Datenschutzerklärung

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website ist:

Der Verantwortliche entscheidet über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten.

2. Datenschutzbeauftragter

Bei Fragen zum Datenschutz können Sie sich an folgende Kontaktadresse wenden:

3. Allgemeine Hinweise zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung personenbezogener Daten erfolgt regelmäßig nur nach Einwilligung des Nutzers oder wenn die Verarbeitung durch gesetzliche Vorschriften gestattet ist.

Diese Datenschutzerklärung gilt für die Website ehroleplay.com (nachfolgend „Plattform") und alle damit verbundenen Dienste.

4. Rechtsgrundlagen der Verarbeitung

Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person einholen, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage.

Bei der Verarbeitung von personenbezogenen Daten, die zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, erforderlich ist, dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind.

Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der unser Unternehmen unterliegt, dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage.

Ist die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines Dritten erforderlich und überwiegen die Interessen, Grundrechte und Grundfreiheiten des Betroffenen das erstgenannte Interesse nicht, so dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage für die Verarbeitung.

5. Datenerfassung auf unserer Website

5.1 Authentifizierung über Discord (OAuth 2.0)

Zur Nutzung unserer Plattform ist eine Authentifizierung über Ihren Discord-Account erforderlich. Dabei verwenden wir das OAuth 2.0-Protokoll von Discord.

Verarbeitete Daten:

• Discord User ID (Snowflake-ID)
• Discord Benutzername
• Discord Profilbild (Avatar-Hash und URL)
• Discord Access Token (verschlüsselt gespeichert)
• Discord Refresh Token (verschlüsselt gespeichert)
• Token-Ablaufzeit
• Discord Server-Mitgliedschaften (Guilds) – nur bei Zugriff auf Fraktions-Funktionen
• Discord-Rollen innerhalb der Server

Zweck der Verarbeitung: Benutzer-Authentifizierung, Zugriffskontrolle, Autorisierung basierend auf Discord-Rollen, Anzeige Ihres Profils

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. a DSGVO (Einwilligung bei erweiterten Berechtigungen)

Speicherdauer: Access Token: 7 Tage (automatische Verlängerung bei Nutzung); Refresh Token: bis zur Löschung des Accounts oder manuellem Logout; Benutzerdaten: solange Ihr Account besteht

Empfänger: Discord Inc., 444 De Haro Street, San Francisco, CA 94107, USA

Drittlandtransfer: Die Übermittlung an Discord erfolgt in die USA. Discord ist unter dem EU-U.S. Data Privacy Framework zertifiziert.

5.2 Roblox-Kontoverknüpfung

Sie haben die Möglichkeit, Ihr Roblox-Konto mit Ihrem Profil zu verknüpfen. Dies ist für die Nutzung bestimmter Funktionen (z. B. Staff-Bereiche) erforderlich.

Verarbeitete Daten:

• Roblox User ID
• Roblox Benutzername
• Roblox Anzeigename (Display Name)
• Roblox Avatar-URL
• Session-Token (gehashed)

Zweck der Verarbeitung: Kontoverknüpfung, Identitätsprüfung für In-Game-Funktionen, Anzeige des Roblox-Profils

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Speicherdauer: Session: 30 Tage; Kontodaten: solange die Verknüpfung besteht

Empfänger: Roblox Corporation, 970 Park Place, San Mateo, CA 94403, USA

Drittlandtransfer: Die Übermittlung erfolgt in die USA im Rahmen der Nutzung der öffentlichen Roblox-API.

5.3 Session-Management und Cookies

Unsere Website verwendet Cookies, um Ihre Session zu verwalten und die Funktionalität der Plattform zu gewährleisten.

Verwendete Cookies:

• session_token (technisch notwendig): Speichert Ihre Session-ID zur Authentifizierung
  Typ: HTTP-Only, Secure (in Produktion), SameSite: Lax
  Laufzeit: 14 Tage
  Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (technisch notwendig)

Die Verwendung von Cookies ist für die Funktion unserer Website zwingend erforderlich. Sie können die Speicherung von Cookies durch entsprechende Einstellung Ihrer Browser-Software verhindern; in diesem Fall können Sie unsere Plattform jedoch nicht nutzen.

5.4 Lokaler Speicher (localStorage)

Wir verwenden den lokalen Speicher Ihres Browsers (localStorage) zum Caching von Avatar-Bildern, um die Ladezeiten zu optimieren.

