Datenschutzerklärung
Diese Datenschutzerklärung informiert dich gemäß Art. 13 und 14 der Datenschutz-Grundverordnung (DSGVO) darüber, welche personenbezogenen Daten beim Besuch und bei der Nutzung von Gothic Online – Untold Chapters (nachfolgend „das Forum") verarbeitet werden, zu welchen Zwecken, auf welcher Rechtsgrundlage und wie lange — und welche Rechte du hast. Kurz zusammengefasst: Das Forum ist ein nicht-kommerzielles Fan-Projekt, sämtliche Daten liegen auf Servern in der EU, es gibt keine Werbung, kein Tracking über Drittanbieter und keinen Verkauf von Daten.
1. Verantwortlicher
Georg Alexander Kraus
c/o Block Services
Stuttgarter Str. 106
70736 Fellbach, Deutschland
E-Mail: kontakt@gouc.de
Ein Datenschutzbeauftragter ist nicht bestellt, da keine gesetzliche Pflicht hierzu besteht (Art. 37 DSGVO, § 38 BDSG).
2. Grundsätze
- EU-Hosting: Webserver bei der Hetzner Online GmbH (Deutschland); Datenbank, Anmeldung und Datei-Speicher bei Supabase in der Region Frankfurt am Main (AWS eu-central-1).
- Datenminimierung: IP-Adressen werden in der Anwendung nicht im Klartext gespeichert, sondern — wo für die Missbrauchsabwehr nötig — ausschließlich als gesalzener Hash.
- Kein Werbe-Tracking: keine Werbenetzwerke, keine Drittanbieter-Analysedienste, keine Weitergabe zu Werbezwecken. Die Reichweitenmessung läuft über eine selbst betriebene, cookielose Software (siehe Ziffer 10).
- Kein Einwilligungs-Banner nötig: Es kommen ausschließlich technisch erforderliche Speicherungen auf deinem Endgerät zum Einsatz (§ 25 Abs. 2 Nr. 2 TDDDG, siehe Ziffer 9).
- Alles aus einer Hand: Schriftarten, Skripte und Videovorschauen liefern wir von unseren eigenen Servern aus — beim bloßen Besuch der Seiten baut dein Browser keine Verbindungen zu Drittanbietern auf (Ausnahmen nur dort, wo diese Erklärung es ausdrücklich beschreibt: Bot-Schutz bei der Registrierung und Videos nach Klick).
3. Hosting und Server-Logdateien
Beim Aufruf des Forums verarbeitet der Webserver technisch bedingt automatisch Verbindungsdaten: IP-Adresse, Datum und Uhrzeit des Zugriffs, aufgerufene Seite, übertragene Datenmenge, Referrer-URL sowie Browser-/Betriebssystem-Kennung (User-Agent). Diese Daten sind für die Auslieferung der Seiten, die Stabilität und die Abwehr von Angriffen erforderlich (Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse am sicheren Betrieb). Server-Logdateien werden nur so lange aufbewahrt, wie es für diese Zwecke erforderlich ist, und anschließend gelöscht. Hosting-Dienstleister: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland (Auftragsverarbeitung gemäß Art. 28 DSGVO).
4. Datenbank, Anmeldung und Datei-Speicher (Supabase)
Konten, Beiträge, Einstellungen und hochgeladene Bilder werden bei Supabase gespeichert und verarbeitet; der Betrieb für dieses Projekt erfolgt in der Region Frankfurt am Main, Deutschland (AWS eu-central-1). Anbieter: Supabase, Inc. (USA). Mit Supabase besteht ein Auftragsverarbeitungsvertrag (Data Processing Agreement); soweit im Ausnahmefall Daten außerhalb der EU/des EWR verarbeitet werden, geschieht dies auf Grundlage der EU-Standardvertragsklauseln (Art. 46 DSGVO).
5. Registrierung und Nutzerkonto
Für die aktive Teilnahme ist ein Konto erforderlich. Dabei werden verarbeitet: Benutzername, E-Mail-Adresse, Passwort (ausschließlich als kryptografischer Hash gespeichert) sowie optionale Profilangaben, die du selbst machst (z. B. Profilbild, Herkunft, Wahlspruch, Signatur, „Über mich", Rollenspiel-Charaktere). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung des Dienstes). Die Registrierung setzt ein Mindestalter von 16 Jahren voraus. Zur Bestätigung der E-Mail-Adresse und für Passwort-Zurücksetzungen versenden wir Transaktions-E-Mails (Absender: noreply@forum.gouc.de) über den E-Mail-Dienstleister Brevo (Sendinblue GmbH, Köpenicker Straße 126, 10179 Berlin, Deutschland — Auftragsverarbeitung). Optional kannst du dein Konto mit einer Zwei-Faktor-Authentifizierung (TOTP) absichern; dabei wird ein Geheimschlüssel für deine Authenticator-App hinterlegt.
