feat: register privacy/terms routes and unify legal page layouts

docs/PRIVACY.md

@@ -0,0 +1,122 @@
+# Datenschutzerklärung
+
+**dgray.io — Anonymer Marktplatz**
+Stand: Februar 2026
+
+---
+
+## 1. Verantwortlicher
+
+Verantwortlich für die Datenbearbeitung ist der Betreiber der Plattform dgray.io mit Sitz in der Schweiz.
+
+---
+
+## 2. Grundsatz
+
+Die Plattform wurde nach dem Prinzip der Datensparsamkeit konzipiert. Es werden nur die technisch notwendigen Daten erhoben und verarbeitet.
+
+---
+
+## 3. Welche Daten werden erhoben?
+
+### 3.1 Daten, die wir NICHT erheben
+- Keine E-Mail-Adressen
+- Keine Namen oder Klarnamen
+- Keine Telefonnummern
+- Keine Standortdaten der Nutzer/innen
+- Keine Zahlungsdaten (Monero-Transaktionen sind nicht rückverfolgbar)
+
+### 3.2 Daten bei der Registrierung
+- Ein kryptografischer Hash (SHA-256) der UUID wird als Benutzerkennung gespeichert. Die UUID selbst wird nicht gespeichert und kann vom Betreiber nicht wiederhergestellt werden.
+
+### 3.3 Daten bei der Nutzung
+- **Anzeigen:** Titel, Beschreibung, Preis, Kategorie, Standort (vom Nutzer freiwillig gewählt), Bilder
+- **Nachrichten:** Ende-zu-Ende verschlüsselt. Der Betreiber speichert nur den Ciphertext und kann den Inhalt nicht einsehen.
+- **Favoriten:** Werden lokal im Browser gespeichert. Bei Anmeldung optional mit dem Server synchronisiert.
+
+### 3.4 Technische Daten
+- Server-Logdateien können temporär IP-Adressen, Zugriffszeiten und User-Agent-Strings enthalten. Diese werden regelmässig gelöscht und nicht mit Nutzerkonten verknüpft.
+
+---
+
+## 4. Cookies und lokale Speicherung
+
+4.1 Die Plattform verwendet **keine Cookies** für Tracking oder Analyse.
+
+4.2 Folgende Daten werden im localStorage des Browsers gespeichert:
+- Spracheinstellung
+- Theme-Präferenz (Hell/Dunkel)
+- Währungspräferenz
+- Auth-Token (für die Sitzung)
+- Favoriten (lokal)
+- Kategorie-Cache
+
+4.3 Diese Daten verlassen den Browser nicht und können jederzeit durch Löschen der Browserdaten entfernt werden.
+
+---
+
+## 5. Drittdienste
+
+### 5.1 Directus (Backend)
+- Selbst gehostet auf eigenen Servern
+- Keine Datenübertragung an Dritte
+
+### 5.2 BTCPay Server (Zahlungen)
+- Für die Verarbeitung von Monero-Zahlungen
+- Es werden keine personenbezogenen Daten übertragen, lediglich Anzeigen-IDs und Zahlungsbeträge
+
+### 5.3 CoinGecko API (Wechselkurse)
+- Für die Anzeige aktueller XMR-Wechselkurse
+- Es werden keine personenbezogenen Daten übertragen
+
+---
+
+## 6. Verschlüsselung
+
+6.1 Die Kommunikation zwischen Nutzer/innen ist Ende-zu-Ende verschlüsselt (NaCl/TweetNaCl).
+
+6.2 Die Verschlüsselungsschlüssel werden im Browser der Nutzer/innen generiert und gespeichert. Der Betreiber hat keinen Zugang zu den privaten Schlüsseln.
+
+6.3 Der Server speichert ausschliesslich verschlüsselten Ciphertext.
+
+---
+
+## 7. Datenweitergabe
+
+7.1 Es erfolgt keine Weitergabe von Daten an Dritte zu Werbe- oder Marketingzwecken.
+
+7.2 Eine Herausgabe von Daten erfolgt nur bei rechtlicher Verpflichtung durch Schweizer Behörden. Aufgrund der minimalen Datenhaltung und der Ende-zu-Ende-Verschlüsselung sind die verfügbaren Daten jedoch begrenzt.
+
+---
+
+## 8. Rechte der Nutzer/innen
+
+8.1 **Auskunft:** Nutzer/innen können Auskunft über die zu ihrem Hash gespeicherten Daten verlangen.
+
+8.2 **Löschung:** Durch Löschen des Accounts werden alle zugehörigen Daten (Anzeigen, Konversationen) entfernt.
+
+8.3 **Datenportabilität:** Anzeigendaten können auf Anfrage exportiert werden.
+
+---
+
+## 9. Aufbewahrungsdauer
+
+- **Anzeigen:** 30 Tage nach Veröffentlichung, danach archiviert
+- **Nachrichten:** Bis zur Löschung durch Nutzer/in oder Account-Löschung
+- **Server-Logs:** Maximal 7 Tage
+
+---
+
+## 10. Anwendbares Recht
+
+Es gilt das Schweizer Bundesgesetz über den Datenschutz (DSG) in der jeweils gültigen Fassung.
+
+---
+
+## 11. Änderungen
+
+Der Betreiber behält sich vor, diese Datenschutzerklärung jederzeit anzupassen. Die aktuelle Fassung ist auf der Plattform einsehbar.
+
+---
+
+*Letzte Aktualisierung: Februar 2026*