Datenschutzerklärung Realova

Stand: 22. Juni 2026 · Version: 1.0

0. Vorbemerkung: Datenschutz ist das Produkt

Realova ist nach dem Grundsatz „Vertrauen durch Beweise, nicht durch Daten" gebaut (Zero-Knowledge-Architektur). Die meisten Dinge, die andere Dating-Dienste über Sie wissen, wissen wir bewusst nicht: keinen Klarnamen, keine E-Mail-Adresse, keine Telefonnummer, kein Geburtsdatum, keinen genauen Standort. Diese Erklärung beschreibt, welche wenigen Daten technisch unvermeidlich anfallen, wozu wir sie verwenden und welche Rechte Sie haben.

Diese Datenschutzerklärung informiert Sie gemäß Art. 13 und 14 der Datenschutz-Grundverordnung (DSGVO) über die Verarbeitung personenbezogener Daten

beim Besuch der Website realova.de (derzeit Vorab-Startseite mit Warteliste) und
bei der Nutzung der Realova-App (zunächst iOS) und der zugehörigen Backend-Dienste.

Realova befindet sich in der Startvorbereitung. Die App-bezogenen Verarbeitungen in den Abschnitten 4 bis 22 betreffen Sie erst, sobald Sie die App tatsächlich installieren und nutzen.

1. Verantwortlicher und Kontakt für den Datenschutz

Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist:

KI-Shield UG (haftungsbeschränkt) Ritterstraße 2 99718 Greußen Deutschland

Geschäftsführerin (alleinvertretungsberechtigt): Johanna Bringezu

Registergericht: Amtsgericht Jena · Handelsregister: HRB 524511 · EUID: DEY1206.HRB524511 Umsatzsteuer-Identifikationsnummer (§ 27a UStG): DE358414171

E-Mail: info@ki-shield.de Telefon: 0175 6486634 (schriftliche Anfragen per E-Mail werden bevorzugt)

Kontakt in Datenschutzangelegenheiten und zur Ausübung Ihrer Betroffenenrechte: info@ki-shield.de

Datenschutzbeauftragte/r: Ein Datenschutzbeauftragter ist derzeit nicht bestellt. Für alle Fragen zum Datenschutz und zur Ausübung Ihrer Rechte wenden Sie sich bitte an den oben genannten Verantwortlichen.

Ein Vertreter nach Art. 27 DSGVO ist nicht erforderlich, da der Verantwortliche seinen Sitz in der Europäischen Union (Deutschland) hat.

2. Website realova.de und Warteliste

Die Website realova.de ist eine statische, bewusst datensparsam gestaltete Vorab-Startseite mit einem Warteliste-Hinweis.

Die Website setzt keine Cookies, verwendet keine Tracking- oder Analyse-Werkzeuge, keine Werbe-Pixel und keine Einbindungen von Drittanbietern zu Analyse- oder Marketingzwecken. Aus diesem Grund ist auch kein Cookie-/Consent-Banner erforderlich.

2.2 Selbst gehostete Schriften (keine Drittübermittlung)

Alle verwendeten Schriftarten werden direkt von unserem Server in Deutschland ausgeliefert (self-hosting). Es findet keine Einbindung von Google Fonts oder anderen externen Schrift-/Content-Delivery-Diensten statt; entsprechend werden keine IP-Adressen an Dritte (z. B. Google) übertragen.

2.3 Server-Zugriffsprotokolle (Server-Logs)

Beim Aufruf der Website werden durch unsere Web-Server-Software (Caddy) bzw. die Infrastruktur unseres Hosters (Hetzner, siehe Abschnitt 13) technisch notwendige Zugriffsdaten in Server-Protokollen verarbeitet. Dazu können gehören:

die gekürzte oder ungekürzte IP-Adresse des anfragenden Geräts,
Datum und Uhrzeit des Zugriffs,
die angeforderte Ressource (URL/Pfad) und der HTTP-Statuscode,
übertragene Datenmenge sowie ggf. Referrer und verwendeter Browser/Betriebssystem (User-Agent).

Zweck ist die technisch fehlerfreie Auslieferung der Website, die Gewährleistung der Stabilität sowie die IT-Sicherheit (insbesondere Erkennung und Abwehr von Angriffen und Missbrauch). Rechtsgrundlage ist unser berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO an einem sicheren und funktionsfähigen Internetangebot. Diese Protokolle werden spätestens nach 7 Tagen automatisch gelöscht, sofern sie nicht im Einzelfall zur Aufklärung eines konkreten Sicherheitsvorfalls länger benötigt werden.

