Datenschutzerklärung

Informationen gemäß Art. 13, 14 DSGVO

Wichtiger Hinweis

Diese Website ist ein privates, nicht-kommerzielles Hobbyprojekt für den GamingLife Roleplay-Server. Alle beschriebenen Datenverarbeitungen dienen ausschließlich dem Betrieb dieses Rollenspiel-Portals. Es werden keine Daten zu kommerziellen Zwecken verarbeitet oder an Dritte verkauft.

Inhaltsverzeichnis

  1. 1. Verantwortlicher
  2. 2. Grundsätze der Datenverarbeitung
  3. 3. Discord OAuth (Anmeldung)
  4. 4. Sessions & Cookies
  5. 5. Server-Logs & Aktivitätsprotokoll
  6. 6. Nutzerkonten & Charaktersystem
  7. 7. Anträge & Lizenzen
  8. 7b. Mitarbeiterdaten fiktiver Unternehmen
  9. 8. Dokumentenspeicherung (WebDAV)
  10. 9. Cloudflare (CDN & DDoS-Schutz)
  11. 10. Echtzeit-Kommunikation (WebSocket)
  12. 11. Externe Ressourcen
  13. 12. PDF-Generierung
  14. 13. RhineID – Single Sign-On
  15. 14. Ihre Rechte
  16. 15. Speicherdauer
  17. 16. Datensicherheit
  18. 17. Änderungen dieser Datenschutzerklärung

1.Verantwortlicher

rheinstadt.gg - Niclas Schütze

c/o Online-Impressum #6958

Europaring 90

53757 Sankt Augustin

E-Mail: kontakt@rhinebyte.dev

2.Grundsätze der Datenverarbeitung

Der Betreiber dieser Website verarbeitet personenbezogene Daten ausschließlich im Rahmen des Betriebs des fiktiven Rollenspiel-Portals „Stadtverwaltung Rheinstadt". Die Verarbeitung erfolgt auf Basis folgender Rechtsgrundlagen gemäß DSGVO:

  • Art. 6 Abs. 1 lit. a DSGVO – Einwilligung (z.B. bei der Discord-Anmeldung)
  • Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung / vorvertragliche Maßnahmen (Bereitstellung der Portal-Funktionen)
  • Art. 6 Abs. 1 lit. f DSGVO – Berechtigte Interessen des Betreibers (Sicherheit, Missbrauchsschutz)

3.Discord OAuth – Anmeldung mit Discord

Die Anmeldung auf dieser Website erfolgt ausschließlich über den OAuth 2.0-Dienst von Discord Inc., 444 De Haro Street, Suite 200, San Francisco, CA 94107, USA. Es gibt keine eigenständige Registrierung per E-Mail und Passwort.

Beim Discord-Login werden folgende Daten übertragen und gespeichert:

  • Discord-ID – eindeutige Nutzerkennung (dauerhaft gespeichert)
  • Discord-Nutzername – für die Anzeige im Portal (dauerhaft gespeichert)
  • Avatar-Hash – für die Profilbildanzeige; das Bild selbst wird direkt über Discord CDN geladen, nicht lokal gespeichert
  • Guild-Mitgliedschaft – Prüfung der Server-Zugehörigkeit (Pflichtvoraussetzung); wird nicht dauerhaft gespeichert
  • Discord OAuth-Zugriffstoken – wird ausschließlich in der serverseitigen Session verarbeitet und nicht dauerhaft in der Datenbank gespeichert. Er dient der Prüfung der Discord-Server-Mitgliedschaft beim Zugriff auf geschützte Inhalte und wird mit dem Abmelden oder Ablauf der Session verworfen.

Profilbilder werden direkt über die URL cdn.discordapp.com von Discords eigenen Servern geladen – dabei wird Ihre IP-Adresse an Discord übermittelt. Weitere Informationen zur Datenverarbeitung durch Discord finden Sie in der Datenschutzerklärung von Discord.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a und b DSGVO.

