Datenschutzerklärung

Transparenz und Schutz Ihrer Daten stehen bei uns an erster Stelle

Verantwortliche Stelle

Verantwortlich für die Datenverarbeitung ist 404brainnotfound. Weitere Kontaktmöglichkeiten finden Sie im Impressum.

E-Mail: datenschutz@404brainnotfound.at

Server-Log-Daten

Bei jedem Aufruf unserer Website werden automatisch technische Zugriffsdaten erfasst:

  • IP-Adresse, Datum und Uhrzeit des Zugriffs
  • Angeforderte URL, HTTP-Methode und Statuscode
  • Referrer-URL, Browsertyp/-version, Betriebssystem

Zweck: Sicherstellung des Betriebs, Fehlerbehebung und Absicherung gegen Angriffe.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
Speicherdauer: in der Regel ≤ 30 Tage.

Nutzerkonto und Authentifizierung

Zur Nutzung bestimmter Funktionen (Aufgabenverwaltung, Spiele, Projektübersicht) ist ein Benutzerkonto erforderlich. Konten werden ausschließlich vom Betreiber angelegt; eine Selbstregistrierung ist nicht möglich.

Verarbeitete Daten

  • Kontodaten: Benutzername, E-Mail-Adresse, Passwort (bcrypt-gehasht), Avatar-Emoji, Rolle (Nutzer/Moderator/Admin)
  • Zeitstempel: Erstellungsdatum, letztes Änderungsdatum, letztes Anmeldedatum
  • Passwort-Reset: temporäre Reset-Tokens (Ablauf nach 1 Stunde)

Anmeldeverlauf und Sicherheitsprotokollierung

Zur Erkennung unbefugter Zugriffe speichern wir bei jedem Anmeldeversuch:

  • IP-Adresse, User-Agent (Browserkennung)
  • Zeitpunkt, Erfolg oder Misserfolg des Anmeldeversuchs

Bei Anmeldung von einer unbekannten IP-Adresse oder nach mehreren Fehlversuchen (ab dem 3. Versuch) erhalten Sie automatisch eine Sicherheits-E-Mail. Gleiches gilt bei Änderung von Passwort oder E-Mail-Adresse.

Zwecke und Rechtsgrundlagen

  • Art. 6 Abs. 1 lit. b DSGVO: Vertragserfüllung (Bereitstellung des Nutzerkontos und der damit verbundenen Funktionen)
  • Art. 6 Abs. 1 lit. f DSGVO: Berechtigtes Interesse an der Kontosicherheit und Missbrauchserkennung

Speicherdauer

  • Kontodaten: bis zur Löschung des Kontos durch den Betreiber
  • Anmeldeverlauf: bis zur Kontolöschung oder nach angemessener Frist
  • Reset-Tokens: automatisch nach 1 Stunde oder nach Verwendung

E-Mail-Benachrichtigungen

Wir versenden automatisierte E-Mails in folgenden Fällen:

  • Anmeldung von einer neuen/unbekannten IP-Adresse
  • Mehrfach fehlgeschlagene Anmeldeversuche
  • Änderung der E-Mail-Adresse (Bestätigung an alte und neue Adresse)
  • Änderung des Passworts
  • Passwort-Reset-Link auf Anfrage
  • Support-Ticket-Eingang, Antworten und Statusänderungen

Zum Versand nutzen wir ProtonMail (SMTP) als technischen Dienstleister. Ihre E-Mail-Adresse wird ausschließlich für den Versand der oben genannten Nachrichten verwendet.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO.

Aufgabenverwaltung (Task-System)

Eingeloggte Nutzer können Aufgaben und Unteraufgaben anlegen. Dabei werden folgende Daten gespeichert:

  • Titel, Beschreibung, Priorität, Fälligkeitsdatum, Kategorie
  • Erledigungsstatus und Zeitstempel

Zweck: Bereitstellung der Aufgabenverwaltungsfunktion.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Speicherdauer: bis zur Löschung durch den Nutzer oder bei Kontolöschung.

