Loading legal document
Последнее обновление:
Zuletzt aktualisiert: 24. Juni 2026
E-Mail-Adressen werden nicht verkauft und nicht an Werbetreibende weitergegeben. Sie werden für den Account, die Anmeldung, Service-E-Mails, die Wiederherstellung des Zugangs, Zahlungsfunktionen und Sicherheit benötigt.
Öffentliche Veröffentlichungen sind für andere Personen sichtbar: Themen, Antworten, Kommentare, Profile, Seiten von Mods/Modpacks, Reaktionen und ähnliche Aktivitäten können Nutzern, Website-Gästen, Suchmaschinen und Caches zugänglich sein.
Wenn ein Nutzer gegen die Regeln 16+ oder NSFW/18+ verstößt, können der Account, Account-Funktionen oder Inhalte eingeschränkt, verborgen oder gelöscht werden. Beschwerden, Veröffentlichungen und zur Moderation gelangte Materialien sind für Administration und Moderatoren während der Bearbeitung sichtbar.
IP-Adressen, Fehler und technische Protokolle werden in der Regel kurzfristig für Sicherheit und Diagnose benötigt. In der Praxis bestehen solche Protokolle meist Tage oder Wochen, nicht Jahre, sofern es keinen Streitfall, Verstoß, Angriff oder rechtlichen Grund gibt, sie länger aufzubewahren.
Diese Datenschutzerklärung beschreibt, wie die Website Moddingflow unter <https://moddingflow.com> personenbezogene Daten von Nutzern verarbeitet.
Moddingflow ist eine Website und eine Modding-Community. Auf der Website stehen Registrierung, persönlicher Account-Bereich, öffentliche Profile, Forum, Veröffentlichungen und Diskussionen über Mods/Modpacks, Nachrichten, Leitfäden, Suche, Beschwerden, Bewertungen, Benachrichtigungen, Premium-Funktionen und damit verbundene Zahlungsfunktionen zur Verfügung.
Diese Fassung der Erklärung konzentriert sich auf die Datenverarbeitung auf der Website. Wenn die Website einzelne Servicefunktionen zur Interaktion mit einer externen App bereitstellt, zum Beispiel die Übertragung der Authentifizierung über ein kurzfristiges auth ticket oder eine Website-Sitzung, beschreibt diese Erklärung nur die Datenverarbeitung auf Seiten der Website.
Die Verarbeitung personenbezogener Daten erfolgt gemäß der Datenschutz-Grundverordnung der EU - GDPR/DSGVO - sowie den anwendbaren deutschen Vorschriften, einschließlich des TDDDG im Hinblick auf Cookies, localStorage, sessionStorage und ähnliche Technologien.
Verantwortlich für die Datenverarbeitung ist:
Valerii Semenov
Email: <moddingflow@gmail.com>
Postanschrift:
c/o Autorenglück #61208
Albert-Einstein-Straße 47
02977 Hoyerswerda
Deutschland
Beim Aufruf der Website können technische Anfragedaten verarbeitet werden: IP-Adresse oder ein anderer Netzwerkidentifikator, Datum und Uhrzeit des Zugriffs, URL, HTTP-Methode, Referrer, User-Agent, Angaben zu Browser und Gerät, Anfrage-Header, Antwortcodes, Fehlerangaben, Sicherheitsereignisse und Rate-Limit.
Die Website nutzt solche Daten zur Auslieferung von Seiten und APIs, zum Schutz vor Angriffen und Missbrauch, zur Begrenzung der Anfragehäufigkeit, zur Fehlerdiagnose, zum Schutz von Login-Formularen, zur Wiederherstellung des Zugangs, für Datei-Uploads, Suche und Zahlungs-Webhook-Ereignisse.
Im Code der Website gibt es keine eigene separate langfristige Access-Log-Tabelle für alle Website-Besuche. Technische Protokolle können jedoch von Infrastrukturanbietern, zum Beispiel Hosting, Datenbank, CDN und Sicherheitsdiensten, gemäß deren Einstellungen, Verträgen und Richtlinien geführt werden.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. f DSGVO - berechtigtes Interesse am sicheren und stabilen Betrieb der Website; in einzelnen Fällen Art. 6 Abs. 1 lit. c DSGVO - Erfüllung rechtlicher Pflichten.
Bei Registrierung und Nutzung des Accounts werden verarbeitet: E-Mail, öffentlicher Nickname, Login, Nutzerkennung in Supabase Auth, technische Account-Daten, Angaben zu Sitzungen, Authentifizierungs-Token, Registrierungsdatum, Datum des letzten Logins, Historie der Annahme rechtlicher Dokumente, Sprach- und Profileinstellungen.
Das Passwort wird mit Mitteln von Supabase Auth gespeichert und geprüft. Ich erhalte und speichere das Passwort nicht im Klartext.
Wenn Sie bei der Anmeldung „Angemeldet bleiben“ aktivieren oder anklicken, speichert die Website die technische Einstellung `mf_auth_session_persistence` und verlängert die Laufzeit der zugehörigen Authentifizierungs-Cookies/-Tokens auf diesem Gerät auf bis zu 30 Tage. Das bedeutet, dass der Nutzer nach dem Schließen und erneuten Öffnen des Browsers in der Regel angemeldet bleibt. Die Funktion gilt nur für das aktuelle Gerät und den aktuellen Browser und endet bei Abmeldung, Widerruf der Sitzung, Ablauf der Frist oder Löschung von Cookies/Website-Daten.
Die Erstellung eines Accounts erfordert die ausdrückliche Annahme der aktuellen Datenschutzerklärung und der Nutzungsbedingungen. Ohne diese Annahme ist die Erstellung eines Accounts und/oder die Nutzung von Account-Funktionen nicht möglich.
Bei der Annahme rechtlicher Dokumente speichert die Website die angenommenen Versionen der Dokumente, den Dokumenttyp, die Sprache der Annahme, die Nutzerkennung sowie Datum/Uhrzeit der Annahme. Diese Angaben werden verwendet, um nachzuweisen, welche verbindlichen Dokumente zum Zeitpunkt der Registrierung oder einer späteren Annahme für den Account galten.
Wenn künftig wesentliche Aktualisierungen verbindlicher rechtlicher Dokumente veröffentlicht werden, kann die Website vor der weiteren Nutzung des Accounts eine erneute Annahme verlangen. Die Annahme der Dokumente ist Voraussetzung für den Account-Vertrag und die Nutzung von Account-Funktionen; die Verarbeitung personenbezogener Daten beruht dabei weiterhin auf den jeweiligen Rechtsgrundlagen der DSGVO, die in dieser Erklärung für die konkreten Verarbeitungszwecke angegeben sind.
Beim Login über externe Anbieter kann die Website Daten erhalten, die der jeweilige Anbieter übermittelt:
Passwörter von Discord, Google, Steam und anderen externen Diensten erhält die Website nicht.
Für verknüpfte externe Accounts kann die Website provider, provider user ID, E-Mail, Name, Avatar, Datum der Verknüpfung und Datum der letzten Synchronisierung speichern. Wenn Steam keine E-Mail übermittelt, kann die Website eine technische synthetic email nur zur Erstellung und Verknüpfung des Accounts innerhalb des Authentifizierungssystems verwenden.
Zwecke der Verarbeitung: Erstellung und Pflege des Accounts, Login auf der Website, Schutz des Accounts, Anzeige des Profils, Umsetzung von Nutzereinstellungen.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO - Bereitstellung von Account-Funktionen; Art. 6 Abs. 1 lit. f DSGVO - Schutz von Accounts und Dienst.
Wenn Sie die Zwei-Faktor-Authentifizierung aktivieren, erfolgt die Verarbeitung des Codes aus der Zwei-Faktor-Schutz-App (TOTP) über Supabase Auth. Die Website kann außerdem technische Angaben speichern, die zur Prüfung des Sicherheitsniveaus der Sitzung erforderlich sind.
Bei der Wiederherstellung des Zugangs können E-Mail, Login/Nick zur Accountsuche, ein einmaliger Wiederherstellungscode in gehashter Form, Gültigkeitsdauer des Codes, Anzahl der Versuche, Bestätigungs- und Nutzungsvermerke zum Wiederherstellungslink verarbeitet werden. Service-E-Mails werden über Mailgun und/oder Supabase versendet.
Zum Schutz des Accounts kann eine begrenzte Historie von Hashes früherer Passwörter gespeichert werden, um die Wiederverwendung alter Passwörter zu verhindern. Passwörter werden nicht im Klartext gespeichert.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO - Wiederherstellung des Zugangs auf Anfrage des Nutzers; Art. 6 Abs. 1 lit. f DSGVO - Sicherheit von Accounts.
Im Profil können verarbeitet und angezeigt werden: Nickname, Login, Mention-Tag, Avatar, Banner, Sprache, öffentlicher Status, Sichtbarkeitseinstellungen, Kommentareinstellungen, Profilgestaltung, Avatar-Rahmen, Emoji-Status, Profilkommentare, Likes/Lob, Aufrufzähler, Angaben zu öffentlichen Veröffentlichungen und Aktivitäten.
Wenn Sie einen Avatar, ein Banner oder andere öffentliche Profilbilder hochladen, können diese in Supabase Storage gespeichert und über einen öffentlichen Link zugänglich sein. Laden Sie keine Bilder hoch, die personenbezogene Daten anderer Personen oder Informationen enthalten, die Sie nicht öffentlich offenlegen möchten.
Zwecke der Verarbeitung: Bereitstellung des öffentlichen Profils, Personalisierung des Accounts, Betrieb sozialer Funktionen der Website.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO - Bereitstellung von Profilfunktionen; Art. 6 Abs. 1 lit. f DSGVO - Betrieb der Community und Schutz vor Missbrauch.
