Rechtliches

Datenschutzerklärung

Zuletzt aktualisiert: 24. April 2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf btc-clan.xyz und den zugehörigen Discord-Bot "Bitcoin [BTC] Clan Bot" ist:

Harun Kilic

Lipper Hellweg 240, 33605 Bielefeld

E-Mail: [email protected]

Discord: discord.com/invite/bitcoinclan

2. Welche Daten wir erheben

Discord-Daten (bei Anmeldung via OAuth2)

Die Anmeldung erfolgt über Discord OAuth2 mit folgenden Berechtigungen (Scopes): identify, guilds, guilds.members.read und guilds.join.

  • Discord-Benutzer-ID (eindeutige Kennung)
  • Benutzername, Anzeigename und Server-Nickname
  • Avatar-URL (von Discord CDN)
  • Server-Rollen und Clan-Rollenzuordnung
  • Server-Beitrittsdatum

Minecraft-Daten (bei Verifizierung)

  • Minecraft-UUID und Spielername (Java Edition, via Mojang API)
  • Xbox-Gamertag (Bedrock Edition, via mcprofile.io API)
  • Plattform (Java oder Bedrock)
  • Verifizierungszeitpunkt

Nutzungsdaten (bei Interaktion)

  • Ticket-Inhalte, Nachrichten und Anhänge in Ticket-Kanälen
  • Ticket-Transkripte (vollständige HTML-Archive inkl. Nachrichtenverläufe)
  • Ticket-Bewertungen (1–5 Sterne) und optionale Kommentare
  • Vorschläge (Text, Abstimmungen, Status)
  • Gewinnspiel-Teilnahmen und Gewinnstatus
  • Profildaten: "Über mich"-Text (max. 500 Zeichen) und "Meine Aufgabe"-Text (max. 200 Zeichen)

Auktions- und Marktdaten

  • Auktionsgebote (Bieter-UUID, Betrag, Zeitpunkt)
  • Verkaufte und ersteigerte Items
  • Watchlist-Einträge (welche Auktionen du beobachtest)
  • Benachrichtigungseinstellungen (z.B. Überboten, Gewonnen, Endet bald)

Sicherheits- und Protokolldaten

  • Login-Zeitpunkte (zur Erkennung verdächtiger Aktivitäten)
  • IP-Adressen bei Login (Klartext, maximal 90 Tage gespeichert, danach automatische Löschung — zur Multi-Account-Erkennung und Angriffsabwehr)
  • IP-Adressen bei Selbstausschluss (90 Tage gespeichert zur Durchsetzung des Ausschlusses, danach automatische Löschung — siehe Abschnitt 9)
  • IP-Adressen bei fehlgeschlagenen Wartungsmodus-Anmeldungen (5 Minuten gespeichert, Brute-Force-Schutz)
  • VPN/Proxy-Prüfung bei Login (via proxycheck.io — nur die IP-Adresse wird übermittelt, Ergebnisse werden für 24 Stunden gecacht)
  • Multi-Account-Warnungen (bei Übereinstimmung von IP-Adressen zwischen verschiedenen Konten; IP wird nach 90 Tagen aus dem Warnungs-Datensatz entfernt)
  • Profiländerungen (Benutzername, Avatar, Nickname — Änderungsverlauf)

3. Zweck der Datenverarbeitung

Wir verarbeiten deine Daten ausschließlich für folgende Zwecke:

  • Authentifizierung und Autorisierung (Login, Rollenzuweisung)
  • Bereitstellung der Website-Funktionen (Dashboard, Profil, Statistiken)
  • Betrieb des Discord-Bots (Tickets, Gewinnspiele, Vorschläge)
  • Verifizierung der Minecraft-Account-Zugehörigkeit
  • Auktions- und Markt-Tracking inkl. Benachrichtigungen per Discord-DM
  • Anzeige von Mitgliederprofilen und Clan-Statistiken
  • Sicherheitsüberwachung (Login-Anomalien, Profiländerungs-Erkennung, VPN/Proxy-Erkennung, Multi-Account-Prüfung)
  • Synchronisierung von Clan-Mitgliederdaten zur Website (team.json)

