Datenschutzerklärung

2.1 Pflichtangaben bei Registrierung

• Benutzername
• E-Mail-Adresse
• Passwort (gehashed mit bcrypt)
• IP-Adresse (bei Registrierung)

2.2 Optionale Angaben

• Vor- und Nachname
• Sprach- und Theme-Einstellungen
• Discord-Account-Verknüpfung (Discord-ID, Benutzername, Avatar)
• Passkeys/WebAuthn-Credentials (für biometrische Authentifizierung)

2.3 Automatisch erfasste Daten

• Session-Daten: IP-Adresse, User-Agent, Standort (Stadt/Land via ip-api.com), Gerätetyp, Login-Zeitpunkt
• Activity Logs: Benutzeraktionen im Panel (Server-Start/-Stop, Datei-Änderungen, Einstellungsänderungen, API-Zugriffe)
• Server-Nutzungsdaten: CPU, RAM, Disk, Netzwerk-Statistiken, Backups, Datenbanken
• E-Mail-Tracking: Öffnungsrate von System-E-Mails (optional, via Tracking-Pixel)
• Ticket-System: Support-Tickets, Anhänge, Kommentare, IP-Adresse bei Ticket-Erstellung

2.4 Spielspezifische Daten (Player Manager)

Bei Nutzung des Player Manager-Features werden folgende Daten verarbeitet:

• Minecraft Java/Bedrock: Spieler-UUID, Spielername, Inventar, Statistiken
• FiveM/GTA V: Spieler-Identifier, Charakter-Daten, Inventar

Diese Daten werden lokal auf Ihrem Server gespeichert und nicht an Dritte weitergegeben.

Hinweis zur Rollenverteilung (DSGVO):
Im Player-Manager-Kontext stellt PVQ lediglich die technische Infrastruktur bereit. Der Server-Betreiber ist Verantwortlicher im Sinne der DSGVO für die auf seinem Server verarbeiteten Spielerdaten. Server-Betreiber, die kommerziell oder mit echten Personendaten arbeiten, sind verpflichtet, einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO mit PVQ abzuschließen sowie ihre Spieler transparent über die Datenverarbeitung zu informieren (z.B. in Server-Regeln, MOTD oder eigenem Datenschutzhinweis).

6.1 ip-api.com (IP-Geolocation)

Anbieter: ip-api.com
Übermittelte Daten: IP-Adressen (zur Ermittlung von Land, Region, Stadt)
Zweck: Anzeige des Login-Standorts in der Session-Verwaltung, Sicherheitsprüfung
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit)
Drittland-Transfer: ip-api.com ist ein US-amerikanischer Anbieter. Für die Übermittlung liegen keine Standardvertragsklauseln (SCC) und kein DPF-Zertifikat vor – die Übermittlung erfolgt auf Basis von Art. 49 Abs. 1 lit. b DSGVO (Erforderlichkeit zur Vertragserfüllung, Session-Sicherheit) und nach ausdrücklicher Information des Nutzers. Es werden ausschließlich IP-Adressen zur Geolokalisierung übermittelt, keine weiteren personenbezogenen Daten.
Datenschutzerklärung: ip-api.com/docs/legal
Hinweis: Die Geolocation-Funktion kann nicht vollständig deaktiviert werden, da sie für die Session-Sicherheit erforderlich ist. Auf Wunsch kann der Nutzer der Verarbeitung über den Support widersprechen – in diesem Fall steht keine Standort-Anzeige bei Logins zur Verfügung.

6.2 Unsplash API (Background-Bilder im Theme Builder)

Anbieter: Unsplash Inc., 1000 Broadway, Suite 300, Oakland, CA 94607, USA
Übermittelte Daten: IP-Adresse, Suchanfragen, ausgewählte Bilder
Zweck: Bereitstellung lizenzfreier Hintergrundbilder für die Personalisierung des Panels
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an benutzerfreundlicher Gestaltung)
Drittland-Transfer: Unsplash Inc. ist ein US-amerikanischer Anbieter. Die Datenübermittlung erfolgt auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).
Datenschutzerklärung: unsplash.com/privacy

6.3 AbuseIPDB API (IP-Reputationsprüfung für Node-Betreiber)

Anbieter: Marathon Studios Inc., USA
Übermittelte Daten: IP-Adressen von Server-Verbindungen (nur für Node-Besitzer sichtbar)
Zweck: Erkennung und Blockierung von Missbrauch, Schutz vor Angriffen
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit der Infrastruktur)
Drittland-Transfer: Marathon Studios Inc. ist ein US-amerikanischer Anbieter. Die Datenübermittlung erfolgt auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).
Datenschutzerklärung: abuseipdb.com/privacy

