Rechtliches

Datenschutzerklärung

Zuletzt aktualisiert: 12. April 2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf btc-clan.xyz und den zugehörigen Discord-Bot "Bitcoin [BTC] Clan Bot" ist:

Harun Kilic

Lipper Hellweg 240, 33605 Bielefeld

E-Mail: [email protected]

Discord: discord.com/invite/bitcoinclan

2. Welche Daten wir erheben

Discord-Daten (bei Anmeldung via OAuth2)

Die Anmeldung erfolgt über Discord OAuth2 mit folgenden Berechtigungen (Scopes): identify, guilds, guilds.members.read und guilds.join.

  • Discord-Benutzer-ID (eindeutige Kennung)
  • Benutzername, Anzeigename und Server-Nickname
  • Avatar-URL (von Discord CDN)
  • Server-Rollen und Clan-Rollenzuordnung
  • Server-Beitrittsdatum

Minecraft-Daten (bei Verifizierung)

  • Minecraft-UUID und Spielername (Java Edition, via Mojang API)
  • Xbox-Gamertag (Bedrock Edition, via mcprofile.io API)
  • Plattform (Java oder Bedrock)
  • Verifizierungszeitpunkt

Nutzungsdaten (bei Interaktion)

  • Ticket-Inhalte, Nachrichten und Anhänge in Ticket-Kanälen
  • Ticket-Transkripte (vollständige HTML-Archive inkl. Nachrichtenverläufe)
  • Ticket-Bewertungen (1–5 Sterne) und optionale Kommentare
  • Vorschläge (Text, Abstimmungen, Status)
  • Gewinnspiel-Teilnahmen und Gewinnstatus
  • Profildaten: "Über mich"-Text (max. 500 Zeichen) und "Meine Aufgabe"-Text (max. 200 Zeichen)

Auktions- und Marktdaten

  • Auktionsgebote (Bieter-UUID, Betrag, Zeitpunkt)
  • Verkaufte und ersteigerte Items
  • Watchlist-Einträge (welche Auktionen du beobachtest)
  • Benachrichtigungseinstellungen (z.B. Überboten, Gewonnen, Endet bald)

Sicherheits- und Protokolldaten

  • Login-Zeitpunkte (zur Erkennung verdächtiger Aktivitäten)
  • IP-Adressen bei Login (serverseitig gespeichert, zur Erkennung von Multi-Accounts und VPN/Proxy-Nutzung)
  • IP-Adressen bei fehlgeschlagenen Wartungsmodus-Anmeldungen (5 Minuten gespeichert, Brute-Force-Schutz)
  • VPN/Proxy-Prüfung bei Login (via proxycheck.io — nur die IP-Adresse wird übermittelt)
  • Multi-Account-Warnungen (bei Übereinstimmung von IP-Adressen zwischen verschiedenen Konten)
  • Profiländerungen (Benutzername, Avatar, Nickname — Änderungsverlauf)

3. Zweck der Datenverarbeitung

Wir verarbeiten deine Daten ausschließlich für folgende Zwecke:

  • Authentifizierung und Autorisierung (Login, Rollenzuweisung)
  • Bereitstellung der Website-Funktionen (Dashboard, Profil, Statistiken)
  • Betrieb des Discord-Bots (Tickets, Gewinnspiele, Vorschläge)
  • Verifizierung der Minecraft-Account-Zugehörigkeit
  • Auktions- und Markt-Tracking inkl. Benachrichtigungen per Discord-DM
  • Anzeige von Mitgliederprofilen und Clan-Statistiken
  • Sicherheitsüberwachung (Login-Anomalien, Profiländerungs-Erkennung, VPN/Proxy-Erkennung, Multi-Account-Prüfung)
  • Synchronisierung von Clan-Mitgliederdaten zur Website (team.json)

4. Rechtsgrundlage (Art. 6 DSGVO)

  • Einwilligung (Art. 6 Abs. 1 lit. a)— Durch die Anmeldung via Discord OAuth2 und die optionale Minecraft-Verifizierung willigst du in die beschriebene Datenverarbeitung ein. Die Einwilligung kann jederzeit widerrufen werden.
  • Vertragserfüllung (Art. 6 Abs. 1 lit. b)— Verarbeitung deiner Daten zur Bereitstellung der Clan-Dienste (Dashboard, Tickets, Benachrichtigungen, Auktions-Tracking).
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f)— Sicherheitsmaßnahmen wie Multi-Account-Erkennung, VPN/Proxy-Prüfung, Login-Überwachung und Brute-Force-Schutz zum Schutz unserer Dienste und Nutzer.

