Froup

Datenschutzerklärung

Froup GmbH · Stand: Juni 2026

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:

2. Allgemeines zur Datenverarbeitung

2.1 Umfang der Verarbeitung

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen App sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung erfolgt nur nach Einwilligung des Nutzers oder soweit eine gesetzliche Grundlage besteht.

2.2 Rechtsgrundlagen

Soweit wir eine Einwilligung einholen, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage. Bei der Verarbeitung zur Erfüllung eines Vertrages dient Art. 6 Abs. 1 lit. b DSGVO. Zur Erfüllung einer rechtlichen Verpflichtung gilt Art. 6 Abs. 1 lit. c DSGVO. Bei berechtigtem Interesse gilt Art. 6 Abs. 1 lit. f DSGVO.

2.3 Datenlöschung und Speicherdauer

Personenbezogene Daten werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Eine längere Speicherung kann erfolgen, wenn dies durch gesetzliche Vorschriften vorgesehen ist.

3. Überblick: Welche Daten wir verarbeiten

Im Rahmen der Nutzung von Froup verarbeiten wir folgende Daten:

Wir erheben keine Werbe-IDs, betreiben kein Tracking und erheben keine Zahlungsdaten. Zur Stabilitäts- und Fehleranalyse werden technische Fehler- und Absturzdaten ohne Bezug zur Identität des Nutzers über einen Dienstleister in der EU verarbeitet (siehe Abschnitt 7).

4. Registrierung, Verifikation und Nutzerkonto

4.1 Verifikation der Hochschulzugehörigkeit

Froup ist ausschließlich für Studierende ab 18 Jahren zugänglich. Zur Verifikation der Hochschulzugehörigkeit ist im Rahmen der Registrierung das Hochladen eines gültigen Nachweises erforderlich. Hierfür kann insbesondere ein gültiger Studierendenausweis oder ein sonstiger geeigneter Immatrikulationsnachweis verwendet werden, soweit dies im Registrierungsprozess vorgesehen ist.

Der hochgeladene Nachweis wird ausschließlich zum Zweck der Prüfung der Hochschulzugehörigkeit, der Missbrauchsprävention, der Qualitätssicherung des Verifikationsprozesses sowie gegebenenfalls zur Nachprüfung einer Verifikationsentscheidung verarbeitet.

Soweit technisch möglich und für die Verifikation ausreichend, empfehlen wir, auf dem Nachweis nicht erforderliche Angaben zu schwärzen. Maßgeblich ist, dass die Hochschulzugehörigkeit und die Gültigkeit des Nachweises überprüft werden können. Soweit im Registrierungsprozess bestimmte Angaben zwingend benötigt werden, weisen wir hierauf gesondert hin.

Der Nachweis wird nach erfolgreicher Verifikation grundsätzlich nicht dauerhaft als Bestandteil des Nutzerprofils gespeichert. Eine kurzfristige Aufbewahrung erfolgt ausschließlich, soweit dies zur Qualitätssicherung, Missbrauchsprävention, Bearbeitung von Rückfragen oder zur Abwehr betrügerischer Registrierungen erforderlich ist. Die Aufbewahrung erfolgt für maximal 7 Tage nach Abschluss der Verifikation und anschließend automatisiert und unwiderruflich, soweit keine gesetzlichen Pflichten oder konkrete Missbrauchs- oder Sicherheitsvorfälle im Einzelfall eine längere Aufbewahrung erforderlich machen.

Zugriff auf den hochgeladenen Nachweis erhalten nur diejenigen Personen oder Systeme, die mit der Durchführung, Kontrolle oder Absicherung des Verifikationsprozesses betraut sind. Die Speicherung erfolgt in einem gesicherten Objektspeicher in Deutschland; der Zugriff erfolgt ausschließlich über kurzzeitig gültige Zugriffslinks.

