Stand: April 2026 (zuletzt aktualisiert: 10. Juli 2026)
Beta-Stadium
Suveris befindet sich in einer geschlossenen Betaphase. Die Software wird nach bestem Wissen und Gewissen entwickelt und betrieben, kann aber Fehler enthalten. Vor dem öffentlichen Launch werden unabhängige Sicherheitsaudits durchgeführt. Bitte gib in der Betaphase keine hochsensiblen Informationen außerhalb des Ende-zu-Ende-verschlüsselten Tresors ein.
Haftungsbeschränkung: Diese Anwendung wurde nach bestem Wissen und Gewissen entwickelt. Die Haftung für leichte Fahrlässigkeit ist ausgeschlossen. Ausgenommen hiervon ist die Haftung für die Verletzung von Kardinalpflichten (wesentliche Vertragspflichten, deren Erfüllung die ordnungsgemäße Durchführung der Nutzung überhaupt erst ermöglicht) sowie für Schäden an Leben, Körper oder Gesundheit. Die zwingende gesetzliche Haftung für Vorsatz und grobe Fahrlässigkeit bleibt von dieser Beschränkung unberührt.
Jan Schmirmund
Gnauthstr. 17, 35390 Gießen
Tel.: +49 (0) 176 64330279
E-Mail: js@janschmirmund.de
Diese Website wird auf einem Server der Infomaniak Network SA in der Schweiz betrieben (Rue Eugène-Marziano 25, 1227 Genf). Die Schweiz verfügt über einen Angemessenheitsbeschluss der EU-Kommission — deine Daten sind damit gleichwertig zur DSGVO geschützt.
Der Server speichert bei jedem Seitenaufruf automatisch technische Zugriffsdaten (IP-Adresse, Zeitstempel, aufgerufene URL, Browser-Kennung). Diese werden ausschließlich zur Fehleranalyse verwendet und nach spätestens 7 Tagen gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb).
Infomaniak ist als Auftragsverarbeiter nach Art. 28 DSGVO tätig; ein entsprechender Auftragsverarbeitungsvertrag (AVV) ist Bestandteil der Vertragsbeziehung.
Suveris verwendet keine Werbe-Cookies, keine Analyse-Cookies und kein Tracking.
Wenn du dich einloggst, wird ein technisch notwendiger Session-Cookie gesetzt. Dieser Cookie enthält eine zufällig generierte Sitzungs-ID — keine personenbezogenen Daten. Die zugehörige Sitzung ist maximal 7 Tage gültig. Danach musst du dich erneut anmelden. Der Cookie ist nach aktuellen Sicherheitsstandards geschützt und kann nicht von Drittseiten oder Skripten ausgelesen werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Nutzung des Dienstes).
Neben Cookies nutzt Suveris den lokalen Speicher deines Browsers (Web Storage). Diese Einträge bleiben auf deinem Gerät, werden nicht an unseren Server übertragen und dienen nicht dem Tracking. Konkret speichert Suveris dort:
Abgelaufene Einträge werden beim nächsten Besuch der betreffenden Seiten automatisch entfernt. Du kannst alle Einträge jederzeit selbst löschen (Browser-Einstellungen → Website-Daten). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); die Speicherung ist für die jeweils von dir angeforderte Funktion technisch erforderlich (§ 25 Abs. 2 Nr. 2 TDDDG).
Suveris bietet mehrere Anmeldemethoden an. Alle dienen ausschließlich der sicheren Authentifizierung — mit Ausnahme des optionalen Bluesky-Logins werden dabei keine Daten an Dritte übertragen.
Du meldest dich mit deiner E-Mail-Adresse an. Wir senden dir einen Einmal-Link (Magic Link), der 15 Minuten gültig ist. Es wird kein Passwort benötigt oder gespeichert. Der Versand erfolgt über den SMTP-Dienst von Infomaniak (Schweiz).
Während des Login-Vorgangs wird ein kryptographischer Hash deiner E-Mail-Adresse für maximal 15 Minuten gespeichert, um die Freigabe zum Login zu prüfen. Deine E-Mail-Adresse wird dabei nicht im Klartext in dieser Zwischentabelle gespeichert.
Während der geschlossenen Betaphase ist ein Einladungscode erforderlich. Zu jedem Code speichern wir ein vom Administrator vergebenes Kürzel (z.B. „Max M.“) und ob der Code eingelöst wurde (Zeitstempel). Deine E-Mail-Adresse wird nicht dauerhaft mit dem Beta-Code verknüpft.
Versender-Einladungen: Ein Einladungscode kann einem bestehenden Suveris-Konto als persönlicher Einladungs-Vorrat zugeteilt werden. Teilt diese Person eine Visitenkarte an einen externen Empfänger und koppelt dabei eine Einladung, verknüpfen wir den Code mit dem dabei entstehenden Light-Konto. Dadurch ist ableitbar, welches Konto wen eingeladen hat — das dient ausschließlich der kontrollierten Aufnahme neuer Mitglieder während der geschlossenen Beta und wird darüber hinaus nicht ausgewertet.
