Datenschutzerklärung

Stand: 14.05.2026

Diese Datenschutzerklärung informiert Sie über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten beim Besuch und der Nutzung des Browserspiels SYNATECH - Galactic Industries. Rechtsgrundlage ist die Datenschutz-Grundverordnung (DSGVO) sowie das Bundesdatenschutzgesetz (BDSG).

1. Verantwortlicher

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist:

Meik Krahlheer
Lüssumer Kamp 3
28779 Bremen
Deutschland
E-Mail: Krahlheer@frozen-moment.de
Telefon: +49 179 - 931 67 56

Ein Datenschutzbeauftragter ist gesetzlich nicht erforderlich; bei Fragen zum Datenschutz wenden Sie sich bitte direkt an den oben genannten Verantwortlichen.

2. Übersicht der Verarbeitungen

Wir verarbeiten folgende Kategorien personenbezogener Daten:

2.1 Registrierungs- und Stammdaten

• Daten: Username, E-Mail-Adresse, gehashtes Passwort (bcrypt), Registrierungsdatum.
• Zweck: Bereitstellung des Spielerkontos, Authentifizierung, Wiederherstellung des Zugangs.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
• Speicherdauer: Solange das Konto aktiv ist, zzgl. handels- und steuerrechtlicher Aufbewahrungsfristen für Käufe (siehe Ziffer 5).

2.2 Spielstand und Nutzungsdaten

• Daten: Spielfortschritt (Planeten, Gebäude, Schiffe, Credits), Aktionen, Ereignisprotokoll im Spiel, letzte Login-Zeitpunkte.
• Zweck: Bereitstellung der vertraglich geschuldeten Spielfunktion, Betrugsprävention, Verbesserung des Spiels.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

2.3 Server-Logfiles

• Daten: IP-Adresse (gekürzt nach 30 Tagen), Zeitstempel, abgerufene URL, Referer, User-Agent, HTTP-Statuscode.
• Zweck: Sicherheitsmonitoring, Abwehr von Angriffen, Fehleranalyse.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren Betrieb).
• Speicherdauer: 30 Tage, danach Löschung bzw. Anonymisierung der IP. Bei konkreten Sicherheitsvorfällen ggf. längere Aufbewahrung bis zur Klärung.

2.4 Cookies und Local Storage

Folgende Cookies werden gesetzt:

• DYNATECH_SID (Session-Cookie): technisch notwendig, speichert den Login-Status. Wird beim Schließen des Browsers bzw. nach Logout gelöscht.
• CSRF-Token: technisch notwendig zur Absicherung gegen Cross-Site-Request-Forgery, wird in der Server-Session gehalten und nicht an den Browser als eigenständiges Cookie ausgeliefert.

Sämtliche Cookies sind technisch erforderlich im Sinne von § 25 Abs. 2 Nr. 2 TTDSG; eine gesonderte Einwilligung („Cookie-Banner") ist daher nicht erforderlich. Es werden keine Tracking-, Analyse- oder Marketing-Cookies eingesetzt.

2.5 Zahlungsdaten

• Daten: SKU des gekauften Produkts, Kaufbetrag, Währung, PayPal-Order-ID, Capture-ID, Capture-Zeitpunkt, Status. Wir erhalten keine Kontodaten, Kreditkartennummern oder PayPal-Zugangsdaten.
• Zweck: Vertragsabwicklung, Buchhaltung, Reklamationsbearbeitung.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, Art. 6 Abs. 1 lit. c DSGVO i. V. m. §§ 147 AO, 257 HGB.
• Speicherdauer: 10 Jahre ab Ende des Kaufjahres (steuerliche Aufbewahrungsfrist).

3. Empfänger und Auftragsverarbeiter

3.1 Hosting-Provider

Das Spiel wird auf Servern eines Hosting-Dienstleisters betrieben, der als Auftragsverarbeiter im Sinne von Art. 28 DSGVO tätig ist. Es besteht ein Auftragsverarbeitungsvertrag (AVV). TODO: Name und Sitz des Hosting-Providers hier eintragen, sobald die produktive Umgebung steht (z. B. „1&1 IONOS SE, Montabaur" oder „netcup GmbH, Nürnberg").

