Vertrauen — Einsatztagebuch

Compliance-MatrixCompliance matrix

Jede Anforderung verweist auf den Standard, aus dem sie abgeleitet ist, und nennt die Version, seit der sie nachweislich erfüllt wird. Detaillierte Code-Nachweise stehen im vollständigen Bericht. Each requirement references the standard it is derived from and the version since which it is demonstrably fulfilled. Detailed code references are in the full report.

🔐 Zugriffsschutz🔐 Access protection

ID	AnforderungRequirement	StatusStatus	SeitSince	QuelleSource
ZUG-01	App-Lock mit PINApp lock with PIN	✓	1.5.0	BSI IT-GS APP.1.4
ZUG-02	Biometrische EntsperrungBiometric unlock	✓	1.5.0	BSI IT-GS APP.1.4
ZUG-03	Auto-Sperre konfigurierbarConfigurable auto-lock	✓	1.5.0	BSI IT-GS APP.1.4

🔗 Datenintegrität🔗 Data integrity

ID	AnforderungRequirement	StatusStatus	SeitSince	QuelleSource
INT-01	Hash-Kette über Log-EinträgeHash chain over log entries	✓	1.6.0	GoBD UnveränderbarkeitGoBD immutability
INT-02	Einträge sind unveränderlichEntries are immutable	✓	1.6.0	GoBD UnveränderbarkeitGoBD immutability
INT-03	Master-Hash im PDF-ExportMaster hash in PDF export	✓	1.6.0	GoBD UnveränderbarkeitGoBD immutability
INT-04	Integritäts-Statusbericht im PDFIntegrity status report in PDF	✓	1.6.0	GoBD NachvollziehbarkeitGoBD traceability

🔒 Verschlüsselung🔒 Encryption

ID	AnforderungRequirement	StatusStatus	SeitSince	QuelleSource
VER-01	Datenbank verschlüsseltDatabase encrypted	✓	1.5.0	BSI IT-GS APP.1.4 / DSGVO Art. 32
VER-02	Backup verschlüsseltBackup encrypted	✓	1.5.0	DSGVO Art. 32

🛡️ Datenschutz / DSGVO🛡️ Data protection / GDPR

ID	AnforderungRequirement	StatusStatus	SeitSince	QuelleSource
DSG-01	Auskunftsrecht — Personen-DatenexportRight of access — personal data export	✓	1.6.0	DSGVO Art. 15
DSG-02	Löschrecht — Personen-Soft-DeleteRight to erasure — personal soft-delete	✓	1.6.0	DSGVO Art. 17
DSG-03	Mission-AnonymisierungMission anonymization	✓	1.6.0	DSGVO Art. 17
DSG-04	Datenschutz-Übersicht in AppPrivacy overview in app	✓	1.6.0	DSGVO Art. 13

📜 Beweissicherung / Audit-Trail📜 Evidence / Audit trail

ID	AnforderungRequirement	StatusStatus	SeitSince	QuelleSource
NAW-01	Audit-Log-ScreenAudit log screen	✓	1.6.0	GoBD NachvollziehbarkeitGoBD traceability
NAW-02	Schreiber pro EintragWriter per entry	✓	1.5.0	THWiki (Eindeutigkeit Schreiber)THWiki (writer uniqueness)
NAW-03	Multi-Profile für SchichtwechselMulti-profile for shift change	✓	1.6.0	THWiki (Eindeutigkeit Schreiber)THWiki (writer uniqueness)
NAW-04	Foto-Watermark mit Schreiber + DTGPhoto watermark with writer + DTG	✓	1.6.0	GoBD NachvollziehbarkeitGoBD traceability

📋 Betrieb / Verfahren📋 Operations / Procedure

ID	AnforderungRequirement	StatusStatus	SeitSince	QuelleSource
BET-01	Verfahrensdokumentation als PDFProcedure documentation as PDF	✓	1.6.0	GoBD VerfahrensdokuGoBD procedure docs
BET-02	Aufbewahrungsdauer 10 Jahre10-year retention period	✓	1.6.0	THWiki
BET-03	Compliance-Bericht versionskontrolliertCompliance report version-controlled	✓	1.6.0	GoBD VerfahrensdokuGoBD procedure docs

Sicherheits-Architektur in KlartextSecurity architecture in plain language

Wo liegen die Daten?Where is the data?

