Datenschutzerklärung
Wir nehmen den Schutz deiner Daten ernst. Hier erfährst du, welche Daten wir erheben, warum, und welche Rechte du hast.
1. Verantwortlicher & DSA-Kontaktstelle
Verantwortlich im Sinne der DSGVO ist:
Robert Langbein Grafik & Software
Inhaber: Robert Langbein
Boderitzer Str. 2
01217 Dresden
Deutschland
E-Mail: hola@chupito.de
Kontaktformular: https://chupito.de/kontakt
Datenschutzbeauftragter: Nach Art. 37 DSGVO i. V. m. § 38 BDSG nicht erforderlich (Einzelunternehmer ohne weisungsgebundene Beschäftigte und ohne umfangreiche Verarbeitung besonderer Datenkategorien).
Kontaktstelle nach DSA (Art. 11 / 12 VO (EU) 2022/2065): hola@chupito.de — Kommunikationssprachen Deutsch, Englisch.
2. Begriffe & Rechtsgrundlagen
Wir verarbeiten personenbezogene Daten unserer Nutzer:innen grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website, unserer Inhalte und Leistungen erforderlich ist. Rechtsgrundlagen sind regelmäßig:
- Art. 6 Abs. 1 lit. a DSGVO — Einwilligung
- Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung / vorvertragliche Maßnahmen
- Art. 6 Abs. 1 lit. c DSGVO — rechtliche Verpflichtung
- Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse
3. Bereitstellung der Website / Server-Logfiles
Bei jedem Aufruf unserer Website erfasst unser System automatisiert Daten und Informationen vom Computersystem des aufrufenden Geräts:
- IP-Adresse (gekürzt nach 7 Tagen)
- Datum und Uhrzeit des Zugriffs
- aufgerufene Seite, Referrer
- Browsertyp & Version, Betriebssystem
Speicherdauer: 7 Tage. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Sicherheit, Stabilität). Hosting: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland (AVV gem. Art. 28 DSGVO vorhanden).
4. Cookies & Local Storage (§ 25 TDDDG)
Wir setzen keine einwilligungspflichtigen Cookies ein. Auf chupito.de und game.chupito.de verwenden wir ausschließlich Speicher-Mechanismen, die für die Bereitstellung des von dir ausdrücklich gewünschten Dienstes unbedingt erforderlich sind (§ 25 Abs. 2 Nr. 2 TDDDG).
| Zweck | Art | Rechtsgrundlage | Speicherdauer |
|---|---|---|---|
| Login-Session (Better-Auth) | HTTP-Cookie | § 25 Abs. 2 Nr. 2 TDDDG · Art. 6 Abs. 1 lit. b DSGVO | bis Logout, max. 30 Tage |
| CSRF-Schutz | HTTP-Cookie | § 25 Abs. 2 Nr. 2 TDDDG · Art. 6 Abs. 1 lit. f DSGVO | Session |
| Sprachauswahl | Local Storage | § 25 Abs. 2 Nr. 2 TDDDG · Art. 6 Abs. 1 lit. b DSGVO | persistent, vom Nutzer löschbar |
| Spiel-Optionen, Spielstand | Local Storage | § 25 Abs. 2 Nr. 2 TDDDG · Art. 6 Abs. 1 lit. b DSGVO | persistent, vom Nutzer löschbar |
| Geräte-UUID (Reichweitenmessung) | Local Storage | Art. 6 Abs. 1 lit. f DSGVO | bis 12 Monate Inaktivität |
Es findet kein Tracking durch Drittanbieter statt. Sollten wir in Zukunft einwilligungspflichtige Technologien einsetzen, holen wir vorab deine Einwilligung über einen Consent-Dialog ein.
5. Account & Profil (Better-Auth)
Für die Nutzung von Chupito verarbeiten wir folgende Daten:
- E-Mail-Adresse, Passwort (gehasht mit bcrypt/scrypt)
- Name (sofern angegeben), Geschlecht (für Karten-Personalisierung)
- Sprachpräferenz, Tier, gekaufte Inhalte, stripeCustomerId
- Profilbild, sofern hinterlegt
- Session-Daten: IP-Adresse, User-Agent, Zeitstempel
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (Sicherheit der Sessions). Speicherdauer: bis zur Account-Löschung. Sessions max. 30 Tage. Bei 12 Monaten Inaktivität informieren wir dich per E-Mail; ohne Reaktion folgt automatische Löschung.
