Zum Inhalt springen
DACH · 4.625 Events live · 299 Stores indexiert · zuletzt aktualisiert 04.05.2026
mainphase
// Rechtliches

Datenschutzerklärung

1) Einleitung und Kontaktdaten des Verantwortlichen

1.1 Wir freuen uns, dass du unsere Website besuchst und bedanken uns für dein Interesse. Im Folgenden informieren wir dich über den Umgang mit deinen personenbezogenen Daten bei der Nutzung unserer Website. Personenbezogene Daten sind hierbei alle Daten, mit denen du persönlich identifiziert werden kannst.

1.2 Verantwortlicher für die Datenverarbeitung auf dieser Website im Sinne der Datenschutz-Grundverordnung (DSGVO) ist Manuel Dörrenbächer, mainphase.de, Ortsstraße 27F, 93354 Biburg, Deutschland, E-Mail: [email protected]. Der für die Verarbeitung von personenbezogenen Daten Verantwortliche ist diejenige natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

2) Datenerfassung beim Besuch unserer Website

2.1 Bei der bloß informatorischen Nutzung unserer Website, also wenn du dich nicht registrierst oder uns anderweitig Informationen übermittelst, erheben wir nur solche Daten, die dein Browser an den Seitenserver übermittelt (sog. „Server-Logfiles"). Wenn du unsere Website aufrufst, erheben wir die folgenden Daten, die für uns technisch erforderlich sind, um dir die Website anzuzeigen:

  • Unsere besuchte Website

  • Datum und Uhrzeit zum Zeitpunkt des Zugriffs

  • Menge der gesendeten Daten in Byte

  • Quelle/Verweis, von welchem du auf die Seite gelangtest

  • Verwendeter Browser

  • Verwendetes Betriebssystem

  • Verwendete IP-Adresse (ggf. in anonymisierter Form)

Die Verarbeitung erfolgt gemäß Art. 6 Abs. 1 lit. f DSGVO auf Basis unseres berechtigten Interesses an der Verbesserung der Stabilität und Funktionalität unserer Website. Eine Weitergabe oder anderweitige Verwendung der Daten findet nicht statt. Wir behalten uns allerdings vor, die Server-Logfiles nachträglich zu überprüfen, sollten konkrete Anhaltspunkte auf eine rechtswidrige Nutzung hinweisen.

2.2 Diese Website nutzt aus Sicherheitsgründen und zum Schutz der Übertragung personenbezogener Daten und anderer vertraulicher Inhalte (z.B. Bestellungen oder Anfragen an uns) eine SSL- bzw. TLS-Verschlüsselung. Du kannst eine verschlüsselte Verbindung an der Zeichenfolge „https://" und dem Schloss-Symbol in deiner Browserzeile erkennen.

3) Hosting & Content-Delivery-Network

Hetzner Online (Server)

Die Anwendung selbst läuft auf einem von uns betriebenen Server bei der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland. Hetzner verarbeitet beim Aufruf der Website technisch erforderliche Verbindungsdaten (insbesondere die IP-Adresse) zur Auslieferung der Inhalte. Provisioniert und verwaltet wird der Server über Laravel Forge. Datenschutzerklärung von Hetzner: https://www.hetzner.com/de/rechtliches/datenschutz. Mit Hetzner besteht ein Vertrag über Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer zuverlässigen Bereitstellung der Website).

Cloudflare (CDN/WAF)

Vor dem Server liegt Cloudflare als Content-Delivery-Network und Web-Application-Firewall: Cloudflare Inc., 101 Townsend St., San Francisco, CA 94107, USA. Cloudflare verarbeitet IP-Adressen zur schnelleren Auslieferung, zur DDoS-Abwehr und zum Bot-Schutz. Wir nutzen den von Cloudflare gesetzten Header CF-IPCountry, um in unserer Reichweitenmessung den Ländercode (DE/AT/CH/sonstige) auszuwerten — die rohe IP-Adresse selbst speichern wir nicht. Datenschutzerklärung von Cloudflare: https://www.cloudflare.com/de-de/privacypolicy/.

Die Verarbeitung erfolgt zur Wahrung unseres berechtigten Interesses an Stabilität, Sicherheit und Performance unserer Website gem. Art. 6 Abs. 1 lit. f DSGVO. Mit Cloudflare besteht ein AVV. Für Datenübermittlungen in die USA hat sich der Anbieter dem EU-US-Datenschutzrahmen (EU-US Data Privacy Framework) angeschlossen, das auf Basis eines Angemessenheitsbeschlusses der Europäischen Kommission die Einhaltung des europäischen Datenschutzniveaus sicherstellt.

