Datenschutzerklärung — Realtime Chess

Diese Datenschutzerklärung beschreibt, welche Daten bei der Nutzung der App „Realtime Chess" und der zugehörigen Website verarbeitet werden. Die App kann ohne Benutzerkonto verwendet werden. Optional können Nutzer ein Konto erstellen, um Spielfortschritt geräteübergreifend zu synchronisieren.

Die verwendeten Begriffe sind nicht geschlechtsspezifisch.

Stand: 2. April 2026

Inhaltsübersicht

• Verantwortlicher
• Übersicht der Verarbeitungen
• Maßgebliche Rechtsgrundlagen
• Sicherheitsmaßnahmen
• Datenspeicherung und Löschung
• Rechte der betroffenen Personen
• Webhosting und Server-Logfiles
• Benutzerkonten und geräteübergreifende Synchronisierung
• Mobile App: Lokale Datenspeicherung
• Spielserver-Kommunikation
• Empfehlungsprogramm
• App-Analyse mit Firebase Analytics
• Was wir nicht verarbeiten
• Kontakt
• Änderung und Aktualisierung

Verantwortlicher

Jirko Cernik
Ursrainer Ring 89/1
72076 Tübingen
Tel.: 07071-9209314

E-Mail-Adresse: realtimebudget@intercyloon.de

Impressum: link

Übersicht der Verarbeitungen

Arten der verarbeiteten Daten

• Kontodaten (E-Mail-Adresse, Anzeigename — nur bei optionaler Registrierung).
• Nutzungsdaten (Spielzüge, Matchmaking-Anfragen).
• Synchronisierungsdaten (Spielfortschritt, Einstellungen, Statistiken — nur bei angemeldeten Nutzern).
• Protokolldaten (Server-Logfiles).
• Meta- und Verfahrensdaten (IP-Adressen, Zeitstempel, HMAC-Signaturen, zufällige Tokens).
• Empfehlungsdaten (Empfehlungscodes, MD5-gehashte IP-Adressen).

Kategorien betroffener Personen

• App-Nutzer (Spieler).
• Website-Besucher.
• Kommunikationspartner.

Zwecke der Verarbeitung

• Bereitstellung des Echtzeit-Schachspiels (Online-Partien, KI-Spiele).
• Benutzerkonten und Authentifizierung (optionale Registrierung und Anmeldung).
• Geräteübergreifende Synchronisierung (Spielfortschritt, Einstellungen, Statistiken).
• Matchmaking (Spielersuche nach Rating und Modus).
• Empfehlungsprogramm (Zuordnung von Empfehlungslinks zu App-Installationen).
• Sicherheitsmaßnahmen (HMAC-Signierung, Rate-Limiting).
• Kommunikation (Beantwortung von Anfragen).

Maßgebliche Rechtsgrundlagen

Maßgebliche Rechtsgrundlagen nach der DSGVO: Im Folgenden erhalten Sie eine Übersicht der Rechtsgrundlagen der DSGVO, auf deren Basis wir personenbezogene Daten verarbeiten. Bitte nehmen Sie zur Kenntnis, dass neben den Regelungen der DSGVO nationale Datenschutzvorgaben in Ihrem bzw. unserem Wohn- oder Sitzland gelten können. Sollten ferner im Einzelfall speziellere Rechtsgrundlagen maßgeblich sein, teilen wir Ihnen diese in der Datenschutzerklärung mit.

• Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO) — Die betroffene Person hat ihre Einwilligung in die Verarbeitung der sie betreffenden personenbezogenen Daten für einen spezifischen Zweck oder mehrere bestimmte Zwecke gegeben.
• Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO) — Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen.
• Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO) — Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten notwendig, vorausgesetzt, dass die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten verlangen, nicht überwiegen.

