Datenschutzerklärung
Stand: Februar 2026
1. Verantwortlicher
Verantwortlicher im Sinne der DSGVO ist: Lukas Stache, Badergasse 6, 97500 Ebelsbach, Deutschland. E-Mail: play@playcrescendo.com. Gemäß Art. 37 DSGVO i.V.m. § 38 BDSG besteht keine Pflicht zur Bestellung eines Datenschutzbeauftragten, da die Verarbeitung personenbezogener Daten nicht durch mindestens 20 ständig mit der automatisierten Verarbeitung beschäftigte Personen erfolgt und keine umfangreiche regelmäßige und systematische Überwachung von Betroffenen stattfindet.
2. Hosting und Datenübermittlung in Drittländer
Unsere Website wird bei Vercel Inc. (USA) gehostet. Vercel verarbeitet technisch notwendige Daten (IP-Adresse, Zeitstempel) zur Bereitstellung der Website. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Vercel ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert, sodass ein angemessenes Datenschutzniveau gemäß Art. 45 DSGVO gewährleistet ist. Vercel speichert Server-Logdaten für maximal 30 Tage.
3. Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)
Crescendo verarbeitet besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO. Dazu gehören insbesondere: Daten, die Rückschlüsse auf die sexuelle Orientierung und Sexualpräferenzen zulassen (z.B. Spielhistorie, gespielte/übersprungene Karten, gewählte Tags und Stimmungen), sowie Spielpräferenzen, die Rückschlüsse auf Sexualpraktiken ermöglichen (z.B. Pair Profile des Whispers, Pre-Game-Check Antworten). Rechtsgrundlage für die Verarbeitung: Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung). Die Einwilligung erfolgt bei Registrierung bzw. beim Abschluss des Whisper Abonnements. Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden. Ohne diese Daten kann die Personalisierung des Spielerlebnisses nicht bereitgestellt werden. Spielhistorie und Pair Profile werden für die Dauer des Nutzerkontos gespeichert. Nach Kontolöschung werden alle Daten innerhalb von 30 Tagen gelöscht.
4. SSL/TLS-Verschlüsselung
Diese Website nutzt aus Sicherheitsgründen eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie an dem Schloss-Symbol in der Adresszeile Ihres Browsers.
5. Cookies & Einwilligung
Wir setzen technisch notwendige Cookies ein (z.B. für die Authentifizierung über Supabase und Stripe-Zahlungssitzungen). Diese Cookies sind für den Betrieb der Website erforderlich und werden ohne Einwilligung gesetzt (§ 25 Abs. 2 TDDDG). Darüber hinaus setzen wir Analyse- und Marketing-Cookies nur mit Ihrer ausdrücklichen Einwilligung ein (§ 25 Abs. 1 TDDDG). Sie können Ihre Einwilligung jederzeit über den Link „Cookie-Einstellungen“ im Footer ändern oder widerrufen. Folgende Cookies werden eingesetzt: Technisch notwendig: sb-*-auth-token (Supabase Auth, Sitzungsdauer), __stripe_mid (Stripe Betrugsprävention, 1 Jahr), __stripe_sid (Stripe Sitzung, 30 Min.), consent_prefs (Cookie-Einwilligung, 1 Jahr), age_verified (Altersprüfung, 30 Tage). Statistik (nur mit Einwilligung): _ga, _ga_* (Google Analytics, 2 Jahre). Marketing (nur mit Einwilligung): _gcl_au (Google Ads, 90 Tage), _fbp (Meta Pixel, 90 Tage), _ttp (TikTok Pixel, 13 Monate).
6. Google Analytics 4
Wir nutzen Google Analytics 4, einen Webanalysedienst der Google Ireland Ltd. („Google“). Google Analytics verwendet Cookies und ähnliche Technologien, um Ihr Nutzungsverhalten zu analysieren. Die dabei erzeugten Informationen werden in der Regel an einen Server von Google in den USA übertragen. Google Analytics 4 protokolliert keine vollständigen IP-Adressen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über den Consent-Banner). Sie können Ihre Einwilligung jederzeit widerrufen. Die Daten werden nach 14 Monaten automatisch gelöscht. Die Datenübermittlung in die USA erfolgt auf Grundlage des EU-US Data Privacy Framework (DPF).
7. Google Ads Conversion Tracking
Wir nutzen Google Ads Conversion Tracking, um die Effektivität unserer Werbeanzeigen zu messen. Dabei wird beim Klick auf eine Google-Anzeige ein Cookie gesetzt. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Datenübermittlung in die USA erfolgt auf Grundlage des EU-US Data Privacy Framework (DPF). Das Conversion-Cookie verliert nach 90 Tagen seine Gültigkeit.