4) Kontaktaufnahme

Im Rahmen der Kontaktaufnahme mit uns (z.B. per Kontaktformular oder E-Mail) werden — ausschließlich zum Zweck der Bearbeitung und Beantwortung deines Anliegens und nur im dafür erforderlichen Umfang — personenbezogene Daten verarbeitet. Rechtsgrundlage für die Verarbeitung dieser Daten ist unser berechtigtes Interesse an der Beantwortung deines Anliegens gemäß Art. 6 Abs. 1 lit. f DSGVO. Zielt deine Kontaktierung auf einen Vertrag ab, so ist zusätzliche Rechtsgrundlage für die Verarbeitung Art. 6 Abs. 1 lit. b DSGVO. Deine Daten werden gelöscht, wenn sich aus den Umständen entnehmen lässt, dass der betroffene Sachverhalt abschließend geklärt ist und sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

5) Seitenfunktionalitäten

Cloudflare Turnstile

Auf dieser Website verwenden wir den CAPTCHA-Dienst des folgenden Anbieters: Cloudflare, Inc., 101 Townsend St., San Francisco, CA 94107, USA. Der Dienst prüft, ob eine Eingabe durch eine natürliche Person oder missbräuchlich durch maschinelle und automatisierte Verarbeitung erfolgt, und blockiert Spam, DDoS-Attacken sowie ähnliche automatisierte Schadzugriffe. Um sicherzustellen, dass eine Handlung von einem Menschen und nicht von einem automatisierten Bot vorgenommen wird, erhebt Cloudflare Turnstile die IP-Adresse des verwendeten Endgeräts, Erkennungsdaten des verwendeten Browser- und Betriebssystem-Typs sowie Datum und Dauer des Besuchs und übermittelt diese zur Auswertung an Server des Anbieters.

Rechtsgrundlage ist unser berechtigtes Interesse an der Feststellung der individuellen Eigenverantwortung im Internet und der Vermeidung von Missbrauch und Spam gemäß Art. 6 Abs. 1 lit. f DSGVO. Wir haben mit dem Anbieter einen Auftragsverarbeitungsvertrag abgeschlossen. Für Datenübermittlungen in die USA hat sich der Anbieter dem EU-US-Datenschutzrahmen (EU-US Data Privacy Framework) angeschlossen.

6) Reichweiten- und Feature-Tracking (eigene Server-Pipeline, ohne Cookies)

6.1 Wir betreiben auf mainphase.de eine eigene, anonyme Reichweitenmessung. Es werden keine Cookies gesetzt, keine Drittanbieter-Trackingdienste eingebunden und kein persistenter Identifier vergeben — daher zeigen wir auch kein Cookie-Banner. Beim Aufruf einer Seite oder beim Auslösen einer relevanten Interaktion (z.B. Klick auf einen Store, Klick auf einen externen Store-Link, leeres Suchergebnis, Lese-Tiefe eines Artikels) wird ein Ereignis an unseren Endpoint /api/track gesendet. Verarbeitet werden ausschließlich:

  • der Pfad der aufgerufenen Seite (z.B. /events/),

  • der Ereignistyp (z.B. pageview, store_click, outbound_conversion),

  • der Kategorie-Code des Ländercodes (DE/AT/CH/sonstige) auf Basis des Cloudflare-Headers CF-IPCountry,

  • ein grober Endgerätetyp (mobile/tablet/desktop/bot),

  • eine grobe Referrer-Kategorie (google/social/direct/internal/sonstige) — die volle Referrer-URL wird nicht gespeichert,

  • ein tagesrotierender, nicht reversibler Hash deiner IP-Adresse (HMAC-SHA256, Schlüssel = unser App-Key plus täglich rotierender Salt; Rotation um 05:00 Europe/Berlin). Dieser Hash erlaubt uns ausschließlich, innerhalb eines Tages mehrere Ereignisse derselben IP zusammenzufassen — eine Re-Identifikation oder ein Tracking über Tage hinweg ist technisch ausgeschlossen,

  • optional aus der URL übernommene UTM-Werte (utm_source/medium/campaign), wenn du über einen Kampagnen-Link kommst. Suchbegriffe als Freitext werden nicht erhoben.

