Datenschutzerklärung

1. Datenschutz auf einen Blick

Diese Datenschutzerklärung informiert darüber, wie wir personenbezogene Daten verarbeiten, wenn du Runestone Realm besuchst und nutzt. Runestone Realm ist ein KI-gestützter Dienst für interaktive Geschichten: Eine KI erzeugt auf Grundlage deiner Eingaben Erzähltext, Sprachausgabe und Soundeffekte. Zur Erbringung dieser Leistung werden Inhalte an spezialisierte Drittanbieter übermittelt (siehe Abschnitt 5).

2. Verantwortliche Stelle

Stixlieber UG (haftungsbeschränkt)
Fuldastraße 57, 56410 Montabaur, Deutschland
Vertreten durch den Geschäftsführer Julian Ernst
Telefon: 0174 9211830 · E-Mail: support@runestonerealm.com

Einen Datenschutzbeauftragten haben wir nicht bestellt, da hierfür keine gesetzliche Pflicht besteht.

3. Rechtsgrundlagen und Speicherdauer

Wir verarbeiten personenbezogene Daten auf folgenden Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. b DSGVO (Vertrag): zur Bereitstellung des Spiel- und Account-Dienstes;
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): IT-Sicherheit, Missbrauchs- und Betrugsabwehr, Stabilität und Verbesserung;
• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Pflicht): z. B. steuerliche Aufbewahrung, Meldung rechtswidriger Inhalte;
• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): soweit wir dich für eine bestimmte Verarbeitung gesondert um Einwilligung bitten. Eine Einwilligung kannst du jederzeit mit Wirkung für die Zukunft widerrufen.

Speicherdauer: Sofern nicht anders genannt, speichern wir personenbezogene Daten, bis der Zweck entfällt (z. B. bis zur Löschung deines Kontos) oder du ein berechtigtes Löschersuchen stellst, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

4. Website und Endgerät

Hosting (Hetzner, Deutschland): Wir hosten bei der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen. Beim Betrieb anfallende technische Verbindungsdaten werden auf Grundlage von Art. 6 Abs. 1 lit. f bzw. lit. b DSGVO verarbeitet; es besteht ein Auftragsverarbeitungsvertrag.

Cookies und lokale Speicherung: Wir verwenden ausschließlich technisch notwendige Cookies. Diese sind für den Betrieb und die von dir gewünschten Funktionen erforderlich (§ 25 Abs. 2 Nr. 2 TDDDG, Art. 6 Abs. 1 lit. f DSGVO). Da wir keine Analyse-, Tracking- oder Marketing-Cookies einsetzen, ist kein Cookie-Einwilligungs-Banner erforderlich. Technische Einstellungen (z. B. Designvorwahl, Altersbestätigung) werden lokal in deinem Browser gespeichert und verlassen dein Endgerät nicht.

Keine Analyse-/Tracking-Tools: Wir setzen keine Webanalyse-, Tracking- oder Werbedienste ein und binden keine Drittinhalte (z. B. externe Schriftarten, Karten, Social-Media-Plugins) zur Laufzeit ein.

5. Account, Spielbetrieb und KI-Verarbeitung

Registrierung und Anmeldung: Zur Nutzung registrierst du dich mit deiner E-Mail-Adresse. Die Anmeldung erfolgt per Passwort (gespeichert ausschließlich als Bcrypt-Hash, niemals im Klartext) und/oder per Magic-Link. Der E-Mail-Versand erfolgt über Brevo (Sendinblue SAS, Frankreich) als Auftragsverarbeiter. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Spielsitzungen und Turns: Wir speichern deine Sitzungen und Turns: deine Eingaben (getippter oder per Spracherkennung übermittelter Text), die KI-Erzählung, den Spielfortschritt, die gewählte Sprache, Audio-Präferenzen sowie technische Verarbeitungsdaten (z. B. Modell, Token-/Zeichenanzahl, Zeitmessung). Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO. Bitte gib in den Spieltext keine sensiblen Daten ein, die nicht erforderlich sind.

Übermittlung an KI-Anbieter (Erzählung): Zur Erzeugung der Geschichte werden dein Eingabetext und der nötige Gesprächskontext über den Router OpenRouter (OpenRouter, Inc., USA) an Sprachmodelle übermittelt. Wir haben OpenRouter so konfiguriert, dass keine Speicherung über die Bearbeitung hinaus erfolgt („Zero Data Retention") und die Inhalte nicht zum Training von KI-Modellen verwendet werden. Deine E-Mail-Adresse oder Konto-Identität wird dabei nicht übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Sprachausgabe: Für die Sprachausgabe wird der von der KI erzeugte Erzähltext (nicht deine Eingabe) an einen Dienstleister für Sprachsynthese mit Sitz in den USA übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Spracheingabe (Voice Input): Die Umwandlung von Sprache in Text erfolgt in deinem Browser über die Spracherkennung deines Browsers/Geräts (Web Speech API). Je nach Browser (z. B. Google Chrome) kann der Browserhersteller die Audiodaten hierfür auf eigenen Servern verarbeiten; dies geschieht im Verantwortungsbereich deines Browseranbieters. An uns wird nur der fertige Text übermittelt, nicht die Audioaufnahme.