Unbestätigte Konten werden nach 7 Tagen automatisch gelöscht.
6. Foren-Inhalte und Öffentlichkeit
Beiträge, Themen, Aushänge am Schwarzen Brett, Wiki-Artikel, Pinnwand-Einträge, Reaktionen sowie dein Profil (Benutzername, Profilbild, öffentliche Profilangaben, Spiel-Ranglisten) sind für andere Nutzer — teils auch für nicht angemeldete Besucher — öffentlich sichtbar. Überlege daher, welche Informationen du in Beiträgen und im Profil preisgibst. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Hochgeladene Bilder werden serverseitig neu kodiert; dabei werden Metadaten (z. B. EXIF-Standortdaten) entfernt.
Beim Löschen deines Kontos werden deine Beiträge anonymisiert (Verfasser: „gelöschter Nutzer"), damit Diskussionen für die Gemeinschaft lesbar bleiben; alle persönlichen Konto- und Profildaten werden gelöscht (Einzelheiten in Ziffer 14).
7. Private Nachrichten und Support
Private Konversationen und Support-Tickets (samt privater Anhänge) sind nur für die Beteiligten und — soweit zur Bearbeitung nötig — für das Team einsehbar. Wie bei jedem Forensystem gilt: Inhalte liegen unverschlüsselt in der Datenbank und sind damit für Administratoren technisch zugänglich; eine Ende-zu-Ende-Verschlüsselung besteht nicht. Bitte verschicke über das Forum keine sensiblen Daten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
8. Sicherheits- und Missbrauchsabwehr
Zur Abwehr von Spam, automatisierten Angriffen und Mehrfach-Missbrauch verarbeiten wir Sicherheitsdaten (Zeitpunkte von Anmeldungen und Fehlversuchen, Rate-Limit-Zähler, Audit-Protokolle von Verwaltungsaktionen). IP-Adressen fließen dabei ausschließlich als gesalzener Hash ein. Rate-Limit-Daten werden nach spätestens 24 Stunden gelöscht, Audit-Protokolle nach etwa zwei Jahren. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Schutz des Dienstes und seiner Nutzer).
9. Speicherung auf deinem Endgerät (§ 25 TDDDG)
Das Forum verwendet keine Werbe- oder Tracking-Cookies. Auf deinem Endgerät (localStorage) werden ausschließlich technisch erforderliche Informationen gespeichert, für die nach § 25 Abs. 2 Nr. 2 TDDDG keine Einwilligung erforderlich ist:
- Anmelde-Sitzung (Login-Token), solange du angemeldet bist;
- deine Darstellungs- und Spiel-Einstellungen;
- Beitrags-Entwürfe, damit beim Schreiben nichts verloren geht;
- Lese-Markierungen („welche Themen habe ich schon gelesen");
- ein lokaler Zwischenstand des Erzklicker-Minispiels.
Diese Einträge verbleiben in deinem Browser, werden nicht an Dritte übermittelt und können jederzeit über die Browserfunktionen gelöscht werden (Abmelden entfernt die Sitzung).
10. Reichweitenmessung (selbst betriebenes Umami)
Zur anonymen Reichweitenmessung setzen wir die Open-Source-Software Umami ein — selbst betrieben auf unserer eigenen Infrastruktur (stats.gouc.de). Umami arbeitet ohne Cookies und ohne Speicherung von Informationen auf deinem Endgerät; erhoben werden ausschließlich aggregierte, anonymisierte Nutzungsdaten (aufgerufene Seiten, Referrer, Browser-/Gerätetyp, Land). IP-Adressen werden nicht gespeichert. Eine Übermittlung an Dritte findet nicht statt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der bedarfsgerechten Verbesserung des Angebots). Du kannst dieser Verarbeitung jederzeit formlos per E-Mail widersprechen.