6.2 Speicherdauer: Rohdaten werden nach maximal 48 Stunden automatisch gelöscht. Erhalten bleiben anonyme Tagesaggregate (z.B. „X Aufrufe der Stores-Übersicht aus DE am 01.05.2026"), aus denen sich kein Rückschluss auf Einzelpersonen ziehen lässt.

6.3 Rechtsgrundlage ist unser berechtigtes Interesse an einer datenschutzfreundlichen Reichweitenmessung gemäß Art. 6 Abs. 1 lit. f DSGVO. Da kein persistenter Identifier in deinem Endgerät gespeichert oder ausgelesen wird, ist § 25 Abs. 1 TDDDG nicht einschlägig. Eine Einwilligung ist daher nicht erforderlich. Dashboard- und Adminbereiche werden bewusst nicht in die Reichweitenmessung einbezogen.

6.4 Widerspruch / Opt-Out: Du kannst der Reichweitenmessung jederzeit widersprechen. Setze dazu im Browser den Schalter „Reichweitenmessung deaktivieren" auf dieser Datenschutzseite — dadurch wird in deinem Browser ein technischer Merker (mainphase_tracking_disabled) im localStorage abgelegt, der weitere Übertragungen unterbindet. Diese Speicherung ist im Sinne von § 25 Abs. 2 Nr. 2 TDDDG unbedingt erforderlich, um deinen Widerspruch technisch umzusetzen. Browsersignale wie „Do Not Track" respektieren wir, soweit dein Browser sie noch sendet.

7) Anonymes Feature-Tracking (Profilaufrufe, Interesse, Lexikon-Feedback, Widget, PWA-Install)

7.1 Für einzelne Funktionen der Plattform speichern wir zusätzlich anonyme Ereignisse, ebenfalls ohne Cookies und ohne personenbezogene Identifier:

  • Store-Profilaufrufe (Tabelle store_impressions): Slug des Stores, gehashte IP (siehe 6.1), Zeitstempel, ggf. PLZ-Präfix und Ländercode aus dem Standortfilter. Mehrfache Aufrufe desselben IP-Hashs innerhalb von 24 Stunden werden auf einen Treffer reduziert.

  • Store-Interaktionen (store_interactions): anonymes Zählen von Klicks auf Telefon-, Website-, Galerie- und Maps-Buttons, ebenfalls IP-Hash-basiert mit 1-Stunden-Dedupe.

  • Event-Interesse / Store-Interesse: Like-Funktion mit IP-Hash-Dedupe; ein optionaler Merker im localStorage merkt sich nur, dass du selbst geliked hast (für die UI-Darstellung). Inhaltliche Liked-Liste wird nicht gespeichert.

  • Lexikon-Feedback („War das hilfreich?"): IP-Hash mit täglich rotierendem Salt (siehe 6.1) und Unique-Constraint pro Begriff und IP-Hash und Tag — eine Person kann pro Tag und Begriff genau einmal bewerten.

  • Kalender-Exporte (event_calendar_exports): wir zählen die Anzahl der ICS-Downloads je Event/Store, ohne IP-Hash, rein aggregiert.

  • Widget-Auslieferungen (widget_impressions): Aufrufe unserer in fremde Store-Websites eingebetteten Widgets, kategorisiert nach Referrer-Domain (z.B. discord, reddit) — keine IP, kein Hash.

  • PWA-Install-Tracking: ein Klick auf „App installieren" wird mit gehashter IP und 24-Stunden-Dedupe gezählt, um Mehrfachzählungen zu vermeiden.

7.2 Diese Daten dienen ausschließlich Store-Inhabern (Reichweiten- und Performance-Statistik im Store-Dashboard) sowie unserer eigenen Produktoptimierung. Eine Re-Identifikation einzelner Besucher:innen ist auf Basis der gespeicherten Daten ausgeschlossen.

7.3 Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an datenschutzfreundlicher Reichweiten- und Performance-Messung). Speicherdauer: maximal 13 Monate, danach automatische Aggregation oder Löschung.

8) Speicherung in deinem Browser (localStorage)

Wir nutzen den localStorage deines Browsers ausschließlich für funktionale Zwecke. Es werden keine Werbe- oder Tracking-Cookies eingesetzt:

  • mainphase_plz: deine zuletzt gewählte oder per Standortdienst ermittelte Postleitzahl, damit Geo-Filter (Stores in deiner Nähe, Events in deiner Nähe) ohne erneute Eingabe funktionieren.