5. Datenspeicherung & Aufbewahrungsfristen

Deine Daten werden in einer PostgreSQL-Datenbank auf einem gesicherten VPS (Virtual Private Server) gespeichert. Alle Datenbankabfragen sind parametrisiert (Schutz gegen SQL-Injection).

Ticket-Transkriptewerden als HTML-Dateien bei Cloudflare R2 (S3-kompatibel) abgelegt und über eine URL im Ticket-Datensatz referenziert.

Mitglieder-Avatare werden vom Discord-CDN heruntergeladen und lokal auf dem Webserver gespeichert, um sie auf der Mitgliederseite anzuzeigen.

Daten werden gespeichert, solange dein Konto aktiv ist oder du Mitglied des Clans bist. Temporäre Daten (z.B. ausstehende Verifizierungen) werden nach Ablauf automatisch ungültig.

Konkrete Fristen:

  • VPN/Proxy-Prüfergebnisse: 24 Stunden gecacht, danach gelöscht
  • Wartungsmodus-Fehlversuche (IP): 5 Minuten, danach automatisch gelöscht
  • Verifizierungscodes: 15 Minuten gültig, danach verworfen
  • Session-Cookies: 7 Tage, danach automatisch ungültig
  • Ticket-Transkripte: gespeichert bis zur manuellen Löschung durch die Clan-Leitung
  • Kontodaten: gespeichert bis zur Löschungsanfrage oder Clan-Austritt

Bei Löschungsanfragen werden alle personenbezogenen Daten innerhalb von 30 Tagen entfernt.

6. Weitergabe an Dritte & Drittlandsübermittlung

Deine personenbezogenen Daten werden nicht verkauftund nicht für Werbezwecke an Dritte weitergegeben. Folgende externe Dienste werden im Rahmen des Betriebs genutzt:

  • Discord API & OAuth2— Anmeldung, Rollen-Abfrage, DM-Versand, automatischer Server-Beitritt. Es gelten die Datenschutzrichtlinien von Discord.
  • Mojang API — Auflösung von Minecraft-Spielernamen zu UUIDs (Java Edition). Nur Spielername wird gesendet.
  • mcprofile.io — Auflösung von Xbox-Gamertags zu UUIDs (Bedrock Edition). Nur Gamertag wird gesendet.
  • Geyser API — Rückauflösung von Bedrock-XUIDs zu Gamertags. Nur XUID wird gesendet.
  • OPSUCHT API — Abruf von Auktions-, Markt- und Händlerdaten des OPSUCHT-Servers. Keine Nutzerdaten werden gesendet.
  • mc-heads.net — Anzeige von Minecraft-Spieler-Avataren anhand der UUID (clientseitig im Browser).
  • Cloudflare R2 — Speicherung von Ticket-Transkripten. Zugriff nur über den Bot (nicht öffentlich indiziert).
  • proxycheck.io — VPN/Proxy-Erkennung bei Login. Es wird ausschließlich die IP-Adresse übermittelt, keine personenbezogenen Daten. Ergebnisse werden 24 Stunden gecacht.

Es werden keineAnalysedienste (Google Analytics, Sentry o.ä.), Werbenetzwerke oder Tracking-Pixel eingesetzt.

Drittlandsübermittlung:Einige der genannten Dienste (Discord, Cloudflare, Mojang) haben ihren Sitz in den USA. Die Datenübermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission) bzw. Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Die genannten Dienste sind eigenständige Verantwortliche mit eigenen Datenschutzrichtlinien.

