Rechtliches

Datenschutzerklärung

Zuletzt aktualisiert: 24. April 2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf btc-clan.xyz und den zugehörigen Discord-Bot „Bitcoin [BTC] Clan Bot“ ist:

Harun Kilic

Lipper Hellweg 240, 33605 Bielefeld

E-Mail: [email protected]

Discord: discord.com/invite/bitcoinclan

1b. Datenschutzbeauftragter

Ein betrieblicher Datenschutzbeauftragter ist nicht bestellt. btc-clan.xyz wird als privates Community-Projekt einer Einzelperson betrieben. Die gesetzlichen Schwellen für eine Bestell-Pflicht sind nicht erreicht:

  • § 38 Abs. 1 BDSG:Es sind nicht 20 oder mehr Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt — maßgeblich sind die verarbeitenden Personen (Operator), nicht die Anzahl der Betroffenen.
  • Art. 37 Abs. 1 lit. b DSGVO: Kerngeschäft ist nicht eine umfangreiche, regelmäßige Profilerstellung von Personen. Multi-Account-Prüfung dient lediglich der Betrugsabwehr im Rahmen einer privaten Community.
  • Art. 37 Abs. 1 lit. c DSGVO: Es werden keine besonderen Datenkategorien gemäß Art. 9 DSGVO verarbeitet (Gesundheits-, biometrische, Religions-, politische Daten).

Datenschutzanfragen (Auskunft, Berichtigung, Löschung, Widerspruch) gehen direkt an die unter Abschnitt 1 genannte verantwortliche Person.

2. Welche Daten wir erheben

Discord-Daten (bei Anmeldung via OAuth2)

Die Anmeldung erfolgt über Discord OAuth2 mit folgenden Berechtigungen (Scopes): identify, guilds, guilds.members.read und guilds.join.

  • Discord-Benutzer-ID (eindeutige Kennung)
  • Benutzername, Anzeigename und Server-Nickname
  • Avatar-URL (von Discord CDN)
  • Server-Rollen und Clan-Rollenzuordnung
  • Server-Beitrittsdatum

Minecraft-Daten (bei Verifizierung)

  • Minecraft-UUID und Spielername (Java Edition, via Mojang API)
  • Xbox-Gamertag (Bedrock Edition, via mcprofile.io API)
  • Plattform (Java oder Bedrock)
  • Verifizierungszeitpunkt

Nutzungsdaten (bei Interaktion)

  • Ticket-Inhalte, Nachrichten und Anhänge in Ticket-Kanälen
  • Ticket-Transkripte (vollständige HTML-Archive inkl. Nachrichtenverläufe)
  • Ticket-Bewertungen (1–5 Sterne) und optionale Kommentare
  • Vorschläge (Text, Abstimmungen, Status)
  • Gewinnspiel-Teilnahmen und Gewinnstatus
  • Profildaten: "Über mich"-Text (max. 500 Zeichen) und "Meine Aufgabe"-Text (max. 200 Zeichen)

Auktions- und Marktdaten

  • Auktionsgebote (Bieter-UUID, Betrag, Zeitpunkt)
  • Verkaufte und ersteigerte Items
  • Watchlist-Einträge (welche Auktionen du beobachtest)
  • Benachrichtigungseinstellungen (z.B. Überboten, Gewonnen, Endet bald)

Sicherheits- und Protokolldaten

  • Login-Zeitpunkte (zur Erkennung verdächtiger Aktivitäten)
  • IP-Adressen bei Login (Klartext, maximal 90 Tage gespeichert, danach automatische Löschung — zur Multi-Account-Erkennung und Angriffsabwehr)
  • IP-Adressen bei Selbstausschluss (90 Tage gespeichert zur Durchsetzung des Ausschlusses, danach automatische Löschung — siehe Abschnitt 9)
  • IP-Adressen bei fehlgeschlagenen Wartungsmodus-Anmeldungen (5 Minuten gespeichert, Brute-Force-Schutz)
  • VPN/Proxy-Prüfung bei Login (via proxycheck.io — nur die IP-Adresse wird übermittelt, Ergebnisse werden für 24 Stunden gecacht)
  • Multi-Account-Warnungen (bei Übereinstimmung von IP-Adressen zwischen verschiedenen Konten; IP wird nach 90 Tagen aus dem Warnungs-Datensatz entfernt)
  • Profiländerungen (Benutzername, Avatar, Nickname — Änderungsverlauf)

