Datenschutzerklärung

1. Datenschutz auf einen Blick

Allgemeine Hinweise

Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie diese Website besuchen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können. Ausführliche Informationen entnehmen Sie der unter diesem Text aufgeführten Datenschutzerklärung.

Datenerfassung auf dieser Website

Wer ist verantwortlich für die Datenerfassung? Die Datenverarbeitung erfolgt durch den Websitebetreiber. Dessen Kontaktdaten finden Sie im Abschnitt „Hinweis zur verantwortlichen Stelle".

Wie erfassen wir Ihre Daten? Ihre Daten werden zum einen dadurch erhoben, dass Sie sie uns mitteilen — z. B. bei der Registrierung, der Buchung einer Ausleihe oder dem Newsletter-Abo. Andere Daten (z. B. IP-Adresse, Browser, Zeitstempel) werden beim Besuch der Website automatisch durch unsere IT-Systeme erfasst.

Wofür nutzen wir Ihre Daten? Zum Betrieb der Website, zur Vertragsabwicklung der Ausleihe, zur Lieferung der Spiele, zum Versand transaktionaler E-Mails und — sofern eingewilligt — für unseren Newsletter.

Welche Rechte haben Sie? Sie haben jederzeit das Recht auf Auskunft, Berichtigung, Löschung oder Einschränkung Ihrer Daten, auf Datenübertragbarkeit, auf Widerruf einer Einwilligung sowie auf Beschwerde bei einer Aufsichtsbehörde.

2. Hosting

Wir hosten die Inhalte unserer Website extern bei Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA. Die personenbezogenen Daten, die auf dieser Website erfasst werden, werden auf den Servern von Vercel verarbeitet. Hierbei kann es sich u. a. um IP-Adressen, Kontaktanfragen, Meta- und Kommunikationsdaten, Vertragsdaten, Kontaktdaten, Namen und Websitezugriffe handeln.

Das externe Hosting erfolgt zum Zwecke der Vertragserfüllung gegenüber unseren Kunden (Art. 6 Abs. 1 lit. b DSGVO) sowie im Interesse einer sicheren, schnellen und zuverlässigen Bereitstellung unseres Online-Angebots durch einen professionellen Anbieter (Art. 6 Abs. 1 lit. f DSGVO).

Mit Vercel besteht ein Vertrag über Auftragsverarbeitung (AVV) inklusive EU-Standardvertragsklauseln (SCC) für den Drittlandtransfer in die USA.

3. Allgemeine Hinweise und Pflichtinformationen

Datenschutz

Wir nehmen den Schutz Ihrer persönlichen Daten sehr ernst und behandeln sie vertraulich entsprechend den gesetzlichen Datenschutzvorschriften und dieser Datenschutzerklärung. Wir weisen darauf hin, dass die Datenübertragung im Internet (z. B. per E-Mail) Sicherheitslücken aufweisen kann; ein lückenloser Schutz vor Zugriff Dritter ist nicht möglich.

Hinweis zur verantwortlichen Stelle

Die verantwortliche Stelle für die Datenverarbeitung auf dieser Website ist:

Maximilian Menge
Puschkinstr. 60
14712 Rathenow

Telefon: 01704710309
E-Mail: mail@pugandplay.de

Speicherdauer

Soweit innerhalb dieser Datenschutzerklärung keine speziellere Speicherdauer genannt wurde, verbleiben Ihre personenbezogenen Daten bei uns, bis der Zweck für die Datenverarbeitung entfällt. Wenn Sie ein berechtigtes Löschersuchen geltend machen oder eine Einwilligung widerrufen, werden Ihre Daten innerhalb von 30 Tagen gelöscht — sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen.

Rechnungs- und Buchhaltungsunterlagen unterliegen einer steuerrechtlichen Aufbewahrungspflicht von 10 Jahren (§ 147 AO). Sonstige Geschäftskorrespondenz wird 6 Jahre aufbewahrt (§ 257 HGB).

Rechtsgrundlagen der Datenverarbeitung

Sofern Sie eingewilligt haben, verarbeiten wir Ihre Daten auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO. Sind Ihre Daten zur Vertragserfüllung oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, verarbeiten wir sie auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO. Soweit gesetzliche Verpflichtungen bestehen (z. B. Aufbewahrungspflichten), erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO. Im Übrigen kann die Verarbeitung auf unserem berechtigten Interesse nach Art. 6 Abs. 1 lit. f DSGVO beruhen.

