Datenschutzerklärung

§ 1 Geltungsbereich

Diese Datenschutzerklärung gilt für alle Webseiten des Projekts PcoreLife:

• pandocore.de — diese Informationsseite. Keine Verarbeitung personenbezogener Daten außer technischer Server-Log-Daten (siehe §3).
• pcore.de (Root) und produktive Subdomains life.pcore.de (Spieler-Portal) sowie rage.pcore.de (Alpha-Game-Server-Webseite) — Registrierung, Login, Profil und OAuth-Verknüpfung. Die Verarbeitung von Account-Daten und OAuth-Profilen erfolgt ausschließlich auf diesen produktiven Domains.
• git.pcore.de (Forgejo — selbst betriebenes Quellcode-/Git-Hosting) und cloud.pcore.de (Nextcloud — selbst betriebene Datei-Cloud) — eigenständige Dienste mit eigener Benutzerverwaltung. Eine öffentliche Registrierung ist deaktiviert; Accounts werden ausschließlich durch den Verantwortlichen angelegt. Verarbeitet werden Account-Stammdaten (Benutzername, E-Mail-Adresse, Passwort als kryptografischer Hash) sowie die von berechtigten Nutzern eingestellten Inhalte (Repositories bzw. Dateien).
• dev.pcore.de und webdev.pcore.de — Entwicklungs- und Test-Umgebungen. Diese sind nicht öffentlich verfügbar (Zugriff per Reverse-Proxy-Authentifizierung beschränkt). Hier wird in der Regel mit Test-Daten und Beispiel-Accounts gearbeitet; produktive Endnutzer-Daten werden auf diesen Umgebungen nicht erfasst.
• pcoresystems.com (Root) — Domain bei ALL-INKL.COM gehostet, aktuell ohne aktiven Inhalt.
• obs.pcoresystems.com — Stream-Overlay zur Einbettung in die OBS-Streaming-Software. Wird über einen Reverse-Proxy (Zoraxy) auf eigener Server-Infrastruktur in Frankreich (OVH) bereitgestellt. Der Pfad /admin ist durch HTTP-Basic-Authentifizierung geschützt und ausschließlich dem Verantwortlichen vorbehalten — es gibt keine Endnutzer-Accounts, keine Registrierungsmöglichkeit. Endnutzer-Zugriffe erfolgen ausschließlich passiv über die OBS-Browser-Source, die das Overlay als Bild-Layer in den Stream einbettet.

§ 2 Verantwortlicher im Sinne der DSGVO

pandocore – Andreas Schäfer
c/o Online-Impressum #8195
Europaring 90
53757 Sankt Augustin
Deutschland
E-Mail: info@pandocore.de

Ein Datenschutzbeauftragter ist gemäß Art. 37 DSGVO nicht erforderlich, da die Voraussetzungen (kerntätigkeitsbedingte regelmäßige und systematische Überwachung von Betroffenen) nicht vorliegen.

§ 3 Server-Log-Daten

Bei jedem Aufruf einer Webseite werden durch den Webserver automatisch technische Daten erfasst, die der Browser des Endnutzers übermittelt (typischerweise: IP-Adresse, Datum und Uhrzeit, aufgerufene URL, Referrer, User-Agent, HTTP-Status). Da die Webseiten dieses Geltungsbereichs auf unterschiedlichen Infrastrukturen betrieben werden, gelten unterschiedliche Verarbeitungsregeln.

3.1 pandocore.de und pcoresystems.com (Root) — Hosting bei ALL-INKL.COM

Die Domain pandocore.de sowie die Root-Domain pcoresystems.com (ohne Subdomain obs.) werden bei einem externen Webhosting-Anbieter betrieben:

ALL-INKL.COM – Neue Medien Münnich
Inhaber: René Münnich
Hauptstraße 68, 02742 Friedersdorf, Deutschland
Datenschutzerklärung: https://all-inkl.com/datenschutzinformationen/

ALL-INKL.COM tritt als Auftragsverarbeiter nach Art. 28 DSGVO auf. Welche Server-Log-Daten konkret erfasst werden, wie lange sie gespeichert bleiben und in welcher Form eine Anonymisierung erfolgt, regelt der Hosting-Anbieter in eigener Verantwortung. Der hier benannte Verantwortliche hat keinen direkten technischen Zugriff auf diese Logs.

Zweck (durch Auftragsverarbeiter): Sicherheit und Stabilität des Hosting-Betriebs, Angriffsabwehr, Fehlerdiagnose.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
Speicherdauer: nach Vorgabe von ALL-INKL.COM (siehe deren Datenschutzerklärung).

