Datenschutzerklärung

Dungeon Journal — D&D 5e Charakterverwaltungsplattform
Gültig ab: 14. April 2026
Letzte Aktualisierung: 15. Mai 2026

1. Verantwortlicher für die Datenverarbeitung

Betreiber und Datenschutzverantwortlicher:

Michael Gahn DESIGN
Einzelunternehmer/Freelancer
Dr.-Theodor-Brugsch Str. 12
08529 Plauen
Sachsen, Deutschland

Kontakt für Datenschutzanfragen:
Email: Anfrage@Michael-Gahn.de (oder support@dungeonjournal.com)
Telefon: +49 (0) 176 557 647 48

Datenschutzbeauftragter:
Als Einzelunternehmer mit weniger als 20 Mitarbeitern ist Michael Gahn nicht verpflichtet, einen Datenschutzbeauftragten zu benennen (vgl. Art. 37 Abs. 4 DSGVO). Bei Fragen zum Datenschutz wenden Sie sich bitte an: support@dungeonjournal.com

2. Allgemeine Informationen zur Datenverarbeitung

Diese Datenschutzerklärung erklärt, wie Dungeon Journal (erreichbar unter dungeonjournal.com) Ihre persönlichen Daten erhebt, verarbeitet, speichert und schützt.

Wir nehmen Ihren Datenschutz ernst. Dungeon Journal ist ein deutsches Angebot, betrieben von einem Einzelunternehmen mit Sitz in Deutschland. Ihre Daten werden auf Servern in Deutschland verarbeitet. Eine Weitergabe zu Werbe-, Tracking- oder Datenverkaufszwecken findet nicht statt. Für den technischen Betrieb nutzt Dungeon Journal jedoch einen Hosting-Provider als Auftragsverarbeiter nach Art. 28 DSGVO; Details stehen in Abschnitt 13.

Welche Art von Daten verarbeiten wir?

Dungeon Journal speichert ausschließlich die Daten, die notwendig sind für:
- Ihre Authentifizierung (sicherer Login)
- Verwaltung Ihrer D&D-Charaktere und -Kampagnen
- Gewährleistung der Plattformsicherheit (Audit-Logging)
- Bereitstellung der Kernanwendung

Wir verkaufen, tauschen oder vermieten Ihre Daten nicht.

3. Erfasste Personendaten

3.1 Authentifizierungsdaten

Wenn Sie sich bei Dungeon Journal registrieren und anmelden, erfassen wir:

| Datenkategorie | Beschreibung | Rechtsgrundlage |
|---|---|---|
| Email-Adresse | Ihre eindeutige Anmeldkennung | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) |
| Passwort-Hash | Mit bcrypt gehasht (Einweg-Schlüsselableitung, nicht rückentschlüsselbar) | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) |
| Registrierungsdatum | Timestamp der Kontoerstellung | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) |

Wichtig: Ihr Passwort wird nicht im Klartext gespeichert. Es wird in einen kryptografischen Hash umgewandelt, den wir nicht zurück in das Original umwandeln können.

Einwilligung zur Datenverarbeitung: Mit der Registrierung bei Dungeon Journal erklären Sie sich ausdrücklich einverstanden mit der Verarbeitung dieser Daten gemäß dieser Datenschutzerklärung. Sie haben das Recht, diese Einwilligung jederzeit durch Kontakt zu support@dungeonjournal.com zu widerrufen. Ein Widerruf beendet die Verarbeitung der Daten für zukünftige Operationen, lässt aber bereits verarbeitete Daten unberührt.

3.2 Zwei-Faktor-Authentifizierung (2FA)

Für zusätzliche Sicherheit unterstützen wir optionale Zwei-Faktor-Authentifizierung über TOTP (Time-based One-Time Password):

| Datenkategorie | Beschreibung | Rechtsgrundlage |
|---|---|---|
| TOTP Secret | Verschlüsselt mit Halite (NaCl-Authentifizierung) | Art. 6 Abs. 1 lit. a, f DSGVO |

Dies ist vollständig optional. Sie können 2FA aktivieren und deaktivieren.

