Stand: März 2026 · Gemäß DSGVO (EU) 2016/679
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:
MXLX
E-Mail: support@mxlx.io
Website: mxlx.io
VAULT ist eine geschlossene, nicht-kommerzielle Plattform mit Einladungssystem. Der Zugang ist nur über persönliche Einladungscodes möglich. Es werden keine Waren oder Dienstleistungen angeboten und keine Einnahmen erzielt. Bei Datenschutzanfragen ist der Betreiber unter der oben genannten E-Mail-Adresse erreichbar.
Die folgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen und verweist auf die betroffenen Personen.
2.1 Account- und Profildaten
Bei der Registrierung und Nutzung der Plattform erheben wir folgende Daten:
| Datenkategorie | Pflicht? | Zweck |
|---|---|---|
| Benutzername | Ja | Eindeutige Identifikation auf der Plattform |
| Passwort (bcrypt-Hash, Kostenfaktor 12) | Ja* | Authentifizierung (Klartext wird nie gespeichert) |
| E-Mail-Adresse | Nein** | Passwort-Reset, 2FA-Codes, Sicherheitsbenachrichtigungen, Newsletter |
| Anzeigename | Nein | Öffentliche Darstellung im Profil & Chat |
| Avatar-Emoji | Nein | Öffentliche Darstellung im Profil & Chat |
| Bio | Nein | Öffentliches Nutzerprofil |
| Lieblingsspiel | Nein | Öffentliches Nutzerprofil |
| Geburtsjahr | Nein | Identitätsverifizierung bei Passwort-Reset |
| Verwendeter Einladungscode | Automatisch | Zuordnung & Missbrauchsprävention |
| Registrierungs-IP-Adresse | Automatisch | Sicherheit, Missbrauchsprävention |
| Login-Zeitstempel | Automatisch | Sicherheit, tägliches Login-Tracking |
| Account-Erstellungsdatum | Automatisch | Nutzerverwaltung |
* Entfällt bei OAuth-Registrierung (Google/Discord).
** Wird bei OAuth-Registrierung automatisch vom Anbieter übernommen.
2.2 OAuth-Authentifizierungsdaten
Bei Anmeldung über einen externen Anbieter (Google oder Discord) werden folgende Daten vom jeweiligen Anbieter an uns übermittelt:
| Datenkategorie | Anbieter | Zweck |
|---|---|---|
| OAuth-Nutzer-ID | Google / Discord | Eindeutige Zuordnung des externen Accounts |
| E-Mail-Adresse | Google / Discord | Kontoverknüpfung, Kommunikation |
| Anzeigename | Google / Discord | Vorgeschlagener Anzeigename bei Registrierung |
| Profilbild-URL | Google / Discord | Wird nicht gespeichert, nur während OAuth-Flow angezeigt |
Die OAuth-Authentifizierung wird über Supabase Auth abgewickelt. Die Datenschutzrichtlinien der Anbieter gelten zusätzlich: Google, Discord.
2.3 Spielstatistiken und virtuelle Währung
| Datenkategorie | Erhoben durch | Zweck |
|---|---|---|
| Spielergebnisse (Score, Siege, Niederlagen) | Automatisch | Ranglisten, Spielfortschritt |
| Spielrolle (z.B. Mastermind, Traitor) | Automatisch | Spielmechanik, Statistiken |
| Coins-Kontostand & Transaktionen | Automatisch | Virtuelle Währung, Ranglisten |
| Einsätze und Gewinne (Coins) | Automatisch | Spielmechanik, Statistiken |
| Casino-Spielverlauf (Einsatz, Gewinn, Multiplikator) | Automatisch | Spielmechanik, Fairness-Nachweis |
| XP-Punkte & Rang | Automatisch | Gamification, öffentliches Profil |
| Erfolge (Achievements) | Automatisch | Gamification |
Coins sind eine ausschließlich virtuelle Plattformwährung ohne monetären Gegenwert. Alle Coin-Transaktionen werden mit Betrag, Grund und Zeitstempel protokolliert.
2.4 Technische Sitzungsdaten (Aktivitätstracking)
| Datenkategorie | Pflicht? | Zweck |
|---|---|---|
| IP-Adresse (Sitzung) | Automatisch | Technisch notwendig, Sicherheit |
| Browser & Version | Automatisch | Sicherheit, Kompatibilität |
| Betriebssystem | Automatisch | Sicherheit, Kompatibilität |
| Gerätetyp (Desktop / Mobil / Tablet) | Automatisch | Nutzungsanalyse |
| Ungefährer Standort (Land, Stadt – aus IP) | Automatisch | Nutzungsanalyse, Sicherheit |
| User-Agent-String | Automatisch | Sicherheit, technische Analyse |
| Besuchte Unterseiten & Referrer | Automatisch | Nutzungsanalyse, Fehlerbehebung |
| Geräte-ID (lokal generiert) | Automatisch | Sitzungszuordnung |
Die Sitzungsdaten werden pro Nutzersitzung erfasst und nach 7 Tagen automatisch gelöscht. Admin-Seiten werden vom Tracking ausgenommen.
