Datenschutzerklärung
Wie TaskAsQuest mit deinen Daten umgeht — gemäß DSGVO und TDDDG.
Präambel
Mit der folgenden Datenschutzerklärung möchte ich dich darüber aufklären, welche Arten deiner personenbezogenen Daten (nachfolgend auch kurz als „Daten" bezeichnet) ich zu welchen Zwecken und in welchem Umfang verarbeite. Die Datenschutzerklärung gilt für alle Verarbeitungen personenbezogener Daten im Rahmen der Bereitstellung dieser Website sowie der TaskAsQuest-Web-App und der Android-App (nachfolgend zusammenfassend „Onlineangebot").
Die verwendeten Begriffe sind nicht geschlechtsspezifisch.
- Website —
taskasquest.de(statische Info-Seiten, kein Login) - Web-App und Android-App —
app.taskasquest.de(Konto, Quests, KI, OAuth)
Inhaltsübersicht
- 0. Allgemein
- Verantwortlicher
- Maßgebliche Rechtsgrundlagen
- Empfänger nach Bereich
- Kontaktaufnahme per E-Mail oder Telefon
- Sicherheitsmaßnahmen
- 1. Website (taskasquest.de)
- Server-Logs
- Schriftarten (lokal eingebunden)
- Externe Links
- Cookies und lokale Speichertechniken auf der Website
- 2. Web-App + Android-App (app.taskasquest.de)
- Welche Daten werden verarbeitet?
- Hosting, Dienstleister und Auftragsverarbeitung
- Sicherheitsmaßnahmen in der App
- Cookies und lokale Speichertechniken
- Ende-zu-Ende-Verschlüsselung
- Konto-Sicherheit (2FA, Recovery, Login-Sperre)
- Bereitstellung der App-Daten
- Automatisierte Entscheidungsfindung in der App
- Android-App: Berechtigungen und Push
- Anmeldung mit Google (OAuth)
- Distribution über Google Play Store
- KI-Funktionen über Mistral AI (EU)
- Demo-Accounts (Live-Demo)
- Bug-Reports aus der App
- Backups
- Daten zurücksetzen / löschen (drei Stufen)
- Internationale Datentransfers
- Aufbewahrung und Löschung der App-Daten
- 3. Übergreifend
- Rechte der betroffenen Personen
- Aufsichtsbehörde
- Änderung und Aktualisierung
0. Allgemein
Verantwortlicher
Marco Hildebrandt
Beethovenstr. 47
27299 Langwedel
Deutschland
E-Mail: support@taskasquest.de
Telefon: +49 4235 7813931
Ein Datenschutzbeauftragter ist nicht bestellt, da keine gesetzliche Pflicht zur Bestellung besteht (§ 38 BDSG). Datenschutzanfragen bitte an die oben genannte E-Mail-Adresse.
Mindestalter: Die App ist für eine Altersfreigabe ab 16 Jahren vorgesehen (USK 16). Eine Nutzung durch Personen unter 16 Jahren ist nicht vorgesehen; eine spezielle Einwilligung der Sorgeberechtigten nach Art. 8 DSGVO ist daher nicht vorgesehen.
Maßgebliche Rechtsgrundlagen
Im Folgenden eine Übersicht der Rechtsgrundlagen der DSGVO, auf deren Basis ich personenbezogene Daten verarbeite. Sollten im Einzelfall speziellere Rechtsgrundlagen greifen, teile ich diese in der Datenschutzerklärung mit.
- Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b DSGVO) — die Verarbeitung ist erforderlich, um dir die App zur Verfügung zu stellen. Account, Quests, Charakter und Synchronisation laufen auf dieser Grundlage.
- Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO) — Server-Logs zur Sicherheit und Fehleranalyse, Abwehr von Brute-Force, technischer Betrieb der Server.
- Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO) — soweit du z. B. Push- Benachrichtigungen aktiv aktivierst.
- Rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c DSGVO) — sofern gesetzliche Aufbewahrungs- oder Auskunftspflichten bestehen.
Nationales Recht (Deutschland): Zusätzlich zur DSGVO gilt das Bundesdatenschutzgesetz (BDSG) sowie das Telekommunikation- Digitale-Dienste-Datenschutz-Gesetz (TDDDG, ehemals TTDSG).
Allgemeine Speicherdauer
Ich verarbeite personenbezogene Daten grundsätzlich nur so lange, wie sie für den jeweiligen Zweck erforderlich sind. Danach werden sie gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht oder eine längere Speicherung zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist. Die konkreten Löschfristen für die einzelnen Datenarten findest du in den jeweiligen Abschnitten dieser Datenschutzerklärung.
Empfänger oder Kategorien von Empfängern
Nach Art. 13 Abs. 1 lit. e DSGVO werden externe Empfänger
dort genannt, wo sie tatsächlich relevant sind. Für die reine
Website taskasquest.de gibt es keine eingebundenen
Tracking-, Analyse- oder Werbedienste. Google und Mistral AI betreffen
nur die Web-App bzw. Android-App und werden deshalb im Abschnitt
Web-App und Android-App beschrieben.
Alle weiteren Komponenten (Webserver, Datenbank, Reverse-Proxy,
Code-Repo) werden auf eigener Hardware in Deutschland betrieben.
Kontaktaufnahme per E-Mail oder Telefon
Wenn du mir per E-Mail schreibst (z. B. an support@taskasquest.de), verarbeite ich die Angaben, die du mir sendest: deine E-Mail-Adresse, den Inhalt deiner Nachricht, freiwillige Angaben wie Name oder Anhänge sowie die für E-Mail technisch üblichen Metadaten.