2.4 Warteliste / Start-Benachrichtigung

Über die Website können Sie sich für eine einmalige Benachrichtigung zum Start von Realova vormerken. Der Warteliste-Hinweis erhebt ausschließlich eine E-Mail-Adresse. Technisch funktioniert dies über einen mailto:-Link: Beim Anklicken öffnet sich Ihr eigenes E-Mail-Programm mit einer vorbereiteten Nachricht an hallo@realova.de, die Sie selbst aktiv absenden. Es gibt kein serverseitiges Eingabeformular, das Ihre Adresse beim Tippen erfasst.

Verarbeitete Daten: Ihre E-Mail-Adresse sowie der von Ihnen mitgesendete Nachrichtentext.
Zweck: einmalige Benachrichtigung, sobald Realova verfügbar ist.
Rechtsgrundlage: Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO, die Sie durch das aktive Absenden der E-Mail erteilen.
Speicherdauer: Wir speichern Ihre Adresse nur bis zum Versand der Start-Benachrichtigung bzw. bis zu Ihrem Widerruf und löschen sie anschließend. Eine Verwendung für sonstige Werbung findet nicht statt.
Widerruf: Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, etwa durch eine formlose E-Mail an info@ki-shield.de oder hallo@realova.de. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

3. Grundprinzip: Datensparsamkeit und Privacy by Design (Art. 25 DSGVO)

Wir verarbeiten Daten nach dem Prinzip der Datenminimierung (Art. 5 Abs. 1 lit. c, Art. 25 DSGVO). Das bedeutet für die App konkret:

Keine Kenntnis Ihrer Chat-Inhalte: Chat-Nachrichten verlassen Ihr Gerät ausschließlich Ende-zu-Ende-verschlüsselt. Unser Server speichert nur verschlüsselte Datenblöcke (Chiffrate), deren Klartext er nicht kennt und nicht entschlüsseln kann (zur abweichenden Behandlung des Profilfotos siehe Abschnitt 5).
Keine Identitätsmerkmale: Es gibt keine Registrierung mit E-Mail oder Telefonnummer. Ihre „Identität" gegenüber dem Dienst ist ein gerätegebundenes kryptografisches Schlüsselpaar, kein Klarname.
Kein exakter Standort: Der Server erhält niemals Ihre genauen Koordinaten, sondern höchstens einen groben, bewusst unscharfen geografischen Bereich (siehe Abschnitte 5 und 9).
Kein Geburtsdatum: Zum Alter verarbeiten wir ausschließlich die Information „volljährig: ja/nein", nicht Ihr Geburtsdatum (siehe Abschnitt 8).
Privacy by Default: Datenschutzfreundliche Funktionen (z. B. Verzicht auf „zuletzt online", keine erzwungenen Lesebestätigungen, Pausenmodus, vollständige Deaktivierung der Auffindbarkeit) sind so voreingestellt bzw. jederzeit verfügbar, dass möglichst wenige Daten offengelegt werden.

4. Welche Daten wir in der App verarbeiten — und welche nicht

4.1 Daten, die wir ausdrücklich NICHT erheben

Wir erheben und speichern in der App nicht:

E-Mail-Adresse, Telefonnummer oder einen Benutzernamen mit Klarbezug;
Vor- oder Nachname als Pflichtangabe (im Profil ist nur ein frei wählbarer Anzeigename/Pseudonym möglich);
Geburtsdatum oder Ausweisdaten;
exakte GPS-Koordinaten oder einen Standortverlauf/Bewegungsprofil;
Werbe-Identifikatoren (z. B. IDFA), Tracking-Cookies oder Analyse-Pixel Dritter;
die Inhalte Ihrer Chats im Klartext (diese sind Ende-zu-Ende-verschlüsselt);
ein Klartext-Profilfoto auf dem Server und keine biometrische Vorlage/Gesichtserkennungs-Vorlage.

