Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze ist:

Florian Claßen
Lassallestraße 8
52477 Alsdorf
Deutschland
E-Mail: astroplays.help@gmail.com

2. Allgemeine Hinweise

Wir nehmen den Schutz deiner personenbezogenen Daten sehr ernst und verarbeiten diese ausschließlich auf Grundlage der geltenden datenschutzrechtlichen Vorschriften, insbesondere der DSGVO, des Bundesdatenschutzgesetzes (BDSG) und des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG). Diese Erklärung informiert dich darüber, welche Daten wir erheben, zu welchem Zweck und auf welcher Rechtsgrundlage wir sie verarbeiten sowie welche Rechte dir zustehen.

3. Hosting — Website (Vercel)

Die Website wird gehostet bei Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA. Bei jedem Aufruf werden durch Vercel automatisch Server-Protokolldaten erhoben: IP-Adresse des anfragenden Geräts (gekürzt/anonymisiert), Datum und Uhrzeit des Abrufs, aufgerufene URL und HTTP-Statuscode, übertragene Datenmenge sowie Browserinformationen (User-Agent). Diese Daten sind für den sicheren Betrieb technisch erforderlich. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Die Logs werden nach spätestens 30 Tagen automatisch gelöscht. Mit Vercel besteht ein Datenverarbeitungsvertrag (DPA) gemäß Art. 28 DSGVO; für Übertragungen in die USA stützen wir uns auf die Standardvertragsklauseln der EU-Kommission (Art. 46 Abs. 2 lit. c DSGVO). Datenschutz Vercel →

Schriftarten (Fonts) werden lokal über next/font/google in das Projekt eingebunden: Die Font-Dateien werden bereits zum Build-Zeitpunkt heruntergeladen, im Quellcode-Repository (GitHub) hinterlegt und beim Aufruf der Website ausschließlich vom eigenen Server (Vercel) ausgeliefert. Zur Laufzeit findet keine Verbindung zu fonts.googleapis.com, fonts.gstatic.com oder anderen Google-Servern statt; es werden dabei keine Daten an Google übertragen.

4. Hosting — Datenbank (Neon) und Bot-Server (Hetzner)

Die Datenbank wird betrieben bei Neon Inc., 110 William St, New York, NY 10038, USA. Neon betreibt seine Datenbankserver in der EU (Frankfurt, AWS eu-central-1); es findet keine Übertragung personenbezogener Daten in die USA statt. Mit Neon besteht ein DPA gemäß Art. 28 DSGVO. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Datenschutz Neon →

Der Discord Bot wird auf Servern der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland betrieben. Die Server befinden sich in deutschen Rechenzentren; es findet keine Übertragung in Drittländer statt. Mit Hetzner besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.

Für den automatisierten Abruf eingehender Support-E-Mails wird ein Cron-Job eingesetzt, der in regelmäßigen Abständen über die Gmail API (Google LLC) neue E-Mails aus dem Support-Postfach ausliest und deren Inhalt — insbesondere Absender-E-Mail-Adresse, Name, Betreff und Nachrichteninhalt — in das interne Ticketsystem überführt, wo sie ausschließlich berechtigten Teammitgliedern im Admin-Dashboard angezeigt werden. Es werden keine personenbezogenen Daten an Dritte weitergegeben; die Verarbeitung erfolgt vollständig innerhalb der bestehenden Infrastruktur. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / vorvertragliche Maßnahmen). Weitere Informationen zur Gmail API finden sich in Abschnitt 7.

5. Login über Discord (OAuth2)

Zur Nutzung des Dashboards, des Bewerbungsformulars und des Bewertungssystems kannst du dich über Discord anmelden. Dabei werden folgende Daten von Discord an uns übermittelt und in unserer Datenbank bzw. in einem signierten Session-Cookie (JWT) gespeichert: Discord-Benutzer-ID (pseudonymisierter Identifikator), Discord-Benutzername und Anzeigename sowie Avatar-URL. Temporäre OAuth2-Zugriffstoken werden, sofern technisch benötigt, ausschließlich verschlüsselt im Cookie gespeichert (siehe Abschnitt 10) und nicht dauerhaft in der Datenbank abgelegt. Zusätzlich werden zur Dashboardverwaltung die Mitgliedschaft in verbundenen Discord-Servern sowie serverspezifische Einstellungen (Prefix, Sprache, aktivierte Module) erfasst. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Anbieter: Discord Inc., 444 De Haro Street, Suite 200, San Francisco, CA 94107, USA. Datenschutzerklärung Discord →

6. Bewerbungsformular

Beim Ausfüllen einer Bewerbung werden folgende Daten erhoben und verarbeitet: Name, Alter, E-Mail-Adresse (Pflichtangabe), Telefonnummer (freiwillig), Discord-ID, Discord-Nutzername, Avatar, Erstellungsdatum des Discord-Accounts sowie Antworten auf Bewerbungsfragen. Diese Daten dienen ausschließlich der Bearbeitung und Verwaltung der Bewerbung. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Abgelehnte Bewerbungsdaten werden nach 3 Monaten gelöscht; bei angenommenen Bewerbern werden die Daten für die Dauer der Tätigkeit und 3 Jahre darüber hinaus aufbewahrt.

