Datenschutzerklärung

1. Verantwortlicher

Mathias Jenny, xiit.at — Gurtis, Vorarlberg, Österreich.
Kontakt: berglog@xiit.at

2. Welche Daten wir verarbeiten

2.1 Server-seitig (Gipfelbuch — synchronisiert nach Vorarlberg)

• Geräte-ID-Hash (SHA-256 einer in der iOS-Keychain gehaltenen UUID). Pseudonymes Identifizierungsmerkmal — kein Personenbezug ohne Verknüpfung mit weiteren Daten.
• Profilangaben: Vorname und Nachname werden freiwillig angegeben und nur abgekürzt öffentlich angezeigt (z.B. „Mathias J.").
• Profilbild (optional): wenn du eines hochlädst, wird die Bilddatei an unseren Server in Vorarlberg übertragen, dort EXIF-bereinigt, auf 256×256 zentriert-zugeschnitten und in einem öffentlich lesbaren Speicher (MinIO-Bucket) abgelegt. Es wird öffentlich sichtbar neben jedem deiner Gipfelbuch-Einträge und auf deiner Profil-Seite (/u/<username>) angezeigt — wie ein Avatar in einem Forum. Keine Pflicht; ohne Bild zeigen wir nur deine Initialen. Du kannst es jederzeit in den App-Einstellungen ersetzen oder im Rahmen der Account-Löschung entfernen lassen.
• Apple-Sign-in-Identifier (sub-Claim) sobald aktiviert. E-Mail nur, wenn Apple sie freigibt — andernfalls Apple-Relay-Adresse.
• Gipfeleinträge (öffentlich): Peak-Referenz, Datum/Uhrzeit, GPS-Koordinaten zum Zeitpunkt der Erstellung (nicht im Public-Feed sichtbar — siehe 3), optionaler Spruch (max. 500 Zeichen), Aktivität, Mood, Verifikationsstufe (Gold/Silber/Bronze), Wetter-Snapshot zum Zeitpunkt der Tour, Verhältnis-Tags (z.B. Schnee, Eis), bis zu 2 Foto-Referenzen, optional Begleiter (siehe 2.3).
• Verschlüsselung at-rest: Spruch-Texte privater Einträge werden serverseitig mit AES-256-GCM verschlüsselt. Foto-Storage (MinIO) ist mit Server-Side-Encryption (SSE-S3) verschlüsselt.
• Fotos: vor dem Upload werden EXIF-Metadaten (insbesondere GPS und Geräte-ID) clientseitig entfernt und das Bild auf max. 1920px herunterskaliert.
• Reaktionen: „Likes" auf Hero-Foto-Vorschläge und „Winken" auf Discovery-Feed-Einträge — pseudonyme Verknüpfung User ↔ Eintrag.
• App-Einstellungen: deine Schalter „Private Fotos im Account sichern" und „Tourenbuch in iCloud sichern" sowie deine Ruhezeiten für Mitteilungen werden serverseitig zu deinem Account gespeichert. So findest du nach App-Reinstall oder Geräte-Wechsel deine Einstellungen plus dein Profilbild automatisch wieder vor — ohne neu setzen zu müssen.

2.2 Lokal-only (Tourenbuch — verlässt unseren Server nie)

• Persönliche Bewertung (1-5 Sterne) — privat.
• Höhenmeter — privat (auch wenn der Eintrag öffentlich ist).
• Aufstiegs-/Abstiegszeit (Stunden:Minuten) — privat.
• Tour-Notizen (langer Freitext für Schlüsselstellen, Material, Verpflegung) — privat.
• Manuelle Wetter-Korrekturen — wenn die BrightSky-API einen falschen Snapshot lieferte und Sie ihn anpassen, bleibt die Korrektur privat.
• Foto-Slots 3-6 — Server-Storage ist auf 2 Slots gekappt; weitere Fotos bleiben rein lokal in Ihrer App-Sandbox.
• Manuelle Nachträge (Verifikationsstufe „Nachtrag") — komplette Einträge die Sie zuhause manuell ergänzt haben, nicht vom Live-GPS-Pfad. Diese landen niemals im öffentlichen Gipfelbuch.
• Privatsphäre-Zonen (Heimadresse, Arbeitsplatz) — werden nur lokal verwaltet, der Server sieht sie nie.