3. Zweck der Datenverarbeitung

Wir verarbeiten deine Daten ausschließlich für folgende Zwecke:

  • Authentifizierung und Autorisierung (Login, Rollenzuweisung)
  • Bereitstellung der Website-Funktionen (Dashboard, Profil, Statistiken)
  • Betrieb des Discord-Bots (Tickets, Gewinnspiele, Vorschläge)
  • Verifizierung der Minecraft-Account-Zugehörigkeit
  • Auktions- und Markt-Tracking inkl. Benachrichtigungen per Discord-DM
  • Anzeige von Mitgliederprofilen und Clan-Statistiken
  • Sicherheitsüberwachung (Login-Anomalien, Profiländerungs-Erkennung, VPN/Proxy-Erkennung, Multi-Account-Prüfung)
  • Synchronisierung von Clan-Mitgliederdaten zur Website (team.json)

4. Rechtsgrundlage (Art. 6 DSGVO)

  • Einwilligung (Art. 6 Abs. 1 lit. a)— Durch die Anmeldung via Discord OAuth2 und die optionale Minecraft-Verifizierung willigst du in die beschriebene Datenverarbeitung ein. Die Einwilligung kann jederzeit widerrufen werden. Auch das einwilligungsbasierte Pageview-Tracking (siehe Abschnitt 7) basiert auf dieser Rechtsgrundlage.
  • Vertragserfüllung (Art. 6 Abs. 1 lit. b)— Verarbeitung deiner Daten zur Bereitstellung der Clan-Dienste (Dashboard, Tickets, Benachrichtigungen, persönliches Auktions-Tracking).
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f)— in folgenden Ausprägungen:
    • Marktstatistiken & Preisanalysen— Verarbeitung der öffentlich zugänglichen OPSUCHT-API-Daten (Auktionshaus, Markt, Händler) zur Bereitstellung von Markt-Statistiken, Preisanalysen, Spielerprofilen und Auktions-Verlauf für die Spielgemeinschaft.
    • Sicherheit & Missbrauchsprävention— Multi-Account-Erkennung, VPN/Proxy-Prüfung, Login-Überwachung, Brute-Force-Schutz und Server-Logfiles zum Schutz der Dienste und Nutzer.
    • Durchsetzung des Selbstausschlusses— 90-Tage-IP-Sperre nach freiwilligem Selbstausschluss, damit der Wunsch des Nutzers durchgesetzt werden kann.

5. Datenspeicherung & Aufbewahrungsfristen

Deine Daten werden in einer PostgreSQL-Datenbank auf einem gesicherten VPS (Virtual Private Server) gespeichert. Alle Datenbankabfragen sind parametrisiert (Schutz gegen SQL-Injection).

Ticket-Transkriptewerden als HTML-Dateien bei Cloudflare R2 (S3-kompatibel) abgelegt und über eine URL im Ticket-Datensatz referenziert.

Mitglieder-Avatare werden vom Discord-CDN heruntergeladen und lokal auf dem Webserver gespeichert, um sie auf der Mitgliederseite anzuzeigen.

Daten werden gespeichert, solange dein Konto aktiv ist oder du Mitglied des Clans bist. Temporäre Daten (z.B. ausstehende Verifizierungen) werden nach Ablauf automatisch ungültig.