Nationale Datenschutzregelungen in Deutschland: Zusätzlich zu den Datenschutzregelungen der DSGVO gelten nationale Regelungen zum Datenschutz in Deutschland. Hierzu gehört insbesondere das Gesetz zum Schutz vor Missbrauch personenbezogener Daten bei der Datenverarbeitung (Bundesdatenschutzgesetz — BDSG). Das BDSG enthält insbesondere Spezialregelungen zum Recht auf Auskunft, zum Recht auf Löschung, zum Widerspruchsrecht, zur Verarbeitung besonderer Kategorien personenbezogener Daten, zur Verarbeitung für andere Zwecke und zur Übermittlung sowie automatisierten Entscheidungsfindung im Einzelfall einschließlich Profiling. Ferner können Landesdatenschutzgesetze der einzelnen Bundesländer zur Anwendung gelangen.

Sicherheitsmaßnahmen

Wir treffen nach Maßgabe der gesetzlichen Vorgaben unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und des Ausmaßes der Bedrohung der Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Zu den Maßnahmen gehören insbesondere die Sicherung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten durch Kontrolle des physischen und elektronischen Zugangs zu den Daten als auch des sie betreffenden Zugriffs, der Eingabe, der Weitergabe, der Sicherung der Verfügbarkeit und ihrer Trennung. Des Weiteren haben wir Verfahren eingerichtet, die eine Wahrnehmung von Betroffenenrechten, die Löschung von Daten und Reaktionen auf die Gefährdung der Daten gewährleisten. Ferner berücksichtigen wir den Schutz personenbezogener Daten bereits bei der Entwicklung bzw. Auswahl von Hardware, Software sowie Verfahren entsprechend dem Prinzip des Datenschutzes, durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen.

TLS-/SSL-Verschlüsselung (HTTPS): Sämtliche Datenübertragungen zwischen der App und dem Server sowie zwischen Website und Browser erfolgen über HTTPS (TLS-verschlüsselt).

HMAC-SHA256-Signierung: Alle API-Anfragen der App werden mit HMAC-SHA256 signiert. Jede Anfrage enthält einen Zeitstempel und eine einmalige Zufallszahl (Nonce), um Replay-Angriffe und Manipulation zu verhindern. Der Server lehnt Anfragen mit ungültiger oder fehlender Signatur ab.

Datenspeicherung und Löschung

Wir löschen personenbezogene Daten, sobald der Verarbeitungszweck entfällt und keine Aufbewahrungspflichten entgegenstehen. Die folgenden konkreten Fristen gelten:

• Spielräume (Online-Partien): Automatisch nach 2 Stunden gelöscht (7200 Sekunden TTL).
• Matchmaking-Warteschlange: Einträge werden nach erfolgreicher Zuordnung oder Abbruch sofort gelöscht.
• Empfehlungs-Klickdaten (MD5-gehashte IPs): Automatisch nach 24 Stunden gelöscht.
• Empfehlungs-Aktivierungseinträge: Dauerhaft gespeichert (Missbrauchsprävention — verhindern mehrfacher Aktivierung desselben Codes).
• Server-Logfiles: Maximal 30 Tage, danach gelöscht oder anonymisiert.
• Spielstatistiken: Dauerhaft, aggregiert und ohne Spieler-Identifikatoren gespeichert.
• Benutzerkonten: Synchronisierungsdaten werden auf unserem Server gespeichert, solange das Konto besteht. Bei Kontolöschung werden alle zugehörigen Daten auf dem Server und in Firebase Authentication umgehend gelöscht.

Rechte der betroffenen Personen

Ihnen stehen als Betroffene nach der DSGVO verschiedene Rechte zu, die sich insbesondere aus Art. 15 bis 21 DSGVO ergeben:

