Datenschutzerklärung

Stand: 10. Mai 2026

Wir nehmen den Schutz Ihrer personenbezogenen Daten sehr ernst und behandeln Ihre Daten vertraulich sowie entsprechend der gesetzlichen Datenschutzvorschriften (insbesondere DSGVO und BDSG) sowie dieser Datenschutzerklärung.

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website im Sinne der DSGVO ist:

Weitere Angaben finden Sie in unserem Impressum.

2. Verarbeitete Daten

Wir verarbeiten personenbezogene Daten nur, soweit dies für die Bereitstellung des Dienstes oder aufgrund einer gesetzlichen Verpflichtung erforderlich ist.

2.1 Bei Registrierung und Account-Nutzung

• E-Mail-Adresse (Pflichtangabe für Registrierung und Login)
• Passwort (gehasht gespeichert, niemals im Klartext)
• Profildaten: Anzeigename, Geschlecht, Altersbestätigung (18+)
• Profilbild bzw. hochgeladene Battle-Fotos
• Battle-Historie, Bewertungen, Statistiken (Wins/Losses, ELO-Score)

2.2 Bei Nutzung der Battle-Funktion

• Live-Video-Stream während des Battles (wird nicht dauerhaft gespeichert)
• Während des Countdowns aufgenommene Foto-Schnappschüsse (zur AI-Bewertung)
• Generierte AI-Bewertungen (Subscores, Gesamt-Rating, Begründungstexte)

2.3 Bei Premium-Abonnement

• Zahlungsdaten werden ausschließlich vom Zahlungsdienstleister Paddle (siehe unten) verarbeitet, nicht von uns gespeichert
• Subscription-Status, Abrechnungszeitraum, Paddle-Customer-ID (zur Zuordnung)

2.4 Server-Logs (technisch erforderlich)

• IP-Adresse (gekürzt/anonymisiert nach 7 Tagen)
• Datum und Uhrzeit der Anfrage
• User-Agent (Browser, Betriebssystem)
• Referrer-URL

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Bereitstellung und Sicherheit des Dienstes).

3. Cookies und ähnliche Technologien

Wir setzen technisch notwendige Cookies ein, um die Grundfunktionen der Plattform bereitstellen zu können (z. B. Login-Session, CSRF-Schutz). Diese Cookies sind für den Betrieb erforderlich und können nicht deaktiviert werden, ohne den Dienst funktionsunfähig zu machen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. § 25 Abs. 2 Nr. 2 TTDSG (unbedingt erforderlich).

Sofern wir in Zukunft Analyse- oder Marketing-Cookies einsetzen, werden wir hierfür vorab Ihre ausdrückliche Einwilligung über ein Cookie-Banner einholen (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TTDSG).

4. Drittanbieter und Auftragsverarbeitung

Für den Betrieb der Plattform setzen wir folgende Dienstleister ein. Mit allen Auftragsverarbeitern haben wir Verträge gemäß Art. 28 DSGVO geschlossen. Wo erforderlich, basiert die Übermittlung in Drittländer auf den Standardvertragsklauseln (SCC) der EU-Kommission.

4.1 Supabase (Hosting, Datenbank, Authentifizierung)

Anbieter: Supabase, Inc. Wir nutzen die EU-Region (Frankfurt, Deutschland), sodass Ihre Daten ausschließlich innerhalb der EU verarbeitet werden. Verarbeitete Daten: alle in Abschnitt 2 genannten Account- und Battle-Daten.
Zwecke: Datenbank, Authentifizierung, Storage für Bilder, Realtime-Funktionen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

4.2 Anthropic (AI-Bewertung)

Anbieter: Anthropic, PBC, San Francisco, USA. Wir übermitteln die während des Battles aufgenommenen Foto-Schnappschüsse an die Claude-API zur Erstellung der AI-Bewertung. Die Bilder werden von Anthropic gemäß deren Datenschutzrichtlinien nicht zum Training verwendet (Enterprise-Vertrag/Zero-Retention).
Zweck: Generierung der KI-Bewertung (Rating, Subscores, Begründung).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Drittlandtransfer: USA, abgesichert durch Standardvertragsklauseln (SCC).

4.3 Hive AI (Content-Moderation)

Anbieter: Hive Technology, Inc., San Francisco, USA. Hochgeladene Bilder werden vor der Veröffentlichung automatisiert auf NSFW-Inhalte, Gewalt und andere unzulässige Inhalte geprüft. Bei einer Erkennung wird das Bild abgelehnt.
Zweck: Content-Moderation, Schutz anderer Nutzer und der Plattform.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren Plattform).
Drittlandtransfer: USA, abgesichert durch Standardvertragsklauseln (SCC).

