten.

5f. Externe Nachrichtenquellen (RSS/Atom)

In deiner News-Schiene (rechte Spalte des Feeds, mobil als aufklappbarer Block, sowie unter /news) kannst du optional externe Nachrichtenquellen einblenden, die der Betreiber als RSS-/Atom-Feeds kuratiert. Welche Quellen für dich aktiv sind, waehlst du selbst unter /news/quellen. Diese Beitraege erscheinen ausschliesslich in der News-Schiene — niemals in deinem sozialen Feed.

Was wir speichern: deine Auswahl, welche Quellen für dich aktiv sind, sowie deine Einstellung, ob Artikelbilder angezeigt werden. Das ist eine Praeferenz-Angabe, die mit deinem Konto verknuepft ist. Wir protokollieren nicht, welche einzelnen Artikel du anklickst oder liest.

Wie wir die Feeds holen: Der Suveris-Server ruft die vom Betreiber kuratierten, oeffentlichen Feed-Adressen serverseitig ab (gedrosselt, hoechstens alle 30 Minuten je Quelle) und speichert die Vorschau-Daten (Titel, Kurztext, Link, Datum) zwischen. Der Abruf erfolgt einmal zentral fuer alle Nutzer — nicht pro Person. Die Nachrichtenseite sieht dabei die IP-Adresse des Suveris-Servers, nicht deine. Die Feed-Adressen werden vor dem Abruf serverseitig geprueft (nur oeffentliche http/https-Adressen, keine internen Netzwerk-Ziele).

Artikelbilder (souveraen re-hostet): Wenn Vorschaubilder aktiviert sind (Standard an, jederzeit abschaltbar), laedt der Suveris-Server das jeweilige Bild von der Quelle herunter, rechnet es neu (entfernt dabei eingebettete Metadaten wie EXIF/GPS) und liefert es von Suveris aus. Dein Browser kontaktiert dafuer nicht das Nachrichten-CDN — deine IP-Adresse erreicht die fremde Bild-Adresse nie.

Beim Klick auf einen Artikel oeffnet sich der externe Link in einem neuen Tab direkt bei der Nachrichtenseite. Ab diesem Moment bist du auf deren Seite und es gelten deren Datenschutzbestimmungen — wie bei jedem anderen Link auch sieht die Seite dann deinen Browser und deine IP-Adresse. Darauf hat Suveris keinen Einfluss.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch deine aktive Quellen-Auswahl). Du kannst jede Quelle jederzeit wieder abwaehlen; die zwischengespeicherten Vorschau-Daten enthalten keine Personendaten von dir.

5c. Community-Profil (für eingeloggte Suveris-Nutzer)

Du kannst optional ein Community-Profil aktivieren. Dieses Profil ist bewusst getrennt vom weltoeffentlichen Profil unter /p/[handle] und enthaelt mehr Informationen über dich — sichtbar nur für andere eingeloggte Suveris-Nutzer.

Welche Felder werden gespeichert:

  • Anzeigename, Headline, Kurzvorstellung, Standort, Webseite
  • Fachliche Kompetenzen (Skills) und Sprachen
  • Business-orientierte Felder: Haupt-Taetigkeitsfeld (Beratung, Coaching, Forschung, ...), Expertisegebiete, Angebote an andere Suveris-Nutzer

Nicht im Community-Profil enthalten: Kontaktdaten (Telefon, private E-Mail), Gehaltsvorstellungen, persönliche Bewerbungs-Verfügbarkeit. Diese Daten verbleiben im Ende-zu-Ende-verschlüsselten Tresor und können nur gezielt an einzelne Adressbuch-Kontakte geteilt werden.

Verschlüsselung: Die Community-Profil-Felder werden serverseitig mit AES-256-GCM verschlüsselt gespeichert. Der Betreiber kann sie zum Anzeigen entschlüsseln — das ist bewusst so, damit andere eingeloggte Nutzer das Profil sehen können (keine Ende-zu-Ende-Verschlüsselung).

Aktivieren, Deaktivieren, Löschen: Das Community-Profil ist standardmaessig deaktiviert. Du kannst es jederzeit aktivieren, bearbeiten und wieder deaktivieren. Beim Deaktivieren werden die verschlüsselten Felder gelöscht.