Gespeicherte Daten:

• Avatar-URLs (Discord und Roblox)
• Cache-Zeitstempel

Zweck: Performance-Optimierung, Reduzierung von API-Anfragen

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an optimaler Nutzererfahrung)

Speicherdauer: 12 Stunden (automatische Löschung)

6. Funktionen und Dienste

6.1 Schicht-Management (Shifts)

Registrierte Nutzer können ihre Arbeitsschichten (Shifts) über die Plattform erfassen und verwalten.

Verarbeitete Daten:

• Benutzer-ID (Referenz zu Ihrem Account)
• Schicht-Status (aktiv, pausiert, beendet)
• Start- und Endzeitpunkte
• Pausenzeiten
• Teamwork-Partner (optional, User-ID)
• Automatische Beendigungsmodi

Zweck: Arbeitszeiterfassung, Statistiken, Teamwork-Dokumentation

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Speicherdauer: Dauerhaft (zur Nachweisführung und Statistik)

6.2 Absencen / Urlaubsanträge

Sie können Abwesenheiten und Urlaubszeiten über unsere Plattform beantragen.

Verarbeitete Daten:

• Benutzer-ID
• Start- und Enddatum der Abwesenheit
• Grund der Abwesenheit (optional, Freitext)
• Status (beantragt, genehmigt, abgelehnt)

Zweck: Organisation, Personalplanung, Nachweis von Abwesenheiten

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Speicherdauer: Dauerhaft (Dokumentationspflicht)

6.3 Report-System / Bestrafungen

Moderatoren können über unsere Plattform Regelverstoße von Spielern melden und Strafen (Warnungen, Kicks, Bans) verhängen.

Verarbeitete Daten:

• Roblox User ID des gemeldeten Spielers
• Roblox Benutzername und Display Name
• Avatar-URL
• Straf-Gründe und -Art (Warnung, Kick, Ban)
• Discord User ID des Moderators
• Name des Moderators
• Discord Thread-ID und Message-ID (für Dokumentation)
• Zeitstempel
• Status (aktiv, widerrufen, Berufung eingelegt)

Zweck: Durchsetzung der Nutzungsbedingungen, Dokumentation von Regelverstößen, Moderations-Nachweise

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an ordnungsgemäßer Plattform-Moderation)

Speicherdauer: Dauerhaft (Nachweispflicht, Rechtsdurchsetzung)

Empfänger: Discord (zur Veröffentlichung in Moderations-Forum)

6.4 Nachrichten-System (Fraktionen)

Innerhalb von Fraktionen können Mitglieder Nachrichten austauschen.

Verarbeitete Daten:

• Discord User ID des Absenders
• Nachrichteninhalt
• Zeitstempel
• Fraktion-/Server-ID

Zweck: Interne Kommunikation, Koordination

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Speicherdauer: Bis zur Löschung durch Nutzer oder Moderator

7. Technische Daten und Logs

7.1 Server-Logs

Bei jedem Zugriff auf unsere Website werden automatisch Informationen in Server-Logfiles gespeichert, die Ihr Browser übermittelt.

Erfasste Daten:

• IP-Adresse (optional, nur für Session-Validierung)
• User-Agent (Browser-Typ und -Version, gehashed)
• Datum und Uhrzeit der Anfrage
• Zeitzonendifferenz zur GMT
• Zugriffsstatus/HTTP-Statuscode
• Übertragene Datenmenge
• Referrer-URL

Zweck: Technische Administration, Sicherstellung des Systembetriebs, Fehleranalyse, Missbrauchsprävention

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Systemsicherheit und -stabilität)

Speicherdauer: Maximal 14 Tage, danach automatische Löschung

7.2 Rate Limiting

Zum Schutz vor Missbrauch setzen wir ein Rate-Limiting-System ein, das die Anzahl der Anfragen pro Zeiteinheit begrenzt.