Dateien im App-Sandbox-Documents-Verzeichnis sind mit iOS Data-Protection (CompleteFileProtectionUnlessOpen) verschlüsselt — bei gesperrtem Gerät ohne Passcode unzugänglich.

2.3 Begleiter-Tagging (Hash)

Wenn Sie Begleiter zu einer Tour markieren, wird auf Ihrem Gerät ein SHA-256-Hash aus Telefonnummer und/oder E-Mail gebildet und an den Server übermittelt. Der Server speichert nur den Hash, nie die Klartext-Adresse. Damit wird ausschließlich Match-Erkennung gegen andere BergLog-Nutzer ermöglicht (Server-Side-Set-Lookup).

2.5 Apple HealthKit (lokal-only)

Wenn Sie die App-Funktion „Aus Apple Health vorschlagen" nutzen, fragt iOS Sie um Erlaubnis, dass BergLog folgende Daten aus Apple Health lesen darf: Workout-Typ, Distanz, aktive Kalorien, Herzfrequenz (Durchschnitt + Maximum), Höhenmeter sowie die Workout-Route (GPS-Koordinaten). Apple Health bündelt Daten von Apple Watch, Garmin, Suunto, Polar und anderen Quellen.

Wichtig: diese Gesundheitsdaten (Art. 9 DSGVO) werden ausschließlich lokal auf Ihrem Gerät verwendet (Auto-Fill in Ihre Gipfeleinträge). Sie werden niemals an unseren Server übertragen. Wenn Sie iCloud-Drive-Backup aktiviert haben, landen sie in Ihrem persönlichen iCloud-Container (Apple als Auftragsverarbeiter Ihrer eigenen Sicherung). Sie können die Berechtigung jederzeit in Apple Health → Datenzugriff & Geräte → BergLog widerrufen.

Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung durch Aktivieren des HealthKit-Zugriffs).

2.4 Beim Aufruf der Webseite

• Server-Logs: IP-Adresse, User-Agent, Zeitstempel, Pfad, Status-Code. Speicherdauer maximal 14 Tage. Zweck: Betrieb, Missbrauchsabwehr (Rate-Limiting). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb).
• Keine Cookies, keine Tracking-Pixel, keine Werbe-IDs, keine Drittanbieter-Analytics.

3. Standardmäßig öffentlich (nur Gipfelbuch)

Gipfeleinträge sind — wie ein analoges Gipfelbuch — standardmäßig öffentlich sichtbar. Beim ersten App-Start fragen wir Ihre aktive Einwilligung ab (DSGVO Art. 7) und protokollieren Datum und Version der Einwilligung lokal. Sie können pro Eintrag oder global auf privat umschalten. Manuelle Nachträge sind immer rein im persönlichen Tourenbuch und verlassen das Gerät nicht.

GPS-Koordinaten werden im öffentlichen Feed nicht mit übertragen — angezeigt wird lediglich die statische Position des Berges. Privatsphäre-Zonen (Heimadresse, Arbeitsplatz) können in der App definiert werden; Track-Punkte innerhalb dieser Zonen werden vor dem Sync entfernt.

4. Rechtsgrundlagen

• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) für die Bereitstellung der App-Funktionen.
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) für Server-Logs und Missbrauchsabwehr.
• Einwilligung (Art. 6 Abs. 1 lit. a) für die Veröffentlichung von Gipfeleinträgen im öffentlichen Gipfelbuch.

5. Speicherort + Auftragsverarbeitung

Alle server-seitigen Daten werden auf eigenem Server-Stack in Vorarlberg, Österreich gespeichert. Es findet keine Übermittlung in Drittländer statt. Wir setzen keine Auftragsverarbeiter ein, mit folgenden Ausnahmen:

• Apple Inc. für „Sign in with Apple" und Push-Notifications. Apple ist DSGVO-konform und nach EU-Standardvertragsklauseln zertifiziert.
• BrightSky / DWD (Deutscher Wetterdienst) für Wetter-Snapshots zum Zeitpunkt der Tour. Anfragen erfolgen mit GPS-Koordinaten + Datum, ohne User-Identifikation.

5b. iCloud-Drive-Backup für privates Tourenbuch (Pro-Feature)

Wenn Sie das Pro-Feature „Tourenbuch in iCloud sichern" in der iOS-App aktivieren, schreibt die App periodisch Snapshots Ihres privaten Tourenbuchs in Ihren persönlichen iCloud-Drive-Container iCloud.at.xiit.berglog.

• Auftragsverarbeiter: Apple Inc. — siehe Apple Datenschutzerklärung. Apple ist nach EU-Standardvertragsklauseln zertifiziert.
• Verarbeitete Daten: Ihre Tourenbuch-Einträge (Spruch, Datum, Aktivität, Begleiter, Notizen, Stimmung, Höhenmeter) sowie komprimierte Kopien Ihrer privaten Foto-Slots — also alles was Sie selbst in der App eingegeben oder hochgeladen haben.
• Server-Beteiligung BergLog: keine. Daten fließen direkt von Ihrem Gerät zu Ihrem persönlichen iCloud-Container. Der BergLog-Server in Vorarlberg erhält oder verarbeitet diese Daten nicht.
• Rechtsgrundlage: Ihre ausdrückliche Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO durch Aktivieren des Toggles. Standard: deaktiviert.
• Widerruf: Toggle deaktivieren → der iCloud-Snapshot wird sofort aus Ihrem Container gelöscht.
• Löschung: Bei Account-Löschung in BergLog wird der iCloud-Snapshot mit entfernt. Bei Apple-ID-Löschung übernimmt Apple gemäß Apples eigener Privacy-Policy.
• Verschlüsselung: iCloud-Drive ist at-rest und in-transit verschlüsselt. Mit aktivierter Apple Advanced Data Protection (Einstellungen → Apple-ID → iCloud → Erweiterter Datenschutz) ist die Verschlüsselung Ende-zu-Ende und nicht einmal Apple kann auf Ihre Daten zugreifen.

Free-User behalten alternativ die manuelle Backup-Export-Funktion (passwortgeschütztes ZIP-Archiv im Profil-Tab) — Datenportabilität gemäß Art. 20 DSGVO bleibt für alle erfüllt.

6. Speicherdauer

• Profilangaben + Einträge: bis zur Account-Löschung durch Sie.
• Tourenbuch-Daten (lokal): bis Sie die App löschen oder einzelne Einträge entfernen.
• Server-Logs: maximal 14 Tage.
• Tägliche Backups: maximal 30 Tage rollierend; danach wöchentliche Backups bis 12 Monate.
• Anti-Spam-Hash bei Account-Löschung (SHA-256 vom Apple-sub, irreversibel): 12 Monate, dann gelöscht.

6b. Anonymisierung statt Löschung von Gipfelbuch-Einträgen

BergLog basiert auf der Idee eines echten Gipfelbuchs — wie ein hölzernes Buch in einer Berghütte, in dem Einträge nicht heimlich entfernt werden können. Konkret bedeutet das:

• Tourenbuch-Eintrag (lokal-only): kannst du jederzeit ganz aus deinem Gerät löschen. Es war nie auf unserem Server, also gibt es nichts mehr.
• Gipfelbuch-Eintrag (öffentlich): wir bieten dir die Funktion „Mein Name entfernen". Dabei werden — sofort und automatisch — entfernt: dein Name, dein Profilbild-Bezug, dein Apple-Sub, deine genauen GPS-Koordinaten (auf das Peak-Zentrum gerundet) und alle Begleiter-Hashes. Optional auch dein Spruch-Text und/oder deine Fotos. Was übrig bleibt: ein Eintrag „Anonymer Bergsteiger" mit Datum, Aktivität und Verifizierungsstufe — vergleichbar mit einer unleserlichen Unterschrift im hölzernen Gipfelbuch.
• Vollständige Löschung: wenn du deinen ganzen Account löschst (siehe Punkt 7), werden auch alle deine Gipfelbuch-Einträge anonymisiert. Auf Nachfrage und im DSGVO-Rahmen können wir vollständig löschen, wenn du es ausdrücklich verlangst (Mail an berglog@xiit.at).

