Datenschutzerklärung
Stand: Juli 2026
Verantwortlicher
Alexander Hinze
Ludwigshöheweg 34, 12559 Berlin, Deutschland
E-Mail: info@kalibo.app
Zero-Knowledge: Ende-zu-Ende-Verschlüsselung
Der wichtigste Datenschutz-Mechanismus von Kalibo ist technischer Natur: Alle sensiblen Inhalte – Waffen, Waffenbesitzkarten, Munition, Nachweise und hochgeladene Dokumente – werden bereits auf deinem Gerät verschlüsselt, bevor sie uns erreichen.
Aus deinem Passwort leitet dein Browser per Argon2id einen Schlüssel ab und verschlüsselt deine Daten mit AES-GCM-256. Der Schlüssel verlässt dein Gerät nie. Auf unseren Servern liegt ausschließlich unlesbarer Chiffretext – kein Modell, kein Kaliber, keine Seriennummer im Klartext. Auch wir als Betreiber können deine Waffendaten technisch nicht lesen.
Ein beim Onboarding erzeugter Recovery-Key ist der einzige Wiederherstellungsweg bei vergessenem Passwort. Auch diesen können wir nicht einsehen; geht er zusammen mit dem Passwort verloren, sind die verschlüsselten Daten unwiederbringlich.
Hosting (Cloudflare)
Die Anwendung läuft auf der global verteilten Edge-Infrastruktur von Cloudflare (Workers, D1, KV, R2). Die Datenbank (Cloudflare D1) ist in der EU (Region Westeuropa) angesiedelt; die Auslieferung der Anwendung erfolgt über das weltweite Cloudflare-Netz. Cloudflare ist ein US-Anbieter; mit Cloudflare besteht ein Vertrag zur Auftragsverarbeitung, und Drittlandübermittlungen sind durch EU-Standardvertragsklauseln abgesichert. Da alle sensiblen Inhalte Ende-zu-Ende verschlüsselt sind, liegt bei einer etwaigen Übermittlung ohnehin nur unlesbarer Chiffretext vor. Rechtsgrundlage: berechtigtes Interesse am sicheren, effizienten Betrieb (Art. 6 Abs. 1 lit. f DSGVO).
Welche Daten wir verarbeiten
Konto: E-Mail-Adresse, ein aus deinem Passwort abgeleiteter Authentifizierungs-Hash (HMAC – nicht das Passwort selbst), Salt und KDF-Parameter sowie die verschlüsselt „umhüllten" Schlüssel und dein Plan-/Teststatus. Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
Verschlüsselte Inhalte: deine Fachdaten und Dokumente liegen ausschließlich als Chiffretext (D1 bzw. R2) und sind für uns nicht lesbar.
Server-Logs: beim Zugriff fallen technische Daten (u. a. IP-Adresse, Zeitpunkt) an, die der Sicherheit und Missbrauchsabwehr dienen und niemals Klartext-Waffendaten enthalten. Rechtsgrundlage: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).
Cookies
Wir setzen ausschließlich einen technisch notwendigen Session-Cookie (HttpOnly, Secure, SameSite=Lax), der deine Anmeldung aufrechterhält. Es gibt keine Tracking- oder Marketing-Cookies und keine Analyse durch Dritte.
Zahlungsabwicklung (Stripe)
Für kostenpflichtige Abos nutzen wir Stripe (Stripe Payments Europe, Ltd.). Zahlungsdaten (z. B. Kartendaten) gibst du direkt bei Stripe ein; wir speichern lediglich eine Kundenreferenz und den Abo-Status. Übermittlungen in Drittländer sind durch Standardvertragsklauseln abgesichert. Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
E-Mail-Versand (Resend)
System- und Erinnerungs-E-Mails versenden wir über den Dienstleister Resend (Resend, Inc.). Dabei werden deine E-Mail-Adresse und der Nachrichteninhalt übermittelt. Erinnerungs-E-Mails enthalten bewusst nur einen Frist-Typ und ein Fälligkeitsdatum – niemals Waffenmodell, Kaliber oder Seriennummer. Es besteht ein Vertrag zur Auftragsverarbeitung; Drittlandübermittlungen sind durch Standardvertragsklauseln abgesichert. Rechtsgrundlagen: Vertragserfüllung (Art. 6 Abs. 1 lit. b) bzw. deine Einwilligung bei Opt-in-Erinnerungen (Art. 6 Abs. 1 lit. a DSGVO).
Erinnerungen ohne Datenleck
Server-Erinnerungen sind optional (Opt-in). Gespeichert werden dafür ausschließlich ein Fälligkeitsdatum, ein Typ-Code (z. B. „Voreintrag läuft ab") und eine opake Referenz – niemals identifizierende Waffendetails. Standardmäßig erfolgen Erinnerungen rein geräteseitig im Dashboard.
Speicherdauer und Löschung
Wir speichern deine Daten für die Dauer der Kontonutzung. Löschst du dein Konto (in der App unter „Mehr → Konto löschen"), werden alle zugehörigen verschlüsselten Blobs, R2-Objekte, Erinnerungs-Tokens und deine Nutzerzeile entfernt. Gesetzliche Aufbewahrungspflichten (etwa für Rechnungsdaten aus dem Abo) bleiben unberührt.
Deine Rechte
Dir stehen nach der DSGVO die Rechte auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21) zu. Erteilte Einwilligungen kannst du jederzeit mit Wirkung für die Zukunft widerrufen. Zudem hast du ein Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO).
Kontakt in Datenschutzfragen
Für Anliegen zum Datenschutz erreichst du uns unter info@kalibo.app.