Datenschutzerklärung – Intisaar

Stand: 9. Juli 2026 · Version 2.1

Diese Datenschutzerklärung informiert dich darüber, welche personenbezogenen Daten wir (nachfolgend „wir" oder „Intisaar") erheben, wenn du unsere mobile Anwendung Intisaar nutzt oder unsere Backend-API aufrufst. Sie erfüllt die Anforderungen der EU-Datenschutz-Grundverordnung (DSGVO/GDPR), des schweizerischen, revidierten Datenschutzgesetzes (revDSG, in Kraft seit dem 1. September 2023), sowie der Quran Foundation Developer Privacy-Policy Requirements (Stand 2025-06-13).

Intisaar ist eine eigenständige Anwendung und kein offizielles Produkt der Quran Foundation. Wir nutzen die Quran Foundation APIs (im Folgenden „QF APIs"), die Quranischen Texte, Audio-Rezitationen, Tafsir und Wörter-Daten bereitstellen, die ursprünglich über die Domains quran.com und QuranReflect veröffentlicht wurden.


1. Verantwortlicher

Verantwortlich im Sinne von Art. 4 Nr. 7 DSGVO und Art. 5 lit. j revDSG ist:

Intisaar — privates, nicht-kommerzielles Open-Source-Projekt E-Mail: info@intisaar.ch Postanschrift: Glasistrasse 9, 8180 Bülach, Schweiz

2. Grundprinzipien

Intisaar ist nach dem Prinzip Privacy by Design & by Default gebaut:

  • Lokal zuerst. Kerndaten (Standort, Präferenzen, aktivierte Sunan, lokaler Benachrichtigungs-Zeitplan, Hijri-Kalender) werden ausschließlich auf deinem Gerät gespeichert.
  • Kein Tracking, keine Werbe-Profile. Wir verwenden keine Werbe-Tracker, keine Analyse-SDKs wie Google Analytics oder Firebase Analytics und keine Werbe-IDs. Deine Daten werden niemals zum Aufbau von Werbeprofilen verwendet.
  • Keine Weitergabe, kein Mining, keine KI-Training-Zweckentfremdung. Wir verkaufen, vermieten oder „minen" deine personenbezogenen Daten nicht. Insbesondere werden deine Notizen, Reflexionen oder andere nutzergenerierte Inhalte nicht ohne deine vorherige, ausdrückliche Einwilligung zum Training von KI-Modellen verwendet.
  • Konto optional. Die App ist vollständig anonym nutzbar. Ein Account wird nur benötigt, wenn du deine Einstellungen geräteübergreifend synchronisieren oder Quran-Lesezeichen über die QF APIs synchronisieren möchtest.
  • Datensparsamkeit. Wir erheben nur das, was für den jeweiligen Zweck technisch notwendig ist (Art. 5 Abs. 1 lit. c DSGVO).

3. Welche Daten verarbeitet werden

3.1 Lokal auf deinem Gerät (keine Übermittlung an uns)

Datenkategorie Beispiele Speicherort
Standort Geo-Koordinaten (Lat/Lng), Ortsname AsyncStorage (Mobilgerät)
Präferenzen Sprache, Theme, Berechnungsmethode, Madhab, Hochbreitenregel, Ruhezeiten, globaler Offset AsyncStorage
Aktive Sunan IDs der aktivierten Sunan AsyncStorage
Onboarding-Status abgeschlossen ja/nein AsyncStorage
Benachrichtigungs-Zeitplan lokal geplante Notifications OS-Scheduler
Quran-Cache Verse, Audio-URLs, Tafsir, Kapitel-Info — abgerufen über die QF APIs AsyncStorage, max. 7 Tage TTL (Quran Foundation Terms §3.1)
OAuth-Tokens (Quran.com) Access-/Refresh-Token, falls du mit Quran.com verbunden bist expo-secure-store (Keychain / EncryptedSharedPreferences), niemals AsyncStorage

Für die Gebetszeiten wird dein Standort ausschließlich lokal verarbeitet: Die Berechnung erfolgt mittels der Open-Source-Bibliothek adhan direkt auf deinem Gerät; die Koordinaten werden dafür niemals an unseren Server übertragen und nicht mit deinem Konto synchronisiert (siehe 3.2).

