FotoChallenge
‹ Zurück

🛡️ Datenschutzerklärung

Stand: April 2026 (V.6) · MatLuk FotoChallenge

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer datenschutzrechtlicher Bestimmungen ist:

Roland Brandstetter
Einzelunternehmen MatLuk
Kaindorf 9
4204 Haibach im Mühlkreis
Österreich

Telefon: +43 650 9480025
E-Mail: [email protected]

2. Erfasste Daten

Bei der Nutzung der MatLuk FotoChallenge werden folgende Daten verarbeitet:

2.1 Bei der Registrierung

  • Spitzname (Username): öffentlich sichtbar (sofern Profil nicht versteckt)
  • E-Mail-Adresse: nur intern für Login, Verifizierung und Passwort-Reset
  • Passwort: wird ausschließlich als sicherer Hash (Argon2id, OWASP-Empfehlung 2024) gespeichert – wir kennen dein Passwort nicht
  • Einladender (optional): wenn du über den Einladungs-Link eines anderen Users kommst, wird der Username des Einladenden gespeichert
  • DSGVO-Zustimmung: Zeitpunkt der Zustimmung zur Datenschutzerklärung

2.2 Bei der Nutzung der App

  • Hochgeladene Fotos: alle Fotos die du im Rahmen einer Quest einreichst (max. 50 Fotos auf der Pinnwand, im Shop erhöhbar)
  • Submission-Daten: welche Quest, wann eingereicht, Bewertungs-Status, vergebene Sterne, ggf. Caption-Text
  • Profilbild: falls hochgeladen
  • Aktiver Titel: der Titel den du gerade öffentlich anzeigst
  • Spielfortschritt:
    • Lifetime-Sterne & Wallet-Sterne (Score)
    • Lifetime-Diamanten & Wallet-Diamanten (Premium-Währung)
    • Pokal-Anzahl
    • Energie-Level & Zeitpunkt der letzten Energie-Aktualisierung
    • Anzahl bestandener Quests
    • Streak (aktuelle & beste)
    • Anzahl komplett bestandener Kisten
    • Anzahl gewonnener Duelle
    • Freigeschaltete Kisten
    • Errungene Titel
    • Aktive Duell-Slot-Boosts
    • Foto-Slot-Limit (Standard 50)
  • Duell-Daten: wer gegen wen, Modus (Speed/Battle), Status, Zeitlimit, Ergebnis
  • Freundschaften & Anfragen: Wer wem eine Anfrage geschickt hat, Annahme-/Ablehnungs-Status, Block-Liste
  • Sprache: deine bevorzugte Anzeigesprache
  • Sichtbarkeits-Einstellungen: Profil-Sichtbarkeit, Default-Submission-Sichtbarkeit, Duell-Einladungs-Policy
  • Benachrichtigungs-Einstellungen: ob du Push-Benachrichtigungen willst (Hauptschalter), und welche einzelnen Typen aktiviert sind (V.6)
  • Push-Subscriptions (nur falls aktiviert, V.6): pro Gerät ein Endpoint vom Push-Service deines Browsers, ein öffentlicher Verschlüsselungs-Schlüssel, ein Auth-Wert und der User-Agent. Details siehe Punkt 4.
  • Gemeldete Inhalte: wenn du Fotos oder Profile meldest oder selbst gemeldet wirst

2.3 Sicherheits-relevante Daten

  • Failed-Login-Counter: Anzahl falscher Login-Versuche (für Account-Sperre nach 10 Fehlversuchen)
  • Sperre bis: Zeitstempel falls dein Konto temporär gesperrt ist
  • 2FA-Daten (falls aktiviert):
    • TOTP-Secret (verschlüsselt gespeichert, ermöglicht der Authenticator-App den Code zu generieren)
    • 10 Recovery-Codes (gespeichert für Notfall-Login)
    • Zeitpunkt der 2FA-Einrichtung
  • Letzter Login: Zeitstempel deines letzten erfolgreichen Logins
  • E-Mail-Verifizierung: Status (verifiziert ja/nein)

