Datenschutzerklärung

Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist der Betreiber dieses privaten, nicht-kommerziellen Projekts, erreichbar unter: admin@rsprogress.com.

Welche Daten, wozu und auf welcher Grundlage

• Account (E-Mail-Adresse, Passwort als Argon2id-Hash): zur Bereitstellung des Logins und deines Kontos. Rechtsgrundlage: Vertrag bzw. vorvertragliche Maßnahme, Art. 6 Abs. 1 lit. b DSGVO.
• E-Mail-Verifizierung (Aktivierungs-Token, Versand der Aktivierungs-Mail): um sicherzustellen, dass die angegebene Adresse dir gehört. Der Token wird nur als Hash (SHA-256) gespeichert und nach 24 Stunden ungültig. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO (Missbrauchsvermeidung).
• Getrackte Charaktere & Snapshots: die von dir hinzugefügten RuneScape-Charakternamen und Momentaufnahmen ihrer öffentlichenHiscores-/RuneMetrics-Daten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO (Kernfunktion des Dienstes).
• Sicherheits-/Server-Logs: zur Abwehr von Missbrauch und für Rate-Limits werden IP-Adresse und User-Agent ausschließlich gehasht(salted SHA-256) verarbeitet — keine Klartext-IPs. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
• Sitzungs- und CSRF-Cookies: technisch notwendig für Login und Schutz vor Cross-Site-Request-Forgery (same-origin, HttpOnly). Keine Einwilligung erforderlich (§ 25 Abs. 2 Nr. 2 TDDDG); Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO.

Was wir nicht tun

• Keine Tracking-/Marketing-Cookies, keine Werbung.
• Keine Analyse-Dienste oder Social-Media-Plugins Dritter.
• Kein Verkauf oder keine Weitergabe deiner Daten zu Werbezwecken.
• Keine automatisierte Entscheidungsfindung oder Profiling (Art. 22 DSGVO).

E-Mail-Versand

Aktivierungs- und kontobezogene E-Mails werden über einen eigenen Mailserver versendet. Es kommt kein externer E-Mail-Marketing- oder Versanddienstleister zum Einsatz, sodass deine Adresse nicht an Dritte weitergegeben wird.

Externe Datenquellen

Zur Anzeige deiner Charakterdaten ruft rsprogress die öffentlichen Jagex-APIs (Hiscores Lite, RuneMetrics, Grand Exchange) auf — ausschließlich lesend. Dabei wird der von dir eingegebene (öffentliche) Charaktername an Jagex übermittelt. Die Antworten werden kurz in einem serverseitigen Cache (Redis) vorgehalten.

Hosting & Empfänger

Der Dienst wird selbst gehostet; Anwendungs- und Datenbank-Server stehen bei einem Infrastruktur-Anbieter in Deutschland. Eine Weitergabe an weitere Empfänger findet nicht statt, abgesehen von den oben genannten Jagex-APIs.

Speicherdauer

• Account- und Tracking-Daten: bis zur Löschung deines Kontos.
• Nach Löschantrag: sofortige Anonymisierung, endgültige Löschung nach 30 Tagen.
• Aktivierungs-Token: max. 24 Stunden bzw. bis zur Nutzung.
• Gehashte Sicherheits-Logs: kurzlebig (nur für Rate-Limit-Fenster).

Deine Rechte

• Auskunft & Datenübertragbarkeit (Art. 15, 20): Export aller deiner Daten als JSON über /me → „Daten exportieren“.
• Löschung (Art. 17): Konto sofort anonymisieren, Hard-Delete nach 30 Tagen — über /me → „Account löschen“.
• Berichtigung, Einschränkung, Widerspruch (Art. 16, 18, 21): formlos per E-Mail an den Verantwortlichen.
• Beschwerde (Art. 77): Du kannst dich bei einer Datenschutz-Aufsichtsbehörde beschweren — zuständig ist die Aufsichtsbehörde deines üblichen Aufenthaltsorts bzw. des Sitzes des Verantwortlichen.