Du kannst dich alternativ zum Magic-Link mit deinem Bluesky-Konto anmelden. Die Anmeldung erfolgt über den OAuth-Standard des AT-Protocol. Dabei werden folgende Daten an Dritte übertragen bzw. verarbeitet:
Der Bluesky-Login ist freiwillig. Du kannst die Verknüpfung jederzeit in den Kontoeinstellungen aufheben; die gespeicherten Token und Verknüpfungsdaten werden dabei aus unserer Datenbank gelöscht.
Du kannst optional eine Zwei-Faktor-Authentifizierung per Authenticator-App aktivieren (z.B. Aegis, 2FAS, Google Authenticator). Dabei werden folgende Daten verarbeitet:
2FA ist freiwillig. Du kannst sie jederzeit in den Kontoeinstellungen aktivieren oder deaktivieren. Bei Deaktivierung werden der TOTP-Schlüssel und die Wiederherstellungscodes aus der Datenbank gelöscht.
Du kannst optional einen Passkey registrieren (z.B. Touch ID, Face ID, Windows Hello oder einen USB-Sicherheitsschlüssel). Dabei werden folgende Daten verarbeitet:
Passkeys sind freiwillig. Du kannst registrierte Passkeys jederzeit in den Kontoeinstellungen entfernen.
Du kannst optional deinen Tresor per FaceID oder Fingerabdruck entsperren, anstatt jedes Mal das Passwort einzugeben. Dabei wird ein kryptographischer Schlüssel direkt aus deinem Sicherheitsgerät abgeleitet.
Rechtsgrundlage für alle Authentifizierungsmethoden: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit deines Kontos).
Wenn du Suveris über einen Visitenkarten-Einladungslink kennenlernst, legen wir für dich ein sogenanntes Light-Konto an. Ein Light-Konto ist auf das Empfangen von Visitenkarten und ein schlankes Zurückteilen beschränkt — es gibt keinen öffentlichen Profiltext, keine Beiträge im Netzwerk und kein klassisches Tresor-Passwort. Aktiv teilen kannst du ausschließlich deine beim Einstieg angegebenen Onboarding-Daten (Name und deine zum Login verwendete E-Mail-Adresse), Ende-zu-Ende-verschlüsselt mit dem öffentlichen Schlüssel des Empfängers. Für komplexere Visitenkarten (Telefon, Adresse, Skills) brauchst du ein Vollkonto.
Wenn du ein Konto erstellst und die Plattform nutzt, verarbeiten wir folgende Daten:
Verschlüsselung:
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, bei optionalen Funktionen wie dem Tresor).
Dein Suveris-Profil kann mit dem Fediverse (z.B. Mastodon) und/oder Bluesky verbunden sein. Seit Juni 2026 wird die Fediverse-Anbindung bei einem Voll-Konto bereits im Onboarding aktiviert — sobald du deinen @Namen (Handle) vergibst. Dadurch wird dein öffentliches Profil (Anzeigename, Handle, Profiltext/Bio und Profilbild) ohne Login unter suveris.eu/p/deinname abrufbar, und dein Konto wird im Fediverse serverübergreifend auffindbar. Du kannst diese Anbindung jederzeit in den Einstellungen wieder abschalten — dann ist sowohl die Fediverse-Auffindbarkeit als auch deine öffentliche Profilseite (suveris.eu/p/deinname) wieder privat und für Nicht-Eingeloggte nicht mehr abrufbar. Light-Konten werden nicht föderiert und bleiben nach außen unsichtbar. Die Bluesky-Verknüpfung bleibt separat und wird ausdrücklich von dir vorgenommen. Im Einzelnen:
app.bsky.actor.getSuggestions). Die Antwort enthält je Vorschlag: Handle, DID, Anzeigename, Avatar-URL und Kurzbeschreibung. Diese Daten werden für 5 Minuten in deinem Suveris-Konto zwischengespeichert (Cache), damit die Seite schnell lädt und keine unnötigen Anfragen an Bluesky entstehen. Der Cache wird bei jedem frischen Abruf überschrieben und beim Trennen des Bluesky-Kontos gelöscht. Der Abruf erfolgt über dein persönliches Zugangstoken — Bluesky erhält dabei Kenntnis, dass Vorschläge für dein Konto angefragt wurden.Update(Note)-Nachricht an alle Follower-Instanzen, damit sie den neuen Stand anzeigen. Auf Bluesky überschreiben wir den Originaleintrag (Bluesky-Clients zeigen kein „bearbeitet“-Label — das ist eine technische Besonderheit des AT-Protocols, nicht unsere Entscheidung).Delete(Actor)-Nachricht an alle Server, von denen dir jemand folgt. Diese fordert die anderen Instanzen auf, ihre gespeicherte Kopie deines Profils zu entfernen — so wirkt deine Löschung über die Instanzgrenzen hinweg. Ob die fremden Server dem folgen, können wir technisch nicht garantieren; die Löschung deines Kontos bei uns findet in jedem Fall statt.Die Anbindung an externe Netzwerke ist freiwillig und kann jederzeit deaktiviert werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Durch die aktive Teilnahme am Fediverse (ActivityPub) und am AT-Protocol (Bluesky) findet ein strukturierter Datenaustausch mit anderen Servern statt. Nach der Rechtsprechung des Europäischen Gerichtshofs (vgl. EuGH „Wirtschaftsakademie Schleswig-Holstein“ und „Fashion ID“) kann dies eine gemeinsame Verantwortlichkeit im Sinne von Art. 26 DSGVO zwischen dem Betreiber von Suveris und den Betreibern der empfangenden Instanzen begründen.
