Datenschutzerklärung

Diese App wird als persönliches, nicht-kommerzielles Open-Source-Projekt betrieben. Verantwortliche Person im Sinne der DSGVO:

Defuse speichert alle App-Daten ausschließlich lokal im Browser (via localStorage). Es werden standardmäßig keine personenbezogenen Daten an externe Server übertragen. Die App funktioniert vollständig offline.

Zu den lokal gespeicherten Daten gehören:

• Exposition (KVT): Trigger-Texte, Angst-Bewertungen (0–10), Situationsbeschreibungen, Zeitstempel, Verlaufsnotizen
• Habit-Tracker: Gewohnheitsnamen,-beschreibungen, Häufigkeits-Ziele, tägliche Abschluss-Status, Streak-Zähler, Freeze-Token-Nutzung
• Kalender: Ereignistitel, Datum/Uhrzeit, Ort, Beschreibung, Kategorie, Priorität, Pufferzeit, Wiederholungsregeln, Erinnerungskonfigurationen
• Präparate-Tagebuch: Präparatenamen, Dosierungen, Einnahme-Zeitpunkte, Wirkungs-/ Nebenwirkungs-Notizen
• ADHS-Journal: Tageseinträge, Energielevel, Stimmungsbewertungen, Symptom-Reflexionen
• App-Einstellungen: Theme (Hell/Dunkel), Backup-Konfiguration (verschlüsselt)

Diese Daten verlassen Ihr Gerät nicht, sofern Sie keine der optionalen Funktionen (KI-Analyse, Cloud-Backup) aktiv nutzen.

Wenn Sie die KI-gestützte Analyse nutzen, werden Teile Ihrer eingegebenen Daten (z. B. Trigger-Texte, Habit-Beschreibungen) an externe KI-Dienste übermittelt. Diese Funktion ist vollständig optional und wird nur auf explizite Anforderung Ihrerseits ausgeführt.

Eingesetzte Drittanbieter

Cloudflare AI Gateway

Zwischengeschaltetes Gateway für KI-Anfragen. Anfragen werden anonymisiert weitergeleitet. Datenschutzrichtlinie: cloudflare.com/privacypolicy

Google Gemini (Google LLC)

KI-Sprachmodell zur Analyse von Expositions- und Habit-Daten. Sitz: Mountain View, CA, USA. Datenschutz: policies.google.com/privacy

Groq Inc.

Alternativer KI-Anbieter (Fallback). Sitz: San Jose, CA, USA. Datenschutz: groq.com/privacy-policy

Bei Übermittlung in die USA gilt Art. 46 DSGVO (Standardvertragsklauseln der jeweiligen Anbieter). Es werden keine Daten gespeichert, die eine direkte Identifikation erlauben. Geben Sie keine sensiblen personenbezogenen Daten (z. B. Klarnamen, Adressen) in Freitextfelder ein.

Der Kalender bietet eine optionale URL-basierte Einladungsfunktion. Dabei werden Ereignisdaten (Titel, Datum, Uhrzeit, Ort, Beschreibung) in einem kompakten Format in eine URL kodiert. Diese URL können Sie manuell teilen.

Wichtig: Die geteilte URL enthält die kodierten Ereignisdaten selbst — es gibt keinen zentralen Server, der Einladungen speichert. Wenn Sie eine URL teilen, geben Sie alle darin enthaltenen Daten an die Empfänger weiter. Teilen Sie keine URLs mit vertraulichen Informationen über unsichere Kanäle.

Die optionale Backup-Funktion über Google Drive verwendet Google OAuth 2.0. Bei Aktivierung:

• Wird eine OAuth-Verbindung zu Ihrem Google-Konto hergestellt. Die App erhält ausschließlich Zugriff auf selbst erstellte Dateien im Google Drive (drive.file-Scope).
• Backup-Dateien werden AES-GCM-256-verschlüsselt, bevor sie zu Google Drive übertragen werden (Ende-zu-Ende-Verschlüsselung mit Ihrem Passwort).
• Google LLC (Mountain View, CA, USA) verarbeitet die Authentifizierungsdaten gemäß seiner Datenschutzrichtlinie.

Die App speichert keine Google-Kontodaten oder OAuth-Tokens dauerhaft auf externen Servern. Tokens werden ausschließlich im Browser-Speicher (localStorage) Ihres Geräts abgelegt und können jederzeit widerrufen werden.

Alternativ können Sie eine eigene WebDAV-Serververbindung konfigurieren. Dabei werden Anmeldedaten (URL, Benutzername, Passwort) ausschließlich lokal gespeichert und ausschließlich zur Kommunikation mit dem von Ihnen angegebenen Server verwendet. Die Daten werden vor der Übertragung verschlüsselt.

Sie haben gemäß DSGVO folgende Rechte:

• Auskunft (Art. 15): Welche Daten sind gespeichert?
• Berichtigung (Art. 16): Falsche Daten korrigieren.
• Löschung (Art. 17): Alle Daten löschen — direkt in der App unter Einstellungen → Datenverwaltung → „Alle Daten löschen“.
• Datenübertragbarkeit (Art. 20): Daten als .defuse-Datei exportieren — Einstellungen → Backup → Export.
• Widerspruch (Art. 21): KI-Nutzung jederzeit durch Nicht-Verwendung der KI-Funktionen abwählbar.
• Beschwerde: Bei der zuständigen Datenschutzaufsichtsbehörde Ihres Bundeslandes (Deutschland) oder des Mitgliedstaats Ihres gewöhnlichen Aufenthalts.

Da alle Daten lokal auf Ihrem Gerät gespeichert sind, können Sie diese jederzeit eigenständig löschen (Browser-Cache leeren / App-Einstellungen).

Defuse verwendet keine Tracking-Cookies, keine Analyse-Tools (kein Google Analytics, kein Matomo o. Ä.) und keine Werbung. Es werden ausschließlich technisch notwendige Browser-Speichermechanismen (localStorage) verwendet.

Die Anwendung wird selbst gehostet (Self-Hosting via Caddy als Webserver). Beim Aufruf der App werden technisch bedingt Verbindungsdaten verarbeitet:

• IP-Adresse (anonymisiert nach Verbindungsende)
• Zeitstempel des Abrufs
• Aufgerufene URL, HTTP-Statuscode
• Übertragene Datenmenge, Referrer (soweit vom Browser gesendet)

Server-Logs werden nicht dauerhaft gespeichert und nicht mit Drittparteien geteilt. Die gesamte Verbindung ist ausschließlich über HTTPS (TLS) möglich — unverschlüsselter HTTP-Verkehr wird serverseitig vollständig abgewiesen (HTTPS Strict).

Cloudflare (DNS & Proxy)

Die Domain wird über Cloudflare (Cloudflare Inc., 101 Townsend St., San Francisco, CA 94107, USA) aufgelöst. Cloudflare agiert dabei als DNS-Resolver und vorgelagerter Proxy. Dabei verarbeitet Cloudflare technische Verbindungsmetadaten (IP-Adressen, TLS-Handshake-Daten) zum Zweck der DDoS-Abwehr und Sicherheitsfilterung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit und Verfügbarkeit). Cloudflare ist unter dem EU-US Data Privacy Framework zertifiziert. Datenschutzrichtlinie: cloudflare.com/privacypolicy

Diese Datenschutzerklärung kann bei wesentlichen Funktionsänderungen der App aktualisiert werden. Das Datum der letzten Änderung ist oben angegeben. Da keine Nutzerkonten existieren, erfolgt keine aktive Benachrichtigung.