Decisions Legislation Connect About
← opencaselaw.ch

Datenschutz

OpenCaseLaw erhebt keine persönlichen Daten. Keine Cookies, kein Tracking, keine Analyse pro Nutzer. Alle veröffentlichten Kennzahlen sind aggregiert, k-anonym und differentiell privat.

Die Kurzfassung

OpenCaseLaw ist ein öffentliches Forschungsprojekt. Die gesamte Infrastruktur ist so gebaut, dass es schlicht keine personenbezogenen Daten gibt, die man analysieren, herausgeben oder verlieren könnte. Das ist kein Marketingversprechen, sondern eine technische Eigenschaft des Systems.

  • Keine Cookies. Die Website setzt keinerlei Cookies, weder notwendige noch optionale.
  • Kein Fingerprinting. Kein Canvas-, Font-, Audio- oder WebGL-Fingerprinting. Keine Drittanbieter-Analyse.
  • Kein Google Analytics, kein Plausible Cloud, kein Sentry. Jede Auswertung läuft auf unserem eigenen Server in Deutschland.
  • Suchanfragen werden niemals gespeichert. Weder zentral noch verteilt, weder kurz- noch langfristig.
  • Keine Nutzer-IDs. Wir können dieselbe Person nicht über zwei Besuche hinweg wiedererkennen — kryptographisch nicht, nicht nur als Richtlinie.
  • Alle publizierten Zahlen sind differentiell privat (ε = 1,0) und unterliegen einer k-Anonymitätsschwelle von k = 10.

Server-Logs in drei Stufen

Jeder Webserver protokolliert Anfragen — das ist technisch unvermeidbar. Unsere Logs sind jedoch so strukturiert, dass sie innerhalb weniger Tage in harmlose Aggregate zerfallen.

Stufe 1 — access.log (72 Stunden)

Enthält IP-Adresse und User-Agent. Rechtsgrundlage: berechtigtes Interesse an Abwehr von DDoS- und Missbrauchsangriffen. Retention: strikt 72 Stunden, danach kryptographisch geschreddert (shred -u). Wird nie für Analyse oder Statistik verwendet.

Stufe 2 — tier2.log (14 Tage, keine persönlichen Daten)

Enthält ausschliesslich Klassenetiketten: Client-Klasse (z. B. „cursor", „claude_hosted", „word_addin"), Endpoint-Klasse (z. B. „rest_search_decisions"), HTTP-Status, Antwortzeit und Response-Grösse. Keine IP-Adressen. Keine User-Agents. Keine Query-Strings. Kein Referer. Diese Datei ist strukturell nicht in der Lage, eine Person zu identifizieren. Retention: 14 Tage zur Sicherheit (falls eine Aggregation wiederholt werden muss), danach gelöscht.

Stufe 3 — analytics.db (unbefristet, aggregiert & privat)

Tagesaggregate pro (Client-Klasse, Endpoint-Klasse). Keine Zeilen pro Nutzer, keine Zeitachsen feiner als Tagesauflösung. Cells mit n < 10 sind in der öffentlichen Spalte unterdrückt. Veröffentlichte Zahlen tragen Laplace-Rauschen mit ε = 1,0 (formale (ε, 0)-differentielle Privatheit). Diese Datei darf und wird öffentlich gemacht — weil sie mathematisch bewiesen nichts über einzelne Personen preisgibt.

Der Rollup-Code ist Open Source und prüfbar: scripts/rollup_analytics.py. Die nginx-Konfiguration für die dreistufige Logstruktur liegt unter ops/nginx/ocl-logging.conf.

Was wir messen, und wie

Wir messen nur, was für Betriebsentscheidungen notwendig ist — und wir messen es auf Aggregatebene, nie pro Nutzer. Die folgenden Kennzahlen werden täglich berechnet und auf opencaselaw.ch/stats veröffentlicht:

  • Tool-Aufrufe pro Tag, aufgeschlüsselt nach Client-Klasse und Endpoint.
  • p50 und p95 Antwortzeit pro Endpoint.
  • Fehlerrate pro Endpoint (4xx, 5xx, 429).
  • Ungefähre Anzahl aktiver Installationen pro Client-Klasse (via HyperLogLog-Skizze, pro Monat rotierend).
  • HTTP-Statusverteilung über alle Anfragen.

