PIXELBOT

Datenschutzerklärung

1. Verantwortlicher

Beard Company
Sebastian Domscheit
c/o krsm Softwareschmiede GmbH
Hüttenstraße 4
40215 Düsseldorf
Deutschland

E-Mail: info@beard-company.de

2. Geltungsbereich

Diese Datenschutzerklärung gilt für alle Dienste des Pixel-Ökosystems:

  • pixelbot.pro — PIXELBOT Discord Dashboard
  • tcg.pixelbot.pro — TCG.PIXELBOT Trading Card Game
  • id.pixelbot.pro — Pixel SSO (Single Sign-On)
  • Alle weiteren Subdomains von pixelbot.pro

3. Hosting

Unsere Dienste werden bei der Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, Deutschland) gehostet. Mit Hetzner besteht ein Auftragsverarbeitungsvertrag (AV-Vertrag) gemäß Art. 28 DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer zuverlässigen und sicheren Bereitstellung unserer Dienste).

4. Erhebung und Verarbeitung personenbezogener Daten

a) Automatisch bei Website-Nutzung

Bei jedem Zugriff auf unsere Dienste werden folgende Daten automatisch erfasst:

  • IP-Adresse
  • Datum und Uhrzeit des Zugriffs
  • Browser-Typ und -Version
  • Aufgerufene Seiten und Ressourcen

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherstellung des Betriebs).

b) Pixel SSO (id.pixelbot.pro)

Bei der Nutzung unseres zentralen Anmeldesystems werden folgende Daten verarbeitet:

  • Anzeigename, E-Mail-Adresse, Avatar
  • Geburtsdatum (optional, Tag/Monat/Jahr)
  • Verknüpfte Accounts:
    • Login-Provider: Discord (User-ID, Username, Avatar), Twitch (User-ID, Username, Avatar)
    • Gaming-Plattformen (nur Verknüpfung): Steam, Battle.net, Riot Games
    • Musik-Plattformen (nur Verknüpfung): Spotify, YouTube, Apple Music, SoundCloud, Suno AI
  • OAuth Access-Tokens und Refresh-Tokens (verschlüsselt gespeichert mittels libsodium)
  • Sessions: IP-Adresse, User-Agent, Session-Token (als SHA-256-Hash in der Datenbank gespeichert)
  • Audit-Log: Login-Events, Account-Verknüpfungen, zugehörige IP-Adressen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. a DSGVO (Einwilligung bei OAuth-Verknüpfungen).

c) PIXELBOT Discord Dashboard (pixelbot.pro)

Bei der Nutzung des Discord Dashboards werden folgende Daten verarbeitet:

  • Discord-User-ID, Username, Avatar
  • Discord-Server-Mitgliedschaften und Rollen
  • Nutzungsdaten: Ticket-Nachrichten, DM-Konversationen, Gewinnspiel-Teilnahmen, Umfragen-Stimmen
  • Bug Reports und Vorschläge (Bereich, Beschreibung, Server-Kontext)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

d) TCG.PIXELBOT (tcg.pixelbot.pro)

Bei der Nutzung des Trading Card Games werden folgende Daten verarbeitet:

  • Twitch-User-ID, Username, Avatar (über SSO)
  • Kartensammlung, Pack-Öffnungen, Marktplatz-Aktivitäten
  • PIXEL-Guthaben und Transaktionshistorie
  • Hochgeladene Bilder (Karten- und Deck-Cover)
  • Benachrichtigungen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

e) Zahlungen (Stripe)

Die Zahlungsabwicklung erfolgt über Stripe, Inc. (354 Oyster Point Blvd, South San Francisco, CA 94080, USA).

  • Stripe erhält: Name, E-Mail-Adresse, Zahlungsdaten
  • Wir speichern: Stripe Customer-ID, Subscription-ID, Abo-Status, Abo-Tier
  • Kreditkarten- oder Bankdaten werden nicht bei uns gespeichert

Drittlandsübermittlung: Stripe ist nach dem EU-U.S. Data Privacy Framework zertifiziert (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023). Ergänzend kommen Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) zur Anwendung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

f) KI-gestützte Aufarbeitung interner Tickets (Anthropic)

Bug-Reports, Feature-Vorschläge und Ideen, die Nutzer über die Plattform einreichen, werden intern mit einem KI-Werkzeug (Anthropic Claude der Anthropic, PBC, 548 Market St, PMB 90375, San Francisco, CA 94104, USA) vorab analysiert, bevor der Betreiber sie manuell bearbeitet.