Du kannst dein Konto in der App unter Mein Konto → Konto löschen löschen. Nach einer Deinstallation erreichst du die öffentliche Löschressource unter chupito.de/konto-loeschen. Ein noch automatisch verlängerndes Abo muss vorher im App Store, bei Google Play oder im Stripe-Portal gekündigt werden; sobald die Verlängerung deaktiviert ist, blockiert die bezahlte Restlaufzeit die Account-Löschung nicht.
6. Anmeldung mit Google
Wenn du dich mit deinem Google-Konto anmeldest, übermittelt Google uns deine Google-Account-ID, deinen Namen und deine E-Mail-Adresse. Diese Daten erhalten wir ausschließlich auf deine ausdrückliche Authentifizierungs-Aktion hin. Verantwortlich für den Google-seitigen Anteil dieser Verarbeitung ist Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland (mit Datenfluss zu Google LLC, USA; Garantien: EU-US Data Privacy Framework, Adequacy Decision 10.07.2023, plus EU-Standardvertragsklauseln).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Login auf deinen ausdrücklichen Wunsch).
7. Anmeldung mit Apple (Sign in with Apple)
Wenn du dich mit deinem Apple-Konto anmeldest, übermittelt Apple uns eine eindeutige Apple-Nutzer-ID und — sofern du es zulässt — deine E-Mail-Adresse. Du kannst beim Login über Apple wählen, deine E-Mail-Adresse zu verbergen. In diesem Fall stellt Apple eine zufallsgenerierte Relay-Adresse (Format …@privaterelay.appleid.com) bereit; deine echte E-Mail bleibt bei Apple. Mails, die wir an die Relay-Adresse senden, leitet Apple an dich weiter.
Verantwortlich für den Apple-seitigen Anteil dieser Verarbeitung ist Apple Distribution International Ltd., Hollyhill Industrial Estate, Hollyhill, Cork, Irland. Details: apple.com/legal/privacy/data/de/sign-in-with-apple.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
8. Spiel-Daten (Modi, Optionen, Spielverlauf)
Während des Spielens speichern wir deine gewählten Spielmodi, Optionen (z. B. Sip-Range, Cheating-Toggle), Spieler-Listen und Spielstatistiken (z. B. Anzahl gespielter Karten pro Modus). Diese Daten dienen der Erbringung der Vertragsleistung sowie der Anzeige deiner persönlichen Spielhistorie.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Speicherdauer: bis Account-Löschung oder 12 Monate Inaktivität.
9. Eigene Reichweitenmessung
Zur Verbesserung des Spielangebots und zur technischen Stabilität betreiben wir eine eigene, server-seitige Reichweitenmessung auf unseren Servern in Deutschland. Es findet keine Übermittlung an Drittanbieter statt.
Erfasste Daten:
- Geräte-UUID (zufällig generiert, kein Hersteller-Identifier)
- pseudonyme Verknüpfung mit deiner User-ID, sobald du dich anmeldest
- Heartbeat-Zeitpunkte (im Minuten-Intervall)
- Spielsitzungs-Daten: Modus, Optionen-Snapshot, Spieler-Anzahl, Anzahl gespielter Karten, Endezustand
- Ansichten einzelner Karten innerhalb einer Sitzung
- Spracheinstellung
Zweck: Verbesserung der Spielmodi (z. B. Erkennen ungespielter Karten), technische Stabilität, Erkennung von Missbrauchsmustern.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Betrieb und an der Weiterentwicklung des Dienstes).
Interessenabwägung: Die erhobenen Daten sind pseudonym, werden nicht mit Dritten geteilt, nicht zu Werbezwecken verwendet und erlauben keine Profilbildung außerhalb des Spielzwecks. Verarbeitung erfolgt ausschließlich auf eigenen Servern in Deutschland (Hetzner, AVV nach Art. 28 DSGVO). Ein entgegenstehendes überwiegendes Interesse betroffener Personen ist daher nicht ersichtlich.
Speicherdauer: 12 Monate ab letzter Aktivität, danach automatische Löschung.
Widerspruchsrecht (Art. 21 DSGVO): Du kannst dieser Verarbeitung jederzeit widersprechen — schicke einfach eine E-Mail an hola@chupito.de mit deiner User-ID oder Geräte-UUID. Dein Widerspruch wird unverzüglich umgesetzt; die App bleibt voll nutzbar, ohne dass deine Spielsitzungen weiter erfasst werden.
10. Karten-Einreichungen & Voting
Wenn du eigene Karten-Ideen einreichst, verarbeiten wir deinen Nicknamen und den Inhalt deiner Einreichung. Wird die Idee nach redaktioneller Prüfung veröffentlicht, erscheint dein Nickname als Autor:in auf der Karte und ist für andere Nutzer:innen sichtbar.