Bei Nutzung des Forums und der Veröffentlichungen werden verarbeitet: Themen, Beiträge, Antworten, Nachrichten, Titel, Texte von Veröffentlichungen, Bilder, Anhänge, Sprache, ausgewähltes Spiel, Bereich, Erstellungs- und Bearbeitungsdaten, Autorenschaft, Likes, Reaktionen, Themenabonnements, Benachrichtigungen, Beschwerden, Moderationsentscheidungen und zugehörige technische Daten.
Öffentliche Veröffentlichungen können anderen Nutzern, Website-Gästen, Suchmaschinen und Cache-Diensten zugänglich sein. Das Löschen eines Accounts oder Materials bedeutet nicht immer, dass Kopien aus Suchmaschinen-Caches, CDN oder externen Archiven sofort verschwinden.
Zwecke der Verarbeitung: Betrieb des Forums, Veröffentlichung und Diskussion von Materialien, Benachrichtigungen, Moderation, Schutz vor Spam und Verstößen.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO - Bereitstellung von Forum-Funktionen; Art. 6 Abs. 1 lit. f DSGVO - Moderation, Sicherheit und Entwicklung der Community; Art. 6 Abs. 1 lit. c DSGVO - Erfüllung rechtlicher Pflichten, soweit anwendbar.
Wenn Sie eine Seite eines Mods/Modpacks erstellen oder bearbeiten, kann die Website verarbeiten: Titel, Beschreibung, Version, Download-Links, Homepage oder Quellcode, Bilder, Galerie, Changelog, Kategorien, Abhängigkeiten, Inkompatibilitäten, Anforderungen, FAQ, NSFW-Markierungen, Beschwerden, Vorschläge, Likes, Aufrufe und Download-Ereignisse.
Archive von Mods/Modpacks, die über die integrierte Upload-Funktion hochgeladen werden, werden direkt aus dem Browser des Nutzers über eine signierte upload URL an Cloudflare R2 übermittelt. Das bedeutet, dass das Archiv selbst an die Cloudflare/R2-Infrastruktur gesendet wird, ohne dass die Datei zwischendurch auf dem Moddingflow-Anwendungsserver gespeichert wird; die Website erstellt und steuert jedoch die Upload-Sitzung.
Bei diesem Upload können die Website und Cloudflare/R2 den ursprünglichen Dateinamen, Größe, content type, SHA-256, R2 ETag, staging/final bucket, object key, Upload-, Prüf- und Veröffentlichungsstatus, zugehörige timestamps, IP-Adresse, user-agent, technische request headers und andere request/log data verarbeiten, die für Upload, Sicherheit, Diagnose und Bestätigung der Dateiintegrität erforderlich sind.
Solche Archive können vorübergehend in einem staging bucket gespeichert werden, bis der Upload abgeschlossen und technisch geprüft ist, und nach Annahme in den Hauptspeicher von R2 für Downloads kopiert oder verschoben werden. Das temporäre staging object kann nach Finalisierung, Ablehnung oder Abbruch des Uploads gelöscht werden.
Wenn der Browser eines Nutzers die primäre Cloudflare/R2-Download-Route nicht erreichen kann, kann die Website eine kurzlebige Bunny.net Pull CDN Fallback-URL für dasselbe Archiv anfordern. Bunny ruft die Datei aus dem geschützten Cloudflare/R2-basierten Origin ab und kann den unveränderlichen Blob nur als Auslieferungsschicht cachen; Cloudflare/R2 bleibt die maßgebliche Quelle für Archivspeicher, Metadaten, Hashes und Berechtigungen.
Bilder, Galerien und andere öffentliche Medien für Seiten von Mods/Modpacks können in Supabase Storage, Bunny.net Storage/CDN gespeichert oder über CDN ausgeliefert werden, wenn eine solche Auslieferung aktiviert ist.
Zum Schutz der Statistik und zur Verhinderung von Manipulationen können Ereignisse von Aufrufen und Downloads, die Nutzerkennung oder ein technischer anonymer Deduplizierungsschlüssel für Gast-Downloads gespeichert werden.
Zwecke der Verarbeitung: Veröffentlichung von Mods und Modpacks, Statistik, Ranking, Schutz vor Manipulationen, Moderation.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO; Art. 6 Abs. 1 lit. f DSGVO.
Bei Nutzung der Suche werden Suchanfrage, ausgewählte Sprache, Filter, Ergebnislimit und technische Anfragedaten verarbeitet. Suchanfragen werden zur Ausgabe von Ergebnissen und zum Schutz vor Missbrauch verwendet. Standardmäßig führt die Website keine separate nutzerbezogene Historie von Suchanfragen in einer eigenen Tabelle, die Anfrage kann jedoch in technische Protokolle der Infrastruktur gelangen.
Die Website erstellt einen Suchindex aus öffentlichen Materialien der Website, einschließlich öffentlicher Themen, Beiträge, Mod-Seiten, Nachrichten, Leitfäden und anderer indexierbarer öffentlicher Seiten.
Zum Zeitpunkt dieser Aktualisierung wird kein externer Anbieter für Embeddings oder semantische Suche verwendet. Die Website übermittelt Suchanfragen oder Fragmente öffentlicher Materialien nicht an externe Embedding-Anbieter wie OpenAI oder Hugging Face zum Aufbau von Embeddings.
Wenn künftig ein externer Embedding-Anbieter hinzukommt, wird die Website darüber im Voraus gesondert mindestens 30 Tage vorher informieren. In einer solchen Mitteilung werden Anbieter, Verarbeitungsregion, Datenkategorien, Rechtsgrundlage und Übermittlungsmechanismus angegeben; soweit erforderlich, wird vor Beginn dieser Verarbeitung eine neue Einwilligung über einen Banner eingeholt.
Wenn Sie einen Bericht zur Suchqualität oder eine Beschwerde zur intelligenten Suche absenden, können Suchanfrage, erwartetes Ergebnis, tatsächliches Ergebnis, Sprache, Einwilligungsvermerk und, wenn Sie im Account angemeldet sind, die Nutzerkennung gespeichert werden. Solche Berichte sind für Administratoren in der Beschwerdewarteschlange zur intelligenten Suche sichtbar und werden für eine manuelle Prüfung der Ausgabequalität verwendet.
Beschwerden zur intelligenten Suche werden nach dem endgültigen Urteil der Administration oder automatisch 180 Tage nach Erstellung gelöscht, sofern sie bis dahin nicht manuell gelöscht wurden. Wenn die Beschwerde aus einem Account gesendet wurde und ein Administrator eine Antwort hinterlässt, erhält der Nutzer im Account eine Benachrichtigung mit dem Ergebnis der Prüfung.
Bewertungen, Status und Empfehlungen können auf Grundlage öffentlicher Aktivitäten berechnet werden: Veröffentlichungen, Likes, Aufrufe, Downloads, Beschwerden und andere Handlungen auf der Website.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. f DSGVO - Verbesserung von Suche, Statistik und Qualität der Website; Art. 6 Abs. 1 lit. a DSGVO - wenn ein bestimmtes Feedback-Formular eine gesonderte Einwilligung erfordert.
Die Website kann Benachrichtigungen über neue Antworten, Erwähnungen, Moderationshandlungen, Aktualisierungen verfolgter Materialien, Änderungen rechtlicher Dokumente und andere Account-Ereignisse verarbeiten.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO - Bereitstellung von Account- und Benachrichtigungsfunktionen; Art. 6 Abs. 1 lit. f DSGVO - Komfort und Sicherheit der Community.
Beim Absenden einer Beschwerde über Nutzerinhalte, bei Einlegung einer Beschwerde gegen eine Sperre oder bei Anwendung von Moderationshandlungen werden verarbeitet: Autor der Beschwerde, Gegenstand der Beschwerde, Grund, Text der Anfrage, Prüfstatus, Kommentare und Antwort von Moderator oder Administrator, Bearbeitungsdatum, Kennung von Moderator oder Administrator, Art der Handlung und technische Metadaten. Beschwerden zur intelligenten Suche sind gesondert in Abschnitt 3.7 beschrieben.
Administratoren und Moderatoren können die Angaben sehen, die zur Prüfung der Beschwerde erforderlich sind: wer die Anfrage eingereicht hat, wann sie eingegangen ist, gegen welches Material, welchen Nutzer oder welche Moderationsmaßnahme sie gerichtet ist, den angegebenen Grund, Prüfstatus, zugehörige Kommentare, die Antwort der Administration und Servicemetadaten. Dies ist erforderlich zur Prüfung von Beschwerden, zur Anzeige des Ergebnisses auf dem Sperrbildschirm oder im Konto, zur Verhinderung von Spam, massenhaften falschen Beschwerden und anderem Missbrauch des Beschwerde- und Einspruchssystems sowie zur Anwendung von Moderationsmaßnahmen gegenüber Nutzern, die diese Funktion missbrauchen.
Beschwerden über Nutzerinhalte werden in der Regel nach Prüfung durch die Administration oder nach Ablauf von 90 Tagen ab Erstellung automatisch gelöscht, wenn sie bis dahin nicht geprüft wurden. In seltenen Fällen kann die Administration die automatische Löschung einer konkreten Beschwerde deaktivieren, zum Beispiel wenn sie nicht vor Ablauf der 90-Tage-Frist geprüft werden kann oder wenn eine längere Speicherung zum Schutz der Website, zum Nachweis von Verstößen, zur Verhinderung wiederholten Missbrauchs oder zur Erfüllung rechtlicher Pflichten erforderlich ist.
Beschwerden gegen Sperren und andere Moderationsmaßnahmen können bis zur endgültigen Antwort der Administration und danach so lange gespeichert werden, wie dies zur Anzeige des Ergebnisses gegenüber dem Nutzer, zum Nachweis der Prüfung, zur Verhinderung wiederholten Missbrauchs des Beschwerdesystems, zum Schutz der Website oder zur Erfüllung rechtlicher Pflichten erforderlich ist. Wenn der Zugang zu weiteren Beschwerden wegen Spam, sachfremder Anfragen oder sonstigen Missbrauchs beschränkt wird, kann ein Datensatz über den Grund dieser Beschränkung gespeichert werden.
