Datenschutzerklärung

Präambel

Mit der folgenden Datenschutzerklärung möchten wir Sie darüber aufklären, welche Arten Ihrer personenbezogenen Daten (nachfolgend auch kurz als "Daten" bezeichnet) wir zu welchen Zwecken und in welchem Umfang verarbeiten. Die Datenschutzerklärung gilt für alle von uns durchgeführten Verarbeitungen personenbezogener Daten, insbesondere auf unserer Website addi.yt (nachfolgend zusammenfassend als "Onlineangebot" bezeichnet).

Die verwendeten Begriffe sind nicht geschlechtsspezifisch.

Verantwortlicher

Adrian Mohnhaupt (Addi LIVE)
c/o a-Quadrat
Meterstraße 2
70839 Gerlingen

E-Mail: [email protected]
Website: https://addi.yt

Impressum: https://addi.yt/impressum

Übersicht der Verarbeitungen

Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen und verweist auf die betroffenen Personen.

Arten der verarbeiteten Daten

• Nutzungsdaten (besuchte Seiten, Zugriffszeiten).
• Meta-, Kommunikations- und Verfahrensdaten (IP-Adressen, Zeitangaben, Browser-Informationen).
• Protokolldaten (Server-Logfiles).
• Benutzernamen (YouTube-Anzeigename bei freiwilliger Eingabe im Rewards-System).
• Chat-Nachrichten (Lounge-Chat, freiwillige Texteingabe).

Kategorien betroffener Personen

• Nutzer (Webseitenbesucher).

Zwecke der Verarbeitung

• Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit.
• Sicherheitsmaßnahmen und Bot-Schutz.
• Missbrauchsschutz und Rate-Limiting.
• Informationstechnische Infrastruktur.

Maßgebliche Rechtsgrundlagen

Maßgebliche Rechtsgrundlagen nach der DSGVO: Im Folgenden erhalten Sie eine Übersicht der Rechtsgrundlagen der DSGVO, auf deren Basis wir personenbezogene Daten verarbeiten.

• Berechtigte Interessen (Art. 6 Abs. 1 lit. f) DSGVO) - Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten notwendig, vorausgesetzt, dass die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen.

Nationale Datenschutzregelungen in Deutschland: Zusätzlich zu den Datenschutzregelungen der DSGVO gelten nationale Regelungen zum Datenschutz in Deutschland. Hierzu gehört insbesondere das Bundesdatenschutzgesetz (BDSG). Ferner können Landesdatenschutzgesetze der einzelnen Bundesländer zur Anwendung gelangen.

Sicherheitsmaßnahmen

Wir treffen nach Maßgabe der gesetzlichen Vorgaben unter Berücksichtigung des Stands der Technik geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

TLS-Verschlüsselung (HTTPS): Um die Daten der Nutzer, die über unsere Online-Dienste übertragen werden, vor unerlaubten Zugriffen zu schützen, setzen wir auf TLS-Verschlüsselungstechnologie. Die gesamte Kommunikation zwischen dem Browser des Nutzers und unserer Website erfolgt verschlüsselt.

Bereitstellung des Onlineangebots und Webhosting

Wir verarbeiten die Daten der Nutzer, um ihnen unsere Online-Dienste zur Verfügung stellen zu können. Zu diesem Zweck verarbeiten wir die IP-Adresse des Nutzers, die notwendig ist, um die Inhalte und Funktionen unserer Online-Dienste an den Browser des Nutzers zu übermitteln.

Serverinfrastruktur: Die Website wird auf eigener Serverinfrastruktur in Deutschland betrieben. Die Daten werden ausschließlich auf Servern in Deutschland verarbeitet und gespeichert. Der Zugang zur Website wird über Cloudflare (siehe entsprechender Abschnitt) als Reverse Proxy bereitgestellt.

• Verarbeitete Datenarten: Meta-, Kommunikations- und Verfahrensdaten (z. B. IP-Adressen, Zeitangaben); Protokolldaten (Logfiles mit Zugriffszeiten, Browsertyp, Betriebssystem).
• Betroffene Personen: Nutzer (Webseitenbesucher).
• Zwecke der Verarbeitung: Bereitstellung unseres Onlineangebotes; Sicherheitsmaßnahmen.
• Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 lit. f) DSGVO).

