Datenschutzerklärung
The legally authoritative version is the German text below. A short English summary follows at the end.
Geltungsbereich: diese Erklärung deckt die Waitlist-/Landing-Seite ab — es wird ausschließlich eine E-Mail-Adresse per Double-Opt-in erhoben — sowie die dafür genutzte Infrastruktur (Vercel, Cloudflare, Supabase Frankfurt, Resend). Nutzerkonten, Spieldaten und produktweite Analytics kommen erst zum Produkt-Start hinzu und werden dann ergänzt.
1. Verantwortlicher
Verantwortlicher im Sinne der DSGVO ist:
[NAME][ANSCHRIFT]DeutschlandE-Mail: [E-MAIL](Angaben identisch mit dem Impressum.) Es besteht keine gesetzliche Pflicht zur Benennung eines Datenschutzbeauftragten; es ist daher keiner benannt.
2. Grundsätze
Tipperoo ist ein werbe- und wettfreies Tippspiel. Wir gehen sparsam mit Daten um:
- Keine Werbung, kein Ad-Tracking, kein Verkauf oder Vermieten von Daten an Dritte.
- Kein Profiling zu Werbezwecken.
- Auf der Waitlist-/Landing-Seite erheben wir ausschließlich die E-Mail-Adresse, die du selbst zur Anmeldung einträgst (plus die technisch unvermeidbaren Server-/Zeitstempel-Daten zum Nachweis der Einwilligung).
- Für die Reichweitenmessung nutzen wir eine eigene, serverseitige und cookielose Auswertung — kein Drittanbieter-Analyse-Werkzeug und kein clientseitiges Tracking-Skript. Deshalb setzen wir keinen Cookie-Banner ein.
3. Aufruf der Website: Hosting, Auslieferung und Server-Logs
Beim Aufruf unserer Website verarbeiten unsere Infrastruktur-Dienstleister technisch notwendige Daten, um die Seite sicher und funktionsfähig auszuliefern: IP-Adresse, Datum/Uhrzeit des Zugriffs, aufgerufene URL, übertragene Datenmenge, Referrer, Browsertyp und Betriebssystem.
- Zweck: sichere, stabile und funktionale Bereitstellung der Website; Abwehr von Angriffen und Missbrauch.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und funktionierenden Angebot).
- Speicherdauer: Server-Logs werden nur kurz gespeichert und danach gelöscht oder anonymisiert.
Eingesetzte Auftragsverarbeiter: Vercel (Vercel Inc., USA — Hosting/Auslieferung, EU-Regionen möglich) und Cloudflare (Cloudflare, Inc., USA — CDN, Sicherheit, Angriffsabwehr). Beide sind unter dem EU-US Data Privacy Framework (DPF) zertifiziert; ergänzend bestehen EU-Standardvertragsklauseln (SCC) über den jeweiligen Auftragsverarbeitungsvertrag.
Entwurf-Hinweis: Vor Veröffentlichung: DPF-Zertifizierung von Vercel und Cloudflare bestätigen; die konkrete Log-Aufbewahrungsdauer eintragen; DPAs herunterladen und ablegen.
4. Waitlist-Anmeldung im Double-Opt-in-Verfahren
Wenn du dich in die Waitlist einträgst, verarbeiten wir:
- deine E-Mail-Adresse,
- den Zeitstempel und die IP-Adresse der Anmeldung sowie der Bestätigung,
- den genauen Wortlaut der eingeblendeten Einwilligung.
Zweck: Versand von Produkt-Neuigkeiten, Beta-/Start-Einladungen und der Start-Ankündigung; Nachweis deiner Einwilligung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (deine Einwilligung). Die Speicherung von Zeitstempel, IP und Einwilligungswortlaut dient dem Nachweis nach Art. 7 Abs. 1 DSGVO (Art. 6 Abs. 1 lit. f DSGVO).
Double-Opt-in: Nach dem Eintragen erhältst du eine E-Mail mit einem Bestätigungslink. Erst nach Anklicken ist deine Anmeldung wirksam. Die Bestätigungs-E-Mail enthält keine Werbung. Bestätigst du nicht, senden wir dir nichts weiter; nicht bestätigte Anmeldungen werden nach ca. 30 Tagen gelöscht.
Widerruf/Abmeldung und Löschung: Du kannst deine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Jede E-Mail enthält einen Abmeldelink; ein Klick darauf meldet dich ab und löscht deinen Wartelisten-Eintrag sofort und vollständig (Recht auf Löschung, Art. 17 DSGVO). Alternativ genügt eine formlose Nachricht an [E-MAIL].
Speicherdauer: Die zum Einwilligungsnachweis gespeicherten IP-Adressen (Anmeldung und Bestätigung) werden automatisch nach 90 Tagen gelöscht; der übrige Eintrag (E-Mail, Zeitstempel, Einwilligungswortlaut) bleibt als Nachweis erhalten, bis du dich abmeldest oder die Löschung verlangst. Nicht bestätigte Anmeldungen werden nach ca. 30 Tagen automatisch gelöscht.
Auftragsverarbeiter: Resend (Plus Five Five, Inc., USA) versendet die E-Mails (Übermittlung abgesichert über EU-Standardvertragsklauseln im DPA). Die Anmeldedaten werden bei Supabase in der EU-Region Frankfurt gespeichert (Supabase Inc., USA, als Anbieter; SCC über den Supabase-DPA).
Entwurf-Hinweis: Vor Veröffentlichung verifizieren (nicht raten): Resend DPF/SCC-Status und EU-Versandregion; Supabase-DPA akzeptieren und Unterauftragsverarbeiter prüfen. DPAs ablegen.
