Datenschutzerklärung

Verantwortlicher

David Backhausen | Deback Development
Motzstraße 6, 34117 Kassel, Deutschland
E-Mail: info@deback.dev

Allgemeine Hinweise und Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten im Einklang mit der Datenschutz-Grundverordnung (DSGVO) und den anwendbaren nationalen Vorschriften. Je nach Verarbeitungsvorgang stützen wir uns insbesondere auf Art. 6 Abs. 1 lit. b DSGVO (Vertrag/ vorvertragliche Maßnahmen), Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen). Soweit künftig eine Einwilligung erforderlich wird, erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO.

Für den Einsatz von Cookies, Local Storage, Session Storage und vergleichbaren Technologien gilt ergänzend § 25 TDDDG. Soweit der Zugriff auf Informationen in Ihrer Endeinrichtung unbedingt erforderlich ist, erfolgt er auf Grundlage von § 25 Abs. 2 Nr. 2 TDDDG. Nicht erforderliche Tracking- oder Marketing-Cookies setzen wir derzeit nicht ein.

Datenverarbeitung beim Besuch der Website

Beim Aufruf der Website werden technisch erforderliche Zugriffs- und Verbindungsdaten verarbeitet (z. B. IP-Adresse, Zeitpunkt, angeforderte Ressourcen, technische Header), um die Bereitstellung, Stabilität und Sicherheit des Dienstes zu gewährleisten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.

Hosting (Vercel)

Unsere Website wird bei Vercel Inc., 440 N Baxter St, Los Angeles, CA 90004, USA, gehostet. Beim Zugriff auf unsere Website werden automatisch Informationen durch den Hosting-Provider erfasst (sog. Server-Logfiles). Hierzu gehören insbesondere IP-Adresse, Datum und Uhrzeit der Anfrage, übertragene Datenmenge, Referrer-URL, verwendeter Browser und Betriebssystem. Diese Daten werden zur Sicherstellung eines störungsfreien Betriebs der Website verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren und effizienten Bereitstellung).

Soweit hierbei personenbezogene Daten in ein Drittland, insbesondere in die USA, übermittelt werden, erfolgt dies auf Basis geeigneter Garantien, insbesondere des EU-U.S. Data Privacy Frameworks oder anderer datenschutzrechtlich zulässiger Übermittlungsmechanismen, soweit einschlägig.

Konto und Authentifizierung

Für Registrierung, Anmeldung und Kontoverwaltung verarbeiten wir insbesondere E-Mail-Adresse, Anzeigename beziehungsweise Benutzername, optionales Profilbild sowie authentifizierungsbezogene Daten. Unterstützte Verfahren sind E-Mail/Passwort, Magic Link sowie OAuth-Anmeldung über GitHub, Google und Apple. Bei einer Social-Login-Anmeldung erhalten wir von dem jeweils gewählten Anbieter die für die Anmeldung freigegebenen Kontodaten, insbesondere E-Mail-Adresse, gegebenenfalls einen vom Anbieter übermittelten Namen oder Anzeigenamen sowie gegebenenfalls ein Profilbild. Bei Sign in with Apple können Sie statt Ihrer echten E-Mail-Adresse eine von Apple bereitgestellte Relay-Adresse verwenden, über die Nachrichten an Ihr persönliches Postfach weitergeleitet werden. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

Im Rahmen der Sitzungsverwaltung können zusätzlich Session-Metadaten wie IP-Adresse und User-Agent verarbeitet werden. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. f DSGVO zum Schutz des Kontos und zur Abwehr missbräuchlicher Nutzung.

Profilbild-Upload (Vercel Blob Storage)

Nutzer haben die Möglichkeit, ein Profilbild hochzuladen. Die hochgeladenen Bilder werden bei Vercel Blob Storage gespeichert, einem Dienst der Vercel Inc. Dabei werden die Bilddatei sowie zugehörige Metadaten (z. B. Dateigröße, Dateityp) an Vercel übermittelt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung/Bereitstellung des Nutzerkontos).

Wenn Sie ein Profilbild verwenden, kann dieses zusammen mit Ihrem Anzeigenamen in spielbezogenen Ansichten, Profilen und Ranglisten für andere Nutzer sichtbar sein.

Spielbetrieb, Community, Profile und Ranglisten

Zur Durchführung des Spielbetriebs verarbeiten wir spielbezogene Daten wie Tischzugehörigkeit, Spielzustände, Spielverläufe, Ergebnisse, Ranglisten- und Community-bezogene Daten. Diese Verarbeitung ist erforderlich, um die Multiplayer- Funktionen und die Anzeige von Historien, Profilen und Ranglisten bereitzustellen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. f DSGVO.