  • An Anthropic übermittelt werden: Titel und Beschreibung des Reports, ggf. der Benutzername des Einreichers (Discord-Username oder SSO-Anzeigename)
  • Endpoint: api.eu.anthropic.com (Anthropic EU-Region) — Verarbeitung primär innerhalb der EU
  • Anthropic verwendet diese Daten gemäß seinen API-Bedingungen nicht für Modell-Training
  • Es erfolgt keine automatisierte Entscheidung mit rechtlicher Wirkung — das Tool unterstützt nur die Vorab-Analyse; jede konkrete Maßnahme (Annahme, Ablehnung, Umsetzung) trifft der Betreiber manuell

Drittlandsübermittlung: Anthropic ist nach dem EU-U.S. Data Privacy Framework zertifiziert; ergänzend gelten Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Bearbeitung von Nutzer-Meldungen).

g) Code-Hosting (GitHub)

Der Quellcode der Plattform und die daraus entstehenden Code-Änderungen werden bei GitHub, Inc. (88 Colin P Kelly Jr St, San Francisco, CA 94107, USA) gehostet — sämtliche Repositories sind privat.

  • Bezüge zu Nutzer-Meldungen können in Commit-Messages oder Pull-Request-Beschreibungen auftauchen (z.B. der Benutzername des Einreichers eines Bug-Reports)
  • Es handelt sich nicht um nutzergenerierten Content im engeren Sinne — der Verarbeitungszweck ist Versionierung interner Code-Änderungen

Drittlandsübermittlung: GitHub ist nach dem EU-U.S. Data Privacy Framework zertifiziert (über Microsoft Corporation); ergänzend gelten Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer nachvollziehbaren Versionsverwaltung).

5. Cookies und lokale Speicherung

  • pixel_sid — Session-Cookie auf .pixelbot.pro (HttpOnly, Secure, SameSite=Lax, Gültigkeit 30 Tage). Dieses Cookie ist technisch notwendig für die Authentifizierung über alle Pixel-Dienste hinweg.
  • localStorage im TCG für JWT-Token und Benutzereinstellungen (clientseitig, wird nicht an den Server übertragen).

Wir verwenden keine Tracking-Cookies, keine Analytics-Tools, kein Google Analytics und kein Facebook Pixel.

6. Weitergabe an Dritte

Personenbezogene Daten werden nur an folgende Dritte weitergegeben, soweit dies für den Betrieb unserer Dienste erforderlich ist:

  • Hetzner Online GmbH — Hosting (AV-Vertrag vorhanden, EU)
  • Twitch Interactive, Inc. — OAuth-Authentifizierung, Channel Points API (USA)
  • Discord Inc. — OAuth-Authentifizierung, Bot-API (USA)
  • Stripe, Inc. — Zahlungsabwicklung (USA, EU-U.S. DPF)
  • Anthropic, PBC — KI-gestützte interne Analyse von Bug-Reports und Vorschlägen (USA, EU-U.S. DPF; Verarbeitung primär über EU-Endpoint)
  • GitHub, Inc. — Code-Hosting in privaten Repositories (USA, EU-U.S. DPF)
  • Valve Corporation / Steam — OpenID-Verknüpfung (nur wenn vom Nutzer initiiert, USA)

Eine Weitergabe von Daten zu Werbezwecken findet nicht statt.

7. Cross-Service Datenfluss

  • Das Pixel-Ökosystem teilt eine zentrale Identität über Pixel SSO (id.pixelbot.pro).
  • Alle Services nutzen die gleiche Session (pixel_sid Cookie auf .pixelbot.pro).
  • Verknüpfte Account-Daten werden über Services hinweg genutzt (z.B. Discord-Avatar im TCG).
  • Jeder Service speichert nur die für seine Funktion notwendigen Daten.