4.2 Daten, die im Backend (Server) verarbeitet werden

Auf unserem Server in Deutschland fallen folgende — überwiegend nicht im Klartext lesbare — Daten an:

Datenkategorie	Inhalt	Form
Geräte-Pseudonym	Eine zufällige Konto-Kennung (UUID).	Pseudonym, kein Klarbezug.
Öffentliche Geräteschlüssel	Öffentliche Schlüssel Ihres gerätegebundenen Schlüsselpaars (u. a. Ed25519, ML-DSA-65 sowie X25519/ML-KEM-768 zum Verbindungsaufbau).	Nur öffentliche Schlüssel; dienen als pseudonyme Konto-Kennung. Die privaten Schlüssel verlassen Ihr Gerät nie.
App-Attest-Daten	Öffentlicher App-Attest-Schlüssel und Schlüssel-ID zur Echtheitsprüfung der App (siehe Abschnitt 10).	Öffentlicher Schlüssel / Kennung.
Geräte-Bindungs-Hash	Ein irreversibler Hash zur Durchsetzung gerätegebundener Sperren.	Hash, kein Roh-Geräte-Identifikator.
Verifizierungs-Status	Ob das Konto verifiziert ist.	Wahrheitswert (verifiziert ja/nein).
Volljährigkeits-Status	Ein einzelner Wahrheitswert „volljährig: ja/nein".	Boolean, an die Geräte-Identität gebunden. Kein Geburtsdatum.
Konto-Status	Aktiv, pausiert, temporär oder dauerhaft gesperrt sowie ggf. eine Sperrfrist.	Status-Wert.
Verschlüsselte Profilkarte	Profilfoto sowie Profilangaben (Anzeigename/Pseudonym, Selbstbeschreibung, optionale Lifestyle-Angaben).	Chiffrat (AES-256-GCM) plus Nonce; verschlüsselt gespeichert und zugriffskontrolliert (siehe Abschnitt 5).
Vermittlungs-Facetten (Klartext)	Damit Sie überhaupt passend gefunden werden können, liegen wenige Eckdaten unverschlüsselt vor: selbst gewählte Altersangabe, eigenes Geschlecht, gesuchtes Geschlecht, grobe Region.	Klartext, bewusst minimal. (Das „gesuchte Geschlecht" kann Rückschlüsse auf die sexuelle Orientierung zulassen — siehe Abschnitt 7.)
Grober Standort-Bereich (H3-Bucket)	Ein vergröberter geografischer Bereich (H3-Zelle, ~5 km) für die Umkreissuche.	Bewusst unscharf; nie exakte Koordinaten, nie Distanzen unter 1 km (Trilaterationsschutz).
Verschlüsselte Chat-Nachrichten	An Ihre Gesprächspartner gerichtete Nachrichten und ggf. geteilte Fotos.	Opake, Ende-zu-Ende-verschlüsselte Datenblöcke. Der Server leitet nur weiter, liest nichts.
Match-/Beziehungsdaten	Wer mit wem ein beidseitiges Interesse / einen Chat hat; Blockierbeziehungen.	Teils als Paar-Hash pseudonymisiert.
Sicherheits-/Moderationsdaten	Anonyme Punktwerte (Flag-Score), gewichtete Meldungen (Red Flags), Account-/Sperrstatus, Geräte-Bann-Hash.	Nur rechnerische Werte und Status; keine Klarinhalte. Optionale Melde-Hinweise/Beschwerdetexte liegen ausschließlich als Chiffrat vor.
Foto-Echtheits-Metadaten	Hashes und Signaturen zum Echtheitsnachweis, eine Forensik-Zusammenfassung, Siegel-Status und Aufnahme-/Siegelzeitpunkt sowie ein RFC-3161-Zeitstempel.	Hashes/Signaturen/Zeitstempel, kein Bildinhalt im Klartext, keine biometrische Vorlage.
Audit-/Protokolldaten	Sicherheitsrelevante Ereignisse (z. B. Sperren) werden protokolliert.	Es wird nur ein Hash der betroffenen Kennung und das Ereignis gespeichert, keine Klaridentität.
Technische Verbindungsdaten	Beim Verbindungsaufbau zum Server fällt Ihre IP-Adresse an; ferner technische Server-/Proxy-Protokolle (Zeitpunkt, abgerufener Endpunkt, Statuscode).	Zur Auslieferung und Abwehr von Missbrauch technisch erforderlich; kurze Aufbewahrung (siehe Abschnitt 15).