Hierzu können insbesondere Anzeigename, Profilbild, Tischzugehörigkeit, Spielverlauf, Ergebnisse, Statistiken, Community- und Bewertungsdaten verarbeitet und anderen Nutzern angezeigt werden. Ranglisten-Seiten sind öffentlich abrufbar. Profilseiten sind direkt über ihre URL erreichbar, aber nicht für die Indexierung durch Suchmaschinen vorgesehen.

Echtzeitkommunikation und Presence (PartyKit)

Für laufende Tische, Präsenzanzeigen, Spielzustände und andere Echtzeitfunktionen nutzen wir PartyKit. Dabei werden je nach Funktion insbesondere Nutzerkennung, Anzeigename, Profilbild, Tisch-/Spiel-IDs, Präsenz- und Verbindungsinformationen sowie spielbezogene Echtzeitnachrichten verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. f DSGVO für einen stabilen und sicheren Echtzeitbetrieb.

Wenn Sie Textchat- oder Nachrichtenfunktionen an einem Tisch nutzen, verarbeiten wir die von Ihnen eingegebenen Inhalte, Absenderinformationen, Zeitpunkte und die Zuordnung zum jeweiligen Tisch oder Spiel, damit die Nachrichten den Teilnehmenden angezeigt werden können.

Sprachchat (LiveKit)

Für den Sprachchat an Spieltischen wird LiveKit eingesetzt. Dabei werden Sprachdaten zur Echtzeitübertragung sowie begleitende technische Metadaten wie Teilnehmerkennung, Anzeigename, Profilbild, Tisch-/Raumzuordnung und technische Verbindungsdaten verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. f DSGVO für einen stabilen und missbrauchssicheren Betrieb. Eine beabsichtigte Aufzeichnung der Sprachinhalte ist nicht vorgesehen.

Content Delivery Network (jsDelivr)

Für die Bereitstellung der Sprachchat-Funktionalität wird eine Programmbibliothek zur Laufzeit über das Content Delivery Network jsDelivr (Prospect One Sp. z o.o., Polen) geladen. Dabei wird die IP-Adresse des Nutzers an jsDelivr übermittelt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten und sicheren Bereitstellung technischer Ressourcen).

Kontaktformular

Wenn Sie uns über das Kontaktformular schreiben, verarbeiten wir Ihren Namen, Ihre E-Mail-Adresse, Ihre Nachricht, optionale Dateianhänge sowie die im Zusammenhang mit der Anfrage anfallenden Metadaten. Wenn Sie eingeloggt sind, können zudem Kontobezüge wie Ihre Nutzer-ID und Konto-E-Mail verarbeitet werden, damit wir Ihre Anfrage zuordnen können.

Zur Missbrauchsabwehr verarbeiten wir außerdem eine IP-Adresse und/oder Ihre Nutzerkennung für ein einfaches Rate-Limiting sowie technische Prüfungen des Formulars. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit sich die Anfrage auf Ihr Nutzerkonto oder vorvertragliche/vertragliche Anliegen bezieht, im Übrigen Art. 6 Abs. 1 lit. f DSGVO.

Zahlungsabwicklung mit RevenueCat

Für ONDOKO Pro nutzen wir RevenueCat als Abonnement- und Billing-Infrastruktur. Käufe und Abonnements innerhalb der iOS-App werden über den Apple App Store beziehungsweise die dort angebotenen In-App-Käufe abgewickelt. Im Zusammenhang mit der Zahlungsabwicklung können insbesondere E-Mail-Adresse, Rechnungs- und Adressdaten, Steuerangaben soweit erhoben, Zahlungs- und Transaktionsdaten, Betrag, Währung, Zahlungsstatus, Kauf- und Abonnementstatus sowie technische Kennungen wie RevenueCat-, Store-, Produkt-, Package-, Offering- oder Abonnement-Identifikatoren verarbeitet werden.

Diese Verarbeitung erfolgt zur Durchführung von Zahlungen, zur Abrechnung, zur Verwaltung von Abonnements, zur Erfüllung gesetzlicher Aufbewahrungs- und Nachweispflichten sowie zur Verhinderung von Missbrauch und Betrug. Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO, Art. 6 Abs. 1 lit. c DSGVO sowie Art. 6 Abs. 1 lit. f DSGVO.

