Download

Security Whitepaper

Wie On-Device-Datenschutz bei Cove umgesetzt ist.

Dieses Dokument richtet sich an Compliance-Teams, IT-Entscheider und skeptische Nutzer. Wir listen jeden ausgehenden Netzwerkaufruf auf, den Cove-Apps tätigen können, wie das Modell verifiziert wird, welche Daten wo gehalten werden und unsere Position zu Industrie-Frameworks (HIPAA / DSGVO / ISO 27001).

Version 1.0 Zuletzt aktualisiert: 2026-04-29

Executive Summary

Cove-Apps verarbeiten alle Nutzerinhalte (Fotos, Sprache, Transkripte, Gesundheits­einträge, Übersetzungen) vollständig auf dem Android-Gerät des Nutzers. Keine Inhaltsdaten werden je auf Cove-Server, Drittanbieter-KI oder Analytics-Plattformen hochgeladen. Die einzigen ausgehenden Netzwerkaufrufe sind: Modell-Download von Hugging Face, Google-Play-Kauf-Verifikation, optionale Newsletter-Anmeldung und optionale anonyme Crash-Reports. Es gibt keine Cove-betriebenen Server, die Nutzerinhalte verarbeiten.

Ausgehende Netzwerkaufrufe — vollständige Liste

Jeder Netzwerkaufruf, den eine Cove-App initiieren kann, nach Zweck. Wir verpflichten uns auf diese Liste — jeder neue Aufruftyp erfordert eine App-Versions­erhöhung und wird im Changelog dokumentiert.

  • Modell-Download von Hugging Face

    Purpose
    Beim ersten Start Gemma 4 E2B-Gewichte herunterladen (~2,5 GB, Q4_0-quantisiert — dieselbe Datei für Free und Pro)
    Endpoint
    huggingface.co/litert-community (LiteRT-LM-Spiegel von Googles offizieller Gemma-Veröffentlichung)
    Data
    Keine Daten ausgehend. Eingehend: Modell-Gewichtsdatei.
    Frequency
    Einmal pro Gerät — dieselbe Gemma 4 E2B-Datei wird von allen vier Cove-Apps wiederverwendet
    User control
    Übersprungbar durch Vorab-Platzieren der Modelldatei unter /sdcard/GemmaApp/models/

  • Google-Play-Kauf-Verifikation

    Purpose
    Pro-Upgrade-Kauf via Google Play Billing Library prüfen
    Endpoint
    Google-Play-Server (von der Play Billing Library gehandhabt, nicht von Cove)
    Data
    Google-Konto-E-Mail + Kauf-Token (von Google gehandhabt, niemals von Cove-Servern gesehen — wir haben keine)
    Frequency
    Bei Pro-Upgrade-Versuch, bei stiller Pro-Berechtigungs­prüfung (~täglich durch Play Services)
    User control
    Erforderlich, um Pro zu nutzen. Free löst diesen Aufruf nie aus.

  • Newsletter-Anmeldung (Opt-in)

    Purpose
    Cove-E-Mail-Newsletter abonnieren (nur covebase.app-Website)
    Endpoint
    Selbst gehostete Listmonk-Instanz (Cove-Infrastruktur)
    Data
    Nur E-Mail-Adresse
    Frequency
    Einmal pro Anmeldeversuch
    User control
    Vollständig Opt-in via Website-Formular. Apps sammeln keine E-Mail.

  • Anonyme Crash-Reports (Opt-in)

    Purpose
    App-Stabilitäts­probleme diagnostizieren
    Endpoint
    Selbst gehostete Sentry-Instanz (Cove-Infrastruktur)
    Data
    Stack-Trace, Android-Version, Geräte­modell, App-Version. KEINE Nutzerinhalte. PII vor Versand entfernt.
    Frequency
    Bei Absturz (was hoffentlich selten ist)
    User control
    Standardmäßig aus. Einstellungen → Datenschutz → Crash-Reports zum Aktivieren.

Modell-Integritätsprüfung

Vor dem Laden des Gemma 4 E2B-Modells prüft Cove dessen SHA-256-Hash gegen einen eingebetteten Erwartungshash der jeweiligen Modellversion. Bei Hash-Abweichung wird das Modell abgelehnt, der Nutzer erneut zum Download aufgefordert. Das schützt vor (a) beschädigten Downloads und (b) Manipulation der Modelldatei durch Angreifer mit Dateisystem-Zugriff. Wir laden keine ungeprüften Gewichte — das ist eine harte Constraint.

