Datensouveränität
Verwahrer, nicht Eigentümer.
Wir sind Verwahrer, nicht Eigentümer. Jederzeit Export, jederzeit Löschung, optional zero-knowledge verschlüsselt — auch wir sehen den Inhalt dann nicht.
Warum dieser Wert
Daten gehören den Nutzer:innen. Wir sind der Speicher, das Werkzeug, der Verwalter — aber das Eigentum bleibt da, wo der Inhalt herkommt.
Das hat praktische Konsequenzen. Jede App muss Export können. Jede Löschung muss kaskadieren. Wenn jemand sagt „lösch mich”, verschwinden wir nicht „aus der App”, sondern aus der Datenbank, dem Backup, dem Log. Und wo es sensibel wird — private Notizen, intime Listen, sehr persönliche Inhalte — gibt es einen Zero-Knowledge-Modus, in dem wir selbst keinen Klartext mehr sehen.
Wir verlieren damit Bequemlichkeit. Wir können nicht „mal eben” eine schöne KI-Empfehlung über alle Konten ziehen. Das ist der Preis dafür, dass wir kein Datensilo werden, das auf Vorrat sammelt.
Konkrete Umsetzung
Was wir tun
- Speicherung in der EU und der Schweiz, auf Vereins-Infrastruktur
- Jederzeit Export aller eigenen Inhalte in offenen Formaten
- Jederzeit Löschung, inkl. kaskadierender Löschung in abhängigen Diensten
- Zero-Knowledge-Modus für sensible Inhalte (BYOK-Vault) — wir sehen den Inhalt dann nicht
- DSGVO-Auskunfts- und Löschungs-Stelle als eigener Service, nicht als Email-Anhang
Grenzen
Was wir nicht tun
- Kein zentrales Profil, das Daten quer über alle Apps zusammenführt, „weil's bequem ist"
- Keine Verkettung von Identifikatoren über App-Grenzen ohne ausdrückliche Einwilligung
- Keine Drittpartei-Analytics, kein Tracking — auch nicht „anonymisiert"
Spannungen
Was uns dieser Wert kostet
Jeder Wert hat einen Preis. Wir benennen ihn, damit Werte keine Floskeln werden.
- Zero-Knowledge bedeutet, dass wir bei Verlust des Schlüssels nicht helfen können
- Volle Datenportabilität verlangt mehr Engineering, als auf dem Wert „Lock-In" zu sitzen
- Manche schöne UX (Empfehlungen, Cross-App-Suggestions) geht bewusst nicht — oder nur lokal
Verkörperung
Wo dieser Wert konkret im Code steht
Diese Apps, Services und Pakete führen Datensouveränität ausdrücklich in ihrer Werte-Liste. Werte gewinnen erst, wenn sie sich an Bauteilen festmachen lassen.
Apps 4
-
MemoroStimme aufnehmen, automatisch in Text verwandeln, sortieren und durchsuchen — für Notizen, Meetings, Interviews oder Tagebuch. -
ZitareEin offener Zitate-Korpus zum Sammeln, Suchen und Kuratieren — Werke gemeinfreier Stimmen, sauber belegt, unter freier Lizenz. -
PagetaLese-App ohne Algorithmus-Druck — Save-it-later mit Markierungen, Pocket-Umzug, voller Export. Was du willst, nicht was klicken soll. -
Chorportal ThurgauGemeinsame Plattform für die Chöre des Kantons Thurgau — Repertoire, Noten, Übungs-MP3s und Setlisten an einem Ort, untereinander teilbar.
Plattform-Services 15
- Amana-authIdentität, Sessions und JWKS für alle Vereins-Apps — eine Anmeldung, lokale Token-Verifikation, kein Cloud-Auth-Anbieter.
- Mmana-meUser-globale Profil-Referenzen — welches Foto ist gerade dein Gesicht, welches dein Körper, über alle Apps hinweg.
- AauraPrivater Anerkennungs-Ledger für Beiträge zum Ökosystem — sechs Botanik-Ränge, kleine reale Geschenke, kein Leaderboard.
- XxpGeplantes Lern- und Kompetenz-Backbone der Plattform — Skill-XP pro App, neun Intelligenz-Domains, globaler Level, opt-in-Portfolio.
- Smana-shareFöderations-Drehscheibe für Cross-App-Datentransfers — App-Manifeste, Routing, Retry-Queue, Audit-Log.
