Datenschutz

Verantwortlicher

Verantwortlich für die Datenverarbeitung auf PlayAro ist Paul-Christian Heller, Listerstr. 24, 57489 Drolshagen, Deutschland.

Kontakt: info@playaro.gg.

Datenschutzbeauftragter

Es ist kein Datenschutzbeauftragter benannt. Datenschutzanfragen können an info@playaro.gg gerichtet werden.

Zwecke und Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten, um Discord-Login, Quest-Annahme, Proof-Einreichung, manuelles Admin-Review, Guthabenführung, Auszahlung, Missbrauchsschutz und den Betrieb des Admin-Panels bereitzustellen.

Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO für Teilnahme, Quest-Abwicklung und Auszahlungen, Art. 6 Abs. 1 lit. f DSGVO für Sicherheit, Missbrauchsschutz, Admin-Audit und technischen Betrieb sowie Art. 6 Abs. 1 lit. c DSGVO, soweit gesetzliche Aufbewahrungs- oder Nachweispflichten bestehen. Freiwillige Zusatzfunktionen wie öffentliche Profile oder Featured-Streamer-Daten beruhen auf Einwilligung oder freiwilliger Aktivierung.

Hosting und Server-Logs

PlayAro wird auf Serverinfrastruktur der Hetzner Online GmbH betrieben. Für den technischen Betrieb können Server-Logdaten verarbeitet werden, insbesondere IP-Adresse, Zeitpunkt, angefragte URL, Referrer soweit übermittelt, User-Agent, HTTP-Status und übertragene Datenmenge.

Die Verarbeitung dient der Auslieferung der Website, Stabilität, Fehleranalyse, Missbrauchserkennung und Sicherheit. Logdaten werden nur so lange gespeichert, wie sie für diese Zwecke erforderlich sind.

Discord-Login und Bot-Nutzung

Bei der Nutzung über Discord verarbeiten wir Discord-ID, Discord-Username, Avatar-Informationen, Server-Interaktionen, Slash-Command-Daten, Rollen-/Channel-Zuordnungen, Quest-Status und Discord-Nachrichten, soweit diese für Bot-Funktionen und Proof-Räume erforderlich sind.

Discord ist ein externer Dienst. Für die Nutzung von Discord gelten zusätzlich die Datenschutz- und Nutzungsbedingungen von Discord.

Game-Profile, Quests und Proofs

Wir speichern Ingame-Namen pro Spiel, Quest-Annahmen, Quest-Fristen, Einreichungsstatus, Review-Entscheidungen, Admin-Notizen, erwartete Ingame-Namen und Proof-Metadaten.

Proof-Bilder werden gespeichert, damit Quest-Nachweise manuell geprüft, Duplicate- oder Missbrauchsfälle erkannt und Review-Entscheidungen nachvollzogen werden können. Die Proof-Dateien werden serverseitig gespeichert und sind nur für berechtigte Admins zugänglich.

Guthaben und Payouts

Für Guthaben und Auszahlungen verarbeiten wir Reward-Beträge, Wochenlimits, Ledger-Einträge, Payout-Status, Zeitpunkte, externe Zahlungsreferenzen, Admin-Entscheidungen und die für die Auszahlung angegebene PayPal-Mailadresse.

Die PayPal-Mailadresse wird bis zur manuellen Auszahlung verschlüsselt gespeichert und nur berechtigten Admins angezeigt. Nach Markierung als bezahlt wird die PayPal-Mailadresse aus der aktiven Datenbank gelöscht. Bei einer Auszahlung werden die erforderlichen Zahlungsdaten an PayPal übermittelt.

Alter und steuerliche Hinweise

Bezahlte Quests und Auszahlungen sind nur ab 18 Jahren erlaubt. Steuer-ID, Anschrift oder Geburtsdatum werden im aktuellen Betrieb nicht standardmäßig erhoben.

Auszahlungen können steuerlich relevant sein. Jede teilnehmende Person ist selbst dafür verantwortlich, Einnahmen korrekt zu erklären und zu versteuern. Sollten gesetzliche Steuer-, Melde- oder Aufbewahrungspflichten zusätzliche Angaben erfordern, werden Hinweise und Abläufe vor der Erhebung angepasst.