Drittlandübermittlung: Bei der Nutzung von Drittanbieter-Diensten kann es zu Übermittlungen in Drittländer kommen; wir sind um geeignete Garantien bemüht.

6. Zahlungen / Abonnement (Creem)

Zahlungen für Abonnements werden über Creem (Armitage Labs OÜ, Telliskivi 57b/1, 10412 Tallinn, Estland) als Merchant of Record abgewickelt. Der Kaufvertrag kommt mit Creem zustande. Wir erheben und speichern keine vollständigen Zahlungs-/Kartendaten. Creem verarbeitet deine Zahlungs- und Rechnungsdaten nach seiner eigenen Datenschutzerklärung. Von Creem erhalten wir nur eine Kundenkennung, den Abonnementstatus und die zur Bereitstellung des Abonnements erforderlichen Informationen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

7. Missbrauchsabwehr und Inhaltsmoderation

IP-Adressen / Rate-Limiting: Zum Schutz vor Missbrauch verarbeiten wir deine IP-Adresse temporär im Arbeitsspeicher unseres Servers (nicht in einer Datenbank, nicht in Logdateien), auf Grundlage unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO). IP-Adressen werden spätestens nach 30 Minuten automatisch gelöscht, nicht mit deinem Konto verknüpft und nicht zu anderen Zwecken verwendet.

Inhaltskennzeichnungen: Zur Durchsetzung unserer Nutzungsbedingungen kann pro Turn automatisiert gekennzeichnet werden, ob eine Eingabe auf einen Verstoß hindeutet. Wir speichern diese Kennzeichnungen zusammen mit dem betreffenden Turn, um Verstöße zu prüfen, Konten zu warnen/zu sperren und rechtlichen Pflichten nachzukommen (Art. 6 Abs. 1 lit. f und lit. c DSGVO). Sexuelle Inhalte mit Bezug zu Minderjährigen sind absolut verboten; entsprechende Vorfälle melden wir, soweit gesetzlich erforderlich, den zuständigen Behörden.

8. Speicherdauer im Überblick

• Kontodaten (E-Mail, Passwort-Hash, Abostatus): bis zur Löschung des Kontos bzw. solange gesetzliche Aufbewahrungspflichten bestehen.
• Sitzungen/Turns: bis zur Löschung des Kontos; wir behalten uns vor, Inhalte zur Sicherheit, zur Durchsetzung der Regeln und zur Verbesserung des Dienstes vorzuhalten.
• Erzeugte Audiodateien: für die Dauer der Nutzung; sie können aus technischen Gründen nach unserem Ermessen gelöscht werden, spätestens mit Löschung deines Kontos.
• Anonyme Spielsitzungen: automatische Löschung nach 7 Tagen.
• IP-Adressen (Rate-Limiting): max. 30 Minuten im Arbeitsspeicher.
• Zahlungsbezogene Aufzeichnungen: nach den geltenden steuer-/handelsrechtlichen Fristen.

9. Verbesserung des Dienstes

Wir können pseudonymisierte bzw. aggregierte Nutzungs- und Inhaltsdaten zur Analyse, Fehlerbehebung und Verbesserung des Dienstes verarbeiten (Art. 6 Abs. 1 lit. f DSGVO).

10. Deine Rechte

Du hast nach Maßgabe der DSGVO jederzeit das Recht auf:

• Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18);
• Datenübertragbarkeit (Art. 20);
• Widerspruch gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f (Art. 21);
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft.

Konto und Daten löschen: Du kannst dein Konto jederzeit selbst löschen — unter Profil → Account → „Delete account". Dabei werden dein Konto und die zugehörigen personenbezogenen Daten (Spielstände, Verlauf, generierte Audiodateien) unwiderruflich gelöscht. Ein laufendes Abonnement wird dabei gekündigt und der Zugang endet sofort; eine Erstattung bereits gezahlter Beträge für den laufenden Abrechnungszeitraum erfolgt nicht, da wir den Dienst ohne Konto nicht mehr bereitstellen können (Einzelheiten in § 4 unserer AGB). Alternativ kannst du die Löschung per E-Mail an support@runestonerealm.com verlangen; wir setzen dies ohne schuldhaftes Zögern, spätestens binnen eines Monats (Art. 12 Abs. 3 DSGVO), um.

Beschwerderecht: Dir steht ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde zu. Für uns zuständig ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (Hintere Bleiche 34, 55116 Mainz). Du kannst dich auch an die Aufsichtsbehörde deines üblichen Aufenthaltsorts wenden.

11. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein, u. a. TLS-Verschlüsselung, gehashte Passwörter (Bcrypt), HTTP-Only- und Secure-Cookies, eine Content-Security-Policy sowie Rate-Limiting. Ein lückenloser Schutz von Daten bei der Übertragung im Internet ist gleichwohl nicht möglich.

12. Empfänger / Auftragsverarbeiter

13. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich die Datenverarbeitung ändert oder dies rechtlich erforderlich ist. Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar.