DATENSCHUTZ-
ERKLÄRUNG.

Letzte Aktualisierung: März 2026

1. Verantwortlicher für die Datenverarbeitung

Die Anwendung Hashe wird herausgegeben von:

• DEVOLIM
• SIREN: 948 000 757
• Kontakt: [email protected]

DEVOLIM handelt als Verantwortlicher für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO).

2. Erhobene Daten

2.1 Was wir erheben

Hashe erhebt das absolute Minimum, das für den Betrieb des Dienstes erforderlich ist:

• Hashe ID - zufällig generierter anonymer Bezeichner, nicht mit Ihrer Identität verknüpft
• Gerätekennung (Device ID) - zur Authentifizierung verwendet
• Plattform - iOS oder Android, erforderlich für Push-Benachrichtigungen
• Öffentliche Schlüssel - Verschlüsselungsschlüssel des Signal-Protokolls (Identity Key, Signed PreKey, PreKeys)
• Postfach-Token (Mailbox Token) - für den Empfang von Push-Benachrichtigungen

2.2 Was wir NICHT erheben

Hashe erhebt, speichert und verarbeitet keine der folgenden Daten:

• Nachrichteninhalte (Ende-zu-Ende-verschlüsselt, für unsere Server nicht lesbar)
• Kontaktliste
• Standortdaten
• E-Mail-Adresse
• Telefonnummer
• IP-Adresse (wird nicht gespeichert, nicht protokolliert)
• Kommunikationsmetadaten (wer mit wem spricht, wann, wie lange)
• Fotos, Dateien oder Medien im Klartext

3. Verschlüsselung und Sicherheit

Alle Kommunikationen werden durch das Signal-Protokoll geschützt, den Referenzstandard für Ende-zu-Ende-Verschlüsselung:

• AES-256-GCM - symmetrische Verschlüsselung von Nachrichten und Dateien
• Curve25519 - Diffie-Hellman-Schlüsselaustausch auf elliptischen Kurven
• Double Ratchet - automatische Schlüsselerneuerung bei jeder Nachricht (Perfect Forward Secrecy)
• Sealed Sender - die Identität des Absenders ist verschlüsselt, selbst für den Server nicht sichtbar

Der Server kann Nachrichten weder lesen noch entschlüsseln noch einem Absender zuordnen. Nur der Empfänger kann mit seinem privaten Schlüssel, der ausschließlich auf seinem Gerät gespeichert ist, die Nachrichten entschlüsseln.

4. Aufbewahrungsdauer

• Verschlüsselte Nachrichten im Transit - werden nach Empfang durch den Empfänger gelöscht oder automatisch nach maximal 24 Stunden, wenn nicht abgerufen
• Kontodaten - werden gespeichert, solange das Konto aktiv ist. Vollständig gelöscht bei Kontolöschung
• Verschlüsselte Dateien und Medien - gleiche Dauer wie Nachrichten: gelöscht nach Empfang oder nach maximal 24 Stunden

5. Lokale Speicherung

Ihre Daten (Nachrichten, Kontakte, Notizen, private Schlüssel) werden lokal auf Ihrem Gerät in einer mit AES-256-GCM verschlüsselten Hive-Datenbank gespeichert.

• Die lokalen Daten werden niemals in eine Cloud synchronisiert
• Ein Gerät = ein Konto - keine automatische Wiederherstellung, keine serverseitige Sicherung
• Der Verschlüsselungsschlüssel wird über Argon2id aus Ihrer PIN abgeleitet und im iOS Keychain / Android Keystore gespeichert

6. Rechtsgrundlagen der Verarbeitung

Gemäß Artikel 6 der DSGVO stützt sich die Datenverarbeitung durch Hashe auf:

• Vertragserfüllung (Art. 6 Abs. 1 lit. b) - zur Bereitstellung des Nachrichtendienstes
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) - zur Gewährleistung der Sicherheit und Zuverlässigkeit des Dienstes
• Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c) - zur Erfüllung der LCEN-Pflichten

7. Auftragsverarbeiter

Hashe setzt die folgenden Auftragsverarbeiter für den Betrieb des Dienstes ein:

Auftragsverarbeiter	Standort	Zweck
OVH	Frankreich	Infrastruktur-Hosting
LWS	Frankreich	Ergänzendes Hosting
Cloudflare	USA	DDoS-Schutz, CDN, verschlüsselter Medienspeicher (R2)
Google FCM	USA	Push-Benachrichtigungen (Android) - kein Inhalt übermittelt
Apple APNs	USA	Push-Benachrichtigungen (iOS) - kein Inhalt übermittelt

Kein Auftragsverarbeiter hat Zugang zum Inhalt Ihrer Nachrichten oder zu Ihren personenbezogenen Daten. Push-Benachrichtigungen enthalten weder Namen noch Nachrichteninhalte.

8. Ihre Rechte (DSGVO)

Gemäß der Datenschutz-Grundverordnung stehen Ihnen folgende Rechte zu:

• Auskunftsrecht - Kenntnis der über Sie gespeicherten Daten
• Recht auf Berichtigung - Korrektur unrichtiger Daten
• Recht auf Löschung - Löschung Ihres Kontos und aller damit verbundenen Daten (direkt in der App verfügbar)
• Recht auf Einschränkung - Einschränkung der Verarbeitung Ihrer Daten
• Recht auf Datenübertragbarkeit - Erhalt Ihrer Daten in einem strukturierten Format
• Widerspruchsrecht - Widerspruch gegen die Verarbeitung Ihrer Daten
• Beschwerderecht - Einreichung einer Beschwerde bei einer Aufsichtsbehörde (in Frankreich: CNIL, in Deutschland: zuständige Landesdatenschutzbehörde)

Um Ihre Rechte auszuüben, kontaktieren Sie uns unter [email protected].

Hinweis: Da Hashe sehr wenige Daten erhebt und keine Informationen mit Ihrer Identität verknüpft, können bestimmte Rechte technisch nicht ausübbar sein (z. B. können wir Ihnen keine Nachrichteninhalte bereitstellen, die wir nicht lesen können).

9. Rechte nach Ihrem Land

Neben der DSGVO respektiert Hashe die jeweils geltenden lokalen Gesetze:

• CCPA (California Consumer Privacy Act) - USA: Recht auf Auskunft, Löschung und Ablehnung des Verkaufs personenbezogener Daten. Hashe verkauft keine Daten.
• LGPD (Lei Geral de Proteção de Dados) - Brasilien: ähnliche Rechte wie die DSGVO, einschließlich des Rechts auf Anonymisierung und Sperrung überflüssiger Daten.
• PDPA (Personal Data Protection Act) - Singapur / Thailand: Einwilligung, Zugang und Berichtigung personenbezogener Daten.
• POPIA (Protection of Personal Information Act) - Südafrika: rechtmäßige Verarbeitung, Datenminimierung und Zugriffsrechte.
• PIPEDA (Personal Information Protection and Electronic Documents Act) - Kanada: Recht auf Zugang, Berichtigung und Beschwerde beim Office of the Privacy Commissioner of Canada (OPC). Hashe erhebt nur die minimal erforderlichen Daten.
• PIPA (Personal Information Protection Act) - Südkorea: Recht auf Zugang, Berichtigung, Löschung und Aussetzung der Verarbeitung personenbezogener Daten. Beschwerden können bei der Personal Information Protection Commission (PIPC) eingereicht werden.
• APPI (Act on the Protection of Personal Information) - Japan: Recht auf Offenlegung, Berichtigung, Aussetzung der Nutzung und Beschwerde bei der Personal Information Protection Commission (PPC).
• Privacy Act 1988 - Australien: Australian Privacy Principles (APPs), Recht auf Zugang und Berichtigung. Beschwerden können beim Office of the Australian Information Commissioner (OAIC) eingereicht werden.

10. Mindestalter

Hashe richtet sich an Nutzer ab einem Mindestalter von 13 Jahren.