Konkrete Fristen:

  • VPN/Proxy-Prüfergebnisse: 24 Stunden gecacht, danach gelöscht
  • Wartungsmodus-Fehlversuche (IP): 5 Minuten, danach automatisch gelöscht
  • Verifizierungscodes: 15 Minuten gültig, danach verworfen
  • Session-Cookies: 7 Tage, danach automatisch ungültig
  • Ticket-Transkripte: gespeichert bis zur manuellen Löschung durch die Clan-Leitung
  • Kontodaten: gespeichert bis zur Löschungsanfrage oder Clan-Austritt

Bei Löschungsanfragen werden alle personenbezogenen Daten innerhalb von 30 Tagen entfernt.

Backups:Wöchentliche DB-Backups werden für maximal 4 Wochenbei Cloudflare R2 aufbewahrt und dann rotiert (überschrieben). Bei einer Löschungsanfrage werden die Daten aus der Live-Datenbank sofort entfernt; aus Backups verschwinden sie spätestens mit der nächsten Rotation. Eine Wiederherstellung aus einem älteren Backup führt nur zur Wieder-Einspielung der bereits gelöschten Daten, wenn dies durch einen konkreten Vorfall erforderlich ist — danach würden wir deine Löschung erneut vollziehen.

6. Weitergabe an Dritte & Drittlandsübermittlung

Deine personenbezogenen Daten werden nicht verkauftund nicht für Werbezwecke an Dritte weitergegeben. Folgende externe Dienste werden im Rahmen des Betriebs genutzt:

  • Discord, Inc. (USA · DPF-zertifiziert)
    Anmeldung, Rollen-Abfrage, DM-Versand, automatischer Server-Beitritt über Discord-OAuth2 und Discord-API. Es gelten die Datenschutzrichtlinien von Discord.
  • Cloudflare, Inc. (USA · DPF-zertifiziert · Standard-DPA über Cloudflare-AGB)
    Cloudflare R2 Object Storage für Ticket-Transkripte und Datenbank-Backups. Zugriff erfolgt ausschließlich über signierte URLs aus dem Bot, kein öffentlicher Index. Der Auftragsverarbeitungs-Vertrag (DPA) ist Bestandteil der Cloudflare-AGB und gilt automatisch für alle Konto-Inhaber.
  • Microsoft Corporation / Mojang Studios (USA · DPF-zertifiziert)
    Mojang-API zur Auflösung von Minecraft-Spielernamen zu UUIDs (Java Edition). Übermittelt wird ausschließlich der Spielername.
  • Hetzner Online GmbH (Deutschland · AVV gemäß Hetzner-Standardvertrag)
    Server-Hosting (VPS, Standort Deutschland). Datenverarbeitung erfolgt ausschließlich innerhalb der EU. Hetzner stellt einen Standard-AVV nach Art. 28 DSGVO bereit, der mit jedem Konto-Vertrag verbunden ist.
  • proxycheck.io (Vereinigtes Königreich · Angemessenheitsbeschluss EU–UK 2021)
    VPN/Proxy-Erkennung bei Login. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz vor VPN-Multi-Account-Missbrauch). Übermittelt wird ausschließlich die IP-Adresse. Ergebnisse werden 24 Stunden gecacht, danach automatisch gelöscht.
  • mcprofile.io (Betreiber laut Footer: „KejonaMC“ · kein Impressum · kein DPA · Sitz nicht ermittelbar)
    Auflösung von Xbox-Gamertags zu UUIDs (Bedrock Edition). Der Aufruf erfolgt Server-zu-Server— vom internen Bot zu mcprofile.io. Die IP-Adresse des Nutzers wird dabei nichtan mcprofile.io übermittelt; nur der eingegebene Gamertag und die IP des Verantwortlichen-Servers werden gesendet. Hinweis:mcprofile.io stellt kein Impressum und keinen Auftragsverarbeitungs-Vertrag bereit. Da der Sitz des Anbieters nicht ermittelbar ist, kann eine Drittlandsübermittlung nicht ausgeschlossen werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Auflösung von Bedrock-Gamertags zu UUIDs — ohne diesen Schritt wäre die Verifizierung von Bedrock-Spielern nicht möglich). Anbieter-Site: https://mcprofile.io
  • Geyser-Projekt (api.geysermc.org) (Open-Source-Projekt · gehostet in den USA)
    Rückauflösung von Bedrock-XUIDs zu Gamertags. Übermittelt wird ausschließlich die XUID. Da es sich um eine technische Kennung handelt, ist der Personen-Bezug minimal.
  • mc-heads.net (externer CDN · clientseitiger Aufruf vom Browser)
    Anzeige von Minecraft-Spieler-Avataren anhand der UUID. Der Browser des Nutzers ruft die Bild-URL direkt auf, der Server von btc-clan.xyz erhält diesen Aufruf nicht.
  • img.mc-api.io (externer CDN · clientseitiger Aufruf)
    Anzeige von Minecraft-Item-Icons. Es werden ausschließlich Material-Bezeichnungen (z. B. DIAMOND_SWORD) abgerufen, kein Personen-Bezug.
  • OPSUCHT-API (Server-zu-Server, keine Nutzer-Daten ausgehend)
    Abruf von Auktions-, Markt- und Händlerdaten des OPSUCHT-Servers. Es werden keine Nutzerdaten von btc-clan.xyz an OPSUCHT übermittelt — nur eingehende Daten (siehe Hinweis zu fremden Spielerdaten unten). Hinweis: btc-clan.xyz ist ein unabhängiges Community-Projekt und steht in keiner offiziellen Verbindung zum OPSUCHT-Server oder dessen Betreibern. Die Bezeichnung „OPSUCHT“ sowie alle Server-bezogenen Markenrechte verbleiben bei den jeweiligen Rechteinhabern.

