| layout | title | description | lang |
|---|---|---|---|
default |
SafeScribe — Sicherheitsarchitektur |
Wie SafeScribe Ihre Audiodaten schützt — technischer Überblick über unser Privacy-by-Design-Konzept. |
de |
Zuletzt aktualisiert: März 2026
Überblick
TLS 1.2+ und Certificate Pinning bei jeder Verbindung. Kein Proxy kann Daten abfangen.
Audio berührt niemals die Festplatte. Verarbeitung im flüchtigen Speicher, sofortige Löschung nach der Transkription.
E-Mail-Adresse und Name werden nie gespeichert. Nur ein Einweg-Hash Ihrer Konto-ID wird aufbewahrt.
AES-256 auf dem Gerät. Schlüssel ausschließlich in hardwaregesichertem Speicher (iOS Keychain / Android Keystore).
Absturzberichte werden vor dem Verlassen Ihres Geräts vollständig von persönlichen Daten bereinigt.
Designprinzip
Klassische Transkriptionsdienste schreiben Audio auf Festplatten und können es unbegrenzt aufbewahren. SafeScribe empfängt Audio im RAM, verarbeitet es und löscht es, sobald Sie Ihr Transkript erhalten — kein Byte wird auf Dauerspeicher geschrieben. Den vollständigen Ablauf zeigt das Datenflussdiagramm unten.
Der entscheidende Unterschied: Selbst bei einer physischen Beschlagnahme des Servers wären keine Audio- oder Transkriptdaten vorhanden — sie existierten nur im flüchtigen Speicher.
Ebene 1
| Schutzmaßnahme | Was verhindert wird |
|---|---|
| TLS 1.2+ Verschlüsselung | Abhören des Netzwerkverkehrs |
| Certificate Pinning | Man-in-the-Middle-Angriffe, gefälschte Server |
| SHA-256-Integritätsprüfung | Manipulationen am Transkript während der Übertragung |
Die App enthält einen kryptografischen Fingerabdruck des SafeScribe-Serverzertifikats. Selbst wenn eine Zertifizierungsstelle kompromittiert wäre, würde die App jede Verbindung ablehnen, die nicht zum echten SafeScribe-Server führt.
Ebene 2
Dies ist das Herzstück des SafeScribe-Datenschutzdesigns. Der Server führt OpenAIs Whisper-Modellgewichte über die selbst gehostete faster-whisper-Inferenzengine aus — keine Drittanbieter-API-Aufrufe. Der Datenspeicher ist für rein flüchtigen Betrieb ohne Festplattenpersistenz konfiguriert.
- ✓ Ein Serverneustart löscht alle In-Memory-Daten dauerhaft — by Design
- ✓ Keine Datei, kein Backup und kein Protokoll enthält Ihre Audiodaten
- ✓ Eine forensische Serveranalyse würde null Audioinhalte ergeben
Temporäre Serverspeicherung (nur im RAM):
| Daten | Gelöscht wann |
|---|---|
| Audio-Bytes | Nach Abschluss der Transkription |
| Transkripttext | Nach Empfangsbestätigung |
| Auftragsmetadaten | Nach Empfangsbestätigung |
Dauerhafte Serverspeicherung (auf Festplatte):
| Daten | Zweck | Enthält personenbezogene Daten? |
|---|---|---|
| Pseudonyme Benutzer-ID | Abrechnungsnachweis | Nein — Einweg-Hash, nicht umkehrbar |
| Dauer und Kosten | Finanznachweis | Nein |
| Dateigröße (Bytes) | Dienstanalyse | Nein |
| Wortanzahl | Dienstanalyse | Nein |
| Zeitstempel | Prüfpfad | Nein |
Ebene 3
SafeScribe nutzt Google Sign-In und Sign in with Apple. Ihre persönlichen Daten werden nie gespeichert:
| Was der Authentifizierungsanbieter übermittelt | Was wir speichern |
|---|---|
| E-Mail-Adresse | Nicht gespeichert |
| Anzeigename | Nicht gespeichert |
| Konto-ID | Nur Einweg-kryptografischer Hash |
Der Einweg-Hash Ihrer Konto-ID:
- ✓ Kann nicht rückgängig gemacht werden, um Ihre Identität preiszugeben
- ✓ Ist für Sie eindeutig — ausschließlich für die Abrechnung
- ✓ Enthält keinerlei personenbezogene Informationen
Ebene 4
Auf Ihrem Gerät gespeicherte Transkripte sind geschützt durch:
| Schutz | Technologie |
|---|---|
| Verschlüsselung | AES-256 |
| Schlüsselspeicherung | iOS Keychain / Android Keystore |
| Datenbank | Verschlüsselte Container |
Selbst bei direktem Zugriff auf das Dateisystem erscheinen Transkriptdaten als unlesbares Binär. Der Schlüssel liegt in hardwaregesichertem Speicher — außerhalb der App-Dateien. Das Löschen der App zerstört den Schlüssel dauerhaft.
Ebene 5
Wenn die App auf einen Fehler stößt, kann optional ein Absturzbericht gesendet werden. Vor dem Verlassen Ihres Geräts werden folgende Daten automatisch entfernt:
In den App-Datenschutzeinstellungen können Sie Absturzberichte vollständig deaktivieren.
Ebene 6
Jeder Verarbeitungsschritt löscht die Daten des vorherigen Schritts sofort: Audio wird nach der Transkription gelöscht, Transkript wird nach der Bestätigung gelöscht. Das Datenflussdiagramm zeigt den gesamten Ablauf mit allen Löschpunkten.
Dies ist kein Hintergrundjob. Die Löschung erfolgt unmittelbar als Teil der Verarbeitungspipeline.
Vollständiger Ablauf
{: #your-datas-journey}
Audio aufnehmen/auswählen | Lokal vorverarbeiten | Verschlüsseln+hochladen -TLS-> Im RAM empfangen | KI-Transkription (nur RAM) | Audio GELÖSCHT | Transkript empfangen <-TLS- Transkript senden | | Integrität prüfen Auf Bestätigung warten | | Verschlüsselt Bestätigung --> Transkript GELÖSCHT lokal speichern Metadaten GELÖSCHT | | Fertig NULL Daten verbleiben
Transparenz
Wir laden Sicherheitsforscher und Datenschutzbeauftragte ein, unsere Aussagen zu überprüfen:
- Netzwerkanalyse Mit Wireshark oder Charles Proxy lässt sich bestätigen, dass der gesamte SafeScribe-Datenverkehr TLS-verschlüsselt ist. Abfangversuche per Proxy scheitern an Certificate Pinning.
- Veröffentlichte Bewertungen Unsere Datenschutz-Folgenabschätzung enthält die vollständige Risikoanalyse und Entscheidungsdokumentation.
- Verantwortungsvolle Offenlegung Schwachstelle entdeckt? Schreiben Sie an security@safescribe.dev.