Verantwortlicher
Down Church Studio UG (haftungsbeschränkt)
Hintergasse 46a, 67150 Niederkirchen, Deutschland
E-Mail: info@downchurch.studio

1. Geltungsbereich

Diese Hinweise gelten für die Nutzung der App „THE LEARN ARENA“ durch Endnutzerinnen und Endnutzer, die sich direkt bei uns registrieren. Wir sind Verantwortlicher im Sinne der DSGVO.

2. Rechtsgrundlagen und Zwecke

Wir verarbeiten personenbezogene Daten nach der DSGVO und dem TDDDG. Die Zwecke sind die Bereitstellung der App, die Führung von Nutzerkonten, Multiplayer- und Ranglistenfunktionen, die Gewährleistung von Sicherheit und Missbrauchsprävention, der Support sowie die Zahlungsabwicklung für Premium-Funktionen, soweit diese genutzt werden. Im Rahmen von Registrierung und Einwilligungen speichern wir die jeweils akzeptierte Fassung unserer Bedingungen und Datenschutzhinweise mit Zeitstempel, um unsere Nachweispflichten zu erfüllen.

3. Server-Logfiles und Hosting

Bei der Nutzung fallen technisch bedingt IP-Adresse, Datum und Uhrzeit, aufgerufene URL, Referrer und User-Agent an. Die Verarbeitung beruht auf unserem berechtigten Interesse an einem sicheren und stabilen Betrieb der App gemäß Art. 6 Abs. 1 Buchstabe f DSGVO. Die Speicherung erfolgt in der Regel höchstens 30 Tage und dient der Störungsanalyse und der Sicherheit. Danach werden die Daten gelöscht oder anonymisiert.

Hosting über Railway als Auftragsverarbeiter: Der Betrieb dieser App einschließlich Server, Datenbank und Logfiles erfolgt bei Railway. Railway verarbeitet die Daten in unserem Auftrag auf Grundlage eines Auftragsverarbeitungsvertrags nach Art. 28 DSGVO. Je nach zugeteilter Region kann eine Übermittlung in Drittländer stattfinden. In diesem Fall sind geeignete Garantien vereinbart, insbesondere die EU-Standardvertragsklauseln. Der Zweck ist ein zuverlässiger und sicherer Betrieb der App.

4. Cookies und Storage nach § 25 TDDDG

Wir setzen technisch erforderliche Cookies und vergleichbare Speichertechniken wie zum Beispiel Session-Cookies ein, damit die App funktionsfähig ist. Ohne diese ist ein Login und der Spielbetrieb nicht möglich. Die Rechtsgrundlage ist § 25 Abs. 2 TDDDG in Verbindung mit Art. 6 Abs. 1 Buchstabe b und f DSGVO. Nicht erforderliche Cookies wie Analyse- oder Tracking-Cookies verwenden wir nur mit Ihrer Einwilligung. Die Rechtsgrundlage ist § 25 Abs. 1 TDDDG in Verbindung mit Art. 6 Abs. 1 Buchstabe a DSGVO.

5. Registrierung und Nutzerkonto

Wir verarbeiten für die Kontoführung den Nutzernamen, die E-Mail-Adresse, ein gehashtes Passwort, den Premium-Status mit Zeitraum, sofern vorhanden, sowie Nutzungsmetriken wie Erfahrungspunkte und Spielstatistiken. Die Rechtsgrundlagen sind Art. 6 Abs. 1 Buchstabe b DSGVO für die Vertragserfüllung und Art. 6 Abs. 1 Buchstabe f DSGVO für Sicherheit und Missbrauchsprävention. Die Daten werden nach Löschung des Kontos entfernt, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

E-Mail-Verifikation mit Double-Opt-In: Zur Aktivierung des Kontos versenden wir einen Bestätigungslink. Der Link ist 24 Stunden gültig. Abgelaufene oder nicht genutzte Token werden automatisch entfernt.

6. Spielbetrieb, Ranglisten und Echtzeit

Für Echtzeitfunktionen nutzen wir WebSockets. Dabei verarbeiten wir Verbindungs- und Sitzungsdaten. Die Rechtsgrundlagen sind Art. 6 Abs. 1 Buchstabe b DSGVO für die Bereitstellung der Spiel- und Kommunikationsfunktionen und Art. 6 Abs. 1 Buchstabe f DSGVO für die Stabilität und Sicherheit. Für Ranglisten und Match-Übersichten verarbeiten wir Spielprotokolle mit Angaben zu Gegnerin oder Gegner, Ergebnis und Zeitstempel. Ein Profiling im Sinne von Art. 4 Nr. 4 DSGVO findet nur als Gamification durch Erfahrungspunkte und Rankings statt und entfaltet keine rechtlichen oder ähnlich erheblichen Wirkungen im Sinne von Art. 22 DSGVO.