- Zweck: Bearbeitung deiner Anfrage, Support, Datenschutzanfragen, Bug-/Feature-Rückmeldungen.
- Rechtsgrundlage: je nach Inhalt der Anfrage Vertragserfüllung bzw. vorvertragliche Anfrage (Art. 6 Abs. 1 lit. b DSGVO), berechtigtes Interesse an der Beantwortung allgemeiner Anfragen (Art. 6 Abs. 1 lit. f DSGVO) oder rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO), wenn es um gesetzliche Datenschutzrechte geht.
- Speicherdauer: Einfache Support- und Kontaktanfragen lösche ich spätestens 12 Monate nach der letzten Kommunikation zu dieser Anfrage. Gesetzliche Aufbewahrungs- oder Nachweispflichten bleiben unberührt.
- Empfänger: keine Weitergabe an die in dieser Erklärung genannten App-Dienstleister. Die technische Zustellung läuft über die beteiligten E-Mail-Server.
Wenn du mich telefonisch kontaktierst, werden Rufnummer, Zeitpunkt und ggf. der Gesprächsinhalt nur zur Bearbeitung deiner Anfrage verarbeitet. Gespräche werden nicht aufgezeichnet. Anruflisten auf Telefonanlage oder Endgerät werden spätestens nach 30 Tagen gelöscht, sofern keine längere Speicherung zur Bearbeitung einer konkreten Anfrage oder zur Rechtsverteidigung erforderlich ist.
Bereitstellung der Daten und Folgen der Nichtbereitstellung
Für den Besuch der Website musst du keine personenbezogenen Daten bereitstellen. Wenn du mir freiwillig per E-Mail schreibst, benötige ich die darin enthaltenen Angaben zur Bearbeitung deiner Anfrage. Welche Daten für die Web-App und Android-App erforderlich oder freiwillig sind, steht im Abschnitt Bereitstellung der App-Daten.
Keine automatisierte Entscheidungsfindung auf der Website
Beim Besuch der Website findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO statt. App-spezifische Spielmechaniken werden im Abschnitt Web-App und Android-App erläutert.
Sicherheitsmaßnahmen
Ich treffe angemessene technische und organisatorische Maßnahmen nach Art. 32 DSGVO, um die jeweils verarbeiteten Daten zu schützen. Dazu gehören insbesondere HTTPS/TLS, Zugriffsbeschränkungen und eine sparsame Verarbeitung personenbezogener Daten. Konkrete Maßnahmen für die Web-App und Android-App stehen im Abschnitt Sicherheitsmaßnahmen in der App.
1. Website — taskasquest.de
Dieser Abschnitt beschreibt die Datenverarbeitung beim Besuch der
statischen Website unter taskasquest.de. Hier
gibt es keinen Login und keine Nutzerkonten — du surfst nur durch
Info-Seiten.
Server-Logs
Für die Website taskasquest.de werden keine
Access-Logs erstellt oder gespeichert. Beim Aufrufen einer
Seite werden Request-Daten technisch für Routing, TLS-Auslieferung und
Fehlerbehebung verarbeitet, aber nicht als Website-Access-Log
gespeichert. Eine Auswertung oder ein Tracking findet nicht statt.
Schriftarten (lokal eingebunden)
Die Schriftarten Cinzel (Überschriften) und Lato (Fließtext) werden lokal vom selben Server ausgeliefert, der die Website hostet. Schriftarten unter SIL Open Font License (OFL).
Externe Links
Die Website verlinkt an einigen Stellen auf externe Angebote.
Diese Verlinkungen sind einfache Hyperlinks. Erst beim Klick auf
einen Link verlässt du
taskasquest.de; ab diesem Moment gilt die Datenschutz-
erklärung des jeweiligen Anbieters.
Auf der Neuigkeiten-Seite können Bilder aus der eigenen App-Domain
app.taskasquest.de eingebunden sein. Dabei entstehen
technisch notwendige Serveranfragen an denselben Betreiber.
Cookies und lokale Speichertechniken auf der Website
Die Website taskasquest.de setzt
keine Cookies und nutzt keine lokalen Speichertechniken
wie localStorage, sessionStorage, IndexedDB
oder CacheStorage.
Es werden keine Cookies oder lokalen Speichertechniken eingesetzt, um Nutzer zu identifizieren, Nutzerverhalten auszuwerten oder Webtracking zu betreiben. Webanalysedienste werden nicht eingesetzt. Ein Cookie-Banner wird auf der Website deshalb nicht angezeigt.
2. Web-App und Android-App — app.taskasquest.de
Dieser Abschnitt beschreibt die Datenverarbeitung in der eigentlichen
Anwendung — egal ob du sie im Browser unter
app.taskasquest.de aufrufst, als PWA installierst oder
als Android-App aus dem Google Play Store nutzt. Sobald ein Konto
oder eine Demo-Sitzung im Spiel ist, gelten die folgenden Regeln.
Welche Daten werden verarbeitet?
Beim Anlegen eines Accounts und der Nutzung der App:
- Login-Name — frei wählbarer Pseudonym-Name plus
eine vierstellige Discriminator-Nummer, z. B.
Hanibal#0001. Bei optionalem Google-Login zusätzlich die bei Google hinterlegte E-Mail-Adresse (siehe Abschnitt „Anmeldung mit Google"). - Passwort-Hash — niemals im Klartext, nur als bcrypt-Hash gespeichert
- Charakter-Daten — frei gewählter Heldenname, Klasse, Level, XP, Avatar
- Quest-Daten — E2E-verschlüsselt: Titel, Beschreibung, Notizen. Im Klartext (technisch nötig): Termine, Status, Schwierigkeit, XP, Wiederholungs-Regel. Details im Abschnitt „Ende-zu-Ende-Verschlüsselung" unten.