In bestimmten Ländern der Europäischen Union kann das Mindestalter gemäß nationaler Gesetzgebung auf 16 Jahre angehoben werden.

Hashe erhebt wissentlich keine Daten von Kindern unterhalb des geltenden Mindestalters. Wenn Sie Kenntnis davon haben, dass ein Minderjähriger Hashe ohne Genehmigung nutzt, kontaktieren Sie uns bitte unter [email protected].

11. Cookies

Hashe verwendet keinerlei Cookies, weder in der Anwendung noch auf der Website.

Die Website verwendet Umami, ein selbst gehostetes Analysetool auf unserer eigenen Infrastruktur, ohne Cookies, ohne seitenübergreifendes Tracking und ohne Erhebung personenbezogener Daten. Es werden keine Informationen gespeichert, die Sie identifizieren könnten. Die Daten verbleiben ausschließlich auf unseren Servern und werden niemals an Dritte weitergegeben.

12. Internationale Datenübermittlung

Die von Hashe minimal verarbeiteten Daten können über Auftragsverarbeiter außerhalb der Europäischen Union übermittelt werden (siehe Abschnitt 7). Diese Übermittlungen werden abgesichert durch:

• Die Standardvertragsklauseln (SVK) der Europäischen Kommission
• Das Data Privacy Framework (DPF) für Übermittlungen in die USA

Sämtliche sensiblen Daten (Nachrichten, Dateien) werden vor jeder Übermittlung Ende-zu-Ende-verschlüsselt, wodurch ihr Inhalt für jeden Vermittler unzugänglich wird.

13. LCEN-Pflicht

Gemäß dem französischen Gesetz über das Vertrauen in die digitale Wirtschaft (LCEN) ist Hashe verpflichtet, Verbindungsdaten für eine Dauer von 1 Jahr aufzubewahren.

Diese Daten sind strikt auf die gesetzlichen Pflichten beschränkt und enthalten keinerlei Kommunikationsinhalte. Sie können ausschließlich auf richterliche Anordnung übermittelt werden.

14. Meldung bei Datenschutzverletzungen

Im Falle einer Verletzung des Schutzes personenbezogener Daten verpflichtet sich Hashe:

• Die CNIL innerhalb von 72 Stunden nach Kenntnisnahme zu benachrichtigen
• Betroffene Nutzer zu informieren, wenn die Verletzung voraussichtlich ein hohes Risiko für deren Rechte und Freiheiten darstellt

Hinweis: Da Hashe keine identifizierbaren personenbezogenen Daten speichert und alle Inhalte Ende-zu-Ende-verschlüsselt sind, wäre die Auswirkung einer etwaigen Verletzung äußerst begrenzt.

15. Datensicherheit

Hashe setzt die folgenden technischen und organisatorischen Maßnahmen zum Schutz Ihrer Daten um:

• Ende-zu-Ende-Verschlüsselung (Signal-Protokoll) für alle Kommunikationen
• AES-256-GCM-Verschlüsselung der lokalen Datenbank
• Speicherung der Schlüssel im Secure Enclave (iOS Keychain / Android Keystore)
• Keine Klartextdaten auf den Servern gespeichert
• Automatische Löschung von Nachrichten im Transit nach Empfang oder Ablauf
• Offener Quellcode, von jedem überprüfbar
• Infrastruktur in Frankreich gehostet (OVH, LWS)

16. Änderungen dieser Datenschutzerklärung

Hashe behält sich das Recht vor, diese Datenschutzerklärung zu ändern. Bei wesentlichen Änderungen:

• Werden die Nutzer 30 Tage vor Inkrafttreten der Änderungen informiert
• Erfolgt die Benachrichtigung über die App und/oder die Website
• Wird das Datum der letzten Aktualisierung oben auf dieser Seite aktualisiert

17. Kontakt

Bei Fragen zu dieser Datenschutzerklärung oder zum Schutz Ihrer Daten:

• E-Mail: [email protected]
• Herausgeber: DEVOLIM
• SIREN: 948 000 757