4.Sessions & Cookies

Diese Website verwendet eine datenbankgestützte Session-Verwaltung. Nach erfolgreicher Anmeldung wird ein Session-Cookie in Ihrem Browser gesetzt, das eine zufällig generierte Session-ID enthält. Die eigentlichen Session-Daten werden serverseitig in der Datenbank gespeichert – nicht im Cookie selbst.

Cookie Zweck Laufzeit Typ
laravel-session Sitzungsverwaltung nach Login Bis zum manuellen Abmelden oder Schließen des Browsers Technisch notwendig
XSRF-TOKEN Schutz vor Cross-Site-Request-Forgery Sitzung Technisch notwendig
rheinstadt_access Zugangsnachweis nach Eingabe des Seiten-Passworts (Passwort-Gate) 24 Stunden Technisch notwendig
__cf_bm Cloudflare Bot-Schutz (nur bei aktivem Cloudflare-Proxy) 30 Minuten Technisch notwendig

Die Anmeldung bleibt aktiv, bis du dich manuell abmeldest oder den Browser-Cookie löschst. Es werden keine Tracking-Cookies, Werbe-Cookies oder Analyse-Cookies gesetzt. Die verwendeten Cookies sind ausschließlich technisch notwendig für den Betrieb des Portals.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb).

5.Server-Logs & Aktivitätsprotokoll

Der Webserver erfasst bei jedem Aufruf automatisch folgende Daten in Server-Logfiles:

  • IP-Adresse des anfragenden Geräts
  • Datum und Uhrzeit des Zugriffs
  • Aufgerufene URL und HTTP-Methode
  • HTTP-Statuscode
  • Übertragene Datenmenge
  • Browser-Typ und Betriebssystem (User-Agent)

Diese Daten werden für maximal 7 Tage gespeichert und dienen ausschließlich der Fehlerdiagnose und Sicherstellung des stabilen Betriebs.

Zusätzlich protokolliert die Anwendung sicherheitsrelevante Aktionen (z.B. Erstellung oder Änderung von Datensätzen) im Aktivitätsprotokoll (Spatie Laravel Activity Log). Dabei werden Nutzer-ID, Zeitstempel, betroffenes Objekt und Art der Aktion gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

6.Nutzerkonten & Charaktersystem

Nach der Discord-Anmeldung können Nutzer einen oder mehrere Spielcharaktere anlegen, die mit ihrem Discord-Account verknüpft sind. Im Rahmen des Charaktersystems werden folgende Daten verarbeitet:

Nutzerkonto – Reale Identifikationsdaten (von Discord)

  • Discord-ID – eindeutige, reale Nutzerkennung
  • Discord-Benutzername und Avatar-Hash
  • Discord OAuth-Zugriffstoken (nur in der Session, nicht in der Datenbank – siehe Abschnitt 3)
  • Zeitpunkt der Registrierung, Kontostatus sowie ggf. Sperrgrund

Nutzerkonto – Im RP-Kontext angegebene Daten (fiktiv)

Diese Angaben werden bei der Registrierung für das Rollenspiel eingegeben und sind im Sinne des Portals fiktive Charakterdaten, die auf Kontoebene gespeichert werden.

  • Fiktiver Vorname und Nachname (RP-Name)
  • Fiktives Geburtsdatum
  • Optional: Telefonnummer, Adresse, Stadt, Postleitzahl (fiktive RP-Kontaktangaben)

Charakter – Fiktive RP-Daten

  • Fiktiver Vorname und Nachname
  • Fiktives Geburtsdatum
  • Passnummer (fiktiv, automatisch generiert)
  • Zugewiesene Rollen und Berechtigungen im Portal
  • Zugehörigkeit zu fiktiven Unternehmen oder Behörden

Charakter – Reale technische Kennung

  • FiveM License-Identifier – eindeutiger, gehashter Bezeichner des Spielers (siehe unten)

Was ist der FiveM License-Identifier?

Der FiveM License-Identifier (kurz: license:xxxxxxxx…) ist ein gehashter, eindeutiger Wert, der von den Rockstar Online Services (ROS) generiert wird. Er basiert auf dem Aktivierungsschlüssel deiner GTA V-Lizenz in deinem Rockstar Games Social Club-Konto und dient als Nachweis, dass du eine legitime Kopie des Spiels besitzt.