Wesentliche Regelung: Die Verantwortung für die Datenverarbeitung auf Suveris (Speicherung, Verschlüsselung, Löschung) liegt beim Betreiber von Suveris. Für die Verarbeitung auf externen Fediverse-Instanzen oder Bluesky-Servern nach der Übermittlung sind die jeweiligen Betreiber dieser Dienste verantwortlich. Der Betreiber von Suveris hat auf die dortige Datenverarbeitung keinen technischen oder organisatorischen Einfluss.
Du kannst deine Betroffenenrechte (Auskunft, Berichtigung, Löschung, Widerspruch) jederzeit gegenüber Suveris geltend machen — unabhängig davon, ob die Verarbeitung auf unserem Server oder auf einer föderierten Instanz stattfindet (Art. 26 Abs. 3 DSGVO).
Kein Auftragsverarbeitungsvertrag (AVV): Für die Nutzung dieser dezentralen Netzwerke besteht kein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO. Aufgrund der dezentralen Struktur handelt es sich rechtlich um eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO, da wir keinen weisungsgebundenen Zugriff auf die externen Instanzen haben. Die Nutzung erfolgt auf Grundlage unseres berechtigten Interesses an offener Kommunikation und dezentraler Öffentlichkeitsarbeit (Art. 6 Abs. 1 lit. f DSGVO).
Bitte beachte: Daten, die einmal an föderierte Instanzen übermittelt wurden, unterliegen dort den jeweiligen Nutzungsbedingungen und Datenschutzrichtlinien. Eine Löschung auf fremden Servern kann Suveris nicht garantieren.
Suveris betreibt einen System-Account @kurator@suveris.eu, der öffentliche Fediverse-Beiträge thematisch in unsere kuratierten Räume teilt („boostet“). Er erstellt keine eigenen Inhalte und übernimmt keine fremden Inhalte unter eigenem Namen. Die Original-Autorin oder der Original-Autor bleibt sichtbar; der Teilen-Eintrag macht die kuratorische Vermittlung transparent.
Der Curator teilt einen Beitrag nur dann, wenn dessen Autorin oder Autor zuvor explizit zugestimmt hat — über einen von drei Wegen:
boost me, aktivieren oder start erlaubt das Teilen aller zukünftigen passenden Beiträge. Widerruf jederzeit per DM mit stop, stopp oder deaktivieren.@kurator@suveris.eu) in einem einzelnen Fediverse-Beitrag erlaubt das Teilen dieses einen Beitrags. Kein dauerhaftes Opt-in.Damit Fediverse-Nutzer:innen den Curator überhaupt kennen lernen können, sendet er gelegentlich Folge-Anfragen (max. 30 pro Tag). Vor jeder Folge-Anfrage prüft er die Bio der Zielperson auf #nobot, #nospam oder vergleichbare Hinweise — bei Treffer wird keine Folge-Anfrage gesendet. Zusätzlich gilt: Folge-Anfragen werden nur an Accounts gesendet, die thematisch passende öffentliche Beiträge in den letzten 30 Tagen geschrieben haben und seit mindestens 30 Tagen aktiv sind.
Verarbeitet werden nur bereits öffentliche Daten: der öffentliche Handle, die öffentliche Bio (zur Prüfung auf#nobot-Marker), die Beitrags-URL und der Beitrag selbst. Bei DM-Aktivierung zusätzlich die Inhalte der DM-Kommandos (rein zum Erkennen der Aktivierungs-/ Stop-Befehle). Es findet keine Profilbildung und keine Auswertung über den thematischen Filter hinaus statt.
Da das Teilen nur mit aktiver Zustimmung erfolgt, ist der Widerruf an dieselben Wege gebunden: Entfolgen (bei Mutual-Follow), stop-DM (bei DM-Aktivierung). Zusätzlich greift bei jeder Blockierung des Curators auf der Fediverse-Instanz der sofortige Stop — keine weiteren Boosts. Bereits bestehende Teilen-Einträge kannst du per Mail an opt-out@suveris.eu entfernen lassen.