Support-Ticket-System

Über das öffentliche Kontaktformular können Support-Anfragen gestellt werden. Dabei verarbeiten wir:

  • Kontaktdaten: Name, E-Mail-Adresse
  • Anfragedaten: Betreff, Nachricht, Kategorie, Priorität
  • Zugangstoken: eindeutiger Token für den Ticketzugriff ohne Login (Ablauf nach 30 Tagen)
  • Gesprächsverlauf: alle Antworten mit Zeitstempel und Autorenkennung
  • Bewertung: optionale Zufriedenheitsbewertung (1–5 Sterne)

Zweck: Bearbeitung Ihrer Anfrage.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung/vorvertragliche Maßnahmen) sowie Art. 6 Abs. 1 lit. f DSGVO.
Speicherdauer: Tickets werden aufbewahrt, solange dies für die Bearbeitung und Nachvollziehbarkeit erforderlich ist.

Spiele und KI-Integration (OpenAI)

Unsere Website bietet interaktive Spiele (Hangman, Tic-Tac-Toe, Vier Gewinnt, Buchstabensalat), bei denen eine KI-gestützte Gegner- und Hilfsfunktion eingesetzt wird.

Verarbeitung durch OpenAI

Für die KI-Funktionen werden Spielzüge und spielrelevante Daten (z. B. aktueller Spielstatus, geratene Buchstaben, Spielfeld-Zustand) über eine gesicherte HTTPS-Verbindung an die API von OpenAI, L.L.C. (USA) übermittelt. OpenAI verarbeitet diese Anfragen auf Servern in den USA.

  • Verwendetes Modell: GPT-4o-mini
  • Übermittelte Daten: ausschließlich spielbezogene Informationen (kein Personenbezug erforderlich)
  • OpenAI unterliegt eigenen Datenschutzrichtlinien; Details unter openai.com/privacy

Zweck: Bereitstellung eines KI-Gegners und spielbezogener Hinweise.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer verbesserten Nutzererfahrung).
Drittlandübermittlung: Die Übermittlung in die USA erfolgt auf Basis der EU-Standardvertragsklauseln (Art. 46 DSGVO) oder eines Angemessenheitsbeschlusses, sofern anwendbar.

Filehosting-Dienst (Nextcloud auf Subdomain)

Wir betreiben einen Filehosting-Dienst auf einer Subdomain mittels Nextcloud. Die Registrierung ist deaktiviert; Nutzerkonten werden ausschließlich von uns administrativ angelegt. Eine Selbstregistrierung ist nicht möglich.

Verarbeitete Daten in Nextcloud

  • Kontodaten: Name/Benutzername, E-Mail-Adresse (optional), zugewiesene Gruppen/Rollen
  • Zugangsdaten: Passwörter werden verschlüsselt gespeichert; 2FA, App-Tokens und Geräte-IDs (falls aktiviert)
  • Dateiinhalte: hochgeladene Dateien, Ordnerstrukturen, Dateimetadaten (Größe, Typ, Zeitpunkt, Eigentümer)
  • Aktivitäts- und Systemprotokolle: Anmelde- und Zugriffsvorgänge, Freigabeereignisse, Fehlermeldungen
  • Freigaben: intern/extern geteilte Links (mit/ohne Passwort, Ablaufdatum), Empfänger-E-Mails (falls verwendet)
  • Versionen & Papierkorb: frühere Dateistände und gelöschte Elemente gemäß Konfiguration

Zwecke und Rechtsgrundlagen

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Bereitstellung des Filehosting-Dienstes für berechtigte Nutzer.
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Sicherer Betrieb, Missbrauchsvermeidung, Nachvollziehbarkeit von Zugriffen und Freigaben.
  • Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung): Erfüllung gesetzlicher Auskunfts- und Aufbewahrungspflichten, soweit anwendbar.

