Datenschutzerklärung

Stand: Februar 2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Plattform ist:

EscapeMe
Klaus Wöss
Römerstraße 4
4020 Linz, Österreich

E-Mail: office@escapeme.at

2. Übersicht der Verarbeitungen

Diese Datenschutzerklärung informiert über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten (nachfolgend kurz „Daten“) im Rahmen der Bereitstellung der EscapeRank-Plattform gemäß der Datenschutz-Grundverordnung (DSGVO) und dem österreichischen Datenschutzgesetz (DSG).

Wir verarbeiten folgende Kategorien von Daten:

  • Bestandsdaten (z.B. Namen, Adressen)
  • Kontaktdaten (z.B. E-Mail-Adresse)
  • Inhaltsdaten (z.B. eingegebene Escape-Room-Zeiten, Bewertungen, Kommentare)
  • Nutzungsdaten (z.B. besuchte Seiten, Zugriffszeiten)
  • Meta-/Kommunikationsdaten (z.B. IP-Adressen, Geräteinformationen)
  • Zahlungsdaten (bei kostenpflichtigen Abonnements über Stripe)

3. Rechtsgrundlagen

Die Verarbeitung personenbezogener Daten erfolgt auf Grundlage der folgenden Rechtsgrundlagen der DSGVO:

  • Art. 6 Abs. 1 lit. a DSGVO: Einwilligung des Nutzers (z.B. bei der Registrierung)
  • Art. 6 Abs. 1 lit. b DSGVO: Vertragserfüllung bzw. vorvertragliche Maßnahmen (z.B. Bereitstellung der Plattformfunktionen, Abwicklung von Abonnements)
  • Art. 6 Abs. 1 lit. c DSGVO: Rechtliche Verpflichtung (z.B. steuerrechtliche Aufbewahrungspflichten nach der österreichischen Bundesabgabenordnung)
  • Art. 6 Abs. 1 lit. f DSGVO: Berechtigte Interessen (z.B. Gewährleistung der IT-Sicherheit, Verhinderung von Missbrauch)

4. Erhobene Daten

4.1 Registrierung und Kontoverwaltung

Bei der Registrierung werden folgende Daten erhoben:

  • E-Mail-Adresse (Pflichtangabe für Login und Kommunikation)
  • Anzeigename (selbst gewählter Nutzername)
  • Rolle (Spieler oder Betreiber)
  • Passwort (verschlüsselt gespeichert über Supabase Auth)

Betreiber-Accounts können zusätzlich Firmendaten, Standorte und Kontaktinformationen hinterlegen, um ihre Escape-Room-Angebote zu verwalten.

4.2 Nutzungsdaten

Bei der Nutzung der Plattform werden automatisch folgende Daten erhoben:

  • Eingegebene Escape-Room-Zeiten und zugehörige Metadaten (Raum, Datum, Team-Größe, etc.)
  • Verifizierungen von Zeiten durch Betreiber oder Mitspieler
  • Bewertungen und Kommentare zu Escape Rooms
  • Freundesliste und Team-Verbindungen
  • Erstellte Aktionen und Gutscheine (für Betreiber)

4.3 Zahlungsdaten

Bei Abschluss eines kostenpflichtigen Abonnements werden Zahlungsdaten über den Zahlungsdienstleister Stripe verarbeitet. Wir selbst speichern keine vollständigen Kreditkartendaten. Stripe übermittelt uns lediglich:

  • Stripe Customer ID
  • Stripe Subscription ID
  • Letzte 4 Ziffern der Zahlungsmethode (zur Anzeige im Dashboard)
  • Abonnement-Status und Zahlungsstatus

4.4 Technische Daten

Beim Zugriff auf die Plattform werden automatisch technische Daten erhoben, um die Funktionsfähigkeit und Sicherheit zu gewährleisten:

  • IP-Adresse (anonymisiert nach 7 Tagen)
  • Browser-Typ und -Version
  • Betriebssystem
  • Zugriffszeitpunkt

5. Zwecke der Verarbeitung

Wir verarbeiten personenbezogene Daten zu folgenden Zwecken:

  • Bereitstellung der Plattform: Verwaltung von Accounts, Speicherung von Zeiten und Bestenlisten, Verifizierungen, Bewertungen
  • Abwicklung von Abonnements: Zahlungsabwicklung, Rechnungsstellung, Zugriffsverwaltung für Premium-Funktionen
  • Kommunikation: Versand von Account-bezogenen E-Mails (Registrierung, Passwort-Reset, Abonnement-Änderungen)
  • Sicherheit: Verhinderung von Missbrauch, Spam und betrügerischen Aktivitäten
  • Rechtliche Verpflichtungen: Erfüllung steuerrechtlicher Aufbewahrungspflichten nach der österreichischen Bundesabgabenordnung (BAO)

6. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist:

  • Account-Daten: Bis zur Löschung des Accounts durch den Nutzer oder bis 3 Jahre nach der letzten Aktivität
  • Escape-Room-Zeiten und Bewertungen: Solange der Account aktiv ist; nach Löschung des Accounts werden öffentliche Beiträge anonymisiert (Name wird durch „Gelöschter Nutzer“ ersetzt)
  • Zahlungsdaten: Gemäß gesetzlicher Aufbewahrungspflichten (7 Jahre nach der österreichischen Bundesabgabenordnung)
  • Technische Logs: IP-Adressen werden nach 7 Tagen anonymisiert; anonymisierte Logs werden nach 90 Tagen gelöscht

7. Empfänger und Auftragsverarbeiter

Wir geben personenbezogene Daten nur an folgende Dritte weiter:

7.1 Supabase (Datenbank und Authentication)

Wir nutzen Supabase (Supabase Inc., USA) als Hosting-Provider für unsere Datenbank und Authentifizierungsdienste. Supabase speichert alle Account-Daten, Nutzungsdaten und technische Daten auf Servern in der EU (Frankfurt, Deutschland).