Admin-Login, Sessions und Auditlogs

Für den Admin-Login verarbeiten wir Discord-ID, Discord-Username, Admin-Rolle, Session-Token-Hash, CSRF-Token, Login-/Logout-Zeitpunkte, letzte Aktivität und den aktuellen Admin-Pfad.

Admin-Aktionen wie Proof-Ansicht, Proof-Annahme, Quest-Änderung, Payout-Freigabe, Payout-Ziel-Anzeige oder User-Verwaltung werden in Auditlogs dokumentiert, damit sicherheitsrelevante Aktionen nachvollziehbar bleiben.

Keine automatisierte Entscheidung

Quest-Proofs, Ablehnungen, Sperren und Auszahlungen werden nicht ausschließlich automatisiert entschieden. Der Review erfolgt durch berechtigte Admins.

Twitch

Wenn ein Twitch-Profil im Admin-Panel für einen User hinterlegt wird, speichern wir den Twitch-Channel und rufen öffentliche Live-Stream-Daten über die Twitch API ab. Der Twitch-Player wird auf der Website erst nach Klick geladen.

Cookies und lokale Speicherung

PlayAro verwendet im Admin-Bereich technisch notwendige Session- und CSRF-Cookies. Diese sind erforderlich, um Admin-Login, Sicherheit und Formularschutz bereitzustellen.

Es werden im aktuellen Betrieb keine Analytics-, Marketing- oder Tracking-Cookies eingesetzt. Soweit technisch notwendige Informationen auf dem Endgerät gespeichert oder ausgelesen werden, erfolgt dies nach § 25 Abs. 2 TDDDG, weil sie für den gewünschten Dienst erforderlich sind.

Empfänger und Dienstleister

Zugriff auf personenbezogene Daten erhalten nur berechtigte Admins, soweit dies für Review, Auszahlung, Support, Missbrauchsschutz oder Betrieb erforderlich ist.

Externe Empfänger oder Dienstleister können insbesondere Hetzner Online GmbH für Hosting und Serverbetrieb, Discord für Login, Bot- und Proof-Räume, PayPal bei Auszahlungen sowie Twitch bei aktivierten Streamer-Funktionen sein. Eine Weitergabe an weitere Dritte erfolgt nur, wenn sie für den Betrieb erforderlich ist, eine gesetzliche Pflicht besteht oder eine Einwilligung vorliegt.

Drittlandübermittlungen

Bei externen Diensten wie Discord, PayPal und Twitch kann eine Verarbeitung außerhalb der EU oder des Europäischen Wirtschaftsraums stattfinden. Soweit dies geschieht, erfolgt die Übermittlung nach den vom jeweiligen Anbieter beschriebenen Garantien, zum Beispiel Angemessenheitsbeschlüssen oder EU-Standardvertragsklauseln.

Für diese externen Dienste gelten zusätzlich die Datenschutzinformationen der jeweiligen Anbieter.

Speicherdauer

Admin-Auditlogs werden regulär bis zu 90 Tage gespeichert. Admin-Sessions laufen nach spätestens 7 Tagen ab und können bei Inaktivität früher ungültig werden.

Proofs, Payout-Statusdaten, Ledger-Historie, Quest- und Review-Daten werden so lange gespeichert, wie sie für Review, Missbrauchsschutz, Auszahlung, Nachweisführung und gesetzliche Aufbewahrungspflichten erforderlich sind. PayPal-Mailadressen werden nach bezahlter Auszahlung gelöscht; soweit weitere Daten nicht mehr benötigt werden, werden sie gelöscht oder anonymisiert.

Betroffenenrechte

Betroffene Personen haben nach Maßgabe der DSGVO Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch gegen bestimmte Verarbeitungen.

Soweit eine Verarbeitung auf Einwilligung beruht, kann diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen werden. Anfragen können an info@playaro.gg gerichtet werden. Außerdem besteht ein Beschwerderecht bei einer Datenschutzaufsichtsbehörde.

Zuständige Aufsichtsbehörde

Für Nordrhein-Westfalen ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen zuständig, Kavalleriestr. 2-4, 40213 Düsseldorf, E-Mail: poststelle@ldi.nrw.de, Website: www.ldi.nrw.de.