JKz JKz Logo Group

Datenschutzerklärung der JKz-Group und Abteilungen

Stand: 25. November 2025
Inhalt

Diese Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten durch die JKz-Group (Inhaber: Jonas Kuhlgatz) sowie deren Unterprojekte und Dienste: JKz-Development (Entwicklung & Veröffentlichung von Software und Videospielen), JKz-Entertainment (Social-Media-Management & Online-Marketing), JKz-Games (Community & Plattformangebote), JKz-GameStore (Vertrieb von Indie-Spielen), JKz-GameCloud (Speicher- und Synchronisationsdienst), JKz-GameServer (Multiplayer-Server-Hosting), JKz-GameJam (Community-Events), JKz-Creators, JKz-Musics sowie alle verbundenen Panels, APIs, Tools und Social-Media-Auftritte.

Die Verarbeitung personenbezogener Daten erfolgt ausschließlich im Einklang mit der Datenschutz-Grundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG) und den telekommunikations- und telemedienrechtlichen Vorschriften (insbesondere TTDSG). Diese Erklärung beschreibt Art, Umfang und Zwecke der Verarbeitung, die jeweiligen Rechtsgrundlagen, Empfänger, Speicherdauern sowie die Rechte betroffener Personen.

1. Verantwortlicher

JKz-Group
Inhaber: Jonas Kuhlgatz
[Anschrift wird nach Gewerbeanmeldung ergänzt]
E-Mail (allgemein): info@jkz-group.de
E-Mail (Datenschutz): datenschutz@jkz-group.de

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist die JKz-Group, soweit nachfolgend nicht ausdrücklich etwas anderes angegeben wird. Für einzelne Unterprojekte können wir Auftragsverarbeiter (z. B. Hosting, Zahlungsabwicklung, Newsletter-Dienstleister) einsetzen. Mit diesen bestehen Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO.

Ergänzend gelten die Grundsätze aus dem Unternehmensgesetz der JKz-Group, insbesondere zu Datenschutz, Informationssicherheit und Datenethik (Privacy by Design & Default, Rollen- und Berechtigungskonzepte, Incident-Response-Prozesse).

2. Begriffe / Definitionen (Auszug)

„Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO).
„Verarbeitung“ ist jeder Vorgang im Zusammenhang mit personenbezogenen Daten (Erheben, Speichern, Übermitteln, Löschen etc.).
„Verantwortlicher“ ist die Stelle, die über Zwecke und Mittel der Verarbeitung entscheidet (Art. 4 Nr. 7 DSGVO).
„Auftragsverarbeiter“ ist eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Nr. 8 DSGVO).
„User-ID“ ist eine öffentlich sichtbare, zufällig generierte Kennung (z. B. im Format xxx-xxx), die als Erkennungsmerkmal, für Freundschaftsanfragen sowie zur Zuordnung in Logs/Dateien dient.
„Anmeldedaten“ sind private Zugangsdaten (E-Mail, Passwort-Hash, ggf. 2FA-Token). User-ID und Anmeldedaten werden strikt getrennt verarbeitet.
„Einwilligung“ ist jede freiwillige, informierte und unmissverständlich abgegebene Willensbekundung für eine bestimmte Verarbeitung (Art. 4 Nr. 11 DSGVO).

3. Kategorien personenbezogener Daten

Je nach Nutzung unserer Dienste verarbeiten wir insbesondere:

