Datenschutzerklärung

1. Verantwortlicher

Sascha Schmiedehausen
Drosselweg 2A
21255 Tostedt
Deutschland

Telefon: 0162 / 336 72 13
E-Mail: sascha@gaming-buddy.com

2. Datenschutzbeauftragter

Ein Datenschutzbeauftragter ist nicht bestellt, da die gesetzlichen Voraussetzungen nach Art. 37 DSGVO i. V. m. § 38 BDSG nicht vorliegen (kein Unternehmen mit 20 oder mehr ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigten Personen).

3. Überblick der Datenverarbeitung

Gaming Buddy ist eine Plattform für Eltern, die ihren Kindern dabei helfen möchten, gleichgesinnte Spielpartner zu finden. Wir verarbeiten personenbezogene Daten ausschließlich im Rahmen der Bereitstellung unserer Dienste und streng nach den Vorgaben der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) sowie des Jugendmedienschutz-Staatsvertrags (JMStV).

4. Hosting und Infrastruktur

Die Kerninfrastruktur von Gaming Buddy — Webserver, Datenbank und Authentifizierungsdienste — wird auf Servern der Hetzner Online GmbH (Industriestraße 25, 91710 Gunzenhausen) betrieben. Der Serverstandort befindet sich in Helsinki, Finnland (EU). Es besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO.

Wir betreiben die Datenbanksoftware (Supabase/PostgreSQL) als selbst gehostete Installation auf denselben Hetzner-Servern.

Für bestimmte Funktionen (ID-Verifikation via Didit.me, Discord-Integration, E-Mail-Versand) werden spezialisierte Dienstleister eingesetzt, bei denen eine Datenübertragung in Drittländer außerhalb der EU/des EWR möglich ist. In diesen Fällen erfolgt die Übermittlung auf Grundlage von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) oder eines Angemessenheitsbeschlusses der EU-Kommission. Details zu den einzelnen Dienstleistern findest du in Abschnitt 10.

5. Arten der verarbeiteten Daten

Je nach Nutzung der Plattform verarbeiten wir folgende Kategorien personenbezogener Daten:

• Kontodaten (Eltern): E-Mail-Adresse, Passwort (verschlüsselt), Benutzername, Profilbild (optional), Registrierungsdatum
• Wartelisten-Daten: E-Mail-Adresse (bei Eintragung in die Warteliste vor Registrierung)
• Kinderprofile: Vorname (oder Pseudonym), Alter/Altersgruppe, gespielte Spiele, Gaming-Plattformen – verwaltet ausschließlich durch den Elternteil-Account
• Verifikationsdaten (ID-Verifikation): Bei der freiwilligen ID-Verifikation via Didit.me werden Ausweisdokument, Live-Selfie und biometrische Vergleichsdaten (Liveness-Check) durch Didit.me verarbeitet. In unserer Datenbank speichern wir ausschließlich: Session-ID, Verifikationsstatus (z. B. Genehmigt / Abgelehnt) und den Zeitstempel der erteilten Einwilligung — keine Ausweis-Rohdaten, keine biometrischen Merkmale. Hinweis: Bei biometrischen Daten handelt es sich um besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO.
• Kommunikationsdaten: Nachrichten im Eltern-Chat (1:1 zwischen Eltern mit aktiver Buddy-Verbindung), Beiträge im Community-Forum, gemeldete Inhalte, Community-Warnungen
• Discord-Verknüpfungsdaten (freiwillig): Discord-Nutzer-ID und Discord-Anzeigename — sowohl für den Elternaccount als auch optional für Kinderprofile. Kein Discord-Zugriffstoken wird dauerhaft gespeichert.
• Nutzungsdaten: IP-Adresse (pseudonymisiert), Browsertyp, aufgerufene Seiten, Zeitpunkte von Zugriffen (Server-Logs)
• Technische Daten: Session-Token (verschlüsselt, HTTP-only), Geräteinformationen

6. Zwecke und Rechtsgrundlagen der Verarbeitung

7. Besonderer Schutz von Kinderdaten

Gaming Buddy richtet sich primär an Eltern. Kinderprofile werden ausschließlich von einem verifizierten Eltern-Account angelegt und verwaltet. Kinder haben derzeit keinen eigenen Login. Wir verarbeiten für Kinderprofile nur das absolute Minimum: einen Vornamen (oder ein Pseudonym), eine Altersgruppe und Gaming-Präferenzen.

