Datenschutzerklärung

1. Verantwortlicher

Thorsten Ahrens
Zillestr. 75, 51067 Köln, Deutschland
Telefon: +49 174 6628053
E-Mail: contact@serahr.de
USt-IdNr.: DE363343172

1a. Datenschutzbeauftragter

Wir haben keinen Datenschutzbeauftragten bestellt. Eine Pflicht zur Bestellung nach Art. 37 DSGVO besteht nicht, da wir weder Verarbeitungen besonderer Kategorien in großem Umfang noch eine systematische Überwachung Betroffener durchführen und weniger als 20 Personen regelmäßig mit der Verarbeitung personenbezogener Daten beschäftigt sind.

2. Überblick: Welche Daten werden verarbeitet?

Die Website kann größtenteils ohne Registrierung genutzt werden. Spiele, Witze und Horoskop laufen vollständig in Ihrem Browser (Client-Side). Folgende Daten werden automatisch von Ihrem Browser an die Hosting-Infrastruktur übermittelt:

• IP-Adresse
• Datum und Uhrzeit der Anfrage
• Angeforderte Seite/Datei
• Browsertyp und -version, Betriebssystem
• Referrer-URL (die Seite, von der Sie kommen)

Spielbezogene Daten wie Highscores und Einstellungen für die leichten Browser-Spiele werden ausschließlich im localStorage Ihres Browsers gespeichert und nicht an uns übermittelt.

Optional können Sie sich per Magic-Link-Login einen Account anlegen. Dabei verarbeiten wir zusätzlich: Ihre E-Mail-Adresse, einen Anzeigenamen (Default: Präfix Ihrer E-Mail), Session-Cookies sowie — abhängig von der genutzten Funktion — gespeicherte Spielprojekte des Arcane-Depths-Editors (Räume, Items, Einstellungen) und einen Credit-Stand. Details zu diesen Verarbeitungen finden Sie in Abschnitt 3, 7 und 9.

3. Rechtsgrundlagen

• Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse (Server-Logs für Sicherheit, Fehleranalyse und Bereitstellung der Website; cookie-freie Reichweiten-Analyse; Missbrauchsschutz). Berechtigtes Interesse: sicherer und stabiler Betrieb der Website; Interessenabwägung: es werden ausschließlich technisch notwendige Daten verarbeitet, keine Nutzerprofile gebildet.
• Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung / vorvertragliche Maßnahmen (Account-Verwaltung, Magic-Link-Login, Speicherung Ihrer Spielprojekte und des Credit-Stands bei eingeloggten Nutzern)
• Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (Versand der Magic-Link-E-Mail bei aktiv von Ihnen ausgelöster Login-Anforderung). Sie können diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.
• Art. 6 Abs. 1 lit. c DSGVO — rechtliche Verpflichtung (Weitergabe an Strafverfolgungsbehörden gemäß Verordnung (EU) 2023/1543)

4. Hosting (Vercel)

Diese Website wird bei Vercel Inc. (440 N Baxter St, Covina, CA 91723, USA) gehostet. Server-Logdaten werden bei Vercel bis zu 30 Tage vorgehalten.
Rechtsgrundlage für die Übermittlung in die USA: EU-U.S. Data Privacy Framework (DPF) gemäß Angemessenheitsbeschluss vom 10. Juli 2023, zusätzlich Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.

5. Cookies und lokale Speicherung

Diese Website nutzt keine Tracking-Cookies und keine Third-Party-Tracker für Werbezwecke. Es ist ein cookie-freier Reichweiten-Analyse-Dienst (Vercel Analytics) aktiv — siehe Abschnitt 6.

Technisch notwendige Cookies und lokale Speicherung:

• Spiele-Daten (localStorage, auf Ihrem Gerät): Highscores, Einstellungen der leichten Browser-Spiele. Bleiben auf Ihrem Gerät, werden nicht an uns übermittelt.
• Login-Session (HTTP-only Cookie, nur nach Magic-Link-Login): enthält einen von Supabase ausgestellten verschlüsselten Session-Token, keine lesbaren personenbezogenen Daten. Notwendig, damit Sie eingeloggt bleiben. Wird beim Logout oder Ablauf gelöscht.