Es werden keine externen Analyse-Dienste (Google Analytics, Sentry, Matomo o.ä.), Werbenetzwerke oder Third-Party-Tracking-Pixel eingesetzt. Wir betreiben ein eigenes, minimales Pageview-Tracking auf unseren eigenen Servern — siehe Abschnitt 7. Dieses Tracking läuft ausschließlich bei ausdrücklicher Einwilligung (Cookie-Banner).

Verarbeitung von Daten Dritter aus öffentlichen Quellen (Art. 14 DSGVO): Wir verarbeiten Spielernamen und Minecraft-UUIDs anderer Spieler, die auf dem OPSUCHT-Server im öffentlichen Auktionshaus aktiv sind. Diese Daten beziehen wir aus der OPSUCHT-API. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Markt-Statistiken für die Community). Betroffene Spieler können sich jederzeit per E-Mail an [email protected] an uns wenden und ihren Datensatz anonymisieren lassen (siehe Abschnitt 9 zum Selbstausschluss). Eine separate Information jedes einzelnen Spielers wäre mit unverhältnismäßigem Aufwand verbunden (Art. 14 Abs. 5 lit. b DSGVO), stattdessen informieren wir öffentlich über diese Datenschutzerklärung.

Drittlandsübermittlung allgemein: Soweit oben angegeben werden personenbezogene Daten in die USA übermittelt. Die Übermittlung stützt sich auf den EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023). Bei Anbietern ohne DPF-Zertifizierung gelten die Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Die jeweiligen Dienste sind eigenständige Verantwortliche mit eigenen Datenschutzrichtlinien.

7. Cookies, lokale Speicherung & Pageview-Tracking

Technisch notwendige Cookies(keine Einwilligung nötig, § 25 Abs. 2 Nr. 2 TDDDG— unbedingt erforderlich für den Dienst — i. V. m. Art. 6 Abs. 1 lit. f DSGVO):

