Datenschutzerklärung
Stand: 18. Juli 2026
Kurzfassung: Private Calendar ist Ende-zu-Ende-verschlüsselt. Ihre Termine werden auf Ihrem Gerät verschlüsselt, bevor sie den Server erreichen. Der Server speichert ausschließlich Chiffrat und kann Titel, Ort und Beschreibung Ihrer Termine nicht lesen. Es gibt keine Werbung, kein Tracking, keine Analyse-Dienste und keine Weitergabe an Dritte zu Werbezwecken.
1. Verantwortlicher
Verantwortlich für die Datenverarbeitung im Sinne von Art. 4 Nr. 7 DSGVO ist:
- Name
- Private Calendar - Julius Kramer
- Anschrift
- c/o Online-Impressum #9643
Europaring 90
53757 St Augustin
Deutschland - private.calendar@mail.online-impressum.de
Für Fragen zum Datenschutz und zur Ausübung Ihrer Rechte erreichen Sie uns unter der oben genannten E-Mail-Adresse. Weitere Angaben finden Sie im Impressum.
2. Grundprinzip: Ende-zu-Ende-Verschlüsselung
Der Dienst ist so gebaut, dass der Betreiber Ihre Kalenderinhalte technisch nicht einsehen kann.
- Aus Ihrem Passwort wird auf Ihrem Gerät ein Schlüssel abgeleitet, der einen zufälligen Master-Schlüssel entschlüsselt. Aus diesem werden die Schlüssel der einzelnen Kalender abgeleitet.
- Termine werden vor jeder Netzwerkübertragung mit AES-256-GCM verschlüsselt. Der Server erhält nur den fertigen Geheimtext.
- Der Server erhält niemals Ihr Passwort im Klartext, sondern ausschließlich einen daraus abgeleiteten Anmelde-Prüfwert (Verifier).
- Auch die Kontowiederherstellung ist zero-knowledge: Der Wiederherstellungsschlüssel entsteht in Ihrem Browser und wird dem Server nie im Klartext übermittelt.
- Beim Teilen von Kalendern wird der Kalenderschlüssel per ECDH für die empfangende Person verschlüsselt. Der Server kann ihn nicht auspacken.
Was der Server dadurch nicht sehen kann: Passwort, Master-Schlüssel, Kalenderschlüssel sowie Titel, Ort, Beschreibung und Teilnehmer Ihrer Termine.
3. Verarbeitete Daten
Für den Betrieb des Kontos und der Synchronisation verarbeitet der Server die folgenden Daten:
| Kategorie | Daten | Zweck |
|---|---|---|
| Kontodaten | E-Mail-Adresse, Passwort-Prüfwert samt Salt, Bestätigungsstatus, Bestätigungscode mit Ablaufzeit, Registrierungszeitpunkt | Konto anlegen, Anmeldung, E-Mail-Bestätigung |
| Zwei-Faktor-Authentisierung | TOTP-Geheimnis (verschlüsselt gespeichert), Aktivierungsstatus | Verpflichtender zweiter Anmeldefaktor zum Schutz des Kontos |
| Sitzungsdaten | Sitzungs-Token (nur als Hash), IP-Adresse, User-Agent, Erstellungs- und Zugriffszeitpunkt, Ablaufzeit | Angemeldet bleiben, Geräteübersicht, Missbrauchserkennung |
| Vertrauenswürdige Geräte | Geräte-Token (nur als Hash), Erstellungszeitpunkt, Ablaufzeit | Optional: den zweiten Faktor auf einem bestätigten Gerät für 14 Tage überspringen |
| Kalenderinhalte | Verschlüsselte Datenblöcke sowie technische Metadaten: Konto-Kennung, Kalender-Kennung, Zeitraum-Bucket, Start-/Endzeitraum des Blocks, Version, Änderungszeitpunkt | Synchronisation zwischen Ihren Geräten |
| Schlüsselmaterial | Öffentlicher Schlüssel, verschlüsselter privater Schlüssel, verschlüsselter Wiederherstellungs-Container | Teilen von Kalendern, Kontowiederherstellung |