4. Rechtsgrundlage (Art. 6 DSGVO)

  • Einwilligung (Art. 6 Abs. 1 lit. a)— Durch die Anmeldung via Discord OAuth2 und die optionale Minecraft-Verifizierung willigst du in die beschriebene Datenverarbeitung ein. Die Einwilligung kann jederzeit widerrufen werden.
  • Vertragserfüllung (Art. 6 Abs. 1 lit. b)— Verarbeitung deiner Daten zur Bereitstellung der Clan-Dienste (Dashboard, Tickets, Benachrichtigungen, Auktions-Tracking).
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f)— Sicherheitsmaßnahmen wie Multi-Account-Erkennung, VPN/Proxy-Prüfung, Login-Überwachung und Brute-Force-Schutz zum Schutz unserer Dienste und Nutzer.

5. Datenspeicherung & Aufbewahrungsfristen

Deine Daten werden in einer PostgreSQL-Datenbank auf einem gesicherten VPS (Virtual Private Server) gespeichert. Alle Datenbankabfragen sind parametrisiert (Schutz gegen SQL-Injection).

Ticket-Transkriptewerden als HTML-Dateien bei Cloudflare R2 (S3-kompatibel) abgelegt und über eine URL im Ticket-Datensatz referenziert.

Mitglieder-Avatare werden vom Discord-CDN heruntergeladen und lokal auf dem Webserver gespeichert, um sie auf der Mitgliederseite anzuzeigen.

Daten werden gespeichert, solange dein Konto aktiv ist oder du Mitglied des Clans bist. Temporäre Daten (z.B. ausstehende Verifizierungen) werden nach Ablauf automatisch ungültig.

Konkrete Fristen:

  • VPN/Proxy-Prüfergebnisse: 24 Stunden gecacht, danach gelöscht
  • Wartungsmodus-Fehlversuche (IP): 5 Minuten, danach automatisch gelöscht
  • Verifizierungscodes: 15 Minuten gültig, danach verworfen
  • Session-Cookies: 7 Tage, danach automatisch ungültig
  • Ticket-Transkripte: gespeichert bis zur manuellen Löschung durch die Clan-Leitung
  • Kontodaten: gespeichert bis zur Löschungsanfrage oder Clan-Austritt

Bei Löschungsanfragen werden alle personenbezogenen Daten innerhalb von 30 Tagen entfernt.

Backups:Wöchentliche DB-Backups werden für maximal 4 Wochenbei Cloudflare R2 aufbewahrt und dann rotiert (überschrieben). Bei einer Löschungsanfrage werden die Daten aus der Live-Datenbank sofort entfernt; aus Backups verschwinden sie spätestens mit der nächsten Rotation. Eine Wiederherstellung aus einem älteren Backup führt nur zur Wieder-Einspielung der bereits gelöschten Daten, wenn dies durch einen konkreten Vorfall erforderlich ist — danach würden wir deine Löschung erneut vollziehen.

6. Weitergabe an Dritte & Drittlandsübermittlung

Deine personenbezogenen Daten werden nicht verkauftund nicht für Werbezwecke an Dritte weitergegeben. Folgende externe Dienste werden im Rahmen des Betriebs genutzt:

  • Discord API & OAuth2— Anmeldung, Rollen-Abfrage, DM-Versand, automatischer Server-Beitritt. Es gelten die Datenschutzrichtlinien von Discord.
  • Mojang API — Auflösung von Minecraft-Spielernamen zu UUIDs (Java Edition). Nur Spielername wird gesendet.
  • mcprofile.io — Auflösung von Xbox-Gamertags zu UUIDs (Bedrock Edition). Nur Gamertag wird gesendet.
  • Geyser API — Rückauflösung von Bedrock-XUIDs zu Gamertags. Nur XUID wird gesendet.
  • OPSUCHT API— Abruf von Auktions-, Markt- und Händlerdaten des OPSUCHT-Servers. Keine Nutzerdaten werden gesendet. Hinweis:btc-clan.xyz ist ein unabhängiges Community-Projekt und steht in keiner offiziellen Verbindung zum OPSUCHT-Server oder dessen Betreibern. Die Bezeichnung „OPSUCHT“ sowie alle Server-bezogenen Markenrechte verbleiben bei den jeweiligen Rechteinhabern.
  • mc-heads.net — Anzeige von Minecraft-Spieler-Avataren anhand der UUID (clientseitig im Browser).
  • Cloudflare R2 — Speicherung von Ticket-Transkripten. Zugriff nur über den Bot (nicht öffentlich indiziert).
  • proxycheck.io— VPN/Proxy-Erkennung bei Login (Anbieter mit Sitz in Großbritannien). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz vor VPN-Multi-Account-Missbrauch). Übermittelt wird ausschließlich die IP-Adresse. Ergebnisse werden 24 Stunden gecacht, danach automatisch gelöscht. UK gilt seit dem Angemessenheitsbeschluss der EU-Kommission (2021) als sicheres Drittland.