7. Ticketsystem (E-Mail via Gmail)

Wenn du uns per E-Mail kontaktierst oder ein Support-Ticket eröffnest, werden Absender-E-Mail-Adresse, Name, Betreff und Nachrichteninhalt gespeichert und einem Ticket mit einer eindeutigen Ticket-ID (z.B. APL-XXXX) zugeordnet. Die E-Mail-Verarbeitung erfolgt über die Gmail API (Google LLC), 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA. Mit Google besteht ein DPA gemäß Art. 28 DSGVO; für Übertragungen in die USA gelten die Standardvertragsklauseln. Ticket-Nachrichten werden nach Schließung des Tickets für 6 Monate aufbewahrt und anschließend gelöscht. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / vorvertragliche Maßnahmen).

8. Zahlungsabwicklung (Stripe & PayPal)

Alle Zahlungen werden über Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Dublin 2, Irland, und/oder PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxemburg, abgewickelt. Bei einem Kauf übermittelst du deine Zahlungsdaten direkt an den jeweiligen Anbieter; wir erhalten zu keinem Zeitpunkt vollständige Kreditkarten- oder Bankdaten. Wir speichern lediglich eine pseudonymisierte Kunden-ID zur Zuordnung von Käufen, den Transaktionsbetrag, das Datum und die gebuchte Leistung sowie deine E-Mail-Adresse zur Ausstellung von Belegen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Buchführungspflicht). Rechnungsdaten werden gemäß § 147 AO für 10 Jahre aufbewahrt. Datenschutz Stripe → Datenschutz PayPal →

9. Transaktions-E-Mails

Im Rahmen des Kaufvorgangs und der Abonnementverwaltung versenden wir E-Mails mit Kaufbestätigungen sowie bei Bedarf Hinweisen zu Preisänderungen oder Abo-Verlängerungen. Dazu wird deine E-Mail-Adresse gespeichert und verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Werbliche E-Mails werden ohne gesonderte Einwilligung nicht versendet.

10. Cookies und Session-Daten

Wir setzen ausschließlich technisch notwendige Cookies ein, die für den Betrieb der Website, die Discord-OAuth2-Anmeldung und die Aufrechterhaltung deiner Login-Session unbedingt erforderlich sind. Diese Cookies enthalten signierte Sitzungstoken (JWT) und dienen keinen Werbe- oder Tracking-Zwecken. Sie erfordern daher keine separate Einwilligung (§ 25 Abs. 2 Nr. 2 TDDDG). Wir verzichten vollständig auf Tracking, Analyse-Tools oder Werbe-Cookies.

Alle Session-Cookies (user_token, admin_token, apply_token, review_token, discord_access_token) sind kryptographisch signiert (JWT, HS256), als httpOnly markiert und damit für JavaScript nicht auslesbar. Sie werden ausschließlich zur Authentifizierung gegenüber unserem eigenen System verwendet.

11. IP-Adressen und Sperren (Bans)

AstroPlays speichert grundsätzlich keine IP-Adressen und führt kein allgemeines IP-basiertes Protokoll von Nutzerhandlungen, Käufen oder Rechtsdokument-Bestätigungen.

Im Rahmen der Discord-OAuth2-Anmeldung (Abschnitte 5–7) wird die IP-Adresse des anfragenden Geräts an eine interne Schnittstelle übermittelt, um zu prüfen, ob für die jeweilige Discord-ID, den Nutzernamen oder die IP-Adresse eine Sperre (Ban) besteht. Liegt keine Sperre vor, wird die IP-Adresse nicht gespeichert. Wird im Zuge dieser Prüfung eine Sperre gegen einen Nutzer ausgesprochen, kann die zu diesem Zeitpunkt verwendete IP-Adresse zusammen mit der Discord-ID und dem Nutzernamen gespeichert werden, um die Sperre technisch durchzusetzen und Umgehungsversuche (z.B. über neue Accounts) zu erkennen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verhinderung von Missbrauch und der Durchsetzung von Kontosperren).

Gespeicherte IP-Adressen im Zusammenhang mit Sperren werden gelöscht, sobald die Sperre aufgehoben wird bzw. spätestens nach Ablauf der jeweiligen Sperrdauer, sofern keine fortbestehenden Missbrauchsgründe vorliegen.

Server-Protokolldaten unseres Hosting-Anbieters Vercel können technisch bedingt IP-Adressen enthalten; hierzu siehe Abschnitt 3.

12. Bewertungen (Reviews)

Freiwillig abgegebene Bewertungen werden gespeichert mit Discord-ID, Benutzername, Avatar, Bewertungszahl und Bewertungstext. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Bewertungen werden auf Anfrage gelöscht.

