Datenschutz

Datenschutzerklärung

Stand: 29. März 2026

Gemäß DSGVO (EU) 2016/679 und BDSG

Inhalt
  1. 1. Verantwortlicher
  2. 2. Erhobene Daten
  3. 3. Rechtsgrundlagen
  4. 4. Zweck der Verarbeitung
  5. 5. Speicherdauer
  6. 6. Processors & Third Parties
  7. 7. Drittlandtransfers
  8. 8. Cookies & Tracking
  9. 9. Zahlungsabwicklung
  10. 10. Push-Benachrichtigungen
  11. 11. Ihre Rechte (DSGVO)
  12. 12. Minderjährige
  13. 13. Änderungen
  14. 14. Kontakt & Beschwerde

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:

W-T-F it Works Unternehmergesellschaft (haftungsbeschränkt)
Vertreten durch: Henning Schwister
Bergfeld 2, 21647 Moisburg, Deutschland
E-Mail: support@castlog.gg

Einen gesetzlich benannten Datenschutzbeauftragten haben wir nicht bestellt, da die Voraussetzungen des § 38 BDSG nicht vorliegen. Bei datenschutzbezogenen Fragen wenden Sie sich bitte direkt an uns.

2. Erhobene Daten

Kontodaten

E-Mail-Adresse, Benutzername, optionales Profilbild. Bei Registrierung via Google oder Apple Sign-In erhalten wir ausschließlich die von Ihnen freigegebenen Pflichtfelder; Passwörter Drittanbieter werden nie gespeichert.

Spiel- & Match-Daten

Matchergebnisse, Formate, Dauer, Kill-Counts, Notizen, Tags und sonstige spielbezogene Statistiken, die Sie freiwillig erfassen.

Deck-Daten

Deck-Namen, Formate, Farbidentitäten, Commander, Karten-Listen (importiert oder manuell) sowie Links zu externen Plattformen (Moxfield, Archidekt).

Spielgruppen-Daten

Spielgruppenbezeichnungen, Mitgliedsrollen und Liga-Teilnahmedaten.

Geräte- & Nutzungsdaten

Anonymisierte Nutzungsanalytik über PostHog (kein Personenbezug ohne Opt-in) sowie Fehler- und Absturzberichte über Sentry (Gerätetyp, Betriebssystemversion, App-Status zum Fehlerzeitpunkt).

Zahlungsdaten

Bei kostenpflichtigen Abonnements verarbeitet Stripe die Zahlungsdaten. Wir erhalten lediglich eine anonymisierte Transaktions-ID und den Abonnementstatus; vollständige Kreditkartendaten gelangen nicht in unsere Systeme.

Server-Logfiles

Beim Aufruf unserer Dienste werden automatisch Informationen in Server-Logfiles gespeichert: IP-Adresse (anonymisiert nach 7 Tagen), Browsertyp, Betriebssystem, Referrer-URL, Datum und Uhrzeit. Diese Daten sind keinem bestimmten Nutzer zuordenbar.

3. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten ausschließlich auf Basis der folgenden Rechtsgrundlagen der DSGVO:

  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) – für optionale Analytics-Cookies und Push-Benachrichtigungen
  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) – für Kontodaten, Match-Daten, Deck-Daten, Zahlungsabwicklung und alle Funktionen, die zur Erbringung des Dienstes erforderlich sind
  • Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) – für steuerrechtlich und handelsrechtlich aufbewahrungspflichtige Daten (z. B. Rechnungen, Buchungsbelege)
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) – für Server-Logfiles zur IT-Sicherheit, Absturzberichte über Sentry zur Fehlerbehebung sowie anonymisierte Aggregatstatistiken

Soweit wir uns auf ein berechtigtes Interesse stützen, haben wir eine Interessenabwägung vorgenommen. Ihre Interessen überwiegen in diesen Fällen nicht, da die Verarbeitungen mit einem vernünftigen Nutzerverhalten zu rechnen sind und keine unzumutbare Beeinträchtigung darstellen.