- Gefährten-Verknüpfungen — wer mit wem Quests teilt
- Login-Tokens — JWT für Auth-State
- Letzte Aktivität — Datum des letzten Logins für Greeting-Logik und „Tage im Dienst"-Anzeige
Bereitstellung der App-Daten und Folgen der Nichtbereitstellung
Nach Art. 13 Abs. 2 lit. e DSGVO weise ich darauf hin, ob und welche Daten du für die Web-App und Android-App bereitstellen musst und was passiert, wenn du sie nicht bereitstellst:
- Login-Name und Passwort sind für die Nutzung eines Accounts erforderlich. Ohne sie kann keine Nutzung der App jenseits der Live-Demo erfolgen.
- Quest-, Held- und Vorrat-Daten gibst du freiwillig ein. Sie sind nicht erforderlich um die App zu nutzen, aber ohne sie hat die App für dich keinen Inhalt.
- Google-Login, KI-Funktionen und Push-Benachrichtigungen sind ausdrücklich freiwillig. Ohne sie funktionieren alle Kernfunktionen der App weiter; lediglich der jeweilige Komfort entfällt.
Keine automatisierte Entscheidungsfindung in der App
Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO statt. Spielmechaniken wie XP-Berechnung, Level-Aufstieg oder KI-gestützte Quest-Vorschläge haben keine rechtliche Wirkung dir gegenüber und beeinträchtigen dich nicht in vergleichbar erheblicher Weise.
Hosting, Dienstleister und Auftragsverarbeitung
Eigenbetrieb der Server-Infrastruktur
Für den Betrieb von Website, Web-App, API, Datenbank und Backups nutze ich eigene Serverhardware in Deutschland. Diese Systeme werden nicht bei einem externen Webhoster oder Cloud-Anbieter betrieben. Externe Dienstleister erhalten keinen administrativen Zugriff auf diese Server oder Datenbanken. Für diesen technischen Betrieb findet daher keine Auftragsverarbeitung durch externe Hosting-Dienstleister statt.
Domain, DNS und E-Mail
Für die Domain taskasquest.de sowie für DNS und
E-Mail-Weiterleitung nutze ich IONOS SE, Elgendorfer Str. 57,
56410 Montabaur.
E-Mails an support@taskasquest.de werden an ein GMX-Postfach weitergeleitet. Anbieter ist die 1&1 Mail & Media GmbH, Zweigniederlassung Karlsruhe, Brauerstr. 48, 76135 Karlsruhe. Dabei werden die für die E-Mail-Zustellung und Postfachbereitstellung erforderlichen Daten verarbeitet, insbesondere Absender, Empfänger, Zeitpunkt, Betreff und Inhalt der Nachricht.
Soweit diese Anbieter personenbezogene Daten in meinem Auftrag verarbeiten und eine Vereinbarung zur Auftragsverarbeitung gesetzlich erforderlich ist, wird eine entsprechende Vereinbarung nach Art. 28 DSGVO geschlossen. Die Datenverarbeitung erfolgt auf Grundlage meines berechtigten Interesses an einer zuverlässigen Domain- und E-Mail-Erreichbarkeit (Art. 6 Abs. 1 lit. f DSGVO).
Künstliche Intelligenz
Mistral AI wird nur bei aktiver Nutzung der KI-Funktionen eingebunden. Die Einzelheiten stehen im Abschnitt KI-Funktionen über Mistral AI.
- Verarbeitete Datenarten: Nutzungsdaten, Meta-/ Kommunikationsdaten, Protokolldaten
- Zwecke: Bereitstellung des Onlineangebots, informationstechnische Infrastruktur, Sicherheit
- Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO), Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
Sicherheitsmaßnahmen in der App
Für die Web-App und Android-App kommen zusätzlich modernes Passwort-Hashing, signierte und kurzlebige Auth-Tokens, selbst gehostete Infrastruktur ohne Cloud-Weitergabe, lokale Backups (Details: Backups) und optionale Ende-zu-Ende-Verschlüsselung für Quest-Inhalte hinzu.
Cookies und lokale Speichertechniken
TaskAsQuest verwendet keine Tracking-, Analyse-, Werbe- oder Marketing-Cookies.
Die Web-App und Android-App nutzen lokale Speichertechniken wie localStorage, sessionStorage, IndexedDB und CacheStorage ausschließlich für App-Funktionen, die du aktiv nutzt: Login, Sicherheit, Ende-zu-Ende-Verschlüsselung, App-Einstellungen, Offline-Funktion und PWA-Betrieb.
Diese Daten liegen lokal auf deinem Gerät. Du kannst sie über die Browser- oder App-Einstellungen löschen. Danach musst du dich neu einloggen; einzelne App-Funktionen wie Offline-Nutzung, gespeicherte Einstellungen oder Verschlüsselung funktionieren ggf. erst nach erneuter Einrichtung wieder vollständig.
Ende-zu-Ende-Verschlüsselung
Sobald du die App nutzt, wird die Verschlüsselung eingerichtet. Quest-Inhalte werden auf deinem Gerät verschlüsselt, bevor sie an den Server gesendet werden. Der Server speichert nur das Chiffrat und kann es nicht entschlüsseln.