Erhebung von Zugriffsdaten und Logfiles: Der Zugriff auf unser Onlineangebot wird in Form von Server-Logfiles protokolliert. Diese können die Adresse und den Namen der abgerufenen Seiten, Datum und Uhrzeit des Abrufs, Browsertyp, Betriebssystem, Referrer URL und IP-Adresse enthalten. Die Logfile-Informationen werden für maximal 30 Tage gespeichert und danach gelöscht oder anonymisiert.

Cloudflare

Wir nutzen Cloudflare als Content Delivery Network (CDN) und Reverse Proxy. Cloudflare leitet den Datenverkehr über sein globales Netzwerk, verarbeitet dabei IP-Adressen und HTTP-Request-Daten der Nutzer und setzt technisch notwendige Sicherheits-Cookies ein. Diese Cookies sind gemäß § 25 Abs. 2 TDDDG ohne Einwilligung zulässig, da sie zur Bereitstellung des Dienstes unbedingt erforderlich sind.

• Dienstanbieter: Cloudflare Inc., 101 Townsend St., San Francisco, CA 94107, USA.
• Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 lit. f) DSGVO).
• Website: https://www.cloudflare.com.
• Datenschutzerklärung: https://www.cloudflare.com/privacypolicy/.
• Grundlage Drittlandtransfers: Data Privacy Framework (DPF). Cloudflare, Inc. ist unter dem EU-U.S. Data Privacy Framework zertifiziert.

Cloudflare Turnstile (Bot-Schutz)

Zum Schutz vor automatisierten Zugriffen und Missbrauch setzen wir auf der Rewards-Seite Cloudflare Turnstile ein. Turnstile ist eine datenschutzfreundliche Alternative zu herkömmlichen CAPTCHAs und erkennt automatisierte Zugriffe anhand technischer Merkmale, ohne sichtbare Rätsel oder Tracking-Cookies einzusetzen.

• Verarbeitete Datenarten: Technische Daten (Browser-Fingerprint, IP-Adresse) zur Bot-Erkennung.
• Betroffene Personen: Nutzer der Rewards-Seite.
• Zwecke der Verarbeitung: Schutz vor automatisierten Zugriffen und Missbrauch.
• Dienstanbieter: Cloudflare Inc. (siehe Abschnitt "Cloudflare").
• Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 lit. f) DSGVO).
• Website: https://www.cloudflare.com/products/turnstile/.
• Grundlage Drittlandtransfers: Data Privacy Framework (DPF).

Cookies

Unsere Website verwendet ausschließlich technisch notwendige Cookies. Diese sind gemäß § 25 Abs. 2 TDDDG ohne Einwilligung zulässig, da sie zur Bereitstellung des Dienstes unbedingt erforderlich sind. Eine Einwilligungsabfrage (Cookie-Banner) ist daher nicht erforderlich.

Verwendete Cookies

• Session-Cookie (addi_session): Dieses Cookie dient als Geräte-Kennung und Session-Schlüssel. Es wird beim ersten Besuch automatisch generiert und ermöglicht die Zuordnung von Login-Sessions sowie den Schutz des Rewards-Systems vor Missbrauch (Rate-Limit-Umgehung durch VPN-Nutzung). Das Cookie enthält eine zufällig generierte Kennung und wird als httpOnly, secure, sameSite=lax gesetzt. Gültigkeit: 1 Jahr. Es werden keine persönlichen Daten im Cookie gespeichert.
• Cloudflare-Cookies: Technisch notwendige Sicherheits-Cookies von Cloudflare (z. B. cf_clearance) zum Schutz vor Bot-Angriffen und DDoS.

Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 lit. f) DSGVO); § 25 Abs. 2 TDDDG (technisch notwendige Cookies).

Daily Rewards System

Unsere Website bietet ein kostenloses Daily Rewards System, bei dem Nutzer täglich virtuelle Punkte ("ADDIS") gewinnen können. Zur Nutzung geben Nutzer freiwillig ihren YouTube-Anzeigenamen ein.

Verarbeitete Daten

• YouTube-Anzeigename: Wird vom Nutzer freiwillig eingegeben und dient der Zuordnung der Belohnung. Der Name wird gespeichert, bis die Belohnung ausgeliefert wurde (maximal 30 Tage).
• IP-Adresse: Wird zur Durchsetzung des Rate-Limits (maximal 3 Claims pro Tag und IP) verarbeitet. Die IP-Adresse wird für maximal 24 Stunden gespeichert und danach automatisch gelöscht.
• Device-Kennung: Eine zufällig generierte Cookie-ID zur Erkennung von Rate-Limit-Umgehungen (siehe Abschnitt "Cookies").
• Claim-Historie: Benutzername, Gewinn und Zeitstempel werden gespeichert, um die öffentlichen Listen (letzte Gewinne, Top-Gewinne) anzuzeigen. Claims erscheinen erst nach Bot-Verifizierung in öffentlichen Listen.