6.4 Cloudflare Turnstile (CAPTCHA/Bot-Schutz)

Anbieter: Cloudflare Inc., 101 Townsend St., San Francisco, CA 94107, USA
Übermittelte Daten: IP-Adresse, Browser-Fingerprint, Interaktionsdaten
Zweck: Schutz vor automatisierten Angriffen, Spam-Prävention
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Systemsicherheit)
Drittland-Transfer: Cloudflare Inc. ist ein US-amerikanischer Anbieter, der unter dem EU-US Data Privacy Framework (DPF) zertifiziert ist. Der Transfer in die USA ist daher auf Basis des Angemessenheitsbeschlusses der EU-Kommission (Art. 45 DSGVO) zulässig.
Datenschutzerklärung: cloudflare.com/privacypolicy

6.5 CurseForge API (Minecraft Mod-Download, optional)

Anbieter: Overwolf Ltd., Israel
Übermittelte Daten: IP-Adresse, Suchanfragen, Mod-IDs
Zweck: Bereitstellung von Minecraft-Mods und Modpacks
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Benutzerfreundlichkeit)
Datenschutzerklärung: curseforge.com/privacy

10.1 Cookie-Banner (Einwilligungs-Management)

Beim ersten Aufruf des Panels erscheint ein DSGVO-konformer Cookie-Banner mit drei klar getrennten Kategorien:

• Notwendig (immer aktiv): Sitzungs-Cookies und CSRF-Schutz – zwingend erforderlich für den Betrieb.
• Funktional (optional): Sprache, Theme, Seitenleisten-Status – nur nach ausdrücklicher Einwilligung gesetzt.
• Extern (Pflicht): Cloudflare-Sicherheits-Cookies (__cf_bm, cf_clearance) – technisch bedingt und nicht deaktivierbar.

Der Banner bietet zwei gleichwertige Buttons: "Nur notwendige" und "Alle akzeptieren". Die Wahl wird im LocalStorage des Browsers gespeichert und kann jederzeit über die Datenschutz-Einstellungen widerrufen werden.

Rechtsgrundlage: §25 Abs. 1 TTDSG (Einwilligung) für funktionale Cookies, §25 Abs. 2 Nr. 2 TTDSG (technische Notwendigkeit) für notwendige und externe Sicherheits-Cookies.

10.2 Technisch notwendige Cookies (§25 Abs. 2 Nr. 2 TTDSG, Art. 6 Abs. 1 lit. b DSGVO)

• pterodactyl_session: Session-Cookie für Login-Status (7 Tage)
• XSRF-TOKEN: CSRF-Schutz (Session-basiert)
• remember_web: "Angemeldet bleiben" Token (30 Tage, optional)
• cookie_consent: Speicherung der Cookie-Entscheidung im LocalStorage (12 Monate)

10.3 Funktionale Cookies (§25 Abs. 1 TTDSG – nur nach Einwilligung)

Diese Cookies werden nur gesetzt, nachdem der Nutzer "Alle akzeptieren" im Cookie-Banner gewählt hat:

• locale: Spracheinstellung (365 Tage)
• theme_settings: Theme-Präferenzen (365 Tage)
• sidebar_state: Sidebar-Zustand (365 Tage)

Bei Wahl "Nur notwendige" werden diese Cookies nicht gesetzt; entsprechende Einstellungen werden nur für die laufende Sitzung gespeichert.

10.4 Externe Sicherheits-Cookies (§25 Abs. 2 Nr. 2 TTDSG)

• Cloudflare (__cf_bm, cf_clearance): Bot-Schutz und DDoS-Mitigation – technisch bedingt nicht deaktivierbar.

10.5 Widerruf der Einwilligung

Die Cookie-Einwilligung kann jederzeit widerrufen werden:

• Über den Cookie-Banner (nach Löschen des LocalStorage-Eintrags cookie_consent)
• Direkt im Browser über die Cookie-Verwaltung
• Über die Account-Einstellungen → Datenschutz

