Verantwortlicher im Sinne der Datenschutzgesetze, insbesondere der EU-Datenschutzgrundverordnung (DSGVO), ist:
Marvin Kalani
Zum Bruch 3a
28816 Stuhr
E-Mail: [email protected]
Unter den nachfolgend angegebenen Kontaktdaten können Sie jederzeit folgende Rechte ausüben:
Sofern Sie uns eine Einwilligung erteilt haben, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.
Sie können sich jederzeit mit einer Beschwerde an eine Aufsichtsbehörde wenden, z. B. an die zuständige Aufsichtsbehörde des Bundeslands Ihres Wohnsitzes oder an die für uns als verantwortliche Stelle zuständige Behörde.
Wenn Sie auf unsere Website zugreifen, d.h., wenn Sie sich nicht registrieren oder anderweitig Informationen übermitteln, werden automatisch Informationen allgemeiner Natur erfasst. Diese Informationen (Server-Logfiles) beinhalten etwa die Art des Webbrowsers, das verwendete Betriebssystem, den Domainnamen Ihres Internet-Service-Providers, Ihre IP-Adresse und ähnliches. Diese Daten werden vom Hosting-Provider erfasst.
Sie werden insbesondere zu folgenden Zwecken verarbeitet:
Wir verwenden Ihre Daten nicht, um Rückschlüsse auf Ihre Person zu ziehen. Informationen dieser Art werden vom Hoster ggfs. anonymisiert statistisch ausgewertet, um den Internetauftritt und die dahinterstehende Technik zu optimieren.
Die Verarbeitung erfolgt gemäß Art. 6 Abs. 1 lit. f DSGVO auf Basis des berechtigten Interesses an der Verbesserung der Stabilität und Funktionalität unserer Website.
Empfänger der Daten ist unser Hosting-/Sicherheits‑Dienstleister Cloudflare, der für den Betrieb, die Auslieferung und den Schutz der Website (Frontend) als Auftragsverarbeiter tätig wird.
Für die Vermittlung (Signaling) betreiben wir einen eigenen, schlanken HTTP‑Dienst auf einem dedizierten Server in Deutschland (IONOS VPS). Dabei werden für die Dauer des Handshakes kurzzeitig im Arbeitsspeicher verarbeitet: Raumkennung, Rollenzuweisung, Angebot/Antwort (SDP) und ICE‑Kandidaten (inkl. IP/Port). Es erfolgt keine persistente Speicherung; Räume werden nach spätestens 120 Sekunden Inaktivität automatisch gelöscht.
Drittlandübermittlung: Für die Auslieferung der statischen Website‑Dateien kann eine Verarbeitung durch Cloudflare auch in einem Drittland (insbesondere USA) stattfinden. Die Absicherung erfolgt über EU‑Standardvertragsklauseln (SCCs). Das Signaling selbst findet ausschließlich auf unserem Server in Deutschland statt; eine Drittlandübermittlung der Signaling‑Daten erfolgt nicht.
Die Server-Logfiles werden vom Hoster in der Regel für einen begrenzten Zeitraum (z.B. 7 Tage) gespeichert und dann gelöscht oder anonymisiert. Die für das Signaling benötigten Daten werden nur für die Dauer des Verbindungsaufbaus verarbeitet.
Die Bereitstellung der vorgenannten personenbezogenen Daten ist weder gesetzlich noch vertraglich vorgeschrieben. Ohne die IP-Adresse ist jedoch der Dienst und die Funktionsfähigkeit unserer Website nicht gewährleistet.
Die App nutzt native WebRTC‑APIs (ohne externe Bibliothek) für Chat, Datei‑ und optional Medienübertragung. Für den Aufbau werden über Signaling SDP‑Beschreibungen und ICE‑Kandidaten (mit IP/Port) ausgetauscht. Danach läuft der Datenverkehr direkt Peer‑to‑Peer. Zur Ermittlung der öffentlichen IP‑Adresse wird ein eigener STUN‑Server genutzt, der auf demselben dedizierten Server in Deutschland betrieben wird wie das Signaling. Es erfolgt kein TURN‑Relay; falls Browser/Netzwerk keine direkte Verbindung ermöglichen, schlägt der Verbindungsaufbau fehl.
Die optionale Passwort‑basierte Ende‑zu‑Ende‑Verschlüsselung (AES‑256‑GCM, Schlüssel aus Passwort via PBKDF2) sorgt dafür, dass Nutzinhalte (Chattexte, Dateiinhalte - sofern aktiviert) nur für Sender und Empfänger lesbar sind. Das Passwort wird nicht übertragen.
Die Verarbeitung der für den Verbindungsaufbau notwendigen Daten (IP-Adressen über Signaling) erfolgt auf Basis unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) an der Bereitstellung der Kernfunktionalität der Anwendung (direkter Datenaustausch). Die Verarbeitung der Nutzdaten (Text, Dateien) erfolgt zur Erfüllung des impliziten Nutzungsvertrags (Bereitstellung des Dienstes, Art. 6 Abs. 1 lit. b DSGVO).
Empfänger der Signaling‑ und STUN‑Daten ist unser eigener Server in Deutschland. Empfänger der direkt übertragenen Nutzdaten ist ausschließlich der jeweils verbundene Peer.
Drittlandübermittlung: Für das Signaling und den STUN‑Server erfolgt keine Drittlandübermittlung (Serverstandort Deutschland).
Signaling-Daten werden nur für die Dauer des Verbindungsaufbaus benötigt. Nutzdaten werden nur zwischen den Peers übertragen und nicht auf unseren Servern oder dem Signaling-Server gespeichert.