7. Cookies & lokale Speicherung

Wir verwenden ausschließlich technisch notwendige Cookies:

  • next-auth.session-token— JWT-Session-Cookie (httpOnly, Secure, SameSite=Lax). Gültigkeit: 7 Tage. Wird bei Anmeldung gesetzt.
  • maintenance_bypass_v2— Wartungsmodus-Zugang (httpOnly, Secure, SameSite=Lax). Gültigkeit: 24 Stunden. Nur für Teammitglieder.

Es werden keineTracking-Cookies, Werbe-Cookies oder Drittanbieter-Cookies gesetzt. Wir nutzen kein localStorage, sessionStorage oder andere clientseitige Speichermechanismen für Nutzerdaten.

8. Discord-Bot: Berechtigungen & Intents

Der Discord-Bot nutzt folgende privilegierte Gateway Intents:

  • GUILD_MEMBERS — Erkennung von Beitritten, Austritten, Rollen- und Profiländerungen
  • GUILD_PRESENCES — Status-Erkennung für Mitglieder-Sync
  • MESSAGE_CONTENT — Lesen von Nachrichteninhalten in Ticket-Kanälen für Transkripte

Der Bot sendet Direktnachrichten (DMs) für: Auktions-Benachrichtigungen (Überboten, Gewonnen, Endet bald, Watchlist), Konto-Sicherheitswarnungen (Login-Benachrichtigungen, Profiländerungen) und Gewinnspiel-Gewinnbenachrichtigungen. Alle DM-Benachrichtigungen sind über das Dashboard einzeln deaktivierbar.

9. Sichtbarkeit deiner Daten

  • Öffentlich sichtbar: Auktions- und Marktdaten, Spielerstatistiken (Gebote, Verkäufe) — basierend auf der OPSUCHT-API
  • Für Clan-Mitglieder: Mitgliederprofile, "Über mich"-Texte, Vorschläge, Gewinnspiele, Clan-Statistiken
  • Nur für dich: Persönliches Dashboard, Watchlist, Benachrichtigungseinstellungen, Gebotsverlauf
  • Für Teammitglieder: Ticket-Inhalte, Transkripte, Bewertungen, erweiterte Mitgliederstatistiken

10. Deine Rechte (DSGVO)

Du hast jederzeit das Recht auf:

  • Auskunft — welche Daten über dich gespeichert sind
  • Berichtigung — falscher oder unvollständiger Daten
  • Löschung — deiner personenbezogenen Daten
  • Widerruf — der Verifizierung und Datenverarbeitung
  • Datenportabilität — Export deiner gespeicherten Daten in einem gängigen Format (JSON)
  • Widerspruch gegen automatisierte Entscheidungen — bei Multi-Account-Erkennung kannst du eine menschliche Überprüfung anfordern
  • Ausblendung öffentlicher Daten — du kannst verlangen, dass dein Spielerprofil und alle öffentlich sichtbaren Daten (Auktionshistorie, Spielerstatistiken) von der Website ausgeblendet werden. Die Daten bleiben intern gespeichert, sind aber nicht mehr öffentlich auffindbar.
  • Beschwerde bei einer Aufsichtsbehörde — du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (z.B. LDI NRW)

Anfragen werden innerhalb von 30 Tagen bearbeitet. Kontakt: [email protected]oder über das Ticket-System auf Discord. Bei Löschungsanfragen werden alle personenbezogenen Daten aus der Datenbank entfernt, einschließlich Verifizierung, Profildaten, Benachrichtigungseinstellungen und Watchlist-Einträge.

11. Datensicherheit

  • Alle Verbindungen über HTTPS verschlüsselt
  • Session-Cookies mit httpOnly, Secure und SameSite-Flags
  • Parametrisierte Datenbankabfragen (Schutz gegen SQL-Injection)
  • Rollenbasierte Zugriffskontrolle auf Website und API
  • Login-Überwachung mit automatischen Sicherheitswarnungen

12. Änderungen

Diese Datenschutzerklärung kann jederzeit aktualisiert werden. Wesentliche Änderungen werden über Discord oder die Website angekündigt. Die fortgesetzte Nutzung nach Änderungen gilt als Zustimmung.