AppXpose AppXpose
Legal Rechtliches

Privacy Policy

Datenschutzerklärung

Last updated: 2026-04-13 Zuletzt aktualisiert: 2026-04-13

AppXpose is built on a single principle: we cannot leak what we never had. This page explains exactly what we do and don't process. If anything here is unclear, email mahere@appxpose.app.

AppXpose basiert auf einem einzigen Prinzip: Wir können nicht weitergeben, was wir nie hatten. Diese Seite erklärt genau, was wir verarbeiten und was nicht. Bei Unklarheiten schreib eine E-Mail an mahere@appxpose.app.

1. Who we are

"AppXpose", "we", "us" refers to the developer of the AppXpose Android application, available on the Google Play Store. The developer is an independent solo operator. There is no parent company.

1. Wer wir sind

„AppXpose", „wir", „uns" bezeichnet den Entwickler der AppXpose-Android-App, erhältlich im Google Play Store. Der Entwickler ist ein unabhängiger Solo-Betreiber. Es gibt kein Mutterunternehmen.

2. What data we collect

We collect the minimum necessary to operate the service:

  • Device fingerprint: a one-way hash derived from device characteristics. It is used to enforce the free-tier quota and cannot be reversed to identify you. It changes when you reinstall the app or factory reset.
  • Quota usage: number of API calls in the current weekly window.
  • Premium status: whether the device has an active Pro or GUARD entitlement (verified via Google Play Billing).
  • Community votes and comments: when you choose to vote or comment, the content is stored without author identity. A profanity filter applies.

2. Welche Daten wir erfassen

Wir erfassen das Minimum, das für den Betrieb des Dienstes notwendig ist:

  • Geräte-Fingerprint: ein Einweg-Hash aus Gerätemerkmalen. Er dient zur Durchsetzung des Free-Tier-Kontingents und lässt sich nicht zurückrechnen, um dich zu identifizieren. Er ändert sich bei Neuinstallation oder Werksreset.
  • Quota-Nutzung: Anzahl der API-Aufrufe im aktuellen Wochenfenster.
  • Premium-Status: ob das Gerät eine aktive Pro- oder GUARD-Berechtigung hat (verifiziert über Google Play Billing).
  • Community-Stimmen und Kommentare: wenn du abstimmst oder kommentierst, wird der Inhalt ohne Autor-Identität gespeichert. Ein Profanity-Filter greift.

3. What we do NOT collect

  • No email address. No name. No phone number.
  • No Google Advertising ID is read by AppXpose itself. The Google AdMob SDK may read the GAID when a free user voluntarily watches a rewarded ad — see Section 5 below for the exact data AdMob receives in that case. Premium and GUARD users never trigger this path because the AdMob SDK is not even initialized for them.
  • No IMEI, MAC address, or other persistent hardware identifier.
  • No location, contacts, photos, or media.
  • No app content, messages, or files from inside the apps you scan.
  • No tracking across other apps or websites.

3. Was wir NICHT erfassen

  • Keine E-Mail-Adresse. Keinen Namen. Keine Telefonnummer.
  • AppXpose selbst liest keine Google-Werbe-ID. Das Google-AdMob-SDK kann die GAID lesen, wenn ein Free-Nutzer freiwillig eine Rewarded Ad anschaut — siehe Sektion 5 unten für die exakten Daten, die AdMob in dem Fall bekommt. Premium- und GUARD-Nutzer triggern diesen Pfad nie, da das AdMob-SDK für sie gar nicht erst initialisiert wird.
  • Keine IMEI, MAC-Adresse oder andere persistente Hardware-Kennung.
  • Keinen Standort, keine Kontakte, keine Fotos oder Medien.
  • Keine App-Inhalte, Nachrichten oder Dateien aus den von dir gescannten Apps.
  • Kein Tracking über andere Apps oder Websites hinweg.

4. On-device processing

The actual app analysis (DEX bytecode parsing, tracker signature matching, permission mapping) runs entirely on your device. The bytes of the apps you scan are never uploaded.

4. On-Device-Verarbeitung

Die eigentliche App-Analyse (DEX-Bytecode-Parsing, Tracker-Signatur-Matching, Permission-Mapping) läuft vollständig auf deinem Gerät. Die Bytes der von dir gescannten Apps werden niemals hochgeladen.