3.3 Charakterdaten

Die Kernfunktion von Dungeon Journal ist die Verwaltung Ihrer D&D 5e Charaktere. Diese Daten werden erfasst und gespeichert:

| Datenkategorie | Beschreibung | Rechtsgrundlage |
|---|---|---|
| Charakter-Name | Name Ihres Charakters (z.B. „Aragorn der Paladín") | Art. 6 Abs. 1 lit. b DSGVO |
| Spezies & Klasse | D&D-Spezies (z.B. Mensch, Elf, Zwerg) und Klasse (z.B. Kämpfer, Magier) | Art. 6 Abs. 1 lit. b DSGVO |
| Level & Erfahrungspunkte | Charakterfortschritt | Art. 6 Abs. 1 lit. b DSGVO |
| Attribute (Stärke, Dexterität, Konstitution, Intelligenz, Weisheit, Charisma) | Numerische Werte für Regelwerk-Berechnung | Art. 6 Abs. 1 lit. b DSGVO |
| Hitpoints (HP) | Aktuelle und maximale Lebenspunkte | Art. 6 Abs. 1 lit. b DSGVO |
| Inventar | Gegenstände, Ausrüstung, Gold | Art. 6 Abs. 1 lit. b DSGVO |
| Persönliche Notizen | Hintergrund, Motivationen, Persönlichkeit und sonstige Freitexte | Art. 6 Abs. 1 lit. b DSGVO |
| Kampagnen-Zuordnung | Verknüpfung zu Ihrer aktiven Kampagne/Gruppe | Art. 6 Abs. 1 lit. b DSGVO |

Hinweis zu Freitexten: Bitte speichern Sie in Charakter-Notizen keine unnötigen besonderen Kategorien personenbezogener Daten. Technische Schutzmaßnahmen werden fortlaufend verbessert; eine zusätzliche Feldverschlüsselung für alle Freitexte wird als priorisierte Sicherheitsmaßnahme geführt, soweit sie im jeweiligen Modul noch nicht umgesetzt ist.

3.4 Audit-Trail (Sicherheitsprotokollierung)

Um die Plattformsicherheit zu gewährleisten und Missbrauch zu erkennen, protokollieren wir Handlungen:

| Datenkategorie | Beschreibung | Rechtsgrundlage |
|---|---|---|
| IP-Adresse | Ihre Internet-Adresse bei jeder Aktion | Art. 6 Abs. 1 lit. c, f DSGVO |
| Aktion | CREATE, UPDATE, DELETE, LOGIN (kurz codiert) | Art. 6 Abs. 1 lit. f DSGVO |
| Timestamp | Zeitpunkt der Aktion | Art. 6 Abs. 1 lit. f DSGVO |
| Benutzer-ID | Ihre eindeutige Dungeon Journal-ID (nicht Ihre Email) | Art. 6 Abs. 1 lit. f DSGVO |

Zweck: Sicherheit, Nachverfolgung unbefugter Zugriffe, Betrugsbekämpfung.

3.5 Authentifizierungs-Token

Für nahtlose Nutzererfahrung verwenden wir JSON Web Tokens (JWT):

| Token-Typ | Speicherort | Gültigkeitsdauer | Inhalt |
|---|---|---|---|
| Access Token | bevorzugt WebCrypto/IndexedDB-Speicher der App; bei Login-Übergabe kurzzeitig sessionStorage | derzeit bis zu 2 Stunden | Benutzer-ID/Rollen als signiertes JWT, nicht als Klartext-Passwort |
| Refresh Token | bevorzugt WebCrypto/IndexedDB-Speicher der App; bei Login-Übergabe kurzzeitig sessionStorage | bis zu 30 Tage | zufälliger Token; serverseitig nur als Hash gespeichert |

Tokens werden lokal im Browser gespeichert. Refresh Tokens werden serverseitig nur gehasht gespeichert, damit aktive Sitzungen widerrufen werden können. Beim Abmelden werden die lokal gespeicherten Tokens gelöscht.