• Widerspruchsrecht: Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.
• Widerrufsrecht bei Einwilligungen: Sie haben das Recht, erteilte Einwilligungen jederzeit zu widerrufen.
• Auskunftsrecht: Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob betreffende Daten verarbeitet werden und auf Auskunft über diese Daten sowie auf weitere Informationen und Kopie der Daten entsprechend den gesetzlichen Vorgaben.
• Recht auf Berichtigung: Sie haben entsprechend den gesetzlichen Vorgaben das Recht, die Vervollständigung der Sie betreffenden Daten oder die Berichtigung der Sie betreffenden unrichtigen Daten zu verlangen.
• Recht auf Löschung und Einschränkung der Verarbeitung: Sie haben nach Maßgabe der gesetzlichen Vorgaben das Recht, zu verlangen, dass Sie betreffende Daten unverzüglich gelöscht werden, bzw. alternativ nach Maßgabe der gesetzlichen Vorgaben eine Einschränkung der Verarbeitung der Daten zu verlangen.
• Recht auf Datenübertragbarkeit: Sie haben das Recht, Sie betreffende Daten, die Sie uns bereitgestellt haben, nach Maßgabe der gesetzlichen Vorgaben in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder deren Übermittlung an einen anderen Verantwortlichen zu fordern.
• Beschwerde bei Aufsichtsbehörde: Sie haben unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die Vorgaben der DSGVO verstößt.

Webhosting und Server-Logfiles

Wir nutzen gemieteten Speicherplatz und Rechenkapazität für die Bereitstellung unserer Website und des Spielservers. Der Server befindet sich in Deutschland.

• Verarbeitete Datenarten: Nutzungsdaten (abgerufene Seiten, Zugriffszeitpunkte); Meta- und Verfahrensdaten (IP-Adressen, Zeitstempel, Browsertyp, Betriebssystem, Referrer-URL). Protokolldaten (Server-Logfiles).
• Betroffene Personen: Website-Besucher, App-Nutzer.
• Zwecke der Verarbeitung: Bereitstellung der Website und des Spielservers; Sicherheitsmaßnahmen (Erkennung von DDoS-Angriffen und Missbrauch); Sicherstellung der Serverstabilität.
• Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).
• Löschung: Logfile-Informationen werden maximal 30 Tage gespeichert und danach gelöscht oder anonymisiert.

Benutzerkonten und geräteübergreifende Synchronisierung

Die App bietet die optionale Möglichkeit, ein Benutzerkonto zu erstellen. Das Konto dient dazu, den Spielfortschritt online zu sichern und geräteübergreifend zu synchronisieren. Die App ist auch ohne Konto vollständig nutzbar.

Authentifizierung

Für die Kontoverwaltung verwenden wir Firebase Authentication, einen Dienst von Google. Es stehen drei Anmeldemethoden zur Verfügung:

• Google-Anmeldung: Authentifizierung über Ihr Google-Konto. Der Name und die E-Mail-Adresse Ihres Google-Kontos werden an Firebase Authentication übermittelt.
• Apple-Anmeldung: Authentifizierung über Ihre Apple-ID (auf iOS und macOS). Name und E-Mail-Adresse werden von Apple an Firebase Authentication übermittelt. Apple bietet die Möglichkeit, die E-Mail-Adresse zu verbergen (Relay-Adresse).
• E-Mail und Passwort: Sie können sich mit einer E-Mail-Adresse und einem frei gewählten Passwort registrieren. Das Passwort wird ausschließlich von Firebase Authentication verarbeitet und ist für uns nicht einsehbar.

Bei Firebase Authentication gespeicherte Daten: Benutzer-ID (UID), E-Mail-Adresse, Anzeigename, Anmeldeanbieter, Erstellungsdatum. Diese Daten werden von Google Ireland Ltd. (Gordon House, Barrow Street, Dublin 4, Irland) verarbeitet.

Geräteübergreifende Synchronisierung

Angemeldete Nutzer können ihren Spielfortschritt über mehrere Geräte synchronisieren. Dazu werden folgende Daten auf unserem Server in Deutschland gespeichert:

• Spielfortschritt (Level, XP, tägliche Quests, Streak, Adventure-Fortschritt)
• Einstellungen (Spieleinstellungen wie Schwierigkeitsgrad, Zeitmodus, Soundeinstellungen)
• Kosmetische Auswahl (Brettthema, Figurenset, Effekte etc.)
• Elo-Rating und Rating-Nachweis
• Spielstatistiken (Partiehistorie, Ergebnisse)
• Tagesgebundener Fortschritt (tägliches Puzzle, Tages-XP-Limit)
• Avatar-Notizen (persönliche Notizen zu Gegner-Avataren)

Die Synchronisierung erfolgt nicht in Echtzeit, sondern bei App-Start und beim Wechsel zurück zur App. Die Daten werden ausschließlich unter der Benutzer-ID des angemeldeten Kontos gespeichert und sind nur für den jeweiligen Nutzer zugänglich.