2.4 Automatisch erfasste Daten

  • IP-Adresse: für Rate-Limiting (Schutz vor Brute-Force-Angriffen) und Server-Logs. Wir speichern keine IP dauerhaft mit deinem Konto. Die IP wird zudem von Cloudflare verarbeitet (siehe Punkt 5a).
  • Browser-Informationen: User-Agent für technische Kompatibilität
  • Request-IDs: kurze ID je Anfrage zur Fehleranalyse (12 Zeichen, anonym)
  • Zeitstempel: wann Aktionen stattfanden (Login, Logout, Foto-Upload, Kiste-Freischaltung etc)

3. Cookies und lokale Speicherung

Wir verwenden ausschließlich technisch notwendige Cookies:

  • matluk_session (HttpOnly, Secure, SameSite=Lax): hält dich eingeloggt, Lebensdauer entsprechend deiner Session
  • matluk_pending_2fa (HttpOnly, Secure, 5 Minuten gültig): nur kurz aktiv zwischen Passwort-Eingabe und 2FA-Code-Eingabe (falls 2FA aktiviert)
  • googtrans: nur wenn du die automatische Übersetzung aktivierst (siehe Punkt 6)
  • localStorage: speichert deine Sprach-Einstellung lokal in deinem Browser

Wir setzen keine Tracking-Cookies, kein Google Analytics, keine Werbe-Cookies.

4. Push-Benachrichtigungen (V.6)

Damit du Benachrichtigungen aufs Handy oder den Browser bekommst (auch wenn die App geschlossen ist), nutzen wir den Web-Push-Standard (RFC 8030 / 8292). Push-Benachrichtigungen sind opt-in – du musst sie aktiv einschalten und der Browser fragt dich vorher um Erlaubnis.

4.1 Wie funktioniert das technisch?

Wenn du in deinen Einstellungen Push aktivierst, passiert Folgendes:

  1. Dein Browser erstellt ein einmaliges Subscription-Endpoint beim Push-Service deines Geräte-Anbieters (siehe 4.2).
  2. Wir speichern auf unserem Server: den Endpoint-URL, einen öffentlichen Verschlüsselungs-Schlüssel (p256dh), einen Auth-Wert, dein User-Agent (zum Debuggen), Zeitstempel sowie die Verbindung zu deinem Konto.
  3. Wenn du eine Benachrichtigung bekommen sollst, verschlüsseln wir den Inhalt mit deinem öffentlichen Schlüssel und schicken die verschlüsselte Nachricht an deinen Push-Service. Der leitet sie an dein Gerät weiter, wo dein Browser sie entschlüsselt und anzeigt.

Der Push-Service sieht den Inhalt deiner Benachrichtigungen NICHT – er ist Ende-zu-Ende verschlüsselt. Er leitet nur das verschlüsselte Paket weiter.

4.2 Beteiligte Push-Dienste

Je nachdem welchen Browser/welches Betriebssystem du verwendest, läuft der Push über verschiedene Dienste – das wählt nicht MatLuk, sondern dein Browser/dein Gerät:

  • Google Firebase Cloud Messaging (FCM) – für Chrome, Edge, Samsung Internet, Android allgemein
  • Mozilla Autopush – für Firefox
  • Apple Push Notification Service (APNs) – für iOS-PWAs (ab iOS 16.4)

Diese Dienste haben eigene Datenschutzerklärungen. Da wir den Inhalt verschlüsseln, sehen sie nur Metadaten (Zeitpunkt, Endpoint-ID). Wir können nicht ausschließen dass diese Dienste Metadaten loggen.

4.3 Was wird gespeichert?

Pro aktiviertem Gerät speichern wir:

  • Push-Endpoint-URL (vom Push-Service deines Browsers)
  • Öffentlicher Schlüssel (p256dh) und Auth-Geheimnis
  • User-Agent-String (welches Gerät / welcher Browser, zum Debuggen)
  • Erstellungs- und letzter-Verwendungs-Zeitstempel
  • Verknüpfung zu deinem Konto

4.4 Granulare Kontrolle

Du kannst pro Benachrichtigungs-Typ einzeln entscheiden ob du dafür einen Push willst:

  • 👤 Freundschaftsanfragen
  • ⚔️ Duell-Einladungen / 🚀 Duell gestartet / 🏆 Duell-Ergebnis
  • ✓ Foto bestätigt / ⊘ Foto abgelehnt
  • 📢 News & Ankündigungen / 💎 Diamanten geschenkt

Zusätzlich gibt's einen Hauptschalter: wenn der aus ist, kommt kein Push, egal welche Einzel-Toggles aktiv sind. In der 🔔 Glocke werden trotzdem alle Ereignisse gesammelt, aber ohne Push aufs Handy.