Zusätzlich verarbeiten wir Stimmen (Votes) und Reports, die du auf Karten abgibst — pseudonym verknüpft mit deiner User-ID, ohne Anzeige für Dritte. Reports werden im Rahmen unseres Notice-and-Action-Verfahrens bearbeitet (Details siehe AGB § 10).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Speicherdauer: Einreichungen bis Veröffentlichung zzgl. 12 Monate, Reports 6 Monate nach Bearbeitung.
11. Zahlungsabwicklung
Zahlungen werden über folgende Dienstleister abgewickelt:
- Stripe (Stripe Payments Europe Ltd., Dublin, Irland) — eigener Verantwortlicher; bei US-Komponenten (Stripe Inc.) gestützt auf EU-US Data Privacy Framework + EU-Standardvertragsklauseln. Mehr: stripe.com/privacy
- Apple App Store (Apple Distribution International Ltd., Cork, Irland) — eigener Verantwortlicher
- Google Play (Google Ireland Ltd., Dublin, Irland) — eigener Verantwortlicher
Wir selbst speichern keine vollständigen Zahlungsdaten. Wir erhalten lediglich eine Stripe-Customer-ID und Status-Webhooks, um deine Tier- Zugehörigkeit zu pflegen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Bei einer Account-Löschung trennen wir lokale Subscription- und Payment-Datensätze vom User-Konto und reduzieren gespeicherte Roh-Webhooks auf ein Redaction-Protokoll. Abrechnungs-, steuer- und compliance-relevante Nachweise können ohne Account-Bezug fortbestehen, soweit Art. 17 Abs. 3 DSGVO oder gesetzliche Aufbewahrungspflichten dies erfordern.
12. Transaktions-E-Mails (Google Workspace)
Verifizierungs-, Account- und Vertragsnachrichten versenden wir per SMTP über Google Workspace. Dienstleister: Google Cloud EMEA Ltd., Velasco, Clanwilliam Place, Dublin 2, Irland (mit Datenfluss zu Google LLC, USA; Garantien: AVV nach Art. 28 DSGVO, EU-US Data Privacy Framework + EU-Standardvertragsklauseln).
Inhalte: Account-Bestätigungen, Passwort-Resets, Stripe-Zahlungsbestätigungen, Sicherheits-Hinweise. Kein Newsletter und kein E-Mail-Marketing.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Speicherdauer: 6 Monate nach Versand.
Information über Änderungen unserer rechtlichen Dokumente
Bei Aktualisierungen unserer AGB oder Datenschutzerklärung informieren wir dich per E-Mail an die in deinem Account hinterlegte Adresse. Diese Information ist Bestandteil unserer Informationspflichten gemäß § 12 unserer AGB und nicht abbestellbar, solange ein aktiver Account besteht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) i. V. m. § 12 AGB.
Speicherdauer: Sendeprotokolle (Empfänger, Zeitpunkt, Status) 12 Monate, danach Löschung; Mail-Inhalt selbst nicht serverseitig gespeichert.
13. Error-Tracking (Glitchtip self-hosted)
Zur Behebung technischer Fehler erfassen wir Crash- und Fehler-Reports der Web- und Mobile-App. Wir betreiben dafür eine selbst gehostete Glitchtip-Instanz auf unserem Server bei Hetzner in Deutschland. Es findet keine Übermittlung an Sentry oder andere Drittanbieter statt.
Erfasste Daten: Fehlertyp und Stack-Trace, Browser-/App-Version, Betriebssystem, IP-Adresse (gekürzt nach 30 Tagen), Geräte-UUID, ggf. User-ID (wenn angemeldet), URL/Bildschirm zum Fehlerzeitpunkt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Diensteverfügbarkeit und Fehlerbehebung). Speicherdauer: Fehler-Events 30 Tage, anonymisierte Aggregate bis zu 12 Monate.
14. Hosting
Hosting der Website chupito.de, der Spiel-App game.chupito.de, der API api.chupito.de und unserer Datenbank erfolgt durch:
Hetzner Online GmbH
Industriestr. 25
91710 Gunzenhausen, Deutschland
AVV nach Art. 28 DSGVO ist abgeschlossen. Unsere Produktiv-Server (Anwendung und Datenbank) stehen ausschließlich in deutschen Rechenzentren (Falkenstein/Nürnberg); im Live-Betrieb findet im Hosting-Verhältnis zu Hetzner keine Übermittlung in Drittländer statt. Eine Drittland-Konstellation ergibt sich ausschließlich aus der zusätzlichen Backup-Speicherung bei Google Cloud — siehe § 23.