Verarbeitete Daten: IP-Adresse oder Session-Token (temporär, in-memory)

Zweck: Schutz vor Denial-of-Service-Angriffen, Missbrauchsprävention

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Systemsicherheit)

Speicherdauer: Maximal 60 Sekunden (In-Memory-Cache)

8. Datenbanken und Speicherorte

Wir verwenden folgende Datenbanksysteme zur Speicherung Ihrer Daten:

8.1 PostgreSQL (Hauptdatenbank)

Gespeicherte Daten:

• Benutzerkonten (Discord-ID, Roblox-ID, Benutzernamen, Avatar-URLs)
• OAuth-Tokens (verschlüsselt mit AES-256-GCM)
• Schicht-Daten (Shifts)
• Abwesenheiten (Absences)
• Bestrafungen (Punishments)
• Guild-Konfigurationen
• Dashboard-Einstellungen (verschlüsselt)

Standort: [ÄNDERN: Server-Standort angeben, z. B. EU/Deutschland]

Sicherheitsmaßnahmen: Verschlüsselte Verbindungen (TLS), verschlüsselte Token-Speicherung (AES-256-GCM), regelmäßige Backups, Zugriffsbeschränkungen

8.2 MongoDB (Session-Datenbank)

Gespeicherte Daten:

• Fraktion-Sessions (verschlüsselte Access Tokens, User-Agent-Hash, IP-Adresse)
• Roblox-Sessions
• Discord-Account-Sessions

Standort: [ÄNDERN: Server-Standort angeben, z. B. EU/Deutschland]

TTL (Time-To-Live): Automatische Löschung nach Ablauf (7-30 Tage)

Sicherheitsmaßnahmen: Verschlüsselte Verbindungen (TLS), AES-256-GCM-Verschlüsselung für sensible Daten, Authentifizierung, Zugriffskontrolle

9. Datensicherheit

Wir verwenden innerhalb des Website-Besuchs das verbreitete SSL-Verfahren (Secure Socket Layer) in Verbindung mit der jeweils höchsten Verschlüsselungsstufe, die von Ihrem Browser unterstützt wird. Zusätzlich setzen wir folgende technische und organisatorische Maßnahmen ein:

• AES-256-GCM-Verschlüsselung für Discord Access/Refresh Tokens
• PBKDF2 mit 100.000 Iterationen für Cookie-Verschlüsselung
• HTTP-Only Cookies zum Schutz vor XSS-Angriffen
• SameSite-Attribut (Lax) zum CSRF-Schutz
• Secure-Flag für Cookies in Produktion (HTTPS-Only)
• Rate Limiting zum Schutz vor Brute-Force-Angriffen
• User-Agent-Hashing für Session-Validierung
• Verschlüsselte Datenbankverbindungen (TLS)
• Regelmäßige Sicherheitsupdates und Dependency-Scans
• Zugriffsbeschränkungen auf Datenbankebene

Trotz dieser Maßnahmen kann keine Datenübertragung über das Internet als vollständig sicher garantiert werden. Wir können daher die absolute Sicherheit der Daten, die Sie uns über das Internet übermitteln, nicht garantieren.

10. Übermittlung an Drittanbieter

10.1 Discord Inc.

Anbieter: Discord Inc., 444 De Haro Street, San Francisco, CA 94107, USA

Zweck: Authentifizierung, Autorisierung, Rollenprüfung, Nachrichten-Versand

Übermittelte Daten: Discord User ID, Access Token, Guild-Informationen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), EU-U.S. Data Privacy Framework

Datenschutzerklärung: https://discord.com/privacy

10.2 Roblox Corporation

Anbieter: Roblox Corporation, 970 Park Place, San Mateo, CA 94403, USA

Zweck: Benutzer-Validierung, Avatar-Abruf

Übermittelte Daten: Roblox User ID, Roblox Benutzername (öffentliche API)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Datenschutzerklärung: https://www.roblox.com/info/privacy

10.3 CDN-Dienste (Content Delivery Networks)

Wir nutzen externe CDNs zum Laden von Avatar-Bildern (Discord CDN: cdn.discordapp.com, Roblox CDN: thumbnails.roblox.com). Diese Dienste erhalten beim Abruf der Bilder Ihre IP-Adresse.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an schnellem Seitenaufbau)

11. Keine Weitergabe an Dritte

Eine Übermittlung Ihrer persönlichen Daten an Dritte zu anderen als den im Folgenden aufgeführten Zwecken findet nicht statt. Wir geben Ihre persönlichen Daten nur an Dritte weiter, wenn:

• Sie gemäß Art. 6 Abs. 1 lit. a DSGVO Ihre ausdrückliche Einwilligung dazu erteilt haben,
• die Weitergabe nach Art. 6 Abs. 1 lit. f DSGVO zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist und kein Grund zur Annahme besteht, dass Sie ein überwiegendes schutzwürdiges Interesse an der Nichtweitergabe Ihrer Daten haben,
• für den Fall, dass für die Weitergabe nach Art. 6 Abs. 1 lit. c DSGVO eine gesetzliche Verpflichtung besteht, sowie
• dies gesetzlich zulässig und nach Art. 6 Abs. 1 lit. b DSGVO für die Abwicklung von Vertragsverhältnissen mit Ihnen erforderlich ist.

