privacy policy

added a privacy policy in two languages.
it is not complete yet.

4 files changed, 106 insertions, 1 deletions

diff --git a/con/contact.md b/con/contact.md
index dd98d22..9822a7a 100644
--- a/con/contact.md
+++ b/con/contact.md
@@ -1,7 +1,7 @@
 
 # Contact
 
-|   Type | Contact |
+| Method | Contact |
 | -----: | :------ |
 | E-Mail | web@hitler.rip
 |   XMPP | [web@hitler.rip](https://xmpp.org)
diff --git a/con/footer.html b/con/footer.html
index f22d871..24c76b4 100644
--- a/con/footer.html
+++ b/con/footer.html
@@ -8,6 +8,7 @@
 		<span>
 			© 2025 hitler.rip &ltweb@hitler.rip&gt<br>
 			content licensed under <a href="https://creativecommons.org/licenses/by-sa/4.0" target="_blank" rel="noopener noreferrer">CC BY-SA 4.0</a>, code licensed under <a href="https://www.gnu.org/licenses/agpl-3.0-standalone.html" target="_blank" rel="noopener noreferrer">AGPLv3-or-later</a><br>
+			<a href="/datenschutzerklaerung">datenschutzerklärung (de)</a> | <a href="/privacypolicy">privacy policy (en)</a>
 		</span>
 	</footer>
 </body>
diff --git a/src/datenschutzerklaerung.md b/src/datenschutzerklaerung.md
new file mode 100644
index 0000000..5314f4b
--- /dev/null
+++ b/src/datenschutzerklaerung.md
@@ -0,0 +1,51 @@
+# Datenschutzerklärung
+
+###### Stand `2025-08-04`
+
+[english version](/privacypolicy)
+
+Transparente Auskunft darüber, wie -und welche- Daten verarbeitet werden.
+
+- - -
+
+## Anfragen
+
+Anfragen auf Löschung, Korrektur, Auskunft, etc. bitte an <web@hitler.rip> via E-Mail oder XMPP. 
+
+- - -
+
+# Daten aller Dienste
+
+## Web Server Logs
+
+Einige personenbezogene Daten, wie IP Adressen und andere Informationen, die der Web Browser des Nutzers an den Web Server schickt, werden gesammelt und gespeichert.
+
+Diese Informationen werden unmittelbar vom Web Server verarbeitet, um die jeweilige Anfrage des Nutzers bearbeiten zu können.
+Für einige Zeit werden sie für Sicherheitszwecke behalten. Möglicherweise können diese verwendet werden, um Angriffe auf die Infrastruktur abzuwehren, wie etwa durch das blockieren einer bestimmten IP Adresse, die wiederholt den Server angreift und das Netzwerk mit ressourcenintensiven Anfragen stört.
+
+IP Adressen werden nicht direkt mit anderen gesammelten Daten verknüpft, könnten aber im Nachhinein möglicherweise mit konkreten Anfragen in Verbindung gebracht werden.
+
+Die Logdateien des Web Servers rotieren alle 14 Tage - soll bedeuten: alle Informationen, die älter als 14 Tage sind, werden automatisch überschrieben. Sollte ein Nutzer eine Löschung aller Daten anfragen, werden die jeweiligen IP-Adressdaten **nicht** unmittelbar aus den Web Server Logs entfernt, da sie nicht direkt mit den Nutzern verknüpft sind.
+
+- - -
+
+# Daten individueller Anwendungen
+
+Die folgenden Daten werden nur bei der Nutzung des jeweiligen Dienstes erhoben.
+
+## "Hitler Clicker"
+
+Diese Anwendung speichert die folgenden Daten in einer zentralen Datenbank:
+
+- Login Name
+- Login Passwort *(hash)*
+- Team, für das der jeweilige Nutzer klickt
+- Click-Anzahl
+
+Die ersten beiden Daten werden verwendet um den Nutzer zu identifizieren und zu authentifizieren. Sie können via API Anfrage abgeändert werden.
+Das Team ist relevant für die Funktion des Programms.
+Die Click-Anzahl **ist** die primäre Funktion des Programms.
+
+Die "anonyme" Verwendung des Programms ist möglich. Dabei wird nur der Click-Zähler des jeweiligen Teams hochgezählt.
+Durch eine Anfrage an die API kann der Login vergessen werden, die Clicks werden dann auf den anonymen Zähler gerechnet und der gesamte Datenbankeintrag des Nutzers gelöscht.
+Lösch- und Bearbeitungsanfragen sollten direkt an die API gestellt werden, anstatt per E-Mail oder XMPP, da diese eine Authentifizierung gegen die Nutzerdaten in der Datenbank unmöglich machen. *(außer das Passwort wird im Klartext versand...)* Alle Daten können von der API abgefragt werden.
diff --git a/src/privacypolicy.md b/src/privacypolicy.md
new file mode 100644
index 0000000..efecf5f
--- /dev/null
+++ b/src/privacypolicy.md
@@ -0,0 +1,53 @@
+# Privacy Policy
+
+###### From `2025-08-04`
+
+[deutsche version](/datenschutzerklaerung)
+
+Transparent disclosure on how -and which- data is used.
+
+- - -
+
+## Requests
+
+For requests regarding deletion, correction, disclosure, etc. please contact <web@hitler.rip> via E-Mail or XMPP.
+
+- - -
+
+# Data regarding all Services
+
+## Web Server Logs
+
+Some personal data, such as IP adresses and other information your web browser sends to the web server is being collected and saved.
+
+This data is processed immediately by the web server in order to be able to respond to the users request.
+For some time, we will store this data for security purposes. This data might be used to defend against attacks on the infrastructure, eg. by blocking a certain IP address that keeps sending resource-intensive requests, thus disturbing the network.
+
+IP adresses are not directly linked to other collected data, but it might be possible to link them to certain requests later.
+
+The servers log files rotate every 14 days - which means: all data older than 14 days is automatically being overwritten. Should a user request data deletion, the IP adresses will **not** immediately be removed from the web server logs, as they are not directly linked to the user.
+
+- - -
+
+# Data regarding individual Services
+
+The following Data is only collected when using the specific service.
+
+## "Hitler Clicker"
+
+This application collects the following data in a central database:
+
+- login name
+- login password *(hash)*
+- team the user clicks for
+- click count
+
+The first two are used to identify and authenticate the user. They can be changed via an API request.
+The team is relevant for the program to function.
+The click count **is** the primary function of the program.
+
+The "anonymous" usage of the program is possible. Then, only the click counter of the team will be incremented.
+Through an API request, you can delete your login. Your clicks will then be added to the anonymous counter and your database entry deleted.
+Deletion- and correction requests should be sent directly to the API instead of the E-Mail or XMPP contact, as those make an authentification against the user data in the database impossible *(unless the password is sent as plain text...)* All data can be requested from the API.
+
+