4. Zweck der Verarbeitung

  • Bereitstellung, Betrieb und Verbesserung des Castlog-Dienstes
  • Authentifizierung und Kontosicherheit
  • Erstellung von Match-Statistiken, Analysen und Liga-Ranglisten
  • Aktivierung von Spielgruppen- und Liga-Funktionen (Einladungen, geteilte Stände)
  • Versand dienstbezogener Mitteilungen (Kontobestätigung, kritische Updates)
  • Versand von Push-Benachrichtigungen nach ausdrücklicher Zustimmung
  • Diagnose technischer Probleme und Verbesserung der App-Stabilität
  • Abwicklung von Zahlungen für kostenpflichtige Abonnements
  • Erfüllung gesetzlicher Aufbewahrungspflichten

5. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Verarbeitungszweck oder aufgrund gesetzlicher Vorgaben erforderlich ist.

Datenkategorie Speicherdauer Begründung
Kontodaten (E-Mail, Benutzername) Bis zur Kontolöschung, danach innerhalb von 30 Tagen Vertragserfüllung
Match- & Deck-Daten Bis zur Kontolöschung, danach innerhalb von 30 Tagen Vertragserfüllung
Match-Daten in geteilten Spielgruppen Anonymisiert (Name = „Gelöschter Spieler“) unbegrenzt Integrität der Spielgruppen-Aufzeichnungen
Zahlungsdaten / Rechnungen 10 Jahre § 147 AO, § 257 HGB (Buchungsbelege)
Server-Logfiles 7 Tage (IP nach 24 h anonymisiert) IT-Sicherheit / berechtigtes Interesse
Fehler-/Absturzberichte (Sentry) 90 Tage Fehlerbehebung / berechtigtes Interesse
Anonymisierte Nutzungsanalytik 24 Monate (ohne Personenbezug) Produktverbesserung / berechtigtes Interesse
Verschlüsselte Backups Automatische Überschreibung nach 90 Tagen Datensicherheit

6. Auftragsverarbeiter & Drittanbieter

Wir geben Ihre Daten nicht an Dritte zu Marketingzwecken weiter und verkaufen sie nicht. Eine Weitergabe erfolgt ausschließlich in folgenden Fällen:

Auftragsverarbeiter (AVV geschlossen)

  • Supabase Inc. – Authentifizierung und Datenbank-Hosting auf EU-Servern
  • Sentry (Functional Software Inc.) – Fehlertracking und Absturzberichte Drittland
  • PostHog Inc. – Anonymisierte Produktanalyse Drittland
  • Stripe Payments Europe Ltd. – Zahlungsabwicklung

Integrierte Drittdienste (keine Auftragsverarbeitung)

  • Scryfall API – Karten-Bilder, Oracle-Texte und Preisdaten; Scryfall protokolliert API-Anfragen gemäß eigener Datenschutzrichtlinie
  • Moxfield / Archidekt – Deck-Import; wir greifen nur auf von Ihnen freigegebene öffentliche Deck-Daten zu

Innerhalb Ihrer Spielgruppe

Match-Ergebnisse, Deck-Auswahl und Liga-Stände sind für andere Mitglieder Ihrer Spielgruppen und Ligen sichtbar. Dies entspricht dem vereinbarten Leistungsumfang.

Gesetzliche Verpflichtungen

Wenn wir gesetzlich dazu verpflichtet sind oder um unsere Rechte zu schützen, können wir Daten an zuständige Behörden weitergeben.

7. Drittlandtransfers

Einige unserer Auftragsverarbeiter haben ihren Sitz außerhalb des Europäischen Wirtschaftsraums (EWR). Für diese Übermittlungen stellen wir ein angemessenes Schutzniveau sicher:

Sentry (USA)

Wir haben mit Sentry EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) abgeschlossen. Übermittelte Daten: Absturzberichte, Fehlerkontext, Geräteinformationen. Aufbewahrungsdauer: 90 Tage. Datenschutzrichtlinie Sentry →

PostHog (USA)

PostHog bietet EU-Hosting an; wir nutzen EU-basierte Datenverarbeitung. Für den Fall einer US-Übermittlung gelten EU-Standardvertragsklauseln. Übermittelte Daten: anonymisierte Nutzungsereignisse (kein Personenbezug ohne Einwilligung). Datenschutzrichtlinie PostHog →

Stripe (USA / Irland)

Stripe Payments Europe Ltd. ist in Irland ansässig und unterliegt der DSGVO. Stripe Inc. (USA) agiert als Unterauftragsverarbeiter unter EU-Standardvertragsklauseln. Datenschutzrichtlinie Stripe →

Auf Anfrage stellen wir Ihnen eine Kopie der abgeschlossenen Standardvertragsklauseln zur Verfügung.