8. Meta Pixel (Facebook)
Wir setzen das Meta Pixel (ehemals Facebook Pixel) der Meta Platforms Ireland Ltd. ein, um die Wirksamkeit unserer Facebook-/Instagram-Werbeanzeigen zu messen und Zielgruppen zu bilden. Das Pixel erfasst Informationen zu Seitenbesuchen und Interaktionen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Für die gemeinsame Verarbeitung von Event-Daten durch das Meta Pixel besteht eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO zwischen uns und Meta Platforms Ireland Ltd. Die wesentlichen Inhalte der Vereinbarung sind unter https://www.facebook.com/legal/controller_addendum abrufbar. Weitere Informationen: https://www.facebook.com/privacy/policy/. Die durch das Meta Pixel erhobenen Daten werden von Meta für bis zu 2 Jahre gespeichert.
9. TikTok Pixel
Wir setzen das TikTok Pixel der TikTok Technology Ltd. (Irland) ein, um die Wirksamkeit unserer TikTok-Werbeanzeigen zu messen. Das Pixel erfasst Informationen zu Seitenbesuchen und Interaktionen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Wir weisen darauf hin, dass TikTok zum ByteDance-Konzern gehört und Daten möglicherweise auch in China verarbeitet werden. Für China besteht kein Angemessenheitsbeschluss der EU-Kommission. Die Datenübermittlung erfolgt auf Grundlage von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Die durch das TikTok Pixel erhobenen Daten werden für bis zu 13 Monate gespeichert. Weitere Informationen: https://www.tiktok.com/legal/privacy-policy.
10. Authentifizierung
Für die Benutzerauthentifizierung nutzen wir Supabase Auth (Supabase Inc., USA). Bei der Registrierung und Anmeldung werden E-Mail-Adresse, Passwort-Hash und ggf. OAuth-Daten (Google) verarbeitet. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Unsere Supabase-Instanz wird in der EU (eu-central) gehostet. Die Datenübermittlung an Supabase Inc. als US-Unternehmen erfolgt auf Grundlage von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Authentifizierungsdaten werden für die Dauer des Bestehens des Nutzerkontos gespeichert und nach Löschung des Kontos innerhalb von 30 Tagen entfernt.
11. Google Sign-In (OAuth)
Wenn Sie sich über Google Sign-In anmelden, werden Ihr Name, Ihre E-Mail-Adresse und Ihr Profilbild von Google an uns übermittelt. Diese Daten verwenden wir ausschließlich zur Erstellung und Verwaltung Ihres Nutzerkontos. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Weitere Informationen zum Datenschutz bei Google finden Sie unter: https://policies.google.com/privacy.
12. Zahlungsabwicklung
Für die Zahlungsabwicklung nutzen wir Stripe Payments Europe Ltd. (Irland). Bei einem Kauf werden die für die Zahlungsabwicklung erforderlichen Daten (z.B. Name, E-Mail, Zahlungsinformationen) an Stripe übermittelt. Stripe Inc. (USA) ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Weitere Informationen: https://stripe.com/de/privacy. Stripe speichert Zahlungsdaten gemäß den gesetzlichen Aufbewahrungsfristen (in der Regel 10 Jahre nach § 147 AO).
13. KI-Verarbeitung: Anthropic Claude
Für den Whisper nutzen wir die API von Anthropic PBC (USA). Dabei werden Spielpräferenzen und Stimmungsdaten an Anthropic übermittelt, um personalisierte Spielerlebnisse zu generieren. Die Inhalte des Stimmungs-Checks (Pre-Game-Check) und die daraus abgeleiteten Präferenzen können besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO darstellen (siehe Abschnitt 3). Es werden keine direkt identifizierenden Daten (Name, E-Mail) an Anthropic übertragen. Die Datenübermittlung in die USA erfolgt auf Grundlage von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) i.V.m. Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung). Anthropic speichert keine API-Eingaben für Trainingszwecke. Die Empfehlungen des Whispers (Kartenreihenfolge, Spielleiter-Fragen) werden durch künstliche Intelligenz generiert.
14. KI-Verarbeitung: OpenAI
Für die KI-gestützte Kartengeneration nutzen wir die API von OpenAI LLC (USA). Dabei werden anonymisierte Inhaltsbeschreibungen verarbeitet. Es werden keine personenbezogenen Daten an OpenAI übertragen. Die Datenübermittlung in die USA erfolgt auf Grundlage von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). OpenAI speichert keine API-Eingaben für Trainingszwecke (bei API-Nutzung).