Datenverarbeitung: Die Synchronisierungsdaten werden auf unserem eigenen Server in Deutschland gespeichert und nicht an Dritte weitergegeben.

Kontolöschung

Sie können Ihr Konto jederzeit in den App-Einstellungen löschen. Bei der Löschung werden alle mit Ihrem Konto verknüpften Synchronisierungsdaten auf dem Server sowie das Konto in Firebase Authentication umgehend und vollständig gelöscht. Die lokal auf dem Gerät gespeicherten Daten bleiben erhalten.

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO) — Die Erstellung eines Kontos und die damit verbundene Datenverarbeitung erfolgen ausschließlich auf Ihre freiwillige Initiative.

Mobile App: Lokale Datenspeicherung

Die App speichert folgende Daten ausschließlich lokal auf Ihrem Gerät (mittels SharedPreferences). Diese Daten werden nicht an unseren Server übertragen (Ausnahmen siehe unten):

• Avatar-Seed (Zufallszahl zur Generierung Ihres prozeduralen Pixel-Art-Avatars)
• Elo-Rating und HMAC-signierter Rating-Nachweis
• XP, Level, Tagesquest-Fortschritt, Streak-Zähler
• Bevorzugter Matchmaking-Modus (Echtzeit, Blitz, Zufall)
• Kosmetische Auswahl (Brettthema, Figurenset, Brettrahmen, Hintergrund, Effekte etc.)
• Empfehlungscode, Empfehlungsstatus, Belohnungszähler

Ausnahmen: Bei Online-Partien werden der Rating-Nachweis und der Avatar-Seed an den Server übertragen, um Matchmaking und die Darstellung beim Gegner zu ermöglichen. Bei angemeldeten Nutzern werden die oben genannten Daten zusätzlich auf unserem Server synchronisiert (siehe Benutzerkonten und geräteübergreifende Synchronisierung).

Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO) — erforderlich für die Funktionalität der App.

Spielserver-Kommunikation

Bei Online-Partien werden folgende Daten an unseren Server übertragen und temporär gespeichert:

• Spielraum: Raum-ID (zufällige 5-stellige Zahl), Brettstellung, Züge, Spieler-Tokens (zufällig generiert pro Partie), Avatar-Seeds beider Spieler. Automatische Löschung nach 2 Stunden.
• Matchmaking: Elo-Rating, bevorzugter Spielmodus, Avatar-Seed und ein zufälliger Token. Einträge werden nach erfolgreicher Zuordnung oder Abbruch sofort gelöscht.
• Spielstatistiken: Spielergebnisse werden pro Monat für aggregierte Statistiken gespeichert. Diese enthalten keine Spieler-Identifikatoren.
• KI-Spiele: Bei Partien gegen die KI werden nur Schwierigkeitsgrad und Ergebnis an den Server übermittelt (für Statistiken). Es werden keine personenbezogenen Daten verarbeitet.

Spieler-Tokens werden zufällig pro Partie generiert und ermöglichen keine sitzungsübergreifende Identifikation.

Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO) — erforderlich für die Bereitstellung des Online-Schachspiels.

Empfehlungsprogramm

Die App enthält ein Empfehlungsprogramm, über das Spieler andere Spieler einladen können. Die Funktionsweise:

• Jeder Spieler erhält einen lokal generierten 6-stelligen alphanumerischen Empfehlungscode (z.B. „A1B2C3").
• Deferred Deep Linking: Klickt jemand auf einen Empfehlungslink auf der Website, wird die IP-Adresse des Besuchers serverseitig mit MD5 gehasht und zusammen mit dem Empfehlungscode für maximal 24 Stunden gespeichert. Dies dient dazu, den Klick auf der Website mit einer späteren App-Installation zu verbinden.
• Zuordnung beim App-Start: Beim ersten Start prüft die App über die (serverseitig gehashte) IP-Adresse, ob ein passender Empfehlungscode vorliegt. Bei einem Treffer wird der Eintrag gelöscht.
• Aktivierung: Nach Abschluss einer vollständigen Partie (mindestens 10 Züge) wird die Empfehlung als aktiviert markiert. Der Server speichert, welche Empfehlungs-IDs bereits aktiviert wurden (Flag zur Doppelzählungs-Prävention) sowie einen Aktivierungszähler pro Empfehler-Code.