4.3 Daten, die Ihr Gerät niemals verlassen

Folgende Daten verbleiben ausschließlich lokal auf Ihrem Gerät und werden nicht an uns übertragen:

alle privaten kryptografischen Schlüssel (Identitäts-, Verschlüsselungs- und Profil-Schlüssel; in der Schlüsselbund-/Secure-Enclave-Umgebung des Geräts);
Ihr exakter Standort (auf dem Gerät wird daraus nur der grobe Bucket gebildet);
Ihre Kontakte (nur für den optionalen Notfallkontakt des Date-Schutzes, siehe Abschnitt 11) sowie das Original-Profilfoto vor der Verschlüsselung;
die on-device durchgeführten Sicherheitsanalysen (z. B. Lebend-Erkennung und Foto-Forensik bei der Aufnahme, Betrugsmuster-Warnungen im Chat, Analyse sensibler Inhalte geteilter Fotos) — diese laufen lokal, ihre Ergebnisse erreichen unseren Server nicht im Klartext.

5. Verschlüsselung: echtes Ende-zu-Ende vs. „verschlüsselt at rest"

Damit Sie eine realistische Vorstellung von unserem Schutzniveau haben, unterscheiden wir hier ehrlich zwischen zwei Stufen:

Echtes Ende-zu-Ende (E2E): Ihre Chat-Nachrichten werden ausschließlich auf den Geräten der beteiligten Personen ver- und entschlüsselt (X25519 + ML-KEM-768 → AES-256-GCM). Unser Server transportiert nur unlesbare Chiffrate und kann die Inhalte technisch nicht entschlüsseln.
Verschlüsselt gespeichert und zugriffskontrolliert („at rest"): Ihre Profilkarte einschließlich Profilfoto ist naturgemäß für Personen bestimmt, die Sie entdecken oder mit denen Sie matchen — ein reines Ende-zu-Ende-Verfahren ist hier konzeptionell nicht möglich. Die Profilkarte wird daher verschlüsselt gespeichert und nur an dazu berechtigte Nutzer (z. B. im Rahmen von Auffindbarkeit/Match) ausgeliefert. Ein bloßer Diebstahl der Datenbank oder eines Backups ergibt damit keine nutzbaren Klartext-Profile. Diese eng gehaltene Ausnahme benennen wir bewusst, um nicht mehr zu versprechen, als technisch zutrifft.
Wenige Vermittlungs-Facetten im Klartext: Damit das Matching überhaupt funktioniert, liegen einige grobe Angaben unverschlüsselt vor (selbst gewählte Altersangabe, eigenes Geschlecht, gesuchtes Geschlecht, grobe Region und der grobe H3-Bucket). Sie sind bewusst auf das Minimum reduziert (siehe auch Abschnitt 7 zu Art. 9 DSGVO).

6. Zwecke und Rechtsgrundlagen der Verarbeitung (Art. 6 DSGVO)

Verarbeitung	Zweck	Rechtsgrundlage
Konto über Geräteschlüssel anlegen und betreiben; Profile bereitstellen, Matching, Chat-Vermittlung	Erbringung des Dienstes, den Sie nutzen	Art. 6 Abs. 1 lit. b DSGVO (Vertrag/vorvertragliche Maßnahmen)
Umkreissuche über groben Bereich; Anzeige passender Profile	Kernfunktion „Personen in der Nähe entdecken"	Art. 6 Abs. 1 lit. b DSGVO
Verarbeitung des Volljährigkeits-Status; mehrschichtige Altersverifikation	Erfüllung von Jugendschutz-/Alterssicherungspflichten und Vertragserfüllung	Art. 6 Abs. 1 lit. c i. V. m. lit. b DSGVO; bei aktiver Selbstauskunft zusätzlich lit. a (Einwilligung)
App Attest, gerätegebundene Sperre, Betrugs-/Manipulationsschutz, Meldungen, Red-Flag-Bewertung	Sicherheit des Dienstes, Schutz der Nutzer vor Fakes/Minderjährigen/Missbrauch, Plattformintegrität	Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse); soweit Pflichten nach dem Digital Services Act betroffen sind, lit. c
Verarbeitung technischer Verbindungsdaten (IP, Server-Logs)	Auslieferung, Stabilität, Abwehr von Angriffen	Art. 6 Abs. 1 lit. f DSGVO
Optionale Lifestyle-Angaben (z. B. Beziehungstyp, Raucherstatus, Kinderwunsch)	Freiwillige Profilanreicherung	Art. 6 Abs. 1 lit. a DSGVO (Einwilligung); zudem verschlüsselt gespeichert
Date-Schutz (Sicherheits-Timer, Notfallkontakt, Standort nur im Alarmfall, Kontaktzugriff)	Persönliche Sicherheit bei Treffen	Art. 6 Abs. 1 lit. a DSGVO (Einwilligung); Verarbeitung erfolgt auf dem Gerät bzw. direkt Gerät-zu-Kontakt (siehe Abschnitt 11)
Push-Benachrichtigungen (inhaltslose Wecksignale)	Hinweis auf neue Ereignisse	Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über Systemberechtigung) bzw. lit. b für funktionsnotwendige Hinweise
Warteliste auf realova.de	Einmalige Start-Benachrichtigung	Art. 6 Abs. 1 lit. a DSGVO (siehe Abschnitt 2.4)