Was wir ausdrücklich niemals sammeln

  • Inhalt der Suchanfragen — verrät rechtliche Interessen und erzeugt Abschreckungseffekte.
  • Welche Entscheide oder Gesetze eine bestimmte Person aufruft.
  • Rohe IP-Adressen in Aggregaten oder Stufe-3-Daten.
  • Vollständige User-Agent-Strings über 72 Stunden hinaus (nur Klasse, z. B. „cursor").
  • Referer-Header — würden preisgeben, aus welchem Chat oder Dokument ein Tool aufgerufen wurde.
  • Fingerprinting (Canvas, Fonts, WebGL, Audio) — nie, unter keinen Umständen.
  • Verknüpfung von Stripe-Kundendaten (Word-Add-in Pro) mit Nutzungsdaten.

Word-Add-in — ein Sonderfall

Das Word-Add-in ist der einzige Teil von OpenCaseLaw, der optional einen Installations-Kohorten-Hash mitsendet, damit wir die ungefähre Anzahl aktiver Installationen pro Monat schätzen können. Der Mechanismus ist bewusst so konstruiert, dass eine Verfolgung über Monate hinweg kryptographisch unmöglich ist:

  1. Beim ersten Start erzeugt das Add-in eine zufällige UUID und speichert sie lokal in localStorage.
  2. Bei jeder API-Anfrage berechnet es SHA-256(uuid + "YYYY-MM") und sendet davon die ersten 8 Hex-Zeichen als X-Install-Cohort-Header.
  3. Der Monats-Salt ändert sich jeden Monat. Die Hashes von April und Mai sind kryptographisch nicht verknüpfbar — selbst wenn wir alle Hashes für immer aufbewahren würden (was wir nicht tun).
  4. Wir verwenden diese Hashes ausschliesslich, um eine HyperLogLog-Skizze pro Tag und Client-Klasse zu füllen. Die Skizze gibt eine geschätzte Anzahl — die Eingabewerte sind aus ihr nicht rekonstruierbar.

Opt-out: Im Add-in-Menü unter „Einstellungen → Anonyme Nutzungsstatistik" können Sie diesen Header jederzeit deaktivieren. Das Add-in funktioniert ohne ihn unverändert.

Pro-Abonnements werden über Stripe abgewickelt. Stripe speichert die zur Zahlungsabwicklung nötigen Daten; OpenCaseLaw sieht nur den Lizenzschlüssel und gleicht diesen bei Pro-Anfragen ab. Es gibt keine Verknüpfung zwischen Stripe-Kundendaten und Nutzungsstatistiken.

Ihre Rechte (nFADP / DSGVO)

Das revidierte Schweizer Datenschutzgesetz (nFADP, in Kraft seit September 2023) und die europäische DSGVO gewähren Ihnen Auskunfts-, Berichtigungs- und Löschungsrechte. Weil OpenCaseLaw über Sie keine personenbezogenen Daten speichert, sind diese Rechte strukturell erfüllt:

  • Auskunftsrecht: Es gibt nichts zurückzugeben — wir speichern keine Datensätze, die auf Sie verweisen.
  • Löschungsrecht: Es gibt nichts zu löschen, ausser Sie haben das Word-Add-in installiert. Dann entfernt das Deinstallieren den lokalen Installations-UUID.
  • Datenübertragbarkeit: Nicht anwendbar — es gibt keine personenbezogenen Daten zum Übertragen.
  • Widerspruch: Gegen die 72-Stunden-Stufe-1-Logs können Sie widersprechen, indem Sie die Dienste nicht nutzen. Eine Ausnahme ist technisch nicht möglich, da Web-Server Anfragen protokollieren müssen, um Missbrauch abwehren zu können.

Datenverantwortlicher im Sinne des nFADP: Jonas Hertner, E-Mail team@jonashertner.com. Die Server werden von Hetzner Online GmbH in Deutschland betrieben.

Fragen, Bedenken, Audits

Alle hier beschriebenen Mechanismen sind Open Source und prüfbar im GitHub-Repository. Wenn Sie eine Diskrepanz zwischen dieser Seite und dem tatsächlichen Verhalten des Systems feststellen, betrachten Sie das als Bug — melden Sie es uns und wir beheben es.

E-Mail: team@jonashertner.com
Fragen zum Datenschutz werden innerhalb weniger Tage beantwortet.

Letzte Aktualisierung: 2026-04-11 · Versioniert in Git, Änderungen öffentlich einsehbar.