Datenschutzerklärung & Impressum #
Stand: 05.2026
Zusammenfassung / Einfache Version #
Als Betreiber einer datenschutzfreundlichen Alternative zu kommerziellen Messengern bemühe ich mich darum, einen “datensparsamen” Server anzubieten, der so wenig Nutzerdaten wie möglich erhebt. Dennoch gibt es ein paar Dinge, die zu beachten sind:
Auf einen Blick #
- Passwörter werden nur als Hash (verschlüsselt) auf dem Server gespeichert.
- IP-Adressen von Nutzern werden standardmäßig nicht protokolliert.
- Ausnahme: Bei fehlerhaften Login-Versuchen wird die IP-Adresse protokolliert, um Angriffe auf Accounts abzuwehren.
- Zur Registrierung ist keine Eingabe von persönlichen Daten wie Name, Adresse oder E-Mail-Adresse notwendig.
- TLS-Verschlüsselung ist für Client-to-Server und Server-to-Server Verbindungen Pflicht.
- Self-signed Zertifikate von anderen Servern werden nicht akzeptiert.
Nachrichten und Dateien #
- Nachrichten werden bis zu 7 Tage auf dem Server zwischengespeichert, um sie über mehrere Geräte zu synchronisieren und bei Offline-Empfängern zustellen zu können. Diese Funktion heißt “MAM” (Message Archive Management) und ist sowohl für Einzelkonversationen als auch für Gruppenchats (MUCs) standardmäßig aktiviert .
- Offline-Nachrichten werden auf dem Server zwischengespeichert, falls der Kontakt offline ist.
- Via HTTP_Upload hochgeladene Dateien bleiben 7 Tage auf dem Server gespeichert.
- Gruppenchats: Die letzten 20 gesendeten Nachrichten werden gespeichert, damit neu beigetretene Benutzer einen kurzen Verlauf sehen können.
Deine Sicherheit #
- Du kannst zu deiner eigenen Sicherheit Ende-zu-Ende-Verschlüsselung (OMEMO, OTR) einsetzen, um deine Konversationen auch bei einem Einbruch in meine Serversysteme sicher zu halten.
- Nicht einverstanden mit der Protokollierung? Du kannst MAM in deinem Client abschalten.
Behördliche Anfragen #
Sollte ich aufgrund eines geltenden Gesetzes zur Kooperation mit Strafverfolgungsbehörden verpflichtet sein, werden Daten gemäß der geltenden Gesetze herausgegeben.
Übersicht über gespeicherte Daten #
| Datenkategorie | Speicherdauer / Bemerkung |
|---|---|
| IP-Adressen | Nur bei fehlerhaften Login-Versuchen, max. [7 Tage] |
| Nachrichtenverlauf (MAM) | 7 Tage (optional abschaltbar) |
| Dateiuploads (HTTP-Upload) | 7 Tage |
| Offline-Nachrichten | Bis zur Zustellung, max. 7 Tage |
| Zeitpunkt des letzten Logins | Zur Erkennung inaktiver Benutzer |
| Profilangaben und Avatar | Bis zur Löschung durch Nutzer |
| Kontaktliste (Roster) | Bis zur Löschung durch Nutzer |
| Chatraum-Lesezeichen | Bis zur Löschung durch Nutzer |
| Server-Logs (Error-Logs) | Maximal 7 Tage |
Datenschutzerklärung nach DSGVO #
1. Verantwortliche Stelle #
Serverbetreiber: Dr. Oliver Grünzel, Birkenring 9a, 31319 Sehnde, Deutschland
Kontakt:
- E-Mail: xmppadmin (ät) enemyscout.de
2. Begriffsbestimmungen #
„Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung (z.B. JID) oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann.
„Verarbeitung“ ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang im Zusammenhang mit personenbezogenen Daten.