Wenn Sie eine Einwilligung erteilt haben (lit. a), können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen (siehe Abschnitt 16). Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

7. Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)

Da Realova ein Dienst zur Anbahnung persönlicher Kontakte ist, können einzelne Angaben — insbesondere das gesuchte Geschlecht sowie freiwillige Angaben in Selbstbeschreibung oder Lifestyle-Feldern — Rückschlüsse auf Ihre sexuelle Orientierung zulassen. Diese gehört zu den besonderen Kategorien personenbezogener Daten (Art. 9 Abs. 1 DSGVO).

Wir stützen die Verarbeitung solcher Daten auf Ihre ausdrückliche Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO, die Sie mit der Aktivierung der entsprechenden Funktionen erteilen und jederzeit widerrufen können. Die Profilinhalte (Profilkarte) werden verschlüsselt gespeichert; die zur Vermittlung nötige Facette „gesuchtes Geschlecht" wird so minimal wie möglich gehalten.

8. Altersverifikation und Apple Declared Age Range

Realova darf nur von volljährigen Personen genutzt werden. Zur Alterssicherung setzen wir ein mehrschichtiges, KI-freies Modell ein; es findet keine KI-gestützte Altersschätzung aus Fotos statt. Soweit verfügbar nutzen wir Apples Declared Age Range API:

Diese Schnittstelle liefert uns ausschließlich die Information, ob Sie volljährig sind (ja/nein) bzw. einen groben Altersbereich. Wir erhalten kein Geburtsdatum, keinen Namen, keine Apple-ID und keine sonstigen Account-Daten von Apple.
In unserem System wird daraus ein einzelner Wahrheitswert („volljährig: ja/nein") gespeichert, der an Ihre Geräte-Identität gebunden ist.
Ergänzend bestätigen Sie Ihre Volljährigkeit durch aktive Selbstauskunft (und durch die Nutzungsbedingungen); eine falsche Altersangabe ist ein Verstoß gegen die Nutzungsbedingungen.
Weitere Schichten sind die Community-Meldung (siehe Abschnitt 17) und eine gerätegebundene Sperre bei begründetem Verdacht auf Minderjährigkeit.
Die Altersentscheidung in der Apple-API findet auf Ihrem Gerät bzw. in Ihrem Apple-Account statt; die Verarbeitung durch Apple richtet sich nach den Datenschutzbestimmungen von Apple.

9. Standort / Umkreissuche

Für die Funktion „Personen im selbst gewählten Umkreis entdecken" verarbeiten wir den Standort bewusst nur grob:

Aus Ihrem Standort wird auf dem Gerät ein vergröberter Bereich (H3-Bucket, ~5 km) gebildet und zusätzlich pro Nutzer stabil „verwackelt" (Jitter); nur dieser grobe Wert wird an den Server übermittelt.
Der Server gibt nach außen nur Ja/Nein zur Umkreis-Zugehörigkeit bzw. gebänderte Distanzen (z. B. „< 5 km", „5–10 km") aus — niemals exakte Koordinaten und keine Distanzen unter 1 km (Schutz vor Trilateration/Triangulation).
Standort-Aktualisierungen erfolgen nur in größeren Intervallen.
Sie können Ihre Auffindbarkeit jederzeit vollständig deaktivieren; dann erscheinen Sie in keiner Umkreissuche und keinem Match-Vorschlag mehr.

10. App Attest (Geräte- und App-Echtheit)

Damit ausschließlich die echte, unveränderte Realova-App mit unserem Server kommuniziert und automatisierte Missbrauchs-/Fake-Accounts erschwert werden, nutzen wir Apples App Attest. Dabei verarbeiten wir einen öffentlichen App-Attest-Schlüssel und eine Schlüssel-ID Ihres Geräts sowie kryptografische Bestätigungen, die gegen Apples Stammzertifikat geprüft werden. Diese Daten dienen der Echtheits- und Integritätsprüfung der App und nicht der Identifikation Ihrer Person. Rechtsgrundlage ist unser berechtigtes Interesse an Sicherheit und Missbrauchsabwehr (Art. 6 Abs. 1 lit. f DSGVO).

