Zum Inhalt springen
CardWho
App holen

Rechtliches

Datenschutzerklärung

CardWho ist mit Respekt vor deiner Privatsphäre gebaut. Diese Erklärung beschreibt in klaren Worten, welche Daten wir erheben, warum, wie und welche Rechte du hast.

Zuletzt aktualisiert:

1. Wen betrifft diese Erklärung?

Diese Datenschutzerklärung gilt für Besucher der Website cardwho.com, Spieler der CardWho-Mobile-App (iOS / Android) und alle, die uns über unsere Kontaktkanäle erreichen.

2. Verantwortlicher

„Wir" / „CardWho" bezeichnet Erik Medya, das Unternehmen, das den Dienst betreibt.

  • Firmenname: Erik Medya
  • Geschäftsanschrift: Kuştepe Mahallesi, Mecidiyeköy Yolu Caddesi Nr. 12, Trump Tower 4. Stock, Büro Nr. 405, Şişli / Istanbul, Postleitzahl: 34381, Türkei
  • E-Mail: [email protected]

3. Welche Daten wir erheben

3.1. Nutzung ohne Konto

CardWho lässt sich vollständig ohne Konto spielen. In diesem Fall werden keine personenbezogenen Daten erhoben; der Spielfortschritt wird ausschließlich auf deinem Gerät gespeichert.

3.2. Optionales Konto

Möchtest du Geräte synchronisieren, Cloud-Backups oder Käufe auf mehreren Geräten nutzen, kannst du ein Konto anlegen. Dann erheben wir:

  • E-Mail-Adresse (Anmeldung + Kontakt)
  • Anzeigename (optional)
  • Gerätetyp und App-Version (Fehlerdiagnose + Kompatibilität)
  • Spielstatistiken (Anzahl gespielter Runden, Kategoriepräferenzen) — ausschließlich an dein Konto gebunden

3.3. Kaufdaten

Beim Kauf von PRO-Inhalten wird die Zahlung von Apple App Store oder Google Play abgewickelt. Wir sehen oder speichern keine Kartendaten. Wir verarbeiten ausschließlich die Tokens, die uns die Stores zur Verifikation des Kaufs zurückliefern.

3.4. Kontaktdaten

Wenn du das Kontaktformular nutzt, erreichen uns Name, E-Mail-Adresse, Nachricht und gewähltes Thema. Wir verarbeiten diese Daten ausschließlich, um deine Anfrage zu beantworten und gegebenenfalls Rückfragen zu stellen.

3.5. Website-Nutzungsdaten

Die Website wird über Cloudflare ausgeliefert. Standard-Serverlogs (IP-Adresse, User-Agent, abgerufene URL, Zeitstempel) werden kurzzeitig zu Sicherheits- und Diagnosezwecken vorgehalten.

3.6. Sicherheits- und Audit-Logs

Zum Schutz deines Kontos und zur Erfüllung gesetzlicher Pflichten führen wir ein internes Audit-Log über sicherheitsrelevante Ereignisse: Anmeldeversuche (erfolgreich und fehlgeschlagen), Kontoänderungen (Registrierung, Profilaktualisierung, Kontolöschung), Abonnementereignisse (Kauf, Verlängerung, Kündigung, Übertragung, Erstattung), Administratorhandlungen an deinem Konto sowie Systemjobs (etwa geplante Aufbewahrungsläufe). Jeder Eintrag enthält den Aktionsnamen, den Akteurstyp (Nutzer / Administrator / System), Akteur- und Ziel-Identifikatoren, Zeitstempel, IP-Adresse, User-Agent und einen redigierten Payload.

Sensible Werte werden im Payload niemals im Klartext abgelegt. Passwörter, vollständige Authentifizierungstokens, Zahlungskartendaten, rohe E-Mail-Adressen und sonstige personenbezogene Daten werden vor dem Schreiben über eine Redaktions-Whitelist gefiltert. Es wird nur das festgehalten, was zum Nachweis des Ereignisses nötig ist — nicht das zugrunde liegende Geheimnis.

4. Zwecke und Rechtsgrundlagen

Wir verarbeiten deine Daten zu den folgenden Zwecken auf den genannten Rechtsgrundlagen:

  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Bereitstellung des Kontos, Verifikation von Käufen, Synchronisation deiner Daten.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Bearbeitung von Kontaktanfragen, Schutz vor Angriffen, Betrugsprävention, anonymisierte Produktverbesserung.
  • Rechenschaftspflicht und Audit-Log (Art. 5 Abs. 2 sowie Art. 6 Abs. 1 lit. c und f DSGVO): Sicherheitsrelevante Ereignisse werden in einem internen Audit-Log festgehalten, um Angriffe zu erkennen, kritische Vorgänge (Kontolöschung, Administratoreingriff) nachzuweisen und unsere Dokumentationspflichten zu erfüllen.
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Aufzeichnungen, die Steuer- und Verbraucherschutzrecht erfordern.
  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): falls wir später optionale Funktionen einführen, die deine ausdrückliche Zustimmung benötigen.

