Datenschutzerklärung Glatra Messenger

Stand: 6. Juni 2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist Jessica Korb, Amtsgasse 18, 55546 Neu-Bamberg, Deutschland.

E-Mail: glatra.support@gmail.com

2. Allgemeine Hinweise

Diese Datenschutzerklärung gilt für die App Glatra, die Glatra Web App und die damit verbundenen Server-, Live-, Medien- und Supportfunktionen. Glatra verarbeitet personenbezogene Daten nur, soweit dies für Bereitstellung, Sicherheit, Missbrauchsprävention, Moderation, Support, Finanzierung, gesetzliche Pflichten oder aufgrund einer Einwilligung erforderlich ist.

Zentrale Web-, API-, Auth-, Medien-, Live- und App-Service-Funktionen werden primär über eigene Serverdienste auf Hetzner-Infrastruktur, selbst gehostete Appwrite-CE-Dienste und selbst gehostete LiveKit-Dienste betrieben. Diese Selfhost-Infrastruktur ist die maßgebliche Betriebsinfrastruktur für neue Glatra-Produktfunktionen. Die Registrierung und Anmeldung per E-Mail laufen über die Selfhost-API; bei Google-Anmeldung wird Google für den Identitätsnachweis genutzt, während die Glatra-Sitzung anschließend über Selfhost-Tokens geführt wird. Android-App, iPhone-App und Web-App verlangen bei der Registrierung eine aktive Bestätigung der verlinkten AGB und Datenschutzerklärung.

Firebase, Google-Play- und sonstige Google-Dienste werden nicht als neue Primärquelle oder allgemeiner Fallback für Glatra-Daten eingeführt. Soweit sie noch verarbeitet werden, geschieht dies für bestehende Android-, Google-, Push-, Abrechnungs-, Integritäts-, Kompatibilitäts-, Speicher- oder Migrationsfunktionen und nur im jeweils technisch notwendigen Umfang. Neue Runtime-Pfade werden nicht als Firebase-, Cloud-Functions- oder Appwrite-Mirror-Fallback-Ketten aufgebaut; verbleibende Bestands- oder Migrationspfade ersetzen Selfhost nicht als primären Betriebsweg.

Welche Daten verarbeitet werden, hängt davon ab, welche Funktionen Sie nutzen.

3. Kategorien personenbezogener Daten

Kontodaten

E-Mail-Adresse, Selfhost-UID, interne Nutzer-ID, Firebase-UID soweit für Google-/Alt-/Kompatibilitätsfunktionen erforderlich, Google-Konto-ID oder Google-Sub soweit für Google-Anmeldung erforderlich, Benutzername, Registrierungszeitpunkt, Login-Methode, Freundescode, eingelöster Einladungscode, Rollen, Rechte, Admin-/Moderator-/Supporter-Status, Premium-Status, Sperrstatus und technische Kontoinformationen.

Profil- und Sichtbarkeitsdaten

Profilbild, Bio, Alter, Geschlecht, Spracheinstellungen, Badges, Hintergrund- oder Design-Einstellungen, Online-Status, Zuletzt-online-Status, Tippstatus, Lesestatus, Sichtbarkeitseinstellungen, Profilbesuche, freiwillige Profilangaben, zweite Profilseiten, Profilbeiträge und zugehörige Sichtbarkeitsentscheidungen.

Kommunikationsdaten

Textnachrichten, Bilder, Videos, Sprachnachrichten, Gruppen, Chat-Metadaten, Zeitstempel, Zustellstatus, Lesestatus, Reaktionen, Antworten, Markierungen, Freundschaftsanfragen, Blockierungen, Meldungen, Support-Kommunikation und Moderationsentscheidungen.

Live-, Voice-, Audio- und Videodaten

Bei Live-, Sprachraum-, Audio- oder Video-Funktionen können Raum-IDs, Server-IDs, Kanal-IDs, Teilnehmer-IDs, Anzeigenamen, Rollen, Einladungen, Verbindungsdaten, IP-Adressen, Geräte- und Netzwerkdaten, Mikrofon-/Kamera-Status, Audio- und Videodaten sowie Qualitätsdaten verarbeitet werden. Audio- und Videostreams werden technisch übertragen und nur dauerhaft gespeichert, wenn eine entsprechende Funktion ausdrücklich bereitgestellt und genutzt wird.