Wichtig zum Verständnis: Geprüft wird dabei nur die Echtheit und Unverändertheit der App selbst, nicht die Identität der Person.

11. Date-Schutz (Sicherheits-Timer)

Der optionale Date-Schutz ist als gerätelokale Sicherheitsfunktion ausgelegt:

Notfallkontakt, Kontrollintervall und optionale Treffpunkt-Region werden auf Ihrem Gerät gespeichert; diese Daten gehen nicht an unseren Server.
Der Zugriff auf Ihre Kontakte erfolgt nur, wenn Sie einen Notfallkontakt auswählen, und nur lokal.
Im Alarmfall wird eine Nachricht direkt von Ihrem Gerät an den gewählten Kontakt ausgelöst (z. B. per SMS/Teilen). Ein Standort wird nur im Alarmfall und nur an diesen Kontakt übermittelt; es wird kein Standortverlauf geführt.
Der Date-Schutz ist kein Ersatz für Rettungsdienste. Im Notfall wählen Sie bitte 112.

Rechtsgrundlage: Ihre Einwilligung durch Aktivierung der Funktion (Art. 6 Abs. 1 lit. a DSGVO).

12. Push-Benachrichtigungen

Wenn Sie Benachrichtigungen zulassen, senden wir über den Apple Push Notification service (APNs) inhaltslose Wecksignale (z. B. „neues Ereignis"). Diese Nachrichten enthalten keine Chat-Inhalte und keine personenbezogenen Details. Für die Zustellung wird ein Push-Token verarbeitet und an Apple übermittelt; Apple verarbeitet diese Daten als eigener Verantwortlicher nach seinen Datenschutzbestimmungen. Sie können Push-Benachrichtigungen jederzeit in den Geräteeinstellungen deaktivieren.

13. Empfänger / Auftragsverarbeiter

13.1 Hosting: Hetzner (Deutschland)

Unsere Server sowie die Website werden bei der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland, betrieben. Hetzner verarbeitet die genannten Daten ausschließlich in unserem Auftrag und nach unseren Weisungen auf Grundlage eines Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO. Die Daten werden in Rechenzentren in Deutschland verarbeitet und gespeichert.

13.2 Apple (App-Auslieferung und Push)

Die App Realova wird über den Apple App Store (Apple Distribution International Ltd., Irland) bereitgestellt. Im Zusammenhang mit App Attest, der Declared Age Range API und dem inhaltslosen Push-Dienst (APNs) findet eine Verarbeitung durch Apple statt. Apple ist insoweit eigener Verantwortlicher; es gelten die Datenschutzbestimmungen von Apple.

13.3 Keine Tracking-/Werbe-Dienstleister

Wir setzen keine Analyse-, Tracking- oder Werbe-Dienstleister und keine Werbe-SDKs ein. Wir geben Ihre Daten nicht zu Werbe-, Marketing- oder Profiling-Zwecken an Dritte weiter und verkaufen keine Daten. Eine Weitergabe an Behörden/Strafverfolgung erfolgt ausschließlich im gesetzlich zulässigen Rahmen und nur, soweit uns überhaupt entschlüsselbare Daten vorliegen (in der Regel nur die in Abschnitt 4.2 genannten, nicht verschlüsselten Werte).

14. Übermittlung in Drittländer

Die Verarbeitung der bei uns anfallenden Daten findet in Deutschland statt (Hetzner). Eine aktive Übermittlung personenbezogener Daten durch uns in ein Drittland außerhalb der EU/des EWR findet nicht statt.

Soweit im Zusammenhang mit der Nutzung von Apple-Diensten (App Store, App Attest, APNs) eine Verarbeitung durch Apple auch außerhalb der EU/des EWR erfolgt, geschieht dies in eigener Verantwortung von Apple und auf Grundlage der von Apple vorgehaltenen Garantien und Datenschutzbestimmungen. Der über APNs verarbeitete Push ist inhaltslos.

15. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist:

Warteliste-E-Mail (Website): bis zum Versand der einmaligen Start-Benachrichtigung bzw. bis zu Ihrem Widerruf; danach Löschung (siehe Abschnitt 2.4).
Konto-/Profildaten, verschlüsselte Blöcke, Schlüssel, Vermittlungs-Facetten: für die Dauer Ihres aktiven Kontos. Mit der Kontolöschung werden sie gelöscht (siehe Abschnitt 16).
Chat-Nachrichten (Chiffrate): bis zur Zustellung/Löschung gemäß App-Logik bzw. spätestens mit Kontolöschung; als „einmal sichtbar" geteilte Fotos werden nach dem Abruf serverseitig vernichtet.
Technische Server-/Zugriffsprotokolle (Website und API): möglichst kurz; in der Regel spätestens nach 7 Tagen automatische Löschung, sofern nicht ein konkreter Sicherheitsvorfall eine längere Aufbewahrung erfordert.
Sicherheits-/Moderationsdaten (anonyme Punktwerte, Sperr-Status, Geräte-Bann-Hash, Audit-Hashes): Diese werden auch nach einer Kontolöschung für die Dauer einer bestehenden Sperre bzw. zur Durchsetzung und Dokumentation von Sperren weiter vorgehalten, um die Umgehung von Sperren durch sofortige Neuanmeldung zu verhindern und Sicherheitsanforderungen zu erfüllen (berechtigtes Interesse / rechtliche Verpflichtung). Diese Daten sind anonymisiert bzw. pseudonymisiert und enthalten keine Klaridentität. Bei einer dauerhaften Sperre kann der zugehörige Geräte-Bann-Hash unbefristet vorgehalten werden.

16. Ihre Rechte als betroffene Person

Sie haben nach der DSGVO folgende Rechte. Bitte beachten Sie die nachfolgende Besonderheit der Zero-Knowledge-Architektur.

Auskunft (Art. 15 DSGVO): Sie können Auskunft über die zu Ihnen verarbeiteten Daten verlangen. Da Sie gegenüber uns über Ihren öffentlichen Geräteschlüssel pseudonym auftreten, müssen Sie sich hierfür über Ihr Gerät/Ihren Schlüssel authentifizieren; verschlüsselte Inhalte können wir Ihnen nur als Chiffrat bereitstellen, da wir den Klartext nicht kennen.
Berichtigung (Art. 16 DSGVO): Profilangaben können Sie jederzeit in der App ändern.
Löschung / „Recht auf Vergessenwerden" (Art. 17 DSGVO): Sie können Ihr Konto und die zugehörigen Daten vollständig in der App löschen (technisch über DELETE /v1/identity). Dabei werden Ihre serverseitigen Konto-, Profil-, Match- und Chat-Daten entfernt; Ihre lokal gespeicherten Schlüssel werden auf dem Gerät gelöscht. Ausgenommen sind die in Abschnitt 15 genannten Sicherheits-/Sperrdaten, die wir zur Durchsetzung von Sperren und aus rechtlichen Gründen begrenzt weiter vorhalten dürfen (Art. 17 Abs. 3 DSGVO).
Einschränkung der Verarbeitung (Art. 18 DSGVO).
Datenübertragbarkeit (Art. 20 DSGVO): soweit anwendbar; betrifft die wenigen strukturierten, nicht verschlüsselten Daten.
Widerspruch (Art. 21 DSGVO): Gegen Verarbeitungen auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f) können Sie aus Gründen Ihrer besonderen Situation widersprechen.
Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO): jederzeit mit Wirkung für die Zukunft (z. B. durch Deaktivieren der jeweiligen Funktion oder formlose Mitteilung).

Architektur-Hinweis: Weil wir Sie nicht über Name, E-Mail oder Telefonnummer kennen, ist die Authentifizierung Ihrer Rechteausübung an Ihr Gerät und Ihren privaten Schlüssel gebunden. Verlieren Sie den Schlüssel (z. B. durch Gerätewechsel/Deinstallation ohne Backup), können wir Sie nicht mehr identifizieren und Ihnen das pseudonyme Konto nicht zuordnen — dies ist eine bewusste Folge der Datensparsamkeit.

Zur Ausübung Ihrer Rechte wenden Sie sich an: info@ki-shield.de.

17. Automatisierte Entscheidungen / Sperren und Ihr Einspruchsrecht (Art. 22 DSGVO, DSA)

Zum Schutz aller Nutzer setzt Realova ein automatisiertes Melde- und Sperrsystem (Red Flags) ein:

Melden (Hinweisverfahren nach Art. 16 DSA): Jede angemeldete Person kann Profile/Nachrichten melden — ohne vorherige Verifizierung und ohne vorherigen Kontakt. Solche Hinweise werden vom Betreiber geprüft.
Flaggen (gewichtetes Red-Flag-Scoring): Ein Flaggen, das unmittelbar in die automatische Sperrberechnung einfließt, setzt eine abgeschlossene Verifizierung und einen zuvor tatsächlich bestandenen Kontakt voraus. Flaggen werden gewichtet (leichte Verstöße gering, schwere deutlich höher, kritische sofort). Der Betreiber sieht dabei keine Inhalte im Klartext, sondern nur anonyme Punktwerte und Status.
Erreicht der anonyme Punktwert eine Schwelle oder liegt ein kritischer Verstoß (z. B. Verdacht auf Minderjährigkeit) vor, kann das Konto automatisch und gerätegebunden gesperrt werden (gestufte Sperrdauer bis hin zur dauerhaften Sperre).