Rechtsgrundlage: Art. 28 DSGVO (Auftragsverarbeitung). Die Datenübermittlung in die USA erfolgt auf Grundlage des EU-US Data Privacy Framework.
Datenschutzerklärung: https://supabase.com/privacy

7.2 Stripe (Zahlungsabwicklung)

Für die Abwicklung von Zahlungen nutzen wir Stripe (Stripe Inc., USA). Stripe verarbeitet Zahlungsdaten direkt und übermittelt uns lediglich Transaktionsbestätigungen und anonymisierte Zahlungsmethoden-Informationen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Datenschutzerklärung: https://stripe.com/privacy

7.3 VPS-Hosting (Hetzner)

Die Plattform wird auf einem Virtual Private Server (VPS) bei Hetzner Online GmbH (Deutschland) gehostet. Der VPS hostet die Next.js-Anwendung (Dashboard) und die Flutter Web-App.

Rechtsgrundlage: Art. 28 DSGVO (Auftragsverarbeitung).
Datenschutzerklärung: https://www.hetzner.com/rechtliches/datenschutz

7.4 OneSignal (Push-Benachrichtigungen)

Für den Versand von Push-Benachrichtigungen in der mobilen App nutzen wir OneSignal (OneSignal Inc., USA). Wenn Sie Push-Benachrichtigungen aktivieren, wird eine eindeutige Gerätekennung (Subscription ID) an OneSignal übermittelt und mit Ihrem Nutzerprofil verknüpft.

Push-Benachrichtigungen werden ausschließlich für plattformbezogene Mitteilungen verwendet (z.B. Verifizierung von Zeiten, Freundschaftsanfragen). Sie können Push-Benachrichtigungen jederzeit in den Einstellungen Ihres Geräts deaktivieren.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Aktivierung von Push-Benachrichtigungen im Betriebssystem).
Datenschutzerklärung: https://onesignal.com/privacy_policy

7.5 Schriftarten

Wir verwenden die Schriftart „Inter“ von Google Fonts. Die Schriftdateien werden lokal auf unserem eigenen Server gehostet und nicht von Google-Servern geladen. Es findet daher keine Datenübermittlung an Google statt.

8. Betroffenenrechte

Als betroffene Person haben Sie folgende Rechte nach der DSGVO:

  • Recht auf Auskunft (Art. 15 DSGVO): Sie können jederzeit Auskunft über die von uns gespeicherten personenbezogenen Daten verlangen.
  • Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger oder unvollständiger Daten verlangen.
  • Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer personenbezogenen Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können verlangen, dass die Verarbeitung Ihrer Daten eingeschränkt wird.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können verlangen, dass wir Ihnen Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung stellen.
  • Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten aus Gründen, die sich aus Ihrer besonderen Situation ergeben, widersprechen.
  • Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO): Soweit die Verarbeitung auf einer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung dieser Rechte wenden Sie sich bitte an: office@escapeme.at

9. Recht auf Beschwerde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren.

Zuständige Aufsichtsbehörde in Österreich: Österreichische Datenschutzbehörde (DSB)
Barichgasse 40-42, 1030 Wien
E-Mail: dsb@dsb.gv.at

10. Cookies und Tracking

Wir verwenden ausschließlich technisch notwendige Cookies für die Authentifizierung (Session-Management über Supabase Auth). Diese Cookies sind für die Funktionsfähigkeit der Plattform erforderlich und können nicht deaktiviert werden.

Wir setzen keine Tracking-Cookies, Analytics-Tools oder Werbe-Cookies ein. Ihre Nutzung der Plattform wird nicht zu Werbezwecken analysiert oder an Dritte weitergegeben.

Verwendete technisch notwendige Cookies:

  • Session-Cookie (Supabase Auth): Speichert Ihren Login-Status; Gültigkeit: 7 Tage oder bis zum Logout

11. Datensicherheit

Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre Daten gegen unbeabsichtigte oder unrechtmäßige Löschung, Veränderung, Verlust oder unbefugten Zugriff zu schützen:

  • Verschlüsselte Datenübertragung (HTTPS/TLS)
  • Verschlüsselte Speicherung von Passwörtern (bcrypt über Supabase Auth)
  • Regelmäßige Sicherheits-Updates
  • Zugriffskontrollen und Row Level Security (RLS) auf Datenbankebene
  • Regelmäßige Backups

12. Änderungen der Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen unserer Dienste anzupassen.

Die jeweils aktuelle Fassung finden Sie stets auf dieser Seite. Bei wesentlichen Änderungen werden wir Sie per E-Mail informieren.