Moderationsentscheidungen und administrative Handlungen können länger als gewöhnliche Nutzerinhalte gespeichert werden, wenn dies zum Schutz der Website, zum Nachweis von Verstößen, zur Verhinderung wiederholten Missbrauchs oder zur Erfüllung rechtlicher Pflichten erforderlich ist.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. f DSGVO - Schutz der Community und des Dienstes; Art. 6 Abs. 1 lit. c DSGVO - wenn die Speicherung gesetzlich erforderlich ist.
Wenn Sie kostenpflichtige Funktionen nutzen, kann die Website verarbeiten: Nutzerkennung, Stripe Customer ID, E-Mail für die Abrechnung, Abonnementstatus, Tarif, Gültigkeitszeitraum, Kündigung der Verlängerung, Checkout-Zustimmungsdatensätze, Kündigungs-Auditdatensätze, Sprache, Version/Hash des Rechtstextes, Status der E-Mail-Bestätigung, Entitlements, kurzfristigen technischen Body von Stripe-Webhook-Ereignissen und langfristige minimale Stripe IDs, Status, Tarif, Beträge, Währung, Timestamps und Angaben, die für die Gewährung von Premium-Zugang, Abstimmung und Buchhaltung erforderlich sind. Checkout-Zustimmungs- und Kündigungs-Auditdatensätze speichern keine IP-Adresse der Anfrage und keinen User-Agent.
Zahlungen werden von Stripe verarbeitet. Ich erhalte und speichere nicht die vollständige Bankkartennummer.
Zur Verhinderung der erneuten Verarbeitung desselben Zahlungsereignisses, zur Abstimmung von Zahlungen, zur Fehlerdiagnose, zur Wiederherstellung des Abonnementstatus und zur Untersuchung strittiger Vorgänge kann die Website vorübergehend den von Stripe erhaltenen technischen Body des Webhook-Ereignisses vollständig speichern, einschließlich metadata und Ereignisobjekt, jedoch nur bis zu 90 Tage. Danach wird der vollständige technische Body des Ereignisses aus dem Webhook-Ereignisdatensatz gelöscht; der technische Datensatz zur Verhinderung einer doppelten Zahlungsbearbeitung bleibt mit minimalen Feldern erhalten: Stripe event ID, Ereignistyp, Customer/Subscription/Invoice/PaymentIntent/Charge/Checkout Session ID, Abonnement- oder Zahlungsstatus, Tarif/price ID, Beträge, Währung, Ereigniszeit, livemode, Verarbeitungsstatus und kurze Fehlermeldung, wenn die Verarbeitung mit einem Fehler beendet wurde.
Wenn der Zugang manuell gewährt oder aus einer externen Abonnementquelle übertragen wurde, können Zugangsquelle, externe reference und minimale Metadaten gespeichert werden, die zur Bestätigung des Premium-Status erforderlich sind. Im Code sind außerdem legacy/manual-Quellen des Premium-Status vorgesehen, zum Beispiel Boosty, Patreon, Discord oder Telegram; solche Daten werden nur verarbeitet, wenn die entsprechende Integration tatsächlich für Ihren Account verwendet wird.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO - Vertragserfüllung und Bereitstellung kostenpflichtiger Funktionen; Art. 6 Abs. 1 lit. c DSGVO - steuerliche und buchhalterische Pflichten; Art. 6 Abs. 1 lit. f DSGVO - Verhinderung von Betrug und Missbrauch.
Die Website kann Angaben zur Annahme der Datenschutzerklärung, der Regeln, der Nutzungsbedingungen und anderer rechtlicher Dokumente speichern: Nutzerkennung, Dokumenttyp, Version, Sprache, Datum und Uhrzeit der Annahme.
Zwecke der Verarbeitung: Nachweis der Information des Nutzers, Erfüllung rechtlicher Pflichten, Schutz der Rechte und Interessen des Projekts.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. c DSGVO; Art. 6 Abs. 1 lit. f DSGVO.
Wenn Sie mich per E-Mail oder über andere Kanäle kontaktieren, werden Ihre Kontaktdaten, der Inhalt der Nachricht, Anhänge und technische Daten der Korrespondenz verarbeitet.
Zwecke der Verarbeitung: Antwort auf die Anfrage, Nutzerunterstützung, Prüfung von Beschwerden, Schutz von Rechten.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO - wenn die Anfrage mit einem Account oder einer Dienstleistung zusammenhängt; Art. 6 Abs. 1 lit. f DSGVO - allgemeines Interesse an Kommunikation und am Schutz des Projekts.
Wenn die Website eine Funktion zur Authentifizierung oder zum Wechsel in eine externe App bereitstellt, kann die Website ein kurzfristiges auth ticket oder eine Website-Sitzung erstellen, die mit Ihrem Account verknüpft ist. Diese Daten werden nur zur Übertragung des Login-Status zwischen Website und Anwendung und zum Schutz dieses Übergangs verwendet.
In der Datenbank können technische Angaben zu ticket/session gespeichert werden: Nutzerkennung, Hash des einmaligen ticket, Gültigkeitsdauer, Nutzungsvermerk, device/session metadata, Erstellungsdatum, Ablaufdatum, Datum des Widerrufs oder der letzten Nutzung.
Diese Erklärung beschreibt lokale Dateien, Einstellungen und technische Integrationen separater Desktop-Anwendungen nicht im Detail, da sich diese Fassung auf die Website Moddingflow bezieht.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO - Bereitstellung der angefragten Funktion; Art. 6 Abs. 1 lit. f DSGVO - Sicherheit der Übertragung der Authentifizierung.
Für die Erstellung eines Accounts sind E-Mail, Login/Nickname, Passwort oder Daten eines externen Login-Anbieters sowie technische Authentifizierungs- und Sitzungsdaten erforderlich. Ohne diese Daten sind Registrierung, Login und Nutzung der Account-Funktionen nicht möglich.
Technische Anfragedaten, technisch notwendige Cookies, localStorage und sessionStorage werden für den Betrieb der Website, Sicherheit, Schutz vor Missbrauch, Speicherung der Sitzung, Sprache, Design und lokale Einstellungen der Benutzeroberfläche benötigt. Wenn der Browser solche Daten blockiert oder sie gelöscht werden, können einzelne Website-Funktionen nicht ordnungsgemäß funktionieren, der Login kann zurückgesetzt werden und der Zugang zu Formularen, Uploads oder APIs kann eingeschränkt sein.
Öffentliches Profil, Avatar, Banner, Kommentare, Veröffentlichungen, Forum-Themen, Seiten von Mods/Modpacks, Beschwerden, Berichte zur Suchqualität und Support-Nachrichten sind freiwillig. Wenn Sie solche Daten nicht bereitstellen, stehen die entsprechenden Funktionen nicht zur Verfügung oder können nicht bearbeitet werden.
Premium-Funktionen und Abonnements sind freiwillig. Für deren Abschluss und Betreuung sind Daten erforderlich, die für Zahlung, Abonnement, Zugangsgewährung und Bestätigung des Premium-Status benötigt werden. Wenn solche Daten nicht bereitgestellt werden oder die Zahlung nicht abgeschlossen ist, stehen kostenpflichtige Funktionen nicht zur Verfügung.
Funktionen zur Interaktion der Website mit einer externen App sind, sofern verfügbar, freiwillig. Wenn auth ticket oder Website-Sitzung nicht verwendet werden, steht die Übertragung des Login-Status zwischen Website und Anwendung nicht zur Verfügung.
Das Mindestalter für die selbständige Registrierung eines Accounts und die Nutzung interaktiver Funktionen der Website beträgt 16 Jahre. Die Website ist nicht für Kinder unter 16 Jahren bestimmt und richtet sich nicht gezielt an sie.
Wenn Sie jünger als 16 Jahre sind, dürfen Sie nicht selbständig einen Account erstellen, Materialien veröffentlichen, Beschwerden absenden, Premium abschließen oder andere interaktive Funktionen ohne Einwilligung oder Erlaubnis eines Elternteils oder gesetzlichen Vertreters nutzen, soweit eine solche Einwilligung nach anwendbarem Recht erforderlich ist. Für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft gilt Art. 8 DSGVO, wenn die Verarbeitung auf Einwilligung beruht.
Wenn ich erfahre, dass ein Account von einem Kind unter 16 Jahren ohne die erforderliche Einwilligung oder Erlaubnis eines Elternteils oder gesetzlichen Vertreters erstellt wurde, kann ich Account-Funktionen einschränken, eine Bestätigung der Einwilligung anfordern, den Account löschen und/oder zugehörige Daten löschen oder anonymisieren, soweit dies erforderlich und gesetzlich zulässig ist. Ein Elternteil oder gesetzlicher Vertreter kann an <moddingflow@gmail.com> schreiben, wenn er der Ansicht ist, dass ein Kind unter 16 Jahren auf der Website personenbezogene Daten ohne die erforderliche Einwilligung bereitgestellt hat.
Auf der Website können Funktionen im Zusammenhang mit NSFW-/18+-Inhalten vorhanden sein. Solche Inhalte freischalten, ansehen, veröffentlichen, hochladen oder markieren dürfen nur Nutzer, die bereits 18 Jahre alt sind und das Volljährigkeitsalter in ihrem Wohnsitzland erreicht haben. Wenn das anwendbare Recht strengere Altersbeschränkungen vorsieht, ist der Nutzer verpflichtet, diese Beschränkungen einzuhalten.