Zu jedem Curator-Teilen wird ein internes Audit-Protokoll geführt (für Nachvollziehbarkeit und Opt-Out-Bearbeitung). Es wird automatisch mit dem zugrundeliegenden Teilen-Eintrag gelöscht — auch im Rahmen einer Löschung nach Art. 17 DSGVO. Opt-in-Aktivierungen (DM-Pfad) werden mit dem Widerruf gelöscht; Erst-Folge-Versuche werden nicht persistent gespeichert.
In der globalen Personensuche (/suche) und im Adressbuch-Wizard sucht Suveris standardmaessig nur in der eigenen Datenbank, in bereits bekannten Fediverse-Konten und auf der oeffentlichen Bluesky-AppView — also ohne deine Suchanfrage an andere Fediverse-Server zu senden.
Zusätzlich gibt es eine Schaltflaeche „Erweitert suchen“. Wenn du darauf klickst, sendet Suveris deine Such-Eingabe parallel an eine kleine, vom Betreiber konfigurierte Liste grosser Fediverse-Instanzen (aktuell: chaos.social, mastodon.social) und zeigt deren Treffer in deiner Trefferliste. Der externe Server sieht die Such-Phrase und die IP-Adresse des Suveris-Servers — nicht deine IP. Es wird keine Login-Information übermittelt; wir nutzen die oeffentliche Account-Search-Schnittstelle/api/v2/search?type=accounts ohne Anmeldung.
Hashtag-Suche an dieselben Instanzen (seit 26.05.2026): Wenn du in der Post-Suche (/suche?tab=posts) einen Hashtag eingibst — oder im Feed auf eine Hashtag- Pille klickst, die dich genau dorthin fuehrt —, fragt Suveris zusaetzlich zur eigenen Datenbank und zur Bluesky-AppView dieselben konfigurierten Fediverse-Instanzen ueber deren oeffentliche Tag-Timeline-Schnittstelle /api/v1/timelines/tag/<tag> nach Posts mit diesem Hashtag. Form und Empfaengerkreis sind identisch zur Personensuche oben (oeffentlicher Endpunkt ohne Anmeldung, IP-Adresse des Suveris-Servers); nur der gesuchte Begriff ist jetzt ein Hashtag statt ein Personenname. Treffer werden nicht persistiert — nur zur Laufzeit zur Anzeige gehalten.
Es findet keine Profilbildung statt; die Treffer werden nicht persistiert (nur zur Laufzeit zur Anzeige gehalten). Wenn du anschliessend einem Treffer folgst, wird der Fediverse-Account ueblicher Weise in den lokalen Cache aufgenommen — wie bei jeder anderen Folge-Geste auch. Die externen Such-Instanzen koennen die Anfrage ihrerseits protokollieren; auf deren Datenverarbeitung hat Suveris keinen Einfluss (vgl. Sektion 5c, gemeinsame Verantwortlichkeit nach Art. 26 DSGVO).
Sichtbarkeit:Die Schaltflaeche „Erweitert suchen“ erscheint nur, wenn der Betreiber externe Such-Instanzen ueber die Umgebungsvariable MASTODON_SEARCH_INSTANCES konfiguriert hat. Ohne Konfiguration ist die Funktion nicht verfuegbar und keine externen Anfragen werden ausgeloest. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktiven Klick).
Profil-Vorschau bei Avatar-Klick (seit 26.05.2026): Wenn du in einer Mastodon- oder Bluesky-Karte (Feed, Raum, Suche) auf einen Avatar oder Namen tippst, fragt Suveris das jeweilige Drittsystem live nach den oeffentlichen Profil-Daten (Anzeigename, Bio, Follower-Zahl, Avatar) und zeigt sie in einer Profil-Vorschau. Bei Mastodon-Karten geht die Anfrage an die im Handle genannte Instanz (/api/v1/accounts/lookup). Bei Bluesky-Karten an die oeffentliche AppView public.api.bsky.app. Es werden keine Login-Daten uebermittelt; die Drittsysteme sehen die Such-Identitaet und die IP-Adresse des Suveris-Servers. Die Profil-Daten werden nicht in der Suveris-Datenbank gespeichert, sondern nur zur Laufzeit fuer die Anzeige gehalten.
In deiner News-Schiene (rechte Spalte des Feeds, mobil als aufklappbarer Block, sowie unter /news) kannst du optional externe Nachrichtenquellen einblenden, die der Betreiber als RSS-/Atom-Feeds kuratiert. Welche Quellen für dich aktiv sind, waehlst du selbst unter /news/quellen. Diese Beitraege erscheinen ausschliesslich in der News-Schiene — niemals in deinem sozialen Feed.