  • next-auth.session-token— JWT-Session-Cookie (httpOnly, Secure, SameSite=Lax). Gültigkeit: 7 Tage.
  • maintenance_bypass_v2— Wartungsmodus-Zugang (httpOnly, Secure, SameSite=Lax). Gültigkeit: 24 Stunden. Nur für Teammitglieder.
  • localStorage „btc-cookie-consent-v1“— speichert deine Cookie-Banner-Entscheidung (kein personenbezogenes Datum).
  • Consent-Audit-Log (serverseitig)— zusätzlich zur LocalStorage-Speicherung loggen wir jede Einwilligungs-/Ablehnungs-Entscheidung serverseitig mit Zeitstempel, IP-Hash (siehe oben — pseudonymisiert) und User-Agent, damit wir im Streitfall nachweisen können, dass die Einwilligung erfolgt ist (Art. 7 Abs. 1 DSGVO). Aufbewahrung: 3 Jahre, danach automatische Löschung.

Einwilligungsbasiertes Pageview-Tracking(§ 25 Abs. 1 TDDDGi. V. m. Art. 6 Abs. 1 lit. a DSGVO — nur wenn du im Cookie-Banner zugestimmt hast):

  • Was wird erfasst?Aufgerufener Pfad (z. B./auktionen), Zeitstempel, SHA-256-Hash der IP-Adresse mit einem nur uns bekannten Salt (für externe Dritte praktisch nicht zurückführbar, für uns als Verantwortliche theoretisch rekonstruierbar — daher technisch pseudonymisiert), eingeloggte Discord-ID falls vorhanden. Der Salt wird jährlich rotiert, sodass Hashes vor dem Rotationsdatum mit neuen Hashes nicht mehr vergleichbar sind.
  • Zweck:Verstehen welche Seiten im Clan genutzt werden, aggregierte Besucherzahlen für das interne Admin-Dashboard. Keine individuellen Profile, keine Drittweitergabe.
  • Wo liegen die Daten?Unser eigener Hetzner-Server (DE). Keine Übermittlung in Drittländer. Tabellepage_viewsin unserer PostgreSQL-Datenbank.
  • Widerruf:Jederzeit über den Link „Cookie-Einstellungen“ im Footer. Nach Widerruf werden keine neuen Pageviews erfasst.
  • Aufbewahrung:12 Monate rollierend, danach automatische Löschung.

Es werden keine Werbe-Cookies, Third-Party-Tracker, Social-Media-Pixel oder externen Analysedienste eingesetzt.

8. Discord-Bot: Berechtigungen & Intents

Der Discord-Bot nutzt folgende privilegierte Gateway Intents:

  • GUILD_MEMBERS — Erkennung von Beitritten, Austritten, Rollen- und Profiländerungen
  • GUILD_PRESENCES — Status-Erkennung für Mitglieder-Sync
  • MESSAGE_CONTENT — Lesen von Nachrichteninhalten in Ticket-Kanälen für Transkripte

Der Bot sendet Direktnachrichten (DMs) für: Auktions-Benachrichtigungen (Überboten, Gewonnen, Endet bald, Watchlist), Konto-Sicherheitswarnungen (Login-Benachrichtigungen, Profiländerungen) und Gewinnspiel-Gewinnbenachrichtigungen. Alle DM-Benachrichtigungen sind über das Dashboard einzeln deaktivierbar.

8b. Automatisierte Entscheidungen (Art. 22 DSGVO)

Folgende Entscheidungen werden teilweise automatisiert getroffen:

  • Multi-Account-Erkennung:Bei IP-Übereinstimmung zwischen zwei Konten wird eine Warnung automatisch ausgelöst. Beim 1.–2. Verstoss wird der Account gekickt, beim 3. Verstoss automatisch gebannt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betrugsprävention).
  • VPN/Proxy-Flagging:Logins via erkannter VPN/Proxy-IP werden automatisch markiert und können zu weiteren Checks führen.
  • Rate-Limit / Brute-Force-Schutz:Zu viele fehlgeschlagene Versuche in kurzer Zeit führen zu einer temporären IP-Sperre (5 Minuten).