5. Reichweitenmessung (serverseitig, ohne Drittanbieter)
Zur Messung der Zugriffe nutzen wir eine eigene, serverseitige Auswertung — kein Drittanbieter-Analyse-Dienst und kein clientseitiges Tracking-Skript. Erfasst und gespeichert werden ausschließlich aggregierte, nicht personenbezogene Kennzahlen (z. B. Anzahl der Seitenaufrufe, Referrer-Kategorie, ungefähre Herkunft auf Länderebene). Es werden keine Cookies gesetzt, keine geräteübergreifenden Profile gebildet und keine personenbezogenen Identifikatoren dauerhaft gespeichert; IP-Adressen werden allenfalls kurzzeitig zur Ableitung anonymer Aggregate verarbeitet und nicht gespeichert.
- Kein Cookie-Banner / keine Einwilligung nach § 25 TDDDG erforderlich, da nichts auf deinem Endgerät gespeichert oder ausgelesen wird und keine personenbeziehbaren Profile gebildet werden.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer datenschutzfreundlichen, aggregierten Reichweitenmessung).
- Da die Auswertung serverseitig und ohne externen Analyse-Dienstleister erfolgt, ist hierfür kein zusätzlicher Auftragsverarbeiter eingebunden.
6. Cookies und Speicherung auf deinem Endgerät
Auf der Waitlist-/Landing-Seite setzen wir keine nicht notwendigen Cookies und keine einwilligungspflichtigen Tracking-Technologien. Technisch zwingend notwendige Speichervorgänge unserer Infrastruktur sind nach § 25 Abs. 2 Nr. 2 TDDDG einwilligungsfrei. Deshalb zeigen wir auf dieser Seite keinen Cookie-Banner.
7. Empfänger deiner Daten
Deine Daten erhalten ausschließlich die oben genannten Auftragsverarbeiter (Vercel, Cloudflare, Supabase, Resend), die weisungsgebunden und auf Grundlage von Auftragsverarbeitungsverträgen (Art. 28 DSGVO) tätig werden. Ein Verkauf oder eine Weitergabe deiner Daten zu Werbezwecken findet nicht statt. Eine Übermittlung in Drittländer (USA) erfolgt nur im beschriebenen Umfang, abgesichert durch das EU-US Data Privacy Framework und/oder EU-Standardvertragsklauseln.
8. Deine Rechte als betroffene Person
Du hast nach der DSGVO das Recht auf:
- Auskunft (Art. 15),
- Berichtigung (Art. 16),
- Löschung (Art. 17),
- Einschränkung der Verarbeitung (Art. 18),
- Datenübertragbarkeit (Art. 20),
- Widerspruch gegen Verarbeitungen auf Grundlage berechtigten Interesses (Art. 21),
- Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3).
Zur Ausübung genügt eine formlose Nachricht an [E-MAIL].
Beschwerderecht (Art. 77): Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig ist u. a. die Aufsichtsbehörde des Bundeslandes des Verantwortlichen: [AUFSICHTSBEHÖRDE — zuständige Landesbehörde eintragen]
9. Datensicherheit und Löschung
Wir treffen angemessene technische und organisatorische Maßnahmen zum Schutz deiner Daten. Auf Wunsch löschen wir deine gespeicherten Daten, soweit keine gesetzlichen Aufbewahrungspflichten oder berechtigten Interessen (z. B. Nachweis erteilter Einwilligungen) entgegenstehen. Für die Waitlist gilt konkret: Über den Abmeldelink in jeder E-Mail kannst du deinen Eintrag jederzeit selbst sofort löschen; die zum Einwilligungsnachweis gespeicherten IP-Adressen werden ohnehin automatisch nach 90 Tagen gelöscht (siehe Ziffer 4).
10. Änderungen dieser Datenschutzerklärung
Wir passen diese Erklärung an, wenn sich die Datenverarbeitung ändert (insbesondere zum Produkt-Start). Es gilt die jeweils auf dieser Seite veröffentlichte Fassung.
Stand: [DATUM bei Veröffentlichung eintragen]
English summary
This privacy policy covers Tipperoo's waitlist/landing page, which collects only your email address via double-opt-in (you must click a confirmation link before we send anything; the confirmation mail is ad-free; unconfirmed signups are deleted after ~30 days). Legal basis for the waitlist is your consent (Art. 6(1)(a) GDPR); withdraw it any time via the unsubscribe link in every email — clicking it immediately deletes your waitlist entry (right to erasure). We log the signup/confirmation timestamp, IP, and consent wording as proof of consent; the proof-of-consent IP addresses are automatically deleted after 90 days.
Processors: Vercel (hosting) and Cloudflare (CDN/security) — US companies, covered by the EU-US Data Privacy Framework and/or SCCs; Supabase (Frankfurt, EU) stores the waitlist data; Resend sends the emails (US, SCCs). For reach measurement we use our own server-side, cookieless aggregate counting — no third-party analytics tool, no cookies, no cross-site profiles — so no consent banner is required (§ 25 TDDDG); legal basis is legitimate interest (Art. 6(1)(f)). We do not sell your data, run no advertising, and do no advertising profiling. You have the rights of access, rectification, erasure, restriction, portability, objection (Art. 21), and withdrawal of consent, plus the right to complain to a supervisory authority.
Entwurf-Hinweis: Items marked as placeholders (controller details, competent supervisory authority, publication date) and the processor DPF/SCC verification must be filled/confirmed by the founder before this goes live.