4.5 Deaktivieren / Löschen der Subscription

Du kannst die Push-Subscription jederzeit beenden:

  • Im Browser: Profil → Benachrichtigungen → Button „Deaktivieren". Damit wird der Endpoint sofort und vollständig von unserem Server gelöscht und die Browser-Subscription beendet.
  • Über Browser-Einstellungen: Notifications für matluk.at blockieren – wir bekommen 410 Gone vom Push-Service und löschen die Subscription automatisch.
  • Konto-Löschung: beim Löschen deines Kontos werden alle Push-Subscriptions ebenfalls vollständig entfernt.

5. Wo werden deine Daten gespeichert?

Alle Daten werden auf einem privaten NAS-Server in Haibach im Mühlkreis, Oberösterreich gespeichert. Der Server steht physisch in Österreich und wird vom Betreiber (siehe Punkt 1) selbst verwaltet.

Tägliche Datenbank-Backups werden ebenfalls lokal auf dem NAS gespeichert.

5a. Cloudflare (Tunnel & CDN)

Damit du die FotoChallenge-Webseite über das Internet erreichst und damit Bilder schneller laden, nutzen wir Dienste von Cloudflare, Inc. (101 Townsend St, San Francisco, CA 94107, USA):

  • Cloudflare-Tunnel (verschlüsselter Reverse-Proxy mit TLS 1.3): Verbindet deinen Browser mit unserem NAS-Server. Cloudflare sieht dabei die Standard-HTTP-Metadaten (besuchte URL, deine IP-Adresse, Browser-Typ, Zeitstempel), aber keine Inhaltsdaten im Klartext.
  • Cloudflare CDN (Content Delivery Network): Profilbilder, Submission-Fotos, CSS und JavaScript werden auf Cloudflare-Servern an europäischen Standorten zwischengespeichert (gecacht), damit sie schneller bei dir ankommen. Das Caching dauert je nach Datei zwischen 1 Tag und 1 Jahr; die Daten bleiben aber jederzeit unverändert das was unser Server ausgeliefert hat.
  • DDoS-Schutz und Sicherheit: Cloudflare blockiert automatisch verdächtige Anfragen (Bot-Angriffe, Scanner) und schützt die Seite vor Überlastung.

Cloudflare verarbeitet dabei deine IP-Adresse und einige technische Header. Cloudflare ist nach DSGVO ein Auftragsverarbeiter (DPA mit uns abgeschlossen) und durch EU Data Boundary verpflichtet, Daten europäischer Nutzer in Europa zu verarbeiten.

Die Daten werden dabei standardmäßig an einem Cloudflare-Edge-Server in Europa verarbeitet (in der Regel Wien, Frankfurt oder ein anderes europäisches Rechenzentrum). Eine Übertragung in die USA findet im Normalbetrieb nicht statt; in Sonderfällen (z.B. globale DDoS-Abwehr) ist sie aber möglich. Cloudflare ist unter dem EU-US Data Privacy Framework zertifiziert.

Mehr Infos in der Cloudflare-Datenschutzerklärung: cloudflare.com/privacypolicy

6. Auto-Übersetzung (Google Translate)

Wenn du im Profil eine andere Sprache als Deutsch wählst, wird die Seite mithilfe von Google Translate übersetzt. Dabei werden die sichtbaren Texte der Seite an Google gesendet, damit Google sie übersetzen kann.

Folgendes wird NICHT an Google gesendet:

  • Deine Fotos
  • Deine E-Mail-Adresse
  • Dein Passwort
  • Deine 2FA-Codes oder Recovery-Codes
  • Persönliche Konto-Daten

Du kannst die Auto-Übersetzung jederzeit ausschalten (Profil → Sprache → "Automatisch" oder "Deutsch"). Datenschutzerklärung von Google: policies.google.com/privacy

7. Bezahlsystem (Design mit Herz)

Sämtliche kostenpflichtigen Funktionen der MatLuk FotoChallenge (Diamanten-Pakete, Energie-Boosts, Premium-Features) werden über den Online-Shop Design mit Herz abgewickelt:

www.designmitherz.net
(gleicher Inhaber wie MatLuk)

Du kannst dort wie in einem normalen Online-Shop einkaufen und bezahlen. Verfügbare Zahlungsmethoden:

  • PayPal
  • Vorauskasse
  • Kauf auf Rechnung (zahlbar innerhalb 30 Tagen)

Auf der Rechnung erscheint der Vermerk „MatLuk (Digitalkauf)", damit du den Bezug zur App erkennst.