11. Bot-Schutz bei der Registrierung (Cloudflare Turnstile)
Auf der Registrierungsseite setzen wir Cloudflare Turnstile ein, um automatisierte Anmeldungen (Bots/Spam) abzuwehren. Dabei stellt dein Browser eine Verbindung zu Servern von Cloudflare her (Cloudflare, Inc., 101 Townsend St, San Francisco, USA); verarbeitet werden dabei u. a. IP-Adresse und technische Browser-Merkmale zur Bot-Erkennung. Cloudflare ist unter dem EU-U.S. Data Privacy Framework zertifiziert; ergänzend bestehen EU-Standardvertragsklauseln. Turnstile wird ausschließlich auf der Registrierungsseite geladen — nicht beim normalen Besuch des Forums. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Schutz vor Missbrauch).
12. Freiwillige Discord-Verknüpfung
Du kannst dein Forum-Konto freiwillig mit deinem Discord-Konto verknüpfen (Einstellungen → Discord). Dabei wird über das OAuth-Verfahren von Discord ausschließlich deine Discord-Kennung und dein Discord-Anzeigename an uns übermittelt (Berechtigung „identify" — kein Zugriff auf deine Nachrichten oder Freundesliste). Nach der Verknüpfung gleicht unser Bot „Mud" deine Forum-Rollen mit den gleichnamigen Rollen auf unserem Discord-Server ab (in beide Richtungen). Anbieter: Discord Netherlands B.V. bzw. Discord, Inc., 444 De Haro Street, San Francisco, USA; für die Verarbeitung durch Discord selbst gilt die Datenschutzerklärung von Discord. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch die aktive Verknüpfung). Du kannst die Verknüpfung jederzeit in den Einstellungen lösen (Widerruf mit Wirkung für die Zukunft); dabei werden Discord-Kennung und -Name bei uns gelöscht.
13. Externe Videos und Links (YouTube)
Videos binden wir zurückhaltend ein: Der Trailer auf der Startseite wird erst nach deinem Klick geladen (Zwei-Klick-Prinzip) und dann über die datenschutzfreundliche Domain „youtube-nocookie.com" abgespielt; erst mit dem Klick werden Daten (u. a. deine IP-Adresse) an Google/YouTube (Google Ireland Ltd., Dublin) übertragen. Übrige Videohinweise sind reine Links, die sich in einem neuen Tab öffnen. Rechtsgrundlage für das Abspielen: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch den Klick).
14. Speicherdauern im Überblick
- Konto- und Profildaten: bis zur Löschung deines Kontos;
- unbestätigte Konten: automatische Löschung nach 7 Tagen;
- gelöschte Inhalte (Papierkorb): endgültige Entfernung nach 30 Tagen;
- gelesene Benachrichtigungen: Löschung nach 90 Tagen;
- Rate-Limit-/Anti-Missbrauchs-Daten: Löschung nach 24 Stunden;
- Audit-Protokolle: Löschung nach etwa 730 Tagen;
- Server-Logdateien: nur solange für Betrieb und Sicherheit erforderlich.
15. Deine Rechte
Dir stehen die Rechte aus Art. 15–21 DSGVO zu: Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen. Erteilte Einwilligungen kannst du jederzeit mit Wirkung für die Zukunft widerrufen.
Vieles davon kannst du direkt selbst erledigen — unter Einstellungen → Privatsphäre:
- Datenexport: lädt alle zu deinem Konto gespeicherten Daten als maschinenlesbare JSON-Datei herunter (Art. 15/20 DSGVO);
- Konto löschen: entfernt dein Konto und alle persönlichen Daten endgültig; Beiträge werden anonymisiert (Art. 17 DSGVO);
- Berichtigung: Profil- und Kontodaten kannst du jederzeit selbst ändern (Art. 16 DSGVO).
Für alle weiteren Anliegen genügt eine formlose E-Mail an kontakt@gouc.de. Außerdem hast du das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO) — etwa bei der für den Verantwortlichen zuständigen Behörde: Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Lautenschlagerstraße 20, 70173 Stuttgart.
16. Datensicherheit
Alle Verbindungen sind TLS-verschlüsselt (HTTPS). Passwörter werden ausschließlich als kryptografische Hashes gespeichert. Der Zugriff auf Daten ist durch Berechtigungsregeln auf Datenbank-Ebene (Row-Level-Security) beschränkt; Verwaltungszugänge des Teams sind durch Zwei-Faktor-Authentifizierung geschützt, und Verwaltungsaktionen werden protokolliert.
17. Änderungen dieser Erklärung
Wir passen diese Datenschutzerklärung an, wenn sich das Forum oder die Rechtslage ändert. Es gilt die jeweils hier veröffentlichte Fassung.
Stand: 11. Juli 2026