Ausnahme – Umkreissuche. Nutzt du aktiv die „Moscheen in der Nähe"-Suche (bzw. eine vergleichbare Umkreissuche, etwa für Halal-Restaurants), werden deine ungefähren Koordinaten einmalig als Suchanfrage an unseren Server gesendet, ausschließlich um dir nahe gelegene Ergebnisse per geografischer Umkreis-Abfrage zurückzugeben. Diese Koordinaten werden nicht dauerhaft gespeichert, nicht mit deinem Konto verknüpft und nicht zu Profil- oder Werbezwecken verwendet. Du kannst die Suche auch ohne Standortfreigabe über eine manuelle Ortseingabe nutzen.

3.2 Serverseitig (nur bei freiwilliger Account-Nutzung)

Wenn du ein Konto erstellst, verarbeiten wir folgende Daten:

  • Konto-Stammdaten: E-Mail-Adresse, bcrypt-Hash deines Passworts, Verifizierungsstatus, Erstellungs- und Aktualisierungszeitpunkt.
  • Session-Tokens: JWT-Refresh-Tokens (zur Anmeldung auf mehreren Geräten) und Zugriffs-Tokens.
  • Sync-Daten: Einstellungen und aktivierte Sunan, wenn du „Sync" aktivierst. Dein Standort wird nicht synchronisiert.
  • E-Mail-Token: E-Mail-Bestätigungs- und Passwort-Reset-Token (kurzlebig).
  • Spenden-Metadaten: falls du über die App spendest, einen pseudonymen Stripe-Customer-Identifier sowie die Information über Betrag, Datum und Status der Spende. Wir erhalten niemals deine vollständigen Karten- oder Kontodaten — diese verbleiben bei Stripe (siehe 3.4).
  • Rate-Limit-Metadaten: gehashte IP/E-Mail-Paare zur Missbrauchsverhinderung (kurzlebig, max. 24 h).
  • Sicherheits-Audit-Log: Login-Versuche, Passwort-Resets etc. – ohne Klartext-IP, nur für Sicherheitszwecke (max. 90 Tage).

3.3 Quran-Lesezeichen & Lesefortschritt via Quran Foundation APIs

Wenn du dich freiwillig mit deinem Quran.com-Account verbindest („Mit Quran.com verbinden"), nutzen wir die QF User APIs, um folgende Daten direkt zwischen deinem Gerät und Quran.com zu synchronisieren — diese Daten verlassen nie unsere Sub-Processor-Kette und werden nicht in unserer eigenen Datenbank gespeichert:

  • Lesezeichen (Verse, die du markiert hast)
  • Aktueller Lese-Position (letzte Sure + Vers)
  • OAuth-Access-/Refresh-Token (lokal auf deinem Gerät, siehe 3.1)

Sensible religiöse Daten — Ausdrückliche Einwilligung. Religiöse Daten gelten unter Art. 9 DSGVO als „besondere Kategorie personenbezogener Daten". Vor der Verbindung mit Quran.com bitten wir dich um eine separate, ausdrückliche Opt-in-Einwilligung (keine vorab angekreuzten Felder). Du kannst die Einwilligung jederzeit über „Abmelden" widerrufen, was lokal alle Tokens löscht und remote über die QF-Revocation-Endpoint kommuniziert wird (siehe 7).

Öffentliche Inhalte über die QF APIs. Die Quran-Texte selbst (Arabisch, Übersetzungen, Tafsir, Audio) sind öffentliche Quranische Daten, die wir über die QF APIs abrufen, ohne dass dabei personenbezogene Daten von Quran.com an uns übertragen werden.

3.4 Zahlungs- und Spenden­abwicklung (Stripe)

Wenn du über die App spendest, wickeln wir den Zahlungsvorgang über Stripe Payments Europe Ltd. (Irland) ab. Stripe ist nach PCI-DSS Level 1 zertifiziert. Wir senden Stripe deinen Spendenbetrag, deine Zahlungsart-Auswahl und (sofern angegeben) deine E-Mail; Stripe verarbeitet alle sensiblen Zahlungsdaten direkt. Detail-Informationen: Stripe Privacy Policy.

3.5 Fehler- und Stabilitäts-Telemetrie (Sentry)

Zur Erkennung von Abstürzen und technischen Fehlern setzen wir Sentry ein. Übertragen werden ausschließlich:

  • Fehlermeldung, Stacktrace, App-Version, OS-Version, Gerätemodell, Sprache.
  • Keine E-Mail-Adresse, keine IP-Adresse (sendDefaultPii=false), keine Inhalte deiner Sunan- oder Lesezeichen-Liste.