Was wir speichern: deine Auswahl, welche Quellen für dich aktiv sind, sowie deine Einstellung, ob Artikelbilder angezeigt werden. Das ist eine Praeferenz-Angabe, die mit deinem Konto verknuepft ist. Wir protokollieren nicht, welche einzelnen Artikel du anklickst oder liest.
Wie wir die Feeds holen: Der Suveris-Server ruft die vom Betreiber kuratierten, oeffentlichen Feed-Adressen serverseitig ab (gedrosselt, hoechstens alle 30 Minuten je Quelle) und speichert die Vorschau-Daten (Titel, Kurztext, Link, Datum) zwischen. Der Abruf erfolgt einmal zentral fuer alle Nutzer — nicht pro Person. Die Nachrichtenseite sieht dabei die IP-Adresse des Suveris-Servers, nicht deine. Die Feed-Adressen werden vor dem Abruf serverseitig geprueft (nur oeffentliche http/https-Adressen, keine internen Netzwerk-Ziele).
Artikelbilder (souveraen re-hostet): Wenn Vorschaubilder aktiviert sind (Standard an, jederzeit abschaltbar), laedt der Suveris-Server das jeweilige Bild von der Quelle herunter, rechnet es neu (entfernt dabei eingebettete Metadaten wie EXIF/GPS) und liefert es von Suveris aus. Dein Browser kontaktiert dafuer nicht das Nachrichten-CDN — deine IP-Adresse erreicht die fremde Bild-Adresse nie.
Beim Klick auf einen Artikel oeffnet sich der externe Link in einem neuen Tab direkt bei der Nachrichtenseite. Ab diesem Moment bist du auf deren Seite und es gelten deren Datenschutzbestimmungen — wie bei jedem anderen Link auch sieht die Seite dann deinen Browser und deine IP-Adresse. Darauf hat Suveris keinen Einfluss.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch deine aktive Quellen-Auswahl). Du kannst jede Quelle jederzeit wieder abwaehlen; die zwischengespeicherten Vorschau-Daten enthalten keine Personendaten von dir.
Du kannst optional ein Community-Profil aktivieren. Dieses Profil ist bewusst getrennt vom weltoeffentlichen Profil unter /p/[handle] und enthaelt mehr Informationen über dich — sichtbar nur für andere eingeloggte Suveris-Nutzer.
Welche Felder werden gespeichert:
Nicht im Community-Profil enthalten: Kontaktdaten (Telefon, private E-Mail), Gehaltsvorstellungen, persönliche Bewerbungs-Verfügbarkeit. Diese Daten verbleiben im Ende-zu-Ende-verschlüsselten Tresor und können nur gezielt an einzelne Adressbuch-Kontakte geteilt werden.
Verschlüsselung: Die Community-Profil-Felder werden serverseitig mit AES-256-GCM verschlüsselt gespeichert. Der Betreiber kann sie zum Anzeigen entschlüsseln — das ist bewusst so, damit andere eingeloggte Nutzer das Profil sehen können (keine Ende-zu-Ende-Verschlüsselung).
Aktivieren, Deaktivieren, Löschen: Das Community-Profil ist standardmaessig deaktiviert. Du kannst es jederzeit aktivieren, bearbeiten und wieder deaktivieren. Beim Deaktivieren werden die verschlüsselten Felder gelöscht.
Drei getrennte Speicher — keine Server-Kopplung: Dein weltoeffentliches Profil, dein Community-Profil und dein Ende-zu-Ende-verschlüsselter Tresor liegen in drei unabhaengigen Speichern mit jeweils eigener Verschlüsselung. Wenn du beim Bearbeiten eines Community-Profil- Feldes einen Vorschlag aus deinem Tresor oder Public-Profil angeboten bekommst, passiert diese Projektion ausschliesslich in deinem Browser. Der Server kopiert niemals Tresor-Klartext in das Community-Profil — du musst den Wert selbst bestaetigen und speichern, damit er im Community- Profil landet. So bleibt der Zero-Knowledge-Schutz des Tresors erhalten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Aktivierung ist freiwillig, der Widerruf jederzeit möglich.
Du kannst andere Personen stummschalten (ihre Beitraege und Benachrichtigungen werden dir nicht mehr angezeigt, die Person merkt davon nichts) oder blockieren (jegliche Interaktion in deinem Erleben in Suveris wird unterbunden). Beide Listen sind privat fuer dich und werden nicht an Dritte weitergegeben.
Was wir speichern: Pro Eintrag die ID/Adresse der gemuteten oder geblockten Person (lokaler Suveris-User, Fediverse- Akteur oder Bluesky-Konto), den Anlegezeitpunkt sowie bei Stummschaltungen optional eine private Notiz, die nur du siehst. Diese Notiz wird serverseitig verschlüsselt gespeichert (d.h. gegen Datendiebstahl geschützt; den Schlüssel hält der Betreiber).