Die Website verwendet Cookies, localStorage, sessionStorage und, für Forum-Entwürfe, IndexedDB. Ein Teil dieser Technologien ist für Login, Sicherheit, Sprache, Design, lokale Einstellungen der Benutzeroberfläche, Antwortentwürfe, Schutz vor wiederholten Handlungen und Wiederherstellung der Benutzeroberfläche erforderlich.
Der eigene lokale Cookie-Banner der Website wird nicht mehr verwendet und sammelt keine Einwilligung für Werbung. Für Google AdSense und zugehörige Werbetechnologien im EWR, im Vereinigten Königreich und in der Schweiz wird die Einwilligung über Google Privacy & messaging verwaltet - eine Google-zertifizierte Consent Management Platform (CMP) mit Unterstützung des IAB Transparency & Consent Framework (TCF). Der Nutzer kann über die Google-CMP-Mitteilung zustimmen, ablehnen oder die Einstellungen anpassen, wenn diese für seine Region und Seite angezeigt wird.
Wesentliche Cookies und ähnliche Technologien:
| Name / Schlüssel | Typ | Anbieter | Zweck | Frist | Erforderlich? | Grundlage |
|---|---|---|---|---|---|---|
| `sb-...-auth-token` und zugehörige Auth-Cookies | cookie | Supabase Auth | Login, Aufrechterhaltung der Sitzung, refresh token, Account-Schutz | Bis zum Logout, Widerruf der Sitzung, Löschen des Accounts, Ablauf/Widerruf des Tokens oder Löschen der Browser-Cookies | Ja, für den Account | § 25 Abs. 2 Nr. 2 TDDDG; Art. 6 Abs. 1 lit. b DSGVO; Art. 6 Abs. 1 lit. f DSGVO |
| `mf_auth_session_persistence` | cookie | Moddingflow | Speichert den gewählten Sitzungsmodus: normale Browsersitzung oder „Angemeldet bleiben“; beim Wert `remembered` können zugehörige Auth-Cookies den Login auf dem Gerät nach einem Browser-Neustart erhalten | Bis zu 30 Tage für `remembered`; für `session` - bis zum Ende der Browsersitzung, Logout, Widerruf der Sitzung oder Löschen der Cookies | Bedingt, nur wenn der Nutzer „Angemeldet bleiben“ aktiviert | § 25 Abs. 2 Nr. 2 TDDDG; Art. 6 Abs. 1 lit. b DSGVO; Art. 6 Abs. 1 lit. f DSGVO |
| `cookie-consent` | cookie und localStorage | Moddingflow | Legacy-Eintrag der früheren lokalen Auswahl von Cookie-Präferenzen; ist keine Einwilligungsquelle für Google AdSense im EWR/Vereinigten Königreich/Schweiz und kann beim Zurücksetzen der Datenschutzeinstellungen gelöscht werden | Bis zum Zurücksetzen der Einstellungen oder Löschen des Browsers | Nein, ein neuer Eintrag wird durch den lokalen Banner nicht mehr erstellt | § 25 Abs. 2 Nr. 2 TDDDG; Art. 6 Abs. 1 lit. f DSGVO für die frühere Speicherung der Auswahl |
| `whistle-external-media-consent` | cookie und localStorage | Moddingflow | Speicherung der Nutzerauswahl zur dauerhaften Erlaubnis eingebetteter externer Google-/YouTube-Videos/Materialien ohne erneute Anzeige des lokalen Platzhalters | Cookie - bis zu 12 Monate; localStorage - bis zum Zurücksetzen der Erlaubnis, Änderung der Einstellungen oder Löschen des Browsers | Bedingt, nur wenn der Nutzer die dauerhafte Erlaubnis externer Materialien wählt | § 25 Abs. 2 Nr. 2 TDDDG für die Speicherung der Auswahl; Art. 6 Abs. 1 lit. f DSGVO; Laden externer Inhalte nach Einwilligung/Interaktion - Art. 6 Abs. 1 lit. a DSGVO |
| `forum-lang` | cookie | Moddingflow | Sprache des Forums, der Nachrichten, Bewertungen und der Authentifizierungsoberfläche | Bis zu 12 Monate, bis zur Sprachänderung oder zum Löschen der Cookies | Ja, wenn der Nutzer eine Sprache wählt | § 25 Abs. 2 Nr. 2 TDDDG; Art. 6 Abs. 1 lit. b oder Art. 6 Abs. 1 lit. f DSGVO |
| `whistle-theme` | localStorage | Moddingflow | Speicherung des gewählten Designs der Benutzeroberfläche | Bis zur Änderung des Designs, zum Zurücksetzen der Einstellungen oder Löschen des Browsers | Bedingt, wenn der Nutzer ein Design wählt | § 25 Abs. 2 Nr. 2 TDDDG; Art. 6 Abs. 1 lit. b oder Art. 6 Abs. 1 lit. f DSGVO |
| `whistle-privacy-lang`, `whistle-rules-lang` und kompatible Sprachschlüssel rechtlicher Seiten | localStorage | Moddingflow | Speicherung der Sprache rechtlicher Seiten und zugehöriger Links der Benutzeroberfläche | Bis zur Sprachänderung, zum Zurücksetzen der Einstellungen oder Löschen des Browsers | Bedingt, wenn der Nutzer eine Sprache wählt | § 25 Abs. 2 Nr. 2 TDDDG; Art. 6 Abs. 1 lit. b oder Art. 6 Abs. 1 lit. f DSGVO |
| `forum-reply-draft:{topicId}` und IndexedDB `moddinghub-forum/replyDrafts` | localStorage und IndexedDB | Moddingflow | Lokale Entwürfe von Forum-Antworten | Bis zum Absenden, Löschen des Entwurfs, Entfernen des Themas aus dem Speicher oder Löschen des Browsers | Bedingt, für die Entwurfsfunktion | § 25 Abs. 2 Nr. 2 TDDDG; Art. 6 Abs. 1 lit. b oder Art. 6 Abs. 1 lit. f DSGVO |
| `forum:viewed:{topicId}` | sessionStorage | Moddingflow | Verhinderung der wiederholten Zählung eines Aufrufs in einem Tab | Bis zum Schließen des Tabs/der Browsersitzung | Bedingt, für korrekte Statistik | § 25 Abs. 2 Nr. 2 TDDDG; Art. 6 Abs. 1 lit. f DSGVO |
| `forum-anon-session-key` | localStorage | Moddingflow | Anonymer Deduplizierungsschlüssel für Aufrufe/Downloads durch Gäste und Schutz der Statistik vor Manipulationen | Im Browser - bis zum Löschen von localStorage; serverseitige deduplication-Einträge in der Regel bis zu 7 Tage | Bedingt, zum Schutz der Statistik | § 25 Abs. 2 Nr. 2 TDDDG; Art. 6 Abs. 1 lit. f DSGVO |
| `mfa-fail-count` und zugehörige temporäre MFA-Schlüssel | localStorage | Moddingflow | Temporärer Zähler für Fehler beim Zwei-Faktor-Login und Schutz vor Code-Bruteforce | In der Regel während des laufenden MFA-Prozesses; wird nach erfolgreicher Prüfung, Logout, Zurücksetzen der Versuche oder Löschen des Browsers gelöscht | Ja, für die Login-Sicherheit | § 25 Abs. 2 Nr. 2 TDDDG; Art. 6 Abs. 1 lit. b oder Art. 6 Abs. 1 lit. f DSGVO |
| `moddingflow-header-auth-identity-v1` | localStorage | Moddingflow | Lokaler Cache der Daten des Website-Headers: user ID, Nick, Avatar, Status und Merkmal administrativen Zugangs | Bis zum Logout, Account-Wechsel, Löschen des Website-Caches oder Löschen des Browsers | Bedingt, zur Anzeige des Login-Zustands | § 25 Abs. 2 Nr. 2 TDDDG; Art. 6 Abs. 1 lit. b oder Art. 6 Abs. 1 lit. f DSGVO |
| Google Privacy & messaging / CMP consent signals | cookie, localStorage und ähnliche Technologien | Google / Google-zertifizierte CMP | Anzeige der Einwilligungsmitteilung, Speicherung und Übermittlung der Nutzerauswahl für Werbezwecke, Anbieter und TCF-/Google-Consent-Signale | Nach den Fristen der Google CMP, den Einstellungen der Mitteilung, des Browsers und des Google-Accounts | Bedingt, zur Verwaltung der Werbeeinwilligung dort, wo sie erforderlich ist | Für Speicherung und Übermittlung der Datenschutzauswahl: § 25 Abs. 2 Nr. 2 TDDDG und/oder Art. 6 Abs. 1 lit. c/f DSGVO; für Werbe-Cookies und Personalisierung - Einwilligung: § 25 Abs. 1 TDDDG; Art. 6 Abs. 1 lit. a DSGVO |
| Google AdSense/DoubleClick identifiers, zum Beispiel `IDE`, `NID`, `__gads`, `__gpi` oder ähnliche | cookie, localStorage und ähnliche Technologien | Werbung, Anzeigenhäufigkeit, Messung und Schutz von Werbeeinblendungen | Nach den Fristen von Google und den Browsereinstellungen | Nein | Einwilligung: § 25 Abs. 1 TDDDG; Art. 6 Abs. 1 lit. a DSGVO | |
| Eingebettete Google-/YouTube-Materialien | cookie, localStorage und ähnliche Technologien | Google/YouTube | Der lokale Platzhalter wird ohne Verbindung zum Anbieter angezeigt; externe Inhalte werden nur nach Nutzerinteraktion geladen | Nach den Fristen von Google/YouTube und den Browsereinstellungen | Nein | Einwilligung oder Nutzerinteraktion, soweit anwendbar: § 25 Abs. 1 TDDDG; Art. 6 Abs. 1 lit. a DSGVO |
Lokale Entwürfe von Forum-Antworten (`forum-reply-draft:{topicId}` in localStorage und IndexedDB `moddinghub-forum/replyDrafts`) haben im Website-Code keine automatische Lebensdauer. Sie können im Browser jahrelang gespeichert bleiben, bis Sie den Entwurf absenden oder löschen, die Website-Daten löschen oder der Browser sie selbst entfernt. Schreiben Sie in solche Entwürfe keine Passwörter, Token, privaten Kontakte oder andere Informationen, die Sie nicht lokal im Browser speichern möchten.