Premium-, Werbe- und Kaufdaten

Premium-Status, Produkt-IDs, Kauf-Token, Bestell-ID, Kaufzeitpunkt, Ablaufdaten, Werbe-ID, Consent-Informationen, Anzeigenstatus und Informationen dazu, ob Werbung angezeigt werden darf. Glatra erhält keine vollständigen Zahlungsdaten wie Kreditkarten- oder Bankdaten.

Technische Daten

IP-Adresse, Hashes von IP-Adresse und User-Agent bei Selfhost-Sitzungen, Gerätetyp, Betriebssystemversion, App-Version, Installationskennungen, Firebase-Cloud-Messaging-Token, Web-Push-Gerätekennungen, App-Integritätsdaten, Play-Integrity-Daten, Crash- und Diagnosedaten, Logdaten, Sicherheitsereignisse, Web-Key-Pairing-Status, E2EE-Fingerprint-Status, Browser-Speicherstatus, Service-Worker-Status und Zeitpunkte technischer Ereignisse.

Sicherheits-, Notfall- und Supportdaten

Daten aus Sicherheitscenter, sicheren Kontakten, Notfall- oder Schutzfunktionen soweit verfügbar, Support-Tickets, Meldungen, Admin-Aktionen, Sperrlisten, Missbrauchsprotokollen und internen Prüfungen.

4. Zwecke der Verarbeitung

• Registrierung, Anmeldung und Kontoverwaltung
• Bereitstellung von privaten Chats, Gruppen, Medien, Profilen, Freundeslisten und Statusfunktionen
• Bereitstellung von Live-, Voice-, Audio- und Video-Funktionen
• Zustellung von Push-Benachrichtigungen
• Bereitstellung, Prüfung und Verwaltung von Premium-Funktionen, Käufen und Belohnungen
• Anzeige, Steuerung und Finanzierung durch Werbung, soweit aktiviert und zulässig
• Support, Feedback, Moderation, Meldungen und Missbrauchsprävention
• Fehleranalyse, Stabilität, Sicherheit, App-Integrität und Schutz vor automatisierter oder manipulativer Nutzung
• Erfüllung gesetzlicher Pflichten und Durchsetzung rechtlicher Ansprüche

5. Rechtsgrundlagen

Art. 6 Abs. 1 lit. b DSGVO: Verarbeitung zur Bereitstellung der App, Nutzerkonten, Chats, Gruppen, Live-/Voice-Funktionen, Premium-Funktionen und Käufe.

Art. 6 Abs. 1 lit. a DSGVO: Verarbeitung aufgrund einer Einwilligung, insbesondere bei personalisierter Werbung, Consent-Verwaltung, freiwilligen Angaben, bestimmten Sichtbarkeitsfunktionen, Push-Benachrichtigungen oder Gerätezugriffen, soweit hierfür eine datenschutz- oder endgerätebezogene Einwilligung erforderlich ist. Betriebssystem-Berechtigungen wie Kamera, Mikrofon oder Benachrichtigungen steuern zusätzlich den technischen Zugriff, ersetzen aber keine erforderliche Datenschutzinformation.

Art. 6 Abs. 1 lit. f DSGVO: Berechtigte Interessen an IT-Sicherheit, Missbrauchsprävention, Betrugsschutz, Fehleranalyse, Stabilität, Moderation, Regeldurchsetzung und sicherem Betrieb.

Art. 6 Abs. 1 lit. c DSGVO: Verarbeitung zur Erfüllung gesetzlicher Pflichten, insbesondere Zahlungs-, Steuer-, Nachweis-, Auskunfts- und Aufbewahrungspflichten.

Für das Speichern oder Auslesen von Informationen auf Endgeräten gelten zusätzlich die Anforderungen des § 25 TDDDG. Technisch notwendige Speicherungen können ohne Einwilligung zulässig sein, soweit sie für den ausdrücklich gewünschten Dienst erforderlich sind. Optionale Speicherungen für personalisierte Werbung, Tracking oder vergleichbare nicht notwendige Zwecke erfolgen nur nach Maßgabe einer erforderlichen Einwilligung.

