Datenschutzerklärung
1. Verantwortlicher und Datenschutzbeauftragter
Verantwortlicher im Sinne der DSGVO:
Martin Pfeffer
Flughafenstraße 24
12053 Berlin
E-Mail: support@celox.io
Der Datenschutzbeauftragte ist der Verantwortliche selbst. Bei Fragen zum Datenschutz wenden Sie sich bitte an die oben genannte E-Mail-Adresse.
2. Übersicht der Verarbeitungen
Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen.
- Bestandsdaten (Name, E-Mail-Adresse)
- Nutzungsdaten (verwendete Opener, Bewertungen, Favoriten, Kommentare)
- Meta-/Kommunikationsdaten (IP-Adressen, Browserinformationen)
- Zahlungsdaten (werden ausschließlich von Stripe verarbeitet)
3. Rechtsgrundlagen
Wir verarbeiten Ihre Daten auf folgenden Rechtsgrundlagen:
- Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) — Registrierung, Nutzerkonto, Premium-Kauf, Opener-Nutzung
- Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) — Google-Anmeldung, Altersverifizierung, Kommentare
- Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) — Sicherheit, Missbrauchsprävention (Rate Limiting), technisch notwendige Cookies
4. Registrierung und Nutzerkonto
E-Mail/Passwort-Registrierung
Bei der Registrierung erheben wir: Name, E-Mail-Adresse und ein Passwort. Das Passwort wird ausschließlich als kryptografischer Hash (bcrypt, 12 Runden) gespeichert — wir haben keinen Zugriff auf das Klartext-Passwort. Zur Verifizierung Ihrer E-Mail-Adresse senden wir einen Bestätigungslink.
Google OAuth-Anmeldung
Bei der Anmeldung über Google erhalten wir: Name, E-Mail-Adresse und Profilbild. Wir verwenden diese Daten ausschließlich zur Erstellung und Verwaltung Ihres Nutzerkontos. Die Datenübermittlung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Weitere Informationen: Google Datenschutzbestimmungen.
Speicherdauer
Ihre Kontodaten werden gespeichert, solange Ihr Konto aktiv ist. Bei Löschung des Kontos werden alle personenbezogenen Daten (Profildaten, Nutzungshistorie, Favoriten, Kommentare, Einreichungen, Achievements) innerhalb von 24 Stunden unwiderruflich gelöscht. Eine Konto-Löschung ist jederzeit über die Profileinstellungen möglich.
5. Nutzungsdaten
Wir speichern Informationen darüber, welche Opener Sie verwendet, bewertet, kommentiert oder als Favorit markiert haben. Diese Daten dienen:
- Der Personalisierung Ihres Erlebnisses (Favoriten, Statistiken)
- Der Berechnung von Achievements und XP/Level-Fortschritt
- Der Erstellung anonymisierter globaler Statistiken (z.B. beliebteste Opener)
Globale Statistiken werden ausschließlich in anonymisierter, aggregierter Form angezeigt. Kein anderer Nutzer kann Ihre individuelle Nutzungshistorie einsehen.
6. Cookies und lokaler Speicher
Wir verwenden folgende Cookies und lokale Speicher:
| Name | Zweck | Dauer | Rechtsgrundlage |
|---|---|---|---|
| auth_token | Authentifizierung (JWT) | 30 Tage | Art. 6 Abs. 1 lit. f |
| age_verified | Altersverifizierung (18+) | Dauerhaft | Art. 6 Abs. 1 lit. a |
| pwa-install-dismissed | PWA-Installationshinweis | Dauerhaft | Art. 6 Abs. 1 lit. f |
Der auth_token ist ein HttpOnly-Cookie, der nicht per JavaScript auslesbar ist. Er enthält eine verschlüsselte Nutzer-ID und wird nur zur Authentifizierung verwendet.
