Spielekiste ← Zurück zu den Spielen

Datenschutzerklärung

Informationen nach Art. 13 DSGVO · Stand: [[ DATUM EINTRAGEN ]]

Diese Seite ist ein Gerüst und wurde nicht von einem Anwalt geprüft. Vor dem ersten Verkauf ersetzen.

Die Struktur bildet die Pflichtangaben nach Art. 13 DSGVO ab und benennt die Dienste, die dieses Projekt tatsächlich einsetzt. Konkrete Fristen, Rechtsgrundlagen und die Auftragsverarbeitungsverträge müssen geprüft und ergänzt werden.

Inhalt
  1. Verantwortlicher und Kontakt
  2. Welche Daten verarbeitet werden
  3. Zwecke und Rechtsgrundlagen
  4. Empfänger und Auftragsverarbeiter
  5. Übermittlung in Drittländer
  6. Speicherdauer
  7. localStorage und Cookies
  8. Ihre Rechte
  9. Erforderlichkeit der Bereitstellung
  10. Automatisierte Entscheidungen
  11. Änderungen dieser Erklärung

1. Verantwortlicher und Kontakt

Verantwortlich für die Datenverarbeitung auf dieser Website im Sinne des Art. 4 Nr. 7 DSGVO ist:

[[ VOM BETREIBER AUSZUFÜLLEN: Name/Firma, vollständige Anschrift, E-Mail-Adresse und Telefonnummer des Verantwortlichen — identisch zum Impressum. ]] [[ VOM BETREIBER AUSZUFÜLLEN: Datenschutzbeauftragter — Kontaktdaten angeben, falls einer benannt ist. Pflicht in der Regel erst ab 20 Personen, die ständig mit automatisierter Verarbeitung befasst sind; sonst diesen Punkt streichen. ]]

2. Welche Daten verarbeitet werden

Übersicht der Datenkategorien
KategorieKonkretWann
Kontodaten E-Mail-Adresse, Anzeigename, Passwort-Hash bzw. Login über Google, Kontostatus (Gast/registriert) Bei Registrierung oder Anmeldung
Spieldaten Spielstände, Highscores, Spieldauer, gespieltes Spiel Beim Spielen mit Konto
Coins und Käufe Coin-Bestand, Buchungen, erworbene Berechtigungen, Kauf-Historie Beim Erwerb und Einsatz von Coins
Zahlungsdaten Werden vom Zahlungsdienstleister erhoben; der Anbieter erhält nur Bestätigung, Betrag, Zeitpunkt und eine Transaktionskennung — keine vollständigen Kartendaten Beim Kauf
Technische Daten IP-Adresse, Zeitpunkt, angeforderte Ressource, Browser- und Geräteangaben (Server-Logs) Bei jedem Aufruf
[[ VOM BETREIBER AUSZUFÜLLEN / TECHNISCH PRÜFEN: Die Tabelle gegen den echten Stand abgleichen — welche Felder legt Convex tatsächlich an (users, scores, saves, coins, purchases)? Werden IP-Adressen in Server-Logs gespeichert, und wie lange? Was nicht erhoben wird, darf hier auch nicht stehen. ]]

3. Zwecke und Rechtsgrundlagen

[[ VOM BETREIBER AUSZUFÜLLEN: Für jeden eingesetzten Dienst die Rechtsgrundlage benennen. Sobald Werbung, Analyse oder Tracking dazukommen, braucht es vorher eine wirksame Einwilligung (§ 25 TDDDG) — dann muss auch ein Consent-Banner her, das die Spiele erst nach der Entscheidung lädt. ]]

4. Empfänger und Auftragsverarbeiter

Zur Erbringung des Dienstes werden folgende Dienstleister eingesetzt:

DienstRolleVerarbeitete Daten
Convex Auftragsverarbeiter nach Art. 28 DSGVO — Backend, Datenbank, Authentifizierung Kontodaten, Spielstände, Highscores, Coin-Bestände
RevenueCat Auftragsverarbeiter — Abwicklung und Verwaltung von Käufen und Berechtigungen Kauf- und Abo-Status, Kundenkennung, Transaktionsdaten
Stripe Zahlungsdienstleister — eigenverantwortlich für die Zahlungsabwicklung Zahlungs- und Rechnungsdaten
Hosting Auftragsverarbeiter — Auslieferung der Website Server-Logs, IP-Adresse
[[ VOM BETREIBER AUSZUFÜLLEN: Für jeden Dienst Firmierung, Anschrift und Link zur jeweiligen Datenschutzerklärung eintragen. Hosting-Anbieter konkret benennen (aktuell ist Cloudflare Pages als Ziel vorgesehen). ]] [[ VOM BETREIBER AUSZUFÜLLEN / ABSCHLIESSEN: Mit jedem Auftragsverarbeiter muss VOR dem Livegang ein AV-Vertrag nach Art. 28 DSGVO geschlossen sein (Convex, RevenueCat, Hosting bieten das als Online-Abschluss an). Zusätzlich: Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO anlegen. Fehlt beides, drohen Bußgelder — unabhängig davon, ob je etwas passiert. ]]

Stripe ist bezüglich der Zahlungsabwicklung eigenständig Verantwortlicher. Die Zahlungsdaten (z. B. Kartennummer) werden direkt dort eingegeben und dem Anbieter nicht übermittelt.