Empfänger personenbezogener Daten

Wir geben personenbezogene Daten nur weiter, wenn dies zur Vertragserfüllung erforderlich ist, eine gesetzliche Verpflichtung besteht (z. B. Steuerbehörden), Sie eingewilligt haben oder ein berechtigtes Interesse vorliegt. Beim Einsatz von Auftragsverarbeitern erfolgt die Weitergabe nur auf Grundlage gültiger Verträge über Auftragsverarbeitung (AVV).

Widerruf Ihrer Einwilligung

Viele Datenverarbeitungsvorgänge sind nur mit Ihrer ausdrücklichen Einwilligung möglich. Sie können eine bereits erteilte Einwilligung jederzeit widerrufen — die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

Widerspruchsrecht (Art. 21 DSGVO)

Wenn die Datenverarbeitung auf Grundlage von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, haben Sie jederzeit das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen die Verarbeitung Widerspruch einzulegen. Werden Ihre Daten verarbeitet, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung einzulegen.

Beschwerderecht bei der Aufsichtsbehörde

Im Falle von Verstößen gegen die DSGVO steht Ihnen ein Beschwerderecht bei einer Aufsichtsbehörde zu — für uns zuständig ist die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (LDA Brandenburg).

Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit

Sie haben jederzeit das Recht auf unentgeltliche Auskunft über Ihre gespeicherten Daten, deren Herkunft und Empfänger sowie den Zweck der Verarbeitung (Art. 15 DSGVO), auf Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO), Einschränkung der Verarbeitung (Art. 18 DSGVO) und Datenübertragbarkeit (Art. 20 DSGVO). Hierfür können Sie sich jederzeit an uns wenden.

SSL- bzw. TLS-Verschlüsselung

Diese Seite nutzt aus Sicherheitsgründen eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie am „https://" in der Adresszeile und am Schloss-Symbol Ihres Browsers. Wenn die Verschlüsselung aktiv ist, können Ihre übermittelten Daten nicht von Dritten mitgelesen werden.

Passwörter werden zusätzlich mit dem bcrypt-Verfahren (12 Runden) gehasht in unserer Datenbank gespeichert. Klartext-Passwörter werden zu keinem Zeitpunkt persistiert.

Widerspruch gegen Werbe-E-Mails

Der Nutzung der im Rahmen der Impressumspflicht veröffentlichten Kontaktdaten zur Übersendung von nicht ausdrücklich angeforderter Werbung wird hiermit widersprochen. Wir behalten uns rechtliche Schritte im Falle der unverlangten Zusendung von Werbeinformationen, etwa durch Spam-E-Mails, vor.

4. Datenerfassung auf dieser Website

Cookies

Wir verwenden ausschließlich technisch notwendige Cookies — keine Tracking- oder Marketing-Cookies. Im Einsatz sind:

• Session-Cookie (NextAuth) — speichert Ihre Anmeldung. Wird nach Schließen des Browsers oder nach Inaktivität automatisch entfernt.
• Theme-Cookie — speichert Ihre Designeinstellung (hell/dunkel), falls Sie diese verändern.

Da diese Cookies zur Bereitstellung der von Ihnen gewünschten Funktion (Login bzw. persönliche Einstellung) erforderlich sind, erfolgt die Speicherung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO bzw. § 25 Abs. 2 Nr. 2 TDDDG. Ein Cookie-Banner ist nicht erforderlich, da keine einwilligungspflichtigen Cookies gesetzt werden.

Server-Log-Dateien

Unser Hoster Vercel erhebt automatisch Informationen, die Ihr Browser an uns übermittelt:

• Browsertyp und -version
• verwendetes Betriebssystem
• Referrer URL
• Hostname des zugreifenden Rechners
• Uhrzeit der Serveranfrage
• IP-Adresse

Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Die Erfassung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO.

Anfrage per E-Mail oder Telefon

Wenn Sie uns per E-Mail oder Telefon kontaktieren, wird Ihre Anfrage inklusive aller daraus hervorgehenden personenbezogenen Daten zum Zwecke der Bearbeitung Ihres Anliegens bei uns gespeichert und verarbeitet. Diese Daten geben wir nicht ohne Ihre Einwilligung weiter. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (sofern vertragsbezogen) bzw. Art. 6 Abs. 1 lit. f DSGVO.