Drei getrennte Speicher — keine Server-Kopplung: Dein weltoeffentliches Profil, dein Community-Profil und dein Ende-zu-Ende-verschlüsselter Tresor liegen in drei unabhaengigen Speichern mit jeweils eigener Verschlüsselung. Wenn du beim Bearbeiten eines Community-Profil- Feldes einen Vorschlag aus deinem Tresor oder Public-Profil angeboten bekommst, passiert diese Projektion ausschliesslich in deinem Browser. Der Server kopiert niemals Tresor-Klartext in das Community-Profil — du musst den Wert selbst bestaetigen und speichern, damit er im Community- Profil landet. So bleibt der Zero-Knowledge-Schutz des Tresors erhalten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Aktivierung ist freiwillig, der Widerruf jederzeit möglich.

5e. Stummschaltungen und Blockierungen

Du kannst andere Personen stummschalten (ihre Beitraege und Benachrichtigungen werden dir nicht mehr angezeigt, die Person merkt davon nichts) oder blockieren (jegliche Interaktion in deinem Erleben in Suveris wird unterbunden). Beide Listen sind privat fuer dich und werden nicht an Dritte weitergegeben.

Was wir speichern: Pro Eintrag die ID/Adresse der gemuteten oder geblockten Person (lokaler Suveris-User, Fediverse- Akteur oder Bluesky-Konto), den Anlegezeitpunkt sowie bei Stummschaltungen optional eine private Notiz, die nur du siehst. Diese Notiz wird serverseitig verschlüsselt gespeichert (d.h. gegen Datendiebstahl geschützt; den Schlüssel hält der Betreiber).

Soft-Block-Prinzip (Blockierung): Wer von dir blockiert wird, sieht dein Profil und deine Beitraege auf Suveris nicht mehr — die Seiten antworten mit der gleichen „nicht gefunden“-Meldung wie bei nicht-existenten Konten. Suveris teilt der blockierten Person nicht aktiv mit, dass sie blockiert wurde. So vermeiden wir die Eskalations-Spirale, die expliziten Block-Mitteilungen folgt (Account-Wechsel, erneute Belaestigung).

Federation-Hinweis: Wenn du eine Fediverse- Person blockierst, wirkt der Block lokal in Suveris (wir zeigen diese Person nicht mehr und verwerfen eingehende Aktivitaeten von ihr). Wir senden bewusst keine Block-Mitteilung an den anderen Server, damit die Person nicht aktiv erfaehrt, dass du sie blockierst. Andere Server können Posts dieser Person trotzdem anzeigen, wenn jemand sie direkt aufruft. Bei Bluesky nutzen wir die private Stummschalt- Funktion (muteActor) und nicht die oeffentliche Block-Funktion.

Eingehende Blockierungen: Wenn ein Fediverse- Server uns mitteilt, dass dort jemand dich blockiert hat, speichern wir das nur server-intern, um deine ausgehenden Aktivitaeten zu dieser Person zu unterdruecken. Diese Liste wird dir nicht angezeigt — du sollst keine Liste „wer mich blockt“ sehen muessen.

Aufheben und Löschen: Du kannst jede Stummschaltung und jede Blockierung jederzeit unter Einstellungen → Stummgeschaltete bzw. Einstellungen → Blockierte aufheben. Bei Konto-Loeschung werden alle deine Mute- und Block-Eintraege restlos entfernt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — Schutz vor unerwuenschter Interaktion und Belaestigung).

6. E-Mail-Versand

Wir versenden E-Mails ausschließlich über den SMTP-Dienst von Infomaniak (Schweiz). E-Mails werden versendet für:

  • Magic-Link-Login: Einmal-Link zur Anmeldung (statt Passwort)
  • Warteliste: Bestätigungs-E-Mail (Doppel-Opt-In) und Abmeldebestätigung
  • Newsletter: nur nach ausdrücklichem Abonnement — Bestätigungs-E-Mail (Doppel-Opt-In) und der abonnierte Newsletter „Das Suveris Update“ (siehe Abschnitt 7c)
  • Pitchdeck-Anfrage: Bestätigungs-E-Mail (Doppel-Opt-In) und manuelle Antwort des Betreibers
  • Testimonial: Bestätigungs-E-Mail (Doppel-Opt-In)
  • Plattform-Benachrichtigungen: Du erhältst E-Mails bei bestimmten Ereignissen — z.B. wenn jemand dir eine Adressbuch-Anfrage sendet, eine Anfrage annimmt, dir Tresor-Daten teilt, dir einen Kontaktvorschlag schickt, deine geteilten Daten aufruft oder wenn eine Moderationsentscheidung dich betrifft (Ergebnis deiner Meldung, Maßnahme zu einem deiner Beiträge oder das Ergebnis deines Einspruchs, Digital Services Act Art. 17 und 20).