15. Kontaktformular & E-Mail-Anfragen
Bei Kontaktaufnahme per Formular oder E-Mail verarbeiten wir deine Angaben zur Bearbeitung deiner Anfrage. Rechtsgrundlage: Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO. Speicherdauer: 6 Monate nach Erledigung, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
16. Crew-Einladungen per E-Mail
Wenn du als Owner einer Crew Einladungen per E-Mail an dritte Personen verschickst, verarbeiten wir die von dir angegebene E-Mail-Adresse zum Zweck der Einladungs-Zustellung.
Bei Nutzung von Crew-Sharing verarbeiten wir außerdem Crew-Mitgliedschaften, Rollen (Owner/Member), Beitritts- und Beendigungszeitpunkte, sichtbare Namen und E-Mail-Adressen innerhalb der Crew sowie vom Owner hinterlegte Auszahlungshinweise wie PayPal-Adresse, PayPal-Handle, IBAN, Kontoinhabername, Revolut-Tag oder Wise-Link. Die vom Owner hinterlegten Auszahlungshinweise sind für alle aktuellen und künftigen Mitglieder der Crew sichtbar; sie werden nicht öffentlich gemacht. Diese Daten werden ausschließlich zur Bereitstellung der Crew-Funktion, zur Anzeige innerhalb der Crew, zur Missbrauchsprävention und zur Nachvollziehbarkeit von Sitzplatzänderungen verarbeitet.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für Einladungszustellung, Missbrauchsprävention und technische Nachvollziehbarkeit; Art. 6 Abs. 1 lit. b DSGVO für die Bereitstellung der Crew-Funktion gegenüber registrierten Nutzer:innen. E-Mail-Einladungen an Dritte erfolgen auf Basis deiner Selbst-Bestätigung, dass die Person mit der Einladung einverstanden ist.
Speicherdauer: Die E-Mail-Adresse wird nach Konsum der Einladung, Ablauf der Einladung (7 Tage) oder Widerruf gehasht oder genullt. Mitgliedschaften und Auszahlungshinweise speichern wir nur solange, wie sie für die Crew-Funktion erforderlich sind, der Account besteht oder gesetzliche Nachweis- und Aufbewahrungspflichten greifen. Store- und Zahlungs-Webhooks speichern wir als Rohdaten zur Nachvollziehbarkeit von Käufen, Stornierungen und Erstattungen, soweit dies für Abrechnung, Support und Betrugsprävention erforderlich ist.
19. Empfänger & Drittland-Übersicht
| Empfänger | Sitz | Zweck | Rolle | Drittland | Garantien |
|---|---|---|---|---|---|
| Hetzner Online GmbH | Falkenstein/Nürnberg, DE | Server-Hosting | Auftragsverarbeiter (Art. 28) | nein | AVV |
| Stripe Payments Europe Ltd. | Dublin, IE | Web-Zahlung | eigener Verantwortlicher | bei US-Komponenten | DPF + SCC |
| Apple Distribution International Ltd. | Cork, IE | iOS-IAP, Sign in with Apple | eigener Verantwortlicher | bei Apple Inc. (USA) | DPF + SCC |
| Google Ireland Ltd. | Dublin, IE | Android-IAP, Google OAuth | eigener Verantwortlicher | bei Google LLC (USA) | DPF + SCC |
| Google Cloud EMEA Limited (Workspace) | Dublin, IE | Transaktions-E-Mail | Auftragsverarbeiter (Art. 28) | bei Google LLC (USA) | AVV + DPF + SCC |
| Google Cloud EMEA Limited (Cloud Storage) | Dublin, IE | Datenbank-Backup-Speicher (Region europe-west3, Frankfurt am Main) | Auftragsverarbeiter (Art. 28) | bei Google LLC (USA) | AVV + DPF + SCC |
20. Speicherdauern im Überblick
| Datenkategorie | Speicherdauer |
|---|---|
| Server-Logfiles (IP, UA, Pfad) | 7 Tage |
| Session-Cookies / Better-Auth-Sessions | bis Logout, max. 30 Tage |
| Account-Daten (Email, Name, Profil) | bis Account-Löschung, danach gelöscht |
| Spiel-Optionen / Statistiken | bis Account-Löschung oder 12 Monate Inaktivität |
| Karten-Einreichungen | bis 12 Monate nach Veröffentlichung oder Account-Löschung |
| Reports auf Karten (DSA) | 6 Monate nach Bearbeitung, danach pseudonymisiert |
| Reichweitenmessung | 12 Monate ab letzter Aktivität |