Gemäß Art. 8 DSGVO gilt für die Verarbeitung personenbezogener Daten von Kindern unter 16 Jahren besonderer Schutz. Die Einwilligung wird durch den sorgeberechtigten Elternteil erteilt.

Kinderprofildaten werden nicht für Werbezwecke verarbeitet, nicht an Dritte weitergegeben und nicht für Profiling verwendet.

8. Buddy-Matching und automatisierte Verarbeitung

Das Buddy-Matching ermittelt auf Basis der von Eltern eingetragenen Gaming-Präferenzen (Spiele, Plattformen, Altersgruppe) passende andere Kinderprofile. Dieses Matching ist eine rein filterbasierte Suche und stellt kein automatisiertes Profiling im Sinne von Art. 22 DSGVO dar. Es werden keine Persönlichkeitsprofile erstellt, keine Verhaltensdaten ausgewertet und keine Entscheidungen mit rechtlicher Wirkung automatisiert getroffen.

9. Community-Forum und Eltern-Chat

Beiträge im Eltern-Community-Forum sind für registrierte Nutzer der Plattform sichtbar. Nach Löschung eines Accounts werden Forenbeiträge anonymisiert (Autorname wird entfernt) oder auf Wunsch vollständig gelöscht. Bei der Kontolöschung können Nutzer wählen, ob ihre Beiträge anonymisiert bestehen bleiben oder komplett gelöscht werden sollen.

Chat-Nachrichten sind ausschließlich für die jeweiligen Gesprächsteilnehmer sichtbar. Bei Kontolöschung werden Nachrichten des gelöschten Kontos anonymisiert ("Gelöschter Nutzer"). Archivierte Chats werden nach 30 Tagen automatisch gelöscht.

10. Weitergabe von Daten an Dritte

Wir geben personenbezogene Daten nur in folgenden Fällen weiter:

• Hetzner Online GmbH (Gunzenhausen, Deutschland) — Hosting, Datenbank, Authentifizierung; Serverstandort Helsinki, Finnland (EU). Grundlage: AVV nach Art. 28 DSGVO.
• Didit.me — ID-Verifikation und biometrischer Liveness-Check (nur bei freiwilliger Nutzung der ID-Verifikation). Didit.me verarbeitet Ausweisdokument und biometrische Daten auf eigenen Servern im Auftrag von Gaming Buddy. Grundlage: AVV nach Art. 28 DSGVO; soweit Daten außerhalb der EU/des EWR verarbeitet werden, auf Basis von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Die Datenschutzrichtlinie von Didit.me ist unter didit.me/privacy abrufbar.
• Discord Inc. (San Francisco, USA) — bei freiwilliger Verknüpfung eines Discord-Accounts werden Discord-Nutzer-ID und Rolleninformationen zur Rollenvergabe auf dem Gaming-Buddy Discord-Server übermittelt. Discord Inc. ist insoweit eigenständiger Verantwortlicher (kein AVV); die Übermittlung in die USA erfolgt auf Basis von EU-Standardvertragsklauseln. Es gelten die Datenschutzbestimmungen von Discord (discord.com/privacy). Die Discord-Verknüpfung ist vollständig freiwillig.
• E-Mail-Versanddienstleister — für den Versand transaktionaler Benachrichtigungs-E-Mails (nur bei aktivierter E-Mail-Benachrichtigung). Der Dienstleister erhält die E-Mail-Adresse des Empfängers sowie den Nachrichteninhalt. Es werden keine Tracking-Pixel oder Third-Party-Tracking eingesetzt. Grundlage: AVV nach Art. 28 DSGVO.
• Gesetzliche Verpflichtung: Wenn wir durch Gesetze, Gerichtsbeschlüsse oder Behördenanordnungen zur Weitergabe verpflichtet sind.

Eine Weitergabe an Dritte zu Werbe- oder Marketingzwecken findet nicht statt.

11. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist:

• Kontodaten: Bis zur Löschung des Accounts oder auf Anfrage
• Wartelisten-E-Mails: Bis zum Widerruf der Einwilligung oder bis zur Launch-Benachrichtigung
• Verifikations-Session-ID (Didit): Bis zur Löschung des Accounts; bei Kontolöschung wird zusätzlich eine Löschanfrage an Didit.me gestellt
• Chat-Nachrichten (aktiv): Bis zur Löschung des Accounts oder bis zur Beendigung der Buddy-Verbindung
• Chat-Nachrichten (archiviert): 30 Tage nach Archivierung, dann automatische Löschung
• Discord-Verknüpfungsdaten: Bis zur Trennung der Verknüpfung oder Löschung des Accounts
• In-App-Benachrichtigungen: 7 Tage, danach automatische Löschung
• Server-Logs: 30 Tage, danach automatische Löschung
• Gelöschte Accounts: Vollständige Löschung aller personenbezogenen Daten innerhalb von 30 Tagen nach Kontolöschung
• Gesetzliche Aufbewahrungspflichten: Soweit gesetzlich vorgeschrieben (z. B. 10 Jahre für steuerrelevante Daten)