- Smana-searchFöderierte Aggregat-Suche — verteilt eine Anfrage über alle Apps eines Users und vereint die Ergebnisse.
- Smana-sttSelbst gehostetes Speech-to-Text via Whisper auf eigenem GPU-Server — Sprache verlässt die Vereins-Infrastruktur nicht.
- Tmana-ttsSelbst gehostetes Text-to-Speech auf eigenem GPU-Server — Vereins-Stimme statt Big-Cloud-Stimme.
- Mmana-mediaObjekt-Speicher für alle Vereins-Uploads — S3-kompatibles MinIO im Eigenbetrieb, Buckets pro App.
- Gmana-geocodingAdresse ↔ Koordinaten — eigener Photon-Server zuerst, Public-Photon und Nominatim nur als Fallback.
- Smana-syncEvent-Store-Server für die Event-Sourced-Plattform — Append-only Event-Log pro User pro App, JWT-Auth via mana-auth.
- Pmana-presenceLive-State + SSE-Fanout — was läuft gerade auf welchem Gerät, bidirektional zwischen Phone und Web.
- Mmana-mailTransaktionale Email für die ganze Plattform — Welcome, Passwort-Reset, Spendenbescheinigung, alles über Vereins-Stalwart.
- Nmana-notifyPush-Versand für iOS, Android und Web-Push — Templates und Throttling zentral, keine Push-SaaS-Anbieter.
- Amana-adminVereins-Backoffice — Mitglieder, Spenden, DSGVO-Fan-out, Einladungen, Aura-Ledger und Gift-Versand in einem Werkzeug.
Pakete 9
- S@mana/shared-loggerLogging-Foundation für Mobile- und Web-Apps der Plattform — strukturiert, kontextualisierbar, datenschutz-konform.
- S@mana/shared-app-tplHono-Helpers für föderierte Vereins-Apps — Manifest-Serving, Share-Receive-Router, Tools-Router, DSGVO-Export.
- S@mana/shared-share-protocolFöderations-Vertrag des Vereins — Manifest, Share-Envelope, Drag-Payload, Search-Result. Der eine Klasse-A-Vertrag, an dem alle Apps hängen.
- S@mana/shared-schemasEvent-Schemas pro Vereins-App — die Quelle der Wahrheit für mana-sync und Codegen-Quelle für event-kit.
- E@mana/event-syncWeb-Client für die Event-Sourced-Plattform — IndexedDB-Store + HTTP/WebSocket-Sync zu mana-sync.
- S@mana/shared-auth-ssoSvelte-5-Auth-Klient für das SSO-Cookie-Pattern — createSession, tryRefresh, buildLoginRedirect, AuthCallback.
- N@mana/notify-clientClient-SDK für den mana-notify Push-Service — eine Zeile pro App, statt OneSignal-Setup zu pflegen.
- S@mana/shared-mapCross-App-Karten-Komponente — MapLibre GL JS, PMTiles-ready, OpenStreetMap-Kacheln. Eine Karte für alle Vereins-Apps.
- S@mana/shared-key-grantHKDF-basierte Mission-Key-Grants — Apps bekommen per-Mission-Decrypt-Access, ohne den User-Masterkey zu sehen.
Diagnose · Antwort
Wogegen Datensouveränität ansteuert — und was wir baulich dafür tun
Werte gewinnen erst gegen die Industrie-Logik, wenn sie sich an konkreten Problemen festmachen lassen — und an strukturellen Lösungenn, die sie tragen.
Probleme 4
- Daten-Monetarisierung — du bist nicht die Kundin, du bist die WareWenn das Produkt kostenlos ist, ist nicht selten dein Verhalten das eigentliche Produkt — und dein Profil wird in Echtzeit versteigert.
- Überwachungs-Kapitalismus — Verhalten als RohstoffDie Akkumulation von Verhaltens-Daten ist kein Mittel zu einem Zweck. Sie ist die ökonomische Grundlage einer eigenen Industrie, deren wirtschaftliches Interesse in der Vorhersage und Steuerung menschlichen Verhaltens liegt.
- Cloud-Act — extraterritoriale US-Zugriffe auf europäische DatenSolange der Mutterkonzern dem US-Recht unterliegt, gibt es keine technische oder vertragliche Konstruktion, die einen Cloud-Act- Zugriff auf europäische Daten zuverlässig ausschließen kann.