| Freigaben | Kennungen der beteiligten Konten, verschlüsselter Kalenderschlüssel, Rolle (Lesen/Schreiben), Status der Einladung, Einladungszeitpunkt, Einladungsverweis für den Link in der Einladungs-E-Mail | Geteilte Kalender, Einladung und Zustimmung des Mitglieds |
| Fehlversuche | Zähler fehlgeschlagener Anmeldungen, Sperrzeitpunkt | Schutz vor automatisiertem Durchprobieren von Passwörtern |
| Öffentliche Löschanfrage | Angegebene Konto-E-Mail-Adresse, Eingangszeitpunkt und – falls vorhanden – interne Konto-Kennung, Bestätigungsstatus und Registrierungszeitpunkt | Zuordnung und manuelle Bearbeitung einer Löschanfrage, wenn keine Anmeldung mehr möglich ist |
| Impressums-Kontaktformular | Absender-E-Mail-Adresse, Betreff, Nachricht, Einwilligungsstatus und Eingangszeitpunkt | Weiterleitung der Nachricht an den Verantwortlichen und Beantwortung der Kontaktaufnahme |
| Bot-Schutz des Kontaktformulars | IP-Adresse, TLS-Fingerabdruck, User-Agent, Website-Schlüssel und aufgerufener Ursprung sowie ein kurzlebiges Prüftoken | Erkennung und Abwehr automatisierter Formularübermittlungen |
Hinweis zu Metadaten: Auch wenn die Inhalte verschlüsselt sind, sieht der Server technisch notwendige Metadaten — insbesondere, dass ein Konto existiert, wie viele Kalender es gibt, in welchen Zeiträumen Termine liegen und wann zuletzt synchronisiert wurde. Diese Angaben sind für die Zuordnung und Synchronisation der Datenblöcke erforderlich.
4. Zwecke und Rechtsgrundlagen
- Bereitstellung von Konto und Synchronisation — Art. 6 Abs. 1 lit. b DSGVO
- Verarbeitung von Kontodaten, Kalenderblöcken, Schlüsselmaterial und Freigaben zur Erfüllung des Nutzungsverhältnisses.
- Sicherheit des Dienstes — Art. 6 Abs. 1 lit. f DSGVO
- Verarbeitung von IP-Adresse, User-Agent und Fehlversuchszählern zur Abwehr von Angriffen und Missbrauch. Unser berechtigtes Interesse ist der sichere und stabile Betrieb des Dienstes.
- Zwei-Faktor-Authentisierung — Art. 6 Abs. 1 lit. b und f DSGVO
- Für jedes Konto verpflichtend, um den geschützten Dienst bereitzustellen und Konten gegen unbefugten Zugriff abzusichern. Unser berechtigtes Interesse ist der sichere Betrieb des Dienstes.
- Bearbeitung öffentlicher Löschanfragen — Art. 6 Abs. 1 lit. b und Art. 17 DSGVO
- Zuordnung, Identitätsprüfung und Durchführung einer beantragten Kontolöschung.
- Impressums-Kontaktformular — Art. 6 Abs. 1 lit. a DSGVO
- Weiterleitung und Bearbeitung der freiwillig eingegebenen Nachricht auf Grundlage Ihrer ausdrücklichen Einwilligung. Die Einwilligung kann mit Wirkung für die Zukunft widerrufen werden.
- Schutz des Kontaktformulars — Art. 6 Abs. 1 lit. f DSGVO
- Cloudflare Turnstile sowie serverseitige Größen- und Ratenbegrenzungen verhindern automatisierten Missbrauch. Unser berechtigtes Interesse ist die Verfügbarkeit und Sicherheit des gesetzlich bereitgestellten Kontaktwegs.
- Datensicherung — Art. 6 Abs. 1 lit. f DSGVO
- Verschlüsselte Sicherungskopien zum Schutz vor Datenverlust.
