Dead Drop Dead Drop ← Zurück

Datenschutzerklärung

TL;DR

Wir sehen deine Dateien nicht. Können wir gar nicht — sie sind Ende-zu-Ende verschlüsselt, bevor sie unseren Server erreichen. Den Schlüssel hält dein Browser, das Fragment im Link. Wir speichern nur die E-Mail der Warteliste und minimal serverseitige Logs.

1. Verantwortlicher

Dwinity Media GmbH, Nördliche Münchener Str. 9c, 82031 Grünwald, Deutschland
E-Mail: privacy@dwinity.de

2. Hosting & Auftragsverarbeiter

Landing Page und Application-Server: Hostinger International Ltd., Server-Standort Frankfurt am Main (Deutschland). Auftragsverarbeitungsvertrag (AVV) gem. Art. 28 DSGVO liegt vor.

Dateispeicher: Storj DCS — ein dezentrales Erasure-Coded-Netzwerk mit unabhängigen Storage-Nodes weltweit. Inhalte werden bereits im Browser des Nutzers vor Upload mit AES-256-GCM verschlüsselt; Storj erhält ausschließlich verschlüsselte Bytes-Fragmente ohne Schlüssel. Da Storage-Nodes weltweit verteilt sind, kann ein Drittlandtransfer nicht ausgeschlossen werden. Die Übermittlung erfolgt nach Art. 46 Abs. 2 lit. c DSGVO auf Grundlage der EU-Standardvertragsklauseln (SCCs) im Vertrag mit Storj Labs Inc. (USA). Gleichzeitig stellt die durchgängige clientseitige Verschlüsselung sicher, dass keinem Empfänger im Drittland Klarinhalte zugänglich sind.

Eingesetzte Auftragsverarbeiter / Sub-Processors:

  • Hostinger International Ltd. — Hosting (Frankfurt/DE) · AVV vorhanden
  • Storj Labs Inc. (USA) — verschlüsselter Object-Storage · SCCs vorhanden, nur Ciphertext-Bytes
  • E-Mail-Versanddienstleister für Warteliste — AVV vorhanden (siehe §4)

3. Server-Logfiles

Bei jedem Besuch werden erfasst: IP-Adresse (nach 24h anonymisiert), Zeitstempel, User Agent, Referrer. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Sicherheit). Speicherdauer: 14 Tage.

4. Warteliste

Deine E-Mail-Adresse speichern wir zur Benachrichtigung über den Beta-Start. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Abmeldung jederzeit per Nachricht an privacy@dwinity.de. Versand erfolgt über einen E-Mail-Versanddienstleister mit Auftragsverarbeitungsvertrag.

5. Hochgeladene Dateien

Dateien werden ausschließlich in verschlüsselter Form (AES-256-GCM, clientseitig) übertragen und auf dem Storj DCS Netzwerk abgelegt. Bei Dateien ab 50 MB wird chunk-weise verschlüsselt und per S3 Multipart hochgeladen (5 MB pro Chunk, eigener IV, Chunk-Index als Additional Authenticated Data gegen Reorder-Angriffe). Wir haben technisch keinen Zugriff auf den Inhalt — der Schlüssel liegt ausschließlich im URL-Fragment des Share-Links und verlässt deinen Browser nie.

Metadaten, die wir serverseitig speichern:

  • Zufällige Drop-ID (22 Zeichen, ohne Bezug zum Inhalt)
  • Gesamtgröße des verschlüsselten Blobs
  • Erstellungs- und Ablaufzeitpunkt, gewählte Retention
  • Optional: Burn-Limit (max. Downloads)
  • Download-Zähler + Zeitstempel des ersten/letzten Downloads
  • Wenn eingeloggt: deine Wallet-Adresse als Besitzer (für Dashboard + Quota-Check)

Keine Speicherung von: Dateiname, MIME-Type, Inhalt, Empfänger oder verwendeten Schlüsseln. Nach Ablauf der Retention oder manueller Löschung wird das Storj-Objekt unwiderruflich entfernt; die Entschlüsselung ist dann technisch unmöglich.

5b. Live-Sync via OAuth (Strava, Spotify, …)

Im Vault kannst du optional ausgewählte Drittanbieter (z. B. Strava, Spotify) per OAuth verbinden. Damit verlässt du das Self-Custody-Modell für diesen Anbieter: wir speichern verschlüsselt ein OAuth-Refresh-Token (Fernet, AES-128-CBC + HMAC-SHA256) in unserer DB, mit dem wir deine Activities/Streams in deinem Namen abrufen.

Was wir speichern:

  • Provider-Name, OAuth-Tokens (verschlüsselt), Provider-User-ID, gewährter Scope
  • Verbindungs-Zeitpunkt + letzter Sync-Zeitpunkt
  • Importierte Daten landen in derselben Activities-Tabelle wie File-Imports (siehe §5)

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Du wirst vor der OAuth-Weiterleitung explizit auf den Self-Custody-Bruch hingewiesen. Trennung jederzeit über die Live-Sync-Sektion im Vault — Token wird sofort aus unserer DB gelöscht. Speicherdauer: bis zur Trennung oder Wallet-Panic.

6. Wallet-Login (SIWE)

Optional kannst du dich mit einer Ethereum/Avalanche-Wallet (MetaMask o.ä.) per Sign-In With Ethereum einloggen. Dabei wird eine Signatur deiner Wallet-Adresse geprüft — kein Private Key, keine Transaktionshistorie verlässt deinen Browser. Wir setzen einen technisch notwendigen Session-Cookie (dwid_session, 30 Tage Gültigkeit, HttpOnly; Secure; SameSite=Lax) und speichern in unserer DB die Wallet-Adresse und ggf. deinen Pro-Status. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

7. Missbrauchsmeldungen

Über den Melde-Button auf jeder Download-Seite oder per E-Mail an abuse@mkwt-strategy.tech können illegale Inhalte gemeldet werden. Wir speichern dazu: Drop-ID, Meldegrund, Zeitstempel und — falls angegeben — dein Rückkontakt. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung gem. DSA). Speicherdauer: 12 Monate nach Bearbeitung.

8. Cookies & Tracking

Neben dem SIWE-Session-Cookie (siehe 6.) speichert dein Browser lokal (localStorage) eine optionale E-Mail-Adresse aus der Warteliste sowie eine lokale Liste deiner Drops (nur auf deinem Gerät). Kein Google Analytics, kein Meta Pixel, kein Drittanbieter-Tracking, keine Ad-Cookies.

9. Deine Rechte

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch (Art. 21 DSGVO)
  • Widerruf erteilter Einwilligungen

Anfragen an privacy@dwinity.de.

10. Beschwerderecht

Beschwerde bei zuständiger Datenschutz-Aufsichtsbehörde: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach.

11. Stand

April 2026 · Änderungen vorbehalten