3.2 pcore.de + Subdomains und obs.pcoresystems.com — eigene Server-Infrastruktur

Diese Webseiten werden auf zwei Infrastruktur-Strängen betrieben:

• Eigene Hardware (Heim-Standort Deutschland) — für Entwicklungs- und Test-Subdomains dev.pcore.de und webdev.pcore.de. Die Hardware steht in der alleinigen Verfügungsgewalt des Verantwortlichen, kein Auftragsverarbeiter.
• Gemietete VPS bei OVH SAS, 2 rue Kellermann, 59100 Roubaix, Frankreich — Server-Standort innerhalb der Europäischen Union (Frankreich). Genutzt für die produktiven Subdomains life.pcore.de, rage.pcore.de, git.pcore.de, cloud.pcore.de sowie obs.pcoresystems.com. OVH tritt insoweit als Auftragsverarbeiter nach Art. 28 DSGVO auf (Standard-AVV von OVH). OVH-Datenschutzerklärung: ovhcloud.com/de/personal-data-protection.

Auf beiden Strängen werden folgende Server-Log-Daten erfasst:

• IP-Adresse
• Datum und Uhrzeit des Aufrufs
• Aufgerufene URL
• Referrer (zuvor besuchte Seite)
• User-Agent (Browser- und Betriebssystem-Kennung)
• HTTP-Status der Antwort

Zweck: Sicherheit und technische Stabilität des Webservers, Erkennung von Angriffen, Fehlerdiagnose.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
Speicherdauer: in der Regel 7 Tage, danach automatische Rotation durch das Logging-System; bei sicherheitsrelevanten Ereignissen länger zur Vorfallsanalyse.
Empfänger: keine Weitergabe an Dritte.

§ 4 Registrierung & Login

Dieser Abschnitt gilt ausschließlich für pcore.de und dessen Subdomains. Auf pandocore.de und pcoresystems.com findet keine Registrierung statt.

Zur Nutzung des Spieler-Portals ist eine Registrierung mit folgenden Daten erforderlich:

• E-Mail-Adresse (für Verifikation und Passwort-Reset)
• Spielername
• Passwort (gespeichert als kryptografischer Hash, niemals im Klartext)

Zweck: Account-Verwaltung, Anmeldung zum Spielserver, Wiederherstellung bei Passwort-Verlust.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Bereitstellung des Spielerportals).
Speicherdauer: Solange der Account aktiv ist, zuzüglich 30 Tage Löschfrist nach Account-Löschung.
Empfänger: keine Weitergabe an Dritte.

4.1 E-Mail-Versand (Verifikation, Passwort-Reset)

Verifikations-E-Mails, Passwort-Reset-E-Mails und vergleichbare transaktionale Nachrichten werden über den SMTP-Mail-Dienst von ALL-INKL.COM – Neue Medien Münnich (Hauptstraße 68, 02742 Friedersdorf, Deutschland) versendet. ALL-INKL.COM tritt insoweit als Auftragsverarbeiter nach Art. 28 DSGVO auf. Übertragen werden ausschließlich die für den Versand erforderlichen Felder: Empfänger-E-Mail-Adresse, Betreff, Nachrichten-Inhalt sowie Absenderdaten.

Zweck: Versand von Verifikations- und Passwort-Reset-Mails an registrierte Nutzer.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: Mailserver-Logs gemäß Vorgabe ALL-INKL.COM (siehe deren Datenschutzerklärung).

§ 5 OAuth-Verknüpfungen

Dieser Abschnitt gilt ausschließlich für pcore.de und dessen Subdomains. Die Verknüpfung mit einem oder mehreren OAuth-Anbietern ist freiwillig.

Im Profilbereich kann der Account optional mit externen Diensten verknüpft werden. Beim Klick auf einen "Verknüpfen"-Button erteilt der Nutzer seine ausdrückliche Einwilligung zur Datenübertragung. Die Verknüpfung kann jederzeit über den "Trennen"-Button im Profil widerrufen werden — die übermittelten Daten werden dann unverzüglich aus der Datenbank gelöscht.