Ausschließlich auf deinem Gerät. Kein Server, keine Cloud, keine Telemetrie. Auch der Entwickler hat keinen Zugriff. Backups gehen nur dorthin, wohin du sie selbst exportierst.Exclusively on your device. No server, no cloud, no telemetry. Not even the developer has access. Backups only go where you export them.

Was ist verschlüsselt?What is encrypted?

Die SQLite-Datenbank via SQLCipher mit AES-256. Backups optional AES-256-GCM mit PBKDF2 (200 000 Iterationen). Schlüssel liegen im Plattform-Keychain bzw. Keystore — niemals im Klartext im Dateisystem.The SQLite database via SQLCipher with AES-256. Backups optionally AES-256-GCM with PBKDF2 (200 000 iterations). Keys live in the platform keychain or keystore — never in plain text on the filesystem.

Was passiert bei Geräteverlust?What if the device is lost?

App-Lock mit PIN und Biometrie greift beim Start und nach Hintergrundwechsel. Auto-Sperre konfigurierbar von „sofort" bis „nie". Ohne Schlüssel ist die DB unbrauchbar.App lock with PIN and biometrics triggers on launch and after backgrounding. Auto-lock configurable from "immediately" to "never". Without the key, the DB is unusable.

Wer kann Einträge ändern?Who can change entries?

Niemand. Bestehende ETB-Einträge werden nicht überschrieben. Korrekturen werden ausschließlich als neue Einträge mit Verweis auf das Original angelegt — beide bleiben sichtbar. Garantiert durch die Hash-Kette.No one. Existing diary entries are not overwritten. Corrections are only ever new entries that reference the original — both stay visible. Guaranteed by the hash chain.

Wie funktioniert die Hash-Kette?How does the hash chain work?

Jeder Eintrag erhält einen SHA-256-Hash über seine kanonisierten Inhaltsfelder plus den Hash des Vorgängers. Manipulation eines Eintrags bricht die Kette zwingend. Der Master-Hash am Ende des PDF fasst die gesamte Kette zusammen.Every entry gets a SHA-256 hash over its canonicalized content plus the predecessor's hash. Tampering with any entry necessarily breaks the chain. The master hash at the end of the PDF summarizes the entire chain.

Was protokolliert die App?What does the app log?

Korrekturen, Mission-Schließungen, Übergaben, Erfassungsbogen-Änderungen, Anonymisierungen und Personen-Soft-Deletes — chronologisch im Audit-Log-Screen einsehbar und im PDF dokumentiert.Corrections, mission closures, handovers, registration changes, anonymizations and personal soft-deletes — chronologically viewable in the audit log screen and documented in the PDF.

So funktioniert die BeweisführungHow evidence works

Die Beweiskraft entsteht aus drei ineinandergreifenden Mechanismen — keiner allein reicht, gemeinsam machen sie eine Manipulation rechnerisch nachweisbar. Evidential strength comes from three interlocking mechanisms — none suffices alone, but together they make tampering mathematically detectable.

