Datenschutzerklärung
Stand: Juni 2026 — Diese Erklärung gilt für die Webanwendung Werwolf, betrieben als privates, nicht-kommerzielles Projekt.
1. Verantwortlicher (Art. 13 Abs. 1 lit. a DSGVO)
Andreas Vetter
Otto-Hahn-Platz 2
69126 Heidelberg, Deutschland
E-Mail: andy.ve@outlook.de
2. Verarbeitete Daten & Zweck
2.1 Registrierung und Konto
Bei der Registrierung werden Login-Name, Anzeigename und Passwort
(ausschließlich als kryptografischer bcrypt-Hash) gespeichert.
Das Klartextpasswort wird nie gespeichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
2.2 Spieldaten
Im Spielverlauf werden Spielergebnisse, Rollenzuweisungen, Abstimmungen, Todesfälle
und Nachrichten zwischen Spielern und Spielleitung gespeichert. Diese Daten sind für
die Spielfunktion notwendig.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
2.3 Technische Sitzungsdaten (Cookies)
Es werden ausschließlich technisch notwendige Cookies gesetzt:
| Cookie | Zweck | Dauer |
|---|---|---|
werwolf_session |
Authentifizierung (PHP-Session) | 7 Tage |
ww_player |
Spielerdaten für JavaScript | Sitzungslaufzeit |
Es werden keine Tracking- oder Werbe-Cookies eingesetzt.
Rechtsgrundlage: § 25 Abs. 2 TTDSG (technisch notwendige Cookies).
2.4 Lokaler Browserspeicher (localStorage)
Im lokalen Speicher des Browsers werden folgende Präferenzen gespeichert, die das Gerät nicht verlassen:
| Schlüssel | Inhalt |
|---|---|
ww_theme | Design-Einstellung |
ww_music, ww_music_t | Musik-Status und -position |
ww_fx_vol | Effekt-Lautstärke |
ww_consent | Zustimmung zu Nutzungsbedingungen und Datenschutz |
ww_push_dismissed | Entscheidung zum Push-Hinweis |
2.5 Push-Benachrichtigungen (optional)
Mit ausdrücklicher Einwilligung können Browser-Benachrichtigungen (Web Push) aktiviert werden.
Dabei wird ein Push-Abonnement (bestehend aus einer vom Browser erzeugten
Endpunkt-URL und kryptografischen Schlüsseln) auf dem Server gespeichert, um Hinweise
bei Spielereignissen (Spielstart, Nachrichtenantwort) zustellen zu können.
Das Abonnement enthält keine personenbezogenen Inhalte; es wird ausschließlich
serverseitig für den Versand verwendet.
Die Benachrichtigungsberechtigung kann jederzeit in den Browsereinstellungen widerrufen werden.
Das gespeicherte Abonnement wird nach Widerruf automatisch gelöscht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
2.6 Server-Protokolldaten
Der Webserver protokolliert automatisch Zugriffe mit IP-Adresse, Zeitpunkt,
aufgerufener URL und HTTP-Statuscode. Diese Daten werden für maximal 14 Tage
gespeichert und ausschließlich zur Fehlerdiagnose und Sicherheitsüberwachung genutzt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an
Betrieb und Sicherheit des Dienstes).
3. Weitergabe an Dritte
Es werden keine personenbezogenen Daten an Dritte weitergegeben,
verkauft oder vermietet. Es werden keine Dienste von Drittanbietern eingebunden
(kein Google Analytics, keine CDNs, keine sozialen Netzwerke).
Alle Daten verbleiben auf dem Server des Betreibers.
Einzige Ausnahme: Push-Benachrichtigungen werden über den
Browser-Push-Dienst des jeweiligen Geräteherstellers übermittelt
(z. B. Google FCM für Android-Chrome, Mozilla für Firefox). Dabei werden
nur die vom Browser bereitgestellten Endpunkt-URLs verwendet — keine
inhaltlichen Nutzerdaten.
4. Speicherdauer
Konto- und Spieldaten werden gespeichert, solange das Konto aktiv ist. Nach Löschung eines Kontos werden die zugehörigen Daten unverzüglich entfernt. Push-Abonnements werden bei Widerruf oder bei Ungültigkeit (HTTP 410 vom Push-Dienst) automatisch gelöscht. Server-Logs werden nach spätestens 14 Tagen gelöscht.
5. Betroffenenrechte (Art. 15–22 DSGVO)
Du hast das Recht auf:
- Auskunft (Art. 15) — welche Daten über dich gespeichert sind
- Berichtigung (Art. 16) — Korrektur unrichtiger Daten
- Löschung (Art. 17) — Entfernung deiner Daten
- Einschränkung der Verarbeitung (Art. 18)
- Widerspruch (Art. 21) — gegen Verarbeitungen auf Basis berechtigter Interessen
- Widerruf einer Einwilligung (Art. 7 Abs. 3) — jederzeit für Push-Benachrichtigungen
- Datenübertragbarkeit (Art. 20) — soweit technisch umsetzbar
Zur Ausübung dieser Rechte wende dich an: andy.ve@outlook.de
6. Beschwerderecht bei der Aufsichtsbehörde
Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die zuständige Behörde für Baden-Württemberg ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW), Königstraße 10a, 70173 Stuttgart.
7. Datensicherheit
Passwörter werden ausschließlich als bcrypt-Hash gespeichert — das Klartextpasswort
ist technisch nicht wiederherstellbar. Datenbankzugriffe erfolgen ausschließlich
über Prepared Statements (PDO) zum Schutz vor SQL-Injection. Sessions sind mit
HttpOnly und SameSite=Lax gesichert. VAPID-Schlüssel
für Push-Benachrichtigungen werden serverseitig gespeichert und nie an den Client
übertragen (nur der öffentliche Schlüssel wird benötigt).
Warning: ini_set(): Session ini settings cannot be changed after headers have already been sent in /var/www/html/core/Auth.php on line 25
Warning: session_name(): Session name cannot be changed after headers have already been sent in /var/www/html/core/Auth.php on line 27
Warning: session_set_cookie_params(): Session cookie parameters cannot be changed after headers have already been sent in /var/www/html/core/Auth.php on line 28
Warning: session_start(): Session cannot be started after headers have already been sent in /var/www/html/core/Auth.php on line 35
← Zur Anmeldung