TaskAsQuest
Web-App öffnen

Datenschutzerklärung

Wie TaskAsQuest mit deinen Daten umgeht — gemäß DSGVO und TDDDG.

Präambel

Mit der folgenden Datenschutzerklärung möchte ich dich darüber aufklären, welche Arten deiner personenbezogenen Daten (nachfolgend auch kurz als „Daten" bezeichnet) ich zu welchen Zwecken und in welchem Umfang verarbeite. Die Datenschutzerklärung gilt für alle Verarbeitungen personenbezogener Daten im Rahmen der Bereitstellung dieser Website sowie der TaskAsQuest-Web-App und der Android-App (nachfolgend zusammenfassend „Onlineangebot").

Die verwendeten Begriffe sind nicht geschlechtsspezifisch.

Stand: 6. Mai 2026

Du kannst Google komplett umgehen. Wenn du TaskAsQuest als Web-App im Browser nutzt (öffnen oder als PWA installieren) und dich per E-Mail anmeldest, findet kein Datentransfer in die USA statt. Alle Daten bleiben dann ausschließlich auf meinem Server in Deutschland. Die Android-App über den Google Play Store nutzt zwangsläufig Google-Infrastruktur (siehe Abschnitt „Distribution über Google Play Store").

Inhaltsübersicht

Verantwortlicher

Marco Hildebrandt
Beethovenstr. 47
27299 Langwedel
Deutschland

E-Mail: support@taskasquest.de
Telefon: +49 152 57969216

Übersicht der Verarbeitungen

Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen.

Arten der verarbeiteten Daten

  • Bestandsdaten (pseudonymer Login-Name mit Discriminator-Nummer; optionale E-Mail nur bei Bestand-Konten oder Google-Login)
  • Kontaktdaten (E-Mail bei Anfragen)
  • Inhaltsdaten (Quest-Titel, Beschreibungen, Notizen — E2E-verschlüsselt; Quest-Metadaten und Held-Daten bleiben aus technischen Gründen im Klartext, siehe Abschnitt „Ende-zu-Ende-Verschlüsselung")
  • Nutzungsdaten (App-Interaktionen, Quest-Zustand)
  • Meta-, Kommunikations- und Verfahrensdaten (IP-Adresse, Zeitangaben, Geräte-Identifier)
  • Protokolldaten (Server-Logfiles, kurzfristig)

Kategorien betroffener Personen

  • Nutzer der Web-App und Android-App
  • Besucher dieser Website
  • Kommunikationspartner (bei Kontaktaufnahme)

Zwecke der Verarbeitung

  • Bereitstellung des Onlineangebots und Vertragserfüllung
  • Sicherheitsmaßnahmen und Missbrauchsabwehr
  • Kommunikation auf Anfrage
  • Informationstechnische Infrastruktur (Betrieb von Server, Datenbank)
  • Optionale KI-gestützte Funktionen (Quest-Episierung, Mahlzeit-Vorschläge)

Maßgebliche Rechtsgrundlagen

Im Folgenden eine Übersicht der Rechtsgrundlagen der DSGVO, auf deren Basis ich personenbezogene Daten verarbeite. Sollten im Einzelfall speziellere Rechtsgrundlagen greifen, teile ich diese in der Datenschutzerklärung mit.

  • Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b DSGVO) — die Verarbeitung ist erforderlich, um dir die App zur Verfügung zu stellen. Account, Quests, Charakter und Synchronisation laufen auf dieser Grundlage.
  • Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO) — Server-Logs zur Sicherheit und Fehleranalyse, Abwehr von Brute-Force, technischer Betrieb der Server.
  • Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO) — soweit du z. B. Push- Benachrichtigungen aktiv aktivierst.
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c DSGVO) — sofern gesetzliche Aufbewahrungs- oder Auskunftspflichten bestehen.

Nationales Recht (Deutschland): Zusätzlich zur DSGVO gilt das Bundesdatenschutzgesetz (BDSG) sowie das Telekommunikation- Digitale-Dienste-Datenschutz-Gesetz (TDDDG, ehemals TTDSG).