  • Er ist dauerhaft und serverübergreifend stabil – bleibt für ein Social-Club-Konto immer gleich
  • Er enthält keine direkt lesbaren personenbezogenen Daten (kein Name, keine E-Mail), ist aber einem Rockstar-Konto eindeutig zuordenbar
  • Er wird beim Verbindungsaufbau mit dem FiveM-Server automatisch vom FiveM-Client übermittelt und vom Server zur Spieleridentifikation genutzt
  • Dieses Portal speichert den Identifier ausschließlich zur Verknüpfung des Ingame-Charakters mit dem Portalaccount

Betreiber von Rockstar Online Services: Take-Two Interactive Software, Inc., 110 West 44th Street, New York, NY 10036, USA. Datenschutzerklärung: rockstargames.com/privacy

Die Verifikation von Charakteren erfolgt über die FiveM-Server-API, wobei der License-Identifier mit den Serverdaten abgeglichen wird.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a und b DSGVO.

7.Anträge & Lizenzen

Nutzer können über das Portal fiktive Anträge (z.B. für Gewerbegenehmigungen, Lizenzen) einreichen. Im Rahmen dieses Prozesses werden verarbeitet:

Reale personenbezogene Daten (Verknüpfung zum Nutzerkonto)

  • Discord-ID des Antragstellers – zur eindeutigen Zuordnung des Antrags zum Nutzerkonto

Fiktive RP-Daten (Antragsinhalte)

  • Fiktiver Charaktername und Charakter-ID des Antragstellers
  • Fiktive Kontaktangaben (RP-E-Mail-Adresse, RP-Adresse)
  • Antragsinhalte gemäß Antragstyp (z. B. Charaktername, fiktives Geburtsdatum, fiktive Adresse)
  • Zeitstempel der Einreichung und Bearbeitung
  • Bearbeitungsstatus und Vermerke durch Verwaltungsmitarbeiter
  • Generierte PDF-Dokumente (digital signiert)
  • Ausgestellte Lizenz-Informationen (Nummer, Gültigkeit, Status)

Gelöschte Anträge werden im System als „soft-deleted" markiert, d. h. die Daten sind technisch noch vorhanden, aber im regulären Betrieb nicht sichtbar. Eine vollständige Löschung erfolgt auf ausdrücklichen Wunsch (Art. 17 DSGVO).

Generierte PDFs werden digital mit einem Zertifikat signiert und auf dem Server gespeichert. Sie enthalten ausschließlich fiktive Rollenspieldaten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

7b.Mitarbeiterdaten fiktiver Unternehmen

Charaktere, die in fiktiven Unternehmen innerhalb des Rollenspiels beschäftigt sind, können im Portal als Mitarbeiter geführt werden. Dabei werden folgende Daten verarbeitet:

Reale personenbezogene Daten

  • Discord-ID – zur Verknüpfung mit dem realen Nutzerkonto

Fiktive RP-Daten

  • Fiktiver Charaktername, Position und Abteilung
  • Fiktive Passnummer des Charakters
  • Fiktive Kontaktdaten im Unternehmenskontext (RP-E-Mail, Telefon)
  • Fiktive IBAN (sofern für RP-Gehaltsabrechnungen hinterlegt – wird ausschließlich im Rollenspielkontext genutzt)
  • Einstellungs- und ggf. Kündigungsdatum im fiktiven Arbeitsverhältnis

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

8.Dokumentenspeicherung (WebDAV / Hetzner Storagebox)

Hochgeladene Dateien und generierte Dokumente werden auf einer Hetzner Storagebox gespeichert, die über das WebDAV-Protokoll angebunden ist. Betreiber der Infrastruktur ist:

Hetzner Online GmbH

Industriestr. 25, 91710 Gunzenhausen, Deutschland

Datenschutzerklärung: hetzner.com/de/rechtliches/datenschutz

Auf der Storagebox werden ausschließlich fiktive Dokumente im Rahmen des Rollenspiels gespeichert. Persönliche Dateien der Nutzer (z.B. private Fotos) werden nicht gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

9.Cloudflare – CDN & DDoS-Schutz

Diese Website nutzt den Dienst Cloudflare als vorgelagertes Content Delivery Network (CDN) mit aktiviertem Proxy-Modus. Das bedeutet, dass alle Anfragen an diese Website zunächst über Cloudflare-Server geleitet werden, bevor sie den eigentlichen Webserver erreichen.