Accountdaten: Name (freiwillig), E-Mail-Adresse, User-ID, Anzeigename, Passwort (gehasht), 2FA-Token, Rollen/Rechte, Verifizierungsstatus.
Kommunikationsdaten: Freundschaftsanfragen, Nachrichten, Support-Tickets, Kommentare, Foren-/Community-Beiträge, Moderationshinweise, Sperrvermerke.
Spieldaten: Spiele-Uploads, Beschreibungen, Metadaten, Spielstände/Cloud-Saves, Highscores, Matchmaking-Daten, Bewertungs- und Ranking-Informationen.
Server-/Technikdaten: IP-Adresse, Gerät/Client, Zugriffszeit, Request-IDs, Session-IDs, Tokens, Fehler-/Performance-Logs, Sicherheits- und Missbrauchslogs.
Finanz-/Vertragsdaten: Kaufhistorie, Rechnungsdaten, Zahlungsstatus (Zahlungsabwicklung erfolgt über Zahlungsanbieter; wir speichern keine vollständigen Zahlungsinstrumente wie Kreditkartennummern).
Event-/GameJam-Daten: Registrierungen, Teamzugehörigkeit, eingereichte Spiele, Jury-Feedback, Bewertungsergebnisse, Preisvergabe, Einwilligungen für Mediennutzung.
Marketing-/Creator-Daten: Daten zu Social-Media-Kanälen, Reichweitenstatistiken, Creator-Profile, Kampagnendaten und ggf. vertragliche Absprachen mit Creators.
Keycloak-/Login-Daten: Technische Authentifizierungsdaten beim Einsatz eines dedizierten Login-Dienstes (z. B. Keycloak), insbesondere Tokens, Zeitpunkte von Logins und Rolleninformationen (siehe auch Abschnitt 5).

4. Zwecke der Verarbeitung und Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung unserer Angebote, zur Erfüllung vertraglicher Pflichten, zur Wahrung berechtigter Interessen oder aufgrund gesetzlicher Vorgaben erforderlich ist. Im Überblick:

Zweck Beispiel Rechtsgrundlage Speicherdauer Empfänger
Accountbereitstellung Registrierung, Login, 2FA, Rollenverwaltung Art. 6 Abs. 1 lit. b DSGVO (Vertrag) Konto-Bestand + ca. 30 Tage nach Löschung (sofern keine Aufbewahrungspflichten entgegenstehen) Hosting-/IT-Dienstleister, Login-Dienst (z. B. Keycloak)
Betrieb der Plattformen GameStore-Uploads, Käufe, Bewertungen, Community-Funktionen Art. 6 Abs. 1 lit. b DSGVO, ggf. lit. f DSGVO Vertragsdauer + gesetzliche Aufbewahrung (insb. 6–10 Jahre für rechnungsrelevante Daten) Zahlungsanbieter, Hosting, ggf. Steuerberater/Behörden
GameCloud / GameServer Speicherstände, Multiplayer-Sitzungen, Matchmaking Art. 6 Abs. 1 lit. b, f DSGVO Laufzeit des Dienstes; Logs i. d. R. max. 90 Tage Hosting/IT, ggf. Sicherheits-/Anti-Missbrauchs-Dienstleister
GameJam / Events Registrierung, Einreichungen, Jury-Bewertung, Preisvergabe Art. 6 Abs. 1 lit. b DSGVO, für Mediennutzung Art. 6 Abs. 1 lit. a DSGVO Eventdauer + Dokumentation; Preisdaten nach steuerlichen Vorgaben Jury, Sponsoren (auf notwendige Daten minimiert)
Marketing / Newsletter Social-Posts, E-Mail-Newsletter, Creator-Kampagnen Art. 6 Abs. 1 lit. a DSGVO, ggf. lit. f DSGVO Bis Widerruf/Opt-out bzw. Wegfall des Zwecks Newsletter-/Social-Media-Dienstleister
Sicherheit / Abwehr DDoS-/Betrugserkennung, Rate-Limits, Abuse-Handling Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem Betrieb) Logs i. d. R. max. 90 Tage, länger bei Sicherheitsvorfällen Sicherheits-/Hosting-Partner, ggf. Strafverfolgungsbehörden
Erfüllung rechtlicher Pflichten Steuer-, handels- und aufbewahrungsrechtliche Pflichten Art. 6 Abs. 1 lit. c DSGVO Entsprechend der gesetzlichen Vorgaben (z. B. 6–10 Jahre) Behörden, Steuerberater

Soweit wir um Ihre Einwilligung bitten, erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO. Sie können eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.