8. Speicherdauer

  • Account-Daten: Solange das Benutzerkonto besteht.
  • Sessions: Maximal 30 Tage, danach automatisch gelöscht.
  • Audit-Log: 90 Tage.
  • Server-Logs: Maximal 30 Tage.
  • Bei Kontolöschung: Alle zugehörigen Daten werden gelöscht (Soft-Delete für 30 Tage, danach endgültige Löschung).

9. Deine Rechte (Art. 15-21 DSGVO)

Du hast jederzeit das Recht auf:

  • Auskunft (Art. 15 DSGVO) — Welche Daten wir über dich gespeichert haben.
  • Berichtigung (Art. 16 DSGVO) — Korrektur unrichtiger Daten.
  • Löschung (Art. 17 DSGVO) — Löschung deiner Daten, sofern keine gesetzliche Aufbewahrungspflicht besteht.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO).
  • Datenübertragbarkeit (Art. 20 DSGVO) — Erhalt deiner Daten in einem maschinenlesbaren Format.
  • Widerspruch (Art. 21 DSGVO) — Gegen die Verarbeitung auf Basis berechtigter Interessen.
  • Widerruf der Einwilligung — Jederzeit mit Wirkung für die Zukunft.

Zur Ausübung deiner Rechte wende dich an: info@beard-company.de

10. Beschwerderecht

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Postfach 20 04 44
40102 Düsseldorf
Website: www.ldi.nrw.de

10a. Drittlandsübermittlung (Art. 44 ff. DSGVO)

Im Rahmen unserer Dienste werden Daten teilweise in Drittländer (insbesondere die USA) übermittelt. Die Übermittlung erfolgt jeweils auf Basis geeigneter Garantien:

  • EU-U.S. Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023) für US-Anbieter, die unter dem DPF zertifiziert sind: Stripe, Anthropic, GitHub (über Microsoft).
  • Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) als ergänzende Garantie für alle US-Übermittlungen.
  • Für Anbieter ohne DPF-Zertifizierung (z.B. Twitch, Discord, Valve) gelten die jeweiligen Datenschutz-Bedingungen dieser Anbieter; bei OAuth-Verknüpfungen erfolgt die Übermittlung zudem auf Basis deiner ausdrücklichen Einwilligung (Art. 49 Abs. 1 lit. a DSGVO).

Eine vollständige Übersicht der eingesetzten Anbieter findest du oben unter Punkt 6.

10b. Automatisierte Entscheidungen und Profiling (Art. 22 DSGVO)

Es findet keine automatisierte Entscheidungsfindung mit rechtlicher Wirkung im Sinne von Art. 22 Abs. 1 DSGVO statt.

  • Es gibt keine automatischen Account-Sperrungen oder Bans — jede Maßnahme wird manuell vom Betreiber überprüft.
  • Tier-Wechsel (z.B. von Standard auf Creator-Tier) werden ausschließlich durch den Nutzer selbst ausgelöst (Bestellprozess) — es gibt keine automatischen Hoch- oder Herabstufungen aus Verhaltensdaten.
  • KI-Werkzeuge (vgl. Punkt 4f) werden ausschließlich zur internen Vorab-Aufarbeitung von Bug-Reports und Vorschlägen eingesetzt und treffen keine rechtlich wirksamen Entscheidungen über Nutzer.
  • Es findet kein Profiling im Sinne einer automatisierten Bewertung persönlicher Aspekte statt.

11. Sicherheit

Wir setzen folgende technische und organisatorische Maßnahmen zum Schutz deiner Daten ein:

  • HTTPS/TLS-Verschlüsselung für alle Dienste
  • Token-Verschlüsselung at rest mittels libsodium
  • Session-Rotation nach Authentifizierung
  • Rate Limiting zum Schutz vor Missbrauch
  • HTTP Strict Transport Security (HSTS)

12. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte Rechtslage oder Änderungen unserer Dienste anzupassen. Die aktuelle Fassung ist stets auf dieser Seite abrufbar.

Stand: Mai 2026