Schnellregistrierung: Zusätzlich kann ein Account bei der Erstregistrierung direkt über Discord, Twitch oder Google angelegt werden ("Schnellregistrierung"). Vor dem Klick auf den OAuth-Button werden Serverregeln und diese Datenschutzerklärung über zwei Pflicht-Checkboxen explizit bestätigt. Die vom Provider übermittelten Profil-Daten sowie die E-Mail-Adresse werden anschließend als Account-Stammdaten dauerhaft gespeichert. Steam steht für die Schnellregistrierung nicht zur Verfügung, da Steam keine E-Mail-Adresse über die OpenID-Schnittstelle bereitstellt und damit keine Account-Recovery per E-Mail möglich wäre; Steam bleibt ausschließlich für die optionale Verknüpfung im Profil und den nachfolgenden Login per Steam verfügbar (siehe §5.2).

Rechtsgrundlage:

• OAuth-Verknüpfung im Profil: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
• OAuth-Schnellregistrierung: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Account-Stammdaten sind für Login, Wiedererkennung und ggf. Passwort-Reset erforderlich) in Verbindung mit Art. 6 Abs. 1 lit. a DSGVO (Einwilligung zur Datenübertragung vom Provider).

Verantwortlichkeit: Die nachfolgend genannten OAuth-Anbieter (Discord, Steam, Twitch, Google) sind für die Verarbeitung personenbezogener Daten im Rahmen ihrer eigenen Plattform eigenständig Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO. Wir verarbeiten von dort lediglich die für die Account-Verknüpfung bzw. Schnellregistrierung erforderlichen Daten in eigener Verantwortung.

Drittlandtransfer (USA): Die nachfolgend genannten Anbieter sind in den USA ansässig. Der Datentransfer erfolgt primär auf Grundlage des EU-US Data Privacy Frameworks (DPF), das die EU-Kommission am 10. Juli 2023 als angemessenen Schutz im Sinne von Art. 45 DSGVO bestätigt hat. Alle vier Anbieter sind DPF-zertifiziert. Sollte der DPF-Angemessenheitsbeschluss zukünftig gerichtlich aufgehoben werden, erfolgt der Datentransfer ergänzend auf Grundlage der EU-Standardvertragsklauseln (SCC, Art. 46 Abs. 2 lit. c DSGVO), die in den Datenverarbeitungsbedingungen der jeweiligen Anbieter als Standard enthalten sind.

5.1 Discord

Anbieter: Discord Inc., 444 De Haro Street, Suite 200, San Francisco, CA 94107, USA.

Geholte Daten (OAuth-Scopes identify und email):

• Discord-Benutzer-ID
• Discord-Benutzername
• E-Mail-Adresse des Discord-Accounts
• Avatar-URL (optional)

Speicherung in unserer Datenbank: Discord-ID und Benutzername. Bei Verknüpfung im Profil wird die E-Mail-Adresse ausschließlich zum Verknüpfungszeitpunkt auf Kollision mit bestehenden Accounts geprüft und nicht dauerhaft gespeichert. Bei OAuth-Schnellregistrierung wird die E-Mail-Adresse zusätzlich als Account-Stammdatum dauerhaft gespeichert (Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO, siehe §5 oben).

Zweck: Wiedererkennung des Spielers auf der Discord-Community-Plattform, optionaler Login per Discord, Account-Anlage per Schnellregistrierung.

Discord-Datenschutzerklärung: https://discord.com/privacy

5.2 Steam

Anbieter: Valve Corporation, P.O. Box 1688, Bellevue, WA 98009, USA.

Geholte Daten (Steam OpenID 2.0):

• SteamID64 (eindeutige numerische Kennung des Steam-Accounts)
• Öffentlicher Anzeigename (Persona-Name)

Speicherung in unserer Datenbank: SteamID64 und Anzeigename. Steam stellt keine E-Mail-Adresse über die OpenID-Schnittstelle bereit. Steam ist daher ausschließlich für die optionale Verknüpfung mit einem bereits bestehenden Account (Erstregistrierung per E-Mail erforderlich) und den anschließenden Login per Steam verfügbar; eine Account-Anlage per Schnellregistrierung über Steam ist nicht möglich, da ohne hinterlegte E-Mail-Adresse keine Account-Recovery sichergestellt werden kann.

Zweck: Wiedererkennung des Steam-Accounts, optionaler Login per Steam für bestehende Accounts.

Steam-Datenschutzerklärung: https://store.steampowered.com/privacy_agreement/

5.3 Twitch

Anbieter: Twitch Interactive, Inc., 350 Bush Street, 2nd Floor, San Francisco, CA 94104, USA.