5. Empfänger der Daten

Wir verkaufen deine Daten nicht. Wir geben sie nur an Auftragsverarbeiter weiter, die zur Erbringung des Dienstes notwendig und vertraglich gebunden sind:

  • Apple App Store / Google Play: Abwicklung von Käufen.
  • OVH (Frankreich, Europäische Union): Server-Hosting. Deine Daten verbleiben in der EU.
  • Cloudflare: CDN, Bot-Schutz, Turnstile.
  • RevenueCat (Vereinigte Staaten): In-App-Kauf-Orchestrierung, Validierung von Abonnements und Store-Webhooks. E-Mail, Anzeigename, Geburtsdatum, Stadt und Ländercode werden zur Kundenidentifikation übermittelt.
  • Google (Firebase Authentication, Firebase Cloud Messaging): Authentifizierung und Auslieferung von Push-Benachrichtigungen. Bei Anmeldung über Apple oder Google verarbeiten die jeweiligen Identitätsanbieter den Anmelde-Token.
  • Sentry (Deutschland — EU): Telemetrie zu Anwendungsfehlern und Performance. Geräte­typ, App-Version, anonyme Benutzer­kennung und Stack-Traces werden verarbeitet.
  • PostHog (EU): Produktanalyse. Eine anonyme Geräte-/Installationskennung, die App-Version und In-App-Nutzungsereignisse werden verarbeitet; Sitzungsaufzeichnung und IP-basierte Standortermittlung sind deaktiviert.
  • Behörden: ausschließlich auf gesetzlich verbindliche Anforderung und, soweit zulässig, nach vorheriger Information.

6. Speicherdauer

  • Kontodaten: solange dein Konto aktiv ist. Nach einer Löschanfrage werden alle Daten innerhalb von 30 Tagen entfernt.
  • Kontaktnachrichten: 12 Monate nach Abschluss deiner Anfrage.
  • Serverlogs: 30 Tage, danach Anonymisierung oder Löschung.
  • Buchhaltungsunterlagen: 10 Jahre gemäß steuerrechtlichen Vorgaben.

Das Audit-Log wird in vier getrennten Aufbewahrungsfristen geführt und durch einen geplanten Job automatisch bereinigt:

  • Nachweis der Kontolöschung (Nutzer): 36 Monate. Kontolöschungen werden in anonymisierter Form als Beleg dafür aufbewahrt, dass die Löschung tatsächlich erfolgt ist — Art. 5 Abs. 2 sowie Art. 6 Abs. 1 lit. c DSGVO.
  • Sonstige Nutzerereignisse: 12 Monate. Anmeldungen, Profilaktualisierungen, Abonnementereignisse und vergleichbare Einträge — Datenminimierung und ein Untersuchungsfenster für Betrugsfälle.
  • Administratorereignisse: 24 Monate. Internes Audit und Übergabefenster für Aktionen, die Administratoren an Nutzerkonten vornehmen.
  • Systemereignisse: 6 Monate. Geplante Jobs, Ausgaben des Aufbewahrungsdienstes und ähnliche operative Einträge.

7. Deine Rechte nach DSGVO

Auf Grundlage der Datenschutz-Grundverordnung (DSGVO) hast du folgende Rechte gegenüber uns:

  • Auskunft darüber, ob und welche personenbezogenen Daten wir verarbeiten (Art. 15 DSGVO).
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO).
  • Löschung deiner Daten („Recht auf Vergessenwerden", Art. 17 DSGVO), soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO).
  • Datenübertragbarkeit in einem maschinenlesbaren Format (Art. 20 DSGVO).
  • Widerspruch gegen bestimmte Verarbeitungsvorgänge (Art. 21 DSGVO).
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO).
  • Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) — in Deutschland ist die zuständige Behörde abhängig von deinem Wohnsitz das jeweilige Landesdatenschutzamt.

Zur Ausübung dieser Rechte schicke eine Nachricht mit dem Thema „Recht / Datenschutz" über das Kontaktformular. Wir antworten spätestens innerhalb von 30 Tagen.

Wie du deine Daten in der App löschst: CardWho bietet zwei Wege in der App, abhängig davon, ob du angemeldet bist. Wenn du diese Bildschirme nicht erreichen kannst, schicke eine Nachricht mit dem Thema „Recht / Datenschutz" über das Kontaktformular als Web-Ersatzweg.