TDDDG/TTDSG-Hinweis: Die Speicherung von Authentifizierungs-Tokens im Browser ist technisch erforderlich, damit Sie angemeldet bleiben und die App nutzen können. Sie können diese Speicherung jederzeit beenden, indem Sie sich abmelden oder Website-Daten für dungeonjournal.com in Ihrem Browser löschen. LocalStorage/sessionStorage und browserbasierte App-Speicher sind grundsätzlich durch XSS angreifbar; deshalb werden Security-Header, CSP und die Token-Übergabe fortlaufend gehärtet. Als weitere priorisierte Maßnahme wird geprüft, ob Refresh Tokens langfristig zusätzlich oder alternativ über sichere, HttpOnly- und SameSite-Cookies geführt werden können, ohne den bestehenden Flutter-Web-Flow zu brechen.

3.6 Metadaten

Wir erfassen automatisch:

| Datenkategorie | Beschreibung |
|---|---|
| createdAt | Zeitstempel der Ressourcenerstellung |
| updatedAt | Zeitstempel der letzten Änderung |
| User-Agent | Browser- und Gerätetyp (optional, für Debugging) |

Bei freiwillig gesendeten Bugreports können zusätzlich technische Diagnosedaten verarbeitet werden, damit Fehler nachvollzogen werden können. Dazu gehören zum Beispiel App-Version, Route, Browser, Bildschirmgröße und Pfade zu abhängigen App-Dateien. Sensible Schlüssel wie Passwörter, Tokens, Cookies, Authorization-Header, Sessiondaten oder Email-Felder werden serverseitig vor der Speicherung maskiert. Screenshots und Roh-Diagnosedaten werden nach Abschluss eines Reports zeitlich begrenzt aufbewahrt und anschließend bereinigt.

4. Rechtsgrundlagen für die Datenverarbeitung

Unsere Datenverarbeitung basiert auf den folgenden Artikeln der Datenschutz-Grundverordnung (DSGVO):

Art. 6 Abs. 1 lit. a DSGVO — Einwilligung

Sie erteilen Ihre Einwilligung ausdrücklich durch das Anlegen eines Kontos.

Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung

Diese Verarbeitung ist notwendig, um Dungeon Journal zu betreiben und Ihnen die versprochenen Dienste bereitzustellen.

Art. 6 Abs. 1 lit. f DSGVO — Berechtigte Interessen

Diese Verarbeitung ist notwendig, um Dungeon Journal sicher und zuverlässig zu betreiben.

5. Speicherdauer

5.1 Benutzerkonto und Charakterdaten

Speicherdauer: Unbegrenzt bis zur Löschung

Ihre Charaktere und Kontoinformationen werden gespeichert, solange Ihr Konto aktiv ist. Wenn Sie Ihr Konto löschen, werden alle zugehörigen Daten innerhalb von 30 Tagen dauerhaft gelöscht.

5.2 Audit-Logs (Sicherheitsprotokolle)

Speicherdauer: 90 Tage (mit Rechtsausnahmeklausel)

Audit-Logs werden nach 90 Tagen automatisch gelöscht. Dies umfasst:
- IP-Adressen
- Aktionsprotokollierung
- Timestamps

Nach 90 Tagen können diese Daten nicht mehr wiederhergestellt werden. Ausnahme: Falls rechtliche oder sicherheitstechnische Anforderungen eine längere Aufbewahrung notwendig machen (z.B. laufende Sicherheitsuntersuchung, Rechtsverletzung, behördliche Anforderung), werden Logs bis zur Lösung dieser Anforderung beibehalten und dann gelöscht (Art. 17 Abs. 3 lit. b DSGVO).

5.3 JWT Tokens (Browser-Storage)

Speicherdauer: bis zu 30 Tage, abhängig vom Token-Typ und der aktiven Sitzung

- Access Token: läuft kurzlebig ab; aktuell ist die technische Gültigkeit auf bis zu 2 Stunden begrenzt
- Refresh Token: läuft nach 30 Tagen ab

Refresh Tokens werden serverseitig nur als Hash gespeichert und können widerrufen werden, z.B. bei Passwortänderungen oder Sicherheitsvorfällen.