Dein Recht (Art. 22 Abs. 3 DSGVO): Wenn du von einer dieser automatisierten Entscheidungen betroffen bist (insbesondere bei einem Ban nach Multi-Account-Verstoss), kannst du jederzeit eine menschliche Überprüfunganfordern. Sende uns dafür eine E-Mail an[email protected]mit deinem Standpunkt. Wir prüfen den Fall manuell und heben die Sperre gegebenenfalls auf.

9. Selbstausschluss & Widerspruchsrecht (Art. 21 DSGVO)

Wichtig:Du hast jederzeit das Recht, der Verarbeitung deiner personenbezogenen Daten aus Gründen, die sich aus deiner besonderen Situation ergeben, zu widersprechen(Art. 21 DSGVO). Wir verarbeiten dann keine dich betreffenden personenbezogenen Daten mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen.

Du kannst dein öffentliches Spielerprofil (inkl. Auktionshistorie, Statistiken und Namensnennung in OP-Items, Auktionen und Geboten) dauerhaft ausblenden lassen. Dafür stehen zwei Wege offen:

  • Dashboard-Funktion (bequemer Weg für verifizierte Nutzer): Unter/dashboard/einstellungen→ Privatsphäre findest du den Selbstausschluss-Button. Die abgeschlossene Minecraft-Verifizierung gilt als Identitätsnachweis (Art. 12 Abs. 6 DSGVO).
  • Per E-Mail an [email protected] oder postalisch an die im Impressum genannte Adresse. In diesem Fall bitten wir einmalig um einen Identitätsnachweis (z. B. Cobblestone-Code im OPSUCHT-Auktionshaus).
  • Über das Discord-Ticket-System im offiziellen Bitcoin [BTC] Discord-Server. Eine Datenschutz-Anfrage kann dort über den Support-Button im Ticket-Panel gestellt werden. Das Team leitet die Anfrage an den Verantwortlichen weiter.

Folgen des Selbstausschlusses:

  • Dein öffentliches Spielerprofil wird ausgeblendet.
  • Deine Minecraft-UUID, der Minecraft-Name und die Discord-Verknüpfung werden in den Tabellen auctionsund auction_bids auf eine technische Sentinel-Kennung („Anonym“) gesetzt — die Verkaufs-Datensätze selbst (Item, Preis, Zeitpunkt) bleiben für Markt-Statistiken erhalten, sind aber nicht mehr deiner Person zuordenbar.
  • Dein Eintrag in minecraft_verifications (Discord↔Minecraft-Verknüpfung) wird vollständig gelöscht, damit ein erneuter Login die UUID nicht erneut speichert.
  • Future-Auktions-Scrapes erkennen deine UUID/Name beim Insert und speichern auch dort keine personenbezogenen Daten mehr ab.
  • Dein Zugang zur Plattform wird gesperrt — sowohl die laufende Session als auch jeder zukünftige Discord-Login werden direkt am OAuth-Endpoint abgewiesen.
  • Deine zuletzt bekannten IP-Adressen werden für 90 Tage in einer separaten Tabelle gespeichert, um uneingeloggten Zugriff zu verhindern. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Durchsetzung deines Selbstausschluss-Wunsches). Nach 90 Tagen werden diese IPs automatisch gelöscht.
  • Eine vollständige Löschung auch der anonymisierten Verkaufs-Datensätze (Art. 17 DSGVO) bleibt davon unberührt — dafür bitte eine separate Anfrage stellen.

Rückgängigmachen:Der Selbstausschluss ist reversibel. Wende dich per E-Mail an [email protected] — nach Identitätsbestätigung heben wir die Sperre innerhalb von 7 Tagen auf.

Falls du fälschlich durch eine IP-Sperre ausgesperrt wirst (dynamische IP-Zuteilung, dein Internet-Provider hat dir die IP eines geblockten Nutzers neu zugewiesen), melde dich bitte per E-Mail — wir prüfen solche Fälle innerhalb von 48 Stunden.