Für Login-Sitzungen werden folgende Sicherheitseinstellungen verwendet: potenziell kompromittierte refresh tokens können automatisch widerrufen werden; die Wiederverwendung eines refresh token ist nur innerhalb eines kurzen Intervalls von 10 Sekunden erlaubt; eine erzwungene Beschränkung auf eine Sitzung pro Nutzer, eine Gesamtlaufzeit der Sitzung und ein Inaktivitäts-timeout sind nicht aktiviert.
Technisch notwendige Cookies und ähnliche Technologien werden auf Grundlage von § 25 Abs. 2 Nr. 2 TDDDG und Art. 6 Abs. 1 lit. b oder Art. 6 Abs. 1 lit. f DSGVO verwendet. Die Speicherung und Übermittlung der Nutzerauswahl in der CMP kann erforderlich sein, um Anforderungen an die Einwilligung und Nachweisbarkeit der Auswahl zu erfüllen. Wenn eine Technologie nicht technisch notwendig ist, wird sie nur nach Einwilligung verwendet.
Auf öffentlichen Seiten, auf denen Werbung aktiviert ist, kann der Website-Code das Google-AdSense-Tag laden, damit Google Privacy & messaging eine zertifizierte Einwilligungsmitteilung anzeigen kann. Für Nutzer aus dem EWR, dem Vereinigten Königreich und der Schweiz wird die Einwilligung für AdSense über Google Privacy & messaging, eine Google-zertifizierte CMP mit Unterstützung des IAB Transparency & Consent Framework (TCF), und, soweit anwendbar, Google Additional Consent oder andere Consent-Signale erhoben. Nach Einwilligung über die Google CMP kann Google eigene Cookies, localStorage, Werbeidentifikatoren setzen und Daten gemäß seiner Datenschutzerklärung verarbeiten.
Rechtsgrundlagen für optionale Werbetechnologien: § 25 Abs. 1 TDDDG und Art. 6 Abs. 1 lit. a DSGVO. Die in Google Privacy & messaging getroffene Auswahl wird über Mechanismen der Google CMP, Browsereinstellungen oder den Google-Account verwaltet.
Der Widerruf der Einwilligung wirkt für die Zukunft und berührt nicht die Rechtmäßigkeit der Verarbeitung, die auf Grundlage der Einwilligung vor deren Widerruf erfolgt ist. Der lokale Banner für Cookie-Präferenzen wird nicht mehr verwendet. Die Website speichert keine separate Einwilligung für Werbung; alle Entscheidungen werden ausschließlich über Google Privacy & messaging verwaltet. Die über Google Privacy & messaging getroffene Werbeauswahl wird über die Oberfläche der Google CMP geändert, wenn die Mitteilung erneut verfügbar ist, sowie über Browser- oder Google-Account-Einstellungen. Sie können die Einwilligung jederzeit ändern oder widerrufen, indem Sie die Google-CMP-Mitteilung erneut öffnen (in der Regel über die Schaltfläche „Datenschutzeinstellungen“ in der Ecke des Bildschirms) oder die Cookies der Website zurücksetzen. Beim Zurücksetzen von Cookie-/Privatsphäreeinstellungen löscht die Website lokale Einträge, auf die der Website-Code Zugriff hat, einschließlich des früheren `cookie-consent` in cookie/localStorage sowie eigene Werbe-Cookies, auf die der Website-Code Zugriff hat, und lädt die aktuelle Seite neu.
Beim Zurücksetzen der Erlaubnis für eingebettete externe Materialien löscht die Website den eigenen Eintrag `whistle-external-media-consent` in cookie/localStorage und lädt die aktuelle Seite neu. Nach dem Neuladen werden eingebettete Google-/YouTube-Materialien wieder als lokaler Platzhalter angezeigt und erst nach neuer Nutzerinteraktion oder neuer Erlaubnis, sofern eine solche Funktion verfügbar ist, mit dem jeweiligen Anbieter verbunden.
Die Website kann Cookies, localStorage, Werbeidentifikatoren oder ähnliche Technologien, die bereits von Google, YouTube oder einem anderen externen Anbieter in deren eigenen Domains gesetzt wurden oder für den Website-Code nicht zugänglich sind, technisch nicht garantiert löschen. Die Verwaltung solcher Daten erfolgt über Browsereinstellungen, den Google-Account bzw. den Account des jeweiligen Anbieters und die von diesen bereitgestellten Mechanismen zur Löschung oder Einschränkung der Verarbeitung.
Eingebettete Google-/YouTube-Materialien werden, wenn sie auf einer Seite angezeigt werden, zunächst als lokaler Platzhalter ohne Laden des externen Players dargestellt. Die Verbindung zum jeweiligen Anbieter und eine mögliche Datenverarbeitung erfolgen erst nach Interaktion des Nutzers mit solchen Inhalten. Wenn der Nutzer eine dauerhafte Erlaubnis für externe Materialien wählt, speichert die Website diese Auswahl in `whistle-external-media-consent` und kann solche Materialien ohne erneute Anzeige des Platzhalters laden, bis die Erlaubnis zurückgesetzt oder der Browserspeicher gelöscht wird.
Für den Betrieb der Website können folgende Anbieter eingesetzt werden:
| Dienst | Funktion | Rolle | Daten | Land/Region | Übermittlungsmechanismus |
|---|---|---|---|---|---|
| Supabase | Auth, Datenbank, Storage, Edge Functions, Realtime und technische Infrastruktur | Auftragsverarbeiter; kann eine Kette von Unterauftragsverarbeitern einsetzen. Für einzelne usage-/servicedaten kann Supabase als eigenständig Verantwortlicher handeln | Account-Daten, Authentifizierung, Profil, Nutzerinhalte, Storage-Dateien, technische Protokolle | Projektregion: EU; Zugriff und Unterauftragsverarbeiter können sich in der EU, den USA und anderen Ländern befinden | DPA nach Art. 28 DSGVO; SCC für Übermittlungen in Drittländer; Angemessenheitsbeschlüsse für anerkannte Länder, soweit anwendbar |
| Render | Hosting der Website, API, Hintergrundprozesse und cron jobs | Auftragsverarbeiter | Technische Hosting-Daten, application logs, Anfragedaten, Variablen und Servicemetadaten, die für den Betrieb der Anwendung erforderlich sind | Hauptverarbeitung kann die USA einschließen; Unterauftragsverarbeiter können sich in der EU, den USA und anderen Ländern befinden | DPA; EU-US Data Privacy Framework für die USA, soweit anwendbar; SCC, wenn DPF nicht anwendbar oder nicht verfügbar ist |
| Bunny.net | CDN, Storage für öffentliche Medien/statische Dateien, Fallback-Pull-CDN-Auslieferung für Archive von Mods/Modpacks und Schutz der Auslieferung | Auftragsverarbeiter | IP-Adressen und technische Anfragedaten an CDN, access logs (z. B. Datacenter, Request ID, aus der IP-Adresse der Anfrage abgeleitetes Land/Region, URL/Pfad des angefragten Inhalts, Datum/Uhrzeit der Anfrage und Browser/User-Agent einschließlich Angaben zu Plattform und Betriebssystemversion wie Windows, Android, iPhone/iOS oder Macintosh/macOS sowie technischen Kompatibilitäts-Tokens wie `KHTML, like Gecko`), gecachte Dateien, storage-Dateien für öffentliche Medien/statische Dateien und temporäre CDN-Cache-Kopien von Archiv-Blobs bei Fallback-Auslieferung | Unternehmen befindet sich in der EU; CDN und Unterauftragsverarbeiter können globale Regionen nutzen | DPA nach Art. 28 DSGVO; für Übermittlungen außerhalb des EWR - SCC, Angemessenheitsbeschlüsse oder andere anwendbare Garantien |
| Cloudflare | Cloudflare R2 object storage, direkte browser-to-R2 Uploads, signierte upload/download URLs, Speicherung und Auslieferung privater Archive von Mods/Modpacks | Auftragsverarbeiter; für bestimmte security/service metadata kann sich die Rolle nach den Bedingungen und Richtlinien von Cloudflare richten | Hochgeladene Archivdateien, ursprünglicher Dateiname, Dateigröße, content type, SHA-256, R2 ETag, bucket/object key, Metadaten von Upload-/Download-Sitzungen, IP-Adressen, user-agent, technische headers und request/log data beim Zugriff auf Cloudflare-Infrastruktur | Globales Cloudflare-Netzwerk; metadata und Unterauftragsverarbeiter können je nach Dienst und Konfiguration EU, USA und andere Länder umfassen | Cloudflare Customer DPA nach Art. 28 DSGVO, das durch Verweis in das anwendbare Cloudflare-Abkommen einbezogen ist; EU-US/Swiss-US Data Privacy Framework und UK Extension, soweit anwendbar; SCC oder andere anwendbare Garantien für Übermittlungen außerhalb des EWR/UK/der Schweiz |
| Mailgun | Versand von Service-E-Mails | Auftragsverarbeiter | E-Mail von Absender/Empfänger, subject, Message ID, delivery status, delivery logs und technische Zustelldaten | EU, USA und/oder andere Regionen abhängig von Routing und Unterauftragsverarbeitern | DPA; EU Model SCC / SCC für Übermittlungen außerhalb des EWR |