Insbesondere verkaufen wir Ihre Daten nicht an Dritte und verwenden sie nicht für Werbezwecke außerhalb unserer Plattform.

12. Rechte der betroffenen Person

Sie haben das Recht:

• gemäß Art. 15 DSGVO Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu verlangen;
• gemäß Art. 16 DSGVO unverzüglich die Berichtigung unrichtiger oder Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen;
• gemäß Art. 17 DSGVO die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen;
• gemäß Art. 18 DSGVO die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen;
• gemäß Art. 20 DSGVO Ihre personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten (Datenübertragbarkeit);
• gemäß Art. 7 Abs. 3 DSGVO Ihre einmal erteilte Einwilligung jederzeit gegenüber uns zu widerrufen. Dies hat zur Folge, dass wir die Datenverarbeitung, die auf dieser Einwilligung beruhte, für die Zukunft nicht mehr fortführen dürfen;
• gemäß Art. 77 DSGVO sich bei einer Aufsichtsbehörde zu beschweren.

12.1 Widerspruchsrecht

Sofern Ihre personenbezogenen Daten auf Grundlage von berechtigten Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO verarbeitet werden, haben Sie das Recht, gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten einzulegen, soweit dafür Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben.

Möchten Sie von Ihrem Widerspruchsrecht Gebrauch machen, genügt eine E-Mail an [ÄNDERN].

12.2 Account-Löschung

Sie können jederzeit die Löschung Ihres Accounts beantragen. Dabei werden folgende Daten gelöscht:

• Discord Access und Refresh Tokens
• Aktive Sessions (Fraktion-Sessions, Roblox-Sessions)
• Persönliche Einstellungen

Folgende Daten werden aus rechtlichen Gründen oder zur Wahrung berechtigter Interessen aufbewahrt:

• Shift-Historie (anonymisiert nach 90 Tagen)
• Punishment-Records (Moderationsnachweise, anonymisiert nach 2 Jahren)
• Absencen-Historie (anonymisiert nach 90 Tagen)

Zur Löschung Ihres Accounts senden Sie bitte eine E-Mail an [ÄNDERN].

13. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über unsere Verarbeitung personenbezogener Daten zu beschweren. Zuständige Aufsichtsbehörde in Deutschland ist:

Alternativ können Sie sich an die Aufsichtsbehörde Ihres Bundeslandes wenden. Eine Liste aller deutschen Datenschutzbehörden finden Sie unter: https://www.bfdi.bund.de/DE/Service/Anschriften/Laender/Laender-node.html

14. Keine automatisierte Entscheidungsfindung

Wir verzichten vollständig auf eine automatische Entscheidungsfindung oder ein Profiling gemäß Art. 22 DSGVO. Alle Entscheidungen, die rechtliche Wirkung entfalten oder Sie erheblich beeinträchtigen (z. B. Bestrafungen), werden von Menschen getroffen.

15. Dauer der Speicherung

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist. Eine Übersicht:

16. Mindestalter

Unsere Plattform richtet sich an Personen, die mindestens 13 Jahre alt sind (gemäß Discord-Nutzungsbedingungen). Falls Sie jünger als 16 Jahre sind, benötigen Sie gemäß Art. 8 DSGVO die Einwilligung Ihrer Erziehungsberechtigten zur Nutzung unserer Dienste.

Wir verarbeiten wissentlich keine Daten von Kindern unter 13 Jahren. Falls wir feststellen, dass wir versehentlich Daten von Kindern unter 13 Jahren erhalten haben, werden wir diese umgehend löschen.

17. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen. Bei wesentlichen Änderungen werden wir Sie gesondert informieren.

Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung. Wir empfehlen Ihnen, diese Seite regelmäßig zu besuchen, um über etwaige Änderungen informiert zu bleiben.

18. Kontakt für Datenschutzfragen

Falls Sie Fragen zur Verarbeitung Ihrer persönlichen Daten haben oder eines Ihrer Rechte ausüben möchten, wenden Sie sich bitte an:

Wir werden Ihre Anfrage so schnell wie möglich bearbeiten und in der Regel innerhalb von 30 Tagen antworten.