Sicherheitsmaßnahmen

Ich treffe nach Maßgabe der gesetzlichen Vorgaben unter Berücksichtigung des Stands der Technik geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Konkret bedeutet das für TaskAsQuest:

  • HTTPS/TLS — alle Verbindungen zwischen App und Server sind verschlüsselt (Let's Encrypt, automatische Erneuerung)
  • Bcrypt-Hashing — Passwörter werden niemals im Klartext gespeichert, sondern nur als gesalteter Hash
  • JWT-Tokens — Auth-Tokens sind signiert und kurzlebig
  • Selbstgehostete Infrastruktur — keine Datenweitergabe an Cloud-Anbieter (siehe Speicherort)
  • Optional: Ende-zu-Ende-Verschlüsselung für Quest-Inhalte (siehe Abschnitt unten)
  • Verschlüsselte Backups der Server (Proxmox PBS)

Welche Daten werden verarbeitet?

Beim Anlegen eines Accounts und der Nutzung der App:

  • Login-Name — frei wählbarer Pseudonym-Name plus eine zufällig generierte sechsstellige Nummer, z. B. Hanibal#384729. Es wird keine E-Mail-Adresse erhoben oder gespeichert (Ausnahme: optionaler Google-Login, siehe unten — und Bestand-Konten aus früheren Versionen, die ihre E-Mail behalten haben)
  • Passwort-Hash — niemals im Klartext, nur als bcrypt-Hash gespeichert
  • Charakter-Daten — Heldenname, Klasse, Level, XP, Avatar
  • Quest-DatenE2E-verschlüsselt: Titel, Beschreibung, Notizen. Im Klartext (technisch nötig): Termine, Status, Schwierigkeit, XP, Wiederholungs-Regel. Details im Abschnitt „Ende-zu-Ende-Verschlüsselung" unten.
  • Gefährten-Verknüpfungen — wer mit wem Quests teilt
  • Login-Tokens — JWT für Auth-State
  • Letzte Aktivität — Datum des letzten Logins für Greeting-Logik

Speicherort und Hosting

Alle Nutzerdaten (Account, Quests, Charakter, Gefährten) werden auf einem selbst gehosteten Server in Deutschland gespeichert (PocketBase auf privatem Heimserver hinter Proxmox/Caddy, Standort Deutschland). Auch Backups der Datenbank verlassen ausschließlich lokal die Hardware (zweite Festplatte am selben Server, kein Cloud-Sync — siehe Abschnitt „Backups" unten).

Es findet keine laufende Übermittlung der Nutzerdaten an Drittanbieter, Cloud-Dienste in den USA oder externe Analyse-Plattformen statt.

  • Verarbeitete Datenarten: Nutzungsdaten, Meta-/ Kommunikationsdaten, Protokolldaten
  • Zwecke: Bereitstellung des Onlineangebots, informationstechnische Infrastruktur, Sicherheit
  • Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO), Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

Cookies und lokaler Speicher

TaskAsQuest verwendet ausschließlich technisch notwendige Browser-Speicher. Es gibt kein Tracking, keine Werbung und keine Drittanbieter-Cookies. Konkret werden folgende Kategorien lokal auf deinem Gerät abgelegt:

  • Authentifizierung: PocketBase-Auth-Token, OAuth-Login- Zustand (nur bei Google-Login), zuletzt verwendeter Login-Name (für komfortableres Wiedereinloggen)
  • UI-Einstellungen: Modus „Quest"/„Task", Sonnen-Modus, Schriftgröße/Density, Onboarding-Status, Held-Ansicht (groß/klein), aktiver Sub-Tab
  • App-Funktionen: Erinnerungs-Einstellungen (Aktiv/Inaktiv, Vorlaufzeit), Status-Notification-Toggle, Heartbeat- Sichtbarkeit, Skill-Punkte-Cache, Update-Banner-Status, Debug-Flag
  • Verschlüsselung: ein nicht exportierbarer privater Schlüssel (in IndexedDB) sowie ein öffentlicher Schlüssel und Crypto-Hilfsdaten (in localStorage). Niemals dein Passwort, niemals deinen Recovery-Code im Klartext.
  • Charakter-Cache: Held-Datensatz für schnellen Splash- Screen-Start
  • Cookies: nur ein technisches Sitzungs-Cookie für den OAuth-Flow. Keine Tracking-Cookies.

Da nur technisch notwendige Speicherung erfolgt, ist kein Cookie-Banner erforderlich (TDDDG § 25 Abs. 2). Du kannst den Speicher jederzeit über die Browser-Einstellungen löschen — danach musst du dich neu einloggen.

