← Zurück

Datenschutzerklärung

Stand: 2026

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist der unter Impressum genannte Anbieter.

2. Welche Daten wir verarbeiten

  • Konto: E-Mail-Adresse, Anzeigename, ein per Bcrypt gehashtes Passwort, Zeitpunkt der Registrierung. Wir können dein Klartext-Passwort nicht einsehen.
  • Sitzung: ein technisch notwendiges, HTTP-only Session-Cookie (Name dnd_session), Lebensdauer 30 Tage, ausschließlich zur Authentifizierung. Kein Tracking.
  • Spielinhalt: die von dir und vom KI-DM erzeugten Texte (Charakterbogen, Welt-Modell, Erzählung, Würfelergebnisse, Inventar, Karten und Szenenbilder) auf unserem Server. Diese Daten gehören dir.

Es findet kein Werbe-Tracking statt, es werden keine Cookies Dritter gesetzt, es werden keine Analyse- oder Marketing-Tools eingesetzt.

3. Rechtsgrundlage und Zweck

Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrags) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb). Zweck ist ausschließlich die Bereitstellung des Spiels.

4. Weitergabe an Dritte (Auftragsverarbeiter)

Damit der KI-DM funktioniert, übermitteln wir Spielinhalt an externe KI-Dienstleister:

  • Anthropic (USA): die Sprach-KI, die als Dungeon Master erzählt. Übermittelt wird der Spielverlauf, Charakterbogen und Welt-Snapshot pro Zug. Datenschutzerklärung: anthropic.com/legal/privacy
  • Google (USA): Gemini-Modelle für Karten- und Szenenbild-Generierung sowie für die Bild-Analyse (POI-Erkennung). Übermittelt werden Prompts und gegebenenfalls bereits generierte Bilder. policies.google.com/privacy
  • Stripe (USA/Irland): Zahlungsabwicklung für Guthaben-Käufe und Abonnements. Wenn du etwas kaufst, verarbeitet Stripe die Zahlungsdaten (z. B. Karten- bzw. Zahlungsinformationen, Betrag, E-Mail). Deine vollständigen Zahlungsdaten erhalten wir nicht — wir speichern nur eine Stripe-Kunden-/Transaktions-ID und deinen Guthaben-/Abo-Status. stripe.com/privacy
  • Fly.io (USA): Hosting-Anbieter unserer Anwendung und Datenbank. Die App läuft auf einer Fly.io-Instanz im Rechenzentrum Frankfurt (EU); die Daten werden auf verschlüsseltem Volumen gespeichert. Als US-Unternehmen kann Fly.io theoretisch auf Daten zugreifen (administrativer Zugriff), tut dies aber im Normalbetrieb nicht. fly.io/legal/privacy-policy

Die Übermittlung in die USA stützt sich auf die Standardvertragsklauseln der EU-Kommission (Art. 46 DSGVO) und ggf. das EU-US Data Privacy Framework. Wir teilen weder deine E-Mail-Adresse noch dein Passwort mit diesen Anbietern.

5. Speicherdauer

Kontodaten und Spielinhalte werden gespeichert, solange dein Konto besteht. Du kannst dein Konto jederzeit über die Einstellungen löschen. Bei Löschung werden dein Konto, deine Mitgliedschaften und deine Spielinhalte unwiderruflich entfernt.

6. Deine Rechte

Dir stehen jederzeit zu:

  • Auskunft über deine gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung („Recht auf Vergessenwerden", Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch (Art. 21 DSGVO)

Diese Rechte kannst du in den Einstellungen wahrnehmen (Konto löschen) oder per E-Mail an die im Impressum genannte Adresse. Beschwerden kannst du an die zuständige Datenschutzaufsicht richten.

7. Sicherheit

Passwörter werden ausschließlich als Bcrypt-Hashes gespeichert (Salt-Faktor 10). Der Session-Cookie ist HTTP-only, Same-Site=Lax und in Produktion Secure. Die Verbindung erfolgt ausschließlich über HTTPS.

8. Änderungen

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, etwa wenn neue Funktionen oder Dienstleister hinzukommen. Die jeweils aktuelle Fassung ist hier abrufbar.

Datenschutzerklärung · D20 Mind