Datenschutz per Architektur

Keine PII verlässt das Gerät. By Design, nicht als Versprechen.

Tassello erfasst die Struktur Ihrer App — nie ihren Inhalt. Diese Seite erklärt genau, was in jedem Modus erfasst wird und was nicht.

"Data Not Collected" — standardmäßig

Im Standardmodus balanced (und in strict) erfasst das SDK überhaupt keine personenbezogenen Daten, sodass Ihr App-Store-Datenschutzlabel "Data Not Collected" lautet. Die Auto-Redaction läuft, bevor irgendetwas das Gerät verlässt, und das Backend scannt bei Ankunft als zweite Verteidigungslinie erneut auf PII — falls jemals etwas passt, wird das Event verworfen und ein Alarm ausgelöst.

Was wir erfassen — und was wir nie tun

Wireframes sind Boxen, Typen und Positionen. Nie Pixel, nie Textinhalte, nie Sie.

Erfasst

clean
  • Screen-Struktur — Wireframe-Boxen, Elementtypen und Positionen
  • Anonyme Interaktionen — Taps, Scrolls und eigene Events
  • Netzwerk-Breadcrumbs — nur Methode und Host, nach der Schwärzung
  • Anonyme Geräte-ID — eine zufällige UUID im Keychain gespeichert
  • Crash-Reports — Symbole und Stack-Frames, in jedem Modus

Nie erfasst

never
  • Nutzertext oder dynamische Inhalte, die auf dem Screen angezeigt werden
  • Texteingaben oder Inhalte von TextField / SecureField
  • Bilder, Pixel oder Screenshots jeglicher Art
  • E-Mail, Telefon, Kreditkarte oder IBAN — auf dem Gerät automatisch geschwärzt
  • IDFA, IDFV oder präziser Standort
  • Bodies von Netzwerk-Requests oder -Responses

Drei Modi, ein Regler

Einmal beim Start setzen. Die Auto-Redaction läuft in allen, unabhängig von der Wahl.

.strict

Maximaler Datenschutz

Nur anonyme Events — keine Wireframes und kein Text. Weiterhin "Data Not Collected".

.balanced

Standard

Wireframe-Struktur erfasst, sämtlicher Text verworfen. Der Sweet Spot — und weiterhin "Data Not Collected".

.standard

Maximaler Insight

Ergänzt statische UI-Labels wie Button-Titel und Überschriften. Deklariert "User Content" auf Ihrem Label.

Speicherung nur in der EU, transparente Unterauftragsverarbeiter

Der gesamte primäre Speicher — Postgres, R2-Blobs und Redis — liegt in der EU (Frankfurt). Die Insight-Generierung läuft auf Anthropics Claude in den USA unter Standardvertragsklauseln und sieht immer nur anonymisierte Wireframes und Event-Sequenzen, die im Standard- und Strict-Modus keine PII enthalten.

Unterauftragsverarbeiter

UnterauftragsverarbeiterStandortZweck
AnthropicUSAClaude-API zur Insight-Generierung — nur anonymisierte Daten, unter SCC
DigitalOceanEU (Frankfurt)Compute und verwalteter Postgres-/Redis-Speicher
CloudflareEU-EdgesR2-Wireframe-Blob-Speicher und CDN
PostmarkUSATransaktions-E-Mail — nur Adresse und Konto-Metadaten, unter SCC / DPA

Das Hinzufügen eines Unterauftragsverarbeiters erfordert eine Kundenbenachrichtigung gemäß DPA.

Ihre Daten, Ihre Entscheidung

GDPR-Export und -Löschung sind in SDK und Dashboard eingebaut. Insights.exportUserData() gibt die Daten eines Nutzers auf Anfrage zurück, und Insights.requestDataDeletion() markiert sie sofort als gelöscht (Tombstone) und entfernt sie innerhalb von 30 Tagen. Keine Dark Patterns, kein Warten auf den Support.