Geholte Daten (OAuth-Scopes user:read:email):

• Twitch-Benutzer-ID
• Twitch-Anzeigename (Display-Name)
• E-Mail-Adresse des Twitch-Accounts

Speicherung in unserer Datenbank: Twitch-ID und Anzeigename. Bei Verknüpfung im Profil wird die E-Mail-Adresse ausschließlich zum Verknüpfungszeitpunkt auf Kollision mit bestehenden Accounts geprüft und nicht dauerhaft gespeichert. Bei OAuth-Schnellregistrierung wird die E-Mail-Adresse zusätzlich als Account-Stammdatum dauerhaft gespeichert (Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO, siehe §5 oben).

Zweck: Wiedererkennung des Twitch-Accounts, optionaler Login per Twitch, Account-Anlage per Schnellregistrierung.

Twitch-Datenschutzerklärung: https://www.twitch.tv/p/legal/privacy-notice/

5.4 Google

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (im EU-Verarbeitungsverhältnis); Mutterkonzern: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.

Geholte Daten (OAuth-Scopes openid email profile):

• Google-Account-ID (sub)
• E-Mail-Adresse
• Anzeigename des Google-Profils

Speicherung in unserer Datenbank: Google-ID und Anzeigename. Bei Verknüpfung im Profil wird die E-Mail-Adresse ausschließlich zum Verknüpfungszeitpunkt auf Kollision mit bestehenden Accounts geprüft und nicht dauerhaft gespeichert. Bei OAuth-Schnellregistrierung wird die E-Mail-Adresse zusätzlich als Account-Stammdatum dauerhaft gespeichert (Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO, siehe §5 oben).

Zweck: Wiedererkennung des Google-Accounts, optionaler Login per Google, Account-Anlage per Schnellregistrierung.

Google-Datenschutzerklärung: https://policies.google.com/privacy

§ 6 Cookies

Auf den Webseiten kommen ausschließlich technisch notwendige Cookies zum Einsatz. Es werden keine Tracking-, Analyse- oder Werbe-Cookies gesetzt, keine Daten an Drittanbieter wie Google Analytics, Facebook-Pixel oder Werbenetzwerke übertragen.

Cookies pro Domain

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (vormals TTDSG) — technisch notwendige Cookies bedürfen keiner Einwilligung. Die Einwilligung über das Banner deckt zusätzlich die Speicherung der Auswahl-Entscheidung ab.

§ 7 Spielserver-Daten

Dieser Abschnitt gilt für die Roleplay-Server-Infrastruktur auf pcore.de (Game-Server-Endpunkt).

Im Spielbetrieb werden charakterspezifische Daten verarbeitet, die untrennbar mit der Roleplay-Funktion verbunden sind:

• Charakterdaten (Name, Aussehen, Bekleidung, Beruf, Fertigkeiten)
• Inventar-Inhalte und Fahrzeug-Eigentum
• Geldstände und Bank-Transaktionen innerhalb der Roleplay-Welt
• Chat-Nachrichten und Sprach-Verbindungen (Voice-Server) während aktiver Spielsitzungen
• Spielstand-Snapshots und Positionen für Persistenz zwischen Sitzungen

Zweck: Bereitstellung der Roleplay-Spielwelt mit persistentem Charakter-Fortschritt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: Solange der Account aktiv ist. Bei Account-Löschung werden die Charakter-Daten innerhalb von 30 Tagen entfernt.
Empfänger: keine Weitergabe an Dritte. Voice-Daten werden nicht gespeichert, sondern nur live an verbundene Spieler übertragen.

§ 8 Deine Rechte als betroffene Person

Du hast jederzeit das Recht auf:

• Auskunft über die zu deiner Person gespeicherten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger oder unvollständiger Daten (Art. 16 DSGVO)
• Löschung der gespeicherten Daten, soweit der Verarbeitung keine gesetzliche Aufbewahrungspflicht entgegensteht (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit in einem strukturierten, gängigen, maschinenlesbaren Format (Art. 20 DSGVO)
• Widerspruch gegen die Verarbeitung aus berechtigten Interessen (Art. 21 DSGVO)
• Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO) — insbesondere bezüglich OAuth-Verknüpfungen über den "Trennen"-Button im Profil

Anfragen bitte per E-Mail an info@pandocore.de. Wir bearbeiten Anfragen innerhalb der gesetzlichen Frist von einem Monat.

Keine automatisierte Entscheidungsfindung: Es findet keine ausschließlich automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO statt.

§ 9 Beschwerderecht

Unbeschadet anderweitiger Rechtsbehelfe steht dir das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde zu (Art. 77 DSGVO). Zuständig ist in der Regel die Aufsichtsbehörde des Bundeslandes, in dem du wohnst. Eine Übersicht aller deutschen Aufsichtsbehörden findest du unter bfdi.bund.de.

§ 10 Speicherdauer im Überblick