- KI-Trainingsdaten ohne Konsens — Wäsche im IndustriemaßstabDatenkonsens wurde im Skalierungswettlauf wegoptimiert. Wer den Streit ausfechten will, muss sich durch Verfahren klagen, die länger dauern als die nächste Modell-Generation.
Lösungen 5
- Event-Sourcing als Daten-ArchitekturJede Änderung ist ein Event. Apps lesen Projektionen, schreiben aber nur Events — und der Ledger ist die einzige Quelle der Wahrheit.
- Cross-App-Timeline — jede Änderung ist sichtbar, auch KI-ÄnderungenWenn jede Änderung ein attribuierter Event ist, wird Transparenz zu einem Read-Modell — kein Marketing-Versprechen, sondern eine technische Konsequenz.
- BYOK-Vault — der Verein sieht den Klartext nichtDer einzige Anbieter, dem man Daten ohne Vertrauen anvertrauen kann, ist der, der sie technisch nicht sehen kann — auch wenn er wollte.
- DSGVO-Cascade-Löschung — „lösch mich" verschwindet wirklichLöschung ist nicht eine UI-Geste, sondern eine technische Operation, die durch alle Schichten propagiert werden muss — sonst ist sie eine Lüge.
- Local-First + Login-OptionalDas energie-effizienteste Rechenzentrum ist die CPU, die ohnehin schon in der Hosentasche liegt — und kein Konto ist die beste Privatsphäre.
Vorhaben
Was diesen Grundsatz weiter trägt
- Jetzt Memoro Web — Browser-Live-Test der wiederhergestellten UI Die SvelteKit-UI von Memoro wurde auf die neue Hono-RPC-App geliftet (Phasen A–F durch). Was fehlt vor öffentlicher Bewerbung: ein vollständiger Live-Test im Browser und eine letzte ausstehende DB-Migration.
- Jetzt Datenschutz V2 — Audit durch eine Kanzlei Die DSGVO-Vorlage V2 ist eingeführt, 11 App-DSEen, ein gemeinsames VVT und ein einheitlicher Footer stehen. Was fehlt vor offizieller Vereins-Gründung: ein juristisches Audit durch eine Kanzlei mit Datenschutz-Schwerpunkt.
- Bald sync1 abschalten, nachdem alle Apps auf sync2 (Event-Sourcing) sind sync2 (Event-Sourcing für 9 standalone Apps) läuft live. sync1 (Legacy-LWW für managarten) läuft parallel. Sobald managarten und die letzten Hybrid-Apps vollständig auf event-sourced umgebogen sind, kann sync1 retired werden.
- Bald BYOK-Vault MVP für Memoro und Mukke Der Lösung „BYOK-Vault, Zero-Knowledge" ist als Konzept beschlossen. Erster Konsument soll Memoro werden (Audio-Transkripte) und Mukke (Vocal- Stems) — beide Daten-Typen, die wir bewusst nie unverschlüsselt sehen wollen.
- Später On-Device-LLM für alle Apps — Anthropic/OpenAI/Gemini ablösen Die LLM-APIs (Anthropic, OpenAI, Gemini) sind heute die dritte bewusst akzeptierte Externe. Ablöse-Pfad: lokale Modelle, gestaffelt — Gemma/Mistral auf dem Gerät via mana-swift-llm, größere Modelle auf der eigenen GPU-Box.
- Idee Drei Lebens-Apps — Chronik, Body, Tagesjournal Aus der managarten-Konsolidierung sind drei klar separierte App-Konzepte übrig: Chronik (firsts/lasts/journal), Body (Fitness + Composition, 7 Tabellen), Tagesjournal. Playbooks gibt es teilweise, implementiert ist keine.
- Idee Mana-Tag Health-Bundle — Greenfield-Plan, nicht implementiert Konzept für ein konsolidiertes Gesundheits-Bundle (Nutriphi + Body + Tagesjournal + Mood + Sport in einer kohärenten App) liegt als Playbook MANATAG_GREENFIELD.md vor, mit acht Phasen. Ob es so gebaut wird, ist noch offen.
- Idee Local-First + Login-Optional — Sieben-Phasen-Plan ausrollen Playbook LOCAL_FIRST_LOGIN_OPTIONAL.md beschreibt vier neue Konventionen (event-sync anon, byok-vault, swift-event-sync, public-feed-standard) und sieben Rollout-Phasen. Heute noch nicht implementiert — könnte aber das glaubwürdigste Datensouveränitäts-Statement werden.