Sichtbarkeit innerhalb der App: In Ranglisten können der Nutzername, der Fortschritt wie Level oder Prestige, die Erfahrungspunkte sowie Statistiken wie Siege und Niederlagen für andere Personen innerhalb der App sichtbar sein.

Freundschaften, Einladungen und Status: Für soziale Funktionen übermitteln wir in der App den Nutzernamen, den Avatar, interne Nutzerkennungen und Statusinformationen in Echtzeit an beteiligte Personen, zum Beispiel bei Freundschaftsanfragen, Match-Einladungen oder beim Online-Status.

Spiel- und Nutzungsprotokolle: Wir speichern Match-Protokolle mit Ergebnis, Thema, Dauer, Antwortzeiten und Antwortgenauigkeit sowie den Namen und gegebenenfalls den Avatar der Gegenspielerin oder des Gegenspielers und kurze Teaser der Fragen. Dies dient der Bereitstellung einer Historie, der Qualitätssicherung und der Missbrauchsprävention.

6a. KI-gestützte Funktionen und KI-Gegner

In einzelnen Bereichen der App können KI-gestützte Funktionen eingesetzt werden, insbesondere für Interaktionen mit einem KI-basierten Gegenspieler oder für die automatisierte Erzeugung spielbezogener Inhalte und Reaktionen. Wenn Sie eine solche Funktion nutzen, verarbeiten wir die von Ihnen eingegebenen Inhalte, spielbezogene Kontextdaten, technische Sitzungsdaten sowie die im jeweiligen Spiel- oder Funktionskontext erforderlichen Metadaten, um die KI-Funktion bereitzustellen, die Interaktion technisch zu ermöglichen, die Qualität zu sichern und Missbrauch zu verhindern.

Die Rechtsgrundlagen sind Art. 6 Abs. 1 Buchstabe b DSGVO, soweit die Verarbeitung zur Bereitstellung der von Ihnen angeforderten Funktion erforderlich ist, sowie Art. 6 Abs. 1 Buchstabe f DSGVO für die technische Stabilität, die Fehleranalyse, die Qualitätssicherung und die Missbrauchsprävention.

Soweit KI-Ausgaben automatisiert erzeugt werden, dienen diese der Spiel- und Funktionsbereitstellung. Sie können unvollständig oder inhaltlich fehlerhaft sein und ersetzen keine individuelle fachliche oder rechtliche Beratung.

Sofern für eine KI-Funktion ein externer KI-Dienst eingebunden wird, können Eingaben, Kontextinformationen und technische Metadaten an diesen Dienst übermittelt werden, soweit dies für die jeweilige Funktion erforderlich ist. In diesem Fall informieren wir in dieser Datenschutzerklärung gesondert über den eingesetzten Anbieter, die Rechtsgrundlage, etwaige Drittlandübermittlungen und geeignete Garantien.

Hinterlegung eigener API-Schlüssel: Sofern Sie in Ihrem Nutzerkonto einen eigenen API-Schlüssel für KI-Funktionen hinterlegen können, speichern wir diesen verschlüsselt und verwenden ihn ausschließlich zur Authentifizierung gegenüber dem von Ihnen gewählten KI-Dienst. Die Rechtsgrundlage ist Art. 6 Abs. 1 Buchstabe b DSGVO. Der Schlüssel wird bis zu seiner Löschung oder Aktualisierung durch Sie beziehungsweise bis zur Löschung des Nutzerkontos gespeichert, soweit keine gesetzlichen Pflichten entgegenstehen.

6b. Learning Analytics und Datenbereich

Zur Auswertung von Lern- und Spielverläufen, zur Qualitätssicherung, zur Fehleranalyse, zur Weiterentwicklung der App sowie zur Missbrauchsprävention verarbeiten wir Leistungs- und Nutzungsdaten. Dazu können insbesondere Spiel- und Trainingsprotokolle, Ergebnisse, Antwortquoten, Antwortzeiten, Zeitüberschreitungen, Themenbezüge, Verlaufsdaten einzelner Sessions sowie eingegebene Antworten und zugehörige Muster- oder Sollantworten gehören.

Ein gesonderter Daten- beziehungsweise Analytics-Bereich ist ausschließlich für hierzu autorisierte administrative Personen zugänglich. Der Zugriff erfolgt nur, soweit dies für Support, Fehleranalyse, Qualitätssicherung, Systemsicherheit oder die Weiterentwicklung der Plattform erforderlich ist.