Du kannst diese Telemetrie in den App-Einstellungen deaktivieren.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem stabilen Produkt).

3.6 Rezitations-Aufnahme & Tajweed-Feedback (OpenAI Whisper)

Die App bietet eine optionale Funktion, mit der du eine Koranstelle laut rezitieren kannst, um ein Aussprache-/Tajweed-Feedback zu erhalten. Nur wenn du diese Funktion aktiv startest, nimmt die App über das Mikrofon deine Rezitation auf und überträgt die Audioaufnahme an unseren Server, der sie zur Spracherkennung an OpenAI Whisper (api.openai.com, Modell whisper-1, Sprache Arabisch) weiterleitet. Das Ergebnis (Transkript + Wort-für-Wort-Abgleich mit dem erwarteten Vers) wird dir angezeigt.

  • Übertragen werden die Audioaufnahme sowie die Nummer von Sure und Vers. Keine E-Mail, kein Konto-Bezug — die Funktion ist auch ohne Login nutzbar und die Aufnahme wird nicht mit deiner Identität verknüpft.
  • Wir speichern die Audioaufnahme nicht dauerhaft auf unseren Servern; sie wird nur zur Transkription durchgereicht.
  • OpenAI verarbeitet die Aufnahme als Auftragsverarbeiter zur Erbringung der Transkription. Die Übertragung erfolgt in die USA; wir stützen uns auf EU-Standardvertragsklauseln (SCC).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktives Starten der Aufnahme). Erteile keine Aufnahme, wenn du dies nicht wünschst — alle übrigen Funktionen bleiben nutzbar.

4. Zwecke & Rechtsgrundlagen der Verarbeitung

Zweck Datenkategorie Rechtsgrundlage
Gebetszeiten berechnen Standort (nur lokal) Art. 6 Abs. 1 lit. b DSGVO (Vertrag) / Art. 31 Abs. 2 lit. a revDSG
Account-Verwaltung E-Mail, Passwort-Hash Art. 6 Abs. 1 lit. b DSGVO
E-Mail-Versand (Bestätigung, Reset) E-Mail Art. 6 Abs. 1 lit. b DSGVO
Sync zwischen Geräten Präferenzen, aktive Sunan Art. 6 Abs. 1 lit. b DSGVO
Quran.com-Lesezeichen / Lesefortschritt Verse-Keys, OAuth-Tokens Art. 6 Abs. 1 lit. a + Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung in religiöse Daten)
Spenden Stripe-Customer-ID, Spendenmetadaten Art. 6 Abs. 1 lit. b DSGVO
Missbrauchsschutz, Rate-Limiting gehashte IP/E-Mail Art. 6 Abs. 1 lit. f DSGVO (IT-Sicherheit)
Fehler-Telemetrie technische Fehlerdaten Art. 6 Abs. 1 lit. f DSGVO
Rezitations-Feedback (Whisper) Audioaufnahme, Sure/Vers-Nr. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

5. Speicherorte & Sub-Processors

Wir haben mit jedem der nachfolgenden Dienstleister einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geschlossen. Jeder Sub-Processor ist vertraglich verpflichtet, Quranische Inhalte und Nutzerdaten nach den Quran-Foundation-Richtlinien zu respektieren und niemals zweckentfremdet zu nutzen.

Anbieter Zweck Speicherort Vertragsgrundlage Datenschutzerklärung
Quran Foundation Quran-Inhalte (Content APIs), OAuth + User APIs (Lesezeichen, Lesefortschritt) global (USA + EU) QF Developer Terms + SCC https://api-docs.quran.foundation/legal/developer-privacy/
Stripe Payments Europe Ltd. Zahlungsabwicklung für Spenden EU (Irland), USA AVV + SCC + PCI-DSS L1 https://stripe.com/privacy
MongoDB Atlas Datenbank (Konten, Sync) EU-Region (Frankfurt / Irland) AVV + SCC https://www.mongodb.com/legal/privacy-policy
Resend Transaktions-E-Mails EU (Deutschland / Frankfurt) AVV + SCC https://resend.com/legal/privacy-policy
Upstash Redis Rate-Limiting-Cache EU-Region AVV + SCC https://upstash.com/trust/privacy.pdf
Sentry Fehler-Telemetrie EU (Frankfurt) AVV + SCC https://sentry.io/privacy/
OpenAI Spracherkennung der optionalen Rezitations-Aufnahme (Whisper) USA AVV (DPA) + SCC https://openai.com/policies/privacy-policy
Vercel API- und Web-Hosting EU-Region AVV + SCC https://vercel.com/legal/privacy-policy

