Datenschutzerklärung für Enora

Stand: März 2026

1. Verantwortlicher

Manuel Rouven Sohns
Studio Sohns
Brückener Str. 6
55765 Birkenfeld
Deutschland

E-Mail: hello@studiosohns.de
Telefon: 06782 4009085
Web: www.studiosohns.de

USt-IdNr.: DE280373741

2. Kurzfassung

Enora ist eine iOS-App für verschlüsselte Einmallinks. Die Verschlüsselung erfolgt ausschließlich auf deinem Gerät (Zero-Knowledge-Architektur). Auf dem Server wird nur der verschlüsselte Ciphertext gespeichert — der Entschlüsselungsschlüssel verlässt dein Gerät niemals. Wir haben zu keinem Zeitpunkt Zugang zum Klartext deiner Secrets.

3. Geltungsbereich

Diese Datenschutzerklärung umfasst drei Bereiche:

• Die App Enora (Abschnitte 4–7)
• Der Server (API) (Abschnitt 8)
• Diese Website (Abschnitt 9)

4. Datenverarbeitung in der App

Verschlüsselung

Alle Inhalte werden ausschließlich lokal auf deinem Gerät mit AES-256-GCM verschlüsselt, bevor sie an den Server gesendet werden. Der Entschlüsselungsschlüssel wird im URL-Fragment (#…) gespeichert — dieser Teil der URL wird gemäß RFC 3986 niemals an den Server übertragen.

Passwortschutz

Bei aktiviertem Passwortschutz wird der Schlüssel via PBKDF2 (210.000 Iterationen, SHA-256) aus dem Passwort abgeleitet. Das Passwort selbst wird niemals an den Server gesendet. Der Server speichert nur den Salt und die Iterationszahl — beides ist ohne das Passwort wertlos.

Zwischenablage

Wenn du einen Link kopierst, wird er in die System-Zwischenablage deines Geräts geschrieben. Nach dem Kopiervorgang verarbeitet Enora den Inhalt der Zwischenablage nicht weiter.

Privacy Overlay

Wenn die App in den Hintergrund wechselt (z. B. beim App-Switcher), wird der Bildschirminhalt sofort durch ein Overlay verdeckt, sodass keine sensiblen Inhalte im App-Switcher sichtbar sind.

5. Was Enora NICHT tut

• Die App speichert keine Secrets dauerhaft auf deinem Gerät
• Keine Analytics- oder Tracking-Bibliotheken
• Keine Werbung
• Keine Cookies
• Keine Benutzerkonten oder Registrierung
• Keine Standortdaten
• Keine Gerätekennungen oder Fingerprinting
• Keine Weitergabe von Daten an Dritte (außer dem verschlüsselten Ciphertext an den Server)

6. Überprüfbarkeit

Du kannst das Netzwerkverhalten von Enora jederzeit selbst überprüfen:
iOS Einstellungen → Datenschutz & Sicherheit → App-Datenschutzbericht → Enora

Die App kommuniziert ausschließlich mit studiosohns.de über verschlüsselte HTTPS-Verbindungen. Die einzigen API-Aufrufe sind:

• POST /api/secret-create.php — Verschlüsselten Blob speichern
• GET /api/secret-get.php — Metadaten prüfen (kein Verbrauch)
• POST /api/secret-get.php — Secret abrufen (View-Dekrement)

7. Apple App Store

Der Download von Enora erfolgt über den Apple App Store. Dabei gelten die Datenschutzbestimmungen von Apple Inc. Enora selbst hat keinen Zugriff auf deine Apple-ID, Zahlungsinformationen oder App-Store-Daten.

8. Server (API)

Der Server speichert folgende Daten pro erstelltem Secret:

• Verschlüsselter Ciphertext (ohne Schlüssel wertlos)
• Initialisierungsvektor (IV) — kein Geheimnis
• Erstellungszeitpunkt und Ablaufzeitpunkt
• Abruf-Zähler
• Bei Passwortschutz: Salt und Iterationszahl

Nicht gespeichert: Klartext, Entschlüsselungsschlüssel, Passwort, E-Mail-Adresse, Gerätekennungen.

Zugangsprotokolle: Für die Secret-Link-API-Endpunkte werden serverseitig keine Access-Logs geführt.

Löschung: Secrets werden nach dem letzten erlaubten Abruf oder nach Ablauf der Gültigkeitsdauer automatisch und unwiderruflich gelöscht (physisches Löschen, kein Soft-Delete). Maximale Gültigkeitsdauer: 7 Tage.

Rate Limiting: Zum Schutz vor Missbrauch wird die IP-Adresse temporär für Rate-Limiting-Zwecke verarbeitet. Diese Daten werden in temporären Dateien gespeichert und nach spätestens einer Stunde automatisch gelöscht.

Serverstandort: Hetzner Online GmbH, Nürnberg, Deutschland. Auftragsverarbeitungsvertrag abgeschlossen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / vorvertragliche Maßnahmen).

9. Diese Website

Beim Abruf dieser Website können technisch notwendige Server-Logdaten anfallen (z. B. IP-Adresse, Zeitpunkt des Zugriffs, aufgerufene Seite). Diese Daten werden vom Hosting-Anbieter verarbeitet und dienen ausschließlich der technischen Bereitstellung und Sicherheit.

Diese Website verwendet kein Tracking, keine Analyse-Tools und keine externen Schriften oder eingebetteten Drittanbieter-Inhalte.

10. Deine Rechte (DSGVO)

Aufgrund der Zero-Knowledge-Architektur kann Enora Secrets nicht einzelnen Personen zuordnen. In Bezug auf die verschlüsselten Inhalte bestehen daher regelmäßig keine ausübbaren Betroffenenrechte, da keine personenbezogene Zuordnung möglich ist.

Soweit beim Abruf dieser Website oder bei der Nutzung der API personenbezogene Daten verarbeitet werden (z. B. IP-Adresse für Rate Limiting), stehen dir die gesetzlichen Rechte nach Art. 15–21 DSGVO zu, insbesondere das Recht auf Auskunft, Löschung und Widerspruch.

Fragen zum Datenschutz: hello@studiosohns.de

11. Änderungen

Diese Datenschutzerklärung kann bei neuen App-Versionen aktualisiert werden. Die aktuelle Fassung ist immer unter studiosohns.de/enora/datenschutz abrufbar. Das Datum der letzten Änderung steht am Anfang dieses Dokuments.