8. Cookies & Tracking

Technisch notwendige Cookies

Wir setzen Cookies für Authentifizierung und Session-Management ein. Diese sind für den Betrieb des Dienstes zwingend erforderlich und können nicht deaktiviert werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Optionale Analytics-Cookies (PostHog)

Mit Ihrer Einwilligung setzen wir Cookies zur anonymisierten Nutzungsanalyse ein. Diese Einwilligung erteilen Sie beim erstmaligen Aufruf der Website über unseren Cookie-Banner. Sie können Ihre Einwilligung jederzeit in den Kontoeinstellungen unter „Datenschutz & Analytics“ widerrufen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Werbecookies oder Tracking durch Drittanbieter zu Marketingzwecken setzen wir nicht ein.

9. Zahlungsabwicklung

Kostenpflichtige Abonnements (Pro, Playgroup+) werden über Stripe abgewickelt. Bei Abschluss eines Abonnements werden Sie zur gesicherten Stripe-Checkout-Seite weitergeleitet. Vollständige Zahlungsdaten (Kreditkartennummer etc.) gelangen zu keinem Zeitpunkt auf unsere Server. Wir erhalten von Stripe lediglich eine Transaktions-ID, den Abonnementstatus und die Rechnungsadresse für steuerliche Zwecke.

Stripe verarbeitet Ihre Zahlungsdaten gemäß Stripes Datenschutzrichtlinie und ist PCI-DSS-zertifiziert.

10. Push-Benachrichtigungen

Push-Benachrichtigungen sind vollständig Opt-in. Sie können Benachrichtigungen jederzeit in den Geräteeinstellungen oder in den Castlog-App-Einstellungen unter „Benachrichtigungen“ deaktivieren. Wir können Benachrichtigungen für Liga-Updates, Match-Ergebnisse, Achievement-Freischaltungen und andere von Ihnen abonnierte In-App-Ereignisse versenden. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

11. Ihre Rechte (DSGVO)

Als betroffene Person stehen Ihnen folgende Rechte zu. Zur Ausübung kontaktieren Sie uns unter support@castlog.gg. Wir antworten innerhalb von 30 Tagen.

Auskunft Art. 15 DSGVO – Welche Daten wir über Sie verarbeiten.
Berichtigung Art. 16 DSGVO – Korrektur unrichtiger Daten.
Löschung Art. 17 DSGVO – „Recht auf Vergessenwerden“.
Einschränkung Art. 18 DSGVO – Verarbeitung vorübergehend einschränken.
Portabilität Art. 20 DSGVO – Daten in maschinenlesbarem Format erhalten.
Widerspruch Art. 21 DSGVO – Verarbeitung auf Basis berechtigter Interessen widersprechen.
Widerruf Art. 7 Abs. 3 DSGVO – Einwilligung jederzeit ohne Angabe von Gründen widerrufen.
Beschwerde Art. 77 DSGVO – Bei der zuständigen Aufsichtsbehörde.

Zuständige Aufsichtsbehörde

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Ludwig-Erhard-Str. 22, 20459 Hamburg
datenschutz.hamburg.de

12. Minderjährige

Castlog richtet sich nicht an Kinder unter 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Personen unter 16 Jahren. Sollten Sie Kenntnis davon haben, dass ein Kind unter 16 Jahren uns Daten übermittelt hat, kontaktieren Sie uns bitte unter support@castlog.gg. Wir werden diese Daten unverzüglich löschen.

13. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung gelegentlich aktualisieren. Bei wesentlichen Änderungen informieren wir Sie per E-Mail oder In-App-Benachrichtigung mindestens 30 Tage vor Inkrafttreten. Das Datum der letzten Aktualisierung ist oben angegeben. Die weitere Nutzung von Castlog nach Inkrafttreten der geänderten Erklärung gilt als Zustimmung, sofern Sie nicht widersprechen.

14. Kontakt & Beschwerderecht

Für alle datenschutzbezogenen Anfragen wenden Sie sich an:

W-T-F it Works UG (haftungsbeschränkt)
Henning Schwister
Bergfeld 2, 21647 Moisburg
E-Mail: support@castlog.gg

Sie haben unbeschadet anderweitiger Rechtsbehelfe das Recht, Beschwerde bei der zuständigen Datenschutz-Aufsichtsbehörde einzulegen (Art. 77 DSGVO).