Als „Verantwortlicher“ wird die natürliche oder juristische Person bezeichnet, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
3. Allgemeines zur Datenverarbeitung #
3.1 Umfang der Verarbeitung personenbezogener Daten #
Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung eines funktionsfähigen XMPP-Dienstes sowie unserer Website und Inhalte erforderlich ist. Die Verarbeitung erfolgt regelmäßig nur nach Einwilligung des Nutzers oder aufgrund gesetzlicher Erlaubnis.
3.2 Rechtsgrundlagen für die Verarbeitung personenbezogener Daten #
| Rechtsgrundlage | Beschreibung |
|---|---|
| Art. 6 Abs. 1 lit. a DSGVO | Einwilligung der betroffenen Person |
| Art. 6 Abs. 1 lit. b DSGVO | Vertragserfüllung oder Durchführung vorvertraglicher Maßnahmen |
| Art. 6 Abs. 1 lit. c DSGVO | Erfüllung einer rechtlichen Verpflichtung |
| Art. 6 Abs. 1 lit. d DSGVO | Schutz lebenswichtiger Interessen |
| Art. 6 Abs. 1 lit. f DSGVO | Berechtigte Interessen des Verantwortlichen |
3.3 Datenlöschung und Speicherdauer #
Die personenbezogenen Daten werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Eine Speicherung kann darüber hinaus erfolgen, wenn dies durch gesetzliche Vorschriften (z.B. handels- oder steuerrechtliche Aufbewahrungspflichten) vorgesehen wurde.
Nach gesetzlichen Vorgaben in Deutschland erfolgt die Aufbewahrung insbesondere für:
- 6 Jahre gemäß § 257 Abs. 1 HGB (Handelsbücher, Inventare, Jahresabschlüsse, Handelsbriefe, Buchungsbelege, etc.)
- 10 Jahre gemäß § 147 Abs. 1 AO (Bücher, Aufzeichnungen, Lageberichte, Buchungsbelege, Handels- und Geschäftsbriefe, für Besteuerung relevante Unterlagen, etc.)
Backups: Der Betreiber behält sich vor, sämtliche vom Server gespeicherten Daten in Form von Sicherungskopien für bis zu halben Jahr auf externen Systemen vorzuhalten. Dadurch können Daten, die eigentlich schon gelöscht wurden, in Backups weiter existieren, bis diese überschrieben werden.
4. Zusammenarbeit mit Auftragsverarbeitern und Dritten #
Sofern wir im Rahmen unserer Verarbeitung Daten gegenüber anderen Personen und Unternehmen (Auftragsverarbeitern oder Dritten) offenbaren, sie an diese übermitteln oder ihnen sonst Zugriff auf die Daten gewähren, erfolgt dies nur auf Grundlage einer gesetzlichen Erlaubnis, Ihrer Einwilligung, einer rechtlichen Verpflichtung oder auf Grundlage unserer berechtigten Interessen.
Sofern wir Dritte mit der Verarbeitung von Daten beauftragen, geschieht dies auf Grundlage eines Auftragsverarbeitungsvertrages gemäß Art. 28 DSGVO.
Auftragsverarbeiter #
| Unternehmen | Zweck | Verantwortlicher |
|---|---|---|
| Hetzner | Serverhosting, Infrastruktur | Hetzner Online GmbH,Industriestr. 25, 91710 Gunzenhausen, Germany |
Serverstandort: Finnland
5. Übermittlungen in Drittländer #
Sofern wir Daten in einem Drittland (außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums) verarbeiten oder dies im Rahmen der Inanspruchnahme von Diensten Dritter geschieht, erfolgt dies nur unter den besonderen Voraussetzungen der Art. 44 ff. DSGVO.
Bei der Nutzung des XMPP-Dienstes kann es zu Übermittlungen an Server in Drittländern kommen, wenn du mit Kontakten auf solchen Servern kommunizierst. Diese Server unterliegen eigenen Datenschutzrichtlinien und möglicherweise nicht dem gleichen Datenschutzniveau (Art. 49 Abs. 1 lit. b DSGVO).