Einwilligungen können grundsätzlich mit Wirkung für die Zukunft widerrufen werden. Der Widerruf berührt nicht die Rechtmäßigkeit der Verarbeitung bis zum Widerruf.

6. Eingesetzte Dienste und Empfänger

Eigene Serverdienste auf Hetzner

Glatra nutzt eigene Server- und API-Dienste, insbesondere api.glatra.de, sowie selbst betriebene Infrastruktur für Anmeldung, Sitzungen, Medien, Synchronisierung, Sicherheit, Support, Administration und Betrieb. Soweit Appwrite CE verwendet wird, erfolgt dies als selbst gehosteter Dienst innerhalb der Glatra Studios-Infrastruktur. Hetzner stellt hierfür technische Hosting-Infrastruktur bereit.

Google Firebase, Google Play und Google-Dienste

Glatra kann Dienste der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland nutzen. Dazu können insbesondere Google OAuth für die Google-Anmeldung, Firebase Authentication oder kompatible Bestandskennungen, Firebase Cloud Messaging, Crashlytics, Remote Config, App Check / Play Integrity, Google Play Billing, Google Play In-App Review und Google Play Services gehören. Das aktive Firebase-Projekt ist komkat-9433f. Firebase Realtime Database, Cloud Storage oder Cloud Functions können für Android-Bestandsfunktionen, Alt-, Speicher-, Migrations-, Kompatibilitäts- oder technisch erforderliche Teilfunktionen verarbeitet werden, soweit ein Verarbeitungsvorgang noch nicht vollständig über eigene Serverdienste läuft. Diese Nutzung ist zweckgebunden begrenzt; neue Glatra-Produktfunktionen werden primär über die eigene Selfhost-Infrastruktur bereitgestellt.

Google AdMob und User Messaging Platform

Zur Anzeige und Steuerung von Werbung kann Glatra Google AdMob sowie die Google User Messaging Platform einsetzen. Je nach Auswahl werden personalisierte oder nicht personalisierte Anzeigen angezeigt. Dafür können insbesondere Werbe-ID, IP-Adresse, Geräteinformationen, ungefähre Standortinformationen aus der IP-Adresse, App-Interaktionen und Consent-Informationen verarbeitet werden.

Web-App und lokale Browserdaten

Die Glatra Web App kann technisch notwendige Daten im Browser speichern, insbesondere Sitzungsdaten, Geräte- und Pairing-Status, Oberflächeneinstellungen, Cache-Daten, IndexedDB-/Local-Storage-Einträge und Service-Worker-Daten. Diese Speicherung dient Anmeldung, Betrieb, Sicherheit, Offline-Anzeige, Medienverarbeitung und Synchronisierung. Die statischen Rechtstextseiten setzen keine optionalen Tracking-Cookies.

Self-hosted LiveKit

Für Echtzeitkommunikation kann Glatra LiveKit-Software auf eigener Hetzner-Infrastruktur unter live.glatra.de einsetzen. Dabei können technische Verbindungsdaten, IP-Adressen, Geräte- und Netzwerkdaten, Raum- und Teilnehmerinformationen sowie Audio- und Videodaten verarbeitet werden, soweit dies für Live-, Voice-, Audio- oder Video-Funktionen erforderlich ist.

Weitere Empfänger

Daten können außerdem für andere Glatra-Nutzer sichtbar sein, soweit dies für Chat-, Profil-, Gruppen-, Freunde-, Live- oder Discover-Funktionen erforderlich ist. Administratoren, Moderatoren oder Supporter erhalten Zugriff, soweit dies für Support, Meldungen, Missbrauchsfälle, Sicherheit oder Verwaltung erforderlich ist. Behörden oder Gerichte erhalten Daten nur, soweit eine gesetzliche Verpflichtung besteht oder dies rechtlich zulässig ist.