10. Sichtbarkeit deiner Daten

  • Öffentlich sichtbar: Auktions- und Marktdaten, Spielerstatistiken (Gebote, Verkäufe) — basierend auf der OPSUCHT-API
  • Für Clan-Mitglieder: Mitgliederprofile, "Über mich"-Texte, Vorschläge, Gewinnspiele, Clan-Statistiken
  • Nur für dich: Persönliches Dashboard, Watchlist, Benachrichtigungseinstellungen, Gebotsverlauf
  • Für Teammitglieder: Ticket-Inhalte, Transkripte, Bewertungen, erweiterte Mitgliederstatistiken

11. Deine Rechte (DSGVO)

Du hast jederzeit das Recht auf:

  • Auskunft — welche Daten über dich gespeichert sind
  • Berichtigung — falscher oder unvollständiger Daten
  • Löschung — deiner personenbezogenen Daten
  • Widerruf — der Verifizierung und Datenverarbeitung
  • Datenportabilität — Export deiner gespeicherten Daten in einem gängigen Format (JSON)
  • Widerspruch gegen automatisierte Entscheidungen — bei Multi-Account-Erkennung kannst du eine menschliche Überprüfung anfordern
  • Ausblendung öffentlicher Daten — du kannst verlangen, dass dein Spielerprofil und alle öffentlich sichtbaren Daten (Auktionshistorie, Spielerstatistiken) von der Website ausgeblendet werden. Die Daten bleiben intern gespeichert, sind aber nicht mehr öffentlich auffindbar.
  • Beschwerde bei einer Aufsichtsbehörde — du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (z.B. LDI NRW)

Anfragen werden innerhalb von 30 Tagen bearbeitet (Art. 12 Abs. 3 DSGVO). Kontakt: [email protected]oder über das Ticket-System auf Discord. Bei Löschungsanfragen werden alle personenbezogenen Daten aus der Datenbank entfernt, einschließlich Verifizierung, Profildaten, Benachrichtigungseinstellungen und Watchlist-Einträge.

Beschwerde bei der Aufsichtsbehörde:Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Für unseren Sitz ist dies:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Kavalleriestraße 2–4, 40213 Düsseldorf
Telefon: 0211/38424-0 · www.ldi.nrw.de

11b. Server-Logfiles

Aus technischen Gründen — insbesondere zur Sicherstellung des stabilen Betriebs, zur Fehlerdiagnose und zur Abwehr von Angriffen — werden bei jedem Aufruf der Website automatisch Daten in den Server-Logfiles erfasst.

Erfasste Daten (nginx access.log + error.log):

  • IP-Adresse des aufrufenden Geräts
  • Datum und Uhrzeit des Aufrufs
  • Aufgerufene URL (Pfad inkl. Query-Parameter)
  • HTTP-Status-Code (z. B. 200, 404, 500)
  • Referrer-URL (vorherige Seite, falls übermittelt)
  • User-Agent (Browser-Kennung)
  • übertragene Datenmenge

Speicherort:Hetzner-VPS in Deutschland. Keine Übermittlung in Drittländer.

Aufbewahrungsfrist:14 Tage rollierend (Standard-logrotate-Konfiguration). Logfiles älter als 14 Tage werden automatisch gelöscht.

Rechtsgrundlage:Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren und stabilen Betrieb der Website). Eine Verknüpfung der Logfile-Daten mit anderen Datenquellen findet nicht statt.

12. Datensicherheit

SSL/TLS-Verschlüsselung:Diese Website verwendet eine durchgängige Transport-Verschlüsselung über HTTPS. Die Zertifikate werden von Let's Encrypt ausgestellt und automatisch erneuert. Zusätzlich ist HTTP Strict Transport Security (HSTS) mit einer Laufzeit von 1 Jahr, includeSubDomains und Aufnahme in die Browser-HSTS-Preload-Liste aktiv. Ein erkennbares Schloss-Symbol in der Adresszeile deines Browsers bestätigt die aktive Verschlüsselung — dadurch sind übermittelte Daten (Login, Formulare, Ticket-Inhalte) für Dritte nicht lesbar.

