GP
Anmelden

Stand: 7. Juni 2026 · Version 1.0

<!-- ENTWURF v1.0 — vor Launch durch Anwalt oder eRecht24 prüfen lassen. TODO vor Launch: - Exakte aktuelle Postanschriften von Supabase, Anthropic, Upstash, Railsware (Mailtrap) auf deren Websites verifizieren (Stand der Recherche markiert). - AVV/DPA mit jedem Anbieter abschließen (siehe LAUNCH_CHECKLIST.md). - DPF-Zertifizierungsstatus je Anbieter unter www.dataprivacyframework.gov prüfen. -->

Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer datenschutzrechtlicher Bestimmungen ist:

Björn Oschwald (Einzelunternehmer, handelnd unter „GamePilot") Eisweiherstr. 1 79297 Winden im Elztal Deutschland

Telefon: +49 176 32513747 E-Mail: hello@gamepilot.gg

Ein Datenschutzbeauftragter ist nicht bestellt, da die gesetzlichen Voraussetzungen des Art. 37 DSGVO i. V. m. § 38 BDSG nicht vorliegen.

2. Überblick: Welche Daten verarbeiten wir?

Wir verarbeiten personenbezogene Daten nur, soweit dies für die Bereitstellung unserer Dienste erforderlich ist oder Sie eingewilligt haben:

  • Account-Daten: E-Mail-Adresse, gehashtes Passwort, gewählter Tarif, Spracheinstellung
  • Profildaten (optional, von Ihnen angegeben): Nutzername, Profiltext, Spielziele
  • Nutzungsdaten der KI-Funktionen: Ihre Eingaben an die KI-Features (z. B. Squad-Daten, Match-Ergebnisse, Fragen) sowie die generierten Antworten
  • Zahlungsdaten: Stripe-Kundennummer und Abo-Status (keine Kreditkartendaten — diese verarbeitet ausschließlich Stripe)
  • Technische Daten: IP-Adresse (für Rate-Limiting nur in gehashter Form), Browser-Informationen, Fehlerprotokolle
  • Einwilligungsnachweise: Zeitpunkt und Version akzeptierter Einwilligungen (Art. 7 Abs. 1 DSGVO)
  • Analysedaten (nur mit Einwilligung): pseudonymisierte Nutzungsstatistiken

3. Rechtsgrundlagen (Art. 6 DSGVO)

Wir verarbeiten personenbezogene Daten auf folgenden Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Analytics, Push-Benachrichtigungen, optionale Marketing-E-Mails
  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Account-Verwaltung, Bereitstellung der KI-Features, Zahlungsabwicklung, transaktionale E-Mails
  • Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung): Aufbewahrung von Rechnungsdaten nach Handels- und Steuerrecht
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): IT-Sicherheit, Missbrauchsprävention (Rate-Limiting), Fehleranalyse, Qualitätssicherung der KI-Antworten

4. Datenübermittlung in Drittländer (USA)

Einige unserer Dienstleister haben ihren Sitz in den USA oder verarbeiten Daten dort. Die USA sind ein Drittland im Sinne der DSGVO. Die Übermittlung erfolgt auf Grundlage von:

  • Standardvertragsklauseln der EU-Kommission (Art. 46 Abs. 2 lit. c DSGVO) — mit jedem unten genannten US-Anbieter vereinbart, und/oder
  • dem Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework (DPF) (Art. 45 DSGVO), soweit der jeweilige Anbieter aktiv zertifiziert ist.

Trotz dieser Garantien kann bei einer Verarbeitung in den USA nicht vollständig ausgeschlossen werden, dass US-Behörden auf Grundlage dortiger Gesetze (z. B. FISA 702, CLOUD Act) auf Daten zugreifen. Wo möglich, nutzen wir EU-Rechenzentren der jeweiligen Anbieter (siehe unten).

5. Eingesetzte Dienstleister im Einzelnen

5.1 Vercel (Hosting)

Anbieter: Vercel Inc., 440 N Barranca Avenue #4133, Covina, CA 91723, USA Zweck: Hosting der Website und Anwendung, Auslieferung über ein weltweites Edge-Netzwerk (inkl. EU-Standorte), Server-Logs, Web-Performance-Messung (Speed Insights, ohne Cookies, IP-anonymisiert) Verarbeitete Daten: IP-Adresse, Browser-/Geräteinformationen, aufgerufene Seiten, Zeitpunkt des Zugriffs Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherer, performanter Bereitstellung) Drittland: USA — Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO); Auslieferung statischer Inhalte bevorzugt über EU-Edge-Knoten Speicherdauer Server-Logs: max. 30 Tage