Erforderlichkeit der Bereitstellung
Die Angabe einer E-Mail-Adresse und eines Passworts sowie die Einrichtung der Zwei-Faktor-Authentisierung sind zur Nutzung des Dienstes erforderlich: Ohne diese Angaben lässt sich kein nutzbares Konto anlegen. Sie sind weder gesetzlich noch vertraglich verpflichtet, uns diese Daten bereitzustellen — die einzige Folge einer Nichtbereitstellung ist, dass eine Kontonutzung und damit die Synchronisation zwischen Ihren Geräten nicht möglich ist. Das Markieren eines Geräts als vertrauenswürdig und das Abonnieren externer Kalender sind freiwillig.
Keine automatisierte Entscheidungsfindung
Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 Abs. 1 und 4 DSGVO statt. Die zeitlich befristete Sperre nach mehreren fehlgeschlagenen Anmeldeversuchen dient allein der technischen Missbrauchsabwehr und entfaltet keine rechtliche Wirkung Ihnen gegenüber.
5. E-Mail-Versand
Der Dienst versendet E-Mails ausschließlich in diesen fünf Fällen:
- Bestätigungscode an Ihre Adresse bei der Registrierung.
- Einladung an Sie, wenn eine andere Person einen Kalender mit Ihnen teilen möchte. Die Nachricht nennt die E-Mail-Adresse der einladenden Person und enthält einen Verweis, der die App bei dieser Einladung öffnet. Der Verweis erteilt für sich genommen keinen Zugriff; angenommen wird eine Einladung nur in einer angemeldeten Sitzung.
- Bestätigung an die einladende Person, wenn Sie deren Einladung annehmen. Die Nachricht nennt Ihre E-Mail-Adresse.
- Öffentliche Löschanfrage an die verantwortliche Person. Die Nachricht enthält die von Ihnen angegebene Konto-E-Mail-Adresse sowie die zur Zuordnung erforderlichen technischen Kontodaten, aber keine Kalenderinhalte. Vor einer manuellen Löschung wird die Identität über die hinterlegte Konto-E-Mail geprüft.
- Impressums-Kontaktformular an die verantwortliche Person. Die Nachricht enthält Absender-E-Mail-Adresse, Betreff und Nachrichtentext. Die angegebene Adresse wird als Antwortadresse gesetzt.
Versendet wird über den Transactional-Mail-Dienst der Scaleway SAS, 8 rue de la Ville-l'Évêque, 75008 Paris, Frankreich. Dabei werden die betroffene E-Mail-Adresse und der jeweilige Nachrichteninhalt übertragen; bei Einladungen erfährt der Dienstleister damit auch, dass zwischen zwei Adressen eine Freigabe besteht. Die Verarbeitung findet innerhalb der Europäischen Union statt.
Kalenderinhalte werden nicht per E-Mail versendet. Auch der Name des geteilten Kalenders steht nicht in der Einladung: Er ist Ende-zu-Ende-verschlüsselt, dem Server nicht bekannt und wird erst nach dem Entschlüsseln in der App angezeigt.
Bot-Schutz des Kontaktformulars
Das Kontaktformular im Impressum verwendet Cloudflare Turnstile der Cloudflare, Inc., 101 Townsend Street, San Francisco, CA 94107, USA. Beim Laden des Formulars verarbeitet Turnstile insbesondere IP-Adresse, TLS-Fingerabdruck, User-Agent, Website-Schlüssel und den aufgerufenen Ursprung, um Menschen von automatisierten Zugriffen zu unterscheiden. Der Browser lädt dafür Programmcode und einen Prüfrahmen von challenges.cloudflare.com; der Server lässt jede Nachricht zusätzlich über die Siteverify-Schnittstelle prüfen. Formulardaten wie E-Mail-Adresse, Betreff oder Nachricht werden nicht an Cloudflare übermittelt.
Cloudflare verarbeitet die Sicherheitssignale teils als Auftragsverarbeiter und teils in eigener Verantwortung zur Verbesserung der Bot-Erkennung. Soweit Daten in die USA oder andere Drittländer übertragen werden, stützt Cloudflare die Übermittlung nach seinem Auftragsverarbeitungsvertrag auf die EU-Standardvertragsklauseln. Weitere Informationen enthält der Turnstile-Datenschutzhinweis von Cloudflare.