Anbieter

Cloudflare, Inc.

101 Townsend St., San Francisco, CA 94107, USA

Datenschutzerklärung: cloudflare.com/de-de/privacypolicy

Durch den Einsatz von Cloudflare werden folgende Daten verarbeitet:

  • IP-Adresse des Besuchers – Cloudflare empfängt die Anfrage und leitet die echte IP per CF-Connecting-IP-Header an unseren Server weiter, sodass beide Seiten die IP kennen
  • HTTP-Anfragen inkl. aufgerufener URL, Methode, Statuscode
  • User-Agent (Browser-Typ und Version)
  • Geolocation auf Basis der IP-Adresse (Land/Region)
  • Cloudflare kann eigene Cookies setzen (z.B. __cf_bm für Bot-Erkennung)

Cloudflare dient dabei dem Schutz vor DDoS-Angriffen, der Optimierung der Ladezeiten durch globale Caching-Infrastruktur sowie der Absicherung der Verbindung über TLS/HTTPS. Cloudflare verarbeitet Daten nach eigenen Angaben nur zur Erbringung des Dienstes und nicht für eigene Werbezwecke.

Die Datenübertragung in die USA erfolgt auf Basis der Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO sowie des EU-U.S. Data Privacy Framework.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Verfügbarkeit der Website).

10.Echtzeit-Kommunikation (eigener WebSocket-Server)

Für Echtzeit-Funktionen (Live-Benachrichtigungen, Breaking-News-Banner, Live-Updates) wird ein eigener WebSocket-Server betrieben, der auf der gleichen Infrastruktur wie diese Website gehostet ist.

  • Der WebSocket-Server wird vom Betreiber dieser Website selbst betrieben – es werden keine Drittanbieter-Dienste wie Pusher.com genutzt.
  • Bei der WebSocket-Verbindung wird Ihre IP-Adresse kurzzeitig verarbeitet.
  • Die Verbindung ist TLS-verschlüsselt.
  • Es werden keine personenbezogenen Daten dauerhaft auf dem WebSocket-Server gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

11.Externe Ressourcen

Diese Website lädt einzelne Ressourcen von externen CDN-Diensten. Dabei wird Ihre IP-Adresse an den jeweiligen Anbieter übermittelt:

Ressource Herkunft Zweck
Discord Avatare cdn.discordapp.com Nutzerprofilbilder
SweetAlert2 Lokal (self-hosted) Dialogfenster / Benachrichtigungen
Alpine.js Lokal (self-hosted) Interaktive UI-Komponenten
Font Awesome Lokal (self-hosted) Icons
TinyMCE Lokal (self-hosted) Rich-Text-Editor (nur Admin)

Die einzige externe Ressource ist die Ladung von Discord-Profilbildern direkt über cdn.discordapp.com. Alle anderen JS- und CSS-Bibliotheken werden vom eigenen Server ausgeliefert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

12.PDF-Generierung

Für genehmigte Anträge und Lizenzen werden PDF-Dokumente serverseitig generiert (mittels DOMPDF / FPDI). Diese PDFs enthalten ausschließlich fiktive Rollenspieldaten (Charaktername, Lizenznummer, Ausstellungsdatum) und werden auf dem Server für den Download durch den jeweiligen Nutzer bereitgehalten.

PDFs können optional digital signiert werden. Das verwendete Signaturzertifikat ist ein internes Zertifikat des Portal-Betreibers und hat keine Rechtswirkung im Sinne qualifizierter elektronischer Signaturen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

13.RhineID – Single Sign-On für GamingLife-Dienste

Das Portal betreibt unter dem Namen RhineID eine OAuth 2.0-Schnittstelle (basierend auf Laravel Passport), über die autorisierte GamingLife-Dienste im Namen eines Nutzers auf bestimmte Daten des Stadtverwaltungsportals zugreifen können.