5.3 Cookies & Browser-Storage

Dungeon Journal setzt derzeit keine klassischen HTTP-Cookies für die Authentifizierung. Wir verwenden:
- bevorzugt den browserbasierten sicheren App-Speicher von Flutter Web (WebCrypto/IndexedDB, soweit vom Browser unterstützt)
- sessionStorage für die kurze Token-Übergabe vom Login zur App/Admin-Oberfläche
- localStorage nur als Fallback bzw. zur Migration älterer Login-Stände

Diese werden gelöscht, wenn Sie:
1. Sich abmelden
2. Die Browser-Daten löschen
3. den jeweiligen Tab schließen, falls Tokens nur als Übergabe im sessionStorage liegen
4. 30 Tage inaktiv bleiben (Refresh Token läuft ab)

6. Empfänger von Daten

Keine Weitergabe zu Werbung, Tracking oder Datenverkauf

Wir geben Ihre Daten nicht zu Werbe-, Tracking-, Profiling- oder Datenverkaufszwecken weiter. Insbesondere erfolgt keine Weitergabe an:

- Google, AWS, Microsoft Azure oder andere Cloud-Provider
- Facebook, Twitter, Instagram oder Social-Media-Plattformen
- Werbe- oder Analysefirmen (z.B. Google Analytics)
- Marketing-Partner
- Datenbroker
- Externe Sicherheitsfirmen

Interne Verarbeitung und notwendiger technischer Betrieb

Ihre Daten werden von Michael Gahn (DESIGN) und dem in Abschnitt 13 genannten Hosting-Provider als Auftragsverarbeiter verarbeitet:
- Für die Betreibung der Plattform
- Für Sicherheitsüberwachung
- Für technischen Support (falls Sie uns kontaktieren)
- Für Hosting, Datenbankbetrieb, Backups und technische Bereitstellung

Ausnahmen: Behördliche Anordnungen

Wir können dazu verpflichtet sein, Daten an Behörden zu offenbaren:
- Auf Grundlage eines rechtsgültigen Gerichtsbeschlusses
- Zur Erfüllung strafrechtlicher Ermittlungen
- Zum Schutz vor Sicherheitsbedrohungen

Sollte dies geschehen, werden wir Sie benachrichtigen (sofern rechtlich zulässig).

7. Länderübergreifende Datenübertragung

Daten bleiben in Deutschland

Alle Daten werden auf Servern in Deutschland gespeichert. Es gibt keine Übertragungen in Länder außerhalb der Europäischen Union oder des EWR.

Dies stellt sicher, dass Ihre Daten unter vollständiger DSGVO-Schutz bleiben.

8. Sicherheitsmaßnahmen

Wir schützen Ihre Daten mit modernen Sicherheitsverfahren:

Verschlüsselung (in Transit & at Rest)

| Komponente | Schutzmaßnahme |
|---|---|
| Passwörter | bcrypt-Hashing (Einweg-Hashing, keine reversible Verschlüsselung) |
| Persönliche Notizen | AES-256-Verschlüsselung (Halite) |
| TOTP Secrets | NaCl-Authentifizierung (libsodium) |
| Bugreport-Diagnosedaten | serverseitige Maskierung sensibler Felder; private Screenshot-Ablage; automatische Rohdaten-Bereinigung nach Abschluss |
| API-Verbindungen | Transportverschlüsselung via HTTPS/TLS |
| Datenbank | Zugriffsbeschränkung, getrennte Datenbanken und serverseitige Schutzmaßnahmen des Hosting-Providers; keine unbestätigte Behauptung einer vollständigen Festplattenverschlüsselung |

Zugriffskontrolle

- Nur der Betreiber hat Zugriff auf die Datenbank
- Automatische Lockdown bei verdächtigen Aktivitäten
- Rate-Limiting gegen Brute-Force-Angriffe
- JWT-Token mit kurzer Gültigkeitsdauer

Audit-Logging

Alle Aktionen werden protokolliert:
- Wer hat was gemacht
- Wann wurde es gemacht
- Von welcher IP-Adresse

Dies ermöglicht Nachverfolgung von Sicherheitsverstößen.