7. Geräteberechtigungen und lokale Speicherung

Glatra kann Berechtigungen für Internet, Kamera, Mikrofon, Benachrichtigungen, Vibration, Start nach Geräte-Neustart, Vollbild-Anrufe, exakte Alarme, Vordergrunddienste, Wecksperren, Anzeige über anderen Apps, Bildschirmübertragung oder Medienprojektion soweit funktional vorgesehen und Google-Play-Abrechnung verwenden. Kamera, Mikrofon und Bildschirmübertragung werden nur für eigene Live-, Voice-, Audio-, Video- oder ausdrücklich gestartete Support-/Freigabefunktionen benötigt. Anzeige über anderen Apps, exakte Alarme, Vordergrunddienste und Start nach Geräte-Neustart werden nur für ausdrücklich aktivierte Schutz-, Sperr-, Notfall-, Anruf- oder Benachrichtigungsfunktionen genutzt, soweit das Betriebssystem dies erlaubt.

Die Android-App und die Web-App können Daten lokal auf dem Gerät oder im Browser speichern, etwa Login- und Sitzungsdaten, Einstellungen, Chat-Vorschauen, Medien-Cache, Sicherheitsstatus, Browser-Push-Gerätekennungen und verschlüsselte lokale Daten. Bei Deinstallation der Android-App werden lokale App-Daten nach den Regeln des Betriebssystems entfernt. In der Web-App bleiben Browserdaten bestehen, bis sie durch Abmeldung, Kontolöschung, Browser-Datenlöschung, Cache-Bereinigung oder technische Ablaufmechanismen entfernt werden.

8. Verschlüsselung und Sicherheitsgrenzen

Glatra nutzt Transportverschlüsselung per TLS/SSL und technische Schutzmaßnahmen. Private Chat-Inhalte können, soweit in der jeweiligen Funktion, App-Version und Gegenstelle umgesetzt, Ende-zu-Ende-verschlüsselt verarbeitet werden.

Verschlüsselungsstatus, Sicherheitswarnungen, Schlüsselfingerprints und lokale Schutzschalter können zur Sicherheitsprüfung angezeigt oder gespeichert werden, soweit dies für die jeweilige Funktion erforderlich ist.

Metadaten und bestimmte Betriebsdaten können nicht vollständig Ende-zu-Ende-verschlüsselt werden, weil sie für Zustellung, Synchronisierung, Sicherheit, Moderation, Push-Benachrichtigungen, Live-Funktionen, Support oder Missbrauchsprävention erforderlich sind.

Gemeldete Inhalte und zugehöriger Chatkontext können zur Bearbeitung von Meldungen für berechtigte Administratoren oder Moderatoren sichtbar werden. Empfänger können Inhalte außerhalb der App speichern oder weitergeben.

Absolute Sicherheit kann technisch nicht garantiert werden. Glatra setzt den jeweils angemessenen Schutzstand für den konkreten Dienst ein und verbessert Sicherheitsmaßnahmen fortlaufend.

9. Drittlandübermittlungen

Bei Nutzung von Google-, Firebase-, Google-Play-, AdMob- oder anderen externen technischen Diensten kann eine Verarbeitung außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums stattfinden, insbesondere in den USA. Soweit erforderlich, stützen Anbieter solche Übermittlungen auf Angemessenheitsbeschlüsse, insbesondere das EU-U.S. Data Privacy Framework, oder auf Standardvertragsklauseln der Europäischen Kommission gemäß Art. 46 DSGVO.

10. Speicherdauer

Personenbezogene Daten werden nur so lange gespeichert, wie sie für die genannten Zwecke, den Dienstbetrieb, gesetzliche Pflichten, Nachweise, Sicherheit oder Rechtsdurchsetzung erforderlich sind.

• Kontodaten werden grundsätzlich bis zur Löschung des Kontos gespeichert.
• Selfhost-Sitzungsdaten und Reset-Tokens werden nach Abmeldung, Ablauf, Tokenrotation oder Sicherheitsereignissen gelöscht oder ungültig gemacht; ältere Token können kurzzeitig nur zur sicheren Rotation berücksichtigt werden.
• Chat- und Mediendaten bleiben gespeichert, bis sie durch Nutzer, Löschfunktionen, Moderation oder Konto-Löschung entfernt werden, soweit keine Ausnahmen bestehen.
• Gruppen-, Freundschafts-, Live-, Voice- und Profildaten bleiben gespeichert, solange sie für die jeweilige Funktion benötigt werden.
• Kauf- und Abrechnungsdaten können entsprechend gesetzlichen Aufbewahrungspflichten gespeichert werden.
• Crash- und Diagnosedaten werden nur so lange verarbeitet, wie dies für Fehleranalyse, Stabilität und Sicherheit erforderlich ist.
• Sperrlisten, Sicherheitslogs, Missbrauchsprotokolle und gemeldete Inhalte können länger gespeichert bleiben, soweit dies zur Sicherheit, Missbrauchsprävention, Rechtsdurchsetzung oder Erfüllung gesetzlicher Pflichten erforderlich ist.
• Backups und technische Protokolle werden nach internen Löschzyklen entfernt, soweit keine gesetzlichen oder sicherheitsbezogenen Gründe entgegenstehen.