12. Cookies, lokale Speicherung und Nutzungsanalyse

Wir verwenden ausschließlich technisch notwendige Cookies sowie eine cookielose Nutzungsanalyse:

• Session-Cookie: Speichert den Authentifizierungsstatus. Verschlüsselt, HTTP-only, keine Weitergabe an Dritte. Läuft nach der Sitzung oder nach 7 Tagen ab.
• Theme-Einstellung: Die bevorzugte Farbdarstellung (Hell/Dunkel) wird im localStorage des Browsers gespeichert. Dies ist kein Cookie und wird nicht an unsere Server übertragen.
• Nutzungsstatistiken (Umami Analytics): Wir betreiben eine selbstgehostete Instanz von Umami Analytics auf unseren eigenen Hetzner-Servern in Helsinki, Finnland (EU). Umami setzt keine Cookies und speichert keine personenbezogenen Daten. Es werden ausschließlich aggregierte, anonymisierte Metriken erfasst: aufgerufene Seiten, grobe geografische Region (Land), Gerätetyp und Referrer. IP-Adressen werden nicht gespeichert. Da keine personenbezogenen Daten und keine Cookies eingesetzt werden, besteht keine Einwilligungspflicht nach TDDDG. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Analyse der Plattformnutzung zur Verbesserung des Angebots).

Tracking-Cookies, Werbe-Cookies oder Cookies von Drittanbietern werden nicht eingesetzt. Eine Einwilligungspflicht nach TDDDG entsteht daher nicht.

14. Deine weiteren Rechte

Als betroffene Person hast du folgende Rechte gegenüber uns:

• Auskunft (Art. 15 DSGVO): Du kannst Auskunft darüber verlangen, welche personenbezogenen Daten wir über dich verarbeiten.
• Berichtigung (Art. 16 DSGVO): Du kannst die Berichtigung unrichtiger oder unvollständiger Daten verlangen.
• Löschung (Art. 17 DSGVO): Du kannst die Löschung deiner Daten verlangen. Registrierte Nutzer können ihr Konto und alle zugehörigen Daten direkt in den Profileinstellungen löschen.
• Einschränkung (Art. 18 DSGVO): Du kannst die Einschränkung der Verarbeitung verlangen.
• Datenübertragbarkeit (Art. 20 DSGVO): Du kannst verlangen, dass wir deine Daten in einem maschinenlesbaren Format bereitstellen.
• Widerruf der Einwilligung: Einwilligungen (z. B. Warteliste, ID-Verifikation, Discord-Verknüpfung, E-Mail-Benachrichtigungen) können jederzeit mit Wirkung für die Zukunft widerrufen werden.

Zur Ausübung deiner Rechte wende dich an: sascha@gaming-buddy.com

15. Beschwerderecht bei der Aufsichtsbehörde

Du hast das Recht, dich bei der zuständigen Datenschutzaufsichtsbehörde zu beschweren. Für uns zuständig ist:

Die Landesbeauftragte für den Datenschutz Niedersachsen (LfD)
Prinzenstraße 5
30159 Hannover

Telefon: +49 511 120-4500
E-Mail: poststelle@lfd.niedersachsen.de

16. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um deine Daten zu schützen:

• Alle Verbindungen sind SSL/TLS-verschlüsselt (HTTPS)
• Passwörter werden ausschließlich als kryptographischer Hash gespeichert (niemals im Klartext)
• Row-Level Security (RLS) in der Datenbank: Nutzer können nur auf ihre eigenen Daten zugreifen
• Sicherheits-HTTP-Header (HSTS, X-Frame-Options, CSP)
• Session-Tokens sind HTTP-only und vor XSS geschützt
• Webhook-Endpunkte sind durch kryptographische Signaturprüfung (HMAC) gesichert
• Schriftarten werden ausschließlich von unseren eigenen Servern ausgeliefert — es bestehen keine Verbindungen zu externen Schriftanbietern (z. B. Google Fonts CDN)

17. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich rechtliche Anforderungen oder unsere Dienste ändern. Die aktuelle Version ist stets auf dieser Seite abrufbar. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.