Datensicherung

- Regelmäßige Sicherungen Ihrer Daten
- Redundante Speicherung (gegen Datenverlust)
- Desaster-Recovery-Plan (falls Notfall)

9. Ihre Rechte als Betroffener

Die DSGVO gewährt Ihnen folgende Rechte:

9.1 Recht auf Auskunft (Art. 15 DSGVO)

Sie können jederzeit eine Auskunft anfordern:
- Welche Daten über Sie gespeichert sind
- Wozu wir diese Daten nutzen
- Wie lange wir sie speichern
- Mit wem wir Ihre Daten teilen

Anfrageverfahren:
1. Email an support@dungeonjournal.com mit Betreff "Datenschutz: Auskunftsanfrage"
2. Bitte fügen Sie ein Ausweisdokument-Foto bei zur Identitätsverifizierung
3. Wir werden Ihnen innerhalb von 30 Tagen eine vollständige schriftliche Auskunft zustellen
4. Bei Bedarf können wir um zusätzliche 30 Tage verlängern (maximal 90 Tage Bearbeitungszeit)

9.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie können uns auffordern, falsche oder unvollständige Daten zu korrigieren:
- Falsche Email-Adresse
- Falsche Charakterinformationen
- Veraltete Informationen

Anfrage stellen: support@dungeonjournal.com mit Betreff "Datenschutz: Berichtigung"

9.3 Recht auf Löschung (Art. 17 DSGVO) — „Recht auf Vergessenwerden"

Sie können die Löschung Ihrer Daten verlangen:

Vollständige Kontoöschung:
1. Alle Charaktere werden gelöscht
2. Ihr Benutzer wird deaktiviert
3. Audit-Logs werden gelöscht (nach 90 Tagen)

Sie können dies selbst tun: In den Kontoeinstellungen unter "Konto löschen"

Oder schriftlich anfordern: support@dungeonjournal.com mit Betreff "Datenschutz: Kontoöschung"

9.4 Recht auf Einschränkung (Art. 18 DSGVO)

Sie können die Verarbeitung Ihrer Daten einschränken (z.B. während Überprüfung einer Berichtigung):

Anfrage stellen: support@dungeonjournal.com mit Betreff "Datenschutz: Verarbeitungseinschränkung"

9.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie können Ihre Daten in strukturiertem, maschinenlesbarem Format (JSON) erhalten:
- Alle Ihre Charaktere mit Attributes, Inventar, Notizen
- Alle Ihre Kampagnen und Zuordnungen
- Alle Ihre persönlichen Notizen (unverschlüsselt)
- Ihre Audit-Log Einträge

Dies ermöglicht es Ihnen, Ihre Daten zu einem anderen Dienst zu transportieren.

Anfrageverfahren:
1. Self-Service-Option: In den Kontoeinstellungen unter "Daten exportieren" (verfügbar für registrierte Benutzer)
2. Per Email: support@dungeonjournal.com mit Betreff "Datenschutz: Datenübertragung"
3. Bearbeitungszeit: Wir stellen den Datenexport innerhalb von 30 Tagen in JSON-Format zur Verfügung
4. Format: Alle Daten werden im standardisierten JSON-Format bereitgestellt (maschinenlesbar, portable)

9.6 Recht auf Widerspruch (Art. 21 DSGVO)

Sie können der Verarbeitung auf Grundlage "berechtigter Interessen" widersprechen. Das betrifft:

Verarbeitungen, gegen die Sie widersprechen können:
1. Sicherheitsüberwachung & Audit-Logging: Sie können widersprechen, dass wir Ihre IP-Adresse und Aktionen protokollieren
- Folge des Widerspruchs: Wir werden keine neuen Audit-Logs für Sie erstellen, aber bestehende Logs werden weiterhin zu Sicherheitszwecken aufbewahrt

2. Anonymisierte Analytik: Sie können widersprechen, dass wir anonyme Plattform-Performance-Daten sammeln
- Folge des Widerspruchs: Wir werden keine anonymisierten Daten über Ihre Nutzung sammeln

Verarbeitungen, gegen die Sie NICHT widersprechen können (notwendig für Betrieb):
- Authentifizierung (Passwort-Hashing, JWT-Tokens)
- Speicherung Ihrer Charakterdaten
- Basale Sicherheitsmaßnahmen (DDoS-Schutz, Brute-Force-Detection)

Widerspruch einreichen:
1. Email an support@dungeonjournal.com mit Betreff "Datenschutz: Widerspruch gegen Verarbeitung"
2. Spezifizieren Sie, gegen welche Verarbeitung Sie widersprechen
3. Wir bestätigen Ihren Widerspruch innerhalb von 14 Tagen

9.7 Recht auf nicht automatisierte Entscheidungsfindung

Sie haben das Recht, nicht vollständig automatisierten Entscheidungen mit erheblichen Auswirkungen unterworfen zu sein.