Was konkret verschlüsselt wird (Inhalt):
- Quest-Titel
- Quest-Beschreibung
- Original-Eingabetext (vor KI-Bearbeitung, falls genutzt)
- Manuell eingegebene Notizen / User-Description-Felder
Was nicht Ende-zu-Ende-verschlüsselt ist (Metadaten):
- Fälligkeitsdatum und Uhrzeit (technisch nötig für Erinnerungen, Sortierung, Tagesplan)
- Quest-Status (offen/erledigt/abgebrochen)
- Schwierigkeit, XP-Wert, Wiederholungs-Regel
- Held-Daten (Klasse, Level, HP, MP, XP, Avatar-URL)
- Beziehungen zwischen Konten (Gefährten, Quest-Sichtungen)
- Server-seitige Zeitstempel (created/updated)
Der Privatschlüssel wird mit deinem Passwort abgeleitet — du behältst die volle Kontrolle. Nicht einmal ich als Server-Betreiber kann deine verschlüsselten Quest-Inhalte lesen. Metadaten (siehe Liste oben) sind allerdings im Klartext in meiner Datenbank gespeichert, weil die App sonst keine Tagespläne, Statistiken oder Erinnerungs-Logik berechnen könnte.
Konto-Sicherheit (2FA, Recovery, Login-Sperre)
Für die Sicherheit des Logins werden folgende konto-gebundene Daten in meiner Server-Datenbank in Deutschland gespeichert:
- 2FA / TOTP (optional, wenn aktiviert): ein Geheimnis für die Authenticator-App und ein Aktiv-Flag. Du musst beim Login zusätzlich einen Einmal-Code eingeben. Das Geheimnis wird beim Deaktivieren der 2FA-Funktion oder beim Löschen deines Accounts gelöscht.
- Wiederherstellungs-Code: beim Einrichten der E2E-Verschlüsselung wird einmalig ein langer Recovery-Code generiert, den nur du siehst. Gespeichert wird ausschließlich ein Hash davon — der Code selbst nie. Der Hash bleibt gespeichert, bis ein neuer Recovery-Code erzeugt wird oder dein Account gelöscht wird. Damit kannst du im Notfall (Passwort vergessen) deinen Zugang wiederherstellen.
- Login-Sperre nach Fehlversuchen: nach mehreren falschen Passwort-Eingaben wird das Konto kurzzeitig gesperrt (Schutz gegen Brute-Force). Gespeichert werden der Fehlversuchs- Zähler und der Zeitpunkt, bis zu dem das Konto gesperrt ist. Nach erfolgreichem Login wird beides zurückgesetzt. Die technische Sperrzeit beträgt maximal 15 Minuten.
Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Speicherdauer: 2FA-Daten bis zur Deaktivierung der 2FA-Funktion oder Account-Löschung; Recovery-Code-Hash bis zur Erzeugung eines neuen Recovery-Codes oder Account-Löschung; Login- Fehlversuche bis zum nächsten erfolgreichen Login, spätestens bis zur Account-Löschung. Die aktive Login-Sperre selbst dauert technisch maximal 15 Minuten.
Android-App: Berechtigungen und Push
Die Android-App fordert beim ersten Start nur die Berechtigungen an, die für ihre Funktion zwingend nötig sind. Hier eine Übersicht, wofür jede Berechtigung verwendet wird:
- Internet (
INTERNET) und Netzwerk-Status (ACCESS_NETWORK_STATE): Verbindung zum Server (Authentifizierung, Quest-Synchronisation, KI-Anfragen). Die App prüft den Netzwerk-Status, um Offline-Modus und Wiederverbindung sauber zu handhaben. Eine Datenweitergabe an Dritte findet über diese Verbindung nicht statt — außer wenn du optionale KI-Funktionen aktiv auslöst; dann gilt der Abschnitt Mistral AI. - Benachrichtigungen (
POST_NOTIFICATIONS): Anzeige von lokalen Erinnerungen und Hinweisen auf neue Gefährten-Aufträge. Wird beim ersten Start aktiv abgefragt. Kann jederzeit in den System-Einstellungen oder in der App deaktiviert werden. - Zeitgenaue Erinnerungen
(
SCHEDULE_EXACT_ALARM): Lokale Erinnerungen zu exakten Uhrzeiten (z. B. „Quest fällig um 14:30") sowie das 15-Minuten-Polling für neue Gefährten-Zuweisungen (siehe unten). Ohne diese Berechtigung können Erinnerungen mit Verzögerung von mehreren Minuten ausgelöst werden. Es findet keine Datenübertragung statt — die Erinnerung wird lokal auf dem Gerät aus den App-Daten erzeugt. - Start nach Geräte-Neustart
(
RECEIVE_BOOT_COMPLETED) — nur Play-Store-Variante: Nach einem Neustart des Smartphones werden die lokalen Alarme (Erinnerungen, Polling-Trigger) automatisch neu geplant. Ohne diese Berechtigung müsstest du die App nach jedem Neustart einmal öffnen, damit Erinnerungen wieder zuverlässig kommen. Hinweis: Bei der über die Website verteilten Direkt-APK ist diese Berechtigung weggelassen — du musst die App dort nach jedem Reboot einmal öffnen.
Push-Mechanik im Detail
Die Android-App nutzt Hintergrund-Polling alle 15 Minuten
über den Android-AlarmManager. Solange du eingeloggt bist, fragt die App
in diesem Intervall einen HTTPS-Endpoint auf meinem Server ab
(https://app.taskasquest.de/poll?userId=…), ob neue
Quest-Zuweisungen von Gefährten für dich vorliegen. Wenn ja, wird lokal
auf dem Gerät eine Benachrichtigung erzeugt.
Bei jedem Polling-Request wird zusätzlich dein Auth-Token mitgeschickt. Der Server prüft, dass der Token gültig ist und zur angefragten Nutzer-ID gehört — verhindert, dass jemand mit einer geratenen Nutzer-ID fremde Quest-Titel abfragen könnte.