Opt-Out: Plattform-Benachrichtigungen kannst du jederzeit einzeln in den Einstellungen → Benachrichtigungen deaktivieren. Jede Benachrichtigungs-E-Mail enthält außerdem einen direkten Link zu diesen Einstellungen. Login-bezogene E-Mails (Magic Link) können nicht deaktiviert werden, da sie für die Nutzung des Dienstes erforderlich sind.

Rechtsgrundlage für Plattform-Benachrichtigungen: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — du wirst über Aktivitäten informiert, die dein Konto direkt betreffen). Rechtsgrundlage für Login-E-Mails: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Deine E-Mail-Adresse wird nicht an Dritte weitergegeben. Für den Newsletter verwenden wir sie nur, wenn du ihn ausdrücklich abonniert und per Doppel-Opt-In bestätigt hast (siehe Abschnitt 7c); andernfalls nutzen wir sie nicht für werbliche Zwecke.

7. Warteliste

Wenn du dich auf die Warteliste einträgst, wird deine E-Mail-Adresse serverseitig verschlüsselt gespeichert. Wir speichern zusätzlich einen kryptographischen Hash deiner E-Mail-Adresse, um Duplikate zu erkennen. Der Betreiber kann die Adressen zur Administration entschlüsseln. Es handelt sich nicht um Zero-Knowledge-Verschlüsselung.

Du erhältst eine Bestätigungs-E-Mail (Doppel-Opt-In). Ohne Bestätigung wird dein Eintrag nicht aktiviert. Jede E-Mail enthält einen Abmeldelink, über den du dich jederzeit austragen kannst. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Speicherdauer: Bestätigte Wartelisten-Einträge speichern wir, bis du deinen Beta-Zugang einlöst, deinen Eintrag widerrufst oder Suveris öffentlich für alle verfügbar ist. Eine automatische Löschung nach einer festen Frist findet nicht statt, weil die Wartezeit bis zum Beta-Zugang im Einzelfall mehrere Monate betragen kann. Unbestätigte Einträge werden nach 24 Stunden automatisch gelöscht.

7b. Testimonials

Wenn du auf der Supporter-Seite ein Testimonial einreichst, speichern wir die von dir angegebenen Daten (Name, E-Mail, optional Rolle, Organisation, Profil-Link, Bild und das Zitat selbst) serverseitig verschlüsselt (AES-256-GCM). Bilder werden auf 400×400 px verkleinert und neu kodiert; Metadaten wie EXIF werden dabei entfernt. Wir speichern zusätzlich einen kryptographischen Hash deiner E-Mail-Adresse zur Duplikat-Erkennung sowie — zur Missbrauchsabwehr — deine IP-Adresse zum Zeitpunkt der Einreichung (ebenfalls serverseitig verschlüsselt). Der Betreiber kann die Daten zur Prüfung entschlüsseln. Kein Zero-Knowledge.

Du erhältst eine Bestätigungs-E-Mail (Doppel-Opt-In). Ohne Bestätigung wird das Testimonial nicht weiterverarbeitet. Nach deiner Bestätigung prüft der Betreiber das Testimonial manuell und entscheidet über eine Freischaltung. Erst nach deiner expliziten Erlaubnis (drei separate Häkchen für Website, Social Media bzw. Pressearbeit und Foliendecks) verwenden wir das Testimonial für die jeweiligen Kanäle. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Widerruf: Du kannst deine Einwilligung jederzeit per Mail an hello@suveris.euwiderrufen. Wir entfernen dein Testimonial dann von allen Kanälen, die wir kontrollieren. Ein Restrisiko bleibt durch dritte Verbreitung (z. B. Screenshots), die wir nicht kontrollieren können. Speicherdauer: bis zum Widerruf oder zwölf Monate, wenn keine Freischaltung erfolgt.

7a. Pitchdeck-Anfragen

Wenn du auf der Supporter-Seite ein Pitchdeck anforderst, speichern wir die von dir angegebenen Daten (Name, E-Mail, optional Telefonnummer) serverseitig verschlüsselt (AES-256-GCM). Zusätzlich legen wir einen kryptographischen Hash deiner E-Mail-Adresse ab, um Duplikate zu erkennen, sowie — zur Missbrauchsabwehr — deine IP-Adresse zum Zeitpunkt der Anfrage (ebenfalls serverseitig verschlüsselt). Der Betreiber kann die Daten zur Bearbeitung deiner Anfrage entschlüsseln. Es handelt sich nicht um Zero-Knowledge-Verschlüsselung.