Diese automatisierte Sperre kann eine Entscheidung mit erheblicher Auswirkung im Sinne des Art. 22 DSGVO darstellen. Sie haben daher das Recht auf:

Mitteilung über die Sperre und ihre Dauer — ohne Offenlegung der meldenden Person oder von Inhalten;
Einspruch / Beschwerde gegen die Entscheidung und auf Überprüfung durch einen Menschen;
Darlegung Ihres Standpunkts.

Zusätzlich gewähren wir nach dem Digital Services Act (DSA) ein internes Beschwerde-/Einspruchsverfahren gegen Moderationsentscheidungen. Den Einspruch können Sie direkt in der App einreichen (auch bei bestehender Sperre); Ihr Einspruchstext wird verschlüsselt übermittelt. Für strafrechtlich relevante Inhalte besteht ein dokumentierter Eskalationsweg.

18. Kein Tracking, keine Werbung, keine Profilbildung zu Werbezwecken

Realova enthält — sowohl auf der Website als auch in der App — kein Tracking, keine Werbe-IDs und keine Analyse-Pixel oder SDKs Dritter (insbesondere keine Werbe-, Analyse- oder Crash-Tracker von Drittanbietern). Wir erstellen keine Werbeprofile und führen kein Cross-App-/Cross-Site-Tracking durch. Es findet keine sucht- bzw. engagementgetriebene Auswertung Ihres Nutzungsverhaltens zu Marketingzwecken statt.

19. Datensicherheit

Wir treffen technische und organisatorische Maßnahmen nach Art. 32 DSGVO, insbesondere:

Ende-zu-Ende-Verschlüsselung der Chat-Inhalte sowie verschlüsselte Speicherung der Profilkarte (AES-256-GCM); der Server speichert ganz überwiegend nur Chiffrate.
Gerätegebundene Schlüssel, deren private Anteile das Gerät nicht verlassen.
Hybride kryptografische Signaturen (Ed25519 + ML-DSA-65) sowie ein Post-Quantum-Ansatz (ML-KEM-768) für zukunftssichere Sicherheit.
App Attest zur App-/Geräte-Echtheit.
Schutz gegen Trilateration/Standort-Triangulation durch grobe Buckets, stabilen Jitter, Distanz-Bänder und Intervall-Drosselung.
Datenverarbeitung ausschließlich in deutschen Rechenzentren (Hetzner) auf Grundlage eines AVV nach Art. 28 DSGVO.

20. Beschwerderecht bei einer Aufsichtsbehörde

Unbeschadet anderer Rechtsbehelfe haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO), insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.

Die für den Verantwortlichen (Sitz Thüringen) zuständige Aufsichtsbehörde ist:

Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit (TLfDI) Häßlerstraße 8 99096 Erfurt Deutschland

21. Pflicht zur Bereitstellung / Folgen der Nichtbereitstellung

Die Bereitstellung der für den Betrieb der App zwingend nötigen Daten (insbesondere Geräteschlüssel, Volljährigkeits-Status, grober Standortbereich für die Umkreissuche) ist erforderlich, um Realova nutzen zu können. Ohne sie ist eine Verifikation bzw. Kontaktaufnahme nicht möglich. Das bloße Stöbern ist ohne Verifikation möglich; für den Erstkontakt ist die Verifikation erforderlich. Optionale Angaben sind freiwillig. Die Eintragung in die Warteliste auf realova.de ist vollständig freiwillig.

22. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich die Datenverarbeitung oder die Rechtslage ändert. Es gilt die jeweils in der App bzw. auf realova.de/datenschutz veröffentlichte aktuelle Fassung. Über wesentliche Änderungen informieren wir in geeigneter Weise.

Verantwortlich für diese Datenschutzerklärung: KI-Shield UG (haftungsbeschränkt), Ritterstraße 2, 99718 Greußen. Stand: 22. Juni 2026, Version 1.0.