5. Verarbeitung je Unterprojekt

JKz-Development: Verwaltung von Entwickler-Accounts, Projektdaten, Repositorien, Bug-Reports; Zweck: Entwicklung/Qualitätssicherung (Art. 6 Abs. 1 lit. b, f DSGVO).
JKz-Entertainment: Verwaltung und Planung von Social-Media-Profilen, Community-Management und Kampagnen; hierfür können aggregierte Nutzungsstatistiken und öffentlich sichtbare Profildaten von Plattformen verarbeitet werden. Soweit soziale Netzwerke eine gemeinsame Verantwortlichkeit vorsehen, gelten die Informationen gemäß Art. 26 DSGVO der jeweiligen Plattformen zusätzlich.
JKz-Games: Community-Funktionen wie Profile, Freundschaftssystem, Kommentare und Foren; Moderation nach Hausordnung und Unternehmensgesetz (berechtigtes Interesse an einer sicheren, diskriminierungsfreien Community).
JKz-GameStore: Spiele-Uploads, Darstellung, Kaufabwicklung; Zahlungsabwicklung über Drittanbieter; steuerliche Aufbewahrungspflichten werden eingehalten.
JKz-GameCloud: Speicherung und Synchronisation von Spielständen; Löschung bei Account-Löschung, spätestens nach ca. 30 Tagen, sofern keine gesetzlichen Pflichten entgegenstehen.
JKz-GameServer: Betrieb von Multiplayer-Sitzungen, Match-/Server-Logs; IP- und technische Daten zur Stabilität, Missbrauchserkennung und ggf. Abrechnung (Logs i. d. R. 90 Tage).
JKz-GameJam: Teilnehmerregistrierung, Teamverwaltung, Einreichungen, Jury-Bewertung, Preisvergabe; Mediennutzung (Screenshots/Trailer) nur mit Einwilligung.
JKz-Creators / JKz-Musics: Verwaltung von Creator- bzw. Musikprojekten, Kooperationen, Kampagnendaten und ggf. Vertragsdaten; Kommunikation und Abwicklung erfolgen auf vertraglicher Grundlage (Art. 6 Abs. 1 lit. b DSGVO) und zur Pflege der Zusammenarbeit (Art. 6 Abs. 1 lit. f DSGVO).
Keycloak / Login-Dienst: Für die zentrale Authentifizierung kann ein separater Login-Dienst (z. B. Keycloak) eingesetzt werden. Dabei werden insbesondere E-Mail-Adresse, User-ID, Passwort-Hash, Rollen sowie Tokens verarbeitet. Der Dienst dient der sicheren Anmeldung und Rechtevergabe über mehrere Unterprojekte hinweg. Es gelten dieselben Sicherheitsstandards (z. B. Hashing, TLS, Rollen-/Rechtemanagement) wie für andere produktive Systeme.

6. Empfänger / Auftragsverarbeiter

Wir setzen sorgfältig ausgewählte Dienstleister ein (z. B. Hosting/Serverbetrieb, Zahlungsabwicklung, E-Mail-Versand, IT-Support, Analyse-Tools). Mit allen Dienstleistern, die personenbezogene Daten in unserem Auftrag verarbeiten, schließen wir Verträge zur Auftragsverarbeitung (Art. 28 DSGVO). Diese Dienstleister sind an unsere Weisungen gebunden und werden regelmäßig auf angemessene technische und organisatorische Maßnahmen geprüft.

Eine Weitergabe an Dritte zu eigenen Werbezwecken findet nicht statt. Eine Offenlegung gegenüber Behörden/Steuerstellen erfolgt nur im Rahmen gesetzlicher Pflichten oder bei entsprechender behördlicher Anordnung.

7. Internationale Datenübermittlungen

Sofern Dienste außerhalb des Europäischen Wirtschaftsraums (EWR) einbezogen werden, erfolgen Übermittlungen nur bei Vorliegen eines Angemessenheitsbeschlusses (Art. 45 DSGVO), geeigneter Garantien (Art. 46 DSGVO, z. B. EU-Standardvertragsklauseln) oder Ihrer ausdrücklichen Einwilligung. Zusätzlich werden – soweit erforderlich – ergänzende technische und organisatorische Schutzmaßnahmen umgesetzt (z. B. Verschlüsselung, Pseudonymisierung).