5. Registrierung & Nutzerkonto

Um Spiele auszuleihen, ist eine Registrierung erforderlich. Wir erheben dabei folgende Daten:

• Name
• E-Mail-Adresse
• Passwort (bcrypt-gehasht, nicht im Klartext)
• Telefonnummer (optional)
• Lieferadresse (Straße, PLZ, Ort)
• Bestätigungstoken zur E-Mail-Verifizierung (einmalig, danach gelöscht)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung und -durchführung). Die Daten werden gespeichert, solange Ihr Konto besteht. Bei Konto-Löschung werden personenbezogene Daten innerhalb von 30 Tagen entfernt — ausgenommen Daten, die handels- oder steuerrechtlichen Aufbewahrungspflichten unterliegen.

Sie können Ihr Konto jederzeit über uns löschen lassen oder Ihre Daten unter „Mein Konto → Einstellungen" einsehen und ändern.

6. Ausleihe & Lieferung

Im Rahmen der Spielausleihe verarbeiten wir folgende Daten:

• Bestelldaten (gewähltes Spiel, Leihzeitraum, Preis)
• Lieferadresse
• Zahlungsmethode (Bar bei Lieferung, Credits oder Stripe-Abo)
• Status der Ausleihe (reserviert, ausgeliefert, zurückgegeben)
• Inspektionsergebnis nach Rückgabe (Vollständigkeit, Zustand) — gilt als Grundlage für ggf. einbehaltene Kaution
• Kaution-Status (sofern bar gezahlt)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Speicherdauer: bis zum Ende der gesetzlichen Aufbewahrungsfristen (siehe Abschnitt 3 — Speicherdauer).

Strikes (Beschädigungen)

Bei wiederholten Beschädigungen oder fehlenden Spielinhalten kann ein interner Strike-Zähler erhöht werden. Dieser dient ausschließlich dem Schutz unseres Bestands und kann zur Sperrung des Kontos führen. Bei Konto-Löschung werden Strikes gelöscht.

7. Datenbank: Neon (PostgreSQL)

Sämtliche Nutzer-, Konto- und Ausleihdaten werden in einer PostgreSQL-Datenbank von Neon Inc., San Francisco, CA, USA gespeichert. Der von uns gewählte Serverstandort ist Frankfurt am Main, Deutschland (eu-central-1) — eine Datenübertragung in Drittländer findet im Regelbetrieb nicht statt.

Mit Neon besteht ein Vertrag über Auftragsverarbeitung (AVV) inklusive EU-Standardvertragsklauseln. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

8. Zahlungsabwicklung: Stripe

Abo-Zahlungen werden ausschließlich über Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland (für EU-Nutzer) bzw. Stripe Inc., 354 Oyster Point Blvd, South San Francisco, CA 94080, USA abgewickelt.

Folgende Daten werden an Stripe übermittelt:

• Name und E-Mail-Adresse
• Rechnungsadresse
• Zahlungsinformationen (Kreditkarte, ggf. SEPA)
• Stripe-Kunden-ID (zur Zuordnung wiederkehrender Zahlungen)

Wichtig: Kreditkarten- und SEPA-Daten werden ausschließlich von Stripe verarbeitet und niemals auf unseren Servern gespeichert. Stripe ist PCI-DSS Level 1 zertifiziert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Mit Stripe besteht ein Vertrag über Auftragsverarbeitung sowie Standardvertragsklauseln für den Drittlandtransfer in die USA.

Datenschutzerklärung von Stripe: stripe.com/de/privacy

9. E-Mail-Versand: Resend

Den Versand transaktionaler E-Mails (Registrierung, Bestätigungen, Bestellbestätigungen, Lieferinfos, Rückgabe-Erinnerungen) sowie unseres Newsletters wickeln wir über Resend, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA ab.

An Resend werden folgende Daten übermittelt: Name, E-Mail-Adresse, Inhalt der E-Mail. Resend verarbeitet diese Daten ausschließlich auf unsere Weisung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (transaktionale Mails) bzw. Art. 6 Abs. 1 lit. a DSGVO (Newsletter). Mit Resend besteht ein Vertrag über Auftragsverarbeitung inklusive EU-Standardvertragsklauseln für den Drittlandtransfer in die USA.

10. Webanalyse: Pirsch Analytics

Zur statistischen Auswertung der Besucherzahlen und zur Optimierung unseres Angebots setzen wir Pirsch Analytics ein. Anbieter ist die Emvi Software GmbH, Nickelstraße 1b, 33378 Rheda-Wiedenbrück, Deutschland.