| Error-Tracking (Glitchtip) | 30 Tage |
| Transaktions-E-Mails | 6 Monate nach Versand |
| Zahlungs-/Abo-Nachweise | gesetzliche Aufbewahrung; nach Account-Löschung ohne User-Bezug und mit minimierten Rohdaten |
| Stripe-Customer-ID | bis Account-Löschung; Store-Transaktions-IDs ggf. ohne Account-Bezug als Nachweis |
| Kontaktformular-Anfragen | 6 Monate nach Erledigung |
| Datenbank-Backups (GCS, europe-west3 / Frankfurt) | tägliches Voll-Backup, rollierend max. 3 Generationen (ca. 3 Tage) |
21. Deine Rechte (Art. 15–22 DSGVO)
Du hast jederzeit das Recht auf:
- Auskunft (Art. 15 DSGVO)
- Berichtigung (Art. 16 DSGVO)
- Löschung (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch gegen Verarbeitung auf lit. f (Art. 21 DSGVO)
- Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)
Kontakt für Betroffenenrechte: hola@chupito.de. Für die Account-Löschung kannst du zusätzlich die App-Funktion oder chupito.de/konto-loeschen nutzen. Solltest du Apple Hide-My-Email genutzt haben, schreibe von der bei uns registrierten Relay-Adresse — wir leiten Auskünfte an diese Adresse zurück.
22. Beschwerderecht bei der Aufsichtsbehörde
Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Für unseren Sitz in Dresden ist zuständig:
Sächsischer Datenschutz- und Transparenzbeauftragter
Devrientstraße 5
01067 Dresden
Telefon: +49 351 85471-101
E-Mail: post@sdtb.sachsen.de
Web: saechsdsb.de
23. Datensicherheit & Backups
Wir setzen branchenübliche technische und organisatorische Maßnahmen ein: TLS-Verschlüsselung (HTTPS) auf allen Endpunkten, Passwort-Hashes nach aktuellem Stand der Technik (bcrypt/scrypt), Zugriffsbeschränkungen und Auftragsverarbeitungs-Verträge mit allen externen Dienstleistern.
Datenbank-Backups: Zur Erfüllung unserer Pflicht zur Wiederherstellbarkeit nach Art. 32 Abs. 1 lit. b und c DSGVO erstellen wir einmal täglich ein vollständiges Backup unserer Produktiv-Datenbank. Die Backups werden verschlüsselt in Google Cloud Storage in der Region europe-west3 (Frankfurt am Main, Deutschland) abgelegt. Es werden maximal drei Backup-Generationen rollierend vorgehalten; ältere Generationen werden automatisch gelöscht. Aus Sicht der betroffenen Personen ergibt sich daraus eine effektive Aufbewahrung von rund drei Tagen. Die endgültige physische Tilgung gelöschter Inhalte aus den internen Replikations- und Sicherungssystemen des Auftragsverarbeiters kann gemäß Ziff. 6 des Cloud Data Processing Addendum bis zu 180 Tage in Anspruch nehmen.
Auftragsverarbeiter: Google Cloud EMEA Limited, Velasco, Clanwilliam Place, Dublin 2, Irland (mit potenziellem Datenfluss zur Konzernmutter Google LLC, USA). Die von Google eingesetzten Unter-Auftragsverarbeiter sind unter cloud.google.com/terms/subprocessors abrufbar. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Wiederherstellbarkeit der Verarbeitung). Garantien für die Drittlandübermittlung: Auftragsverarbeitungs-Vertrag nach Art. 28 DSGVO auf Basis des Cloud Data Processing Addendum (CDPA), EU-US Data Privacy Framework (Durchführungsbeschluss (EU) 2023/1795 vom 10.07.2023) sowie EU-Standardvertragsklauseln.
24. Kein automatisiertes Decision-Making
Wir setzen keine automatisierten Entscheidungsprozesse i. S. d. Art. 22 DSGVO ein, die rechtliche Wirkungen für dich entfalten oder dich in ähnlich erheblicher Weise beeinträchtigen würden.
25. Änderung dieser Datenschutzerklärung
Wir passen diese Datenschutzerklärung bei Änderungen der Datenverarbeitung oder der Rechtslage an. Die jeweils aktuelle Fassung ist unter chupito.de/datenschutz abrufbar. Eine Übersicht wesentlicher Änderungen findest du im Footer (Versions-Tag).
Stand: 6. Mai 2026 · Version 2026-05-06-v1