Datenschutzerklärung
Gliederungsgerüst auf Basis der technischen Dokumentation
(docs/datenschutz.md). Kein ausformulierter Rechtstext.
1. Verantwortlicher
Nexthosting – Friedl & Friedl GbRVetschauer Straße 19
01237 Dresden, Deutschland
Vertretungsberechtigter Gesellschafter: Erik Friedl
Telefon: 03522 3523525 · Mobil: +49 152 59511637
E-Mail: [TODO-CONTACT: Datenschutz-Kontakt-E-Mail bestätigen]
Siehe auch Impressum für die vollständige Anbieterkennzeichnung.
2. Hosting / Server-Logs
Die Anwendung läuft serverseitig (Node/Express) mit einer lokalen
SQLite-Datenbank; ausgelieferte statische Dateien liegen unter
public/. [TODO-LEGAL: Rechtstext ausformulieren/prüfen]
3. Session-Cookie (technisch notwendig)
Es wird ausschließlich das Session-Cookie sid gesetzt
(httpOnly, sameSite=lax, in Produktion
secure). Es enthält nur eine Session-ID, keine Profildaten,
und dient allein der Aufrechterhaltung des Login-Zustands. Kein
Tracking- oder Marketing-Cookie. [TODO-LEGAL: Rechtstext ausformulieren/prüfen]
4. Anmeldung über Discord (OAuth-Login)
Beim Login wird der Discord-OAuth-Scope identify angefragt
(kein email-Scope). Gespeichert werden Discord-ID, Username
und Avatar-URL; OAuth-Tokens werden AES-256-GCM-verschlüsselt abgelegt.
[TODO-LEGAL: Rechtstext ausformulieren/prüfen, inkl. möglichem Drittlandtransfer]
5. Optionale Steam-Verknüpfung
Nutzer können freiwillig ihr Steam-Profil verknüpfen (SteamID64, Profilname, Avatar-URL) zur Anzeige im Profil. [TODO-LEGAL: Rechtstext ausformulieren/prüfen]
6. Zahlungsabwicklung über Stripe
Zahlungen werden über eine Weiterleitung zu Stripe Checkout (Stripe Payments Europe, Ltd.) abgewickelt; die Plattform selbst speichert keine Kartendaten. [TODO-LEGAL: Auftragsverarbeitungsvertrag (AVV) bzw. gemeinsame Verantwortlichkeit (Joint Controller) mit Stripe prüfen und dokumentieren]
7. Registrierungs-, Bestell- und Download-Daten
Zur Vertragserfüllung werden Bestellungen (orders,
order_items, purchases) sowie Downloads
(Zeitpunkt, Produkt, gehashte IP – nie die Klartext-IP) gespeichert.
[TODO-LEGAL: Rechtstext ausformulieren/prüfen]
8. Betroffenenrechte – Export und Löschung im Account
Im Account-Bereich steht ein Selbstbedienungs-Export aller personenbezogenen Daten (Art. 15 DSGVO) sowie ein zweistufiger Löschantrag mit 14-tägiger Widerrufsfrist und anschließender Anonymisierung (Art. 17 DSGVO) zur Verfügung. [TODO-LEGAL: Rechtstext ausformulieren/prüfen, insbesondere Vollständigkeit der Pflichtangaben nach Art. 15 DSGVO]
9. Speicher- und Löschfristen
Konkrete technische Fristen (Sessions, Download-Tokens, Exportdateien,
Audit-Logs, Löschfrist nach Antrag u. a.) sind in der technischen
Dokumentation docs/datenschutz.md (Abschnitt 4) hinterlegt.
[TODO-LEGAL: sämtliche Fristen juristisch validieren]
10. Beschwerderecht bei einer Aufsichtsbehörde
Betroffene können sich bei der zuständigen Datenschutz-Aufsichtsbehörde beschweren — voraussichtlich der Sächsische Datenschutzbeauftragte. [TODO-LEGAL: Zuständigkeit verifizieren und vollständige Kontaktdaten der Aufsichtsbehörde ergänzen]