Pflichtangaben im Rahmen des Profils sind die Hochschule und der Studiengang. Freiwillige Angaben sind beispielsweise Interessen und Profilbild.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, soweit die Verifikation zur Begründung und Durchführung des Nutzungsverhältnisses erforderlich ist. Soweit eine kurzfristige Aufbewahrung zur Qualitätssicherung, Missbrauchsprävention, Nachprüfung oder Abwehr betrügerischer Registrierungen erforderlich ist, erfolgt die Verarbeitung ergänzend auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO.

4.2 Anmeldung und Nutzung des Kontos

Die Registrierung und Anmeldung kann per E-Mail-Adresse und Passwort (mit E-Mail-Bestätigung) oder über die Anmeldedienste von Google (Android und iOS) bzw. Apple (iOS) erfolgen. Bei Nutzung dieser Anmeldedienste werden die für die Authentifizierung erforderlichen Daten von Google bzw. Apple verarbeitet.

Im Rahmen der App-Nutzung werden zusätzlich Nutzungsaktivitäten verarbeitet, insbesondere erstellte und besuchte Inhalte sowie Interaktionen innerhalb der Plattform. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

5. Verarbeitung im Rahmen der App-Funktionen

5.1 Lobbies, Events, Groups und Organisationsprofile

Zur Bereitstellung dieser Funktionen werden von Nutzern erstellte Inhaltsdaten sowie Teilnahme-, Mitgliedschafts- und Aktivitätsdaten verarbeitet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

5.2 Chat

Für die Kommunikation innerhalb von Lobbies und Groups nutzt Froup das Matrix-Protokoll. Der hierfür eingesetzte Matrix-Homeserver (Synapse) wird von Froup selbst auf eigener Infrastruktur in Deutschland betrieben (siehe Abschnitt 7).

Chatnachrichten werden bei der Übertragung per TLS verschlüsselt. Eine Ende-zu-Ende-Verschlüsselung findet derzeit nicht statt. Das bedeutet: Die Nachrichteninhalte sind auf dem von Froup betriebenen Server technisch zugänglich. Nachrichten sind nur für Mitglieder der jeweiligen Lobby oder Gruppe sichtbar. Zusätzlich werden Nachrichten lokal auf dem Gerät des Nutzers zwischengespeichert.

Bereits an andere Nutzer gesendete Nachrichten können auch nach Löschung des eigenen Kontos in den jeweiligen Chats sichtbar bleiben, da sie Bestandteil der Kommunikation der übrigen Teilnehmer sind. Das eigene Matrix-Konto wird bei der Kontolöschung deaktiviert bzw. gelöscht.

Wir weisen darauf hin, keine besonders sensiblen personenbezogenen Daten über den Chat zu teilen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

5.3 Standortdaten

Froup nutzt den präzisen Standort, um Aktivitäten und Lobbies in der Nähe des Nutzers anzuzeigen. Die Standortfreigabe ist optional und erfolgt opt-in über die Berechtigungsabfrage des Betriebssystems.

Der Standort wird nicht dauerhaft im öffentlichen Profil angezeigt. Eine dauerhafte Speicherung genauer Standortverläufe erfolgt nicht. Standortdaten werden grundsätzlich nur flüchtig oder kurzfristig verarbeitet, soweit dies technisch zur Bereitstellung der Funktion erforderlich ist. Soweit aus technischen Gründen kurzfristige Protokollierungen oder Zwischenspeicherungen erfolgen, werden diese nach Wegfall des Zwecks gelöscht oder anonymisiert, sofern keine gesetzlichen Pflichten oder berechtigten Sicherheitsinteressen entgegenstehen.

Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden, insbesondere über die Einstellungen des Endgeräts oder innerhalb der App, soweit eine entsprechende Funktion bereitgestellt wird. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt hiervon unberührt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

5.4 Kontakte-Abgleich

Froup bietet eine optionale Funktion zur Kontaktsuche, mit der Nutzer Bekannte auf Froup finden können. Die Telefonnummern aus dem Adressbuch werden hierfür ausschließlich auf dem Gerät des Nutzers kryptografisch gehasht (SHA-256). Die Rohnummern verlassen das Gerät nicht und werden zu keinem Zeitpunkt an unsere Server übermittelt. An unsere Server werden ausschließlich die so erzeugten Hash-Werte übermittelt, um sie mit den Hash-Werten bereits registrierter Nutzer abzugleichen. Hash-Werte von Kontakten, die nicht bei Froup registriert sind, werden nicht dauerhaft gespeichert.