Die Nutzung von WebRTC und die damit verbundene Verarbeitung von IP-Adressen ist für die Kernfunktionalität des Dienstes erforderlich.
Wir verwenden den Local Storage Ihres Browsers, um bestimmte Einstellungen und Informationen **lokal auf Ihrem Gerät** zu speichern und wieder abzurufen. Diese Daten werden **nicht** an unsere Server übertragen, sondern dienen ausschließlich dazu, die Funktionalität und Benutzerfreundlichkeit direkt in Ihrem Browser zu verbessern.
Konkret speichern wir lokal (Schlüsselbeispiele in Klammern):
p2pCustomName)p2pPref:darkMode, p2pPref:gradient)p2pPref:cb:...)p2pPref:transmitAudio)p2pPref:encPw; wird nie übertragen)p2pPref:defaultRoom, p2pPref:sec:* (Sektionen), p2pPref:featuresOpen, p2pPref:cmdDockState, p2pPref:cmdHotkey)p2pPref:ipRoomCache)Es werden keine asymmetrischen Schlüsselpaare mehr erzeugt; stattdessen wird bei gesetztem Passwort ein symmetrischer Schlüssel (PBKDF2 + AES‑GCM) pro Sitzung aus dem Passwort abgeleitet.
Diese Daten verbleiben ausschließlich auf Ihrem Endgerät in Ihrem Browser.
Die Nutzung von Local Storage für technisch notwendige Funktionen (z. B. Zustände der Oberfläche sowie Sende‑/Medieneinstellungen) erfolgt zur Erfüllung des Nutzungsvertrags (Art. 6 Abs. 1 lit. b DSGVO). Die Speicherung von Komfortfunktionen (z. B. Anzeigename, Theme) erfolgt auf Basis unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) an einer nutzerfreundlichen Gestaltung. Sie können diese Daten jederzeit über die Browsereinstellungen löschen.
Die im Local Storage gespeicherten Daten bleiben auf Ihrem Gerät gespeichert, bis sie von Ihnen manuell über die Browsereinstellungen gelöscht werden oder durch die Anwendung (z.B. bei Generierung einer neuen Peer-ID) überschrieben werden.
Die Speicherung der `peerId` ist für die Funktion notwendig. Die Speicherung von `username`, `theme` und Verschlüsselungs-Schlüsseln ist für die jeweilige (optionale) Funktion bzw. den Komfort erforderlich.
Es wird ein Service Worker eingesetzt, um die Web‑App als PWA bereitzustellen (Caching ausgewählter Ressourcen, Offline‑Verbesserungen) und als Share‑Target Dateien aus dem System‑Teilen an die Anwendung zu übergeben. Die Verarbeitung erfolgt ausschließlich im Browser; es findet keine serverseitige Speicherung der übergebenen Dateien statt. Sie können den Service Worker und gespeicherte Daten jederzeit über die Browser‑Website‑Daten löschen.
Bei Eingabe eines Passworts wird daraus clientseitig mittels PBKDF2 (SHA‑256, definierte Iterationen) ein 256‑Bit AES‑GCM‑Schlüssel abgeleitet. Dieser Schlüssel wird zur Ver‑ und Entschlüsselung von Chatnachrichten sowie – bei aktivierter Option – von Datei‑Metadaten und Datei‑Chunks genutzt. Das Passwort selbst sowie der abgeleitete Schlüssel werden nicht an andere Peers oder Server übertragen. Beide Kommunikationspartner müssen dasselbe Passwort lokal setzen.
Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) durch aktive Nutzung + Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) bezüglich der bereitgestellten Sicherheitsfunktion.
Speicherdauer: Bis zur Entfernung aus dem Local Storage oder Schließen/Zurücksetzen durch den Nutzer.
Zur Laufzeit werden lokal (ohne externes CDN) folgende Bibliotheken geladen:
Beide Bibliotheken werden lokal aus den ausgelieferten Dateien geladen; es werden dabei keine zusätzlichen Verbindungen zu Drittservern aufgebaut. Lizenztexte siehe Lizenzen.
Das PayPal SDK wird erst nach ausdrücklicher Nutzeraktion (Klick auf den Support‑/Abo‑Button und anschließende Bestätigung) dynamisch nachgeladen. Erst dann kann eine Verbindung zu Servern von PayPal (USA) entstehen und dort können – abhängig von Ihrem Browser – technische Daten (z. B. IP‑Adresse, User‑Agent, Locale) verarbeitet werden. Vor diesem aktiven Schritt laden wir kein PayPal‑Skript.
Rechtsgrundlage für das Nachladen des PayPal SDK ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Eine Drittlandübermittlung in die USA ist möglich; Absicherung über die von PayPal verwendeten EU‑Standardvertragsklauseln (SCCs). Ohne Einwilligung bleibt die Spenden‑/Abo‑Funktion inaktiv und es werden keine Daten an PayPal übertragen.
Wir setzen keine Cookies ein. Es werden ausschließlich Browser‑Speichermechanismen (Local Storage) verwendet, wie oben beschrieben.
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen, z.B. bei der Einführung neuer Services. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.
Wenn Sie Fragen zum Datenschutz haben, schreiben Sie uns bitte eine E‑Mail oder wenden Sie sich direkt an die für den Datenschutz verantwortliche Person. Es ist kein Datenschutzbeauftragter bestellt.
Marvin Kalani
E-Mail: [email protected]
Diese Datenschutzerklärung spiegelt den Stand Februar 2026 wider (eigener Signaling‑ und STUN‑Server, kein TURN‑Relay).
Zurück zur Hauptseite