11. Konto- und Datenlöschung

Nutzer können ihr Konto in der Android-App oder Web-App löschen, soweit die Funktion verfügbar ist, oder eine Löschung per E-Mail an glatra.support@gmail.com anfordern. Ergänzende Hinweise stehen unter https://glatra.de/legal/kontakt-und-loeschung/. Die Löschung entfernt das Nutzerkonto und kontobezogene Daten nach Maßgabe der technischen Möglichkeiten und gesetzlichen Vorgaben.

Ausgenommen sein können Daten, die zur Abrechnung, Missbrauchsprävention, Sicherheit, Rechtsdurchsetzung, Bearbeitung von Meldungen oder Erfüllung gesetzlicher Pflichten benötigt werden. Bereits an andere Nutzer zugestellte Inhalte, kopierte Inhalte, Gruppenbeiträge, technische Backups oder Daten außerhalb der von Glatra kontrollierten Systeme können nicht immer vollständig entfernt werden.

Lösch-, Auskunfts- und sonstige Betroffenenanfragen werden nach Eingang und erforderlicher Identitätsprüfung unverzüglich bearbeitet. Eine Rückmeldung erfolgt grundsätzlich innerhalb eines Monats; bei komplexen oder zahlreichen Anfragen kann diese Frist nach den gesetzlichen Vorgaben verlängert werden.

12. Rechte betroffener Personen

Sie haben nach der DSGVO insbesondere das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen und Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an glatra.support@gmail.com.

13. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Zuständig sein kann insbesondere der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, https://www.datenschutz.rlp.de/themen/datenschutzhinweise/beschwerden.

14. Minderjährige

Glatra richtet sich nicht gezielt an Kinder unter 16 Jahren. Personen unter 16 Jahren dürfen die App nur mit Zustimmung ihrer Erziehungsberechtigten nutzen. Funktionen zur aktiven Kontaktaufnahme mit unbekannten Personen oder öffentliche Profil-, Live- und Discover-Funktionen können altersabhängig eingeschränkt werden.

15. Automatisierte Entscheidungen

Eine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO findet nicht statt. Sicherheitsmechanismen können jedoch technische Ereignisse erkennen, protokollieren, auswerten und zur Missbrauchsprävention verwenden. Dadurch können Aktionen blockiert, begrenzt oder zur manuellen Prüfung markiert werden.

16. Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung kann angepasst werden, wenn sich rechtliche Anforderungen, App-Funktionen, eingesetzte Dienste oder technische Abläufe ändern. Rein redaktionelle Korrekturen, etwa bei Rechtschreibung, Satzbau, Umlautdarstellung, Klarheit, Verweisen oder präziserer Beschreibung bereits laufender Technik, werden mit aktualisiertem Stand-Datum veröffentlicht, archiviert und erfordern keine neue Einwilligung.

Bei materiellen Datenschutzänderungen, neuen Datenkategorien, neuen Zwecken, neuen Empfängern, neuer Werbung, Tracking, Analyse, Drittlandübermittlung oder deutlich geänderter Speicherdauer werden Nutzer aktiv mit Datum, Kurzfassung und Link zur aktuellen Fassung informiert. Wenn eine neue Verarbeitung auf Einwilligung beruht oder eine bestehende Einwilligung erweitert wird, wird die erforderliche Einwilligung eingeholt, bevor die betroffene Funktion genutzt wird. Eine pauschale automatische Zustimmung aller Alt-Nutzer wird nicht unterstellt.