Datenschutzerklärung

§1 Verantwortlicher

Verantwortlicher im Sinne der DSGVO und anderer nationaler Datenschutzgesetze der Mitgliedstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Christian Jahnke Dienstleistungen & KI-Marketing
Handelsname: MAYDAY SIM
Gulisastraße 93
56072 Koblenz
Deutschland

E-Mail: info@maydaysim.de
Telefon: +49 172 1439235

Weitere Informationen siehe Impressum. Die vertraglichen Grundlagen für die Nutzung von MAYDAY SIM ergeben sich aus den Allgemeinen Geschäftsbedingungen.

§2 Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten ausschließlich auf Basis der in Art. 6 Abs. 1 DSGVO genannten Rechtsgrundlagen:

• Registrierung und Login — Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Verarbeitung ist zur Bereitstellung des Nutzerkontos und des Spielzugangs erforderlich.
• Session-Cookies und Login-Schutz — Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Absicherung der Authentifizierung, Schutz vor Brute-Force-Angriffen (Account-Lockout nach fünf Fehlversuchen).
• Discord-OAuth (optional) — Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Nur bei ausdrücklicher Verknüpfung des Discord-Kontos. Datenquelle bei OAuth-Anmeldung: Die übermittelten Daten (Discord-User-ID, E-Mail-Adresse) werden nicht direkt beim Nutzer, sondern von Discord Inc. erhoben (Art. 14 DSGVO).
• Zahlungsabwicklung über Stripe — Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) in Verbindung mit Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrungspflichten nach AO und HGB).
• Spracheingabe (Ultimate-Tier) — Art. 6 Abs. 1 lit. b DSGVO: Verarbeitung von Sprachproben zur Interaktion mit dem Notruf-System, nur bei aktivem Ultimate-Abonnement und expliziter Nutzer-Aktion.

§3 Kategorien verarbeiteter Daten

Im Rahmen der Nutzung von MAYDAY SIM werden folgende Datenkategorien verarbeitet:

• Account-Daten: Name (optional), E-Mail-Adresse, Passwort-Hash (bcrypt).
• Nutzungs- und Protokolldaten: IP-Adresse (zur Umsetzung des Account-Lockouts), Session-Token, Zeitpunkt der letzten Anmeldung.
• Spielstand-Daten: Save-Files, Leitstellen, Wachen, Fahrzeuge, Einsätze, virtuelle Währung (LSC Coins), Cosmetic-Items.
• Zahlungsdaten: Abo-Status, Stripe-Customer-ID. Zahlungsmittel (Kreditkartennummer, SEPA-Daten etc.) werden ausschließlich von Stripe verarbeitet und nicht auf unseren Servern gespeichert.
• Sprachproben (nur Ultimate-Tier): Temporäre Audio-Samples zur Speech-to-Text-Verarbeitung durch ElevenLabs. Diese werden unmittelbar nach der Verarbeitung gelöscht.

§4 Auftragsverarbeiter (Art. 28 DSGVO)

Zur Erbringung des Services setzen wir Auftragsverarbeiter ein, mit denen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO abgeschlossen wurden:

• Hetzner Online GmbH (Gunzenhausen, Deutschland) — Server-Hosting. Alle Server-Daten werden in Deutschland gespeichert.
• NextAuth (Self-Hosted) — Session-Management. Läuft auf unserer eigenen Infrastruktur, keine Datenübermittlung an Dritte.
• Stripe Payments Europe, Ltd. (Dublin, Irland) — Zahlungsabwicklung. Übermittelt werden E-Mail-Adresse und Zahlungsdaten-Tokens.
• Discord Inc. (San Francisco, USA) — OAuth-Anmeldung (optional) und Community-Bot. Bei OAuth-Verknüpfung werden User-ID und E-Mail-Adresse übermittelt.
• ElevenLabs Inc. (New York, USA) — Text-to-Speech und Speech-to-Text für den Ultimate-Tier. Übermittelt werden Texte für die Sprachausgabe bzw. Audio-Samples für die Spracherkennung.

Rechtsgrundlage für US-Datenübermittlungen (Discord, ElevenLabs)

Datenübermittlung in die USA erfolgt primär auf Basis der EU-US Data Privacy Framework-Zertifizierung (Art. 45 DSGVO i. V. m. dem Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023). Ergänzend sind Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO als Fallback-Absicherung abgeschlossen, falls die DPF-Zertifizierung eines Anbieters ausläuft oder der Angemessenheitsbeschluss gerichtlich aufgehoben wird.