| Stripe | Zahlungen, Abonnements, customer portal, Webhook-Ereignisse und Quittungen | Eigenständig Verantwortlicher für einen Teil der Zahlungsabwicklung; Auftragsverarbeiter für einzelne Servicefunktionen | Billing email, kurzfristiger technischer Body des Webhook-Ereignisses bis zu 90 Tage; langfristig minimale Stripe ID, Abonnement-/Zahlungsstatus, Tarif, Beträge, Währung, timestamps, Verarbeitungsstatus von Webhook-Ereignissen, Quittungen und buchhalterisch erforderliche Daten | EU, USA und andere Länder abhängig von Produkt, Nutzer und Stripe entity | DPA/DTA; EU-US Data Privacy Framework für Stripe LLC in den USA; SCC, wenn DPF nicht anwendbar oder nicht verfügbar ist |
| Google OAuth, AdSense und eingebettete Google-/YouTube-Materialien | In der Regel eigenständig Verantwortlicher für OAuth, Werbung und eingebettete Dienste; die Rolle kann sich für einzelne Google-Dienste unterscheiden | OAuth/profile data, E-Mail, Avatar, Werbe- und Cookie-Daten, Interaktionsdaten mit eingebetteten Inhalten | EU, USA und andere Länder | Angemessenheitsbeschlüsse; EU-US Data Privacy Framework für Google LLC; SCC, wenn erforderlich und die Übermittlung nicht durch adequacy/DPF abgedeckt ist | |
| Discord | Login über Discord, wenn Sie ihn nutzen | Eigenständig Verantwortlicher für Discord-Account und OAuth; Auftragsverarbeiter nur, wenn eine einzelne Funktion eine entsprechende Vereinbarung nutzt | Discord user ID, Name/Nick, Avatar, E-Mail, sofern sie vom Anbieter übermittelt wird | USA und andere Länder | EU-US Data Privacy Framework für Discord und angegebene US entities; SCC und Angemessenheitsbeschlüsse, soweit anwendbar |
| Steam | Login über Steam OpenID und Abruf öffentlicher Profildaten, wenn Sie ihn nutzen | Eigenständig Verantwortlicher | Steam ID, öffentlicher Profilname, Avatar und andere öffentliche Daten, sofern sie über Steam verfügbar sind | USA, EU und andere Länder | EU-US Data Privacy Framework für Valve; SCC und organisatorisch-technische Maßnahmen, soweit anwendbar |
| Boosty, Patreon, Telegram oder andere legacy/manual-Quellen des Premium-Status | Prüfung oder Übertragung des Premium-Status, nur wenn die entsprechende Integration tatsächlich genutzt wird | In der Regel eigenständig Verantwortliche für eigene Accounts, Zahlungen und Kommunikation | Externe reference, Account-ID, Name/Nick, Abonnementstatus oder minimale Metadaten zur Bestätigung des Zugangs | Abhängig vom gewählten Anbieter | Bedingungen und Übermittlungsmechanismen des jeweiligen Anbieters |
Supabase Auth und Row Level Security beschränken den Zugriff der Anwendung und der Nutzer auf Daten. Gleichzeitig hat Supabase als managed service und Auftragsverarbeiter administrativen Zugriff auf die Infrastruktur gemäß seinen internen Sicherheitsrichtlinien, SOC-2-Kontrollen, Verträgen und Zugriffsverfahren. Nach Prüfung des Website-Codes verwendet Moddingflow keine Supabase Database Webhooks zur Übermittlung roher Daten an Dritte.
Für Cloudflare zusätzlich: Nach dem Self-Serve Subscription Agreement von Cloudflare wird das entsprechende Abkommen wirksam, wenn der Cloudflare-Kunde es per Klick akzeptiert, die Dienste nutzt oder darauf zugreift oder die Annahme anderweitig erklärt. Wenn Customer Content Personal Data enthält, erklärt Cloudflare, solche Daten gemäß dem Cloudflare Data Processing Addendum zu verarbeiten, das durch Verweis in dieses Abkommen einbezogen ist. Der Cloudflare Customer DPA selbst erklärt außerdem, dass er Teil des Enterprise Subscription Agreement, Self-Serve Subscription Agreement oder eines anderen Hauptabkommens für Cloudflare-Dienste ist. Daher gilt der DPA bei Nutzung von Cloudflare R2 als Teil der Vertragsdokumentation von Cloudflare, soweit dies in den anwendbaren Cloudflare-Bedingungen vorgesehen ist, ohne dass eine gesonderte Papierunterschrift erforderlich ist.
Zum Zeitpunkt dieser Aktualisierung wird kein externer Embedding-Anbieter verwendet, daher ist er nicht in der Liste der aktuellen Anbieter enthalten. Wenn ein solcher Anbieter später hinzukommt, wird er vor Beginn der Verarbeitung gesondert beschrieben.
Wenn ein Anbieter als Auftragsverarbeiter nach Weisung handelt, wird die Verarbeitung durch einen Auftragsverarbeitungsvertrag oder einen anderen Rechtsakt nach Art. 28 DSGVO geregelt. Solche Anbieter müssen ausreichende Garantien zum Datenschutz bieten und Unterauftragsverarbeiter nur im Rahmen der anwendbaren vertraglichen und rechtlichen Mechanismen einsetzen.
Einige Anbieter können sich außerhalb des Europäischen Wirtschaftsraums befinden, einschließlich der USA. Wenn die Europäische Kommission anerkannt hat, dass ein Land ein angemessenes Datenschutzniveau gewährleistet, kann eine Übermittlung in ein solches Land auf Grundlage eines Angemessenheitsbeschlusses ohne zusätzliche Garantien nach Art. 46 DSGVO erfolgen. Für die USA gilt der Angemessenheitsbeschluss nur für kommerzielle Organisationen, die am EU-US Data Privacy Framework teilnehmen und über eine gültige Zertifizierung verfügen.
Vor der Nutzung des EU-US Data Privacy Framework prüft die Website, dass die jeweilige Organisation eine gültige Zertifizierung in der offiziellen Data Privacy Framework List hat und dass die Zertifizierung die benötigte Datenkategorie abdeckt. Wenn eine Zertifizierung fehlt, abgelaufen ist oder die entsprechende Datenübermittlung nicht abdeckt, werden SCC oder ein anderer anwendbarer Übermittlungsmechanismus verwendet.
Für die eingesetzten Anbieter gelten folgende wesentliche Mechanismen:
| Anbieter | Mögliches Drittland | Wesentlicher Übermittlungsmechanismus |
|---|---|---|
| Supabase | USA und andere Länder von Unterauftragsverarbeitern, wenn Zugriff oder Verarbeitung die Projektregion in der EU verlassen | DPA nach Art. 28 DSGVO und SCC; für Unterauftragsverarbeiter in anerkannten Ländern kann ein Angemessenheitsbeschluss gelten |
| Render | USA und andere Länder von Unterauftragsverarbeitern | EU-US Data Privacy Framework, wenn anwendbar; SCC als fallback, wenn DPF nicht anwendbar oder nicht verfügbar ist |
| Bunny.net | Globale CDN-Regionen außerhalb des EWR, wenn Auslieferung oder Unterverarbeitung dort erfolgt | DPA nach Art. 28 DSGVO; SCC oder Angemessenheitsbeschluss für das jeweilige Land, soweit anwendbar |
| Cloudflare | Globales Cloudflare-Netzwerk, USA und andere Länder, wenn Verarbeitung, metadata, support oder Unterverarbeitung außerhalb des EWR erfolgt | Cloudflare Customer DPA, durch Verweis in das anwendbare Cloudflare-Abkommen einbezogen; EU-US/Swiss-US Data Privacy Framework und UK Extension, soweit anwendbar; SCC oder andere anwendbare Garantien, wenn DPF/adequacy nicht verfügbar sind |
| Mailgun | USA und andere Länder von Unterauftragsverarbeitern, wenn E-Mail-Zustellung oder technische Verarbeitung den EWR verlässt | DPA und EU Model SCC / SCC |
| Stripe | USA und andere Länder, die für Zahlungen, fraud prevention, Bank- und Zahlungspartner erforderlich sind | Data Transfers Addendum; EU-US Data Privacy Framework für Stripe LLC; SCC, wenn DPF nicht anwendbar oder nicht verfügbar ist |
| USA und andere Länder, in denen Google-Dienste betrieben werden | Angemessenheitsbeschlüsse; EU-US Data Privacy Framework für Google LLC; SCC, wenn die Übermittlung nicht durch adequacy/DPF abgedeckt ist | |
| Discord | USA und andere Länder, in denen Discord Account-/OAuth-Daten verarbeitet | EU-US Data Privacy Framework für Discord und angegebene US entities; SCC oder Angemessenheitsbeschlüsse, soweit anwendbar |
| Steam/Valve | USA und andere Länder, in denen Valve Steam-Daten verarbeitet | EU-US Data Privacy Framework für Valve; SCC und zusätzliche organisatorisch-technische Maßnahmen, soweit anwendbar |
| Boosty, Patreon, Telegram oder andere legacy/manual-Quellen des Premium-Status | Abhängig vom gewählten Anbieter, nur wenn die entsprechende Integration tatsächlich genutzt wird | Übermittlungsmechanismen und Garantien des jeweiligen Anbieters; bei eigener Datenübermittlung durch die Website werden Datenminimierung und anwendbare vertragliche/rechtliche Garantien verwendet |
Zum Zeitpunkt dieser Aktualisierung wird kein externer Embedding-Anbieter verwendet, daher gibt es keine gesonderte Datenübermittlung in Drittländer für den externen Aufbau von Embeddings. Wenn später ein solcher Anbieter hinzukommt, werden die anwendbaren Garantien und der Übermittlungsmechanismus im Voraus beschrieben.
Sie können Informationen über den anwendbaren Datenübermittlungsmechanismus anfordern, indem Sie an <moddingflow@gmail.com> schreiben.