Zur lokalen Erinnerung synchronisiert die Android-App im gleichen Polling-Zyklus auch die heute fälligen Aufgaben aus der Server-Datenbank, um zeitnahe Reminder im Android-AlarmManager planen zu können. Auch dabei wird der Auth-Token mitgeschickt; die Anfrage geht ausschließlich an meinen Server.
Die Verbindung geht ausschließlich an meinen Server in Deutschland. Nach dem Abmelden oder Deinstallieren der App wird das Polling gestoppt.
Web-Bundle-Updates (OTA, nur Android-App)
Die Android-App enthält ein kleines selbstgebautes Update-System für die Web-Oberfläche — so können kleinere UI-Verbesserungen ohne neuen Play-Store-Roll-Out beim Nutzer ankommen.
- Beim App-Start fragt die App
https://app.taskasquest.de/web-version.jsonab - Bei neuer Version: Download des Web-Bundles
(
/web-bundle.zip, typisch < 5 MB) und Entpacken ins App-interne Dateisystem (getFilesDir()/web/) - Datenverkehr: ausschließlich an meinen Server in Deutschland
- Lokale Speicherung: das entpackte Bundle wird beim nächsten Update überschrieben; beim Deinstallieren der App komplett entfernt
- Wer keine OTA-Updates will: App über den Play Store nutzen (dort läuft das normale Play-Store-Update) — der OTA-Mechanismus prüft nur freiwillige Web-Updates
Loader-Bilder
Bei längeren Ladevorgängen zeigt die App ein zufälliges, zur Heldenklasse passendes Loader-Bild an. Diese Bilder werden bei Bedarf nachgeladen:
- Index-Abruf:
https://app.taskasquest.de/loaders/<klasse>/<tag-oder-nacht>/index.json - Anschließend das gewählte PNG aus dem gleichen Verzeichnis
- Datenverkehr: ausschließlich an meinen Server in Deutschland
- Lokale Speicherung: Index wird im Memory-Map gehalten (kein localStorage, keine IndexedDB), Browser/WebView entscheidet eigenverantwortlich über das HTTP-Caching der PNG-Dateien
HTTPS-only (Cleartext-Traffic deaktiviert): Die App
ist mit einer expliziten network_security_config
ausgeliefert, die jegliche unverschlüsselte HTTP-Verbindung
verbietet (cleartextTrafficPermitted="false").
Alle Server-Anfragen laufen über HTTPS mit Let's-Encrypt-Zertifikaten.
Der Sonnenmodus kann in der Android-App den Helligkeitssensor lokal auslesen, um automatisch zwischen heller und dunkler Ansicht zu wechseln. Der Lux-Wert wird nicht an den Server übertragen.
Rechtsgrundlage Push und Erinnerungen: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) — du aktivierst Benachrichtigungen aktiv beim ersten Start. Rechtsgrundlage technische Berechtigungen (Internet, Netzwerk, exakte Erinnerungen, Start nach Reboot): berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) am Betrieb der App entsprechend ihrer Funktion.
Anmeldung mit Google (OAuth)
Auf der Login-Seite kannst du optional die Schaltfläche „Mit Google anmelden" wählen. Damit startest du einen OAuth-2.0-Flow mit Google und übermittelst dabei aktiv personenbezogene Daten an Google (Konzernsitz EU: Google Ireland Limited; Konzernmutter: Google LLC, USA).
Ablauf: Erst nach deinem Klick auf „Mit Google
anmelden" verlässt du meine Seite und landest auf
accounts.google.com; dort setzt Google eigene Cookies
und verarbeitet deine IP-Adresse, deinen User-Agent und deine
Konto-Daten gemäß der eigenen Datenschutzerklärung (siehe unten).
Nach erfolgreicher Anmeldung wirst du zu
app.taskasquest.de zurückgeleitet; die kurzlebigen
OAuth-Werte im sessionStorage werden dabei sofort gelöscht.
Welche Daten dabei verarbeitet werden:
- Deine IP-Adresse (durch die Weiterleitung zu Google)
- Deine bei Google hinterlegte E-Mail-Adresse und dein Anzeigename
- Deine Google-Account-ID (numerischer Identifier)
- Die technische Verknüpfung zwischen deinem TaskAsQuest-Account und deinem Google-Login — dafür speichere ich auf meinem Server deine Google-Account-ID sowie, soweit von Google übermittelt, deine E-Mail-Adresse und deinen Anzeigenamen
- Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (mit Konzernmutter Google LLC, USA)
- Datenschutz Google: policies.google.com/privacy
- Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) — du entscheidest dich aktiv für die Anmeldung mit Google. Du kannst stattdessen jederzeit die Anmeldung per Login-Name und Passwort nutzen.
- Drittlandtransfer: USA — gestützt auf das EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023). Google ist nach dem DPF zertifiziert.
- Speicherdauer: Kurzlebige OAuth-Werte während des Anmeldevorgangs werden sofort nach Abschluss oder Abbruch des Logins gelöscht. Die technische Verknüpfung mit deinem Google-Login bleibt gespeichert, solange dein TaskAsQuest-Account besteht. Bei Löschung deines TaskAsQuest-Accounts wird die Google-Verknüpfung gelöscht; in Backups kann sie danach noch bis zu 3 Wochen enthalten sein.