Bei eigenen Daten (Konto, Sync, Spendenmetadaten) wählen wir ausschließlich EU-Regionen. Für die Quran-Foundation-Schnittstellen findet eine Drittlandübermittlung (USA) statt; wir stützen uns hierfür auf EU-Standardvertragsklauseln (SCC, Art. 46 Abs. 2 lit. c DSGVO) bzw. Art. 16 revDSG.

6. Speicherdauer

  • Lokale Gerätedaten: bis zur Deinstallation der App bzw. bis du sie in den Einstellungen löschst.
  • Quran-Cache: max. 7 Tage je Eintrag (Quran Foundation Terms §3.1), automatisch invalidiert.
  • Konto-Daten: so lange dein Account aktiv ist.
  • Datenlöschung auf Anfrage: Vollständige Hard-Deletion innerhalb von 30 Tagen aus produktiven Systemen; vollständige Löschung aus Backups innerhalb von weiteren 60 Tagen, also spätestens nach 90 Tagen ab Anfrage.
  • Quran.com-Verknüpfung: Wenn du deinen Quran.com-Account löschst, löschen wir automatisch die mit deinem QF-Account verknüpften lokalen Tokens und sämtliche zwischengespeicherten Lesezeichen / Reading-Sessions, sobald deine Sitzung das nächste Mal einen 401-Fehler erhält.
  • Session-Tokens: Zugriffs-Token ≤ 15 min, Refresh-Token max. 30 Tage.
  • E-Mail-Token: Bestätigung ≤ 24 h, Passwort-Reset ≤ 1 h.
  • Rate-Limit-Daten: ≤ 24 h.
  • Audit-Log: ≤ 90 Tage.
  • Fehler-Events (Sentry): 90 Tage, dann automatische Löschung.

7. Deine Rechte

Nach DSGVO (Art. 15–22) und revDSG (Art. 25 ff.) hast du jederzeit das Recht auf:

  • Auskunft über deine verarbeiteten Daten;
  • Datenportabilität / Export in einem strukturierten, maschinenlesbaren Format (JSON);
  • Berichtigung;
  • Löschung („Recht auf Vergessenwerden");
  • Einschränkung der Verarbeitung;
  • Widerspruch gegen Verarbeitung auf Grundlage berechtigter Interessen;
  • Widerruf bereits erteilter Einwilligungen mit Wirkung für die Zukunft;
  • Beschwerde bei einer Aufsichtsbehörde (in der EU: deiner lokalen Datenschutzbehörde; in der Schweiz: EDÖB, www.edoeb.admin.ch).

7.1 Self-Service direkt in der App

Unter Einstellungen → Account findest du:

  • „Daten exportieren" – lädt eine JSON-Datei mit allen deinem Konto zugeordneten Daten herunter (Art. 20 DSGVO).
  • „Account löschen" (Delete My Data) – löscht unwiderruflich alle mit deinem Konto verknüpften Serverdaten innerhalb der oben genannten 30/90-Tage-Fenster. Kein Support-Ticket nötig.

7.2 Quran.com-Verbindung widerrufen

Auf dem Quran-Tab unter „Mit Quran.com synchronisiert → Abmelden" kannst du die OAuth-Verbindung jederzeit beenden. Dabei

  1. löschen wir die lokalen Access-/Refresh-Tokens aus dem Secure Storage;
  2. rufen wir die offizielle QF-Revocation-Endpoint auf: https://oauth2.quran.foundation/oauth2/revoke

Du kannst die Verbindung außerdem direkt auf Quran.com unter Account → Connected Apps widerrufen.

8. Berechtigungen auf dem Gerät

Berechtigung Zweck Optional
Standort lokale Gebetszeiten-Berechnung ✅ – manuelle Stadtwahl möglich
Benachrichtigungen Erinnerungen an Sunan ✅ – Ablehnen möglich
Mikrofon Aufnahme deiner Rezitation für Tajweed-Feedback; die Aufnahme wird zur Transkription an OpenAI Whisper übertragen (siehe 3.6), nicht dauerhaft gespeichert ✅ – nur beim aktiven Start der Aufnahme-Funktion

Alle Berechtigungen kannst du jederzeit in den System-Einstellungen deines Geräts widerrufen.