5.2 Supabase (Datenbank & Authentifizierung)

Anbieter: Supabase, Inc., San Francisco, Kalifornien, USA Zweck: Speicherung aller Account- und Anwendungsdaten, Authentifizierung (Magic-Link und Passwort-Login), Sitzungsverwaltung Verarbeitete Daten: E-Mail-Adresse, gehashtes Passwort, Sitzungs-Token, sämtliche in Abschnitt 2 genannten Anwendungsdaten Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) Serverstandort: Irland (EU) — die Datenbank wird in einem EU-Rechenzentrum betrieben. Ein Zugriff durch den US-Mutterkonzern (z. B. zu Support-Zwecken) ist durch Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) abgesichert. Speicherdauer: bis zur Account-Löschung (zzgl. 30 Tage Soft-Delete-Frist, siehe Abschnitt 9)

5.3 Stripe (Zahlungsabwicklung)

Anbieter: Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland (Vertragspartner für EU-Kunden); Konzernmutter: Stripe, Inc., 510 Townsend Street, San Francisco, CA 94103, USA Zweck: Abwicklung von Abonnement-Zahlungen, Verwaltung von Zahlungsmethoden, Betrugsprävention, Rechnungsstellung Verarbeitete Daten: Name, E-Mail-Adresse, Zahlungsdaten (Kreditkarte/SEPA — ausschließlich bei Stripe, wir erhalten und speichern keine Kartendaten), Rechnungsanschrift, Transaktionsdaten. Wir speichern lediglich: Stripe-Kundennummer, Abonnement-ID und Abo-Status. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); für Betrugsprävention Art. 6 Abs. 1 lit. f DSGVO Drittland: Übermittlung an Stripe, Inc. (USA) möglich — Standardvertragsklauseln; Stripe ist nach dem EU-U.S. Data Privacy Framework zertifiziert Speicherdauer: Rechnungs- und Buchungsdaten 10 Jahre (§ 147 AO, § 257 HGB) Weitere Informationen: https://stripe.com/de/privacy

5.4 Anthropic (KI-Funktionen — Claude API)

Anbieter: Anthropic, PBC, San Francisco, Kalifornien, USA Zweck: Bereitstellung der KI-Features (Squad-Analyse, Coaching, SBC-Lösungen, Markt-Tipps u. a.). Ihre Eingaben in KI-Features werden zur Generierung der Antwort an die Claude-API übermittelt. Verarbeitete Daten: Ihre Texteingaben und Spieldaten, die Sie aktiv in KI-Features eingeben (z. B. Formationen, Match-Ergebnisse, Fragen). Wir übermitteln keine Account-Stammdaten (Name, E-Mail) an Anthropic. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — die KI-Features sind der Kern unserer Leistung) Drittland: USA — Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) Kein KI-Training: Gemäß den API-Nutzungsbedingungen von Anthropic werden über die API übermittelte Daten nicht zum Training von KI-Modellen verwendet. Weitere Informationen: https://www.anthropic.com/legal/privacy

Protokollierung von KI-Eingaben (Qualitäts-Logging): Nur mit Ihrer Einwilligung speichern wir Ihre Eingaben in KI-Features in unserer Datenbank (Supabase, EU). Zweck: Fehleranalyse und Qualitätsverbesserung der KI-Antworten. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über den Consent-Banner, Kategorie „Funktional" — jederzeit widerrufbar über die Cookie-Einstellungen). Ohne diese Einwilligung funktionieren die KI-Features uneingeschränkt; es findet dann lediglich keine Protokollierung statt. Speicherdauer: 12 Monate, danach automatische Löschung. Ihre Daten werden nicht zum Training von KI-Modellen verwendet.

Hiervon zu unterscheiden sind Daten, die wir zur Bereitstellung von Funktionen speichern (z. B. Ihre Match-Diagnosen für die Fortschritts-Anzeige, gespeicherte Squads): Diese Speicherung ist Teil der vertraglichen Leistung (Art. 6 Abs. 1 lit. b DSGVO) und besteht bis zur Account-Löschung.

Transparenzhinweis nach Art. 50 KI-Verordnung (Verordnung (EU) 2024/1689): Inhalte, die durch KI erzeugt werden, sind in der Anwendung deutlich als KI-generiert gekennzeichnet. KI-Antworten können Fehler enthalten — prüfen Sie diese kritisch. Es findet keine automatisierte Entscheidungsfindung mit rechtlicher Wirkung im Sinne des Art. 22 DSGVO statt; die KI-Features liefern ausschließlich unverbindliche Spielempfehlungen.