Soft-Block-Prinzip (Blockierung): Wer von dir blockiert wird, sieht dein Profil und deine Beitraege auf Suveris nicht mehr — die Seiten antworten mit der gleichen „nicht gefunden“-Meldung wie bei nicht-existenten Konten. Suveris teilt der blockierten Person nicht aktiv mit, dass sie blockiert wurde. So vermeiden wir die Eskalations-Spirale, die expliziten Block-Mitteilungen folgt (Account-Wechsel, erneute Belaestigung).
Federation-Hinweis: Wenn du eine Fediverse- Person blockierst, wirkt der Block lokal in Suveris (wir zeigen diese Person nicht mehr und verwerfen eingehende Aktivitaeten von ihr). Wir senden bewusst keine Block-Mitteilung an den anderen Server, damit die Person nicht aktiv erfaehrt, dass du sie blockierst. Andere Server können Posts dieser Person trotzdem anzeigen, wenn jemand sie direkt aufruft. Bei Bluesky nutzen wir die private Stummschalt- Funktion (muteActor) und nicht die oeffentliche Block-Funktion.
Eingehende Blockierungen: Wenn ein Fediverse- Server uns mitteilt, dass dort jemand dich blockiert hat, speichern wir das nur server-intern, um deine ausgehenden Aktivitaeten zu dieser Person zu unterdruecken. Diese Liste wird dir nicht angezeigt — du sollst keine Liste „wer mich blockt“ sehen muessen.
Aufheben und Löschen: Du kannst jede Stummschaltung und jede Blockierung jederzeit unter Einstellungen → Stummgeschaltete bzw. Einstellungen → Blockierte aufheben. Bei Konto-Loeschung werden alle deine Mute- und Block-Eintraege restlos entfernt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — Schutz vor unerwuenschter Interaktion und Belaestigung).
Wir versenden E-Mails ausschließlich über den SMTP-Dienst von Infomaniak (Schweiz). E-Mails werden versendet für:
Opt-Out: Plattform-Benachrichtigungen kannst du jederzeit einzeln in den Einstellungen → Benachrichtigungen deaktivieren. Jede Benachrichtigungs-E-Mail enthält außerdem einen direkten Link zu diesen Einstellungen. Login-bezogene E-Mails (Magic Link) können nicht deaktiviert werden, da sie für die Nutzung des Dienstes erforderlich sind.
Rechtsgrundlage für Plattform-Benachrichtigungen: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — du wirst über Aktivitäten informiert, die dein Konto direkt betreffen). Rechtsgrundlage für Login-E-Mails: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Deine E-Mail-Adresse wird nicht an Dritte weitergegeben. Für den Newsletter verwenden wir sie nur, wenn du ihn ausdrücklich abonniert und per Doppel-Opt-In bestätigt hast (siehe Abschnitt 7c); andernfalls nutzen wir sie nicht für werbliche Zwecke.
Wenn du dich auf die Warteliste einträgst, wird deine E-Mail-Adresse serverseitig verschlüsselt gespeichert. Wir speichern zusätzlich einen kryptographischen Hash deiner E-Mail-Adresse, um Duplikate zu erkennen. Der Betreiber kann die Adressen zur Administration entschlüsseln. Es handelt sich nicht um Zero-Knowledge-Verschlüsselung.
Du erhältst eine Bestätigungs-E-Mail (Doppel-Opt-In). Ohne Bestätigung wird dein Eintrag nicht aktiviert. Jede E-Mail enthält einen Abmeldelink, über den du dich jederzeit austragen kannst. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Speicherdauer: Bestätigte Wartelisten-Einträge speichern wir, bis du deinen Beta-Zugang einlöst, deinen Eintrag widerrufst oder Suveris öffentlich für alle verfügbar ist. Eine automatische Löschung nach einer festen Frist findet nicht statt, weil die Wartezeit bis zum Beta-Zugang im Einzelfall mehrere Monate betragen kann. Unbestätigte Einträge werden nach 24 Stunden automatisch gelöscht.
Wenn du auf der Supporter-Seite ein Testimonial einreichst, speichern wir die von dir angegebenen Daten (Name, E-Mail, optional Rolle, Organisation, Profil-Link, Bild und das Zitat selbst) serverseitig verschlüsselt (AES-256-GCM). Bilder werden auf 400×400 px verkleinert und neu kodiert; Metadaten wie EXIF werden dabei entfernt. Wir speichern zusätzlich einen kryptographischen Hash deiner E-Mail-Adresse zur Duplikat-Erkennung sowie — zur Missbrauchsabwehr — deine IP-Adresse zum Zeitpunkt der Einreichung (ebenfalls serverseitig verschlüsselt). Der Betreiber kann die Daten zur Prüfung entschlüsseln. Kein Zero-Knowledge.