Profile, Forum-Veröffentlichungen, Seiten von Mods/Modpacks, Kommentare, Likes, Reaktionen, öffentliche Statusangaben und andere Materialien können für andere Nutzer und Website-Gäste sichtbar sein, wenn die entsprechende Funktion öffentlich ist.
Veröffentlichen Sie keine personenbezogenen Daten, Bilder anderer Personen, privaten Links, API-Schlüssel, Token, Adressen, Korrespondenz oder andere Informationen, die Sie nicht offenlegen dürfen.
Veröffentlichen Sie keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO: Angaben zur rassischen oder ethnischen Herkunft, politischen Meinungen, religiösen oder weltanschaulichen Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten zur eindeutigen Identifizierung, Gesundheitsdaten, Daten zum Sexualleben oder zur sexuellen Orientierung.
Die Website fordert solche Angaben nicht an und ist nicht für deren gezielte Erhebung in Nutzerinhalten bestimmt. Wenn Sie freiwillig besondere Kategorien personenbezogener Daten in einem öffentlichen Profil, Thema, einer Antwort, einem Kommentar, einer Beschreibung eines Mods/Modpacks, einem Bild, Anhang oder anderem Nutzermaterial veröffentlichen, können solche Angaben insoweit verarbeitet werden, wie dies für Veröffentlichung, Anzeige, technische Speicherung, Indexierung öffentlicher Inhalte, Moderation, Prüfung von Beschwerden, Sicherheit, Durchsetzung der Website-Regeln und Schutz der Rechte des Projekts erforderlich ist. Für Angaben, die der Nutzer offensichtlich öffentlich gemacht hat, kann Art. 9 Abs. 2 lit. e DSGVO anwendbar sein; in anderen Fällen kann Material eingeschränkt, verborgen oder gelöscht werden, wenn dies zum Schutz des Nutzers, anderer Personen oder der Website erforderlich ist.
Die Speicherfrist solcher Angaben richtet sich nach den Speicherfristen des jeweiligen Nutzermaterials. Da öffentliche Inhalte für andere Nutzer, Website-Gäste, Suchmaschinen, CDN, Caches und externe Archive sichtbar sein können, veröffentlichen Sie solche Daten nicht, wenn Sie deren öffentliche Verbreitung nicht möchten.
Die Einschränkung der Profilsichtbarkeit verbirgt nicht zwingend bereits veröffentlichte öffentliche Forum-Inhalte oder Mod-Seiten.
Daten werden nicht länger gespeichert, als es für die Verarbeitungszwecke erforderlich ist, sofern eine längere Speicherung nicht gesetzlich, aus Sicherheitsgründen, für Moderation, Streitbeilegung oder zum Schutz der Rechte des Projekts erforderlich ist.
Kurz gesagt: Forum-Veröffentlichungen und Seiten von Mods/Modpacks werden nach der aktuellen Implementierung bis zur Löschung des Materials oder Löschung des Accounts gespeichert. Technische Protokolle werden in der Regel kurzfristig gespeichert, meistens 7-30 Tage. Zahlungs- und Steuerdaten von Stripe können bis zu 10 Jahre gespeichert werden, aber die Website erhält und speichert nicht die vollständige Bankkartennummer. Der JSON-Export „Meine Daten“ ist im persönlichen Account-Bereich verfügbar.
Die aktuelle Implementierung der Account-Löschung löscht vom Nutzer erstellte Forum-Themen und Beiträge, zugehörige Profildaten, Nutzereinstellungen, Profilbilder und eine Reihe zugehöriger Aktivitätszeilen, wenn sie mit dem Account verknüpft sind. Einzelne Datensätze können nur dann aufbewahrt oder anonymisiert werden, wenn dies für Gesetz, Sicherheit, Moderation, Buchhaltung, Streitigkeiten oder die technische Integrität des Dienstes erforderlich ist. Moderations- und administrative Audit-Protokolle können nach Löschung des Accounts für Moderation, Sicherheit, Nachweis von Verstößen, Streitbeilegung, Schutz der Rechte des Projekts und Erfüllung rechtlicher Pflichten gespeichert bleiben; soweit anwendbar, kann die direkte Verknüpfung mit dem Account eines gelöschten Moderators oder Administrators entfernt oder anonymisiert werden, ohne das Audit-Ereignis selbst zu löschen.
<details>
<summary>Ausführliche Tabelle der Speicherfristen</summary>
| Datenkategorie | Speicherfrist | Kommentar |
|---|---|---|
| Account, Profil, Einstellungen | Bis zur Löschung des Accounts oder solange die Daten für Funktionen der Website benötigt werden | Ein Teil der öffentlichen Daten ist bis zur Löschung oder Änderung der Sichtbarkeitseinstellungen für andere Nutzer sichtbar |
| Login-Sitzungen, Login-Cookies und Authentifizierungs-Token | Bis zum Logout, Widerruf der Sitzung, Löschen des Accounts, Ablauf, Löschen des Browsers oder bis zu 30 Tage auf dem Gerät bei aktivierter Funktion „Angemeldet bleiben“ | „Angemeldet bleiben“ erhält den Login nach einem Browser-Neustart bis zu 30 Tage. Gleichzeitig können mehrere aktive Sitzungen bestehen; potenziell kompromittierte refresh tokens können automatisch widerrufen werden |
| Avatar, Banner und andere Profilmedien | Bis zur Ersetzung, Löschung oder Account-Löschung | Kopien können vorübergehend in CDN, Caches und Backups erhalten bleiben |
| Öffentliche Themen, Beiträge, Nachrichten, Kommentare | Bis zur Löschung durch Nutzer, Moderator, Administrator oder bis zur Account-Löschung, soweit anwendbar | Kopien können in Suchmaschinen, externen Archiven und Caches verbleiben |
| Seiten von Mods/Modpacks, Beschreibungen, Links, Galerien, Dateien | Bis zur Löschung durch Autor, Moderator, Administrator oder bis zur Account-Löschung, soweit anwendbar | Statistik und Servicedatensätze können separat gespeichert werden |
| Cloudflare R2 staging objects für Uploads von Archiven von Mods/Modpacks | Bis zur Finalisierung, Ablehnung, zum Abbruch/Ablauf der Sitzung oder zur Bereinigung | Das staging object ist vorübergehend und kann nach Kopieren in den final bucket, Ablehnung oder Abbruch gelöscht werden; kurzfristige signierte upload URLs laufen in der Regel schnell ab |
| Cloudflare R2 final archive blobs und R2 object metadata | Bis zur Löschung des entsprechenden Materials oder solange der Archivspeicher für den Betrieb der Website benötigt wird; deduplicated blobs können bestehen bleiben, solange eine andere veröffentlichte Datei auf denselben SHA-256 verweist | Umfasst bucket/object key, Größe, content type, SHA-256 und provider ETag; Kopien können nach den Fristen des Anbieters vorübergehend in technischen Kopien verbleiben |
| R2 upload/download sessions | Upload URLs laufen in der Regel nach etwa 15 Minuten ab, download URLs nach etwa 5 Minuten; audit/session rows können gespeichert bleiben, solange sie für Sicherheit, Diagnose, Missbrauchsschutz, Streitigkeiten oder rechtliche Pflichten erforderlich sind | Können Verweise auf Nutzer/Datei/blob, status, timestamps und technische metadata enthalten; Zugriff auf session rows ist auf service-role beschränkt |
| Aggregierte Statistik von Aufrufen/Downloads von Mods und Modpacks | Solange das entsprechende Material besteht oder solange die Kennzahl für den Betrieb der Website benötigt wird | Wird als Gesamtzähler/Statistik ohne Verknüpfung mit einem konkreten Nutzer gespeichert |
| Deduplizierungsschlüssel für Aufrufe/Downloads von Modpacks und Mods | In der Regel bis zu 7 Tage | Werden verwendet, um wiederholte Zählung zu verhindern |
| Rate-limit-Datensätze | In der Regel bis zu 1 Tag nach reset | Werden zum Schutz von API und Formularen vor Missbrauch verwendet |
| Inaktive Datensätze von Login-Versuchen ohne Sperre | In der Regel bis zu 1 Tag | Gesperrte/verdächtige Datensätze können länger gespeichert werden, wenn sie für Sicherheit erforderlich sind |
| Codes und Datensätze zur Wiederherstellung des Zugangs | Bis zur Nutzung oder zum Ablauf, danach in der Regel bis zu 30 Tage | Werden in Form von Hashes und Servicemetadaten gespeichert |
| Historie von Hashes früherer Passwörter | Solange sie zur Verhinderung der Wiederverwendung von Passwörtern benötigt wird | Passwörter werden nicht im Klartext gespeichert |
| Kurzfristige auth tickets der Website für eine externe App | Genutzte oder abgelaufene Datensätze werden in der Regel nach 24 Stunden gelöscht | Ticket wird in Form eines Hashes gespeichert |
| Website-Sitzungen der externen App | Abgelaufene oder widerrufene Datensätze werden in der Regel nach 24 Stunden gelöscht | Aktive Datensätze werden für die Authentifizierung zwischen Website und Anwendung benötigt |
| Themenabonnements und Verfolgung von Materialien | Bis zur Abmeldung, Account-Löschung oder Ablauf des temporären Abonnements | Abgelaufene temporäre Abonnements werden in der Regel nach 24 Stunden bereinigt |
| Suchindex öffentlicher Inhalte | Solange das entsprechende öffentliche Material besteht | Bei Löschung/Änderung des Materials kann der Index aktualisiert oder bereinigt werden |