8. Speicherdauer und Löschung

Personenbezogene Daten werden nur so lange gespeichert, wie es für die jeweiligen Zwecke erforderlich ist oder wir gesetzlich dazu verpflichtet sind. Danach werden Daten gelöscht oder anonymisiert. Im Überblick:

Datenkategorie Reguläre Dauer Ausnahmen
Accountdaten Während aktiver Nutzung + ca. 30 Tage nach Löschung Sperr- und Beweisfristen bei Missbrauchsverdacht, gesetzliche Aufbewahrungspflichten
Kauf-/Rechnungsdaten 6–10 Jahre Gesetzliche Aufbewahrung (HGB/AO), laufende Verfahren
Log-/Sicherheitsdaten i. d. R. max. 90 Tage Länger bei Sicherheitsvorfällen, Missbrauchsprüfungen oder behördlichen Anfragen
GameCloud / Spielstände Bis zur Account-Löschung Technische Backups üblicherweise bis zu 30 Tage, danach Überschreibung
GameJam-Daten Eventdauer + übliche Dokumentationsfrist Gewinn-/Steuerdaten gemäß steuerrechtlichen Aufbewahrungsfristen
Newsletter-/Marketingdaten Bis zum Widerruf/Opt-out oder Wegfall des Zwecks Beweissicherung für Einwilligung (z. B. Double-Opt-In-Protokoll) für einen angemessenen Zeitraum

9. Cookies, Tracking & Newsletter

9.1 Cookies und vergleichbare Technologien

Wir verwenden auf unseren Webseiten und Diensten Cookies und ähnliche Technologien (z. B. Local Storage), um grundlegende Funktionen bereitzustellen und – sofern Sie zustimmen – Nutzungsdaten zur Reichweitenmessung oder für Marketingzwecke zu erheben.

Technisch notwendige Cookies dienen z. B. dem Session-Management, CSRF-Schutz, Login-Status oder der Speicherung Ihrer Datenschutzeinstellungen. Diese werden auf Grundlage von § 25 Abs. 2 TTDSG und Art. 6 Abs. 1 lit. b, f DSGVO eingesetzt.

Optionale (Analyse-/Marketing-)Cookies werden nur gesetzt, wenn Sie hierzu Ihre Einwilligung erteilen (§ 25 Abs. 1 TTDSG i. V. m. Art. 6 Abs. 1 lit. a DSGVO). Die Auswahl und Änderung Ihrer Cookie-Präferenzen ist jederzeit über unser Consent-Tool möglich (soweit implementiert).

9.2 Reichweitenmessung & Analyse

Soweit wir Analysetools (z. B. zur Reichweitenmessung) einsetzen, informieren wir an dieser Stelle bzw. in den Cookie-Einstellungen über den konkreten Dienst, die erzeugten Datenkategorien (z. B. pseudonymisierte Nutzungsprofile) und die Speicherdauer. Die Verarbeitung erfolgt auf Basis Ihrer Einwilligung; Sie können diese jederzeit mit Wirkung für die Zukunft widerrufen.

9.3 Newsletter

Newsletter werden ausschließlich nach ausdrücklicher Anmeldung (z. B. Double-Opt-In-Verfahren) versendet. Wir speichern dabei Ihre E-Mail-Adresse sowie den Zeitpunkt der Anmeldung und Bestätigung. Die Einwilligung ist jederzeit mit Wirkung für die Zukunft widerrufbar, z. B. über den Abmeldelink in jeder E-Mail oder über Kontaktaufnahme an die im Impressum bzw. oben genannte Adresse.

10. Community-Regeln, Missbrauchs- und Jugendschutz

Zur Gewährleistung einer sicheren und inklusiven Community behalten wir uns Moderationsmaßnahmen vor (Hinweise, Sperren, Löschungen). Inhalte, die gegen Gesetze, unsere Hausordnung, das Unternehmensgesetz oder die Upload-/Nutzungsbedingungen verstoßen, können entfernt werden. Hinweise auf rechtswidrige Inhalte werden dokumentiert und geprüft.