Ende-zu-Ende-Verschlüsselung

Sobald du in der App die Verschlüsselung einrichtest (Standard für neue Konten), werden Quest-Inhalte auf deinem Gerät verschlüsselt, bevor sie an den Server gesendet werden. Der Server speichert nur das Chiffrat und kann es nicht entschlüsseln.

Was konkret verschlüsselt wird (Inhalt):

  • Quest-Titel
  • Quest-Beschreibung
  • Original-Eingabetext (vor KI-Bearbeitung, falls genutzt)
  • Manuell eingegebene Notizen / User-Description-Felder

Was nicht Ende-zu-Ende-verschlüsselt ist (Metadaten):

  • Fälligkeitsdatum und Uhrzeit (technisch nötig für Erinnerungen, Sortierung, Tagesplan)
  • Quest-Status (offen/erledigt/abgebrochen)
  • Schwierigkeit, XP-Wert, Wiederholungs-Regel
  • Held-Daten (Klasse, Level, HP, MP, XP, Avatar-URL)
  • Beziehungen zwischen Konten (Gefährten, Quest-Sichtungen)
  • Server-seitige Zeitstempel (created/updated)

Der Privatschlüssel wird mit deinem Passwort abgeleitet — du behältst die volle Kontrolle. Nicht einmal ich als Server-Betreiber kann deine verschlüsselten Quest-Inhalte lesen. Metadaten (siehe Liste oben) sind allerdings im Klartext in meiner Datenbank gespeichert, weil die App sonst keine Tagespläne, Statistiken oder Erinnerungs-Logik berechnen könnte.

Konto-Sicherheit (2FA, Recovery, Login-Sperre)

Für die Sicherheit des Logins werden folgende konto-gebundene Sicherheits-Daten in meiner PocketBase-Datenbank in Deutschland gespeichert:

  • 2FA / TOTP: Wenn du in der App die Zwei-Faktor- Authentifizierung aktivierst, wird ein totp_secret (verschlüsselt in der DB) und ein Flag totp_enabled gespeichert. Beim Login musst du dann zusätzlich einen 6-stelligen Einmal-Code aus deiner Authenticator-App eingeben. Du kannst 2FA jederzeit wieder deaktivieren — das Secret wird dabei gelöscht.
  • Wiederherstellungs-Code: Beim Einrichten der Verschlüsselung wird einmalig ein langer Recovery-Code generiert, den nur du angezeigt bekommst. In der Datenbank wird ausschließlich ein Hash dieses Codes gespeichert (recovery_code_hash) — der Code selbst niemals. Mit dem Code kannst du im Notfall (Passwort vergessen) deinen Zugang und die Verschlüsselung wiederherstellen.
  • Login-Sperre nach Fehlversuchen: Nach drei falschen Passwort-Eingaben wird dein Konto kurzzeitig gesperrt (Backoff: 5 Sekunden, dann 30 Sekunden, dann 2 Minuten, dann 15 Minuten). Dafür speichere ich pro Account einen Zähler (auth_failed_count) und einen Sperr-Zeitstempel (auth_locked_until). Der Zähler wird nach erfolgreichem Login automatisch zurückgesetzt. Schutz gegen Brute-Force-Angriffe.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) — diese Daten sind nötig, damit der Login überhaupt sicher funktioniert. Speicherdauer: bis zur Löschung des Accounts oder Deaktivierung der jeweiligen Funktion.

Push-Benachrichtigungen (Android)

Die Android-App kann Push-Benachrichtigungen anzeigen (Erinnerungen, Quest-Fälligkeiten). Diese werden über eine direkte WebSocket-Verbindung zwischen App und meinem Server abgewickelt — kein Google FCM, keine Drittanbieter. Du kannst Push jederzeit in den App-Einstellungen oder System-Settings deaktivieren.

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) — du aktivierst Push aktiv in den App-Einstellungen.

Anmeldung mit Google (OAuth)

Optional, nicht erforderlich. Du kannst dich auch ganz normal per E-Mail-Adresse + Passwort anmelden — ohne dass irgendwelche Daten an Google fließen. Auf der Login-Seite findest du dafür die Schaltfläche „Ich will Google nicht nutzen".