  • mainphase_country: Ländercode (DE/AT/CH), gesetzt nach erfolgreicher Standorterkennung.

  • store_liked_<slug> / event_liked_<slug>: Merker, dass du diesen Store/dieses Event geliked hast — rein UI-Zustand, nicht zentral hinterlegt.

  • mainphase_tracking_disabled: Opt-Out-Flag für die Reichweitenmessung (siehe 6.4).

Diese Speicherungen sind für die Bereitstellung der jeweiligen Funktion technisch unbedingt erforderlich i.S.d. § 25 Abs. 2 Nr. 2 TDDDG; eine Einwilligung ist nicht erforderlich. Du kannst den localStorage in deinem Browser jederzeit selbst leeren.

9) Web-Push-Benachrichtigungen (Looking-for-Group / „Spielersuche")

9.1 Auf der Spielersuche-Seite (/spieler-finden/) bieten wir dir an, dich per Web-Push-Benachrichtigung informieren zu lassen, sobald in deinem Umkreis und für dein bevorzugtes Trading-Card-Game eine neue Spielsuche eingestellt wird. Voraussetzung ist, dass du die Push-Berechtigung in deinem Browser ausdrücklich erteilst.

9.2 Wenn du den Push aktivierst, speichern wir auf unseren Servern:

  • den vom Browser bereitgestellten Push-Endpoint (eine vom jeweiligen Browser-Hersteller — Chrome/Apple/Mozilla — vergebene technische Adresse, die uns das Senden einer Nachricht erlaubt; sie ist keine direkte Geräte-ID),

  • die zugehörigen Public Keys (p256dh und auth) zur Ende-zu-Ende-Verschlüsselung der Nachricht,

  • deine angegebene PLZ und dein bevorzugtes TCG, damit wir nur passende Benachrichtigungen senden,

  • den Zeitpunkt der Aktivierung.

Eine Übermittlung der Nachrichteninhalte erfolgt über die Push-Server der jeweiligen Browser-Hersteller (Google, Apple, Mozilla, Microsoft). Wir haben auf deren Infrastruktur keinen Einfluss; technisch ist die Nachricht jedoch verschlüsselt.

9.3 Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (deine Einwilligung) sowie § 25 Abs. 1 TDDDG für die Speicherung des Push-Endpoints in deinem Endgerät.

9.4 Widerruf: Du kannst die Einwilligung jederzeit für die Zukunft widerrufen — entweder über den „Abmelden"-Button im Push-Widget oder über die Browser-Einstellungen (Benachrichtigungen für mainphase.de blockieren). Bei Widerruf löschen wir den hinterlegten Endpoint umgehend.

10) Store-Inhaber-Konto (Store-Dashboard)

10.1 Wenn dein Store auf mainphase verifiziert oder freigeschaltet wurde, erhältst du Zugang zum Store-Dashboard unter /dashboard/. Wir verarbeiten dort die im Rahmen des Claim-Prozesses übermittelten Stammdaten (Name, E-Mail-Adresse, ggf. Telefonnummer und Ansprechpartner) sowie die Store-bezogenen Inhalte, die du selbst pflegst (Profil, Events, Bilder, Custom-CTA).

10.2 Zusätzlich speichern wir pro Store-Inhaber-Konto:

  • last_login_at: Zeitpunkt deines letzten Logins;

  • login_count: Gesamtanzahl der bisherigen Logins.

Diese Daten dienen ausschließlich (a) der Erfüllung des mit dir bestehenden Nutzungsvertrags (Dashboard-Zugang ist Teil des kostenlos oder kostenpflichtig vereinbarten Plans), (b) der Erkennung verdächtiger Login-Muster und (c) der internen Identifikation inaktiver Konten, um sie ggf. anzusprechen oder zu deaktivieren. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) i.V.m. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Account-Hygiene).

10.3 Speicherdauer: Solange dein Store-Inhaber-Konto besteht. Bei Schließung/Inaktiv-Setzung des Kontos werden die Daten innerhalb von 30 Tagen gelöscht, soweit keine handels- oder steuerrechtlichen Aufbewahrungspflichten entgegenstehen.