Die RhineID ermöglicht es, sich mit einem einzigen Konto bei verschiedenen GamingLife-Diensten anzumelden, ohne diese Dienste separate Passwörter vergeben zu müssen.

Technische Details

  • Zugriffs-Token sind 15 Tage, Refresh-Token 30 Tage gültig
  • Persönliche API-Token haben eine Gültigkeit von 6 Monaten
  • Nutzer können erteilte Zugriffsberechtigungen jederzeit widerrufen

Freigegebene Daten (Scopes)

  • openid – bestätigt die Identität des Nutzers
  • profile – Charaktername, Passnummer, Rollen
  • email – fiktive E-Mail-Adresse im Format passnummer@rheinstadt.gg

Hinweis: Die „E-Mail-Adresse" im RhineID-System ist eine rein fiktive Kennung auf Basis der Passnummer des Spielcharakters. Es handelt sich nicht um eine echte E-Mail-Adresse.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a und b DSGVO.

14.Ihre Rechte als betroffene Person

Gemäß DSGVO stehen Ihnen folgende Rechte zu:

Auskunftsrecht (Art. 15 DSGVO)

Sie können Auskunft über die zu Ihrer Person gespeicherten Daten verlangen.

Berichtigungsrecht (Art. 16 DSGVO)

Sie können die Berichtigung unrichtiger Daten verlangen.

Löschungsrecht (Art. 17 DSGVO)

Sie können die Löschung Ihrer Daten verlangen, sofern keine Aufbewahrungspflicht besteht.

Einschränkungsrecht (Art. 18 DSGVO)

Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.

Datenübertragbarkeit (Art. 20 DSGVO)

Sie können Ihre Daten in einem maschinenlesbaren Format anfordern.

Widerspruchsrecht (Art. 21 DSGVO)

Sie können der Verarbeitung auf Basis berechtigter Interessen widersprechen.

Zur Ausübung Ihrer Rechte wenden Sie sich über den GamingLife Discord-Server oder per E-Mail (kontakt@rhinebyte.dev) an den Verantwortlichen.

Sie haben außerdem das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Die zuständige Aufsichtsbehörde richtet sich nach Ihrem Wohnort in Deutschland.

15.Speicherdauer

Datenart Speicherdauer
Server-Logs Max. 7 Tage
Session-Daten Bis zum manuellen Abmelden oder Schließen des Browsers
Nutzerkonten & Charakterdaten Bis zur Accountlöschung oder Ende des Projekts
Anträge & Lizenzen Für die Projektlaufzeit (fiktive Verwaltungsvorgänge); auf Wunsch früher löschbar
Mitarbeiterdaten (inkl. IBAN) Bis zur Kündigung im fiktiven Unternehmen oder auf Wunsch jederzeit löschbar
Discord OAuth-Zugriffstoken Nur für die Dauer der Session – wird nicht in der Datenbank gespeichert
Aktivitätsprotokoll Max. 30 Tage (rollierend)
OAuth-Token Bis zum Ablauf (15/30 Tage) oder Widerruf

16.Datensicherheit

Der Betreiber setzt folgende technische und organisatorische Maßnahmen zum Schutz Ihrer Daten ein:

  • TLS/HTTPS-Verschlüsselung für alle Verbindungen
  • CSRF-Schutz für alle Formulare
  • Datenbankbasierte Sessions – keine sensiblen Daten im Browser-Cookie
  • Rollenbasiertes Berechtigungssystem (Spatie Laravel Permission)
  • Aktivitätsprotokoll für sicherheitsrelevante Aktionen
  • Verschlüsselte WebSocket-Verbindungen (WSS/TLS)
  • Passwort-Gate für nicht-öffentliche Bereiche

17.Änderungen dieser Datenschutzerklärung

Der Betreiber behält sich vor, diese Datenschutzerklärung bei technischen Änderungen des Portals oder bei Änderungen der Rechtslage anzupassen. Die jeweils aktuelle Version ist unter /datenschutz abrufbar.

Stand: 26.03.2026
Zum Impressum Zurück zur Startseite