  • Angemeldete Mitglieder — öffne Profil → Konto löschen. Deine Konto-Zeile im Backend, dein Firebase-Benutzerdatensatz, dein RevenueCat-Kundenprofil und dein Sentry-Benutzerverweis werden atomar entfernt; Audit-Log-Einträge mit Bezug zu dir werden in derselben Transaktion anonymisiert, wie unten beschrieben.
  • Gäste (ohne Konto) — öffne Profil → Gastdaten löschen. Favoriten, Statistiken, Abzeichen, der Benachrichtigungs-Posteingang und das mit diesem Gerät verknüpfte FCM-Push-Token werden gelöscht; die App läuft als neuer Gast weiter. Geräteeinstellungen (Sprache, Theme, Ton) bleiben erhalten, da sie keine personenbezogenen Daten sind.

Wie sich eine Löschung auf das Audit-Log auswirkt (Art. 17 DSGVO): Wenn du dein Konto in der App löschst oder ein Administrator dein Konto im Rahmen von Art. 17 DSGVO in deinem Namen anonymisiert, werden dein Konto und deine personenbezogenen Daten gelöscht; vorhandene Audit-Log-Einträge mit Bezug zu dir werden in derselben atomaren Transaktion anonymisiert — Akteur- und Ziel-Identifikatoren werden auf NULL gesetzt, der Payload geleert. Aktionsname und Zeitstempel bleiben als rechtlicher Nachweis erhalten, entsprechend unserer Aufbewahrungspflicht. Der Nachweiseintrag selbst wird nach 36 Monaten durch den in Abschnitt 6 beschriebenen geplanten Aufbewahrungsdienst gelöscht.

8. Deine Datenschutzrechte in Kalifornien (CCPA / CPRA)

Wenn du in Kalifornien wohnst, gewährt dir der California Consumer Privacy Act (CCPA), ergänzt durch den California Privacy Rights Act (CPRA), die folgenden Rechte:

  • Recht auf Auskunft: welche personenbezogenen Daten wir erheben, zu welchen Zwecken und an welche Empfängerkategorien.
  • Recht auf Löschung: uns aufzufordern, die von uns über dich gespeicherten personenbezogenen Daten zu löschen.
  • Recht auf Berichtigung: uns aufzufordern, unzutreffende personenbezogene Daten zu berichtigen.
  • Widerspruch gegen „Verkauf" oder „Weitergabe": wir verkaufen deine personenbezogenen Daten nicht und wir geben sie nicht für kontextübergreifende verhaltensbezogene Werbung weiter.
  • Recht auf Nichtdiskriminierung: wir verweigern dir keinen Dienst und berechnen dir keinen anderen Preis, weil du ein Recht wahrgenommen hast.

Zur Ausübung dieser Rechte sende eine Nachricht über das Kontaktformular mit dem Thema „Recht / Datenschutz". Vor der Bearbeitung bestimmter Anfragen müssen wir gegebenenfalls deine Identität überprüfen.

9. Daten von Kindern

CardWho richtet sich nicht an Kinder unter 16 Jahren. Wenn du unter 16 bist, solltest du die App nur mit Zustimmung deiner Erziehungsberechtigten nutzen. Wenn wir feststellen, dass wir Daten von Kindern unter 16 ohne ausreichende Einwilligung erhoben haben, löschen wir sie unverzüglich.

10. Internationale Datenübermittlungen

Unsere Server stehen in Frankreich (Europäische Union); die primäre Datenbank und das Datei-Hosting bleiben innerhalb der EU. Übermittlungen an die folgenden Auftragsverarbeiter verlassen die EU und erfolgen auf Grundlage der Artikel 44–49 DSGVO (geeignete Garantien und Standardvertragsklauseln): RevenueCat (Vereinigte Staaten), Firebase Authentication und Firebase Cloud Messaging (Google, Vereinigte Staaten), Apple App Store (Vereinigte Staaten), Google Play (Vereinigte Staaten). Sentry (Deutschland) und PostHog (EU) bleiben innerhalb der EU. Diese Übermittlungen erfolgen auf Grundlage des jeweils vom Anbieter veröffentlichten Auftrags­verarbeitungs­vertrags (AVV/DPA) und der EU-Standardvertragsklauseln (SCC).

11. Sicherheit

Wir setzen branchenübliche Maßnahmen ein, um deine Daten vor unbefugtem Zugriff, Verlust und Veränderung zu schützen: ausschließlich verschlüsselter Verkehr per HTTPS, Passwort-Hashing (Argon2id oder gleichwertig), strikte Rollentrennung, eingeschränkter Logzugriff und regelmäßige Backups. Kein System ist zu 100 % sicher; bei einer bestätigten Datenschutzverletzung benachrichtigen wir dich und die zuständigen Behörden innerhalb der gesetzlichen Fristen.

12. Änderungen

Wir aktualisieren diese Erklärung, wenn sich Gesetze oder der Dienst wesentlich ändern. Bei wesentlichen Änderungen weisen wir auf der Startseite oder in der App deutlich darauf hin.

13. Kontakt

Bei Fragen zu dieser Erklärung erreichst du uns über das Kontaktformular oder direkt unter [email protected].