Es werden keine externenAnalysedienste (Google Analytics, Sentry, Matomo o.ä.), Werbenetzwerke oder Third-Party-Tracking-Pixel eingesetzt. Wir betreiben ein eigenes, minimales Pageview-Trackingauf unseren eigenen Servern — siehe Abschnitt 7 unten. Dieses Tracking läuft ausschließlich bei ausdrücklicher Einwilligung (Cookie-Banner).

Drittlandsübermittlung:Einige der genannten Dienste (Discord, Cloudflare, Mojang) haben ihren Sitz in den USA. Die Datenübermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission) bzw. Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Die genannten Dienste sind eigenständige Verantwortliche mit eigenen Datenschutzrichtlinien.

7. Cookies, lokale Speicherung & Pageview-Tracking

Technisch notwendige Cookies(keine Einwilligung nötig, § 25 Abs. 2 Nr. 2 TDDDG— unbedingt erforderlich für den Dienst — i. V. m. Art. 6 Abs. 1 lit. f DSGVO):

  • next-auth.session-token— JWT-Session-Cookie (httpOnly, Secure, SameSite=Lax). Gültigkeit: 7 Tage.
  • maintenance_bypass_v2— Wartungsmodus-Zugang (httpOnly, Secure, SameSite=Lax). Gültigkeit: 24 Stunden. Nur für Teammitglieder.
  • localStorage „btc-cookie-consent-v1“— speichert deine Cookie-Banner-Entscheidung (kein personenbezogenes Datum).
  • Consent-Audit-Log (serverseitig)— zusätzlich zur LocalStorage-Speicherung loggen wir jede Einwilligungs-/Ablehnungs-Entscheidung serverseitig mit Zeitstempel, IP-Hash (siehe oben — pseudonymisiert) und User-Agent, damit wir im Streitfall nachweisen können, dass die Einwilligung erfolgt ist (Art. 7 Abs. 1 DSGVO). Aufbewahrung: 3 Jahre, danach automatische Löschung.

Einwilligungsbasiertes Pageview-Tracking(§ 25 Abs. 1 TDDDGi. V. m. Art. 6 Abs. 1 lit. a DSGVO — nur wenn du im Cookie-Banner zugestimmt hast):

  • Was wird erfasst?Aufgerufener Pfad (z. B./auktionen), Zeitstempel, SHA-256-Hash der IP-Adresse mit einem nur uns bekannten Salt (für externe Dritte praktisch nicht zurückführbar, für uns als Verantwortliche theoretisch rekonstruierbar — daher technisch pseudonymisiert), eingeloggte Discord-ID falls vorhanden. Der Salt wird jährlich rotiert, sodass Hashes vor dem Rotationsdatum mit neuen Hashes nicht mehr vergleichbar sind.
  • Zweck:Verstehen welche Seiten im Clan genutzt werden, aggregierte Besucherzahlen für das interne Admin-Dashboard. Keine individuellen Profile, keine Drittweitergabe.
  • Wo liegen die Daten?Unser eigener Hetzner-Server (DE). Keine Übermittlung in Drittländer. Tabellepage_viewsin unserer PostgreSQL-Datenbank.
  • Widerruf:Jederzeit über den Link „Cookie-Einstellungen“ im Footer. Nach Widerruf werden keine neuen Pageviews erfasst.
  • Aufbewahrung:12 Monate rollierend, danach automatische Löschung.

Es werden keine Werbe-Cookies, Third-Party-Tracker, Social-Media-Pixel oder externen Analysedienste eingesetzt.