Öffentliche Anzeige

Verifizierte Claims (Benutzername und Gewinnhöhe) werden in den öffentlichen Listen "Letzte Gewinne" und "Top Gewinne" auf der Rewards-Seite angezeigt. Nicht verifizierte Claims erscheinen nicht in öffentlichen Listen.

• Betroffene Personen: Nutzer, die das Rewards-System verwenden.
• Zwecke der Verarbeitung: Bereitstellung des Rewards-Systems; Missbrauchsschutz; Rate-Limiting.
• Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 lit. f) DSGVO). Unser berechtigtes Interesse liegt in der Bereitstellung des kostenlosen Rewards-Systems und dem Schutz vor Missbrauch.
• Löschung: Nicht ausgelieferte Rewards werden nach 30 Tagen automatisch gelöscht. IP-basierte Rate-Limits werden täglich zurückgesetzt.

VPN- und Proxy-Erkennung

Zum Schutz des Rewards-Systems vor Missbrauch prüfen wir beim Einlösen einer Belohnung (Claim), ob die IP-Adresse des Nutzers einem VPN-, Proxy- oder Tor-Dienst zugeordnet ist. Diese Prüfung erfolgt ausschließlich beim aktiven Claim-Vorgang, nicht beim bloßen Seitenaufruf.

Hierzu wird die IP-Adresse des Nutzers beim Claim-Vorgang an zwei unabhängige Prüfdienste übermittelt: proxycheck.io und vpnapi.io. Durch die parallele Abfrage beider Dienste wird eine zuverlässigere Erkennung ermöglicht. Das Ergebnis der Prüfung (anonyme Verbindung ja/nein) wird server-seitig für 24 Stunden zwischengespeichert, sodass bei wiederholten Anfragen keine erneute Übermittlung erforderlich ist. Die IP-Adresse wird nicht dauerhaft gespeichert.

• Verarbeitete Datenarten: IP-Adresse (ausschließlich beim Claim-Vorgang).
• Betroffene Personen: Nutzer, die das Rewards-System verwenden.
• Zwecke der Verarbeitung: Schutz vor Manipulation des Rewards-Systems durch Verschleierung der Identität.
• Dienstanbieter:
  • proxycheck.io, betrieben von Proxycheck Ltd, Vereinigtes Königreich. Datenschutzerklärung: https://proxycheck.io/privacy.
  • vpnapi.io, betrieben von VPNAPI, USA. Datenschutzerklärung: https://vpnapi.io/privacy-policy.
• Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 lit. f) DSGVO). Unser berechtigtes Interesse liegt im Schutz des Rewards-Systems vor Missbrauch durch VPN-basierte Umgehung der Rate-Limits.
• Grundlage Drittlandtransfers: Angemessenheitsbeschluss für das Vereinigte Königreich (Art. 45 DSGVO) für proxycheck.io. Für vpnapi.io (USA): EU-US Data Privacy Framework bzw. Standardvertragsklauseln (Art. 46 Abs. 2 lit. c) DSGVO).

Geräte-Erkennung

Zum Schutz vor Multi-Account-Missbrauch erheben wir beim Login und bei Spielaktionen (z. B. Spin, Mines, Addi Bird) technische Geräteeigenschaften. Diese werden zu einem nicht rückverfolgbaren Geräte-Hash zusammengefasst und mit der YouTube-ID des Nutzers verknüpft gespeichert.

• Verarbeitete Datenarten: Bildschirmauflösung, Pixeldichte, CPU-Kernanzahl, Touch-Unterstützung, Plattform (z. B. "Win32", "Linux armv81"), Browsersprache, Zeitzone, Farbtiefe.
• Betroffene Personen: Eingeloggte Nutzer, die das Rewards-System oder Spiele verwenden.
• Zwecke der Verarbeitung: Erkennung von Multi-Account-Missbrauch durch Abgleich der Geräteeigenschaften verschiedener Accounts.
• Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 lit. f) DSGVO). Unser berechtigtes Interesse liegt im Schutz des kostenlosen Belohnungssystems vor Manipulation durch Mehrfach-Accounts.
• Speicherdauer: Die Gerätedaten werden für maximal 90 Tage gespeichert und danach automatisch gelöscht.