Auf der Login-Seite kannst du optional die Schaltfläche „Mit Google anmelden" wählen. Damit startest du einen OAuth-2.0-Flow mit Google und übermittelst dabei aktiv personenbezogene Daten an Google (Konzernsitz EU: Google Ireland Limited; Konzernmutter: Google LLC, USA).

Welche Daten dabei verarbeitet werden:

  • Deine IP-Adresse (durch die Weiterleitung zu Google)
  • Deine bei Google hinterlegte E-Mail-Adresse und dein Anzeigename
  • Deine Google-Account-ID (numerischer Identifier)
  • Ein OAuth-Token, das die Verbindung zwischen TaskAsQuest und deinem Google-Account herstellt — wird auf meinem Server gespeichert
  • Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (mit Konzernmutter Google LLC, USA)
  • Datenschutz Google: policies.google.com/privacy
  • Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) — du wählst aktiv den Google-Login-Button. Du kannst stattdessen jederzeit die klassische E-Mail-Anmeldung nutzen („Ich will Google nicht nutzen").
  • Drittlandtransfer: USA — gestützt auf das EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023). Google ist nach dem DPF zertifiziert.
  • Speicherdauer: OAuth-Token werden gelöscht, sobald du deinen Account in TaskAsQuest löschst oder die Verknüpfung in deinem Google-Account-Dashboard widerrufst.

Distribution über Google Play Store

Die Android-Variante von TaskAsQuest wird über den Google Play Store verteilt. Auf dieser Website findest du dafür einen „Bei Google Play laden"-Button, der zu play.google.com verlinkt. Wenn du diesen Button anklickst oder die App über den Play Store installierst, gilt:

  • Beim Klick auf den Button wird deine IP-Adresse, dein User-Agent und die Referrer-URL an Google übermittelt
  • Beim Installieren über den Play Store erhält Google deinen Play-Account-Identifier, dein Gerät, ungefähre Geo-Region sowie Install-/Crash-/Stabilitäts-Statistiken (Google Play Services)
  • Updates werden automatisch über Google ausgeliefert; Google sieht dabei welche Version du wann installiert hast
  • Diese Datenverarbeitungen liegen in der Verantwortung von Google; ich habe als Anbieter nur Zugriff auf aggregierte, anonyme Statistiken in der Play Console (z. B. Anzahl der Installationen, Crash-Raten — keine Einzeldaten)
  • Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
  • Datenschutz Google Play: policies.google.com/privacy
  • Drittlandtransfer: USA — gestützt auf das EU-US Data Privacy Framework
  • Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) — Bereitstellung einer Android-App über den marktüblichen Vertriebskanal. Beim eigentlichen Klick auf den Play-Store-Link bzw. der Installation erfolgt zudem eine konkludente Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

Wer Google Play umgehen möchte: es gibt drei Wege ohne Play Store:

  • Web-App im Browser (öffnen) oder als PWA aus dem Browser installieren („Zum Startbildschirm hinzufügen")
  • Direkt-APK „TaskAsQuest+" als separate Android-Variante mit eigener applicationId (app.hde.taskasquest.privat) — herunterladbar unter /TaskAsQuest-privat.apk. Erfordert einmalig „Aus unbekannten Quellen erlauben" in den Android-Einstellungen.

Bei beiden Wegen findet kein Datenkontakt mit Google Play Services oder Google Play Store statt — keine Install- Statistik, kein Update-Mechanismus über Google, kein Account-Identifier an Google.

KI-Funktionen über Mistral AI (EU)

EU-Anbieter, Verarbeitung primär in der EU. Für die KI-Funktionen nutze ich bewusst Mistral AI (Sitz: Paris, Frankreich) statt eines US-Anbieters. Mistral verarbeitet die Daten nach eigenen Angaben primär in der EU, womit sie der DSGVO unterliegen. Etwaige Drittlandtransfers in Ausnahmefällen richten sich nach Mistrals Datenschutzerklärung und Auftragsverarbeitungs-Regelungen.

TaskAsQuest bietet einige optionale KI-Funktionen, bei denen einzelne Inhalte zur Verarbeitung an Mistral AI gesendet werden. Diese Funktionen werden nur ausgelöst, wenn du sie aktiv anklickst.