Diese Vorgehensweise ist nach Art. 17 DSGVO und der EuGH-Rechtsprechung zur Anonymisierung als Form der Löschung anerkannt — der Eintrag ist nach der Anonymisierung nicht mehr personenbeziehbar.

6c. Service-Wartung + Sicherheits-Monitoring (Admin-Stats)

Zur Wartung und Sicherheits-Überwachung des Dienstes hat der Betreiber Zugriff auf:

• Aggregierte Statistiken: Anzahl der angemeldeten User, Anzahl Einträge in den letzten 24 h / 7 d, Anzahl aktiver Sessions, Top-besuchte Peaks. Keine personenbezogenen Daten enthalten.
• Audit-Log: Login-Zeitpunkte, IP-Adressen, User-Agent, Admin-Aktionen. Wird zur Erkennung und Aufklärung von Missbrauchs-Verdachtsfällen genutzt und nach 90 Tagen automatisch gelöscht.
• Active-Sessions-Liste: Wann hat sich welcher User von welchem Gerät zuletzt verbunden. Dient der Erkennung verdächtiger Login-Muster.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Service-Betrieb, Sicherheits-Monitoring). Diese Daten werden ausschließlich vom Betreiber selbst eingesehen, niemals an Dritte weitergegeben und nicht zu Werbe- oder Profilbildungszwecken verarbeitet. Sie haben das Recht, Ihrer Verarbeitung zu widersprechen (Art. 21 DSGVO) — in diesem Fall können wir Ihren Account aus DSGVO-Compliance-Gründen leider nicht weiter betreiben.

7. Ihre Rechte (DSGVO Art. 15–21)

• Auskunft (Art. 15) und Datenübertragbarkeit (Art. 20): In der App unter Profil → Daten exportieren erhalten Sie eine vollständige JSON-Datei mit allen über Sie server-seitig gespeicherten Daten. Lokale Tourenbuch-Daten sind ohnehin nur auf Ihrem Gerät und können dort eingesehen werden.
• Berichtigung (Art. 16): direkt im Profil bzw. im Eintrag bearbeitbar.
• Löschung (Art. 17, „Recht auf Vergessenwerden"): in der App unter Profil → Account löschen. Zwei Optionen:
  • Komplett löschen: Profil, alle Server-Einträge, Fotos und dazugehörigen Daten werden serverseitig hard-deleted (inkl. MinIO-Foto-Objekte). Lokale Tourenbuch-Daten werden ebenfalls beim selben Vorgang vom Gerät entfernt.
  • Anonym ans Gipfelbuch spenden: Profil, alle Fotos, exakte GPS-Daten, Begleiter, Likes und Wave-Reaktionen werden gelöscht. Nur die nackten Tatsachen „jemand war an Tag X auf Berg Y" bleiben unter „Anonymer Bergsteiger" im öffentlichen Gipfelbuch — vollständig anonymisiert ohne Re-Identifikationsmöglichkeit.
• Einschränkung (Art. 18) und Widerspruch (Art. 21): per E-Mail an berglog@xiit.at.
• Beschwerderecht (Art. 77): bei der österreichischen Datenschutzbehörde (www.dsb.gv.at).