Online-Impressum.de verarbeitet die Eingaben des Kontaktformulars nicht. Das Formular wird unmittelbar von Private Calendar bereitgestellt; seine Inhalte werden ausschließlich über den oben genannten E-Mail-Dienst an die verantwortliche Person weitergeleitet.
6. Hosting und Sicherungskopien
Der Dienst läuft auf Servern der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland. Der genutzte Serverstandort ist das Rechenzentrum Nürnberg, Deutschland.
Es werden täglich verschlüsselte Sicherungskopien der Datenbank erstellt. Diese sind vor dem Schreiben mit AES-256-GCM verschlüsselt; die jeweils letzten 14 Tagesstände werden lokal vorgehalten.
Zusätzlich werden verschlüsselte Kopien bei Exoscale (Akenes SA, Boulevard de Grancy 19A, 1006 Lausanne, Schweiz) in der Zone ch-dk-2 (Raum Zürich, Schweiz) abgelegt. Der Speicheranbieter erhält ausschließlich Chiffrat und besitzt keinen Schlüssel.
Übermittlung in ein Drittland
Die Auslagerung der Sicherungskopien an Exoscale bedeutet eine Übermittlung in die Schweiz und damit in ein Land außerhalb der EU und des EWR. Für die Schweiz besteht ein Angemessenheitsbeschluss der Europäischen Kommission nach Art. 45 DSGVO; die Schweiz gewährleistet damit ein der EU vergleichbares Datenschutzniveau, sodass für diese Übermittlung keine zusätzlichen Garantien erforderlich sind. Unabhängig davon verlassen ausschließlich verschlüsselte Daten unseren Server — Exoscale kann die gespeicherten Inhalte weder entschlüsseln noch einsehen.
7. Abonnierte externe Kalender
Wenn Sie einen externen Kalender per iCal-Adresse abonnieren, ruft der Server diese Adresse in Ihrem Auftrag regelmäßig ab (etwa alle sechs Stunden) und stellt Ihnen den Inhalt zur Verfügung. Dabei erfährt der Betreiber der abonnierten Adresse die IP-Adresse unseres Servers, nicht Ihre. Die abonnierte Adresse selbst wird verschlüsselt in Ihren Kalenderdaten gespeichert. Inhalte abonnierter Kalender werden schreibgeschützt übernommen.
8. Android-App
Die Android-App verarbeitet dieselben Daten wie die Web-App und enthält keine Werbe-, Analyse-, Tracking- oder Absturzberichts-Bibliotheken von Dritten. Sie übermittelt Daten nur an den Private-Calendar-Dienst; dort gelten die in dieser Erklärung beschriebenen Empfänger für Hosting, E-Mail-Versand und verschlüsselte Sicherungskopien. Eine zusätzliche, app-spezifische Weitergabe findet nicht statt.
Berechtigungen
- Internet und Netzwerkstatus — Synchronisation mit dem Server; der Netzwerkstatus steuert, wann Änderungen hochgeladen werden.
- Benachrichtigungen — optionale Erinnerungen an Termine. Die Berechtigung wird erst nach erfolgreicher Anmeldung abgefragt und kann abgelehnt werden.
Speicherung auf dem Gerät
Kalenderdaten liegen auf dem Gerät in einer mit SQLCipher verschlüsselten Datenbank. Der zugehörige Schlüssel wird durch den Android-Keystore geschützt. Termininhalte werden nicht in Protokolldateien, Einstellungen oder Android-Systemsicherungen geschrieben. Erinnerungs-Benachrichtigungen werden erst unmittelbar vor der Anzeige auf dem Gerät entschlüsselt.
9. Keine Analyse, keine Werbung, keine Cookies zu Werbezwecken
Der Dienst setzt keine Analyse- oder Werbe-Tracking-Werkzeuge ein und bindet keine externen Schriftarten oder Werbenetzwerke ein. Ausschließlich im Impressums-Kontaktformular wird der oben beschriebene, technisch notwendige Bot-Schutz Cloudflare Turnstile geladen. Es werden keine Werbe-Cookies gesetzt. Für die Anmeldung notwendige Token werden verschlüsselt lokal auf Ihrem Gerät gespeichert und dienen ausschließlich der Aufrechterhaltung Ihrer Sitzung.