Die eigentliche Verarbeitung sensibler Zahlungsdaten, etwa Kartendaten, erfolgt grundsätzlich durch die von RevenueCat eingebundenen Stores und Zahlungsanbieter, insbesondere den Apple App Store. Wir erhalten nicht sämtliche Zahlungsdaten selbst, insbesondere keine vollständigen Kreditkarten- oder Bankdaten, sondern vor allem die für die Zuordnung, Bestätigung, Abrechnung und Kontofreischaltung erforderlichen Informationen. Zahlungsbezogene Daten können auch dann verarbeitet werden, wenn ein Bezahlvorgang begonnen, aber nicht abgeschlossen wird.

Weitere Informationen zum Datenschutz bei RevenueCat finden Sie unter revenuecat.com/privacy.

E-Mail-Kommunikation (Resend)

Für transaktionale E-Mails, insbesondere Verifizierung, Magic Link, Passwort-Reset und Kontaktformular-Nachrichten, nutzen wir Resend. Dabei werden die zur Zustellung erforderlichen Daten verarbeitet, insbesondere E-Mail-Adresse, Nachrichteninhalte, Anhänge und nachrichtenbezogene Metadaten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. f DSGVO.

Push-Benachrichtigungen

Wenn Sie Push-Benachrichtigungen aktivieren, verarbeiten wir die für die Zustellung erforderlichen technischen Daten. Dazu gehören insbesondere Nutzerkennung, Installationskennung, Plattform, Push-Token oder Web-Push-Endpunkt, Berechtigungsstatus, App-Version, Gerätename, User-Agent sowie Zeitpunkte der Registrierung, Aktualisierung und Deaktivierung. Wir verwenden diese Daten, um spielbezogene und kontobezogene Benachrichtigungen zuzustellen und die Zustellbarkeit zu verwalten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Benachrichtigung zur Bereitstellung gewünschter App-Funktionen erforderlich ist, im Übrigen Art. 6 Abs. 1 lit. f DSGVO.

Analyse und Reichweitenmessung (Vercel Analytics)

Soweit Vercel Analytics in der Anwendung aktiviert ist, nutzen wir diesen Dienst, um Nutzungstrends und technische Performance zu verstehen und unser Angebot zu verbessern. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer wirtschaftlichen und technisch stabilen Bereitstellung).

Nach der aktuellen technischen Ausgestaltung von Vercel Analytics werden hierfür keine Cookies gesetzt. Vercel verarbeitet anonymisierte beziehungsweise aggregierte Nutzungsdaten, etwa Seitenaufrufe, Referrer, Geräte- und Browserinformationen sowie eine tagesbezogene Hash-Bildung aus der eingehenden Anfrage, um Besuche zu unterscheiden.

SSL-/TLS-Verschlüsselung

Diese Website nutzt aus Sicherheitsgründen und zum Schutz der Übertragung personenbezogener Daten eine SSL-/TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://" auf „https://" wechselt und an dem Schloss-Symbol in Ihrer Browserzeile.

Lokale Speicherung, Cookies und ähnliche Technologien

Die Anwendung nutzt browserseitige Speicherung für technische und komfortbezogene Funktionen. Soweit diese Zugriffe für die Bereitstellung ausdrücklich gewünschter Funktionen erforderlich sind, erfolgt dies auf Grundlage von § 25 Abs. 2 Nr. 2 TDDDG. Die anschließende Verarbeitung personenbezogener Daten erfolgt je nach Kontext auf Grundlage von Art. 6 Abs. 1 lit. b oder lit. f DSGVO:

localStorage z. B. für Kartendesign, Dark-Mode-Kartenstil, Audio-Präferenzen (Ein/Aus, Soundeffekt-Lautstärke, Voice-Chat-Lautstärke) und clientseitige Store-Zustände.
sessionStorage für temporäre Spielkontext-Informationen.
Cookie sidebar_state zur Speicherung des Sidebar-UI-Zustands.
Session-Cookies des Authentifizierungssystems (Better Auth) zur Aufrechterhaltung der Anmeldesitzung. Diese werden automatisch beim Login gesetzt und nach Ablauf der Sitzung gelöscht.

Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Pflichten dies verlangen. Konkret gilt insbesondere:

Konto- und Profildaten grundsätzlich für die Dauer des Bestehens des Nutzerkontos.
Session-Daten, Login-Links, Verifizierungs- und Passwort-Reset-Daten grundsätzlich bis zum Ablauf ihrer jeweiligen Gültigkeit oder bis zur Erledigung des Vorgangs.
Profilbilder grundsätzlich bis zur Ersetzung oder Löschung durch den Nutzer oder bis zur Löschung des Kontos.
Spielergebnisse, Spielhistorien, Profilstatistiken und Ranglistendaten grundsätzlich für die Dauer des Betriebs des Dienstes, da diese Inhalte zum Kern des Angebots gehören, soweit keine abweichenden Löschpflichten bestehen.
Kontaktanfragen und Anhänge grundsätzlich bis zur abschließenden Bearbeitung sowie darüber hinaus, soweit dies für Nachweis-, Sicherheits- oder Aufbewahrungszwecke erforderlich ist.
Zahlungs- und Abrechnungsdaten grundsätzlich so lange, wie es für die Vertragsdurchführung, Nachweise, gesetzliche Aufbewahrungspflichten sowie steuer- und handelsrechtliche Pflichten erforderlich ist.
Push-Registrierungen grundsätzlich bis zur Deaktivierung der Benachrichtigung, zur Abmeldung des Geräts, zum Ablauf der technischen Zustellbarkeit oder bis zur Löschung des Kontos, soweit keine abweichenden Aufbewahrungspflichten bestehen.
Lokale Browser-Speicherungen bis zur Löschung durch Sie oder bis zum automatischen Ablauf der jeweiligen Sitzung oder Cookie-Laufzeit.

Empfänger und Drittlandübermittlungen

Wir setzen zur Leistungserbringung externe Dienstleister und technische Plattformen ein. Dazu gehören insbesondere:

Vercel Inc., USA, für Hosting, Blob Storage und Vercel Analytics, soweit aktiviert.
Neon für das Hosting der PostgreSQL-Datenbank gemäß unserer aktuellen technischen Konfiguration.
Resend, USA, für den Versand transaktionaler E-Mails und Kontaktformular-Nachrichten.
RevenueCat für Subscription-Management und Billing.
Apple, soweit Käufe und Abonnements über den App Store abgewickelt oder Push-Benachrichtigungen über Apple-Dienste zugestellt werden.
GitHub, Google und Apple, soweit Sie eine Anmeldung über diese Anbieter wählen.
LiveKit für die Bereitstellung des Sprachchats.
PartyKit für Echtzeit-Kommunikation und Presence-Funktionen.
jsDelivr für die Auslieferung technischer Bibliotheken.

Soweit Daten in Staaten außerhalb der EU oder des EWR übermittelt werden, erfolgt dies auf Grundlage geeigneter Garantien, insbesondere Angemessenheitsbeschlüssen wie dem EU-U.S. Data Privacy Framework oder Standardvertragsklauseln, soweit die jeweiligen Anbieter diese einsetzen und dies erforderlich ist.

Betroffenenrechte

Sie haben nach Maßgabe der gesetzlichen Voraussetzungen insbesondere das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch gegen Verarbeitungen sowie Beschwerde bei einer Aufsichtsbehörde.

Soweit eine Verarbeitung auf Ihrer Einwilligung beruht, haben Sie außerdem das Recht, diese Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen.

Sie können außerdem die Löschung Ihres ONDOKO-Kontos anfordern. Die aktuelle Anleitung hierzu finden Sie unter ondoko.de/delete-account. Löschanfragen werden über den dort beschriebenen Kontaktweg bearbeitet. Direkt zuordenbare Kontodaten werden dabei gelöscht oder anonymisiert, soweit technisch und rechtlich möglich. Einzelne Daten können wegen gesetzlicher Aufbewahrungspflichten oder laufender abrechnungs- und nachweisbezogener Pflichten für die jeweils erforderliche Dauer erhalten bleiben.

Anfragen richten Sie bitte an info@deback.dev oder postalisch an: David Backhausen | Deback Development, Motzstraße 6, 34117 Kassel, Deutschland.

Widerspruchsrecht (Art. 21 DSGVO)

Soweit wir personenbezogene Daten auf Grundlage berechtigter Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO verarbeiten, haben Sie das Recht, gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung einzulegen, sofern dafür Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben. Wir verarbeiten die personenbezogenen Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen.

Datenschutzbeauftragter

Eine Pflicht zur Benennung eines Datenschutzbeauftragten besteht derzeit nach unserer Einschätzung nicht.

Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, etwa bei technischen Änderungen oder rechtlichen Aktualisierungen. Maßgeblich ist die jeweils auf dieser Seite veröffentlichte Fassung.

Stand: April 2026