2.5 Kommunikationsdaten
| Datenkategorie | Erhoben durch | Zweck |
|---|---|---|
| Globale Chat-Nachrichten | Nutzerinteraktion | Plattformbetrieb, Kommunikation |
| Direktnachrichten (DMs) | Nutzerinteraktion | Private Kommunikation zwischen Nutzern |
| In-Game-Chat (z.B. Roulette) | Nutzerinteraktion | Spielkommunikation |
| Support-Tickets & Nachrichtenverlauf | Nutzerinteraktion | Kundensupport, Einspruchsbearbeitung |
| Meldungen (Reports) & Chat-Kontext | Nutzerinteraktion | Moderation, Plattformsicherheit |
| Passwort-Reset-Anfragen | Nutzerinteraktion | Identitätsverifizierung, Kontowiederherstellung |
2.6 Moderationsdaten
| Datenkategorie | Erhoben durch | Zweck |
|---|---|---|
| Stummschaltungsdauer & -grund | Plattformbetrieb | Moderation, Transparenz |
| Sperr-Grund & Ablaufdatum | Plattformbetrieb | Moderation, Einspruchsbearbeitung |
| Ausführender Moderator | Plattformbetrieb | Nachvollziehbarkeit |
| Blockierliste | Nutzerinteraktion | Schutz vor unerwünschten Kontakten |
2.7 Zwei-Faktor-Authentifizierung (2FA)
Bei aktivierter 2FA werden zeitlich begrenzte Einmal-Codes (6 Ziffern) generiert und per E-Mail zugestellt. Diese Codes sind 10 Minuten gültig und werden nach Verwendung oder spätestens nach 1 Stunde automatisch gelöscht. Es werden maximal 5 Verifizierungsversuche pro 5 Minuten zugelassen. Neue Codes können frühestens nach 30 Sekunden angefordert werden.
Passwörter werden ausschließlich als bcrypt-Hash (Kostenfaktor 12) gespeichert — das Klartext-Passwort ist uns nicht bekannt und nicht wiederherstellbar.
Die Verarbeitung personenbezogener Daten erfolgt auf folgenden Rechtsgrundlagen:
Personenbezogene Daten werden gespeichert, solange der Account aktiv ist. Nach Account-Löschung werden alle personenbezogenen Daten innerhalb von 30 Tagen unwiderruflich gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Die Plattform verwendet ausschließlich technisch notwendige Cookies und lokale Speicherung:
Server-seitige Cookies
| Cookie | Typ | Zweck | Laufzeit |
|---|---|---|---|
| vault_session | httpOnly | Authentifizierung / Sitzungsverwaltung (JWT) | 7 Tage |
| pending_2fa | httpOnly | Temporärer Status während 2FA-Verifizierung | 10 Minuten |
Client-seitige Speicherung (localStorage)
| Schlüssel | Zweck | Laufzeit |
|---|---|---|
| vault_cookies_accepted | Zeitstempel der Cookie-Einwilligung | 7 Tage (danach erneute Zustimmung) |
| _vault_did | Lokal generierte Geräte-ID für Sitzungszuordnung | Bis zur manuellen Löschung |
| game_session_{code} | Multiplayer-Spielsitzungsdaten | Bis zur manuellen Löschung |
| player_id_{code} | Spieler-ID in Spielräumen | Bis zur manuellen Löschung |
Es werden keine Tracking-Cookies, Werbe-Cookies oder Third-Party-Cookies eingesetzt. Es findet kein Transfer von Nutzerdaten an Werbeplattformen statt.
Zur Bereitstellung der Plattform nutzen wir folgende Dienstleister:
| Dienstleister | Zweck | Standort | Datenschutz |
|---|---|---|---|
| Supabase Inc. | Datenbank, OAuth-Authentifizierung, Echtzeit-Kommunikation | USA (EU-SCC) | Datenschutz |
| Resend Inc. | E-Mail-Versand (2FA-Codes, Passwort-Reset, Sicherheitswarnungen, Newsletter) | USA (EU-SCC) | Datenschutz |
| Vercel Inc. | Web-Analytics & Performance-Monitoring (anonymisiert) | USA (EU-SCC) | Datenschutz |
| Hostinger International Ltd. | Server-Hosting (VPS) | Litauen (EU) | Datenschutz |
Die Datenübermittlung in die USA erfolgt auf Grundlage von EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO. Eine Weitergabe an sonstige Dritte erfolgt nicht, es sei denn, wir sind gesetzlich dazu verpflichtet.
Der Versand von E-Mails erfolgt über den Dienstleister Resend. Folgende E-Mail-Typen werden versendet:
Absenderadresse: noreply@mxlx.io. Der Newsletter kann jederzeit im Profil abbestellt werden.
Die Plattform nutzt Vercel Analytics und Vercel Speed Insights zur anonymisierten Erfassung von Seitenaufrufen und Performance-Daten. Es werden dabei keine personenbezogenen Daten an Vercel übermittelt, die eine direkte Identifizierung einzelner Nutzer ermöglichen. Es werden keine Cookies durch diese Dienste gesetzt.
Zusätzlich erfasst die Plattform eigene Sitzungsdaten (siehe Abschnitt 2.4), die nach 7 Tagen gelöscht werden.
Wir setzen folgende technische und organisatorische Maßnahmen zum Schutz deiner Daten ein:
Du hast folgende Rechte bezüglich deiner gespeicherten Daten:
Zur Ausübung dieser Rechte wende dich an: support@mxlx.io. Wir werden dein Anliegen unverzüglich, spätestens innerhalb eines Monats, bearbeiten.
Die Plattform richtet sich an Personen ab 13 Jahren. Personen unter 18 Jahren benötigen die Zustimmung eines Erziehungsberechtigten. Wir erheben wissentlich keine Daten von Kindern unter 13 Jahren. Sollte uns bekannt werden, dass ein Kind unter 13 Jahren Daten übermittelt hat, werden diese umgehend gelöscht.
Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. In Deutschland ist dies der/die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) oder die zuständige Landesbehörde deines Bundeslandes.
Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an aktuelle rechtliche Anforderungen anzupassen oder Änderungen unserer Leistungen umzusetzen. Die aktuelle Version ist stets unter mxlx.io/datenschutz abrufbar.