Fingerprint.com

Zusätzlich nutzen wir den Dienst Fingerprint.com (Fingerprint, Inc.) zur Geräte-Identifikation. Dieser Dienst erstellt eine stabile, anonyme Geräte-ID (Visitor ID) anhand technischer Browser- und Geräteeigenschaften. Die Erhebung erfolgt ausschließlich bei eingeloggten Nutzern. Die Daten werden über eine eigene Subdomain (mtr.addi.yt) übertragen und auf unseren Servern gespeichert.

• Verarbeitete Datenarten: Anonyme Geräte-ID (Visitor ID), Browser-Typ und -Version, Betriebssystem, Gerätetyp, IP-Adresse, ungefährer Standort (Stadt/Region), Internetanbieter, VPN-/Proxy-Erkennung, Bot-Erkennung, Browser-Manipulations-Erkennung.
• Betroffene Personen: Eingeloggte Nutzer.
• Zwecke der Verarbeitung: Erkennung von Multi-Account-Missbrauch, VPN-Erkennung, Bot-Schutz.
• Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 lit. f) DSGVO).
• Dienstanbieter: Fingerprint, Inc., 1440 W. Taylor St #735, Chicago, IL 60607, USA.
• Datenschutzerklärung: https://fingerprint.com/privacy/.
• Speicherdauer: Die Geräte-ID wird für maximal 90 Tage auf unseren Servern gespeichert. Bei Fingerprint.com werden die Daten gemäß deren Datenschutzerklärung verarbeitet.

YouTube Data API

Wir nutzen die YouTube Data API v3 von Google, um öffentlich verfügbare Informationen über unseren YouTube-Kanal abzurufen (z. B. Abonnentenzahl, geplante Livestreams). Diese Abfrage erfolgt ausschließlich server-seitig. Es werden dabei keine personenbezogenen Daten der Webseitenbesucher an Google übermittelt.

• Verarbeitete Datenarten: Keine personenbezogenen Daten der Nutzer.
• Dienstanbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.
• Website: https://developers.google.com/youtube/v3.
• Datenschutzerklärung: https://policies.google.com/privacy.

Discord Server-Informationen

Auf unserer Website zeigen wir Informationen zu unserem Discord-Server an (z. B. Servername, Anzahl der online Mitglieder). Diese Daten werden ausschließlich server-seitig von der Discord API abgerufen und auf unserem Server zwischengespeichert (Cache-Dauer: 1 Stunde). Beim Aufruf unserer Website findet keine direkte Verbindung zwischen dem Browser des Nutzers und Discord statt. Es werden keine personenbezogenen Daten der Webseitenbesucher an Discord übermittelt.

Wenn der Nutzer auf den Link zum Discord-Server klickt, wird er zu Discord weitergeleitet. Hierfür gelten die Datenschutzbestimmungen von Discord: https://discord.com/privacy.

Lounge Chat

Unsere Website bietet einen Echtzeit-Chat (Lounge Chat) für eingeloggte Nutzer. Die Kommunikation erfolgt über eine WebSocket-Verbindung zwischen dem Browser des Nutzers und unserem Server.

Verarbeitete Daten

• Chat-Nachrichten: Vom Nutzer freiwillig eingegebene Textnachrichten. Die Nachrichten werden an alle aktuell verbundenen Chat-Teilnehmer in Echtzeit übertragen und auf unserem Server für maximal 24 Stunden gespeichert. Nach Ablauf dieser Frist werden sie automatisch gelöscht.
• YouTube-Anzeigename: Der beim Login verwendete YouTube-Anzeigename wird neben den Nachrichten angezeigt. Die YouTube-Kanal-ID (channelId) wird serverseitig verarbeitet, aber nicht an andere Nutzer weitergegeben.
• Online-Status: Während der Chat-Verbindung ist der Anzeigename des Nutzers in der Online-Liste für andere Chat-Teilnehmer sichtbar.
• IP-Adresse: Die IP-Adresse wird für Connection-Limits (Schutz vor Missbrauch) verarbeitet, aber nicht dauerhaft gespeichert.

Inhaltsfilter und Chat-Sperren

Zum Schutz der Community werden Chat-Nachrichten serverseitig auf verbotene Inhalte geprüft (Beleidigungen, Spam, Links). Bei wiederholten Verstößen werden eskalierende temporäre Chat-Sperren verhängt (5 Minuten bis 24 Stunden). Die Verstoßzähler werden ausschließlich im Arbeitsspeicher gehalten und verfallen nach 24 Stunden ohne weiteren Verstoß.