Dungeon Journal trifft keine automatisierten Entscheidungen über Sie (z.B. automatische Kontosperrungen ohne manueller Überprüfung).

10. Audit-Logging im Detail

Dungeon Journal protokolliert alle wichtigen Aktionen für Sicherheit und Compliance:

Was wird protokolliert?

| Aktion | Beispiel |
|---|---|
| LOGIN | Benutzer meldet sich an |
| CREATE | Neuer Charakter wird erstellt |
| UPDATE | Charakter-Level wird erhöht |
| DELETE | Charakter wird gelöscht |
| CHANGE_PASSWORD | Passwort wird geändert |
| ENABLE_2FA | Zwei-Faktor-Authentifizierung aktiviert |
| DISABLE_2FA | Zwei-Faktor-Authentifizierung deaktiviert |
| FAILED_LOGIN | Login-Versuch mit falschem Passwort |

Wer kann die Logs sehen?

Nur der Betreiber (Michael Gahn) kann Audit-Logs einsehen:
- Für Sicherheitsuntersuchungen
- Zur Diagnose von Problemen
- Zur Betrugsbekämpfung

Sie können eine Kopie Ihrer eigenen Audit-Logs anfordern via support@dungeonjournal.com mit Betreff "Datenschutz: Meine Audit-Logs"

11. 2FA (Zwei-Faktor-Authentifizierung) & Sicherheit

Wie funktioniert 2FA bei Dungeon Journal?

2FA schützt Ihr Konto mit zwei Sicherheitsebenen:

1. Etwas, das Sie wissen: Ihr Passwort
2. Etwas, das Sie haben: Ein TOTP-Code (z.B. von Google Authenticator)

TOTP Secret — Was wird gespeichert?

Wenn Sie 2FA aktivieren:
- Ein eindeutig generiertes TOTP Secret wird erstellt
- Es wird verschlüsselt mit Halite gespeichert
- Sie erhalten einen QR-Code zum Scannen in Ihre Authentifizierungs-App

Was geschieht mit dem TOTP Secret?

| Phase | Aktion |
|---|---|
| Aktivierung | Secret wird generiert, verschlüsselt, in Datenbank gespeichert |
| Bei Login | Sie scannen Ihren Code (6 Ziffern) ein, wir verifizieren ihn |
| Bei Kontoöschung | Secret wird mit Ihrem Konto gelöscht |
| Falls Sie 2FA deaktivieren | Secret wird sofort gelöscht |

Backup-Codes

Wenn Sie 2FA aktivieren, erhalten Sie Backup-Codes:
- 10 einmalig verwendbare Codes
- Falls Sie Ihr Gerät verlieren, können Sie sich damit anmelden
- Diese sollten Sie sicher aufbewahren (z.B. im Passwort-Manager)

12. Cookies & Browser-Storage

Welche Cookies verwenden wir?

Dungeon Journal setzt derzeit keine klassischen HTTP-Cookies für die Authentifizierung.

Wir verwenden Browser-Storage-APIs:
- WebCrypto/IndexedDB über Flutter Secure Storage: bevorzugter App-Speicher für Tokens, soweit vom Browser unterstützt
- sessionStorage: kurzzeitige Übergabe vom Login in die App/Admin-Oberfläche (gelöscht beim Tab-Schließen)
- localStorage: Fallback/Migration älterer Token-Stände und für nicht sensible Einstellungen wie Sprach- oder UI-Präferenzen

Wie können Sie diese verwalten?

| Browser | Anweisung |
|---|---|
| Chrome/Edge | Einstellungen → Datenschutz → Website-Einstellungen → Cookies → Alle Cookies und Website-Daten anzeigen |
| Firefox | Einstellungen → Datenschutz → Cookies und Website-Daten → Daten verwalten |
| Safari | Einstellungen → Datenschutz → Website-Daten verwalten |

Sie können localStorage/sessionStorage jederzeit löschen:
1. Öffnen Sie die Browser-Entwicklertools (F12)
2. Gehen Sie zum Tab "Application" oder "Storage"
3. Löschen Sie die dungeonjournal.com-Einträge

Beachten Sie: Wenn Sie diese Daten löschen, werden Sie automatisch abgemeldet.

