Wer kommt an deine Daten — und wer nicht.

Was wir aktiv schützen

Wir selbst

Das ist die wichtigste Kategorie. Selbst wenn du uns voll vertraust, solltest du nicht darauf angewiesen sein, dass wir vertrauenswürdig bleiben. Deshalb ist Endearist local-first: Deine Inhalte liegen auf deinem Gerät. Wir haben schlicht keinen Zugriff auf sie, weil wir keinen zentralen Content-Server betreiben.

Wenn du Cloud-Sync aktivierst, ist der Inhalt AES-256-GCM-verschlüsselt, bevor er dein Gerät verlässt. Unser eigener Endearist-Cloud-Server sieht nur opake Bytes — er kennt weder deine Kontaktnamen noch deine Notizen. Der Schlüssel wird aus deiner Passphrase und deinem 12-Wort-Recovery-Code abgeleitet und verlässt dein Gerät nicht.

Drittanbieter und Tracker

Auf dieser Website: kein Google Analytics, kein Facebook Pixel, kein Hotjar, keine eingebetteten Social-Buttons. Wir nutzen eine selbst gehostete Plausible-Instanz, die keine personenbezogenen Daten und keine Cookies sammelt — nur anonyme Seitenaufrufe.

In der App: keinerlei Drittanbieter-SDKs, die Nutzungsverhalten ohne deine Einwilligung übertragen. In-App-Telemetrie ist opt-in; die Standardeinstellung sendet nichts. Keine Amplitude, kein Mixpanel, kein Segment.

Mitarbeitende und interne Zugriffe

Da wir keine Content-Server betreiben, gibt es nichts, auf das Mitarbeitende zugreifen könnten. Kundensupport-Anfragen werden nicht mit Inhalt verknüpft, weil wir ihn nicht haben. Wenn du uns einen Bug meldest, hast du keine Möglichkeit, uns versehentlich deine Kontakte zu schicken — außer du tust es absichtlich per Copy-Paste in deiner Nachricht.

Was wir abschwächen, aber nicht vollständig verhindern

Staatliche Akteure mit Gerichtsbeschlüssen

Wenn eine Behörde mit einem rechtsgültigen Beschluss zu uns kommt, können wir nur das herausgeben, was wir haben — und das sind ausschließlich Kontodaten (E-Mail-Adresse, Kaufzeitpunkt, Lizenz-ID) sowie verschlüsselte, für uns unlesbare Bytes aus dem Sync-Speicher. Deine Inhalte können wir nicht herausgeben, weil wir sie nicht entschlüsseln können.

Was wir nicht garantieren: Schutz vor Behörden, die Zugriff auf dein Gerät haben. Wenn du ein entsperrtes Gerät in den Händen einer Behörde hast, ist das außerhalb unserer technischen Kontrolle. Geräte-Vollverschlüsselung (FileVault, BitLocker, iOS Secure Enclave) ist deine erste Verteidigungslinie in diesem Szenario.

Kompromittierte Sync-Dienste

Wenn du Google Drive oder iCloud als Sync-Transport wählst und einer dieser Dienste kompromittiert wird: Ein Angreifer findet verschlüsselte Blobs, die er ohne deinen Geräte-Schlüssel nicht lesen kann. Die E2E-Verschlüsselung schützt hier auch bei kompromittiertem Transport. Was nicht geschützt ist: Metadaten wie Sync-Zeitpunkt und Datei-Größen — daraus kann ein Angreifer schließen, dass du eine App mit regelmäßiger Aktivität nutzt, aber nicht was darin steht.

Was wir ehrlich nicht schützen können

Physischer Gerätezugriff durch Angreifer

Wenn jemand dein entsperrtes Gerät in den Händen hält und Endearist geöffnet ist, sieht er deine Daten. Das ist kein Versagen unserer App — das ist Physik. Wir planen eine optionale App-Sperre per PIN oder Biometrie für genau diesen Fall. Aber wir werden nie behaupten, dass wir dich vor einem Angreifer mit physischem Gerätezugriff und ausreichend Zeit schützen können.

Screenshots durch Angreifer, die dein Gerät kontrollieren

Wenn Malware auf deinem Gerät aktiv ist und Screenshots machen kann, ist das ein Geräteproblem, kein App-Problem. Wir können keinen Screenshot-Schutz implementieren, der nicht auch legitime Accessibility-Features bricht. Wir verwenden FLAG_SECURE auf sensiblen Screens, aber das ist eine Abschwächung, kein vollständiger Schutz.

Vergessene Passphrasen ohne Recovery-Pfad

Wenn du deine Passphrase vergisst und deinen 12-Wort-Recovery-Code verloren hast und kein anderes entsperrtes Gerät mehr hast: Die verschlüsselten Sync-Daten sind unwiederbringlich. Das ist der Preis für echte E2E-Verschlüsselung — es gibt keinen Server-seitigen Backdoor, der dir hilft. Lokale Backups bleiben immer unverschlüsselt erhalten, damit dieser Worst-Case nur deine Cloud-Daten betrifft, nicht deinen gesamten Datensatz.