Hash je Eintrag.Per-entry hash. Beim Anlegen eines Eintrags wird in derselben Datenbank-Transaktion ein SHA-256 über die kanonisierten Inhaltsfelder berechnet (Lfd-Nr, Zeit, Text, Schreiber, Korrektur-Verweise — bewusst ohne Foto-Pfad, damit DSGVO-Foto-Entfernung die Kette nicht bricht) und mit dem Hash des Vorgängereintrags verkettet. When an entry is created, a SHA-256 over the canonicalized content fields (sequence number, time, text, writer, correction references — deliberately without the photo path, so GDPR photo removal does not break the chain) is computed in the same DB transaction and chained with the predecessor's hash.
Master-Hash je Mission.Per-mission master hash. Beim PDF-Export wird ein Master-Hash über die Konkatenation aller Eintrags-Hashes der Mission gebildet und auf einer eigenen letzten Seite ausgewiesen — zusammen mit Lfd-Nr, Zeit und Hash-Kurzwert pro Eintrag. On PDF export, a master hash is computed over the concatenation of all entry hashes for that mission and printed on its own final page — alongside sequence number, time, and a hash short-value per entry.
Verifikation jederzeit nachholbar.Verification possible at any time. Aus jeder Backup- oder Live-DB lässt sich die Kette neu berechnen. Stimmt der so erzeugte Master-Hash mit dem im historischen PDF überein, ist nichts manipuliert worden — und falls doch, sieht man genau, an welchem Eintrag die Kette bricht. The chain can be recomputed from any backup or live DB. If the recomputed master hash matches the one in the historical PDF, nothing has been tampered with — and if not, you can see exactly which entry breaks the chain.

Der Compliance-BerichtThe compliance report

Die Source of Truth ist compliance/checklist.yaml im Repo. Pro Release rendert ein Generator daraus einen unveränderlichen Markdown-Snapshot, hängt einen Master-Hash über den Bericht-Body an und bettet eine Kopie in die App ein. Beide Werte müssen übereinstimmen — die App-interne und die hier öffentlich verfügbare Version. The source of truth is compliance/checklist.yaml in the repo. For every release, a generator renders an immutable Markdown snapshot, appends a master hash over the report body, and embeds a copy in the app. Both values must match — the in-app version and the publicly available one here.

📄

Aktueller BerichtCurrent report v1.6.0 (Build 48) · Markdown

🏛️

GoBD BMF-Schreiben (Quelle)BMF letter (source)

🛡️

BSI APP.1.4 Mobile Anwendungen (Quelle)Mobile applications (source)

⚖️

DSGVO EU-Verordnung 2016/679 (Quelle)EU regulation 2016/679 (source)

Bericht-Archiv (alle Releases)Report archive (all releases)

Master-Hash dieses BerichtsMaster hash of this report

SHA-256 über den Markdown-Body von v1.6.0+48.md, ohne den ## Master-Hash-Block — identisch mit dem Wert in der App unter Einstellungen → Rechtliches → Compliance. SHA-256 over the Markdown body of v1.6.0+48.md, excluding the ## Master-Hash block — identical to the value in the app under Settings → Legal → Compliance.

d45a236e9efc282011536e21935cad228d0e4f52f6aca3119503a97fdade234d

Grenzen dieser SelbstauskunftLimits of this self-disclosure

Dies ist keine Zertifizierung durch eine externe Prüfstelle. Höhere Beweiskraft entsteht durch (a) Notarisierungs-Dienste bei Auslieferung jeder PDF oder (b) Veröffentlichung der Reports auf einer öffentlichen, indexierten Quelle (Github Release, Webseite — diese Seite hier). Der Master-Hash erlaubt jedem Empfänger einen Konsistenz-Vergleich mit der in der App eingebetteten Version. Die Verantwortung für die ordnungsgemäße Führung des Einsatztagebuchs und die Einhaltung dienstlicher Vorgaben (z.B. VS-NfD) verbleibt bei der einsatzführenden Stelle. This is not a certification by an external auditor. Higher evidential strength comes from (a) notarization services on every PDF release or (b) publishing reports on a public, indexed source (GitHub release, website — like this page). The master hash lets any recipient verify consistency against the version embedded in the app. Responsibility for proper diary keeping and compliance with service-internal rules (e.g. classified information) remains with the operating unit.

← Zurück zur StartseiteBack to home

Vertrauen ist gut, Nachweis ist besser. Trust is good, evidence is better.