5.5 PostHog (Produkt-Analytics) — nur mit Einwilligung

Anbieter: PostHog, Inc., 2261 Market Street #4008, San Francisco, CA 94114, USA Zweck: Pseudonymisierte Analyse des Nutzungsverhaltens (welche Features genutzt werden), um das Produkt zu verbessern Verarbeitete Daten: pseudonyme Nutzer-ID, Geräte-/Browser-Informationen, besuchte Seiten, ausgelöste Ereignisse. Autocapture und Session-Recording sind deaktiviert; IP-Adressen werden nicht gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über den Consent-Banner); Speicherung/Auslesen auf dem Endgerät: § 25 Abs. 1 TDDDG. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft über die Cookie-Einstellungen widerrufen. Serverstandort: EU-Cloud (Frankfurt, Deutschland) — wir nutzen ausschließlich die EU-Instanz (eu.i.posthog.com). Ein Support-Zugriff der US-Muttergesellschaft ist durch Standardvertragsklauseln abgesichert. Speicherdauer: Analysedaten max. 12 Monate

5.6 Mailtrap (E-Mail-Versand)

Anbieter: Railsware Products Studio, Inc. (Mailtrap), USA; Versand über EU-Infrastruktur Zweck: Versand transaktionaler E-Mails (Magic-Link-Login, Willkommens-E-Mail, Account-Benachrichtigungen) sowie — mit Abmeldemöglichkeit — Onboarding-E-Mails Verarbeitete Daten: E-Mail-Adresse, E-Mail-Inhalt, Zustellstatus Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (transaktionale E-Mails); Art. 6 Abs. 1 lit. f DSGVO bzw. § 7 Abs. 3 UWG (Onboarding-E-Mails an Bestandskunden — Widerspruch jederzeit über den Abmeldelink in jeder E-Mail) Drittland: Anbieter mit US-Sitz — Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) Speicherdauer: Versandprotokolle max. 30 Tage

5.7 Upstash (Redis — Rate-Limiting & Cache)

Anbieter: Upstash, Inc., San Francisco, Kalifornien, USA Zweck: Schutz vor Missbrauch unserer KI-Features (Anfragelimits), Zwischenspeicherung von KI-Antworten, Kostenkontrolle Verarbeitete Daten: gehashte IP-Adressen (nicht rückrechenbar) als Rate-Limit-Schlüssel, Zähler, zwischengespeicherte (nicht personenbezogene) KI-Antworten Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit und Missbrauchsprävention) Drittland: USA — Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) Speicherdauer: Rate-Limit-Schlüssel max. 48 Stunden, Cache-Einträge gemäß jeweiliger TTL (max. 7 Tage)

5.8 Schriftarten (lokal gehostet)

Wir verwenden die Schriftarten Inter und Rajdhani. Diese werden lokal von unseren Servern ausgeliefert (Self-Hosting via Next.js). Es findet keine Verbindung zu Google-Servern statt.

6. Cookies und Einwilligungsverwaltung

Wir verwenden:

  • Technisch notwendige Cookies (§ 25 Abs. 2 Nr. 2 TDDDG, keine Einwilligung erforderlich): Sitzungs-Cookies der Authentifizierung (Supabase), Spracheinstellung, der Cookie zur Speicherung Ihrer Consent-Entscheidung selbst (gp_consent, 180 Tage), ggf. Stripe-Cookies im Checkout zur Betrugsprävention
  • Einwilligungspflichtige Dienste (§ 25 Abs. 1 TDDDG, Art. 6 Abs. 1 lit. a DSGVO): PostHog Analytics (Kategorie „Statistik") sowie das KI-Qualitäts-Logging (Kategorie „Funktional", siehe Abschnitt 5.4)

Beim ersten Besuch fragt unser Consent-Banner Ihre Einwilligung ab. Sie können Ihre Auswahl jederzeit über den Link „Cookie-Einstellungen" im Footer ändern oder widerrufen. Ohne Einwilligung werden keine einwilligungspflichtigen Dienste geladen.

Ihre Einwilligungen protokollieren wir zu Nachweiszwecken (Art. 7 Abs. 1 DSGVO) mit Zeitstempel und Version des Einwilligungstextes.

7. Registrierung, Login und Account

Zur Nutzung personalisierter Funktionen ist ein Account erforderlich. Bei der Registrierung verarbeiten wir Ihre E-Mail-Adresse und — bei Passwort-Login — Ihr Passwort (ausschließlich als kryptografischer Hash). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Mindestalter: Die Nutzung von GamePilot ist erst ab 16 Jahren gestattet. Bei der Registrierung bestätigen Sie, mindestens 16 Jahre alt zu sein. Gemäß Art. 8 Abs. 1 DSGVO kann ein Kind ab 16 Jahren wirksam selbst in die Verarbeitung seiner Daten einwilligen; für jüngere Personen bieten wir den Dienst nicht an. Stellen wir fest, dass ein Account von einer Person unter 16 Jahren geführt wird, löschen wir diesen.