Sicherheitsrisiko Browser-Storage: Tokens im Browser können bei erfolgreichen XSS-Angriffen gefährdet sein. Deshalb wurden Security-Header und CSP gehärtet und die Login-Übergabe auf sessionStorage begrenzt. Die Umstellung auf sichere HttpOnly-Cookie-Refresh-Flows bleibt eine priorisierte technische Prüfmaßnahme.

Externe Scripts und Tracker

Dungeon Journal verwendet KEINE:
- Google Analytics
- Facebook Pixel
- andere Tracking-Tools
- Werbungsnetzwerke
- Session-Recording-Tools

Wir verfolgen nicht, wie Sie die Plattform nutzen, welche Seiten Sie besuchen, oder wie lange Sie online sind.

13. Auftragsverarbeiter (Art. 28 DSGVO)

Dungeon Journal arbeitet mit einem Hosting-Provider zusammen, der als Auftragsverarbeiter Ihre Daten speichert und verwaltet:

Hosting-Provider:
- Unternehmen: KasServer GmbH
- Standort: Deutschland
- Dienstleistung: Datenspeicherung, Datenbank-Verwaltung, Sicherung
- Datenschutzvereinbarung: Ein Vertrag zur Auftragsverarbeitung (Art. 28 Vertrag) liegt vor und regelt:
- Dass der Provider nur auf unsere Anweisungen hin Daten verarbeitet
- Dass der Provider angemessene Sicherheitsmaßnahmen durchführt
- Dass der Provider Ihre Daten nicht an Dritte weitergeben darf
- Dass der Provider uns bei Datenschutz-Anfragen unterstützt

Ihr Recht: Sie können eine Kopie des Auftragsverarbeitungsvertrags anfordern per support@dungeonjournal.com mit Betreff "Datenschutz: Kopie Auftragsverarbeitungsvertrag"

14. Datenschutz für Minderjährige

Dungeon Journal richtet sich nicht an Kinder. Nach Art. 8 DSGVO gelten für Dienste der Informationsgesellschaft besondere Anforderungen an die Einwilligung von Kindern; in Deutschland ist eine selbständige Einwilligung regelmäßig erst ab 16 Jahren vorgesehen, soweit keine Einwilligung der Erziehungsberechtigten vorliegt.

Wenn Sie minderjährig sind:
- Sie benötigen die ausdrückliche Einwilligung Ihrer Eltern/Erziehungsberechtigten, sofern Sie unter 16 Jahre alt sind
- Ihre Eltern können jederzeit support@dungeonjournal.com kontaktieren, um Informationen zu erhalten oder das Konto zu löschen

Dungeon Journal lässt Registrierungen aktuell erst ab 14 Jahren zu. Falls wir erfahren, dass ein Konto ohne erforderliche Einwilligung der Erziehungsberechtigten angelegt wurde, sperren oder löschen wir das Konto nach Prüfung und informieren die betroffene Person bzw. die Erziehungsberechtigten, soweit möglich.

15. Kontakt & Datenschutzanfragen

Anfragen zur Datenschutzerklärung oder DSGVO-Rechten

Schreiben Sie an: support@dungeonjournal.com

Bitte geben Sie in Ihrer Email an:
- Betreff: z.B. "Datenschutz: Auskunftsanfrage"
- Ihren vollen Namen
- Die Email-Adresse Ihres Dungeon Journal-Kontos
- Die spezifische Anfrage oder das Problem

Wir werden Ihre Anfrage innerhalb von 30 Tagen bearbeiten (DSGVO-Standard).

