●Rechtliches · Datenschutz
Datenschutzerklärung.
Datenschutzerklärung der PlanesForge Plattform
Stand: 25. Juni 2026
1. Verantwortlicher.
Steffen Jahr
Im Brumättle 23
77656 Offenburg
Deutschland
E-Mail: admin@planesforge.de
2. Überblick der Datenverarbeitungen.
Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung der PlanesForge-Plattform und ihrer Funktionen erforderlich ist. Die Verarbeitung erfolgt auf Grundlage der DSGVO.
3. Erhobene Daten.
3.1 Kontodaten
Bei der Registrierung erheben wir:
- Name — zur Identifikation in Turnieren und Standings
- E-Mail-Adresse — für die Authentifizierung (Magic Link oder Passwort) und Benachrichtigungen
- Straße und Hausnummer — für Veranstalterprofile und die Ausstellung von Rechnungen (nur Veranstalter)
- Bevorzugte Sprache — zur Anzeige der Plattform in der gewählten Sprache
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
3.2 Turnierregistrierungsdaten
Bei der Anmeldung zu einem Turnier erheben wir zusätzlich:
- Postleitzahl (PLZ) — für statistische Auswertungen zur regionalen Teilnehmerverteilung
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
3.3 Turnierdaten
Im Rahmen der Turnierteilnahme werden folgende Daten verarbeitet:
- Ergebnisse (Spielergebnisse, Standings, Punkte)
- Decklisten (eingereichte Kartenlisten)
- Deckarchetypen (für Meta-Analysen)
Diese Daten werden nach Turnierend öffentlich auf der Plattform angezeigt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an transparenter Turnierdokumentation)
3.4 Technische Daten
Beim Zugriff auf die Plattform werden automatisch erhoben:
- IP-Adresse
- Datum und Uhrzeit des Zugriffs
- Browsertyp und -version
- Betriebssystem
- Referrer-URL
Diese Daten werden in Server-Logfiles gespeichert und dienen der Sicherstellung des Betriebs und der Sicherheit der Plattform.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
3.5 Protokolldaten (Audit-Log)
Administrative Aktionen und Mitarbeiterzugriffe auf Nutzerkonten werden in einem Audit-Log protokolliert. Dieses enthält: Zeitstempel, Identität des handelnden Administrators, betroffenes Nutzerkonto, Art der Aktion sowie bei Mitarbeiterzugriffen den angegebenen Zugriffsgrund.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Nachvollziehbarkeit)
4. Authentifizierung.
Anmeldedaten und Sitzungen werden durch ein Identitäts- und Anmeldeverwaltungssystem verarbeitet, das wir selbst auf unserer Hosting-Infrastruktur betreiben (siehe Abschnitt 6). Eine Übermittlung an einen externen Identitätsdienstleister findet nicht statt.
- Spieler authentifizieren sich über Magic Links — Einmal-Links, die per E-Mail versandt werden, 30 Minuten gültig und nur einmal verwendbar. Für Spielerkonten werden keine Passwörter gespeichert.
- Veranstalter und Administratoren melden sich mit E-Mail-Adresse und Passwort an. Passwörter werden ausschließlich als kryptografischer Hash gespeichert; das Klartext-Passwort ist uns zu keinem Zeitpunkt zugänglich.
Der Versand der Anmelde- und Verifizierungs-E-Mails erfolgt über Amazon Simple Email Service (SES) der Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxemburg. Die Verarbeitung erfolgt ausschließlich in der AWS-Region eu-north-1 (Stockholm, Schweden). Mit AWS besteht ein Auftragsverarbeitungsvertrag (AVV). Ein Drittlandtransfer findet nicht statt.
5. Mitarbeiterzugriff auf Nutzerkonten.
Autorisierte Administratoren können im Rahmen des technischen Kundensupports vorübergehend die Sitzung eines Nutzerkontos übernehmen (sog. „Staff-Impersonation"), um Support-Probleme nachzuvollziehen. Diese Funktion ist technisch auf Lesezugriff beschränkt — schreibende Operationen sind in dieser Sitzung gesperrt.
Jeder derartige Zugriff wird lückenlos im Audit-Log protokolliert und enthält: Zeitpunkt des Zugriffs, Administrator-ID, betroffene Nutzer-ID, angegebener Zugriffsgrund und Sitzungsdauer.