13. Social Media & Influencer-Marketing

AstroPlays betreibt Präsenzen auf Instagram, TikTok, YouTube und Twitch. Die Verarbeitung personenbezogener Daten im Rahmen dieser Plattformen erfolgt nach deren jeweiligen Datenschutzbestimmungen; wir haben keinen Einfluss auf die Datenverarbeitung durch diese Plattformbetreiber. Im Rahmen von bezahlten Kooperationen mit Streamern und Content Creatorn werden Name, Kontaktdaten und Zahlungsinformationen der Kooperationspartner zur Vertragserfüllung verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

14. Weitergabe von Daten an Dritte

Eine Weitergabe personenbezogener Daten an Dritte erfolgt ausschließlich an Stripe und PayPal zur Abwicklung von Zahlungen (siehe Abschnitt 8), an Vercel, Neon und Hetzner als technische Infrastrukturanbieter (siehe Abschnitte 3–4) sowie an Google (Gmail API) für das Ticketsystem und den automatisierten E-Mail-Abruf (siehe Abschnitte 4 und 7). Eine Weitergabe zu Marketingzwecken, an Datenhändler oder sonstige Dritte findet nicht statt. Behörden erhalten Daten nur auf gesetzlicher Grundlage (z.B. richterliche Anordnung).

15. Speicherdauer

Personenbezogene Daten werden nur so lange gespeichert, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Im Einzelnen gelten folgende Fristen: Dashboard- und Bot-Daten bis zur Löschung auf Verlangen; Bewerbungsdaten abgelehnter Bewerber für 3 Monate, bei angenommenen Bewerbern für die Dauer der Tätigkeit zzgl. 3 Jahre; Ticket-Nachrichten für 6 Monate nach Schließung; Rechnungs- und Transaktionsdaten für 10 Jahre gemäß § 147 AO; Server-Protokolldaten (Vercel) für maximal 30 Tage; Session-Cookies gemäß der in Abschnitt 10 genannten Speicherdauern; IP-Adressen im Zusammenhang mit Sperren gemäß Abschnitt 11; Bewertungen bis zur Löschung auf Anfrage.

16. Minderjährige

Die kostenlose Nutzung des Discord Bots und der Website ist Nutzern ab 16 Jahren möglich (Mindestalter für eine eigenständige Einwilligung nach Art. 8 DSGVO i.V.m. § 26 Abs. 1 BDSG). Für den Abschluss kostenpflichtiger Verträge (z.B. Premium-Abonnements) gilt zusätzlich die in den AGB (§ 3) geregelte Anforderung, dass Nutzer unter 18 Jahren entweder selbst über die nach §§ 106 ff. BGB erforderliche Geschäftsfähigkeit verfügen (z.B. durch einen Taschengeld-typischen Betrag) oder die ausdrückliche Zustimmung eines Erziehungsberechtigten besitzen müssen.

Eine technische Altersverifikation (z.B. per Ausweisdokument) findet nicht statt; wir verlassen uns auf die wahrheitsgemäße Angabe des Nutzers bzw. die Bestätigung im Rahmen des Bestellvorgangs. Sollten wir Kenntnis davon erlangen, dass ein Vertrag mit einer minderjährigen Person ohne die erforderliche Zustimmung eines Erziehungsberechtigten zustande gekommen ist, behalten wir uns vor, den Vertrag rückabzuwickeln. Erziehungsberechtigte können sich diesbezüglich oder bei Fragen zur Verarbeitung von Daten Minderjähriger unter astroplays.help@gmail.com an uns wenden.

17. Deine Rechte

Dir stehen gegenüber dem Verantwortlichen folgende Rechte bezüglich deiner personenbezogenen Daten zu: Auskunft (Art. 15 DSGVO) über gespeicherte Daten, Berichtigung (Art. 16 DSGVO) unrichtiger Daten, Löschung (Art. 17 DSGVO) soweit keine Aufbewahrungspflichten entgegenstehen, Einschränkung der Verarbeitung (Art. 18 DSGVO), Datenübertragbarkeit (Art. 20 DSGVO) in einem maschinenlesbaren Format sowie Widerspruch (Art. 21 DSGVO) gegen Verarbeitungen auf Basis des berechtigten Interesses. Zur Ausübung deiner Rechte wende dich per E-Mail an astroplays.help@gmail.com; wir bearbeiten Anfragen innerhalb von 30 Tagen.

Du hast außerdem das Recht, dich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren. Die zuständige Behörde richtet sich nach deinem Wohnsitz. Eine Liste aller Behörden findest du unter bfdi.bund.de.

18. Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte rechtliche Anforderungen oder neue Datenverarbeitungsvorgänge anzupassen. Das Datum der letzten Änderung ist im Footer dieser Seite angegeben. Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail informiert.