Altersfreigaben und Vorgaben des Jugendschutzgesetzes (JuSchG) werden bei Spielen beachtet. Für Nutzer unter 18 Jahren können Funktionen eingeschränkt oder nur mit Zustimmung der Erziehungsberechtigten bereitgestellt werden.

Bei gemeldeten Risiken (z. B. Betrugsversuche, Bedrohungen, Hassrede) verarbeiten wir Daten auf Grundlage unseres berechtigten Interesses an einem sicheren Betrieb (Art. 6 Abs. 1 lit. f DSGVO) und können Daten in berechtigten Fällen an zuständige Behörden weitergeben.

11. Technische und organisatorische Maßnahmen (TOM)

Wir treffen angemessene technische und organisatorische Maßnahmen zur Sicherung Ihrer Daten entsprechend Art. 32 DSGVO. Dazu gehören insbesondere:

  • Speicherung von Passwörtern ausschließlich gehasht (z. B. Argon2id oder bcrypt, mit sicheren Parametern)
  • Verpflichtende 2-Faktor-Authentifizierung für Administratoren, optional für Nutzer
  • TLS-verschlüsselte Datenübertragung und HSTS, regelmäßige Zertifikatserneuerung
  • Rollen- und Berechtigungskonzepte (Least-Privilege-Prinzip), Protokollierung kritischer Zugriffe
  • Regelmäßige Sicherheitsupdates, Schwachstellen-Management und Abhängigkeiten-Scanning
  • Regelmäßige Backups mit Wiederherstellungstests; möglichst geografisch redundante Speicherung
  • Rate-Limits, Captchas, Bot-/Spam-Schutz und Monitoring zur Missbrauchsprävention
  • Zugriff auf produktive Daten nur für befugte Personen; Vertraulichkeitsverpflichtungen für Mitarbeitende
  • Privacy by Design & Default: minimale Datenerhebung, kurze Log-Aufbewahrung, Pseudonymisierung wo möglich

Ende-zu-Ende-verschlüsselte Chats

Für die Chat-Funktionen der JKz-Group setzen wir ein Ende-zu-Ende-Verschlüsselungskonzept ein. Die Inhalte von Nachrichten werden grundsätzlich ausschließlich auf den Endgeräten der beteiligten Nutzer verschlüsselt und entschlüsselt. Auf unseren Servern liegen Chat-Nachrichten nur in verschlüsselter Form vor; wir verarbeiten für den technischen Betrieb insbesondere Metadaten (z. B. Zeitpunkte der Nachrichtenübermittlung, beteiligte User-IDs, technische Protokollinformationen). Die zur Verschlüsselung verwendeten Schlüssel werden nicht im Klartext auf unseren Servern gespeichert, sondern auf den Endgeräten verwaltet. Eine nachträgliche Entschlüsselung bereits übermittelter Inhalte durch uns findet grundsätzlich nicht statt; zur Sicherstellung von Sicherheit und Missbrauchsabwehr können wir jedoch Meldungen, Metadaten und ggf. von Nutzern freiwillig eingereichte Inhalte im Rahmen der gesetzlichen Vorgaben auswerten.

12. Minderjährige

Unsere Angebote richten sich primär an volljährige Nutzer. Sofern Minderjährige unsere Dienste nutzen, erfolgt dies – soweit erforderlich – mit Zustimmung der Erziehungsberechtigten. Wir erheben wissentlich keine Daten von Kindern ohne erforderliche Einwilligung und ergreifen angemessene Maßnahmen zum Schutz von Minderjährigen, insbesondere im Hinblick auf jugendgefährdende Inhalte und Kommunikationsfunktionen.

13. Mediennutzung bei GameJams

Bild-, Ton- und Videomaterial von Einreichungen (z. B. Screenshots, Trailer, Gameplay-Ausschnitte) verwenden wir zu Kommunikations-, Dokumentations- und Präsentationszwecken nur auf Grundlage einer gesonderten Einwilligung. Diese Einwilligung ist freiwillig und kann jederzeit mit Wirkung für die Zukunft widerrufen werden. Ohne Einwilligung erfolgt keine öffentliche Nutzung dieser Medien, die über die reine Teilnahmeabwicklung hinausgeht.

