Datenschutzerklärung

Stand:

1. Grundsätze

Wir verarbeiten personenbezogene Daten nur soweit nötig (Art. 5 Abs. 1 lit. c DSGVO – Datensparsamkeit). Rechtsgrundlagen: Vertragserfüllung (Art. 6 Abs. 1 lit. b), Einwilligung (lit. a) und berechtigtes Interesse (lit. f).

2. Gespeicherte Daten

2.1 Account-Daten

• Benutzername – frei wählbar, keine echten Namen erforderlich
• Passwort – bcrypt-gehashed (Cost 12), niemals im Klartext gespeichert
• Geschlecht – optional, für Spielrollen
• Registrierungsdatum
• Premium-Status – ob ein Abo besteht

2.2 Spieldaten

• Spielhistorie (gespielte Stories, Punkte, Ergebnisse) – für Statistiken
• Lobby-Daten (Code, Mitspieler) – temporär, nach Spielende aufgeräumt

2.3 Technische Logs

• IP-Adresse – Rate-Limiting gegen Missbrauch, max. 1 Stunde gespeichert
• Server-Zugriffslogs – max. 7 Tage (automatische Rotation)

Wir speichern keine E-Mail-Adressen, Klarnamen, Telefonnummern oder Zahlungsdaten direkt.

3. Cookies & Browser-Speicher

• Notwendig PHP Session-Cookie – hält Anmeldung aktiv (24h). Art. 6 Abs. 1 lit. b DSGVO.
• Notwendig localStorage (befora_user, befora_theme, befora_consent) – lokale Einstellungen im Browser.
• Marketing Google AdSense – nur nach ausdrücklicher Einwilligung. Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4. Google Datenschutz

Cookie-Einwilligung jederzeit über das 🍪-Symbol (unten rechts) widerrufbar.

4. Drittanbieter

Google AdSense (nur mit Einwilligung)

Google Ireland Limited, Dublin 4, Irland. Datenübermittlung in USA möglich (EU-U.S. Data Privacy Framework). Opt-out: adssettings.google.com

Google Fonts

Schriftarten von fonts.googleapis.com. Dabei wird IP an Google übertragen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

WebRTC / PeerJS Voice Chat (bei Nutzung)

Audio-Übertragung direkt Peer-to-Peer. Signalisierung via 0.peerjs.com – kurzzeitige IP-Übermittlung. Keine dauerhafte Speicherung durch Dritte.

5. Speicherdauer & Löschung

• Accounts: aktive Nutzung + 2 Jahre Inaktivität → Anonymisierung
• Spielhistorie: 2 Jahre
• IP-Logs (Rate-Limiting): 1 Stunde
• Server-Logs: 7 Tage

6. Deine Rechte (Art. 15–22 DSGVO)

• Auskunft (Art. 15): Auf Anfrage per E-Mail
• Berichtigung (Art. 16): Im Dashboard → Profil
• Löschung (Art. 17): Im Dashboard → Profil → „Account löschen" (sofortige Anonymisierung)
• Einschränkung (Art. 18): Per E-Mail
• Datenübertragbarkeit (Art. 20): JSON-Export auf Anfrage
• Widerspruch (Art. 21): Gegen Verarbeitung auf Basis berechtigten Interesses
• Widerruf von Einwilligungen: Jederzeit über das 🍪-Symbol

Kontakt: [EMAIL]

Beschwerderecht bei der zuständigen Aufsichtsbehörde: Bundesbeauftragter für den Datenschutz (BfDI)

7. Datensicherheit

• Passwörter: bcrypt-Hash, Cost 12 – niemals im Klartext
• SQL-Injection-Schutz: Prepared Statements überall
• Rate-Limiting gegen Brute-Force
• Session-Cookies: HttpOnly, SameSite=Strict
• HTTPS-Pflicht (über .htaccess)
• Admin-Bereich gesondert abgesichert

8. Minderjährige

BEFORA richtet sich an Nutzer ab 16 Jahren. Eltern, die feststellen, dass ihr Kind unter 16 Jahren einen Account hat, können uns zur Löschung kontaktieren.

9. Änderungen

Bei wesentlichen Änderungen werden eingeloggte Nutzer informiert. Aktueller Stand ist oben angegeben.