Du erhältst eine Bestätigungs-E-Mail (Doppel-Opt-In). Ohne Bestätigung wird die Anfrage nicht weiterverarbeitet. Nach deiner Bestätigung wird der Betreiber per E-Mail benachrichtigt und schickt dir das Pitchdeck manuell zu, ggf. nach einer Vorab-Kontaktaufnahme. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Durchführung vorvertraglicher Maßnahmen) bzw. lit. f (berechtigtes Interesse an der Vorprüfung von Unterstützungs-Anfragen).

Speicherdauer: bis zum Widerruf oder zwölf Monate nach Anfrage, falls keine weitere Kontaktaufnahme erfolgt. Du kannst deine Daten jederzeit per Mail an hello@suveris.eu löschen lassen.

7c. Newsletter

Du kannst unseren Newsletter „Das Suveris Update“abonnieren (Neuigkeiten, Blicke hinter die Kulissen, Einladungen zu Beta-Tests u. v. m.). Dafür speichern wir deine E-Mail-Adresse serverseitig verschlüsselt (AES-256-GCM), zusätzlich einen kryptographischen Hash zur Duplikat-Erkennung, sowie den Zeitpunkt deiner Bestätigung. Der Betreiber kann die Adresse zum Versand entschlüsseln — es handelt sich nicht um Zero-Knowledge-Verschlüsselung. Das Abo ist unabhängig davon, ob du ein Suveris-Konto hast.

Doppel-Opt-In (strikt): Nach der Anmeldung erhältst du eine separate Bestätigungs-E-Mail. Erst nach dem Klick auf den Bestätigungslink bist du abonniert. Ohne Bestätigung speichern wir kein aktives Abo; der Bestätigungslink ist 24 Stunden gültig.

Anmeldung über das Wartelisten-Formular: Du kannst den Newsletter auch direkt beim Eintrag in die Warteliste per Ankreuzfeld abonnieren. In diesem Fall gilt dein Klick auf den Wartelisten-Bestätigungslink zugleich als Bestätigung des Newsletter-Abos — die Bestätigungs-E-Mail benennt beide Wirkungen ausdrücklich. Ohne gesetztes Ankreuzfeld entsteht kein Abo.

Einladung von der Warteliste: Wenn du auf der Warteliste stehst, erhältst du ggf. eine einmalige Einladung mit einem persönlichen Link. Über diesen Link kannst du den Newsletter abonnieren, ohne deine E-Mail-Adresse erneut einzugeben. Auch hier gilt der strikte Doppel-Opt-In (separate Bestätigungs-E-Mail).

Widerruf: Jede Newsletter-E-Mail enthält einen Abmeldelink, über den du dich vollständig abmelden kannst — jederzeit und ohne Angabe von Gründen. Registrierte Nutzer können den Newsletter zusätzlich in den Einstellungen → Benachrichtigungen verwalten. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Speicherdauer: Wir speichern dein Abo, bis du dich abmeldest bzw. deine Einwilligung widerrufst. Deine Newsletter-Daten werden nicht an Dritte weitergegeben.

8. Kein Tracking und keine Analyse

Diese Plattform setzt keinerlei Analyse- oder Tracking-Werkzeuge ein. Es werden keine Nutzerprofile erstellt, keine Drittanbieter-Cookies gesetzt und keine Daten an externe Analyse-Dienste übermittelt. Schriften sind lokal eingebettet — es werden keine externen Font-CDNs geladen.

9. System- und Netzwerksicherheit (CrowdSec)

Um unsere Website und IT-Infrastruktur vor Cyberangriffen, unberechtigten Zugriffen und Spam zu schützen, setzen wir die Sicherheitssoftware CrowdSec ein. Anbieter ist die CrowdSec SAS, 20 rue Maurice Arnoux, 92120 Montrouge, Frankreich.

Art und Zweck der Datenverarbeitung: CrowdSec analysiert den eingehenden Datenverkehr und die Logfiles unseres Servers lokal. Reguläre und unauffällige Verbindungen werden nicht weiter verarbeitet. Wird jedoch ein potenziell schädliches oder missbräuchliches Verhalten erkannt, blockiert das System die IP-Adresse des mutmaßlichen Angreifers.

