Datenschutzerklärung

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website im Sinne der DSGVO ist:

Martin Michler
Trufanowstraße 35
04105 Leipzig
E-Mail: datenschutz@devilop.de

2. Datenschutzbeauftragter

Wir sind nicht verpflichtet, einen Datenschutzbeauftragten zu benennen (§ 38 BDSG). Datenschutzanfragen richte bitte direkt an die oben genannte Adresse oder per E-Mail an datenschutz@devilop.de.

3. Hosting und technische Infrastruktur

Das Portal nutzt mehrere voneinander getrennte Dienstleister für Anwendungs-Hosting, Datenbank, Mail-Versand und Domain. Mit allen besteht ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO.

a) Anwendungs-Hosting (Vercel)

Die Web-Anwendung wird gehostet bei Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA (im Folgenden „Vercel"). Die Anwendung wird in der Region Frankfurt am Main, Deutschland (fra1) ausgeführt; statische Inhalte werden zusätzlich über das globale Edge-Netzwerk von Vercel ausgeliefert, wodurch beim Aufruf statischer Ressourcen Verbindungen zu Vercel-Servern auch außerhalb der EU zustande kommen können.

Vercel ist nach dem EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023) zertifiziert. Ergänzend bestehen Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO. Weitere Informationen: vercel.com/legal/privacy-policy.

b) Datenbank (Turso)

Die personenbezogenen Daten (Account-Daten, Quiz-Ergebnisse, Punkte, Abzeichen u. a.) werden in einer verwalteten libSQL-/ SQLite-Datenbank des Anbieters ChiselStrike Inc. (Turso), 251 Little Falls Drive, Wilmington, DE 19808, USA gespeichert. Der Datenbank-Cluster steht in der Region AWS eu-west-1 (Irland, EU); eine Speicherung der Inhalte außerhalb der EU findet nicht statt. Lediglich die vertragliche Beziehung besteht mit einem US-Unternehmen, weshalb wir uns ergänzend auf Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO stützen. Weitere Informationen: turso.tech/privacy.

c) Server-Logs

Beim Aufruf unserer Seiten werden vom Hoster (Vercel) folgende Daten in Logfiles temporär gespeichert:

• IP-Adresse des anfragenden Rechners
• Datum und Uhrzeit des Zugriffs
• Name und URL der abgerufenen Datei
• HTTP-Statuscode und übertragene Datenmenge
• Referrer-URL (zuvor besuchte Seite)
• Verwendeter Browser und Betriebssystem

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Bereitstellung und Sicherheit). Die Logs werden ausschließlich kurzfristig zur Diagnose eingesetzt und durch Vercel spätestens nach 30 Tagen automatisch gelöscht. Eine systematische Auswertung zu Profiling- oder Werbezwecken erfolgt nicht.

4. Erhebung und Speicherung personenbezogener Daten

a) Beim Besuch der Website

Beim reinen Besuch der öffentlichen Bereiche (Startseite, Impressum, Datenschutz, AGB) werden außer den in Abschnitt 3 genannten Server-Logs keine personenbezogenen Daten erhoben.

b) Bei Registrierung und Nutzung des Portals

Wenn Du einen Account anlegst oder Dich einloggst, verarbeiten wir die folgenden Daten:

• E-Mail-Adresse
• Name (selbst angegeben)
• Passwort (gehasht mit bcrypt, niemals im Klartext gespeichert)
• Optional: Gruppen-Zuordnung (durch Admin)
• Login-Zeitstempel und Sitzungsinformationen
• Spielfortschritt: Quiz-Ergebnisse, Phishing-Spielergebnisse, Punkte, Abzeichen, Ränge
• Zeitpunkt Deiner Zustimmung zu AGB und Datenschutzerklärung (Audit-Trail nach Art. 7 Abs. 1 DSGVO)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für freiwillige Angaben.

c) Bei Login mit Google (Single Sign-on)

Wenn Du Dich mit Google anmeldest, übermittelt Google an uns Deine Google-Account-E-Mail-Adresse, Deinen Namen und ggf. ein Profilbild, sofern Du dies bei Google freigegeben hast. Wir nutzen diese Daten ausschließlich zur Erstellung und Authentifizierung Deines Portal-Accounts.

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Bei Datentransfers in die USA stützt sich Google auf das EU-US Data Privacy Framework (Angemessenheits- beschluss der EU-Kommission vom 10. Juli 2023) sowie ergänzend auf Standardvertragsklauseln (SCC) nach Art. 46 DSGVO. Weitere Informationen: Google-Datenschutzerklärung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

d) Bei aktivierter Zwei-Faktor-Authentifizierung (Admin-Accounts)

Wenn Du als Admin Zwei-Faktor-Authentifizierung (TOTP, RFC 6238) aktivierst, speichern wir ein TOTP-Secret zur Code-Verifizierung sowie acht bcrypt-gehashte Recovery-Codes. Die Klartext-Recovery-Codes werden Dir einmalig angezeigt und nicht serverseitig vorgehalten. Beim Deaktivieren von 2FA werden alle 2FA-Daten unverzüglich gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Account-Sicherheit).

e) Bei Datei-Uploads (Community-Meldungen)

Du kannst beim Melden verdächtiger E-Mails Bilder hochladen (Screenshots). Erlaubt sind PNG, JPEG, WebP und GIF mit maximal 10 MB je Datei. Hochgeladene Dateien werden im Object-Storage unseres Hosters Vercel (Dienst „Vercel Blob") gespeichert. Vercel speichert diese Inhalte gemäß eigenen Angaben in Rechenzentren innerhalb der EU; die vertragliche Beziehung besteht jedoch mit einem US-Unternehmen (siehe Abschnitt 3.a). Hochgeladene Dateien sind ausschließlich für eingeloggte Nutzer und Admins sichtbar.