8. Discord-Bot: Berechtigungen & Intents

Der Discord-Bot nutzt folgende privilegierte Gateway Intents:

  • GUILD_MEMBERS — Erkennung von Beitritten, Austritten, Rollen- und Profiländerungen
  • GUILD_PRESENCES — Status-Erkennung für Mitglieder-Sync
  • MESSAGE_CONTENT — Lesen von Nachrichteninhalten in Ticket-Kanälen für Transkripte

Der Bot sendet Direktnachrichten (DMs) für: Auktions-Benachrichtigungen (Überboten, Gewonnen, Endet bald, Watchlist), Konto-Sicherheitswarnungen (Login-Benachrichtigungen, Profiländerungen) und Gewinnspiel-Gewinnbenachrichtigungen. Alle DM-Benachrichtigungen sind über das Dashboard einzeln deaktivierbar.

8b. Automatisierte Entscheidungen (Art. 22 DSGVO)

Folgende Entscheidungen werden teilweise automatisiert getroffen:

  • Multi-Account-Erkennung:Bei IP-Übereinstimmung zwischen zwei Konten wird eine Warnung automatisch ausgelöst. Beim 1.–2. Verstoss wird der Account gekickt, beim 3. Verstoss automatisch gebannt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betrugsprävention).
  • VPN/Proxy-Flagging:Logins via erkannter VPN/Proxy-IP werden automatisch markiert und können zu weiteren Checks führen.
  • Rate-Limit / Brute-Force-Schutz:Zu viele fehlgeschlagene Versuche in kurzer Zeit führen zu einer temporären IP-Sperre (5 Minuten).

Dein Recht (Art. 22 Abs. 3 DSGVO): Wenn du von einer dieser automatisierten Entscheidungen betroffen bist (insbesondere bei einem Ban nach Multi-Account-Verstoss), kannst du jederzeit eine menschliche Überprüfunganfordern. Sende uns dafür eine E-Mail an[email protected]mit deinem Standpunkt. Wir prüfen den Fall manuell und heben die Sperre gegebenenfalls auf.

9. Selbstausschluss & Widerspruchsrecht (Art. 21 DSGVO)

Wichtig:Du hast jederzeit das Recht, der Verarbeitung deiner personenbezogenen Daten aus Gründen, die sich aus deiner besonderen Situation ergeben, zu widersprechen(Art. 21 DSGVO). Wir verarbeiten dann keine dich betreffenden personenbezogenen Daten mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen.

Du kannst dein öffentliches Spielerprofil (inkl. Auktionshistorie, Statistiken und Namensnennung in OP-Items, Auktionen und Geboten) dauerhaft ausblenden lassen. Dafür stehen zwei Wege offen:

  • Dashboard-Funktion(bequemer Weg für verifizierte Nutzer): Unter /dashboard/einstellungen→ Privatsphäre findest du den Selbstausschluss-Button. Die abgeschlossene Minecraft-Verifizierung gilt als Identitätsnachweis (Art. 12 Abs. 6 DSGVO).
  • Formlose Anfrage per E-Mail an[email protected]oder postalisch an die im Impressum genannte Adresse. In diesem Fall bitten wir einmalig um einen Identitätsnachweis (z. B. Cobblestone-Code im OPSUCHT-Auktionshaus).

Folgen des Selbstausschlusses:

  • Dein öffentliches Spielerprofil wird ausgeblendet.
  • Dein Name wird in Auktionen, OP-Items und Geboten durch „Anonym“ ersetzt.
  • Dein Zugang zur Plattform wird gesperrt (Login nicht mehr möglich).
  • Deine zuletzt bekannten IP-Adressen werden für 90 Tage in einer separaten Tabelle gespeichert, um uneingeloggten Zugriff zu verhindern. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Durchsetzung deines Selbstausschluss-Wunsches). Nach 90 Tagen werden diese IPs automatisch gelöscht.
  • Keine Daten werden gelöscht. Eine separate Löschungsanfrage (Art. 17 DSGVO) bleibt davon unberührt.

Rückgängigmachen:Der Selbstausschluss ist reversibel. Wende dich per E-Mail an [email protected] — nach Identitätsbestätigung heben wir die Sperre innerhalb von 7 Tagen auf.

Falls du fälschlich durch eine IP-Sperre ausgesperrt wirst (dynamische IP-Zuteilung, dein Internet-Provider hat dir die IP eines geblockten Nutzers neu zugewiesen), melde dich bitte per E-Mail — wir prüfen solche Fälle innerhalb von 48 Stunden.