10. Speicherdauer und Löschung
- Kontodaten und Kalenderblöcke werden gespeichert, solange Ihr Konto besteht.
- Sitzungen und vertrauenswürdige Geräte laufen automatisch ab und werden danach entfernt.
- Nicht bestätigte Registrierungen werden automatisch gelöscht, wenn die E-Mail-Adresse nicht innerhalb von sieben Tagen bestätigt wird.
- Bei Kontolöschung werden alle Datenbankinhalte Ihres Kontos unmittelbar und vollständig gelöscht. Ausgelagerte verschlüsselte Blöcke werden sofort gesperrt und spätestens nach 30 Tagen endgültig entfernt; verschlüsselte Gesamtsicherungen werden ebenfalls nach spätestens 30 Tagen ausgesondert.
- Löschanfragen und zugehörige Korrespondenz werden nach Abschluss der Bearbeitung, spätestens nach 30 Tagen, entfernt, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
- Kontaktformular-Nachrichten und zugehörige Korrespondenz werden nach abschließender Bearbeitung, spätestens nach 30 Tagen, entfernt, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Der Private-Calendar-Server speichert den Nachrichtentext nicht in seiner Datenbank.
- Turnstile-Prüftoken werden vom Private-Calendar-Server nur für die unmittelbare Prüfung verwendet und nicht gespeichert. Für die von Cloudflare verarbeiteten Sicherheitssignale gelten die im verlinkten Turnstile-Datenschutzhinweis beschriebenen Fristen.
- Sicherungskopien werden turnusmäßig überschrieben (lokal die letzten 14 Tagesstände).
Die Löschung des Kontos können Sie jederzeit selbst in den Einstellungen vornehmen. Sie erfordert die Eingabe eines Bestätigungssatzes und Ihres Passworts. Wenn Sie sich nicht mehr anmelden können, steht zusätzlich die öffentliche Seite Konto löschen für eine manuell geprüfte Löschanfrage zur Verfügung.
11. Ihre Rechte
Ihnen stehen gegenüber dem Verantwortlichen die folgenden Rechte zu:
- Auskunft über die zu Ihrer Person verarbeiteten Daten (Art. 15 DSGVO)
- Berichtigung unrichtiger Daten (Art. 16 DSGVO)
- Löschung (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO) — die App bietet zusätzlich einen Export Ihrer Daten als JSON oder ICS an
- Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen (Art. 21 DSGVO) — siehe den gesonderten Abschnitt 12
- Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
Grenze der Auskunft: Da Ihre Kalenderinhalte Ende-zu-Ende-verschlüsselt sind, kann eine Auskunft diese Inhalte nur als Chiffrat umfassen. Den Klartext erhalten Sie jederzeit selbst über die Exportfunktion in der App.
Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren (Art. 77 DSGVO). Sie können sich hierfür an die Aufsichtsbehörde Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes wenden.
12. Widerspruchsrecht
Sie haben das Recht, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten Widerspruch einzulegen, die auf Grundlage berechtigter Interessen nach Art. 6 Abs. 1 lit. f DSGVO erfolgt (Art. 21 Abs. 1 DSGVO).
Das betrifft in diesem Dienst die Verarbeitung von IP-Adresse, User-Agent und Fehlversuchszählern zur Abwehr von Angriffen und Missbrauch sowie die Erstellung verschlüsselter Sicherungskopien. Ein Widerspruch setzt keine Begründung voraus, wenn er sich aus Ihrer besonderen Situation ergibt.
Legen Sie Widerspruch ein, verarbeiten wir die betroffenen Daten nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Für den Widerspruch genügt eine formlose Nachricht an die in Abschnitt 1 genannte E-Mail-Adresse.
13. Änderungen dieser Erklärung
Wir passen diese Datenschutzerklärung an, wenn sich die Funktionen des Dienstes oder die Rechtslage ändern. Die jeweils aktuelle Fassung ist unter dieser Adresse abrufbar. Das Datum der letzten Änderung finden Sie oben unter „Stand“.