14. Rechte der betroffenen Personen

Betroffene Personen haben im Rahmen der gesetzlichen Voraussetzungen jederzeit folgende Rechte:

  • Recht auf Auskunft (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung („Recht auf Vergessenwerden“, Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Recht auf Widerspruch gegen Verarbeitungen nach Art. 6 Abs. 1 lit. e oder f DSGVO (Art. 21 DSGVO)
  • Recht auf Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Zur Ausübung Ihrer Rechte genügt eine formlose Anfrage an die oben genannte Kontaktadresse. Aus Gründen der Datensicherheit kann ein geeigneter Identitätsnachweis erforderlich sein. Sie haben zudem das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren.

Hinweis auf besonderes Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Ihrer personenbezogenen Daten, die auf Art. 6 Abs. 1 lit. e oder f DSGVO beruht, Widerspruch einzulegen. Dies gilt insbesondere für eine Verarbeitung zu Zwecken der Direktwerbung; in diesem Fall erfolgt keine weitere Verarbeitung zu diesen Zwecken.

15. Automatisierte Entscheidungen / Profiling

Es finden keine ausschließlich automatisierten Entscheidungen mit Rechtswirkung oder ähnlicher erheblicher Beeinträchtigung statt. Ranking- und Empfehlungsfunktionen im GameStore (z. B. „beliebte Spiele“) basieren auf transparenten, statistischen Kriterien (z. B. Downloads, Bewertungen) und dienen der Nutzerfreundlichkeit. Diskriminierende oder manipulative („Dark Pattern“-)Mechanismen sind gemäß unserem Unternehmensgesetz ausgeschlossen.

16. Soziale Netzwerke (JKz-Entertainment) / gemeinsame Verantwortlichkeit

Für Präsenzen in sozialen Netzwerken (z. B. YouTube, Instagram, TikTok, Discord) gelten zusätzlich die Datenschutzbestimmungen der jeweiligen Plattformen. Soweit dort eine gemeinsame Verantwortlichkeit in Betracht kommt (Art. 26 DSGVO), stellen wir die erforderlichen Hinweise bereit und verarbeiten Plattform-Insights ausschließlich in aggregierter oder pseudonymisierter Form, soweit dies möglich ist.

17. Datenschutz-Kontakt / Datenschutzbeauftragte*r

Für Datenschutzanfragen wenden Sie sich bitte an die im Abschnitt „Verantwortlicher“ genannte Adresse (E-Mail: datenschutz@jkz-group.de). Ein*e Datenschutzbeauftragte*r ist derzeit nicht bestellt, da die gesetzlichen Voraussetzungen hierfür aktuell nicht erfüllt sind. Sollte dies aufgrund künftiger Unternehmensgröße oder Art der Verarbeitungen erforderlich werden, werden die Kontaktdaten an dieser Stelle ergänzt.

18. Änderungen dieser Erklärung

Diese Datenschutzerklärung wird fortlaufend an rechtliche und technische Entwicklungen angepasst. Über wesentliche Änderungen informieren wir in geeigneter Weise (z. B. per E-Mail, In-App-Hinweis oder Hinweis auf unseren Webseiten). Jede Fassung erhält ein Aktualisierungsdatum („Stand“). Maßgeblich ist die jeweils aktuelle, hier bereitgestellte Version.

Anhang A: Verzeichnis typischer Verarbeitungstätigkeiten

Nachstehend ein beispielhafter Auszug aus dem internen Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO). Die konkreten Dienstleister/Tools werden projektbezogen ergänzt.