Beschwerde bei einer Aufsichtsbehörde

Wenn Sie der Meinung sind, dass Dungeon Journal gegen Datenschutzgesetze verstößt, können Sie sich an die zuständige Aufsichtsbehörde wenden:

Für Deutschland (Bundesland-spezifisch):

Der Betreiber hat seinen Sitz in Deutschland. Je nach Bundesland wenden Sie sich bitte an:
- Baden-Württemberg: Der Landesbeauftragte für Datenschutz Baden-Württemberg
- Bayern: Der Bayerische Landesbeauftragte für Datenschutz
- Berlin: Die Berliner Beauftragte für Datenschutz und Informationsfreiheit
- Brandenburg: Der Landesbeauftragte für Datenschutz und Informationsfreiheit Brandenburg
- Bremen: Die Landesbeauftragte für Datenschutz und Informationsfreiheit Bremen
- Hamburg: Die Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
- Hessen: Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
- Mecklenburg-Vorpommern: Der Landesbeauftragte für Datenschutz Mecklenburg-Vorpommern
- Niedersachsen: Die Landesbeauftragte für den Datenschutz Niedersachsen
- Nordrhein-Westfalen: Der Landesbeauftragte für Datenschutz Nordrhein-Westfalen
- Rheinland-Pfalz: Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
- Saarland: Der Unabhängige Datenschutzzentrum Saarland
- Sachsen: Der Sächsische Datenschutzbeauftragte
- Sachsen-Anhalt: Der Landesbeauftragte für den Datenschutz Sachsen-Anhalt
- Schleswig-Holstein: Der Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein
- Thüringen: Der Landesbeauftragte für Datenschutz und Informationsfreiheit Thüringen

Alternativ können Sie sich auch an den Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) wenden: https://www.bfdi.bund.de

16. Änderungen an dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung ändern, um:
- Rechtliche Anforderungen zu erfüllen
- Neue Funktionen in Dungeon Journal zu dokumentieren
- Sicherheitsmaßnahmen zu verbessern

Versionsverlauf

| Datum | Änderung |
|---|---|
| 15.05.2026 | Präzisierung zu Auftragsverarbeitung, Browser-Storage/JWT, Transportverschlüsselung, Minderjährigen und technischen Sicherheitsmaßnahmen |
| 14.04.2026 | Initiale Veröffentlichung |

Wie werden Sie über Änderungen informiert?

- Große Änderungen: Sie erhalten eine Benachrichtigung bei Ihrer nächsten Anmeldung
- Kleine Änderungen: Werden ohne Benachrichtigung aktualisiert (z.B. Kontaktinformationen)

Sie können die aktuelle Version jederzeit unter dungeonjournal.com/datenschutz einsehen.

17. Weitere Informationen

DSGVO-Ressourcen

- Offizielle Seite der DSGVO (EU)
- Bundesdatenschutzgesetz (BDSG)
- Verbraucher-Informationen

Häufig gestellte Fragen (FAQ)

F: Verkauft Dungeon Journal meine Daten?
A: Nein. Dungeon Journal verkauft Ihre Daten nicht und gibt sie nicht zu Werbe-, Tracking- oder Profilingzwecken weiter. Für den technischen Betrieb wird ein Hosting-Provider als Auftragsverarbeiter nach Art. 28 DSGVO eingesetzt.

F: Kann ich meine Charaktere exportieren?
A: Ja, Sie können eine Datenübertragung anfordern (Art. 20 DSGVO). Kontaktieren Sie support@dungeonjournal.com.

F: Was passiert mit meinen Daten, wenn Dungeon Journal einstellt?
A: Sie werden benachrichtigt. Ihre Daten werden gelöscht oder Sie erhalten eine Kopie.

F: Ist mein Passwort sicher?
A: Ja, es wird mit bcrypt gehasht und kann nicht zurück in das Original konvertiert werden.

F: Kann ich anonym spielen?
A: Nein, Dungeon Journal erfordert ein Konto mit Email-Verifizierung.

F: Wie lange dauert es, bis mein Konto gelöscht wird?
A: 30 Tage nach der Löschanfrage.

17. Schlussbestimmung

Mit der Nutzung von Dungeon Journal akzeptieren Sie diese Datenschutzerklärung.

Wenn Sie nicht einverstanden sind, können Sie Ihr Konto löschen oder Dungeon Journal nicht nutzen.

Gültig ab: 14. April 2026
Betreiber: Michael Gahn (DESIGN)
Kontakt: support@dungeonjournal.com

Diese Datenschutzerklärung wurde in Übereinstimmung mit der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) erstellt.