11.1 Verschlüsselung & Sicherheit

• SSL/TLS-Verschlüsselung (Let's Encrypt) für alle Verbindungen
• Passwort-Hashing mit bcrypt (Cost: 12)
• 2-Faktor-Authentifizierung (TOTP via Google Authenticator)
• Passkeys/WebAuthn (biometrische Authentifizierung)
• API-Key-Verschlüsselung (AES-256)
• Backup-Speicherung: Backups werden unverschlüsselt auf einer separaten Backup-Node gespeichert. Sicherheitsmaßnahmen gemäß DSGVO Art. 32:
  • Zugriffskontrolle: Nur der jeweilige Node-Besitzer kann auf seine Backups zugreifen
  • Systemseitige Trennung: Backup-Node ist physisch und logisch von anderen Nodes getrennt
  • Verschlüsselung in Transit: Backup-Übertragung erfolgt verschlüsselt (HTTPS/SFTP)
  • Zugriffsprotokolle: Alle Backup-Zugriffe werden protokolliert
  • Optional: Nutzer können Daten serverseitig vor Backup-Erstellung selbst verschlüsseln

11.2 Zugriffskontrolle & Monitoring

• Rate Limiting (z.B. 5 Login-Versuche/5 Min)
• Firewall-Regeln bei Bruteforce-Versuchen
• Activity Logging (90-Tage-Protokoll aller Benutzeraktionen)
• Session-Management (automatisches Logout nach Inaktivität)
• IP-Whitelisting für kritische Operationen (optional)

11.3 Datensparsamkeit & Berechtigungen

• Rollenbasierte Zugriffskontrolle (Admin, Moderator, User)
• Minimale Datenerhebung (nur erforderliche Felder)
• Opt-in für optionale Features (Discord, E-Mail-Tracking)

12.1 Auskunftsrecht (Art. 15 DSGVO)

Sie können jederzeit Auskunft über Ihre gespeicherten Daten anfordern. PVQ bietet ein automatisiertes DSGVO-Auskunftssystem an:

• Account-Einstellungen → "DSGVO-Auskunft anfordern"
• E-Mail-Verifizierung erforderlich (Schutz vor Missbrauch)
• Export-Format: Excel (.xlsx) mit 17 Datenkategorien
• Rate Limit: 1x pro 7 Tage

12.2 Berichtigungsrecht (Art. 16 DSGVO)

Fehlerhafte Daten können jederzeit in den Account-Einstellungen korrigiert werden.

12.3 Löschungsrecht (Art. 17 DSGVO)

Sie können Ihren Account jederzeit löschen:

• Account-Einstellungen → "Account löschen"
• Alle Daten werden innerhalb von 30 Tagen gelöscht
• Backups werden nach Ablauf der Backup-Retention gelöscht

Ausnahme: Daten, die aufgrund gesetzlicher Aufbewahrungsfristen gespeichert werden müssen (z.B. Rechnungen).

12.4 Widerspruchsrecht (Art. 21 DSGVO)

Sie können der Verarbeitung Ihrer Daten widersprechen, soweit diese auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO erfolgt.

12.5 Datenübertragbarkeit (Art. 20 DSGVO)

Sie können Ihre Daten in einem maschinenlesbaren Format (Excel) exportieren (siehe 12.1).

12.6 Beschwerderecht

Direkte Kontaktaufnahme (empfohlen für schnelle Lösungen)

Sie haben jederzeit das Recht, sich ohne Vorbedingungen an die zuständige Aufsichtsbehörde zu wenden. Für eine schnelle und unkomplizierte Lösung empfehlen wir Ihnen, sich optional zunächst direkt an uns zu wenden. Wir nehmen Datenschutzanliegen sehr ernst und bearbeiten Ihre Anfrage in der Regel innerhalb von 24-48 Stunden.

Direkter Kontakt (empfohlen):
Paul Schwarz
E-Mail: kontakt@pavl21.de
Telefon: 01759010672
Reaktionszeit: In der Regel 24-48 Stunden

Die meisten Anliegen können wir auf diesem Weg schnell und unkompliziert klären. Der Weg über eine Aufsichtsbehörde kann mehrere Wochen oder Monate in Anspruch nehmen.

Aufsichtsbehörde (bei nicht zufriedenstellender Lösung):
Sollten Sie mit unserer Antwort nicht zufrieden sein oder keine Antwort innerhalb von 30 Tagen erhalten haben, haben Sie selbstverständlich das Recht, sich an die zuständige Datenschutz-Aufsichtsbehörde zu wenden:

Landesbeauftragter für Datenschutz Mecklenburg-Vorpommern
Werderstraße 74a, 19055 Schwerin
Telefon: 0385 59494-0
E-Mail: info@datenschutz-mv.de
Website: www.datenschutz-mv.de

Hinweis: Eine Beschwerde bei der Aufsichtsbehörde steht Ihnen jederzeit offen, auch parallel zur direkten Kontaktaufnahme mit uns.