Wann KI verwendet wird und welche Daten dabei gesendet werden:

  • Quest-Episierung („Episch verwandeln"-Button beim Anlegen einer Quest) — gesendet wird der von dir eingegebene Quest-Titel und die gewählte Schwierigkeit
  • Mahlzeit-Vorschläge in der Taverne — gesendet wird die Liste deiner gespeicherten Mahlzeit-Namen
  • Speisekammer-Auswertung („Was kann ich kochen?") — gesendet werden deine gespeicherten Mahlzeit-Namen und die aktuell eingetragenen Speisekammer-Zutaten
  • Speisekammer-Erfindung („Neues Gericht erfinden") — gesendet werden deine Speisekammer-Zutaten
  • Rezept-Generierung — gesendet wird der Name eines Gerichts, für das du ein Rezept erzeugen möchtest

Die Anfragen laufen über meinen TAQ-API-Server in Deutschland, der die Daten an Mistral AI weiterleitet. Account-Identifier oder E-Mail-Adressen werden nicht mitgesendet — Mistral kann die Daten also nicht zu deinem Account zurückführen.

  • Anbieter: Mistral AI SAS, 15 rue des Halles, 75001 Paris, Frankreich (EU)
  • Datenschutz Mistral: mistral.ai/terms
  • Verwendetes Modell: mistral-small-latest
  • Drittlandtransfer: Mistral betreibt seine Infrastruktur primär in Frankreich. Ausnahme-Transfers außerhalb der EU richten sich nach Mistrals Datenschutzerklärung (i. d. R. EU-Standardvertragsklauseln)
  • Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) — du löst die Verarbeitung jeweils durch aktiven Klick auf den entsprechenden Button aus
  • Auftragsverarbeitung: Verarbeitung im Auftrag nach Art. 28 DSGVO; Mistral verwendet die übermittelten Daten nicht für eigenes Modell-Training (gemäß Mistral API-Nutzungs- bedingungen)
  • Speicherdauer bei Mistral: Mistral kann nach eigenen Angaben Eingaben (Prompts) und Antworten der API bis zu 30 Tage rollierend speichern, um Missbrauch (Spam, gefährliche Inhalte) erkennen zu können. Danach werden sie gelöscht. Wer das ausschließen möchte, sollte die KI-Funktionen nicht nutzen — alle Kernfunktionen der App funktionieren auch ohne.
  • Speicherdauer bei mir: die Anfrage selbst wird nicht dauerhaft gespeichert. Die KI-Antwort wird nur dann gespeichert, wenn du sie als neue Quest oder neuen Datensatz übernimmst — dann auf meinem Server in Deutschland.

Bug-Reports aus der App

In der App gibt es im Bereich „Held → App → Unterstützen" einen Button „Bug melden". Damit kannst du mir Fehler oder unerwartetes Verhalten aus der App heraus melden, ohne ein externes Mail-Programm öffnen zu müssen.

Wenn du einen Bug-Report absendest, werden folgende Daten in meiner PocketBase-Datenbank (Server in Deutschland) gespeichert:

  • Beschreibung — der Text, den du eintippst
  • Screenshot — nur wenn du einen anhängst (optional)
  • App-Version — z. B. 91d8b27-1778167497, damit ich weiß auf welchem Stand der Bug aufgetreten ist
  • Browser-/Geräte-Kennung (User-Agent) — z. B. Mozilla/5.0 (Linux; Android 14; SM-F956B), hilft beim Reproduzieren
  • Verknüpfung zu deinem Account — damit ich gezielt zurückfragen oder den Bug deinem Datenstand zuordnen kann

Es werden keine sonstigen Quest-, Held- oder Profildaten in den Bug-Report kopiert. Was im Screenshot zu sehen ist, ist allein deine Entscheidung.

  • Zweck: Fehlerbehebung und Verbesserung der App
  • Rechtsgrundlage: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) — ohne Bug-Reports kann ich die App nicht zuverlässig weiterentwickeln. Das Senden ist freiwillig.
  • Speicherort: meine PocketBase-Datenbank in Deutschland (siehe Hosting). Keine Drittanbieter, kein Cloud-Service, kein Tracking.
  • Speicherdauer: aktive Reports (Status „neu", „gesehen", „in Bearbeitung") so lange wie nötig zur Bearbeitung. Erledigte Reports (Status „resolved" oder „wontfix") werden automatisch nach 90 Tagen gelöscht (PocketBase-Cron, täglich).
  • Empfänger: ausschließlich der Verantwortliche (siehe oben). Keine Weitergabe.
  • Löschung auf Wunsch: Du kannst jederzeit verlangen, dass deine offenen Bug-Reports gelöscht werden — eine kurze Mail an support@taskasquest.de reicht.

