Datenschutzerklärung

Verantwortlicher im Sinne der DSGVO:

Marco Vo (Noxgarrt / Fellurion)
Nürnberg, Deutschland

E-Mail: fellurion@outlook.de

Eine Datenschutzbeauftragte oder ein Datenschutzbeauftragter ist nicht bestellt, sofern keine gesetzliche Pflicht besteht.

Estaris ist ein Web-Backend und Desktop-Begleiter für League of Legends. Wir verarbeiten nur Daten, die für den Betrieb des Kontos, die Authentifizierung und die Anbindung des Desktop-Clients nötig sind.

Grundsätze:

• Kein Verkauf personenbezogener Daten
• Kein Tracking zu Werbezwecken
• Keine automatisierten Entscheidungen mit rechtlicher Wirkung
• Passwörter werden ausschließlich gehasht gespeichert

Erhobene Daten:

• E-Mail-Adresse (Pflicht)
• Passwort (nur gehasht, mindestens 12 Zeichen)
• Spracheinstellung (de/en)
• Registrierungszeitpunkt

Zweck: Anlegen und Verwalten deines Nutzerkontos, Anmeldung, Zwei-Faktor-Authentifizierung (TOTP).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bzw. vorvertragliche Maßnahmen).

Ablauf: Bei der Registrierung speichern wir deine Angaben zunächst als ausstehende Registrierung (max. 48 Stunden). Erst nach Klick auf den Bestätigungslink in der E-Mail wird das Konto angelegt. Abgelaufene Einträge werden gelöscht.

2FA: Wenn du Zwei-Faktor-Authentifizierung aktivierst, speichern wir ein verschlüsseltes TOTP-Geheimnis und gehashte Backup-Codes. Ohne 2FA existieren diese Felder nicht bzw. bleiben leer.

Desktop-Client (Session-Autorisierung):

• Client-Bezeichnung (vom Estaris-Client angegeben)
• Gehashte Session- und Zugriffstoken (kein Klartext in der Datenbank)
• Erstellungs-, Ablauf- und letzte Nutzungszeitpunkte

Zweck: Sichere Anbindung des Estaris-Desktop-Clients an dein Konto.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Technische Protokolldaten: Beim Aufruf der Website können Server- und Sicherheitsprotokolle (IP-Adresse, Zeitstempel, angeforderte URL, User-Agent) kurzzeitig anfallen – ausschließlich zum Betrieb, zur Fehleranalyse und zum Schutz vor Missbrauch (Login-Drosselung, Rate-Limits).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Stabilität und Sicherheit).

Wenn du einen Riot-Account verknüpfst oder einen persönlichen Riot-API-Schlüssel hinterlegst, verarbeiten wir:

• Riot-ID (Spielname und Tag)
• PUUID (Riot-interne Spielerkennung)
• Plattform/Region
• API-Schlüssel verschlüsselt (falls du einen eigenen Dev-Key nutzt)

Zweck: Anzeige von Builds, Match-Daten und Overlay-Funktionen im Rahmen der offiziellen Riot-Schnittstellen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Riot Games ist separater Verantwortlicher für Daten in deren Systemen. Es gelten zusätzlich die Datenschutzhinweise von Riot Games.

Wir setzen nur technisch notwendige Cookies bzw. Session-Daten ein:

• Session-Cookie – hält deine Anmeldung und Spracheinstellung während des Besuchs (httponly, secure, SameSite=Strict)
• Remember-Me-Cookie – optional, wenn du „Angemeldet bleiben“ wählst (max. 7 Tage, httponly, secure, SameSite=Strict)
• CSRF-Token – Schutz vor Cross-Site-Request-Forgery bei Formularen

Es werden keine Analyse-, Marketing- oder Drittanbieter-Tracking-Cookies eingesetzt.

Cloudflare Turnstile (falls aktiviert): Beim Login kann ein Captcha von Cloudflare geladen werden. Dabei können technische Daten an Cloudflare übermittelt werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Bot-Schutz).

Zum Schutz deiner Daten setzen wir unter anderem ein:

• HTTPS-Verschlüsselung (TLS)
• Passwort-Hashing (modernes Verfahren via Symfony Security)
• Pflicht-Zwei-Faktor-Authentifizierung nach der Erstanmeldung
• Login-Drosselung (max. 5 Fehlversuche)
• CSRF-Schutz auf allen statusändernden Formularen
• Verschlüsselung sensibler Felder (TOTP-Secret, API-Schlüssel) in der Datenbank
• Sicherheits-HTTP-Header (u. a. X-Frame-Options, X-Content-Type-Options, Content-Security-Policy, HSTS)

Daten werden nur weitergegeben, wenn es für den Betrieb erforderlich ist:

• Hosting/Infrastruktur – Server, Datenbank (PostgreSQL), Redis (Sessions), je nach Deployment beim Betreiber oder einem EU-Hoster
• E-Mail-Versand – über den konfigurierten SMTP-Dienst (z. B. Bestätigungsmail bei Registrierung)
• Cloudflare Turnstile – optional beim Login (Bot-Schutz)
• Riot Games API – bei Verknüpfung deines Riot-Accounts, um öffentliche Spieldaten abzurufen

Mit Auftragsverarbeitern werden, soweit erforderlich, Verträge gemäß Art. 28 DSGVO geschlossen.

• Ausstehende Registrierung: max. 48 Stunden, danach Löschung
• Nutzerkonto: bis zur Löschung durch dich oder uns
• API-/Session-Token: bis Widerruf, Ablauf oder Kontolöschung
• Server-Logs: rollierend, typischerweise wenige Tage bis Wochen

Nach Kontolöschung werden personenbezogene Daten gelöscht oder anonymisiert, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Du hast gegenüber dem Verantwortlichen folgende Rechte:

• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen (Art. 21 DSGVO)
• Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO) mit Wirkung für die Zukunft

Anfragen richte bitte an fellurion@outlook.de. Wir antworten in der Regel innerhalb eines Monats.

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren – insbesondere in dem EU-Mitgliedstaat deines Wohnsitzes, deines Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes.

Für Deutschland zuständig ist die Aufsichtsbehörde des Bundeslandes, in dem der Verantwortliche seinen Sitz hat.

Wir passen diese Erklärung an, wenn sich unsere Verarbeitung oder rechtliche Anforderungen ändern. Die aktuelle Fassung findest du stets unter https://estaris.noxgarrt.net/de/legal/privacy.

Bei wesentlichen Änderungen informieren wir registrierte Nutzer, sofern erforderlich, per E-Mail oder Hinweis im Konto.