6. Bereitstellung der Website #
6.1 Beschreibung und Umfang der Datenverarbeitung #
Bei jedem Aufruf unserer Internetseite erfasst unser System automatisiert Daten und Informationen vom Computersystem des aufrufenden Rechners:
- Informationen über den Browsertyp und die verwendete Version
- Das Betriebssystem des Nutzers
- Die IP-Adresse des Nutzers
- Datum und Uhrzeit des Zugriffs
- Websites, von denen das System des Nutzers auf unsere Internetseite gelangt
Die Daten werden in den Logfiles unseres Systems gespeichert. Eine Speicherung dieser Daten zusammen mit anderen personenbezogenen Daten des Nutzers findet nicht statt.
6.2 Cookies #
Wir benutzen auf unserer Website keinerlei Cookies. Falls Sie einem Link auf unseren Seiten folgen, der zu einer externen Seite führt, kann es sein, dass diese externen Seiten Cookies benutzen.
6.3 Rechtsgrundlage #
Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung und Sicherheit der Website).
6.4 Zweck der Datenverarbeitung #
- Auslieferung der Website an den Rechner des Nutzers
- Sicherstellung der Funktionsfähigkeit der Website
- Optimierung der Website
- Sicherstellung der Sicherheit unserer informationstechnischen Systeme
6.5 Dauer der Speicherung #
- Sitzungsdaten: werden mit Ende der Sitzung gelöscht
- Logfiles: werden nach spätestens 7 Tagen gelöscht oder anonymisiert
6.6 Widerspruchsmöglichkeit #
Die Erfassung der Daten ist für den Betrieb der Internetseite zwingend erforderlich. Es besteht folglich keine Widerspruchsmöglichkeit.
7. Bereitstellung des XMPP-Dienstes #
7.1 Beschreibung und Umfang der Datenverarbeitung #
Bei der Registrierung und Nutzung des XMPP-Dienstes werden folgende Daten erfasst:
Bestandsdaten (bei Registrierung) #
- JID (XMPP-ID), bestehend aus Benutzername und Domain
- Passwort (als SCRAM-SHA1 Hash gespeichert, nicht im Klartext)
- Datum und Uhrzeit der Nutzer-Registrierung
Nutzungsdaten (bei Verwendung) #
- Roster (Kontaktliste mit XMPP-IDs und zugeordneten Namen)
- Online-Status und Status-Nachrichten
- Offline-Nachrichten (bei nicht erreichbarem Empfänger)
- Nachrichtenarchiv (Message Archive Management / MAM gemäß XEP-0313)
- Gruppenchat-Daten (Multi-User Chats / MUCs, beigetretene Räume, Lesezeichen)
- VCard (Nutzerprofil, Avatar, öffentliche Informationen)
- PEP-Daten (Personal Eventing Protocol, falls genutzt)
Datei-Uploads #
- HTTP-Uploads (gemäß XEP-0363): Hochgeladene Dateien inkl. Metadaten
- Teilweise werden diese Dateien von deinem Client Ende-zu-Ende-verschlüsselt (z.B. per OMEMO)
Verkehrsdaten #
- Datum und Uhrzeit der letzten Nutzeraktivität (Login/Logout)
- Technische Informationen über den verwendeten Client (unterstützte Protokollversionen)
Sicherheitsdaten #
- IP-Adressen bei fehlerhaften Login-Versuchen (nur in diesem Fall, zur Abwehr von Angriffen)
- Im normalen Betrieb werden IP-Adressen nicht protokolliert
7.2 Besonderheiten im Detail #
IP-Adressen #
IP-Adressen werden standardmäßig nicht protokolliert. Sie sind während einer aktiven Verbindung theoretisch einsehbar, werden aber nicht dauerhaft gespeichert. Eine Ausnahme bilden fehlerhafte Login-Versuche: Hier wird die IP-Adresse kurzzeitig protokolliert, um Angriffe auf Accounts erkennen und abwehren zu können.