§5 Speicherdauer

Personenbezogene Daten werden nur so lange gespeichert, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen:

• Nutzerkonto: Bis zur Löschung durch den Nutzer. Nach Löschungsauftrag gilt eine Cooldown-Phase von sieben Tagen, innerhalb derer die Löschung widerrufen werden kann. Danach erfolgt die vollständige Entfernung (Hard-Purge).
• Spielstand-Daten nach Löschung: 48 Stunden Restore-Fenster für den Nutzer, danach bis zu 30 Tage für mögliche Admin-Restore. Anschließend Hard-Purge durch den Retention-Worker.
• Event-Stream (Audit-Trail): 30 Tage Retention nach Soft-Delete eines Aggregats.
• Datenbank-Backups: 30 Tage rollierende Aufbewahrung bei Hetzner Storage-Box (AES-256 verschlüsselt).
• Sprachproben: Werden unmittelbar nach der Verarbeitung durch ElevenLabs gelöscht, keine Speicherung unsererseits.
• Steuerrelevante Unterlagen: Zehn Jahre gemäß §147 AO (z. B. Rechnungen, Zahlungsbelege).

Die unterschiedlichen Fristen (sieben Tage Cooldown für das Nutzerkonto, 30 Tage Retention für Spielstand-Daten) ergeben sich aus unserem gestuften Löschkonzept: Das Konto selbst wird in einem beschleunigten Verfahren entfernt, während einzelne Spielstand-Daten durch einen separaten Retention-Prozess gelöscht werden.

§6 Betroffenenrechte

Als betroffene Person stehen Ihnen folgende Rechte zu:

• Auskunftsrecht (Art. 15 DSGVO) — unentgeltliche Auskunft über Ihre bei uns gespeicherten Daten.
• Recht auf Berichtigung (Art. 16 DSGVO) — Korrektur unrichtiger oder unvollständiger Daten.
• Recht auf Löschung(Art. 17 DSGVO, „Recht auf Vergessenwerden“) — sofern kein Ausnahmetatbestand greift.
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO).
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO) — Erhalt Ihrer Daten in einem strukturierten, maschinenlesbaren Format.
• Widerspruchsrecht (Art. 21 DSGVO) — gegen Verarbeitungen auf Basis berechtigter Interessen.
• Widerrufsrecht (Art. 7 Abs. 3 DSGVO) — Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden.

Zur Ausübung Ihrer Rechte genügt eine formlose Nachricht an info@maydaysim.de.

Beschwerderecht (Art. 77 DSGVO): Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig für den Verantwortlichen ist:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Hintere Bleiche 34
55116 Mainz
Deutschland
Telefon: +49 6131 208-2449
E-Mail: poststelle@datenschutz.rlp.de

Keine automatisierte Entscheidungsfindung (Art. 22 DSGVO)

Eine automatisierte Entscheidungsfindung mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung i. S. v. Art. 22 Abs. 1 DSGVO findet nicht statt. Der technische Account-Lockout nach fünf Fehlversuchen ist keine solche Entscheidung, sondern eine Sicherheitsmaßnahme und kann jederzeit vom Support zurückgesetzt werden.

§7 Cookies und Session-Management

MAYDAY SIM setzt ausschließlich technisch notwendige Cookies ein. Aktuell werden keine Tracking-, Analyse- oder Werbe-Cookies verwendet.

• NextAuth Session-Token (JWT) — HttpOnly, SameSite=Lax, Secure (im Produktivbetrieb). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO und §25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderlich). Speicherdauer: 30 Tage ab letzter Aktivität.

Sollten künftig optionale Cookies (etwa privacy-freundliche Reichweitenmessung) eingesetzt werden, erfolgt dies ausschließlich auf Basis einer vorherigen Einwilligung über einen Consent-Banner gemäß §25 Abs. 1 TDDDG.

§8 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

MAYDAY SIM setzt folgende Maßnahmen zum Schutz personenbezogener Daten ein:

• Transport-Verschlüsselung via TLS 1.3
• Passwort-Hashing mit bcrypt
• HttpOnly-, SameSite- und Secure-Session-Cookies
• Account-Lockout nach fünf Fehlversuchen
• Multi-Layer-Tenant-Isolation (PostgreSQL Row-Level-Security + App-Layer scopedQuery + CASL-Permissions)
• Verschlüsselte Backups (AES-256)
• Secret-Management via Environment-Variablen (niemals im Code)
• Zugriffsbeschränkung auf Produktionsdatenbank via WireGuard-VPN

§9 Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen der Rechtslage oder bei Anpassungen des Services zu aktualisieren. Die jeweils aktuelle Fassung ist unter dieser URL abrufbar.

Stand: 2026-05-12