5. Übermittlung in Drittländer

Die eingesetzten Dienste können Daten außerhalb der EU bzw. des EWR — insbesondere in den USA — verarbeiten.

[[ VOM BETREIBER AUSZUFÜLLEN: Je Dienst angeben, ob und wohin übermittelt wird und worauf die Übermittlung gestützt ist: EU-US Data Privacy Framework (Zertifizierung des Anbieters prüfen und den Nachweis dokumentieren) oder Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO samt Transfer Impact Assessment. Auf Wunsch ist eine Kopie der Garantien bereitzustellen — Ansprechweg hier nennen. Hinweis: Das Convex-Deployment dieses Projekts läuft in eu-west-1; das prüfen und, falls zutreffend, als EU-Verarbeitung ausweisen. ]]

6. Speicherdauer

[[ VOM BETREIBER AUSZUFÜLLEN: Konkrete Fristen eintragen — „kurzfristig“ ist keine zulässige Angabe. Übliche Werte: Logs 7–30 Tage. Außerdem festlegen, was bei Inaktivität passiert und ob gelöschte Konten sofort oder verzögert entfernt werden (mit AGB Ziffer 9 abgleichen). ]]

7. localStorage und Cookies

Das Angebot speichert Informationen im localStorage des Browsers, damit die Anmeldung über einen Seitenwechsel hinweg bestehen bleibt und Spielstände auch ohne Konto erhalten bleiben:

Diese Speicherung ist für den vom Nutzer ausdrücklich gewünschten Dienst unbedingt erforderlich und daher nach § 25 Abs. 2 Nr. 2 TDDDG einwilligungsfrei. Die Einträge lassen sich jederzeit über die Browsereinstellungen löschen; danach sind lokale Spielstände verloren.

[[ VOM BETREIBER AUSZUFÜLLEN / PRÜFEN: Liste gegen den echten Stand abgleichen und ergänzen, sobald Dienste dazukommen, die NICHT erforderlich sind (Analyse, Werbung, eingebettete Videos). Für die ist eine vorherige Einwilligung Pflicht — der Einwilligungsstand ist dann hier zu dokumentieren. ]]

8. Ihre Rechte

Betroffene Personen haben gegenüber dem Verantwortlichen folgende Rechte:

[[ VOM BETREIBER AUSZUFÜLLEN: Kontaktweg für die Ausübung dieser Rechte (E-Mail-Adresse) sowie Name und Anschrift der zuständigen Aufsichtsbehörde — das ist die Datenschutzbehörde des Bundeslandes, in dem der Betreiber sitzt. ]] [[ VOM BETREIBER AUSZUFÜLLEN / TECHNISCH UMSETZEN: Auskunfts- und Löschanfragen müssen innerhalb eines Monats beantwortet werden. Festlegen, wer sie bearbeitet und wie ein Konto samt Daten in Convex, RevenueCat und beim Zahlungsdienstleister tatsächlich gelöscht wird. Ohne diesen Ablauf ist die Erklärung nur ein Versprechen. ]]

9. Erforderlichkeit der Bereitstellung

Die Spiele lassen sich ohne Angabe personenbezogener Daten nutzen. Für ein Konto ist eine E-Mail-Adresse erforderlich; ohne sie kann kein Konto angelegt und können keine Spielstände geräteübergreifend gespeichert werden. Für kostenpflichtige Käufe sind die vom Zahlungsdienstleister verlangten Daten erforderlich.

10. Automatisierte Entscheidungen und Profiling

Eine automatisierte Entscheidungsfindung einschließlich Profiling nach Art. 22 DSGVO findet nicht statt.

[[ VOM BETREIBER AUSZUFÜLLEN / PRÜFEN: Diese Aussage gilt nur, solange keine automatischen Sperren, Betrugs-Scores oder personalisierten Preise eingesetzt werden. Sobald automatische Sperrungen wegen Cheating scharf geschaltet werden, ist der Abschnitt zu überarbeiten. ]]

11. Änderungen dieser Erklärung

Diese Datenschutzerklärung wird angepasst, wenn sich die Verarbeitung ändert — etwa weil neue Funktionen oder Dienstleister hinzukommen. Es gilt jeweils die auf dieser Seite veröffentlichte Fassung.

Vor dem Livegang zusätzlich klären: AV-Verträge (Art. 28), Verzeichnis von Verarbeitungstätigkeiten (Art. 30), technische und organisatorische Maßnahmen (Art. 32) und ein Ablauf für Datenschutzverletzungen (Art. 33 — Meldefrist 72 Stunden).