Speicherdauern (Nextcloud)

  • Kontodaten: bis zur Löschung des Kontos bzw. Widerruf der Zugriffsberechtigung.
  • Dateiinhalte: bis zur Löschung durch den Nutzer oder bei Deprovisionierung des Kontos.
  • Papierkorb: gemäß Serverkonfiguration (30 Tage).
  • Protokolle: System-/Zugriffslogs werden für einen begrenzten Zeitraum aufbewahrt und anschließend gelöscht oder anonymisiert.

Freigaben und externe Zugriffe

Beim Teilen per Link können Dritte, die den Link erhalten, auf die freigegebenen Inhalte zugreifen. Für sichere Freigaben empfehlen wir Passwortschutz und Ablaufdaten. Externe Empfänger sind verantwortlich, die Links vertraulich zu behandeln.

Weitergabe an Dritte / Auftragsverarbeiter

Daten werden nicht an Dritte verkauft. Eine Weitergabe erfolgt nur, soweit erforderlich, an:

  • Hosting-Provider und IT-Dienstleister als Auftragsverarbeiter (Art. 28 DSGVO)
  • ProtonMail (E-Mail-Versand, SMTP-Dienstleister)
  • OpenAI (KI-Spielfunktionen; nur spielbezogene Daten, keine zwingend personenbezogenen Daten; USA)
  • Behörden, sofern rechtlich vorgeschrieben

Mit Auftragsverarbeitern bestehen Verträge zur Auftragsverarbeitung, die angemessene Sicherheitsstandards gewährleisten.

Datenübermittlung in Drittländer

Die Nutzung von OpenAI (USA) für Spielfunktionen kann eine Übermittlung von Daten außerhalb des EWR darstellen. Wir stellen dabei geeignete Garantien nach Art. 44 ff. DSGVO sicher (EU-Standardvertragsklauseln). Gleiches gilt für sonstige Dienste außerhalb des EWR (z. B. Hosting/Backup/CDN). Informationen hierzu stellen wir auf Anfrage bereit.

Technische und organisatorische Sicherheitsmaßnahmen

  • Transportverschlüsselung: TLS/HTTPS auf allen Endpunkten
  • Passwortsicherheit: bcrypt-Hashing, keine Klartextspeicherung
  • Session-Sicherheit: HTTPOnly-Cookies, SameSite=Strict, CSRF-Token-Schutz
  • Zugriffskontrollen: rollenbasiertes Berechtigungskonzept
  • Brute-Force-Schutz: Rate-Limiting bei Anmeldeversuchen, automatische Sicherheitsbenachrichtigungen
  • Backups und Updates: regelmäßige Sicherungen und Sicherheitsupdates

Cookies

Unsere Website verwendet ausschließlich technisch notwendige Cookies für das Session-Management (Anmeldestatus, CSRF-Schutz). Es werden keine Tracking-, Werbe- oder Analyse-Cookies eingesetzt. Session-Cookies werden beim Schließen des Browsers gelöscht.

Rechtsgrundlagen (Übersicht)

  • Art. 6 Abs. 1 lit. b DSGVO: Vertragserfüllung (Nutzerkonten, Dienste)
  • Art. 6 Abs. 1 lit. f DSGVO: Berechtigtes Interesse (Sicherheit, Betrieb, Missbrauchsvermeidung)
  • Art. 6 Abs. 1 lit. c DSGVO: Rechtliche Verpflichtungen

Ihre Rechte

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch (Art. 21 DSGVO)

Wenden Sie sich dazu bitte per E-Mail an datenschutz@404brainnotfound.at. Wir werden Ihre Anfrage schnellstmöglich bearbeiten und Ihnen innerhalb von 30 Tagen antworten.

Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (z. B. Österreichische Datenschutzbehörde, dsb.gv.at).

Kontakt

Fragen zum Datenschutz richten Sie bitte an datenschutz@404brainnotfound.at.