Gespeicherte Daten: Es werden keine Namen, E-Mail-Adressen oder Benutzerkonten erhoben — nur zufällige 6-stellige Codes und MD5-gehashte IP-Adressen.

Hinweis: MD5-gehashte IP-Adressen können unter der DSGVO weiterhin als personenbezogene Daten gelten. Die 24-Stunden-Löschfrist und der einmalige Zweck (Code-Zuordnung bei Installation) minimieren die Auswirkungen auf Ihre Privatsphäre.

Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO) — erforderlich für die Zuordnung von Empfehlungen ohne Benutzerkonten.

App-Analyse mit Firebase Analytics

Wir verwenden Firebase Analytics, einen Analysedienst von Google, um die Nutzung der App besser zu verstehen und die App zu verbessern.

• Erfasste Daten: Anonymisierte Nutzungsereignisse (z.B. Spielstart, Spielende, Tutorial-Abschluss), Gerätetyp, App-Version und Betriebssystem. Es werden keine persönlichen Daten wie Namen, E-Mail-Adressen oder Benutzerkonten erfasst.
• Datenverarbeitung: Die Daten werden von Google Ireland Ltd. (Gordon House, Barrow Street, Dublin 4, Irland) im Rahmen einer Auftragsverarbeitung auf EU-Servern verarbeitet.
• Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO) — Verbesserung der App und Optimierung der Nutzeransprache.
• Opt-out: Sie können die Analyse in den Geräteeinstellungen deaktivieren (iOS: Einstellungen > Datenschutz > Analyse; Android: Einstellungen > Google > Anzeigen).

Was wir nicht verarbeiten

• Keine Pflicht-Registrierung: Die App ist ohne Benutzerkonto vollständig nutzbar. Die Kontoerstellung ist optional und dient der Online-Sicherung und geräteübergreifenden Synchronisierung des Spielfortschritts.
• Keine Drittanbieter-Werbung oder Werbe-Tracking: Keine Werbenetzwerke, keine Anzeigen, kein Werbe-Tracking.
• Keine Weitergabe an Dritte: Daten werden nicht an Dritte verkauft, übermittelt oder offengelegt.
• Kein Profiling: Keine automatisierte Entscheidungsfindung oder Profilbildung.
• Keine Cookies: Weder die App noch die Website verwenden Cookies.
• Rein lokale Push-Benachrichtigungen: Die App kann optionale Erinnerungen anzeigen. Diese werden vollständig lokal geplant — es werden keine Push-Tokens an einen Server übertragen.

Kontakt

Bei der Kontaktaufnahme mit uns (z.B. per E-Mail) werden die Angaben der anfragenden Person verarbeitet, soweit dies zur Beantwortung der Anfrage erforderlich ist.

• Verarbeitete Datenarten: Kontaktdaten (E-Mail-Adresse, ggf. Name); Inhaltsdaten (Ihre Nachricht).
• Betroffene Personen: Kommunikationspartner.
• Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Änderung und Aktualisierung

Wir bitten Sie, sich regelmäßig über den Inhalt unserer Datenschutzerklärung zu informieren. Wir passen die Datenschutzerklärung an, sobald die Änderungen der von uns durchgeführten Datenverarbeitungen dies erforderlich machen. Wir informieren Sie, sobald durch die Änderungen eine Mitwirkungshandlung Ihrerseits (z.B. Einwilligung) oder eine sonstige individuelle Benachrichtigung erforderlich wird.

Sofern wir in dieser Datenschutzerklärung Adressen und Kontaktinformationen angeben, bitten wir zu beachten, dass die Adressen sich über die Zeit ändern können und bitten die Angaben vor Kontaktaufnahme zu prüfen.