Die Zahlungsdaten werden direkt von Design mit Herz verarbeitet – die FotoChallenge selbst speichert keine Zahlungsdaten. Bitte beachte für Zahlungen die separate Datenschutzerklärung von Design mit Herz.

Wenn du Diamanten kaufst, werden diese nach Zahlungseingang manuell auf dein Konto gutgeschrieben (meist innerhalb 24 Stunden). Eine Vergabe-Historie (Manual-Grant-Log) wird aus Buchhaltungs- und Audit-Gründen gespeichert.

8. E-Mail-Versand

Für den Versand von Verifizierungs-E-Mails und Passwort-Reset-Mails wird der SMTP-Server unseres Hosters verwendet. Es werden ausschließlich die für den Versand notwendigen Daten (deine E-Mail-Adresse, der Inhalt der Mail) übermittelt.

9. Sichtbarkeit deiner Daten

8.1 Profil-Sichtbarkeit

Du kannst im Profil unter „Sichtbarkeit" festlegen, wer dein Profil und deine Pinnwand sehen darf:

  • 🔒 Unsichtbar (Standard): nur du selbst und Mods/Admins sehen dein Profil. Über die Suche bist du nur findbar, wenn jemand deinen exakten Spitznamen kennt.
  • 👥 Freunde: nur befreundete User sehen dein Profil und deine Pinnwand
  • 🌐 Öffentlich: alle eingeloggten User können dein Profil sehen

8.2 Foto-Sichtbarkeit

Pro Foto kannst du selbst entscheiden:

  • Privat (nur du selbst)
  • Freunde (nur befreundete User)
  • Öffentlich (alle eingeloggten User)

8.3 Duell-Einladungen

Du kannst festlegen wer dich zu Duellen herausfordern darf:

  • Alle eingeloggten User
  • Nur Freunde
  • Niemand

10. Sicherheitsmaßnahmen

Wir setzen folgende technische Maßnahmen ein:

  • Argon2id-Passwort-Hashing (OWASP 2024 Standard)
  • TLS 1.3-Verschlüsselung für alle Verbindungen
  • 2-Faktor-Authentifizierung (2FA) via TOTP – Pflicht für Admin-Konten, optional für alle anderen User
  • Account-Sperre nach 10 fehlgeschlagenen Login-Versuchen (15 Minuten)
  • Rate-Limiting: Login 5/min, Registrierung 3/min, Passwort-Reset 3/min
  • Strikte Content-Security-Policy (CSP) gegen XSS-Angriffe
  • HttpOnly-Cookies, Secure-Flag, SameSite=Lax
  • X-Frame-Options=DENY (Schutz gegen Clickjacking)
  • HSTS (Strict-Transport-Security)
  • SQLAlchemy ORM (Schutz gegen SQL-Injection)
  • Foto-Re-Encoding via PIL (entfernt EXIF-Metadaten und potentielle Schadcode-Polyglots) – siehe Punkt 11.5 zur Aufnahme-Datums-Erfassung
  • Tägliche Backups

10.5 EXIF-Daten und Foto-Aufnahme-Datum

Beim Hochladen eines Fotos wird das Bild durch unseren Server neu encodiert. Dabei werden alle EXIF-Metadaten gelöscht – insbesondere:

  • GPS-Koordinaten (Aufnahme-Ort)
  • Geräte-Marke, Modell, Kamera-Software
  • Belichtungs-Einstellungen, ISO, Fokus-Daten
  • Eindeutige Geräte-Identifier

Das einzige Metadatum, das wir behalten, ist das Aufnahme-Datum (EXIF-Tag DateTimeOriginal). Es wird in der Datenbank zur Submission gespeichert (nicht im gespeicherten Bild selbst) und dient ausschließlich dazu, die Authentizität des Fotos zu prüfen: Liegt zwischen Aufnahme und Einreichung eine sehr große Zeitspanne (z. B. mehrere Tage), bekommt das Moderations-Team eine Hinweis-Anzeige.