Rechtsgrundlage für diese technisch notwendigen Zugriffe: § 25 Abs. 2 Nr. 2 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, hat zum 14.05.2024 das TTDSG abgelöst).

6. Vercel Analytics (Cookie-frei)

Auf dieser Website ist Vercel Analytics eingebunden, ein cookie-freier Analyse-Dienst der Vercel Inc. (USA). Erhoben werden: anonymisierte IP-Adresse (gehasht + rotierend täglich, keine Rückverfolgbarkeit zum Endnutzer), aufgerufene Seite, Referrer, User-Agent, Aufrufzeit. Es werden keine Cookies gesetzt, keine Fingerprint-Techniken eingesetzt, keine User-Profile gebildet. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Reichweiten-Analyse für Produktentwicklung). Drittland-Transfer: USA (EU-U.S. Data Privacy Framework + SCCs gem. Art. 46 Abs. 2 lit. c DSGVO). Weitere Informationen: vercel.com/legal/privacy-policy.

7. Auftragsverarbeiter

DPF = EU-U.S. Data Privacy Framework, SCCs = Standardvertragsklauseln, AVV = Vereinbarung zur Auftragsverarbeitung

Mit allen aufgeführten Auftragsverarbeitern bestehen Vereinbarungen zur Auftragsverarbeitung gemäß Art. 28 DSGVO. Supabase betreibt die Datenbank in der EU-Region Frankfurt; das Unternehmen Supabase Inc. hat seinen Sitz in den USA, der Transfer ist daher zusätzlich über Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO abgesichert. Datenschutzerklärung von Supabase: supabase.com/privacy.

Geplant für zukünftige Version: ein Credits-Aufladefunktion mit Stripe Inc. (USA) als Zahlungsdienstleister. Bei deren Aktivierung wird dieser Abschnitt entsprechend ergänzt.

8. Weitergabe an Strafverfolgungsbehörden

Wir können gesetzlich verpflichtet sein, gespeicherte Daten auf Grundlage einer Europäischen Herausgabeanordnung oder Sicherungsanordnung gemäß Verordnung (EU) 2023/1543 an Strafverfolgungsbehörden weiterzugeben. Eine solche Weitergabe erfolgt ausschließlich auf Grundlage einer rechtmäßigen Anordnung und im gesetzlich vorgeschriebenen Umfang.

9. Speicherdauer

• Server-Logs (Vercel): bis zu 30 Tage
• localStorage-Daten (Highscores, Einstellungen der leichten Spiele): bis Sie diese über Ihre Browsereinstellungen löschen — wir haben keinen Zugriff darauf
• Account-Daten (E-Mail, Anzeigename, Credits): bis Sie Ihren Account löschen. Accounts, die mehr als 24 Monate inaktiv bleiben, werden nach vorheriger Hinweis-Mail von uns mitsamt den zugehörigen Daten gelöscht.
• Gespeicherte Arcane-Depths-Editor-Projekte (Räume, Items, Versionen): bis Sie die Projekte oder Ihren Account löschen.
• Login-Session (Supabase-Session-Cookie): bis zum Logout oder Ablauf des Session-Tokens (konfiguriert maximal 1 Woche).
• Magic-Link-E-Mails: der Link ist 1 Stunde gültig und wird beim Klick einmalig verbraucht. Serverseitige E-Mail-Versandprotokolle bei Supabase werden gemäß den Aufbewahrungsfristen von Supabase aufbewahrt.