Nachrichtenarchiv (MAM) #
Die längerfristige Protokollierung von Nachrichten ist standardmäßig aktiviert . Dies ermöglicht die Synchronisation des Nachrichtenverlaufs über mehrere Geräte und ein komfortables Nutzungserlebnis ähnlich wie bei kommerziellen Messengern.
- Wenn aktiviert: Nachrichten werden für 7 Tage auf dem Server gespeichert
- Deaktivierung: Über die Client-Funktion kann MAM dauerhaft abgeschaltet werden – dann werden Nachrichten nur temporär zur Übermittlung gespeichert
- Bei Nutzung von OMEMO sind die Nachrichten Ende-zu-Ende-verschlüsselt und für den Server nicht lesbar
Gruppenchats (MUC) #
- Nachrichten können über MAM für 7 Tage archiviert werden
- Diese Option ist standardmäßig aktiviert, kann aber für eigene Gruppenchats angepasst werden
- Die letzten 20 gesendeten Nachrichten werden in jedem Fall gespeichert, damit neu beigetretene Benutzer einen kurzen Verlauf sehen können
Registrierung #
Bei Registrierung erhalten die Admins eine einmalige Benachrichtigung über den neuen Account. Die zur Registrierung verwendete IP-Adresse wird dabei durch localhost ersetzt oder anonymisiert.
7.3 Datenweitergabe an andere Server #
Benutzername, Profilinformationen, Status, Dateiuploads und Nachrichten werden mit anderen XMPP-Servern geteilt, sofern mit einem Benutzer eines anderen Servers kommuniziert wird. Dies ist durch die Funktionsweise des dezentralen XMPP-Netzwerks bedingt und für die Zustellung der Nachrichten erforderlich (Art. 6 Abs. 1 lit. b DSGVO).
7.4 Push-Benachrichtigungen #
Wenn du Push-Benachrichtigungen aktivierst (z.B. auf einem mobilen Client), werden die für die Durchführung der Push-Benachrichtigung erforderlichen Daten (typischerweise eine Geräte-ID und Nachrichten-Metadaten) an von der Client-Anwendung bestimmte Server übertragen (Art. 6 Abs. 1 lit. b, Art. 49 Abs. 1 lit. b DSGVO). Die Verarbeitung auf diesen Servern unterliegt den Datenschutzrichtlinien der jeweiligen Client-Anwendung und des Push-Dienstleisters.
7.5 Rechtsgrundlage #
Rechtsgrundlage für die Speicherung der Daten ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Für die Sicherheitsprotokollierung (IP bei Fehlversuchen) dient Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit des Dienstes).
7.6 Zweck der Datenverarbeitung #
Die Verarbeitung dient der Bereitstellung und Funktionalität des XMPP-Dienstes:
- Zustellung von Nachrichten
- Synchronisation zwischen verschiedenen Geräten
- Verwaltung von Kontakten und Chaträumen
- Bereitstellung von Profilinformationen
- Austausch von Dateien
- Sicherstellung der Dienstsicherheit und Missbrauchsbekämpfung
7.7 Dauer der Speicherung #
| Datentyp | Speicherdauer |
|---|---|
| Nutzer-Bestandsdaten | Bis zur Kontolöschung, bei Inaktivität nach [z.B. 365 Tagen] automatische Löschung |
| Logdateien mit IP-Adressen (bei Fehlversuchen) | Maximal 7 Tage |
| Nachrichtenprotokolle (MAM) | 7 Tage (wenn aktiviert) |
| Dateiuploads (HTTP-Upload) | 7 Tage |
| Offline-Nachrichten | Maximal 7 Tage oder bis zur Zustellung |
| Server-Logs (Error-Logs) | Maximal 7 Tage |
| Debug-Logs | Nur temporär im Problemfall, mit Ankündigung |
7.8 Widerspruchs- und Beseitigungsmöglichkeit #
Selbstständig verwalten #
Folgende Daten kannst du über deinen XMPP-Client selbst einsehen, ändern und löschen:
- Kontaktliste (Roster)
- Chatraum-Lesezeichen
- vCard und Avatar
- Offline-Nachrichten
- Nachrichtenarchiv (MAM) – sofern vom Client unterstützt
Konto-Löschung #
Du hast jederzeit die Möglichkeit, dein Konto zu löschen:
- Selbstständig: Über einen vollwertigen XMPP-Client mit entsprechender Funktion (z.B. via XEP-0077: In-Band Registration)
- Manuell: Durch Kontaktaufnahme per XMPP an admin (ät) enemyscout.de
Wichtig: E-Mail-Anfragen mit Nennung der JID können aus Gründen der Sicherheit nicht als Identitätsnachweis anerkannt werden!