Die Funktion ist standardmäßig deaktiviert und setzt eine ausdrückliche Aktivierung durch den Nutzer sowie die systemseitige Kontaktberechtigung voraus. Beides kann jederzeit in den Einstellungen widerrufen werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

5.5 Push-Benachrichtigungen

Die App sendet Push-Benachrichtigungen, etwa über neue Nachrichten, Lobbies, Events oder Aktivitäten. Push-Benachrichtigungen setzen die systemseitige Erlaubnis (opt-in) des Nutzers über das Betriebssystem voraus und können jederzeit in den Systemeinstellungen des Geräts deaktiviert werden.

Verarbeiteter Datentyp: Zur Zustellung wird ein geräte-spezifischer Push-Token (Geräte-Identifier) verarbeitet. Dieser Token wird an unseren eigenen Server übermittelt und dort dem jeweiligen Nutzerkonto zugeordnet gespeichert, damit Benachrichtigungen zugestellt werden können.

Zustelldienste (Empfänger): Die technische Zustellung der Benachrichtigungen erfolgt über die Plattformdienste der Gerätehersteller:

Für Chat-Benachrichtigungen nutzen wir zusätzlich ein selbstgehostetes Matrix-Push-Gateway (Sygnal), das den Push-Token an FCM bzw. APNs weiterreicht.

Drittlandübermittlung: Google und Apple verarbeiten den Push-Token in den USA. Die Übermittlung erfolgt auf Grundlage geeigneter Garantien gemäß Art. 46 DSGVO (EU-Standardvertragsklauseln) bzw. eines Angemessenheitsbeschlusses (EU-US Data Privacy Framework). Google und Apple sind unter dem EU-US Data Privacy Framework zertifiziert.

Speicherdauer: Der Push-Token wird beim Logout sowie bei der Löschung des Nutzerkontos invalidiert und entfernt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / Kernfunktion) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der zuverlässigen Zustellung von Benachrichtigungen). Die systemseitige Push-Berechtigung erfolgt opt-in.

6. Nutzergenerierte Inhalte

Nutzer können in Froup Inhalte erstellen (Posts, Kommentare, Likes, Lobby-Beschreibungen, Chatnachrichten). Diese sind für andere App-Nutzer sichtbar und mit dem Nutzerprofil verknüpft. Nutzern ist es untersagt, personenbezogene Daten anderer Personen ohne deren Einwilligung zu veröffentlichen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO.

7. Technische Infrastruktur und Empfänger

7.1 Hosting und Backend (self-hosted)

Froup betreibt seine gesamte Kerninfrastruktur selbst (self-hosted) bei einem Hosting-Dienstleister mit Serverstandort in Deutschland (EU). Es besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO mit diesem Dienstleister.

Auf dieser Infrastruktur werden betrieben: das Anwendungs-Backend inklusive Authentifizierung und Profildaten, die Datenbank, der Objektspeicher sowie der Matrix-Homeserver (Synapse) für den Chat und das Matrix-Push-Gateway (Sygnal). Eine Weitergabe dieser Daten an Dritte findet außer in den nachfolgend genannten Fällen nicht statt.

7.2 Versand von E-Mails

Für den Versand transaktionaler E-Mails (z. B. Bestätigungs- und Benachrichtigungs-E-Mails) nutzt Froup einen E-Mail-Dienstleister mit Sitz in der Europäischen Union (Frankreich). Übermittelt werden die E-Mail-Adresse und der jeweilige Nachrichteninhalt. Es besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

7.3 Push-Zustelldienste

Zur Zustellung von Push-Benachrichtigungen werden Push-Token an Google (Firebase Cloud Messaging) bzw. Apple (Apple Push Notification service) übermittelt (siehe Abschnitt 5.5). Diese Übermittlung kann eine Verarbeitung in den USA umfassen, abgesichert durch EU-Standardvertragsklauseln bzw. das EU-US Data Privacy Framework.