10. Sichtbarkeit deiner Daten

  • Öffentlich sichtbar: Auktions- und Marktdaten, Spielerstatistiken (Gebote, Verkäufe) — basierend auf der OPSUCHT-API
  • Für Clan-Mitglieder: Mitgliederprofile, "Über mich"-Texte, Vorschläge, Gewinnspiele, Clan-Statistiken
  • Nur für dich: Persönliches Dashboard, Watchlist, Benachrichtigungseinstellungen, Gebotsverlauf
  • Für Teammitglieder: Ticket-Inhalte, Transkripte, Bewertungen, erweiterte Mitgliederstatistiken

11. Deine Rechte (DSGVO)

Du hast jederzeit das Recht auf:

  • Auskunft — welche Daten über dich gespeichert sind
  • Berichtigung — falscher oder unvollständiger Daten
  • Löschung — deiner personenbezogenen Daten
  • Widerruf — der Verifizierung und Datenverarbeitung
  • Datenportabilität — Export deiner gespeicherten Daten in einem gängigen Format (JSON)
  • Widerspruch gegen automatisierte Entscheidungen — bei Multi-Account-Erkennung kannst du eine menschliche Überprüfung anfordern
  • Ausblendung öffentlicher Daten — du kannst verlangen, dass dein Spielerprofil und alle öffentlich sichtbaren Daten (Auktionshistorie, Spielerstatistiken) von der Website ausgeblendet werden. Die Daten bleiben intern gespeichert, sind aber nicht mehr öffentlich auffindbar.
  • Beschwerde bei einer Aufsichtsbehörde — du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (z.B. LDI NRW)

Anfragen werden innerhalb von 30 Tagen bearbeitet (Art. 12 Abs. 3 DSGVO). Kontakt: [email protected]oder über das Ticket-System auf Discord. Bei Löschungsanfragen werden alle personenbezogenen Daten aus der Datenbank entfernt, einschließlich Verifizierung, Profildaten, Benachrichtigungseinstellungen und Watchlist-Einträge.

Beschwerde bei der Aufsichtsbehörde:Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Für unseren Sitz ist dies:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Kavalleriestraße 2–4, 40213 Düsseldorf
Telefon: 0211/38424-0 · www.ldi.nrw.de

12. Datensicherheit

  • Alle Verbindungen über HTTPS verschlüsselt
  • Session-Cookies mit httpOnly, Secure und SameSite-Flags
  • Parametrisierte Datenbankabfragen (Schutz gegen SQL-Injection)
  • Rollenbasierte Zugriffskontrolle auf Website und API
  • Login-Überwachung mit automatischen Sicherheitswarnungen

13. Mindestalter & Minderjährige

Unsere Dienste richten sich an Nutzer ab 16 Jahren. Kinder und Jugendliche unter 16 Jahren dürfen die Plattform nur mit ausdrücklicher Zustimmung eines Erziehungsberechtigten nutzen (Art. 8 DSGVO). Wir erheben wissentlich keine Daten von Nutzern unter 13 Jahren (Discord-Mindestalter).

14. Auftragsverarbeitung (Art. 28 DSGVO)

Für Infrastruktur-Leistungen (Hosting, Backup-Storage) haben wir Auftragsverarbeitungs-Verträge (AVV) mit folgenden Anbietern abgeschlossen: Hetzner Online GmbH(Server-Hosting, Standort Deutschland) und Cloudflare, Inc.(R2 Object Storage für Ticket-Transkripte). Beide Anbieter verarbeiten Daten weisungsgebunden für uns und sind vertraglich zur DSGVO-Konformität verpflichtet.

15. Änderungen

Wesentliche Änderungen dieser Datenschutzerklärung werden auf der Website sowie über Discord mindestens 6 Wochenvor Inkrafttreten angekündigt. Du hast das Recht, den Änderungen innerhalb dieser Frist zu widersprechen. Widerspricht du nicht, gelten die aktualisierten Bedingungen als angenommen. Rein redaktionelle Änderungen (Tippfehler, Formatierung) sind hiervon ausgenommen.

Komm in unseren Discord

Werde Teil der Bitcoin [BTC] Community

Tausch dich mit anderen Spielern aus, finde Anschluss und sei dabei wenn was los ist.

Join us on Discord