Das Aufnahme-Datum wird nicht öffentlich angezeigt und nicht an andere User weitergegeben. Wenn du eine Submission oder dein Foto löschst, wird auch das Aufnahme-Datum mit gelöscht.

11. Deine Rechte (DSGVO)

Du hast jederzeit folgende Rechte:

  • Recht auf Auskunft (Art. 15 DSGVO): welche Daten über dich gespeichert sind
  • Recht auf Berichtigung (Art. 16 DSGVO): falsche Daten korrigieren
  • Recht auf Löschung (Art. 17 DSGVO): Profil und alle Daten löschen lassen (Profil → Konto löschen, oder per E-Mail)
  • Recht auf Einschränkung (Art. 18 DSGVO): Verarbeitung einschränken
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Daten in einem strukturierten Format erhalten
  • Widerspruchsrecht (Art. 21 DSGVO): der Verarbeitung deiner Daten widersprechen
  • Beschwerderecht (Art. 77 DSGVO): bei der Österreichischen Datenschutzbehörde (dsb.gv.at)

Zur Ausübung deiner Rechte kontaktiere uns bitte per E-Mail: [email protected]

12. Speicherdauer

  • Konto-Daten: bis zur Löschung deines Kontos
  • Fotos: bis du sie selbst löschst oder dein Konto löschst
  • 2FA-Recovery-Codes: bis du sie verbrauchst oder neue generieren lässt
  • Server-Logs: 30 Tage zur Fehleranalyse, danach automatische Löschung
  • Failed-Login-Counter: wird bei erfolgreichem Login zurückgesetzt
  • Push-Subscriptions (V.6): solange du sie aktiv hast. Bei Deaktivierung im Profil oder bei Konto-Löschung sofort gelöscht. Bei „410 Gone"-Antwort des Push-Services (z.B. wenn du Browser-Notifications blockierst) automatische Löschung.
  • Manual-Grant-Log (Diamanten-Vergaben): aus Buchhaltungsgründen 7 Jahre (gesetzliche Aufbewahrungspflicht in Österreich)
  • Gemeldete Inhalte: für die Dauer der Bearbeitung, anschließend Anonymisierung
  • DB-Backups: bis zu 30 Tage zurück

13. Datenweitergabe

Wir geben deine personenbezogenen Daten nicht an Dritte weiter, außer:

  • Cloudflare als technischer Dienstleister (Tunnel + CDN für Bilder/Static-Inhalte) – verarbeitet IP-Adresse und HTTP-Metadaten, sieht keine Konto-Inhalte im Klartext (Details siehe Punkt 5a)
  • Google Translate, falls du die Auto-Übersetzung aktivierst (nur sichtbare UI-Texte, siehe Punkt 6)
  • Push-Services (V.6, nur falls du Push aktivierst): Google FCM (Chrome/Android), Mozilla Autopush (Firefox), Apple APNs (iOS-PWA). Inhalt der Push-Nachrichten ist Ende-zu-Ende verschlüsselt – die Dienste sehen nur Metadaten. Details Punkt 4.
  • SMTP-Server unseres Hosters für E-Mail-Versand (E-Mail-Adresse + Mail-Inhalt)
  • Wenn du Käufe tätigst: Design mit Herz erhält die für die Abwicklung notwendigen Daten
  • Wenn gesetzlich verpflichtet (z. B. behördliche Anordnung)

14. Minderjährige

Die Nutzung der App ist ab 16 Jahren erlaubt. Bei Personen unter 18 Jahren ist die Zustimmung der Erziehungsberechtigten erforderlich.

15. Änderungen

Diese Datenschutzerklärung kann gelegentlich angepasst werden, insbesondere wenn neue Funktionen dazukommen oder gesetzliche Anforderungen sich ändern. Bei wesentlichen Änderungen wirst du in der App informiert.

16. Kontakt

Bei Fragen zum Datenschutz kannst du uns jederzeit kontaktieren:

📋 Impressum ❓ FAQ 💬 Support