9. Automatisierte Entscheidungen

Es findet kein Profiling und keine automatisierte Entscheidungs­findung im Sinne von Art. 22 DSGVO / Art. 21 revDSG statt.

10. Kinder & Jugendliche

Intisaar richtet sich an Nutzer ab 13 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 13 Jahren. Falls bei der Account-Registrierung erkennbar wird, dass ein Nutzer unter 13 Jahre alt ist, blockieren wir die Registrierung und löschen sämtliche bereits eingegebenen Daten umgehend.

Für religiöse Inhalte empfehlen wir Eltern, die Nutzung jüngerer Kinder zu begleiten und ggf. die Geräte-Bildschirmzeit-Steuerung zu nutzen.

11. Sicherheit

Wir setzen technische und organisatorische Maßnahmen ein (Art. 32 DSGVO / Art. 8 revDSG), insbesondere:

  • TLS 1.2+ für sämtliche Netzwerk­kommunikation.
  • Encryption-at-rest bei allen Sub-Processors (MongoDB Atlas encrypted volumes, Vercel + Sentry verschlüsselte Speicher).
  • Bcrypt-Hashing von Passwörtern (Cost ≥ 12).
  • JWT mit kurzer Lebensdauer und Rotation.
  • Least-Privilege-Zugriffsrechte auf Datenbank & Secrets; Production-Secrets sind ausschließlich für Produktionssysteme zugänglich.
  • Definierte Secret-Rotations-Kadenz: API-Schlüssel, DB-Passwörter und JWT-Signing-Keys werden mindestens alle 90 Tage rotiert; OAuth- Client-Secrets bei jedem Mitarbeiterwechsel.
  • Rate-Limiting (Upstash Redis) gegen Brute-Force.
  • Regelmäßige Dependency- und Security-Reviews.

11.1 Incident-Response

Wir verpflichten uns zu einer Incident-Response-Reaktionszeit von weniger als 24 Stunden. Sicherheitsvorfälle, die die QF APIs oder QF-Nutzerdaten betreffen, melden wir unverzüglich (innerhalb 24 h) an security@quran.com sowie an die betroffenen Nutzer und – bei DSGVO-relevanten Vorfällen – binnen 72 h an die zuständige Aufsichtsbehörde.

11.2 Compliance-Bezug

Unsere Sicherheitspraktiken sind an der Quran Foundation Security Rule 6.9 ausgerichtet (TLS, Encryption-at-rest, Access Controls, Secret-Rotation, Incident-Response < 24 h).

12. Internationale Datenübermittlung

Intisaar ist global verfügbar; deine personenbezogenen Daten können in andere Länder als dein Heimatland übermittelt werden, insbesondere in die USA (im Rahmen der Quran-Foundation-Schnittstellen). Für jede solche Übermittlung stützen wir uns auf EU-Standardvertragsklauseln (SCCs) oder gleichwertige Rechtsinstrumente, sodass deine Daten dem GDPR-Schutzniveau folgen.

Wir verpflichten uns zur Einhaltung der Datenschutz- und Übermittlungsgesetze in jeder Region, in der wir Nutzer haben.

13. Änderungen dieser Erklärung

Wir aktualisieren diese Erklärung bei wesentlichen Änderungen unserer Verarbeitung. Wesentliche Änderungen kündigen wir mindestens 14 Tage vorher per In-App-Banner und – sofern du einen Account besitzt – zusätzlich per E-Mail an. Das aktuelle Datum findest du oben unter „Stand". Die jeweils aktuelle Version liegt unter /privacy sowie in den App-Einstellungen.

14. Kontakt

E-Mail Datenschutz: info@intisaar.ch Allgemeiner Kontakt: info@intisaar.ch Postanschrift: Glasistrasse 9, 8180 Bülach, Schweiz

Wir garantieren eine Antwort auf datenschutzbezogene Anfragen innerhalb von 30 Tagen (Art. 12 Abs. 3 DSGVO). Für förmliche DSGVO/revDSG-Anfragen bitten wir um Nennung des Stichworts „Datenschutzanfrage" im Betreff.