7. E-Mail-Versand (SMTP)
Wir versenden E-Mails über den SMTP-Dienst unseres Hosting-Providers für folgende Zwecke:
- E-Mail-Verifizierung bei der Registrierung
- Passwort-Reset-Links
- Antworten auf Kontaktanfragen
Die Absenderadresse ist support@celox.io. Wir versenden keine Marketing-E-Mails oder Newsletter ohne Ihre ausdrückliche Einwilligung.
8. Zahlungsabwicklung (Stripe)
Für Premium-Käufe nutzen wir Stripe, Inc., 354 Oyster Point Blvd, South San Francisco, CA 94080, USA. Bei einer Zahlung werden Sie auf die Stripe Checkout-Seite weitergeleitet. Ihre Zahlungsdaten (Kreditkartennummer, Bankverbindung) werden ausschließlich von Stripe verarbeitet und zu keinem Zeitpunkt an uns übermittelt oder auf unseren Servern gespeichert. Wir erhalten von Stripe lediglich eine Bestätigung über den erfolgreichen Zahlungseingang sowie Ihre E-Mail-Adresse zur Zuordnung. Stripe ist unter dem EU-US Data Privacy Framework zertifiziert. Datenschutzerklärung von Stripe.
9. Server und Hosting
Unsere Website wird auf einem Virtual Private Server (VPS) in Deutschland gehostet. Der Server erhebt automatisch Server-Log-Dateien mit: Browsertyp/-version, Betriebssystem, Referrer-URL, Hostname, Uhrzeit der Anfrage und IP-Adresse. Diese Daten werden nicht mit anderen Datenquellen zusammengeführt und nach 14 Tagen automatisch gelöscht.
10. Sicherheitsmaßnahmen
Wir setzen folgende technische und organisatorische Maßnahmen zum Schutz Ihrer Daten ein:
- SSL/TLS-Verschlüsselung (Let's Encrypt) für alle Datenübertragungen
- Kryptografische Passwort-Hashung (bcrypt)
- HttpOnly-Cookies gegen XSS-Angriffe
- Rate Limiting gegen Brute-Force-Angriffe
- Input-Sanitization gegen Injection-Angriffe
- Regelmäßige Sicherheitsupdates des Servers
11. Ihre Rechte (DSGVO)
Sie haben folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:
- Auskunft (Art. 15 DSGVO) — Sie können jederzeit eine Auskunft über die zu Ihrer Person gespeicherten Daten verlangen.
- Berichtigung (Art. 16 DSGVO) — Sie können die Berichtigung unrichtiger Daten verlangen. Name und Passwort können Sie direkt in Ihrem Profil ändern.
- Löschung (Art. 17 DSGVO) — Sie können die Löschung Ihrer Daten verlangen. Die Löschung Ihres Kontos ist jederzeit über die Profileinstellungen möglich ("Konto löschen").
- Einschränkung (Art. 18 DSGVO) — Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
- Datenübertragbarkeit (Art. 20 DSGVO) — Sie können Ihre Daten in einem maschinenlesbaren Format (JSON) über die Profileinstellungen exportieren ("Daten exportieren").
- Widerspruch (Art. 21 DSGVO) — Sie können der Verarbeitung Ihrer Daten widersprechen, sofern die Verarbeitung auf berechtigten Interessen beruht.
- Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) — Erteilte Einwilligungen (z.B. Google-Anmeldung) können Sie jederzeit mit Wirkung für die Zukunft widerrufen.
Zur Ausübung Ihrer Rechte kontaktieren Sie uns bitte unter support@celox.io. Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die zuständige Aufsichtsbehörde ist die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Friedrichstr. 219, 10969 Berlin.
12. Minderjährigenschutz
Unser Angebot richtet sich ausschließlich an Personen ab 18 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Minderjährigen. Der Zugang zur App erfordert eine Altersverifizierung. Sollten wir Kenntnis davon erlangen, dass Daten von Minderjährigen erhoben wurden, werden diese unverzüglich gelöscht.
13. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Die aktuelle Fassung finden Sie stets auf dieser Seite.
Stand: März 2026