Distribution über Google Play Store
Die Android-Variante von TaskAsQuest wird über den
Google Play Store verteilt. Auf dieser Website findest
du dafür einen „Bei Google Play laden"-Button, der zu
play.google.com verlinkt. Wenn du diesen Button anklickst
oder die App über den Play Store installierst, gilt:
- Beim Klick auf den Button wird deine IP-Adresse, dein User-Agent und die Referrer-URL an Google übermittelt
- Beim Installieren über den Play Store erhält Google deinen Play-Account-Identifier, dein Gerät, ungefähre Geo-Region sowie Install-/Crash-/Stabilitäts-Statistiken (Google Play Services)
- Updates werden automatisch über Google ausgeliefert; Google sieht dabei welche Version du wann installiert hast
- Diese Datenverarbeitungen liegen in der Verantwortung von Google. Weitere Informationen findest du in der Datenschutzerklärung von Google sowie in den Datenschutz- und Sicherheitsinformationen von Google Play.
- Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
- Drittlandtransfer: USA — gestützt auf das EU-US Data Privacy Framework
- Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) — Bereitstellung einer Android-App über den marktüblichen Vertriebskanal. Die Weiterleitung zu Google erfolgt erst durch deinen aktiven Klick; die weitere Verarbeitung im Play Store liegt in Googles Verantwortung.
KI-Funktionen über Mistral AI (EU)
Für einige optionale Funktionen (z. B. Quest-Texte „episch verwandeln", Rezept- und Mahlzeit-Vorschläge) wird auf Klick KI verwendet. An Mistral übermittelt werden ausschließlich der von dir eingegebene Task-Text, Mahlzeiten-Namen oder Vorräte. Die eingegebenen Inhalte selbst können personenbezogene Angaben enthalten, wenn du sie einträgst (z. B. Namen oder Telefonnummern in einem Quest-Text). Aus den übermittelten Inhalten entstehen Fantasie-Texte oder Rezepte.
- Anbieter: Mistral AI SAS, Paris, Frankreich (EU)
- Drittland: Verarbeitung primär in der EU
- Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) — du löst die Anfrage durch aktiven Klick aus
- Verarbeitung durch Mistral: Mistral erhält nur die Inhalte, die du aktiv in der jeweiligen KI-Funktion verwendest (z. B. Quest-Text, Mahlzeiten-Namen oder Vorräte). Was Mistral mit diesen Daten macht, richtet sich nach den jeweils aktuellen Bedingungen und Datenschutzhinweisen von Mistral.
- Speicherdauer bei Mistral: Nach Mistrals Privacy Policy (Stand: 8. April 2026) werden Eingabe und Ausgabe „für die zur Erzeugung der Antwort notwendige Zeit, danach 30 rollende Tage zur Missbrauchs-Überwachung" gespeichert.
- Mehr Infos zu Speicherung und Verarbeitung bei Mistral: docs.mistral.ai/admin/security-access/privacy und legal.mistral.ai/terms/privacy-policy
Demo-Accounts (Live-Demo)
Über den „Live-Demo"-Button auf der Website kannst du TaskAsQuest ohne Registrierung ausprobieren. Beim Klick wird automatisch ein temporärer Demo-Account mit Beispiel-Daten angelegt. Du wirst direkt in die App eingeloggt, ohne dass du Daten von dir angeben musst.
- Welche Daten werden verarbeitet: ein technisch erzeugter Demo-Account, Beispiel-Daten, technische Sitzungsdaten sowie alle Inhalte, die du während der Demo selbst erzeugst (z. B. Quests oder Held-Aktionen). Eine echte E-Mail-Adresse oder Geräte-Identifier werden nicht erhoben.
- Speicherort: gleiches System in Deutschland wie bei normalen Konten.
- Speicherdauer: Demo-Accounts werden automatisch gelöscht, spätestens nach 24 Stunden, samt der während der Demo erzeugten Daten. In Datenbank-Sicherungen können Demo-Daten noch bis zu drei Wochen enthalten sein, sofern sie zum Backup-Zeitpunkt noch existierten.
- Keine neuen Gefährten-Verbindungen: In der Demo wird dein eigener Heldencode nicht angezeigt. Wenn du einen fremden Heldencode eingibst, wird keine Einladung erstellt.
- Schutz gegen Missbrauch: Die Demo-Erstellung kann zeitweise begrenzt werden, wenn ungewöhnlich viele Demo-Sitzungen angefragt werden.
- Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) — du löst die Erstellung durch aktiven Klick auf den Demo-Button aus.
Bug-Reports aus der App
Über den „Bug melden"-Button (Held → App → Unterstützen) kannst du Fehler aus der App heraus an mich senden. Beim Absenden werden in meiner Server-Datenbank gespeichert: die Beschreibung (dein Text), ein optionaler Screenshot wenn du einen anhängst, die App-Version und Geräte-Kennung (User-Agent) zum Reproduzieren, sowie die Verknüpfung zu deinem Account für Rückfragen. Sonstige Quest-, Held- oder Profildaten werden nicht in den Report kopiert; was im Screenshot zu sehen ist, entscheidest du.
- Zweck: Fehlerbehebung und App-Verbesserung
- Rechtsgrundlage: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO); Senden ist freiwillig
- Speicherdauer: Der Report wird unabhängig von der Bearbeitung automatisch nach 90 Tagen gelöscht.
- Empfänger: ausschließlich der Verantwortliche, keine Weitergabe
- Löschung auf Wunsch: kurze Mail an support@taskasquest.de
Backups
Wöchentliches Snapshot-Backup der Nutzerdaten auf eine zweite interne Festplatte am selben Server. Wird nicht in eine Cloud kopiert, verlässt die Server-Hardware nie. Es werden die letzten drei Backup-Generationen vorgehalten (maximal drei Wochen), ältere automatisch gelöscht.
Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) — Datenintegrität und Verfügbarkeit.
Daten zurücksetzen / löschen
TaskAsQuest bietet drei abgestufte Optionen, je nachdem wie viel du behalten möchtest. Alle drei findest du in der App unter Held → Konto-Tab → ganz nach unten. Alle drei wirken sofort und endgültig serverseitig (zur Backup-Rotation siehe Backups: die wöchentliche Datenbank-Sicherung enthält noch bis zu 3 Wochen lang den Stand vor der Löschung, danach läuft sie aus).
Stufe 1: Nur Helden zurücksetzen (Aufgaben bleiben)
Nur dein Charakter wird gelöscht — du kannst sofort eine neue Klasse wählen und mit deinem bestehenden Aufgaben-Bestand neu starten.
Was gelöscht wird:
- Charakter (Name, Klasse, Level, Erfahrung, HP, Skill-Tree)
- Statistiken (Lifetime-Counter, Erfolge)
- Gesundheits-Aktivitäten (Wasser-, Powernap-, Mahlzeit-Log)
- Lokal im Gerät: Avatar-Bild, Skill-Cache, Achievements-Claim-Status
Was bleibt:
- Account-Zugangsdaten (Login-Name und Passwort-Hash; bei Google-Login zusätzlich die von Google übermittelte E-Mail-Adresse und OAuth-Verknüpfung), 2-Faktor-Authentifizierung
- Alle Quests und Projekte (Dungeons)
- Vorrat-Einträge in der Speisekammer (taq_meals + taq_pantry)
- Selbst erstellte Allianzen (Parties)
- UI-Einstellungen (Anzeigemodus, Schriftgröße, Helligkeit)
Schritte: App → Held → Konto-Tab → ganz nach unten → „Zurücksetzen / löschen" → „Nur Helden zurücksetzen" → bestätigen.
Stufe 2: Daten zurücksetzen (Account bleibt)
Entfernt alle Spiel- und Nutzungsdaten serverseitig, lässt dich aber eingeloggt. Du kannst danach mit einem komplett leeren Konto neu starten — der Vorrat bleibt erhalten, weil er häufig längerfristig gepflegt wird.
Was gelöscht wird:
- Alle Quests (Tasks) inkl. Zuweisungen an Gefährten
- Alle Projekte (Dungeons) inkl. Zuweisungen
- Charakter (Name, Klasse, Level, Erfahrung, HP, Magie)
- Skill-Tree und freigeschaltete Talente
- Gesundheits-Aktivitäten (Wasser, Powernap, Mahlzeit-Log)
- Statistiken und Spielfortschritt
- Selbst erstellte Allianzen (Parties) und deren Mitgliedschaften
- Alle lokalen TAQ-Einstellungen im Gerät — d.h. der
komplette
localStoragewird auf TAQ-Schlüssel gefiltert und alles gelöscht (allequestastask-*undtaq-*Keys: Anzeigemodus/Chronik, Schriftgröße, Helligkeit, Sonnen-Modus, Avatar-Bild, Skill-Cache, Achievements- Claim-Status, KI-Tageszähler/Magie, Push-Erinnerungs-Einstellungen, Widget-Einstellungen, Status-Notification-Flag, Debug-Schalter). Ausnahme: der E2E-Verschlüsselungs-Schlüssel (taq-priv-key) bleibt, da der Account erhalten bleibt. - Service-Worker-Cache (der PWA-Offline-Cache wird invalidiert)
Was bleibt:
- Dein Account: Account-Zugangsdaten (Login-Name und Passwort-Hash; bei Google-Login zusätzlich die von Google übermittelte E-Mail-Adresse und OAuth-Verknüpfung)
- 2-Faktor-Authentifizierung (TOTP), falls eingerichtet
- Vorrat-Einträge in der Speisekammer (taq_meals + taq_pantry) — diese kannst du im Vorrat-Tab separat einzeln oder gesammelt löschen
- Dein lokaler E2E-Verschlüsselungs-Schlüssel
(
taq-priv-key) — sonst müsstest du beim nächsten Login neue Schlüssel erzeugen
Schritte: App → Held → Konto-Tab → ganz nach unten → „Zurücksetzen / löschen" → „Daten zurücksetzen" → bestätigen.
Stufe 3: Account komplett löschen (wirklich alles)
Endgültige Löschung deines gesamten Accounts inklusive Zugangsdaten. Nach dieser Aktion ist kein Login mehr möglich, und es gibt keine Möglichkeit zur Wiederherstellung — auch nicht durch den Anbieter.
Was gelöscht wird: alle Daten aus Stufe 2 plus zusätzlich
- Account-Record: Account-Zugangsdaten (Login-Name und Passwort-Hash; bei Google-Login zusätzlich die von Google übermittelte E-Mail-Adresse und OAuth-Verknüpfung)
- Vorrat-Einträge in der Speisekammer (taq_meals + taq_pantry)
- Bug-Reports inkl. eingereichter Screenshots
- Benachrichtigungs- und Polling-Logs (falls vorhanden)
- Hochgeladene Helden-Bilder (Custom-Avatare)
- Selbst erstellte Einladungslinks für Allianzen
- Mitgliedschaften in fremden Allianzen
- E2E-Verschlüsselungs-Schlüssel:
taq-priv-keyauslocalStoragesowie alle TAQ-IndexedDB-Datenbanken (questastask-cryptou.a.) werden gelöscht
Aufbewahrungsdauer: keine. Die Löschung erfolgt unmittelbar in der zentralen Server-Datenbank (Hosting siehe Hosting). Die wöchentliche Datenbank-Sicherung enthält noch bis zu 3 Wochen lang den Stand vor der Löschung (3 Generationen auf zweiter interner Festplatte), danach läuft sie aus. Ein Cloud-Backup der Nutzerdaten findet nicht statt (siehe Backups).