Beim Löschen Deines Accounts oder beim Entfernen einer Meldung werden die zugehörigen Dateien automatisch entfernt. Du bist verpflichtet, beim Hochladen die Rechte Dritter zu wahren und keine sensiblen Daten Unbeteiligter (z. B. echte Empfänger-Adressen Dritter) hochzuladen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

5. Cookies und ähnliche Technologien

Wir verwenden ausschließlich technisch notwendige Cookies, die für den Betrieb der Plattform erforderlich sind:

• Session-Cookie (NextAuth) — hält Deine Login-Sitzung aufrecht. Lebensdauer: bis zum Logout oder maximal 30 Tage.
• Consent-Cookie (tos_consent_at) — kurzes (10 Minuten) technisches Cookie, das beim Registrieren via Google Deinen Zustimmungs-Zeitpunkt zwischen Klick und Rückkehr von Google überträgt.

Diese Cookies sind unbedingt erforderlich im Sinne von § 25 Abs. 2 Nr. 2 TDDDG, eine Einwilligung ist gesetzlich nicht erforderlich. Tracking-, Analyse- oder Werbe-Cookies setzen wir nicht ein.

6. E-Mail-Versand

Wir versenden gegebenenfalls transaktionale E-Mails (z. B. Registrierungsbestätigungen, Quiz-Einladungen, Erinnerungen an offene Pflicht-Quizze). Der Versand erfolgt über den SMTP-Dienst der ALL-INKL.COM, mit der ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO besteht. Eine Übermittlung in Drittländer findet nicht statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

7. Auftragsverarbeitung & weitere Empfänger

Mit folgenden Dienstleistern haben wir Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO abgeschlossen:

• Vercel Inc. (USA) — Anwendungs-Hosting in der Region Frankfurt; Edge-Auslieferung statischer Inhalte; Server-Logs. DPF-zertifiziert, ergänzend SCC.
• ChiselStrike Inc. (Turso) (USA) — Datenbank-Hosting in der Region AWS eu-west-1 (Irland, EU). SCC.
• ALL-INKL.COM — Neue Medien Münnich, Inh. René Münnich, Hauptstraße 68, 02742 Friedersdorf (DE) — E-Mail-Versand (SMTP) sowie Domain- und DNS-Verwaltung.

Mit Google (siehe 4.c) verarbeiten wir Daten als gemeinsam Verantwortliche im Rahmen der Authentifizierung. Eine darüber hinausgehende Weitergabe an Dritte findet nur statt, wenn wir gesetzlich dazu verpflichtet sind oder es zur Rechtsverfolgung zwingend erforderlich ist.

Die Übermittlung an US-Anbieter (Vercel, Turso, Google) ist durch den Angemessenheitsbeschluss der EU-Kommission zum EU-US Data Privacy Framework vom 10. Juli 2023 sowie ergänzend durch Standardvertragsklauseln nach Art. 46 DSGVO abgesichert.

8. Speicherdauer

Wir speichern Deine personenbezogenen Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist. Im Detail:

9. Deine Rechte

Dir stehen folgende Rechte zu:

• Auskunft über die Verarbeitung Deiner Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung Deiner Daten (Art. 17 DSGVO) — über die Selbst-Löschen-Funktion unter „Mein Account"
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO) — Du kannst unter „Mein Account → Meine Daten exportieren" jederzeit eine maschinenlesbare Kopie aller zu Deinem Account gespeicherten Daten als JSON-Datei herunterladen.
• Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Beschwerderecht bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Dir das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde zu (Art. 77 DSGVO). Die für uns zuständige Aufsichtsbehörde ist:

[Zuständige Datenschutz-Aufsichtsbehörde Deines Bundeslandes]
[Anschrift]
Eine Liste aller Aufsichtsbehörden findest Du unter bfdi.bund.de.

10. Datensicherheit

Wir treffen technische und organisatorische Maßnahmen, um Deine Daten gegen unbefugten Zugriff, Verlust, Veränderung und Zerstörung zu schützen. Dazu zählen u. a.:

• TLS-Verschlüsselung aller Verbindungen
• Passwort-Speicherung mit bcrypt (Cost-Faktor 12)
• Optionale Zwei-Faktor-Authentifizierung für Admin-Accounts
• Strikt rollenbasierter Zugriff (Admin / Editor / Viewer / Teilnehmer)
• Regelmäßige Sicherheits-Updates des Hosters und der Anwendung

11. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, falls Änderungen an der Plattform oder der Rechtslage dies erforderlich machen. Die jeweils aktuelle Version findest Du auf dieser Seite.

Stand: 08.05.2026 (mit Ergänzung Hosting Vercel/Turso)