| Berichte zur Suchqualität und Beschwerden zur intelligenten Suche | Bis zum endgültigen Urteil der Administration oder automatisch bis zu 180 Tage ab Erstellung | Können Suchanfrage, erwartetes und tatsächliches Ergebnis, Sprache, Einwilligungsvermerk und user ID enthalten, wenn der Nutzer angemeldet war. Wenn die Beschwerde mit einem Account verknüpft ist und ein Administrator eine Antwort hinterlässt, erhält der Nutzer eine Benachrichtigung im Account; nach dem endgültigen Urteil wird die Beschwerde aus der Warteschlange gelöscht |
| Nutzerbeschwerden über Inhalte | Bis zur Prüfung durch die Administration oder in der Regel bis zu 90 Tage ab Erstellung | Administratoren und Moderatoren können Autor der Beschwerde, Eingangsdatum, Gegenstand, Grund, Status und Servicemetadaten zur Prüfung der Beschwerde und zum Schutz vor Spam, falschen Beschwerden und Missbrauch sehen. In seltenen Fällen kann die automatische Löschung einer konkreten Beschwerde deaktiviert werden |
| Beschwerden gegen Sperren und andere Moderationsmaßnahmen | Bis zur endgültigen Antwort der Administration und danach solange der Datensatz zur Anzeige des Ergebnisses, zum Nachweis der Prüfung, zur Verhinderung von Missbrauch, für Sicherheit oder rechtliche Pflichten benötigt wird | Kann Text der Beschwerde, Gegenstand der Maßnahme, Antwort der Administration, Status, Prüfdatum, für den Nutzer sichtbares Ergebnis und einen Datensatz über beschränkte wiederholte Beschwerden enthalten, soweit anwendbar |
| Moderationshandlungen und administrative Entscheidungen | Solange sie für Moderation, Sicherheit, Nachweis von Verstößen, Streitbeilegung, Rechtewahrung und rechtliche Pflichten benötigt werden | Können nach Account-Löschung gespeichert bleiben; soweit anwendbar, kann die direkte Verknüpfung mit dem Account eines gelöschten Moderators oder Administrators entfernt oder anonymisiert werden, ohne das Audit-Ereignis selbst zu löschen |
| Historie der Annahme rechtlicher Dokumente | Solange der Account besteht und/oder solange dies zum Nachweis der Erfüllung von Pflichten erforderlich ist | Versionen rechtlicher Dokumente können ohne automatische Löschfrist gespeichert werden |
| Technischer Body von Stripe-Webhook-Ereignissen, einschließlich metadata und Ereignisobjekt | Bis zu 90 Tage | Wird für kurzfristige Diagnose, Abstimmung und Wiederherstellung der Verarbeitung von Webhook-Ereignissen verwendet; danach wird der vollständige Ereignisbody aus dem Webhook-Ereignisdatensatz gelöscht, ohne den technischen Datensatz zu löschen, der die erneute Verarbeitung der Zahlung verhindert |
| Minimale Stripe billing/accounting-Datensätze: Stripe Customer ID, Abonnements, entitlements, Stripe event ID, Ereignistyp, zugehörige Stripe ID, Status, Tarif, Beträge, Währung, timestamps und Verarbeitungsstatus von Webhook-Ereignissen | Solange sie für Premium-Zugang, Verhinderung erneuter Verarbeitung von Webhook-Ereignissen, Zahlungsabstimmung, Schutz vor Betrug, Streitigkeiten und rechtliche/buchhalterische Pflichten benötigt werden | Buchhaltungsdaten können bis zu 10 Jahre gespeichert werden, wenn dies nach anwendbarem Recht erforderlich ist |
| Protokoll des Exports von Nutzerdaten | In der Regel bis zu 30 Tage | Erfolgreiche Website-Exporte werden für Sicherheit und Kontrolle wiederholter Anfragen protokolliert |
| Rate-limit-Ereignisse für die Signatur des manifest, wenn eine solche Funktion verwendet wird | In der Regel bis zu 14 Tage | Technischer Schutz vor Missbrauch |
| E-Mail-Korrespondenz und Support | Solange Antwort, Bearbeitung der Anfrage, Rechtewahrung oder Pflichterfüllung erforderlich sind | Die Frist hängt vom Inhalt der Anfrage ab |
| Supabase-Protokolle | In der Regel bis zu 7 Tage | Technische Protokolle von Auth, API, Storage, Edge Functions und Datenbank |
| Tägliche Datenbank-Backups von Supabase | In der Regel bis zu 7 Tage | PITR und separate manuelle externe Backups werden nicht verwendet |
| Render-Protokolle | In der Regel bis zu 7 Tage | Technische Protokolle von Hosting, Anwendung und cron jobs |
| Mailgun-Protokolle | In der Regel bis zu 1 Tag | Technische Protokolle des Versands von Service-E-Mails |
| Bunny.net CDN cache und browser cache | In der Regel bis zu 1 Monat | Nach Löschung oder Änderung einer Datei können öffentliche Medien/statische Dateien und Fallback-Kopien der Archiv-Auslieferung vorübergehend in CDN oder Browsercache gespeichert bleiben |
| Bunny.net CDN access logs | In der Regel bis zu 2 Tage, wenn logging aktiviert ist | Technische Protokolle der CDN-Auslieferung, einschließlich Datacenter, aus dem Daten an den Nutzer ausgeliefert wurden, Request ID, Land/Region aus der IP-Adresse der Anfrage (bei VPN oder Proxy kann dies das Land der VPN-/Proxy-IP sein und nicht der tatsächliche Aufenthaltsort des Nutzers), URL/Pfad des angefragten Inhalts (z. B. eines Bildes) und Browser/User-Agent, der Browser, Plattform und Betriebssystemversion wie Windows, Android, iPhone/iOS oder Macintosh/macOS sowie technische Kompatibilitäts-Tokens wie `KHTML, like Gecko` enthalten kann |
| Backups, Caches und technische Kopien von Anbietern | Bis zum Ablauf der technischen Speicherfristen des jeweiligen Anbieters | Nach Löschung von Daten können Kopien vorübergehend bei Anbietern erhalten bleiben |
</details>
Zahlungs- und Buchhaltungsdaten können für die Fristen gespeichert werden, die im anwendbaren Steuer- und Handelsrecht vorgesehen sind, in der Regel bis zu 10 Jahre, soweit solche Fristen anwendbar sind.
Nach Löschung von Daten können deren Kopien vorübergehend in Backups, Caches, CDN, Systemprotokollen oder bei externen Anbietern bis zum Ablauf ihrer technischen Speicherfristen erhalten bleiben.
Zum Schutz der Daten werden technische und organisatorische Maßnahmen eingesetzt: TLS-Verschlüsselung bei der Übertragung, Supabase Auth, Zugriffskontrolle, Row Level Security, rate-limit, Schutz administrativer Funktionen, MFA für sensible administrative Handlungen, Prüfung hochgeladener Dateien, security headers und Protokollierung von Sicherheitsereignissen.
Trotz der getroffenen Maßnahmen kann kein Internetdienst absolute Sicherheit garantieren. Der Nutzer ist verpflichtet, Passwort und Zugang zu E-Mail/externen Accounts sicher aufzubewahren.
Die Website kann automatisierte Mechanismen für Suche, Ranking, Aktivitätszähler, Antispam, rate-limit, deduplication von Aufrufen/Downloads und Erstellung von Benachrichtigungen verwenden.
Solche Mechanismen werden nicht verwendet, um Entscheidungen zu treffen, die rechtliche oder ähnlich erhebliche Auswirkungen auf den Nutzer im Sinne von Art. 22 DSGVO haben.
Nach der DSGVO haben Sie das Recht:
Der erste Weg, eine Kopie Ihrer Daten zu erhalten, ist der JSON-Export „Meine Daten“ im persönlichen Account-Bereich der Website. Er umfasst Daten des Accounts, Profils, Einstellungen, Nutzeraktivität, für den Nutzer sichtbare Moderationsdatensätze, Zugriffsdatensätze einer externen App ohne Geheimnisse und redigierte Zahlungsdiagnostik ohne den vollständigen technischen Body des Stripe-Webhook-Ereignisses. Rohe Cookies/Login-Token, Passwörter, MFA-Secrets, auth/security logs, rate-limit logs, interne Moderationsnotizen, Backups und processor logs werden in diese Datei nicht aufgenommen.
Wenn das Konto vorübergehend oder dauerhaft gesperrt ist, bleiben diese Rechte verfügbar. Soweit technisch möglich, ermöglichen der Sperrbildschirm oder verfügbare Kontobereiche den Download des verfügbaren Datenexports, die Beantragung der Kontolöschung oder den Zugang zu Zahlungsdokumenten. Wenn die Oberfläche wegen einer Sperre oder eines technischen Fehlers nicht verfügbar ist, können Sie die Anfrage per E-Mail stellen; geben Sie zur Identifizierung Kontodaten an.
Sie können eine Beschwerde bei einer Datenschutzaufsichtsbehörde einreichen, insbesondere an Ihrem gewöhnlichen Aufenthaltsort, Arbeitsplatz oder am Ort des mutmaßlichen Verstoßes, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt.
Für das Projekt Moddingflow wird als zuständige Kontaktaufsichtsbehörde angegeben:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW)
Heilbronner Straße 35, 70191 Stuttgart, Germany
Website: <https://www.baden-wuerttemberg.datenschutz.de/>
Email: <poststelle@lfdi.bwl.de>
Für Berichtigung, Löschung, Widersprüche, Einschränkung der Verarbeitung, manuelle Anfragen und Fälle, die der integrierte Export nicht abdeckt, können Sie an <moddingflow@gmail.com> schreiben. Ich antworte auf Anfragen innerhalb eines Monats nach Eingang, sofern die DSGVO in einem konkreten Fall keine Verlängerung der Frist zulässt.
Zur korrekten Identifizierung geben Sie bitte an, welchen Account Sie verwendet haben: Website-E-Mail, Login, Discord ID, Steam ID oder einen anderen relevanten Identifikator.
Bei Fragen zur Verarbeitung personenbezogener Daten, Account-Löschung, zum Datenexport, zur Berichtigung von Angaben oder zum Widerruf der Einwilligung schreiben Sie an:
<moddingflow@gmail.com>