Datenschutzerklärung

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist:

Michael Köhler
botc@koehler.cool

Diese Seite wird im Rahmen einer privaten, nicht-kommerziellen Tätigkeit zur Organisation von Spielabenden betrieben.

Wenn du dich zu einem Spielabend anmeldest, verarbeiten wir:

• Name oder Spitzname — zur Ansprache und für die interne Teilnehmerliste des Storytellers
• E-Mail-Adresse — zum Versand der Bestätigungs-, Erinnerungs- und Stornier-Mails
• Erfahrungsgrad (optional) — damit der Storyteller die Runde anpassen kann
• Anmerkung (optional) — z.B. für Allergie- oder Anreisehinweise
• Anonymisierter Hash deiner IP-Adresse (HMAC-SHA-256 mit täglich rotierendem Salt, gekürzt auf 32 Zeichen) — ausschließlich zur Spam-Abwehr und Rate-Limiting, nicht rückführbar auf die Original-IP

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bzw. vorvertragliche Maßnahme) zur Durchführung deiner Anmeldung zum Spielabend.

Die Spam-/Bot-Abwehr stützt sich auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz der Anmeldefunktion vor Missbrauch).

Anmeldungs-Daten werden 30 Tage nach dem Termin automatisch gelöscht (technisch via TTL-Index in der Datenbank). Stornierte Anmeldungen werden früher gelöscht. Nicht bestätigte Anmeldungen (Double-Opt-In) verfallen innerhalb von 24 Stunden.

Du kannst deine Anmeldung jederzeit per Klick auf den Storno-Link in der Bestätigungs-Mail widerrufen.

Diese Seite setzt keine Tracking-Cookies und bindet keine Drittparteien-Analytics ein. Es gibt nur ein technisch notwendiges Session-Cookie, das ausschließlich für eingeloggte Admins der Verwaltungs-Oberfläche verwendet wird. Reguläre Spieler:innen-Anmeldungen funktionieren komplett ohne Cookies.

Zur Bereitstellung der Seite werden folgende Dienstleister eingesetzt, mit denen jeweils ein Auftragsverarbeitungs-Vertrag (Art. 28 DSGVO) besteht:

• Vercel Inc. — Hosting (Server-Region: Frankfurt, eu-central-1). Vercel ist nach EU-US Data Privacy Framework zertifiziert.
• MongoDB, Inc. — Datenbank-Hosting („MongoDB Atlas“, Region: Frankfurt, eu-central-1). Auch hier ist die Datenhaltung in der EU.
• Resend, Inc. — Versand der Transaktionsmails (Confirm-, Welcome-, Reminder- und Cancellation-Mails). Resend ist nach EU-US Data Privacy Framework zertifiziert.

Vercel und Resend sind US-amerikanische Unternehmen. Die technische Datenhaltung erfolgt in der EU (Frankfurt), für Support-Anfragen oder Logs kann jedoch ein Zugriff aus den USA erfolgen. Beide Anbieter sind nach dem EU-US Data Privacy Framework (DPF) zertifiziert; damit ist ein angemessenes Datenschutzniveau im Sinne von Art. 45 DSGVO anerkannt.

Du hast jederzeit das Recht auf:

• Auskunft über die zu deiner Person gespeicherten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung („Recht auf Vergessenwerden“, Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)

Sende deine Anfrage formlos an botc@koehler.cool. Wir bearbeiten Anfragen binnen 30 Tagen.

Gemäß Art. 77 DSGVO hast du das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. In NRW zuständig:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestraße 2-4, 40213 Düsseldorf
www.ldi.nrw.de

• HTTPS-Verschlüsselung (TLS 1.3) auf allen Routen
• Strikte Content-Security-Policy, HSTS, X-Frame-Options = DENY
• Passwörter (nur für Admin-Konten) sind mit Argon2id gehasht; zusätzlich ist Zwei-Faktor-Authentifizierung (TOTP) Pflicht
• Rate-Limiting auf der Anmelde-Funktion zur Spam- und Bot-Abwehr
• Audit-Log aller Admin-Aktionen mit 90-Tage-Aufbewahrung
• Regelmäßige Aktualisierung aller Software-Abhängigkeiten