10. Ihre Rechte

Sie haben gemäß DSGVO folgende Rechte:

• Auskunft (Art. 15) — welche Daten wir über Sie speichern
• Berichtigung (Art. 16)
• Löschung (Art. 17)
• Einschränkung (Art. 18)
• Datenübertragbarkeit (Art. 20)
• Widerspruch (Art. 21)
• Widerruf der Einwilligung (Art. 7 Abs. 3) — mit Wirkung für die Zukunft, insbesondere hinsichtlich der für den Magic-Link-Versand erteilten Einwilligung

Zur Ausübung dieser Rechte wenden Sie sich bitte an: contact@serahr.de

11. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Für Serahr zuständig ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), Kavalleriestr. 2-4, 40213 Düsseldorf.

12. Automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO statt.

13. Kontakt

Bei Fragen zum Datenschutz kontaktieren Sie uns bitte:
E-Mail: contact@serahr.de

14. Änderungen

Diese Datenschutzerklärung kann bei Bedarf angepasst werden. Die aktuelle Version mit Datum ist stets auf dieser Seite sichtbar. Wesentliche Änderungen (z. B. Einführung von Bezahlfunktionen oder neuen Verarbeitungskategorien) werden eingeloggten Nutzern in geeigneter Weise mitgeteilt, bevor sie wirksam werden.

15. Minderjährige / Kinder

Spendyourtimewisely.de steht Menschen jeden Alters offen — Spiele, Witze und Horoskope sprechen ausdrücklich auch Kinder und Jugendliche an. Dieser Abschnitt geht deshalb gesondert auf den Datenschutz für Minderjährige ein und folgt damit den Empfehlungen der Datenschutzkonferenz (DSK) zum Safer Internet Day 2026.

Was das konkret bedeutet:

• Es werden keine Daten von Minderjährigen auf unseren Servern gespeichert. Die Spiele laufen vollständig im Browser (Client-Side). An unsere Hosting-Infrastruktur gelangen lediglich die üblichen Server-Logs (IP, Uhrzeit, aufgerufene Seite) — dies gilt für Erwachsene und Minderjährige gleichermaßen.
• Login ist optional, niemals erforderlich. Die leichten Browser-Spiele, die Witze und das Horoskop funktionieren vollständig anonym ohne Account. Ein Account (Magic-Link, nur E-Mail und Anzeigename) wird ausschließlich für den fortgeschrittenen Arcane-Depths-Editor benötigt — und auch dort nur dann, wenn ein Kind eigene Projekte serverseitig speichern möchte. Wir bewerben Accounts gegenüber Kindern bewusst nicht.
• Für Kinder unter 16 Jahren: Nach Art. 8 DSGVO i. V. m. § 1626 BGB bedarf die Anlage eines Accounts der Zustimmung oder Genehmigung eines Trägers der elterlichen Verantwortung. Bei Verdacht, dass ein Kind unter 16 ohne diese Zustimmung registriert ist, schreiben Sie bitte an contact@serahr.de — wir löschen den betroffenen Account ohne schuldhaftes Zögern.
• Highscores und Spiel-Einstellungen der leichten Spiele bleiben auf dem Gerät des Kindes. Sie werden im localStorage des Browsers abgelegt und werden nie an uns übertragen. Eltern können sie jederzeit über die Browsereinstellungen löschen (Einstellungen → Datenschutz → Daten für diese Website löschen).
• Keine Tracking-Cookies, keine Werbung, keine Profilbildung. Der in Abschnitt 6 erwähnte cookie-freie Dienst Vercel Analytics aggregiert anonymisierte Reichweiten-Daten — er kann einzelne Nutzer nicht identifizieren und bildet keine Nutzerprofile, auch nicht für Minderjährige.
• Künftige Features (z. B. serverseitige Highscore-Listen, bezahlte Credits) werden von Anfang an datenschutzfreundlich gemäß Privacy by Design nach Art. 25 DSGVO konzipiert. Soweit sie einen Account voraussetzen, bleiben sie strikt opt-in.

Fragen oder Anliegen von Eltern oder Erziehungsberechtigten: bitte an contact@serahr.de. Anfragen zu Kinderdaten beantworten wir bevorzugt.