11) Rechte des Betroffenen

11.1 Das geltende Datenschutzrecht gewährt dir gegenüber uns als Verantwortlichen hinsichtlich der Verarbeitung deiner personenbezogenen Daten die nachstehenden Betroffenenrechte (Auskunfts- und Interventionsrechte), wobei für die jeweiligen Ausübungsvoraussetzungen auf die angeführte Rechtsgrundlage verwiesen wird:

  • Auskunftsrecht gemäß Art. 15 DSGVO;

  • Recht auf Berichtigung gemäß Art. 16 DSGVO;

  • Recht auf Löschung gemäß Art. 17 DSGVO;

  • Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO;

  • Recht auf Unterrichtung gemäß Art. 19 DSGVO;

  • Recht auf Datenübertragbarkeit gemäß Art. 20 DSGVO;

  • Recht auf Widerruf erteilter Einwilligungen gemäß Art. 7 Abs. 3 DSGVO;

  • Recht auf Beschwerde gemäß Art. 77 DSGVO.

11.2 WIDERSPRUCHSRECHT

WENN WIR IM RAHMEN EINER INTERESSENABWÄGUNG DEINE PERSONENBEZOGENEN DATEN AUFGRUND UNSERES ÜBERWIEGENDEN BERECHTIGTEN INTERESSES VERARBEITEN, HAST DU DAS JEDERZEITIGE RECHT, AUS GRÜNDEN, DIE SICH AUS DEINER BESONDEREN SITUATION ERGEBEN, GEGEN DIESE VERARBEITUNG WIDERSPRUCH MIT WIRKUNG FÜR DIE ZUKUNFT EINZULEGEN.

MACHST DU VON DEINEM WIDERSPRUCHSRECHT GEBRAUCH, BEENDEN WIR DIE VERARBEITUNG DER BETROFFENEN DATEN. EINE WEITERVERARBEITUNG BLEIBT ABER VORBEHALTEN, WENN WIR ZWINGENDE SCHUTZWÜRDIGE GRÜNDE FÜR DIE VERARBEITUNG NACHWEISEN KÖNNEN, DIE DEINE INTERESSEN, GRUNDRECHTE UND GRUNDFREIHEITEN ÜBERWIEGEN, ODER WENN DIE VERARBEITUNG DER GELTENDMACHUNG, AUSÜBUNG ODER VERTEIDIGUNG VON RECHTSANSPRÜCHEN DIENT.

WERDEN DEINE PERSONENBEZOGENEN DATEN VON UNS VERARBEITET, UM DIREKTWERBUNG ZU BETREIBEN, HAST DU DAS RECHT, JEDERZEIT WIDERSPRUCH GEGEN DIE VERARBEITUNG DIR BETREFFENDER PERSONENBEZOGENER DATEN ZUM ZWECKE DERARTIGER WERBUNG EINZULEGEN. DU KANNST DEN WIDERSPRUCH WIE OBEN BESCHRIEBEN AUSÜBEN. MACHST DU VON DEINEM WIDERSPRUCHSRECHT GEBRAUCH, BEENDEN WIR DIE VERARBEITUNG DER BETROFFENEN DATEN ZU DIREKTWERBEZWECKEN.

12) Dauer der Speicherung personenbezogener Daten

Die Dauer der Speicherung von personenbezogenen Daten bemisst sich anhand der jeweiligen Rechtsgrundlage, am Verarbeitungszweck und — sofern einschlägig — zusätzlich anhand der jeweiligen gesetzlichen Aufbewahrungsfrist (z.B. handels- und steuerrechtliche Aufbewahrungsfristen).

Bei der Verarbeitung von personenbezogenen Daten auf Grundlage einer ausdrücklichen Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO werden die betroffenen Daten so lange gespeichert, bis du deine Einwilligung widerrufst.

Existieren gesetzliche Aufbewahrungsfristen für Daten, die im Rahmen rechtsgeschäftlicher bzw. rechtsgeschäftsähnlicher Verpflichtungen auf der Grundlage von Art. 6 Abs. 1 lit. b DSGVO verarbeitet werden, werden diese Daten nach Ablauf der Aufbewahrungsfristen routinemäßig gelöscht, sofern sie nicht mehr zur Vertragserfüllung oder Vertragsanbahnung erforderlich sind und/oder unsererseits kein berechtigtes Interesse an der Weiterspeicherung fortbesteht.

Bei der Verarbeitung von personenbezogenen Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO werden diese Daten so lange gespeichert, bis du dein Widerspruchsrecht nach Art. 21 Abs. 1 DSGVO ausübst, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die deine Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Sofern sich aus den sonstigen Informationen dieser Erklärung über spezifische Verarbeitungssituationen nichts anderes ergibt, werden gespeicherte personenbezogene Daten im Übrigen dann gelöscht, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind.

Stand: 26.04.2026