7.4 Fehler- und Absturzanalyse

Zur Erkennung und Behebung technischer Fehler und Abstürze nutzt Froup im Backend und in der mobilen App einen Dienstleister zur Fehler- und Absturzanalyse mit Serverstandort in der EU (Frankfurt). Im Fehlerfall werden technische Fehler- und Absturzberichte (Stacktraces), technische Verlaufsinformationen zu API-Aufrufen (aufgerufene Adresse, HTTP-Methode und Statuscode, jedoch keine Inhalte) sowie Geräteinformationen (Betriebssystem und Modell) übertragen.

Diese Daten werden ohne Bezug zur Identität des Nutzers verarbeitet; es werden keine IP-Adressen und keine Nutzerkennungen übertragen und keine Verknüpfung mit dem Nutzerkonto vorgenommen. Eine Analyse des Nutzungsverhaltens oder der Performance findet nicht statt. Es besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Stabilität, Sicherheit und Fehlerfreiheit der App).

7.5 Keine Analyse-, Tracking- und Werbedienste

Froup verwendet kein Firebase Analytics und keine vergleichbaren Produkt- oder Verhaltensanalyse-Dienste. Es findet kein Nutzer-Tracking statt, und es werden keine Werbe-IDs erhoben oder verwendet. Es werden keine Daten zu Werbe- oder Profilbildungszwecken erhoben oder weitergegeben. Über den Push-Token hinaus (ausschließlich zur Zustellung von Benachrichtigungen) und die unter 7.4 genannten Fehler- und Absturzdaten verarbeiten wir keine geräte-bezogenen Identifier zu Tracking-Zwecken.

7.6 Geräteberechtigungen

Die App fragt – jeweils opt-in über das Betriebssystem – folgende Geräteberechtigungen ab und nutzt sie ausschließlich für den genannten Zweck:

Die Berechtigungen können jederzeit in den Geräteeinstellungen widerrufen werden.

7.7 App Store und Google Play

Der Download der App erfolgt über den Apple App Store bzw. Google Play. Bei Download und Nutzung über diese Stores werden Daten durch Apple bzw. Google in eigener Verantwortung verarbeitet. Es gelten die jeweiligen Datenschutzbestimmungen von Apple und Google.

8. Datensicherheit

Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein, um personenbezogene Daten zu schützen. Die Datenübertragung zwischen App und Servern erfolgt verschlüsselt (TLS/HTTPS).

9. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Verarbeitungszwecke erforderlich ist. Anschließend werden die Daten gelöscht, anonymisiert oder in ihrer Verarbeitung eingeschränkt, sofern gesetzliche Aufbewahrungspflichten, berechtigte Interessen oder technisch erforderliche Speicherprozesse einer sofortigen Löschung entgegenstehen.

Es gelten insbesondere folgende Grundsätze:

10. Rechte der betroffenen Personen

Beschwerderecht bei der Aufsichtsbehörde

11. Geltendmachung deiner Rechte

Wir beantworten Anfragen innerhalb von 30 Tagen.

12. Mindestalter

Froup richtet sich ausschließlich an Personen ab 18 Jahren. Wir erheben wissentlich keine Daten von Personen unter 18 Jahren. Sollten wir Kenntnis davon erlangen, dass eine minderjährige Person ein Konto erstellt hat, löschen wir das Konto und alle zugehörigen Daten unverzüglich.

13. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen. Die jeweils aktuelle Version ist in der App und unter https://www.froup.app/datenschutz abrufbar. Nutzer werden über wesentliche Änderungen per Push-Benachrichtigung oder E-Mail informiert.

14. Cookies auf dieser Website

Die Website www.froup.app setzt keine einwilligungspflichtigen Cookies und bindet keine Tracking- oder Werbedienste ein; Schriftarten werden self-hosted ausgeliefert. Einzelheiten findest du in unserer Cookie-Richtlinie.