15. Automatisierte Entscheidungsfindung / Profiling (Art. 22 DSGVO)
Der Whisper verwendet Spielpräferenzen (gespielte/übersprungene Karten, Verweildauer, Tags), um Kartenvorschläge zu personalisieren. Dies stellt eine automatisierte Verarbeitung einschließlich Profiling dar. Die Kartenreihenfolge wird durch eine KI (Anthropic Claude) automatisch bestimmt. Ihre Rechte gemäß Art. 22 DSGVO: Sie können der automatisierten Verarbeitung jederzeit widersprechen (Art. 21 Abs. 1 DSGVO), indem Sie den Whisper deaktivieren und den regelbasierten Game Director verwenden. Sie haben das Recht, die Entscheidung des Whispers durch Überspringen einzelner Karten anzufechten. Sie können jederzeit Auskunft über die der Personalisierung zugrunde liegenden Daten verlangen (Art. 15 DSGVO). Die Personalisierung hat keine rechtlichen oder ähnlich erheblichen Auswirkungen — sie beeinflusst ausschließlich die Reihenfolge und Auswahl von Spielkarten.
16. Auftragsverarbeiter und Empfänger
Zur Erbringung unserer Dienste setzen wir folgende Auftragsverarbeiter ein: Vercel Inc. (USA) — Hosting, DPF-zertifiziert. Supabase Inc. (USA) — Datenbank und Authentifizierung, EU-Hosting (eu-central), SCCs. Stripe Payments Europe Ltd. (Irland) / Stripe Inc. (USA) — Zahlungsabwicklung, DPF-zertifiziert. Anthropic PBC (USA) — KI-Verarbeitung, SCCs. OpenAI LLC (USA) — KI-Kartengeneration, SCCs. Google Ireland Ltd. — Analytics und Werbung, DPF-zertifiziert. Meta Platforms Ireland Ltd. — Werbung, Art. 26 DSGVO Vereinbarung. TikTok Technology Ltd. (Irland) — Werbung, SCCs. Mit allen Auftragsverarbeitern wurden schriftliche Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO bzw. bei gemeinsamer Verantwortlichkeit Vereinbarungen gemäß Art. 26 DSGVO abgeschlossen. Für DPF-zertifizierte Unternehmen besteht ein Angemessenheitsbeschluss gemäß Art. 45 DSGVO. Für alle übrigen US-Transfers gelten EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).
17. Speicherdauer
Nutzerkonto und Profildaten: Für die Dauer des Bestehens des Nutzerkontos. Spielhistorie und Pair Profile (KI-Lernprofil): Für die Dauer des Bestehens des Nutzerkontos. Nach Kontolöschung werden alle Daten innerhalb von 30 Tagen gelöscht. Zahlungsdaten: 10 Jahre gemäß § 147 AO (gesetzliche Aufbewahrungsfrist). Server-Logdaten: Maximal 30 Tage. Analytics-Daten: 14 Monate (Google Analytics). Cookie-Speicherdauer: Siehe Abschnitt 5.
18. Pflicht zur Bereitstellung von Daten
Sie können Crescendo als Gast ohne Angabe personenbezogener Daten nutzen. Für die Registrierung ist die Angabe einer E-Mail-Adresse erforderlich. Für kostenpflichtige Inhalte sind zusätzlich Zahlungsdaten erforderlich. Für den Whisper ist die Verarbeitung von Spielpräferenzen einschließlich besonderer Kategorien (Art. 9 DSGVO) erforderlich. Ohne diese Daten können die jeweiligen Funktionen nicht bereitgestellt werden.
19. Betroffenenrechte
Sie haben das Recht auf: Auskunft (über Ihre gespeicherten Daten, Art. 15 DSGVO), Berichtigung (unrichtiger Daten, Art. 16 DSGVO), Löschung (Art. 17 DSGVO), Einschränkung der Verarbeitung (Art. 18 DSGVO), Datenportabilität (Art. 20 DSGVO), Widerspruch gegen die Verarbeitung einschließlich Profiling (Art. 21 DSGVO) sowie Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO). Insbesondere können Sie gemäß Art. 21 Abs. 1 DSGVO der automatisierten Verarbeitung durch den Whisper jederzeit widersprechen. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung. Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: play@playcrescendo.com.
20. Aufsichtsbehörde
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach, https://www.lda.bayern.de.
21. Änderungen
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes anzupassen. Die aktuelle Version finden Sie stets auf dieser Seite.