Wo deine Daten leben
Vibalos läuft lokal. Diese Seite zeigt vollständig: was bleibt auf deinem Mac, was geht raus, wann, warum, und an wen.
Bleibt auf dem Mac
- → Markierter Text, Polish-Output, Polish-Templates
- → Pasteboard-Historie (SwiftData-DB)
- → Screenshots + OCR-Output
- → Aktive Claude-Code-Session-Daten (Read-only aus
~/.claude/projects/) - → Settings, Lizenz-JSON, Hotkey-Konfiguration
- → KI-Inferenz (Ollama oder Apple Foundation laufen auf dem Mac)
Geht raus — und wann
- · Beim Kauf: E-Mail + Zahlungsdaten an Lemonsqueezy (deren Datenschutz)
- · Webhook (vom LS zum Worker): bestätigte Order-Daten an unseren Cloudflare Worker
- · Lizenz-E-Mail: signierte License JSON via Resend an deine Inbox
- · Update-Check (≤1×/Tag): HTTP-GET auf
vibalos.moinsen.dev/appcast.xmlmit User-Agent (Version, macOS-Version, CPU-Architektur)
Bewusst nicht gebaut
- Keine Telemetrie. Auch nicht „anonymisierte Nutzungsstatistik". Auch nicht Crash-Reports (Sentry o.ä. wäre opt-in, falls je).
- Keine Konten. Kein Vibalos-Login. Deine Lizenz ist eine JSON-Datei, kein Account.
- Keine Analytics. Kein Google Analytics, kein Plausible, nichts auf der Landing-Page außer Cloudflare-Edge-Request-Logs.
- Keine Remote-Feature-Flags. Was du installiert hast, ist was im Binary ist.
Für Compliance-Officer & Datenschutzbeauftragte
DSGVO Art. 28 (Auftragsverarbeitung)
Vibalos verarbeitet personenbezogene Daten Ihrer Mitarbeiter nicht im Auftrag eines Verantwortlichen. Die Software läuft ausschließlich auf dem Endgerät der Nutzerin; eine eigene Datenverarbeitung außerhalb des Endgeräts findet nur in folgenden Fällen statt:
- Beim Kauf (Lemonsqueezy als Merchant of Record erhebt E-Mail + Zahlungsdaten)
- Bei der Lizenzausstellung (unser Cloudflare Worker erhält die Order-Bestätigung von Lemonsqueezy und sendet die signierte Lizenz per Resend an die Käufer-Adresse)
- Bei Update-Checks (anonymes HTTP-GET, übermittelt nur Versionsmetadaten via User-Agent)
Eine Auftragsverarbeitungsvereinbarung (AVV) zwischen Ihnen und uns ist daher nicht erforderlich. Wenn Sie Lemonsqueezy oder Resend als Sub-Dienstleister in Ihre eigene AVV aufnehmen möchten: deren AVVs sind öffentlich verfügbar.
EU AI Act Art. 50 (Transparenzpflichten)
Vibalos ist kein „Anbieter" eines KI-Systems im Sinne der EU-Verordnung 2024/1689 (EU AI Act). Die genutzten Modelle (Ollama-Modelle oder Apple Foundation Models) laufen auf dem Endgerät der Nutzerin und werden von den jeweiligen Modell-Anbietern (Meta, Mistral, Apple Inc., u.a.) bereitgestellt.
Vibalos ist eine Schnittstelle zur lokalen KI, kein Modell-Anbieter. Transparenz- und Kennzeichnungspflichten nach Art. 50 obliegen den jeweiligen Modell-Anbietern. Die Software selbst klassifiziert sich nach Art. 6 Abs. 3 als nicht hochriskantes KI-System (kein in Anhang III genannter Bereich).
Hinweis: Die obigen Aussagen sind rechtliche Einschätzung des Anbieters auf Basis der aktuellen Verordnungstexte (Stand: Mai 2026). Sie ersetzen keine eigene rechtliche Prüfung in Ihrer Organisation. Für eine schriftliche Bestätigung an Ihren Datenschutzbeauftragten: business@moinsen.dev
So überprüfen Sie es selbst
Diese Seite beschreibt Absicht. Wenn Sie verifizieren wollen:
- Öffnen Sie Aktivitätsanzeige → Netzwerk während der Vibalos-Nutzung. Outbound sollte ausschließlich Ollama (lokal) und Sparkle Appcast sein.
- Setzen Sie Little Snitch auf „bei jeder Verbindung fragen". Vibalos sollte exakt zweimal fragen: Ollama (falls genutzt), Appcast.
- Inspizieren Sie die lokale SwiftData-DB mit einem sqlite-Browser — es sind Ihre Daten, Sie können sie lesen.