Modell-Hash-Register

Model variant Approx. size Hash algorithm Hash source
Gemma 4 E2B (Q4_0, default) ~2.5 GB SHA-256 embedded + signed
Gemma 4 E4B (Q4_0, optional upgrade) ~3.6 GB SHA-256 embedded + signed
Gemma 4 E2B (Q4_0, prior release — kept for rollback) ~2.5 GB SHA-256 embedded + signed

Datenaufbewahrung — was wo gespeichert wird

Alle Nutzerinhalte bleiben auf dem Gerät. Hier die Inventur.

  • Übersetzungs-Historie

    Where
    Lokale SQLite-Datenbank (Room) unter /data/data/com.gemmaapp.travellens/databases/
    Retention
    Bis Nutzer löscht (in-app History) oder die App deinstalliert wird
    Encryption
    Standard-Dateisystem-Verschlüsselung von Android (Full-Device-Encryption ab Android 6+)

  • Sprachaufnahmen + Transkripte

    Where
    Audiodateien im app-privaten Speicher; Transkripte in Room-Datenbank
    Retention
    Bis Nutzer aus der In-App-Bibliothek löscht oder die App deinstalliert wird
    Encryption
    Standard-Dateisystem-Verschlüsselung von Android

  • Foto-Analysen + Historie

    Where
    Lokale SQLite-Datenbank unter /data/data/com.gemmaapp.photolens/databases/
    Retention
    Bis Nutzer löscht oder die App deinstalliert wird. Originalfotos werden nur gespeichert, wenn der Nutzer es explizit will.
    Encryption
    Standard-Dateisystem-Verschlüsselung von Android

  • Gesundheits­tagebuch-Einträge

    Where
    Lokale SQLite-Datenbank unter /data/data/com.gemmaapp.healthlens/databases/, mit AES-256 verschlüsselt im Ruhezustand, Schlüssel aus Android Keystore abgeleitet
    Retention
    Bis Nutzer löscht oder die App deinstalliert wird. SOS-relevante Einträge werden nirgendwohin synchronisiert.
    Encryption
    AES-256-GCM mit Schlüssel im Android Keystore versiegelt (zusätzliche Verschlüsselung über Android-Default hinaus — Gesundheitsdaten verdienen die zusätzliche Schicht)

Compliance-Position

Wir sind ein kleines unabhängiges Studio und Cove ist Endkunden-Software. Wir behaupten keine Zertifizierungen, die wir nicht haben. Hier unsere ehrliche Position zu häufig nachgefragten Frameworks.

  • HIPAA (US-Gesundheitswesen)

    Kein Business Associate. Cove Health ist kein HIPAA-konformes System. Allerdings bedeutet das On-Device-Design, dass Patientendaten, die in Cove diktiert werden, das Gerät nie verlassen — ob Ihre konkrete Organisations-Richtlinie das erlaubt, ist Sache Ihres Compliance-Teams.

  • DSGVO (EU-Datenschutz)

    Daten-minimal by design. Wir erheben keine Inhaltsdaten. Die einzigen verarbeiteten persönlichen Daten sind: optionale E-Mail (Newsletter), optionale Crash-Reports (PII-bereinigt) und Google-Play-Kauf-Datensätze (von Google als separater Auftragsverarbeiter gehandhabt). Recht auf Löschung: App deinstallieren + vom Newsletter abmelden (ein Klick).

  • ISO 27001

    Nicht zertifiziert. Kleine unabhängige Studios haben selten das Budget für ISO-Zertifizierung — passt nicht zu einer 3,99-$-Endkunden-App. Die in diesem Dokument beschriebenen technischen Kontrollen adressieren die meisten Bedrohungen, die ISO 27001 abdeckt.

  • SOC 2

    Nicht zertifiziert. Gleiche Begründung wie ISO 27001. Wir betreiben keine Cloud-Dienste für Nutzerinhalte, was den größten Teil der SOC-2-Angriffsfläche entfernt.

Schwachstellen-Disclosure

Wenn Sie eine Sicherheitslücke finden, schreiben Sie an [email protected] (Alias von [email protected], aber diese Adresse routet als Sicherheits­meldung). Wir verpflichten uns: Eingang innerhalb von 3 Werktagen bestätigen, innerhalb von 14 Tagen untersuchen, Reportern im Changelog Anerkennung geben (sofern sie genannt werden möchten). Wir haben noch kein Bug-Bounty-Programm — zu früh — aber wir senden gerne Cove-Pro-Schlüssel als Dank für valide Meldungen.

Fragen für Compliance- / Rechtsabteilungen

Wenn Ihre Organisation Cove für die Mitarbeiter prüft und eine detailliertere Einschätzung braucht (z. B. signierter Fragebogen, Sicherheits­richtlinien-Review), schreiben Sie an [email protected] mit Ihren konkreten Anforderungen.

E-Mail an [email protected] Network-Audit ansehen