Nutzer haben gemäß Art. 15 DSGVO das Recht, Auskunft darüber zu verlangen, ob und wann ein Administrator auf ihr Konto zugegriffen hat. Entsprechende Anfragen richten Sie bitte an admin@planesforge.de.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Support, Plattformsicherheit und Fehlerbehebung). Eine Interessenabwägung (LIA) gemäß DSGVO ist dokumentiert.
6. Hosting.
Die Plattform wird gehostet bei Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland. Die Daten werden ausschließlich in Deutschland verarbeitet. Mit Hetzner besteht ein Auftragsverarbeitungsvertrag (AVV). Ein Drittlandtransfer findet nicht statt.
Backups
IONOS SE — Datenbank-Backups werden in IONOS Object Storage in Frankfurt gespeichert. IONOS SE hat seinen Sitz in Karlsruhe, Deutschland. Backups werden 90 Tage aufbewahrt, sind verschlüsselt und nur für den Verantwortlichen zugänglich. Ein Auftragsverarbeitungsvertrag (AVV) ist abgeschlossen.
PlanesForge verwendet keine Tracking-, Analyse- oder Werbe-Tools von Drittanbietern.
Wir setzen ein einziges, technisch notwendiges Cookie:
pf_session— Sitzungs-Cookie für die Anmeldung. Es wird nach dem Login gesetzt, enthält die Kennung Ihrer Anmeldesitzung, ist alshttpOnlymarkiert (für JavaScript nicht auslesbar) und nach 7 Tagen bzw. mit dem Logout ungültig.
Dieses Cookie ist für den Betrieb des angemeldeten Bereichs unbedingt erforderlich. Eine Einwilligung ist hierfür nach § 25 Abs. 2 TDDDG nicht erforderlich; es dient ausschließlich der Authentifizierung — nicht der Analyse, dem Tracking oder Werbung.
Darüber hinaus speichert die Plattform technisch notwendige Informationen lokal in Ihrem Browser (localStorage, sessionStorage und IndexedDB), um Funktion und Bedienkomfort sicherzustellen — etwa Ihre Sprach-, Anzeige- und Ansichtseinstellungen, Filtereinstellungen, den Lebenspunkte-Zähler während einer laufenden Runde sowie eine Offline-Warteschlange für Ergebnismeldungen (Progressive Web App). Diese Informationen verbleiben auf Ihrem Gerät und werden nicht an Dritte übermittelt.
Rechtsgrundlage: § 25 Abs. 2 TDDDG (unbedingt erforderlich) i. V. m. Art. 6 Abs. 1 lit. b und f DSGVO.
8. Datenweitergabe an Dritte.
Personenbezogene Daten werden grundsätzlich nicht an Dritte weitergegeben, es sei denn:
- der Nutzer hat ausdrücklich eingewilligt,
- die Weitergabe ist zur Vertragserfüllung erforderlich (z.B. Turnierergebnisse werden öffentlich angezeigt),
- eine gesetzliche Verpflichtung besteht.
Turnierveranstalter haben im Rahmen ihrer Turniere Zugriff auf die Registrierungsdaten der angemeldeten Spieler (Name, PLZ, Zahlungsstatus).
Stripe (Zahlungsabwicklung und Stripe Connect)
Zur Abwicklung von Turnierstartgebühren nutzen wir Stripe als Zahlungsdienstleister. Anbieter ist die Stripe Payments Europe, Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland. Bei der Zahlungsabwicklung werden die erforderlichen Zahlungs- und Personendaten (z.B. Name, E-Mail-Adresse) an Stripe übermittelt. Mit Stripe besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Stripe kann Daten in die USA übermitteln; hierfür sind Standarddatenschutzklauseln (SCC) gemäß Art. 46 DSGVO vereinbart. Weitere Informationen: https://stripe.com/de/privacy
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
PlanesForge nutzt darüber hinaus Stripe Connect, um Turnierveranstaltern die direkte Entgegennahme von Startgeldzahlungen zu ermöglichen. Veranstalter, die Zahlungen über die Plattform empfangen möchten, durchlaufen ein von Stripe betriebenes Onboarding-Verfahren, bei dem sie ihre Identitäts- und Bankdaten direkt an Stripe übermitteln. Diese Daten werden von Stripe eigenverantwortlich verarbeitet und unterliegen den Datenschutzbestimmungen von Stripe. PlanesForge erhält dabei keinen Zugriff auf Bankkontonummern oder vollständige Ausweisdaten. Die Datenübermittlung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der sicheren Zahlungsabwicklung).