• Betroffene Personen: Nutzer, die den Lounge Chat verwenden.
• Zwecke der Verarbeitung: Bereitstellung der Echtzeit-Kommunikation; Schutz vor Missbrauch und Spam.
• Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 lit. f) DSGVO). Unser berechtigtes Interesse liegt in der Bereitstellung einer Community-Funktion und dem Schutz der Nutzer vor missbräuchlichen Inhalten.
• Löschung: Chat-Nachrichten werden nach 24 Stunden automatisch gelöscht. Temporäre Chat-Sperren verfallen nach maximal 24 Stunden.

Schriftarten

Für die Darstellung unserer Website verwenden wir die Schriftart "Geist". Diese Schriftart wird beim Erstellen der Website heruntergeladen und direkt von unserem eigenen Server ausgeliefert (Self-Hosting via Next.js). Es findet beim Seitenaufruf keine Verbindung zu externen Servern (z. B. Google) statt. Eine Übermittlung personenbezogener Daten an Dritte erfolgt im Rahmen der Schriftarteneinbindung nicht.

Kontaktaufnahme

Bei der Kontaktaufnahme mit uns (z. B. per E-Mail) werden die Angaben der anfragenden Personen verarbeitet, soweit dies zur Beantwortung der Kontaktanfragen erforderlich ist.

• Verarbeitete Datenarten: Kontaktdaten (z. B. E-Mail-Adresse); Inhaltsdaten (z. B. textliche Nachrichten).
• Betroffene Personen: Kommunikationspartner.
• Zwecke der Verarbeitung: Kommunikation; Beantwortung von Anfragen.
• Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 lit. f) DSGVO).

Internationale Datentransfers

Sofern wir Daten in einem Drittland (d. h. außerhalb der EU/EWR) verarbeiten oder die Verarbeitung im Rahmen der Inanspruchnahme von Diensten Dritter stattfindet, erfolgt dies nur im Einklang mit den gesetzlichen Vorgaben. Sofern das Datenschutzniveau in dem Drittland mittels eines Angemessenheitsbeschlusses anerkannt wurde (Art. 45 DSGVO), dient dieser als Grundlage des Datentransfers. Im Übrigen erfolgen Datentransfers nur dann, wenn das Datenschutzniveau anderweitig gesichert ist, insbesondere durch Standardvertragsklauseln (Art. 46 Abs. 2 lit. c) DSGVO).

Im Rahmen des "Data Privacy Framework" (DPF) hat die EU-Kommission das Datenschutzniveau für bestimmte Unternehmen aus den USA als sicher anerkannt. Die von uns eingesetzten US-Dienstleister (Cloudflare, Discord) sind unter dem DPF zertifiziert.

Allgemeine Informationen zur Datenspeicherung und Löschung

Wir löschen personenbezogene Daten, die wir verarbeiten, gemäß den gesetzlichen Bestimmungen, sobald die zugrundeliegenden Einwilligungen widerrufen werden oder keine weiteren rechtlichen Grundlagen für die Verarbeitung bestehen.

Unsere konkreten Löschfristen:

• Server-Logfiles: Maximal 30 Tage.
• IP-basierte Rate-Limits: Tägliche Zurücksetzung.
• Nicht ausgelieferte Rewards: 30 Tage.
• Chat-Nachrichten: 24 Stunden.
• Device-Cookie: 1 Jahr (kann vom Nutzer jederzeit im Browser gelöscht werden).

Rechte der betroffenen Personen

Ihnen stehen als Betroffene nach der DSGVO verschiedene Rechte zu, die sich insbesondere aus Art. 15 bis 21 DSGVO ergeben:

• Widerspruchsrecht: Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen.
• Auskunftsrecht: Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob betreffende Daten verarbeitet werden, und auf Auskunft über diese Daten.
• Recht auf Berichtigung: Sie haben das Recht, die Berichtigung unrichtiger Daten zu verlangen.
• Recht auf Löschung: Sie haben das Recht, zu verlangen, dass Sie betreffende Daten unverzüglich gelöscht werden.
• Recht auf Einschränkung der Verarbeitung: Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen.
• Recht auf Datenübertragbarkeit: Sie haben das Recht, Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
• Beschwerde bei Aufsichtsbehörde: Sie haben das Recht auf Beschwerde bei einer Aufsichtsbehörde. Zuständig ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Lautenschlagerstraße 20, 70173 Stuttgart (https://www.baden-wuerttemberg.datenschutz.de).

Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.