4.4 LiveKit (Live-Video-Übertragung)

Anbieter: LiveKit, Inc., USA. LiveKit übernimmt die Echtzeit-Video-Übertragung (WebRTC) während eines Battles. Die Video-Streams werden Peer-to-Peer bzw. über LiveKit-Server geleitet und nicht dauerhaft gespeichert.
Zweck: Live-Video-Übertragung zwischen den Battle-Teilnehmern.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Drittlandtransfer: USA, abgesichert durch Standardvertragsklauseln (SCC). Wir bevorzugen die EU-Region, soweit verfügbar.

4.5 Paddle (Zahlungsabwicklung)

Anbieter: Paddle.com Market Limited, London, UK. Paddle agiert als Merchant of Record und übernimmt die gesamte Zahlungsabwicklung inklusive Steuerabführung. Wir erhalten von Paddle keine vollständigen Zahlungsdaten (Kreditkartennummern etc.), sondern lediglich eine Customer-ID und den Subscription-Status.
Zweck: Abwicklung von Premium-Zahlungen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Drittlandtransfer: Vereinigtes Königreich (UK), Angemessenheitsbeschluss der EU-Kommission liegt vor.

4.6 Upstash (Rate-Limiting, Caching)

Anbieter: Upstash, Inc. Wir nutzen Upstash Redis (EU-Region) für Rate-Limiting und Caching. Es werden ausschließlich pseudonymisierte Identifikatoren (User-IDs, IP-Hashes) für kurze Zeit gespeichert.
Zweck: Schutz vor Missbrauch, Rate-Limiting.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

4.7 Sentry (Fehler-Monitoring)

Anbieter: Functional Software, Inc. dba Sentry, USA. Sentry erfasst technische Fehler und Stack-Traces zur Behebung von Bugs. Personenbezogene Daten werden nach Möglichkeit ausgefiltert (PII-Scrubbing).
Zweck: Fehleranalyse und Stabilität des Dienstes.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
Drittlandtransfer: USA, abgesichert durch Standardvertragsklauseln (SCC).

5. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

• Account-Daten: bis zur Löschung des Accounts durch den Nutzer
• Battle-Fotos: 90 Tage nach dem Battle, anschließend automatische Löschung
• Battle-Historie (anonymisiert): bis zur Account-Löschung
• Server-Logs: 7 Tage, danach Anonymisierung
• Rechnungsdaten (über Paddle): 10 Jahre (handelsrechtliche Aufbewahrungspflicht nach § 257 HGB / § 147 AO)

6. Ihre Rechte als Betroffener

Nach DSGVO stehen Ihnen folgende Rechte zu:

• Auskunft (Art. 15 DSGVO): Sie können jederzeit Auskunft über die zu Ihrer Person gespeicherten Daten verlangen.
• Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
• Löschung (Art. 17 DSGVO, „Recht auf Vergessenwerden“): Sie können die Löschung Ihrer Daten verlangen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Eine vollständige Account-Löschung ist über Ihre Profileinstellungen jederzeit möglich.
• Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung verlangen.
• Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem maschinenlesbaren Format (JSON-Export) erhalten. Diese Funktion finden Sie in Ihren Profileinstellungen.
• Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten, die auf Art. 6 Abs. 1 lit. f DSGVO gestützt ist, jederzeit widersprechen.
• Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO): Erteilte Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen.
• Beschwerde bei der Aufsichtsbehörde (Art. 77 DSGVO): Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, insbesondere im Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts oder des Orts des mutmaßlichen Verstoßes.

7. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um Ihre Daten vor unbefugtem Zugriff, Verlust oder Manipulation zu schützen. Hierzu zählen unter anderem TLS-Verschlüsselung (HTTPS), gehashte Passwörter (bcrypt/argon2), Zugriffskontrollen via Row-Level-Security in der Datenbank sowie regelmäßige Sicherheits-Audits.

8. Automatisierte Entscheidungsfindung / Profiling

Die KI-basierte Bewertung der Battle-Fotos stellt eine automatisierte Verarbeitung dar. Diese Bewertung erzeugt jedoch keine rechtlichen oder ähnlich erheblichen Wirkungen im Sinne von Art. 22 DSGVO, sondern dient ausschließlich der Unterhaltung. Die Teilnahme an Battles erfolgt freiwillig.

9. Kontakt zum Datenschutz

Bei Fragen zum Datenschutz oder zur Wahrnehmung Ihrer Rechte kontaktieren Sie uns bitte unter:

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn rechtliche Vorgaben oder Funktionen der Plattform dies erforderlich machen. Die jeweils aktuelle Version finden Sie stets auf dieser Seite.

Hinweis: Diese Datenschutzerklärung ist ein Muster und muss vor dem Launch zwingend von einem auf Datenschutz spezialisierten Rechtsanwalt geprüft und an die konkrete Geschäftstätigkeit angepasst werden.