Eine Änderung des Benutzernamens durch den Administrator ist nicht möglich.
Inaktive Konten #
Konten, die für mindestens 1 Jahr nicht genutzt wurden, können im zuge von Wartungsarbeiten entfernt werden.
8. Verschlüsselung und Sicherheit #
- TLS-Verschlüsselung wird für alle Verbindungen (Client-to-Server und Server-to-Server) verwendet bzw. verlangt
- Self-signed Zertifikate von anderen Servern werden nicht akzeptiert
- Ende-zu-Ende-Verschlüsselung (E2EE): Die Verantwortung für die Aktivierung von OMEMO oder OTR liegt beim Nutzer. Bei Nutzung von E2EE sind die Nachrichteninhalte für den Server nicht lesbar.
9. E-Mail-Kontakt #
9.1 Beschreibung und Umfang der Datenverarbeitung #
Bei Kontaktaufnahme per E-Mail werden die mit der E-Mail übermittelten personenbezogenen Daten gespeichert. Es erfolgt keine Weitergabe an Dritte.
9.2 Rechtsgrundlage #
- Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Kommunikation)
- Bei Vertragsanbahnung zusätzlich Art. 6 Abs. 1 lit. b DSGVO
9.3 Zweck der Datenverarbeitung #
Die Verarbeitung dient allein der Bearbeitung der Kontaktaufnahme.
9.4 Dauer der Speicherung #
Zu Archivierungs- und Datensicherungszwecken werden via E-Mail erhaltene Daten für unbestimmte Zeit gespeichert.
9.5 Widerspruchsmöglichkeit #
Der Nutzer kann der Speicherung seiner personenbezogenen Daten jederzeit widersprechen. In diesem Fall wird die Konversation nicht fortgeführt und alle Daten werden gelöscht.
10. Rechte der betroffenen Person #
10.1 Auskunftsrecht (Art. 15 DSGVO) #
Sie können eine Bestätigung darüber verlangen, ob personenbezogene Daten verarbeitet werden, und Auskunft über diese Daten erhalten (Zweck, Kategorien, Empfänger, Speicherdauer, Herkunft der Daten).
10.2 Recht auf Berichtigung (Art. 16 DSGVO) #
Sie haben das Recht auf Berichtigung und/oder Vervollständigung unrichtiger oder unvollständiger Daten.
10.3 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) #
Unter bestimmten Voraussetzungen (z.B. während der Prüfung der Richtigkeit) können Sie die Einschränkung der Verarbeitung verlangen.
10.4 Recht auf Löschung (Art. 17 DSGVO) #
Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
10.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO) #
Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und an einen anderen Verantwortlichen zu übermitteln.
10.6 Widerspruchsrecht (Art. 21 DSGVO) #
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Ihrer Daten Widerspruch einzulegen.
10.7 Recht auf Widerruf der Einwilligung #
Sie haben das Recht, Ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.
10.8 Automatisierte Entscheidungen #
Es finden keine automatisierten Entscheidungen im Einzelfall einschließlich Profiling statt.
10.9 Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) #
Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO verstößt.
11. Zuständige Aufsichtsbehörde #
Die Landesbeauftragte für den Datenschutz Niedersachsen Prinzenstraße 5 30159 Hannover
Impressum #
Dr. Oliver Grünzel
Birkenring 9a
31319 Sehnde
E-Mail: xmppadmin (ät) enemyscout.de
Telefon: (+49) 170 96 33 787