Vorgang: User-Registrierung
Daten: E-Mail, User-ID, Passwort-Hash, 2FA-Daten
Zweck: Accountanlage, Zugangskontrolle, Sicherheit
Rechtsgrundlage: Art. 6 Abs. 1 lit. b, f DSGVO
Empfänger/Sub-Prozessoren: Hosting, E-Mail-Versand, Login-Dienst

Vorgang: Login & Session-Verwaltung
Daten: E-Mail, Hash, Session-ID, Tokens
Zweck: Authentifizierung, Sitzungsverwaltung
Rechtsgrundlage: Art. 6 Abs. 1 lit. b, f DSGVO
Empfänger/Sub-Prozessoren: Hosting, Login-Dienst

Vorgang: Freundschaftssystem & Community
Daten: User-ID, Anzeigename, Freundschaftsbeziehungen, Nachrichten
Zweck: Community-Funktionen, Social Features
Rechtsgrundlage: Art. 6 Abs. 1 lit. b, f DSGVO
Empfänger/Sub-Prozessoren: — (ggf. Hosting)

Vorgang: GameStore-Käufe
Daten: Kauf- und Rechnungsdaten, Nutzerkennung
Zweck: Vertragserfüllung, Abrechnung, Nachweis
Rechtsgrundlage: Art. 6 Abs. 1 lit. b, c DSGVO
Empfänger/Sub-Prozessoren: Zahlungsanbieter, Steuerberater, Behörden

Vorgang: GameCloud
Daten: Spielstände, Metadaten, Zeitstempel
Zweck: Synchronisation, Backup von Spielständen
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
Empfänger/Sub-Prozessoren: Hosting/Storage

Vorgang: GameServer-Betrieb
Daten: IP, Match-Logs, technische Kennungen
Zweck: Multiplayer-Betrieb, Stabilität, Sicherheit
Rechtsgrundlage: Art. 6 Abs. 1 lit. b, f DSGVO
Empfänger/Sub-Prozessoren: Hosting, ggf. Anti-DDoS-Dienstleister

Vorgang: GameJam
Daten: Registrierung, Einreichungen, Bewertungen, Medien
Zweck: Durchführung, Bewertung, Preisvergabe, Dokumentation
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, für Mediennutzung Art. 6 Abs. 1 lit. a DSGVO
Empfänger/Sub-Prozessoren: Jury/Sponsoren (minimiert)

Vorgang: Marketing & Newsletter
Daten: E-Mail, Nutzungsdaten (bei Opt-in), Interaktionen
Zweck: Newsletterversand, Angebotskommunikation, Reichweitenanalyse
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO
Empfänger/Sub-Prozessoren: Newsletter-Provider, ggf. Analyse-Tools

Anhang B: Technische Mindestmaßnahmen (Beispielkatalog)

Die JKz-Group setzt mindestens folgende technischen Sicherheitsmaßnahmen um:

  • Passwort-Hashing mit Argon2id (parametrisiert) oder bcrypt
  • Pflicht-2FA für Admins, Empfehlung für Nutzer
  • TLS-Verschlüsselung (aktueller Stand), HSTS, regelmäßige Zertifikatserneuerung
  • Rollen- und Rechtemanagement (Least-Privilege), Logging und Monitoring kritischer Ereignisse
  • Regelmäßige Patches/Updates, Abhängigkeiten-Scanning (SCA), Schwachstellenmanagement
  • Backups mit Wiederherstellungstests; definierte Aufbewahrungs- und Löschpläne
  • Rate-Limiting/Throttling, Bot-/Spam-Schutz, Content-Moderation und Abuse-Prozesse
  • Privacy by Design & Default: minimale Datenerhebung, Pseudonymisierung wo möglich

Anhang C: Datenfluss (vereinfachte Darstellung)

Im Regelbetrieb werden personenbezogene Daten in folgendem vereinfachten Ablauf verarbeitet: Nutzer → Registrierung/Login → Profil/Community → GameStore/GameCloud/GameServer → Abrechnung (falls Kauf) → Support/Moderation.

Alle Transfers erfolgen verschlüsselt; externe Empfänger erhalten nur die für den jeweiligen Zweck erforderlichen Daten (Datenminimierung). Die öffentliche User-ID dient ausschließlich zur Erkennbarkeit und Zuordnung in Logs/Dateien sowie für Freundschaftsanfragen. Die Authentifizierung erfolgt getrennt über E-Mail/Passwort und optional 2FA. Admin-relevante Aktionen sind zusätzlich zu protokollieren und – wo erforderlich – zu genehmigen.