Scryfall (Kartendaten)
Zur Validierung und Anreicherung von Decklisten nutzen wir die öffentliche API von Scryfall (api.scryfall.com), betrieben von Scryfall LLC, USA. Bei der Einreichung einer Deckliste werden ausschließlich Kartennamen an Scryfall übermittelt, um Kartendaten (Legalität, Bildreferenzen) abzurufen. Es werden keine personenbezogenen Daten an Scryfall übertragen. Kartendaten werden lokal zwischengespeichert, um wiederholte Anfragen zu vermeiden.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an korrekter Kartenvalidierung)
Weitere Informationen: https://scryfall.com/docs/api
9. Externe Links.
Unsere Plattform enthält Links zu externen Diensten, insbesondere:
- Discord (discord.com) — Community-Server für Austausch und Support
- PayPal (paypal.com) — sofern vom Veranstalter als Zahlungsoption hinterlegt
- Moxfield (moxfield.com) und Archidekt (archidekt.com) — optionaler Import von Decklisten
Beim Anklicken dieser Links werden Sie auf externe Websites weitergeleitet, die eigenen Datenschutzbestimmungen unterliegen. Eine Datenübertragung an diese Dienste erfolgt erst durch Ihren aktiven Klick, nicht automatisch beim Besuch unserer Plattform.
10. Speicherdauer.
- Kontodaten werden gespeichert, solange das Nutzerkonto besteht. Bei Löschung werden personenbezogene Daten (Name, E-Mail, Adresse) sofort anonymisiert. Der anonymisierte Datensatz wird zur Wahrung der Turnierstatistiken dauerhaft gespeichert.
- Turnierdaten (Ergebnisse, Standings, Decklisten) werden dauerhaft für die Turnierhistorie gespeichert.
- Zahlungsdaten werden 10 Jahre aufbewahrt (§ 257 HGB, § 147 AO).
- Datenbank-Backups werden 90 Tage aufbewahrt und danach automatisch gelöscht. Backups sind verschlüsselt gespeichert.
- Audit-Log-Einträge (Administratoraktionen und Mitarbeiterzugriffe) werden 2 Jahre aufbewahrt und danach automatisch gelöscht.
- Server-Logfiles werden nach 90 Tagen gelöscht.
- Magic Links verfallen nach 30 Minuten und werden nach Verwendung oder Ablauf ungültig.
11. Ihre Rechte.
Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:
- Auskunft (Art. 15 DSGVO) — Welche Daten wir über Sie gespeichert haben
- Berichtigung (Art. 16 DSGVO) — Korrektur unrichtiger Daten
- Löschung (Art. 17 DSGVO) — Löschung Ihrer Daten, soweit keine Aufbewahrungspflicht besteht
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO) — Herausgabe Ihrer Daten in maschinenlesbarem Format
- Widerspruch (Art. 21 DSGVO) — gegen auf berechtigtem Interesse basierende Verarbeitungen
Self-Service: Daten herunterladen und Konto löschen können Sie direkt in den Profileinstellungen — ohne Kontaktaufnahme.
Für alle übrigen Rechte — einschließlich Auskunft über Mitarbeiterzugriffe auf Ihr Konto (Art. 15 DSGVO), Herausgabe Ihrer Daten (Art. 20 DSGVO) oder Löschung (Art. 17 DSGVO) — kontaktieren Sie uns unter admin@planesforge.de. Wir beantworten Anfragen innerhalb von 30 Tagen.
12. Beschwerderecht.
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig ist:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg Lautenschlagerstraße 20 70173 Stuttgart https://www.baden-wuerttemberg.datenschutz.de
13. Änderungen.
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen der Plattform anzupassen. Die aktuelle Fassung ist stets auf dieser Seite abrufbar.
Brauchst du Hilfe?
Hast du eine Frage? Schreib uns an admin@planesforge.de