Pirsch verzichtet vollständig auf Cookies und Tracking-Pixel. Zur Wiedererkennung wiederkehrender Besucher innerhalb eines Tages wird ein anonymisierter Hash gebildet — aus IP-Adresse, User-Agent und einem täglich rotierenden Salt. Eine Zuordnung zu einer konkreten Person ist daraus nicht möglich; die IP-Adresse selbst wird nicht gespeichert.

Die Datenverarbeitung erfolgt ausschließlich auf Servern in Deutschland; eine Übermittlung in Drittländer findet nicht statt.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer datensparsamen Reichweitenanalyse). Da keine personenbezogenen Daten im Sinne der DSGVO erhoben werden und keine Cookies gesetzt werden, ist nach unserer Einschätzung keine Einwilligung erforderlich (§ 25 Abs. 2 Nr. 2 TDDDG).

Mit Pirsch besteht ein Vertrag über Auftragsverarbeitung gemäß Art. 28 DSGVO.

Weitere Informationen: pirsch.io/privacy

11. Newsletter

Wenn Sie unseren Newsletter abonnieren möchten, benötigen wir von Ihnen Ihre E-Mail-Adresse (zwingend) sowie Ihren Namen (sofern bei Registrierung angegeben). Weitere Daten werden nicht erhoben.

Double-Opt-In-Verfahren

Wir nutzen das Double-Opt-In-Verfahren: Nach Ihrer Anmeldung erhalten Sie eine E-Mail mit einem Bestätigungslink. Erst nach Klick auf diesen Link werden Sie in den Verteiler aufgenommen. So stellen wir sicher, dass tatsächlich der Inhaber der E-Mail-Adresse die Einwilligung erteilt hat.

Speicherdauer & Widerruf

Die Daten werden ausschließlich für den Versand des Newsletters verwendet und nicht an Dritte weitergegeben (außer an unseren Auftragsverarbeiter Resend, siehe Abschnitt 9). Sie können Ihre Einwilligung jederzeit widerrufen — entweder über den Abmelde-Link in jeder Newsletter-Mail oder durch eine Nachricht an mail@pugandplay.de. Die Rechtmäßigkeit der bereits erfolgten Datenverarbeitung bleibt vom Widerruf unberührt.

Nach Abmeldung wird Ihre E-Mail-Adresse aus dem aktiven Verteiler entfernt. Wir behalten uns vor, abgemeldete Adressen in einer Sperrliste (Blacklist) zu speichern, um künftige unbeabsichtigte Mailings zu verhindern (Art. 6 Abs. 1 lit. f DSGVO). Sie können der Speicherung widersprechen, sofern Ihre Interessen unser berechtigtes Interesse überwiegen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

12. Empfehlungs- und Einladungssystem

Wir bieten ein Empfehlungssystem, mit dem Sie Freunde werben können. Hierbei werden folgende Daten verarbeitet:

• Ihr Empfehlungs-Code (zufällig generiert, eindeutig zuordenbar)
• Verknüpfung des geworbenen Kontos mit dem werbenden Konto (intern, nicht öffentlich sichtbar)
• Bonus-Credits, die nach erfolgreicher Werbung gutgeschrieben werden

Wer wen geworben hat, ist nur intern einsehbar (Inhaber der Website) — andere Nutzer bekommen davon nichts mit.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Kundenakquise und Treueförderung). Die Verknüpfung wird gelöscht, sobald eines der beteiligten Konten gelöscht wird.

13. Schriftarten (Self-Hosted)

Wir verwenden die Schriftarten DM Sans, Playfair Display und JetBrains Mono. Diese werden über next/font lokal von unserem eigenen Server geladen. Es findet keine Verbindung zu Google-Servern statt — Ihre IP-Adresse wird nicht an Google übermittelt.

14. Authentifizierung

Die Anmeldung erfolgt mittels NextAuth.js, einer selbst gehosteten Open-Source-Bibliothek. Es kommen keine Drittanbieter-Logins (Google, Facebook, Apple etc.) zum Einsatz. Anmeldedaten und Sessions werden ausschließlich auf unserer eigenen Infrastruktur (Vercel + Neon) verarbeitet.

15. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen unseres Dienstes anzupassen. Die jeweils aktuelle Version finden Sie stets auf dieser Seite.