No Rush
EN DE
Frühen Zugang sichern

Entwurf · wird vor dem öffentlichen Start anwaltlich geprüft

Datenschutz

Die kurze und ehrliche Version: wir behalten fast nichts, und was wir behalten, können wir nicht lesen. Die lange Version steht unten. Sie existiert, weil das Gesetz sie verlangt und weil wir dir die Möglichkeit geben wollen, die kurze Version zu überprüfen.

Verantwortliche Stelle

Verantwortlich für die Datenverarbeitung auf No Rush im Sinne der DSGVO ist der Betreiber des Dienstes:

[Dein Name / Firmenname]
[Straße und Hausnummer]
[PLZ Stadt]
Deutschland
E-Mail: privacy@norush.chat

Vollständige Unternehmensangaben und Datenschutzkontakt: siehe Impressum.

Welche Daten wir erheben, wann, und warum

1. Telefonnummer, bei der Registrierung

Zur Registrierung bei No Rush erfassen wir deine Telefonnummer, senden einen einmaligen Code und prüfen, dass du die Nummer kontrollierst. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Nummer wird als gesalzener Hash gespeichert, nicht im Klartext, sodass wir eingehende OTP-Anfragen abgleichen, aber keine Nutzer aus unserer Datenbank auflisten können.

2. Ein öffentlicher Geräteschlüssel, bei der Registrierung

Dein Gerät erzeugt lokal ein Curve25519-Schlüsselpaar. Wir erhalten nur die öffentliche Hälfte; andere Nutzer brauchen sie, um Nachrichten an dich zu verschlüsseln. Dein privater Schlüssel verlässt dein Gerät nie.

3. Versiegelte Chiffren-Umschläge, vorübergehend

Sendet dir jemand eine Nachricht, erhalten wir einen verschlüsselten Umschlag, adressiert an dein Postfach. Wir können ihn nicht lesen. Wir speichern auch nicht, wer ihn gesendet hat (Sealed Sender). Wir bewahren ihn nur, bis dein Gerät ihn abruft, danach löschen wir ihn. Nicht zugestellte Umschläge werden nach 30 Tagen gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

4. Verschlüsselte Medien-Blobs, vorübergehend

Fotos, Sprachnachrichten und Dateien werden auf deinem Gerät verschlüsselt, bevor sie hochgeladen werden. Wir speichern den verschlüsselten Blob mit einer Ablauffrist und können ihn nicht entschlüsseln. Der Entschlüsselungsschlüssel reist in der Ende-zu-Ende-verschlüsselten Nachricht zum Empfänger. Blobs werden gelöscht, wenn der Empfang bestätigt ist oder spätestens nach Ablauf.

5. Technische Logs, für den minimalen Betriebszeitraum

Standard-Request-Logs (IP-Adresse, User-Agent, Antwortcode, Zeitstempel) werden kurz für Sicherheit und Missbrauchsprävention aufbewahrt (in der Regel unter 14 Tage) und nicht mit deiner Identität verknüpft. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb).

Was wir nicht erfassen

  • Den Inhalt deiner Nachrichten oder Medien.
  • Lesebestätigungen, „Online"- oder „Zuletzt gesehen"-Status, Schreibanzeigen.
  • Eine lesbare soziale Karte (mit wem du sprichst). Sealed Sender heißt, unser Relay sieht Umschläge an ein Postfach, keine Paarungen.
  • Dein Adressbuch im Klartext (Kontaktentdeckung ist datenschutzwahrend).
  • Tracking-Pixel, Drittanbieter-Analytics, Werbe-Identifier.

Wer die Daten in unserem Auftrag verarbeitet

Wir nutzen folgende Auftragsverarbeiter unter Auftragsverarbeitungsverträgen (Art. 28 DSGVO):

  • Supabase (EU-Region) — Postgres-Datenbank für das blinde Relay (versiegelte Chiffren-Umschläge, dein öffentlicher Schlüssel, gehashter Telefonnummer-Eintrag). Gehostet in Frankfurt.
  • Cloudflare R2 / Objektspeicher (EU-Region) — kurzlebige verschlüsselte Medien-Blobs.
  • SMS-Anbieter (z. B. Twilio oder MessageBird) — ausschließlich für den einmaligen Registrierungscode. Der Anbieter sieht deine Nummer; er sieht weder deine Nachrichten noch deine Kontakte.

Keiner dieser Auftragsverarbeiter kann deine Nachrichten oder Medien entschlüsseln; die Schlüssel leben nur auf deinem Gerät.

Aufbewahrung

  • Versiegelte Umschläge: beim Abruf gelöscht, oder nach 30 Tagen bei Nichtzustellung.
  • Verschlüsselte Medien-Blobs: nach Download-Bestätigung gelöscht, oder bei Ablauf.
  • Öffentlicher Schlüssel: solange dein Konto besteht.
  • Gehashte Telefonnummer: solange dein Konto besteht.
  • Kontolöschung ist endgültig und entfernt alles oben Genannte. Wir führen keine Schattenkopie.

Deine Rechte nach DSGVO

Du hast das Recht auf:

  • Auskunft über die zu dir gespeicherten Daten (Art. 15).
  • Berichtigung unrichtiger Daten (Art. 16).
  • Löschung deines Kontos und deiner Daten (Art. 17). Weil wir so wenig speichern, geht das schnell.
  • Einschränkung der Verarbeitung (Art. 18).
  • Datenübertragbarkeit (Art. 20). Der Großteil deiner Historie liegt auf deinem Gerät, nicht auf unseren Servern.
  • Widerspruch gegen die Verarbeitung (Art. 21).
  • Beschwerde bei einer Aufsichtsbehörde. Für unser Unternehmen zuständig ist die [Berliner Beauftragte für Datenschutz und Informationsfreiheit].

Zur Wahrnehmung dieser Rechte schreib uns an privacy@norush.chat. Wir antworten innerhalb eines Monats (Art. 12 Abs. 3 DSGVO).

Behördliche Anfragen

Wir beantworten rechtmäßige Anfragen zuständiger Behörden mit den Mindestdaten, die wir vorhalten. In der Praxis bedeutet das: Bestätigung der Kontoexistenz, Registrierungszeitpunkt, gehashte Telefonnummer und Anfrage-Metadaten. Nachrichteninhalte, Medieninhalte und eine lesbare soziale Karte können wir nicht herausgeben, weil wir sie nicht haben. Soweit gesetzlich erlaubt, veröffentlichen wir einen Transparenzbericht.

Internationale Übermittlung

Die gesamte Verarbeitung für No Rush findet innerhalb der Europäischen Union statt. Im Normalbetrieb übermitteln wir keine personenbezogenen Daten in Drittländer außerhalb der EU/EWR.

Änderungen dieser Erklärung

Bei Änderungen veröffentlichen wir die neue Version hier und nennen das Datum am Ende. Wesentliche Änderungen kündigen wir in der App an.

← Zurück zur Startseite · Privacy in English · Impressum

Stand: 25.05.2026 · Entwurf.