Schritte: App → Held → Konto-Tab → ganz nach unten → „Zurücksetzen / löschen" → „Account komplett löschen" → bestätigen.
Internationale Datentransfers
Live-Server, Datenbank und Schriftarten von TaskAsQuest liegen ausschließlich in Deutschland. Auch Backups der Nutzerdatenbank bleiben ausschließlich auf der lokalen Hardware (siehe Abschnitt Backups).
Bei der Nutzung der App können Datentransfers in die USA in folgenden Fällen stattfinden — alle nur durch deine aktive Wahl ausgelöst:
- Anmeldung mit Google (OAuth) — nur wenn du die Anmeldung mit Google im App-Login aktiv wählst (Details siehe Anmeldung mit Google)
- Distribution über Google Play Store — nur wenn du die App über den Play Store installierst statt sie als Web-App im Browser zu nutzen (Details siehe Distribution über Google Play Store)
Diese Übermittlungen stütze ich auf das EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023). Google ist nach dem DPF zertifiziert. Weitere Informationen: dataprivacyframework.gov.
Aufbewahrung und Löschung der App-Daten
Ich lösche personenbezogene Daten gemäß den gesetzlichen Bestimmungen, sobald die zugrundeliegenden Einwilligungen widerrufen werden oder keine weiteren Rechtsgrundlagen für die Verarbeitung bestehen.
- Account-Daten — bis zur Löschung des Accounts durch dich (über die App: Held → Account zurücksetzen / löschen, siehe drei Stufen oben)
- Server-Logs (nur App-Domain) — Request-Metadaten
(Methode, Pfad, Status-Code, Zeitstempel, User-Agent, TLS-Parameter)
werden im Server-Log gesammelt. Die
IP-Adresse wird nicht geloggt — sie wird vor dem Schreiben
aus jedem Log-Eintrag entfernt. Aufbewahrungsdauer: maximal
30 Tage. API-Fehlerlogs werden ebenfalls maximal 30 Tage
gespeichert. Die Website-Domain
taskasquest.dehat keine Access-Logs (siehe Abschnitt Server-Logs unter Bereich 1). - Auth-Tokens — Auf deinem Gerät wird ein Auth-Token lokal gespeichert, damit du eingeloggt bleibst. Der Token bleibt dort gespeichert, bis du dich ausloggst, deinen Account löschst, Browser-/Website-Daten entfernst, App-Daten löschst oder die App deinstallierst. Serverseitig wird der Auth-Token nicht als eigene Sitzung oder Token-Liste dauerhaft gespeichert, sondern bei Anfragen nur geprüft. Ein einzelner Auth-Token ist maximal 90 Tage gültig; bei weiterer Nutzung der App innerhalb dieser Zeit kann ein neuer Token ausgestellt werden, damit du dich nicht erneut einloggen musst.
- Verschlüsselte Inhalte — deine eingegebenen Inhalte wie Quest-Titel, Quest-Beschreibungen und Notizen werden auf dem Server verschlüsselt gespeichert, damit du sie in der App nutzen und zwischen Geräten synchronisieren kannst. Sie bleiben gespeichert, bis du sie selbst löschst, deine App-Daten zurücksetzt oder deinen Account löschst. In Backups können sie danach noch bis zu 3 Wochen enthalten sein.
Ausnahmen bestehen, wenn gesetzliche Pflichten (Handels-, Steuerrecht) oder besondere Interessen (Rechtsverfolgung) eine längere Aufbewahrung erfordern.
3. Übergreifend (gilt für beide Bereiche)
Rechte der betroffenen Personen
Du hast jederzeit das Recht auf:
- Widerspruchsrecht (Art. 21 DSGVO): Du hast das Recht, aus Gründen, die sich aus deiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung deiner personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen.
- Widerrufsrecht bei Einwilligungen: Du kannst erteilte Einwilligungen jederzeit widerrufen.
- Auskunftsrecht (Art. 15 DSGVO): Bestätigung, ob dich betreffende Daten verarbeitet werden, plus Auskunft über diese Daten und Kopie der Daten.
- Recht auf Berichtigung (Art. 16 DSGVO): Vervollständigung oder Korrektur deiner Daten.
- Recht auf Löschung (Art. 17 DSGVO): Löschung deines Accounts — entweder direkt in der App (Held → Account zurücksetzen / Account löschen) oder per E-Mail-Anfrage.
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO).
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Export auf Anfrage für alle unverschlüsselten Daten (Account, Held, Statistiken, Vorrat, Allianzen, Quest-Metadaten). E2E-verschlüsselte Quest-Inhalte (Titel, Beschreibung, Notizen) können nur als verschlüsselter Block geliefert werden — zur Entschlüsselung benötigst du deinen eigenen Schlüssel.
- Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO).
Anfragen sende bitte an die im Impressum genannte E-Mail-Adresse.
Aufsichtsbehörde
Zuständige Datenschutz-Aufsichtsbehörde:
Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5
30159 Hannover
Telefon: +49 511 120-4500
E-Mail: poststelle@lfd.niedersachsen.de
Web: lfd.niedersachsen.de
Änderung und Aktualisierung
Diese Datenschutzerklärung wird angepasst, wenn sich rechtliche Vorgaben oder technische Gegebenheiten ändern. Die jeweils aktuelle Version findest du immer unter /datenschutz.
Stand: 21. Mai 2026