Spenden-Link (PayPal-Pool)

Auf der Seite Unterstützen sowie in der App verlinke ich auf einen PayPal-Pool für freiwillige Spenden. Es handelt sich dabei um einen einfachen Hyperlink — beim bloßen Aufrufen meiner Seite werden keine Daten an PayPal übermittelt. Es gibt kein eingebettetes PayPal-Skript, kein PayPal-Pixel, keinen PayPal-Tracker.

Erst wenn du auf den Link klickst, verlässt du TaskAsQuest und betrittst die Webseite von PayPal. Ab dann verarbeitet PayPal deine Daten nach seiner Datenschutzerklärung — darauf habe ich keinen Einfluss. PayPal ist ein US-Unternehmen, dessen Datenverarbeitung auch in den USA stattfindet.

  • Anbieter: PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxembourg, sowie PayPal Inc. (Mutterunternehmen, USA)
  • Datenschutz PayPal: paypal.com/de/legalhub/privacy-full
  • Drittlandtransfer: auf Basis des EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023) sowie der Standardvertragsklauseln
  • Rechtsgrundlage für die Verlinkung: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) an der Bereitstellung einer einfachen Möglichkeit für freiwillige Spenden zur Deckung der Betriebskosten

Spenden sind keine steuerlich absetzbaren Spenden im Sinne von § 10b EStG, sondern rechtlich Schenkungen an eine Privatperson. Es wird keine Spendenquittung ausgestellt.

Backups

Vom Live-Server werden regelmäßige Backups erstellt, um Datenverlust bei Hardware-Defekten zu verhindern. Das Backup-Konzept trennt bewusst zwischen Nutzerdaten und Systemkomponenten:

  • Nutzerdaten (PocketBase-Datenbank mit Account, Quests, Charakter): wöchentliches Snapshot-Backup auf eine zweite interne Festplatte am selben Server. Wird nicht in eine Cloud kopiert, verlässt die Server-Hardware nie.
  • System-Container und Konfiguration (z. B. Webserver, Hilfsdienste): Backup ebenfalls auf die zweite Festplatte. Diese System-Backups enthalten keine Nutzerdaten.

Aufbewahrung: lokal werden die letzten drei Backup- Generationen vorgehalten. Ältere Backups werden automatisch gelöscht.

Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) — Datenintegrität und Verfügbarkeit.

Server-Logs

Mein Webserver (Caddy) speichert beim Aufrufen einer Seite kurzfristig Standard-Logs:

  • IP-Adresse (anonymisiert nach 7 Tagen)
  • Datum + Uhrzeit der Anfrage
  • Aufgerufene URL + Statuscode
  • Browser-Kennung (User-Agent)

Diese Logs dienen der Fehleranalyse und Sicherheit (Abwehr von Brute- Force-Angriffen, DDoS-Erkennung). Sie werden nicht zu Profilen verknüpft und nach 14 Tagen gelöscht.

Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) — sicherer Betrieb des Onlineangebots.

Schriftarten (lokal eingebunden)

Diese Website verwendet die Schriftarten Cinzel (Überschriften) und Lato (Fließtext). Beide werden lokal vom selben Server ausgeliefert, der auch die Website hostet — es findet keine Verbindung zu Google Fonts oder anderen Drittanbietern statt. Beim Laden der Seite wird deine IP-Adresse damit nicht an Google übermittelt.

Die Schriftarten stehen unter der SIL Open Font License (OFL). Die Web-App selbst (App-Bereich) nutzt ebenfalls keine externen Fonts.

Internationale Datentransfers

Live-Server, Datenbank und Schriftarten von TaskAsQuest liegen ausschließlich in Deutschland. Auch Backups der Nutzerdatenbank bleiben ausschließlich auf der lokalen Hardware (siehe Abschnitt „Backups"). Es werden keine Drittanbieter-CDNs, keine Cloud-Analyse-Dienste und kein Google FCM eingesetzt.