Weitere technische und organisatorische Maßnahmen (Art. 32 DSGVO):

  • Session-Cookies mit httpOnly, Secure und SameSite=Lax
  • Parametrisierte Datenbankabfragen (Schutz gegen SQL-Injection)
  • Rollenbasierte Zugriffskontrolle auf Website und Bot-API (Authentifizierung über Discord-OAuth + Discord-Rollen)
  • Login-Überwachung mit automatischen Sicherheitswarnungen per Discord-DM
  • Rate-Limiting bei kritischen Endpunkten (z. B. Selbstausschluss, Wartungsmodus-Login)
  • Tokens in der Datenbank werden symmetrisch verschlüsselt gespeichert (AES-256-GCM)
  • Cloudflare-Layer als CDN/WAF vor dem Origin-Server

Trotz dieser Maßnahmen kann eine vollständige Sicherheit der Datenübertragung im Internet nicht garantiert werden. Bei einem Datenleck erfolgt eine Meldung gemäß Art. 33 / 34 DSGVO an die zuständige Aufsichtsbehörde sowie an betroffene Nutzer, sofern ein hohes Risiko vorliegt.

13. Mindestalter & Minderjährige

Unsere Dienste richten sich an Nutzer ab 16 Jahren. Kinder und Jugendliche unter 16 Jahren dürfen die Plattform nur mit ausdrücklicher Zustimmung eines Erziehungsberechtigten nutzen (Art. 8 DSGVO). Wir erheben wissentlich keine Daten von Nutzern unter 13 Jahren (Discord-Mindestalter).

14. Auftragsverarbeitung (Art. 28 DSGVO)

Für Infrastruktur-Leistungen (Hosting, Backup-Storage) bestehen Auftragsverarbeitungs-Verträge mit folgenden Anbietern:

  • Hetzner Online GmbH — Server-Hosting (VPS, Standort Deutschland). AVV nach Art. 28 DSGVO ist Bestandteil der Hetzner-Standardverträge und gilt automatisch für alle Vertragsverhältnisse (siehe Hetzner-AVV).
  • Cloudflare, Inc. — Cloudflare R2 Object Storage für Ticket-Transkripte und Backups. Das Cloudflare Data Processing Addendum (DPA) ist Bestandteil der Cloudflare-AGB und gilt automatisch für alle Konto-Inhaber (siehe Cloudflare DPA).

Beide Anbieter verarbeiten Daten weisungsgebunden für den Verantwortlichen und sind vertraglich zur DSGVO-Konformität verpflichtet.

Für weitere im Abschnitt 6 genannte Dienste (Discord, Mojang, mcprofile.io, Geyser, mc-heads.net, OPSUCHT-API) besteht kein Auftragsverarbeitungs-Verhältnis. Diese Dienste sind eigenständige Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO, und die jeweilige Übermittlung stützt sich auf die in Abschnitt 6 genannten Rechtsgrundlagen.

15. Änderungen

Über wesentliche Änderungen dieser Datenschutzerklärung wird auf der Website sowie über den Discord-Server informiert. Es gilt die jeweils aktuelle Fassung — das Datum der letzten Aktualisierung steht oben am Seitenanfang.

Sofern eine bestimmte Datenverarbeitung auf einer Einwilligung des Nutzers basiert (Art. 6 Abs. 1 lit. a DSGVO), bleibt diese Einwilligung von Änderungen unberührt. Wird durch eine Änderung eine neue, einwilligungsbedürftige Verarbeitung eingeführt, wird hierfür vorab eine separate, ausdrückliche Einwilligung eingeholt — eine stillschweigende Zustimmung durch fortgesetzte Nutzung erfolgt nicht.

Komm in unseren Discord

Werde Teil der Bitcoin [BTC] Community

Tausch dich mit anderen Spielern aus, finde Anschluss und sei dabei wenn was los ist.

Join us on Discord