Um sich an der globalen Gefahrenabwehr zu beteiligen ("Schwarmintelligenz"), werden ausschließlich die IP-Adressen der blockierten, auffälligen Zugriffe zusammen mit einem Zeitstempel und der Art der Bedrohung an die Server von CrowdSec in Frankreich übermittelt. Daten von normalen, unauffälligen Website-Besuchern werden nicht an CrowdSec gesendet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Unser berechtigtes Interesse besteht in der Gewährleistung der Sicherheit, Stabilität und Integrität unserer IT-Systeme sowie dem Schutz vor Missbrauch.

Speicherdauer: Die im Rahmen der Sicherheitsüberwachung erfassten und blockierten IP-Adressen werden auf unseren Servern nur so lange gespeichert, wie es für die Abwehr der konkreten Bedrohung erforderlich ist. Anschließend werden sie automatisiert aus den Sperrlisten entfernt.

9a. Speicherdauer (Retention-Schedule)

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Verarbeitungszweck erforderlich ist. Die folgenden Fristen gelten regelmäßig:

DatenkategorieSpeicherdauer
Account-Daten (Profil, Tresor, Beiträge)Bis zur Account-Löschung durch dich
Sessions / Login-Tokens3 Tage (Session), 15 Min. (Magic-Link)
Bestätigungs-Tokens24 Stunden oder bis Bestätigung
Warteliste-EinträgeBis zur Einlösung, deinem Widerruf oder bis Suveris öffentlich für alle verfügbar ist
Newsletter-Abonnenten (E-Mail verschlüsselt, Abo-Status)Bis zur Abmeldung bzw. deinem Widerruf
Pitchdeck-AnfragenBis zum Widerruf oder 12 Monate
Testimonials (eingereicht)Bis zum Widerruf oder 12 Monate ohne Freischaltung
Audit-Log (Sicherheits-Events)90 Tage
Moderations-Entscheidungen (DSA Art. 17)6 Monate nach Entscheidung
Backup-Snapshots (verschlüsselt)30 Tage
Server-Logs14 Tage

Nach Ablauf dieser Fristen werden die Daten automatisch gelöscht oder anonymisiert. Bei Account-Löschung werden alle Daten unwiderruflich entfernt (DSGVO Art. 17) — auch Backup-Snapshots werden nach dem oben genannten Zeitraum überschrieben.

Ausnahme Moderationsprotokoll: Meldungen, Moderations-Entscheidungen und Einsprüche müssen wir aus gesetzlichen Gründen (Digital Services Act, DSGVO Art. 17 Abs. 3 lit. e) auch nach einer Konto-Löschung für die oben genannte Frist aufbewahren. Sie werden dabei anonymisiert — die Verknüpfung zu deiner Person wird entfernt.

10. Weitergabe an Dritte

Deine Daten werden nicht an Dritte weitergegeben — weder zu Werbezwecken noch aus sonstigen Gründen. Eine Ausnahme besteht nur bei gesetzlicher Verpflichtung (z.B. richterliche Anordnung).

11. Deine Rechte (Art. 15–21 DSGVO)

Du hast jederzeit das Recht auf:

  • Auskunft über deine gespeicherten Daten (Art. 15)
  • Berichtigung unrichtiger Daten (Art. 16)
  • Löschung deiner Daten (Art. 17) — in der App unter Einstellungen
  • Einschränkung der Verarbeitung (Art. 18)
  • Datenübertragbarkeit (Art. 20) — vollständiger JSON-Export in der App
  • Widerspruch gegen die Verarbeitung (Art. 21)

Kontaktiere uns unter js [at] janschmirmund.de oder nutze die eingebauten Funktionen in den App-Einstellungen (Datenexport und Account-Löschung).

Hinweis nach Art. 11 DSGVO: Daten im Ende-zu-Ende-verschlüsselten Tresor sind für uns technisch nicht einsehbar. Wir können keine Auskunft über den Inhalt deines Tresors geben, da wir selbst keinen Zugang dazu haben. Solltest du dein Passwort verlieren, können wir die Daten nicht wiederherstellen.

12. Aufsichtsbehörde

Wenn du der Meinung bist, dass die Verarbeitung deiner Daten gegen die DSGVO verstößt, hast du das Recht, dich bei einer Aufsichtsbehörde zu beschweren:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Postfach 3163, 65021 Wiesbaden
Telefon: +49 611 1408-0
poststelle@datenschutz.hessen.de