5. Third parties

We use the following processors:

  • Cloudflare (USA / global edge): hosts our Worker, D1 database, and edge caching.
  • Anthropic / Groq (USA): LLM provider for the natural-language risk explanations. Receives the app's metadata and permission list, never the bytecode and never personal data.
  • Google Play Billing: handles all purchases. We never see your card details.
  • Have I Been Pwned (HIBP): proxied breach lookups (k-anonymity, no personal data sent).
  • MalwareBazaar / abuse.ch: open malware database. Receives only the SHA-256 hash of scanned APKs.
  • Google AdMob (free tier only): rewarded video ads — and only those. No banners, no forced interstitials, no native ads, no app-open ads. Free users voluntarily tap "Watch Ad for Bonus Scan"; premium and GUARD users do not initialize the AdMob SDK at all, so zero ad requests are made for them. Per AdMob's standard behavior, when a free user does watch a rewarded ad, Google receives: device model, OS version, app version, language and region, IP address, the Google Advertising ID (unless the user has reset or deleted it in Android Settings → Privacy → Ads), and ad-interaction data (impression, video completion, reward earned).

For a full list of every external tool and data source AppXpose relies on, see the Credits & Data Sources page.

5. Dritte Anbieter

Wir nutzen folgende Auftragsverarbeiter:

  • Cloudflare (USA / globales Edge-Netzwerk): hostet unseren Worker, die D1-Datenbank und das Edge-Caching.
  • Anthropic / Groq (USA): LLM-Anbieter für die natürlichsprachlichen Risiko-Erklärungen. Bekommt App-Metadaten und Berechtigungsliste, niemals den Bytecode und keine persönlichen Daten.
  • Google Play Billing: wickelt alle Käufe ab. Wir sehen deine Kartendaten nie.
  • Have I Been Pwned (HIBP): weitergeleitete Breach-Lookups (k-Anonymität, keine persönlichen Daten übertragen).
  • MalwareBazaar / abuse.ch: offene Malware-Datenbank. Bekommt nur den SHA-256-Hash gescannter APKs.
  • Google AdMob (nur Free-Tier): ausschließlich Rewarded-Video-Ads. Keine Banner, keine Forced Interstitials, keine Native Ads, keine App-Open-Ads. Free-Nutzer tippen freiwillig auf „Watch Ad for Bonus Scan"; Premium- und GUARD-Nutzer initialisieren das AdMob-SDK gar nicht erst, daher null Ad-Requests für zahlende Nutzer. Wenn ein Free-Nutzer eine Rewarded Ad anschaut, bekommt Google laut AdMob-Standardverhalten: Gerätemodell, OS-Version, App-Version, Sprache und Region, IP-Adresse, die Google Advertising ID (sofern nicht in Android-Einstellungen → Datenschutz → Werbung zurückgesetzt) und Ad-Interaktionsdaten (Impression, Video-Completion, Reward).

Eine vollständige Liste aller externen Tools und Datenquellen, auf die AppXpose zurückgreift, findest du auf der Credits & Datenquellen-Seite.

6. Your rights (GDPR / CCPA)

Because we don't store personal identifiers, most data subject rights (access, rectification, portability) are technically void. There is nothing tied to "you" to retrieve. You may still:

  • Request server-side deletion of your device record (device fingerprint, quota counters, community votes/comments) — see Data Deletion for the full process.
  • Disable crash reporting in Settings → Privacy.
  • Uninstall the app at any time. All local data is removed.

6. Deine Rechte (DSGVO / CCPA)

Da wir keine persönlichen Identifikatoren speichern, sind die meisten Betroffenenrechte (Auskunft, Berichtigung, Übertragbarkeit) technisch gegenstandslos. Es gibt nichts, das mit „dir" verknüpft ist und abgerufen werden könnte. Du kannst dennoch:

  • Eine serverseitige Löschung deines Geräte-Eintrags anfordern (Geräte-Fingerprint, Quota-Zähler, Community-Stimmen/Kommentare) — siehe Datenlöschung für den vollständigen Ablauf.
  • Crash-Reporting in Einstellungen → Datenschutz deaktivieren.
  • Die App jederzeit deinstallieren. Alle lokalen Daten werden entfernt.

7. Children

AppXpose is not directed at children under 13. We do not knowingly collect data from anyone under 13.

7. Kinder

AppXpose richtet sich nicht an Kinder unter 13 Jahren. Wir erheben wissentlich keine Daten von Personen unter 13.

8. Changes

If we change this policy, the "Last updated" date at the top changes too. Material changes will be announced in-app.

8. Änderungen

Wenn wir diese Erklärung ändern, wird auch das Datum „Zuletzt aktualisiert" oben aktualisiert. Wesentliche Änderungen werden in der App angekündigt.

9. Contact

Privacy questions, data deletion requests, or anything else: mahere@appxpose.app

9. Kontakt

Datenschutzfragen, Anfragen zur Datenlöschung oder sonstige Anliegen: mahere@appxpose.app