Du erhältst eine Bestätigungs-E-Mail (Doppel-Opt-In). Ohne Bestätigung wird das Testimonial nicht weiterverarbeitet. Nach deiner Bestätigung prüft der Betreiber das Testimonial manuell und entscheidet über eine Freischaltung. Erst nach deiner expliziten Erlaubnis (drei separate Häkchen für Website, Social Media bzw. Pressearbeit und Foliendecks) verwenden wir das Testimonial für die jeweiligen Kanäle. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Widerruf: Du kannst deine Einwilligung jederzeit per Mail an hello@suveris.euwiderrufen. Wir entfernen dein Testimonial dann von allen Kanälen, die wir kontrollieren. Ein Restrisiko bleibt durch dritte Verbreitung (z. B. Screenshots), die wir nicht kontrollieren können. Speicherdauer: bis zum Widerruf oder zwölf Monate, wenn keine Freischaltung erfolgt.
Wenn du auf der Supporter-Seite ein Pitchdeck anforderst, speichern wir die von dir angegebenen Daten (Name, E-Mail, optional Telefonnummer) serverseitig verschlüsselt (AES-256-GCM). Zusätzlich legen wir einen kryptographischen Hash deiner E-Mail-Adresse ab, um Duplikate zu erkennen, sowie — zur Missbrauchsabwehr — deine IP-Adresse zum Zeitpunkt der Anfrage (ebenfalls serverseitig verschlüsselt). Der Betreiber kann die Daten zur Bearbeitung deiner Anfrage entschlüsseln. Es handelt sich nicht um Zero-Knowledge-Verschlüsselung.
Du erhältst eine Bestätigungs-E-Mail (Doppel-Opt-In). Ohne Bestätigung wird die Anfrage nicht weiterverarbeitet. Nach deiner Bestätigung wird der Betreiber per E-Mail benachrichtigt und schickt dir das Pitchdeck manuell zu, ggf. nach einer Vorab-Kontaktaufnahme. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Durchführung vorvertraglicher Maßnahmen) bzw. lit. f (berechtigtes Interesse an der Vorprüfung von Unterstützungs-Anfragen).
Speicherdauer: bis zum Widerruf oder zwölf Monate nach Anfrage, falls keine weitere Kontaktaufnahme erfolgt. Du kannst deine Daten jederzeit per Mail an hello@suveris.eu löschen lassen.
Du kannst unseren Newsletter „Das Suveris Update“abonnieren (Neuigkeiten, Blicke hinter die Kulissen, Einladungen zu Beta-Tests u. v. m.). Dafür speichern wir deine E-Mail-Adresse serverseitig verschlüsselt (AES-256-GCM), zusätzlich einen kryptographischen Hash zur Duplikat-Erkennung, sowie den Zeitpunkt deiner Bestätigung. Der Betreiber kann die Adresse zum Versand entschlüsseln — es handelt sich nicht um Zero-Knowledge-Verschlüsselung. Das Abo ist unabhängig davon, ob du ein Suveris-Konto hast.
Doppel-Opt-In (strikt): Nach der Anmeldung erhältst du eine separate Bestätigungs-E-Mail. Erst nach dem Klick auf den Bestätigungslink bist du abonniert. Ohne Bestätigung speichern wir kein aktives Abo; der Bestätigungslink ist 24 Stunden gültig.
Anmeldung über das Wartelisten-Formular: Du kannst den Newsletter auch direkt beim Eintrag in die Warteliste per Ankreuzfeld abonnieren. In diesem Fall gilt dein Klick auf den Wartelisten-Bestätigungslink zugleich als Bestätigung des Newsletter-Abos — die Bestätigungs-E-Mail benennt beide Wirkungen ausdrücklich. Ohne gesetztes Ankreuzfeld entsteht kein Abo.
Einladung von der Warteliste: Wenn du auf der Warteliste stehst, erhältst du ggf. eine einmalige Einladung mit einem persönlichen Link. Über diesen Link kannst du den Newsletter abonnieren, ohne deine E-Mail-Adresse erneut einzugeben. Auch hier gilt der strikte Doppel-Opt-In (separate Bestätigungs-E-Mail).
Widerruf: Jede Newsletter-E-Mail enthält einen Abmeldelink, über den du dich vollständig abmelden kannst — jederzeit und ohne Angabe von Gründen. Registrierte Nutzer können den Newsletter zusätzlich in den Einstellungen → Benachrichtigungen verwalten. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Speicherdauer: Wir speichern dein Abo, bis du dich abmeldest bzw. deine Einwilligung widerrufst. Deine Newsletter-Daten werden nicht an Dritte weitergegeben.