8. Push-Benachrichtigungen

Auf Wunsch senden wir Ihnen Web-Push-Benachrichtigungen. Hierzu speichern wir die von Ihrem Browser erzeugte Push-Subscription (Endpoint-URL Ihres Browser-Herstellers, Schlüssel). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über den Browser-Dialog). Sie können Push-Benachrichtigungen jederzeit in Ihren Browser- oder Account-Einstellungen deaktivieren; die Subscription wird dann gelöscht.

9. Speicherdauer und Löschkonzept

DatenkategorieSpeicherdauerRechtsgrundlage der Aufbewahrung
Account-Daten (E-Mail, Profil, Einstellungen)Bis zur Account-Löschung + 30 Tage Soft-Delete, danach endgültige LöschungArt. 6 Abs. 1 lit. b DSGVO
KI-Eingaben und -Antworten (Logs)12 Monate, danach automatische LöschungArt. 6 Abs. 1 lit. f DSGVO
Fehler- und Server-Logs30 TageArt. 6 Abs. 1 lit. f DSGVO
Rate-Limit-Daten (gehashte IPs)max. 48 StundenArt. 6 Abs. 1 lit. f DSGVO
Referral-Tracking (gehashte IPs)90 TageArt. 6 Abs. 1 lit. f DSGVO
Rechnungs- und Zahlungsdaten10 Jahre§ 147 AO, § 257 HGB (Art. 6 Abs. 1 lit. c DSGVO)
Einwilligungsnachweise (Consent-Logs)3 Jahre nach Account-Löschung (Verjährungsfrist § 195 BGB)Art. 7 Abs. 1 DSGVO, Art. 6 Abs. 1 lit. f DSGVO
Analysedaten (PostHog, nur mit Einwilligung)12 MonateArt. 6 Abs. 1 lit. a DSGVO
E-Mail-Versandprotokolle30 TageArt. 6 Abs. 1 lit. f DSGVO

Die Löschung erfolgt automatisiert durch täglich laufende Lösch-Routinen.

10. Account-Löschung und Soft-Delete

Sie können Ihren Account jederzeit selbst in den Account-Einstellungen löschen. Nach der Löschung gilt eine 30-tägige Soft-Delete-Frist (Schutz vor versehentlicher Löschung), in der Ihr Account deaktiviert ist. Danach werden alle personenbezogenen Daten endgültig und unwiderruflich gelöscht — ausgenommen Daten, die gesetzlichen Aufbewahrungspflichten unterliegen (Rechnungsdaten, siehe Tabelle oben). Ihr Stripe-Kundenkonto wird ebenfalls gelöscht bzw. anonymisiert.

11. Ihre Rechte als betroffene Person

Sie haben gegenüber uns folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

  • Auskunft (Art. 15 DSGVO): über die von uns verarbeiteten Daten
  • Berichtigung (Art. 16 DSGVO): unrichtiger Daten
  • Löschung (Art. 17 DSGVO): „Recht auf Vergessenwerden" — per Self-Service in den Account-Einstellungen oder per E-Mail
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO): Senden Sie hierzu eine E-Mail an hello@gamepilot.gg — Sie erhalten Ihre Daten innerhalb von 30 Tagen in einem maschinenlesbaren Format
  • Widerspruch (Art. 21 DSGVO): gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO
  • Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO): jederzeit mit Wirkung für die Zukunft, z. B. über die Cookie-Einstellungen

Zur Ausübung Ihrer Rechte genügt eine formlose E-Mail an: hello@gamepilot.gg

Beschwerderecht (Art. 77 DSGVO): Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig für uns ist:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg Lautenschlagerstraße 20, 70173 Stuttgart https://www.baden-wuerttemberg.datenschutz.de

12. Datensicherheit

Wir treffen technische und organisatorische Maßnahmen nach Art. 32 DSGVO, u. a.: TLS-Verschlüsselung sämtlicher Verbindungen, Passwort-Hashing, Row-Level-Security auf Datenbankebene (jeder Nutzer kann nur eigene Daten abrufen), Hashing von IP-Adressen und Telefonnummern, Zugriffsbeschränkung auf Administrationsfunktionen, getrennte Berechtigungen für Server- und Client-Zugriffe.

13. Keine automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO findet nicht statt. KI-generierte Inhalte sind unverbindliche Empfehlungen ohne rechtliche Wirkung.

14. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich unsere Datenverarbeitung oder die Rechtslage ändert. Die jeweils aktuelle Fassung ist unter gamepilot.gg/datenschutz abrufbar; das Datum des Standes finden Sie am Seitenanfang.

Zuletzt aktualisiert: 20. Oktober 2018