3.2 PayPal als Zahlungsdienstleister

Bei Bezahlung über PayPal werden die zur Zahlungsabwicklung erforderlichen Daten (Order-ID, Betrag, Währung, Zeitstempel, sowie ggf. von Ihrem PayPal-Konto stammende Daten) an folgenden Empfänger übermittelt:

PayPal (Europe) S.à r.l. et Cie, S.C.A.
22-24 Boulevard Royal
L-2449 Luxembourg
Datenschutzerklärung: paypal.com/de/legalhub/privacy-full

PayPal kann personenbezogene Daten im Rahmen seines globalen Konzernverbunds auch in Drittländer außerhalb der EU/des EWR — insbesondere in die USA — übermitteln. Ein angemessenes Datenschutzniveau wird über das EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023) und/oder über EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO sichergestellt. Rechtsgrundlage für die Übermittlung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) in Verbindung mit Art. 44 ff. DSGVO.

3.3 Weitere Empfänger

Eine Weitergabe Ihrer Daten an sonstige Dritte erfolgt nur, wenn dies zur Vertragserfüllung erforderlich ist, eine gesetzliche Verpflichtung besteht (z. B. gegenüber Finanzbehörden) oder Sie ausdrücklich eingewilligt haben.

4. Backups

Aus Gründen der Betriebssicherheit erstellt der Anbieter regelmäßig verschlüsselte Backups der Spieldatenbank. Backups werden für maximal 30 Tage aufbewahrt und anschließend automatisch überschrieben. Bei einer Löschung eines Spielerkontos werden die Daten aus den aktiven Datenbanken sofort entfernt und aus Backups spätestens nach Ablauf der Backup-Rotation gelöscht.

5. Speicherdauer im Überblick

• Spielerkonten und Spielstand: solange das Konto aktiv ist.
• Inaktive Konten: 24 Monate nach letztem Login, danach Löschung bzw. Anonymisierung — sofern keine Aufbewahrungspflicht entgegensteht.
• Server-Logs: 30 Tage.
• Backups: maximal 30 Tage rollierend.
• Kauf- und Buchhaltungsbelege: 10 Jahre nach Ende des Kaufjahres (§§ 147 AO, 257 HGB).

6. Ihre Rechte als betroffene Person

Sie haben jederzeit das Recht:

• auf Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO),
• auf Berichtigung unrichtiger Daten (Art. 16 DSGVO),
• auf Löschung Ihrer Daten (Art. 17 DSGVO), soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen,
• auf Einschränkung der Verarbeitung (Art. 18 DSGVO),
• auf Datenübertragbarkeit (Art. 20 DSGVO) — Sie erhalten Ihre Daten in einem strukturierten, gängigen, maschinenlesbaren Format,
• auf Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen (Art. 21 DSGVO),
• auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO). Zuständig ist insbesondere die Aufsichtsbehörde des Bundeslandes, in dem Sie wohnen.

Zur Ausübung Ihrer Rechte genügt eine formlose Mitteilung per E-Mail an Krahlheer@frozen-moment.de. Zur Identitätsprüfung kann der Anbieter zusätzliche Angaben anfordern.

7. Datensicherheit

Der Anbieter setzt technische und organisatorische Maßnahmen ein, um Ihre Daten gegen Verlust, Manipulation und unberechtigten Zugriff zu schützen:

• Passwörter werden ausschließlich gehasht mit modernen Verfahren gespeichert (PHP password_hash, bcrypt).
• Die Verbindung zwischen Browser und Server wird mittels TLS (HTTPS) verschlüsselt.
• Zugriffe auf die Datenbank erfolgen ausschließlich über vorbereitete Statements (Prepared Statements) zur Vermeidung von SQL-Injection.
• Sensible Operationen (z. B. Kaufabschluss, Konto­löschung) sind zusätzlich durch CSRF-Token abgesichert.

8. Keine automatisierte Entscheidungsfindung

Der Anbieter setzt keine automatisierten Entscheidungen einschließlich Profiling im Sinne von Art. 22 DSGVO ein, die rechtliche Wirkung für Sie entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen.

9. Änderungen dieser Datenschutzerklärung

Der Anbieter behält sich vor, diese Datenschutzerklärung zu aktualisieren, um sie an geänderte Rechtslagen oder Funktionen des Spiels anzupassen. Die jeweils aktuelle Fassung ist unter /legal.php?page=datenschutz abrufbar. Bei wesentlichen Änderungen werden registrierte Spieler per E-Mail oder im Spiel benachrichtigt.