Diese Plattform setzt keinerlei Analyse- oder Tracking-Werkzeuge ein. Es werden keine Nutzerprofile erstellt, keine Drittanbieter-Cookies gesetzt und keine Daten an externe Analyse-Dienste übermittelt. Schriften sind lokal eingebettet — es werden keine externen Font-CDNs geladen.
Um unsere Website und IT-Infrastruktur vor Cyberangriffen, unberechtigten Zugriffen und Spam zu schützen, setzen wir die Sicherheitssoftware CrowdSec ein. Anbieter ist die CrowdSec SAS, 20 rue Maurice Arnoux, 92120 Montrouge, Frankreich.
Art und Zweck der Datenverarbeitung: CrowdSec analysiert den eingehenden Datenverkehr und die Logfiles unseres Servers lokal. Reguläre und unauffällige Verbindungen werden nicht weiter verarbeitet. Wird jedoch ein potenziell schädliches oder missbräuchliches Verhalten erkannt, blockiert das System die IP-Adresse des mutmaßlichen Angreifers.
Um sich an der globalen Gefahrenabwehr zu beteiligen ("Schwarmintelligenz"), werden ausschließlich die IP-Adressen der blockierten, auffälligen Zugriffe zusammen mit einem Zeitstempel und der Art der Bedrohung an die Server von CrowdSec in Frankreich übermittelt. Daten von normalen, unauffälligen Website-Besuchern werden nicht an CrowdSec gesendet.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Unser berechtigtes Interesse besteht in der Gewährleistung der Sicherheit, Stabilität und Integrität unserer IT-Systeme sowie dem Schutz vor Missbrauch.
Speicherdauer: Die im Rahmen der Sicherheitsüberwachung erfassten und blockierten IP-Adressen werden auf unseren Servern nur so lange gespeichert, wie es für die Abwehr der konkreten Bedrohung erforderlich ist. Anschließend werden sie automatisiert aus den Sperrlisten entfernt.
Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Verarbeitungszweck erforderlich ist. Die folgenden Fristen gelten regelmäßig:
| Datenkategorie | Speicherdauer |
|---|---|
| Account-Daten (Profil, Tresor, Beiträge) | Bis zur Account-Löschung durch dich |
| Sessions / Login-Tokens | 3 Tage (Session), 15 Min. (Magic-Link) |
| Bestätigungs-Tokens | 24 Stunden oder bis Bestätigung |
| Warteliste-Einträge | Bis zur Einlösung, deinem Widerruf oder bis Suveris öffentlich für alle verfügbar ist |
| Newsletter-Abonnenten (E-Mail verschlüsselt, Abo-Status) | Bis zur Abmeldung bzw. deinem Widerruf |
| Pitchdeck-Anfragen | Bis zum Widerruf oder 12 Monate |
| Testimonials (eingereicht) | Bis zum Widerruf oder 12 Monate ohne Freischaltung |
| Audit-Log (Sicherheits-Events) | 90 Tage |
| Moderations-Entscheidungen (DSA Art. 17) | 6 Monate nach Entscheidung |
| Backup-Snapshots (verschlüsselt) | 30 Tage |
| Server-Logs | 14 Tage |
Nach Ablauf dieser Fristen werden die Daten automatisch gelöscht oder anonymisiert. Bei Account-Löschung werden alle Daten unwiderruflich entfernt (DSGVO Art. 17) — auch Backup-Snapshots werden nach dem oben genannten Zeitraum überschrieben.
Ausnahme Moderationsprotokoll: Meldungen, Moderations-Entscheidungen und Einsprüche müssen wir aus gesetzlichen Gründen (Digital Services Act, DSGVO Art. 17 Abs. 3 lit. e) auch nach einer Konto-Löschung für die oben genannte Frist aufbewahren. Sie werden dabei anonymisiert — die Verknüpfung zu deiner Person wird entfernt.
Deine Daten werden nicht an Dritte weitergegeben — weder zu Werbezwecken noch aus sonstigen Gründen. Eine Ausnahme besteht nur bei gesetzlicher Verpflichtung (z.B. richterliche Anordnung).
Du hast jederzeit das Recht auf:
Kontaktiere uns unter js [at] janschmirmund.de oder nutze die eingebauten Funktionen in den App-Einstellungen (Datenexport und Account-Löschung).
Hinweis nach Art. 11 DSGVO: Daten im Ende-zu-Ende-verschlüsselten Tresor sind für uns technisch nicht einsehbar. Wir können keine Auskunft über den Inhalt deines Tresors geben, da wir selbst keinen Zugang dazu haben. Solltest du dein Passwort verlieren, können wir die Daten nicht wiederherstellen.
Wenn du der Meinung bist, dass die Verarbeitung deiner Daten gegen die DSGVO verstößt, hast du das Recht, dich bei einer Aufsichtsbehörde zu beschweren:
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Postfach 3163, 65021 Wiesbaden
Telefon: +49 611 1408-0
poststelle@datenschutz.hessen.de