8. Sicherheit

• Transport: TLS 1.2/1.3 für sämtliche Verbindungen (HSTS preloaded, Let's-Encrypt-Zertifikate). SPKI-Zertifikatspinning in der iOS-App gegen MitM-Angriffe.
• At-Rest serverseitig: AES-256-GCM-Feldverschlüsselung für Texte privater Einträge. MinIO Server-Side-Encryption (SSE-S3) für alle Foto-Objekte. Master-Schlüssel auf Hardware-File-Permissions geschützt (mode 400, owner-only).
• At-Rest auf iOS: alle App-Sandbox-Files mit iOS Data-Protection (CompleteFileProtectionUnlessOpen) — bei gesperrtem Gerät ohne Passcode unzugänglich.
• Auth: JWT mit RS256-Signatur. Asymmetrische Schlüssel werden ausschließlich auf dem Server gehalten. Anti-Spam-Cooldown bei wiederholter Account-Löschung (irreversibler Hash).
• Foto-Pipeline: clientseitiges EXIF-Stripping, on-device NSFW-Filter (Apple Vision), Server-Hash-Blocklist gegen bekannte Missbrauchs-Bilder.
• Echtheits-Prüfung über dein iPhone: BergLog nutzt eine Apple-Funktion namens „App Attest". Dein iPhone bestätigt unserem Server bei jedem Eintrag, dass die Anfrage wirklich aus der echten BergLog-App auf einem echten iPhone kommt — nicht von einem Bot oder Skript. Schlägt diese Prüfung fehl, bleibt dein Eintrag privat und erscheint nicht auf der Webseite.
• Sicherheits-Protokoll: wenn du etwas eingibst oder änderst, wird im Hintergrund festgehalten wann und von welcher IP-Adresse die Anfrage kam. Der Inhalt selbst (also dein Text, dein Foto) wird in diesem Protokoll nicht gespeichert — nur ein nicht-rückrechenbarer Fingerabdruck davon. Wir nutzen das ausschließlich, um bei Sicherheitsvorfällen oder Bot-Angriffen nachvollziehen zu können was passiert ist. Nach 90 Tagen wird das Protokoll automatisch gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren App).
• Bot-Wächter: einmal pro Stunde schaut ein Programm automatisch nach, ob ungewöhnliche Muster auftreten — etwa zehn Beiträge in einer Minute oder identischer Text mehrfach. Findet er etwas Verdächtiges, geht das als Hinweis an Mathias zur Sichtprüfung. Es wird nichts automatisch gesperrt oder gelöscht.
• Vertrauens-Stufe für neue Accounts: in den ersten 30 Tagen oder solange du noch keine bestätigten Touren hast, schaut sich Mathias deinen ersten öffentlichen Beitrag persönlich an, bevor er auf der Webseite erscheint. Sobald dein Account etabliert ist, werden deine Einträge sofort veröffentlicht. Das schützt das Gipfelbuch vor Werbe-Spam.

8b. Mitteilungen aufs Handy (Push-Benachrichtigungen)

Wenn du beim ersten App-Start „Mitteilungen erlauben" getippt hast, schicken wir dir kurze Hinweise aufs iPhone — etwa wenn dein Beitrag freigegeben wurde oder dir jemand zugewunken hat.

• Wer ist beteiligt: Apple übernimmt die Zustellung über seinen offiziellen Push-Dienst. Das ist derselbe Dienst, den jede iPhone-App nutzt. Apple agiert als Auftragsverarbeiter; ein Vertrag dazu ist Bestandteil der Apple-Developer-Vereinbarung.
• Was steht in einer Mitteilung: nur ein kurzer Titel, ein Hinweistext und eine Beitrags-Kennung. Dein Name, deine private Tourenbuch-Texte oder Fotos werden niemals mitgeschickt.
• Was wir speichern: deine Geräte-Kennung (von Apple zugeteilt) und ob du in der Test- oder Veröffentlichungs-Version der App bist. Mehr nicht.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO — deine Einwilligung durch Tippen auf „Erlauben".
• Wie du sie ausschaltest: iPhone-Einstellungen → Mitteilungen → BergLog → ausschalten. Wir merken das automatisch und löschen die Geräte-Kennung bei der nächsten Gelegenheit.
• Ruhezeiten: in der App kannst du „Nicht stören 22–7 Uhr" einschalten. Dann kommen nicht-dringende Hinweise nur leise im Mitteilungszentrum an.

9. Änderungen

Bei Änderungen am Datenschutzmodell wird die Einwilligungsversion erhöht und die Einwilligung erneut angefragt. Sie werden über In-App-Hinweis auf Änderungen aufmerksam gemacht.