Datentransfers in die USA finden in folgenden Fällen statt:

  • Anmeldung mit Google (OAuth) — nur wenn du den Google-Login-Button aktiv wählst
  • Distribution über Google Play Store — nur wenn du die App über den Play Store installierst statt sie als Web-App im Browser zu nutzen

Diese Übermittlungen stütze ich auf das EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023). Google ist nach dem DPF zertifiziert. Weitere Informationen: dataprivacyframework.gov.

Wer keine Daten an Google übermitteln möchte: TaskAsQuest als Web-App im Browser nutzen und sich per E-Mail anmelden. Alle Kernfunktionen (Quests, Held, Gefährten) funktionieren vollständig ohne Google.

Aufbewahrung und Löschung

Ich lösche personenbezogene Daten gemäß den gesetzlichen Bestimmungen, sobald die zugrundeliegenden Einwilligungen widerrufen werden oder keine weiteren Rechtsgrundlagen für die Verarbeitung bestehen.

  • Account-Daten — bis zur Löschung des Accounts durch dich (über die App: Held → Account zurücksetzen / löschen)
  • Server-Logs — nach 14 Tagen, IP anonymisiert nach 7 Tagen
  • Auth-Tokens — bis zum Logout oder Token-Ablauf
  • Verschlüsselte Inhalte — werden mit dem Account gelöscht

Ausnahmen bestehen, wenn gesetzliche Pflichten (Handels-, Steuerrecht) oder besondere Interessen (Rechtsverfolgung) eine längere Aufbewahrung erfordern.

Rechte der betroffenen Personen

Du hast jederzeit das Recht auf:

  • Widerspruchsrecht (Art. 21 DSGVO): Du hast das Recht, aus Gründen, die sich aus deiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung deiner personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen.
  • Widerrufsrecht bei Einwilligungen: Du kannst erteilte Einwilligungen jederzeit widerrufen.
  • Auskunftsrecht (Art. 15 DSGVO): Bestätigung, ob dich betreffende Daten verarbeitet werden, plus Auskunft über diese Daten und Kopie der Daten.
  • Recht auf Berichtigung (Art. 16 DSGVO): Vervollständigung oder Korrektur deiner Daten.
  • Recht auf Löschung (Art. 17 DSGVO): Löschung deines Accounts — entweder direkt in der App (Held → Account zurücksetzen / Account löschen) oder per E-Mail-Anfrage.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO).
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Export deiner Daten als JSON auf Anfrage oder direkt aus der App.
  • Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO).

Anfragen sende bitte an die im Impressum genannte E-Mail-Adresse.

Aufsichtsbehörde

Zuständige Datenschutz-Aufsichtsbehörde:

Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5
30159 Hannover
Telefon: +49 511 120-4500
E-Mail: poststelle@lfd.niedersachsen.de
Web: lfd.niedersachsen.de

Änderung und Aktualisierung

Diese Datenschutzerklärung wird angepasst, wenn sich rechtliche Vorgaben oder technische Gegebenheiten ändern. Die jeweils aktuelle Version findest du immer unter /datenschutz.

Begriffsdefinitionen

In diesem Abschnitt findest du eine Übersicht der wichtigsten in dieser Datenschutzerklärung verwendeten Begriffe. Soweit die Begriffe gesetzlich definiert sind, gelten deren gesetzliche Definitionen — insbesondere nach Art. 4 DSGVO.

  • Personenbezogene Daten: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
  • Verarbeitung: jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang im Zusammenhang mit personenbezogenen Daten — z. B. Erheben, Erfassen, Speichern, Anpassen, Auslesen, Verwenden, Übermitteln, Löschen.
  • Verantwortlicher: die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.
  • Einwilligung: jede freiwillig für den bestimmten Fall in informierter Weise und unmissverständlich abgegebene Willensbe- kundung.
  • IP-Adresse: eindeutige Adresse, mit der ein Gerät im Internet identifiziert wird; kann je nach Kontext personenbezogen sein.

Stand: 6. Mai 2026

Loslegen

Im Browser nutzen oder installieren

Öffne TaskAsQuest direkt als Web-App oder installiere sie als PWA. Für Android gibt es zwei Wege — bequem über den Play Store oder direkt als APK ohne Google. iOS folgt im Apple App Store.

Web-App öffnen Direkt-APK Ohne Google Jetzt bei Google Play