Die Rechtsgrundlage ist Art. 6 Abs. 1 Buchstabe f DSGVO. Unser berechtigtes Interesse liegt in der technischen und didaktischen Weiterentwicklung der Plattform, der Verbesserung der Nutzererfahrung, der Qualitätssicherung, der Unterstützung bei Supportfällen sowie der Erkennung und Verhinderung missbräuchlicher Nutzung. Soweit Auswertungen unmittelbar zur Bereitstellung einer von Ihnen genutzten Trainings- oder Feedbackfunktion erforderlich sind, kann ergänzend Art. 6 Abs. 1 Buchstabe b DSGVO einschlägig sein.

Die Auswertungen dienen nicht dazu, ausschließlich automatisierte Entscheidungen mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung im Sinne von Art. 22 DSGVO zu treffen, soweit in dieser Datenschutzerklärung oder im Einzelfall nichts anderes ausdrücklich angegeben ist.

Wir speichern diese Daten grundsätzlich nur so lange, wie sie für die genannten Zwecke erforderlich sind. Anschließend werden sie gelöscht, anonymisiert oder nur noch in aggregierter Form weiterverarbeitet, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

7. Kontakt, Widerruf und Support

Wenn Sie das Kontaktformular verwenden, verarbeiten wir die von Ihnen eingegebenen Angaben wie Name, E-Mail-Adresse und Inhalt der Nachricht. Wir nutzen diese Angaben ausschließlich zur Bearbeitung Ihrer Anfrage. Die Nachricht wird per E-Mail an unsere Supportadresse info@downchurch.studio gesendet. Die Rechtsgrundlage ist Art. 6 Abs. 1 Buchstabe b DSGVO, soweit Ihre Anfrage ein Vertragsverhältnis betrifft, und Art. 6 Abs. 1 Buchstabe f DSGVO im Übrigen. Zum Schutz vor Missbrauch verwenden wir einen einfachen Spamschutz.

Wenn Sie das Widerrufsformular verwenden, leiten wir die eingetragenen Angaben per E-Mail an unsere Supportadresse info@downchurch.studio weiter. Zusätzlich senden wir eine Eingangsbestätigung an die von Ihnen angegebene E-Mail-Adresse. Die Rechtsgrundlagen sind Art. 6 Abs. 1 Buchstabe b DSGVO und, soweit gesetzliche Pflichten bestehen, Art. 6 Abs. 1 Buchstabe c DSGVO. Wir löschen die E-Mails, sobald sie nicht mehr erforderlich sind, es sei denn, gesetzliche Aufbewahrungsfristen stehen dem entgegen.

Für die Zurücksetzung des Passworts verwenden wir zeitlich befristete Links. Diese sind 60 Minuten gültig. Aus Sicherheitsgründen begrenzen wir die Anzahl der Anfragen auf höchstens drei innerhalb von 15 Minuten.

8. E-Mail-Versand mit Brevo als Auftragsverarbeiter

Wir versenden transaktionale E-Mails über Brevo als SMTP-Relay unter der Adresse smtp-relay.brevo.com. Die Einbindung erfolgt über Flask-Mail. Brevo verarbeitet die E-Mails in unserem Auftrag auf der Grundlage eines Auftragsverarbeitungsvertrags nach Art. 28 DSGVO. Der Versand wird über eine zentrale Hilfsfunktion ausgelöst, die den HTML-Inhalt einschließlich unseres Logos aufbereitet und anschließend den Versand startet.

Derzeit versenden wir die folgenden transaktionalen E-Mails: Wir senden bei der Registrierung einen Bestätigungslink. Wir senden auf Wunsch einen erneuten Bestätigungslink. Wir versenden bei der Zurücksetzung des Passworts einen Link zur Bestätigung. Wir leiten Anfragen aus dem Kontaktformular an unsere interne Supportadresse weiter. Wir leiten Eingaben aus dem Widerrufsformular an unsere interne Supportadresse weiter und senden eine Eingangsbestätigung an die Absenderin oder den Absender.

Bei diesen Sendungen verarbeiten wir die E-Mail-Adresse, gegebenenfalls den Namen oder Nutzernamen, den Betreff und die Inhalte aus unseren HTML-Vorlagen sowie technische Metadaten wie Message-ID, Versand- und Zustellzeitpunkte, Zustell- oder Bounce-Status und Fehlercodes. Die Rechtsgrundlagen sind Art. 6 Abs. 1 Buchstabe b DSGVO für die Kontoführung und Vertragsabwicklung und Art. 6 Abs. 1 Buchstabe f DSGVO für Sicherheit und Missbrauchsprävention. Soweit Bestätigungen oder gesetzliche Mitteilungen erforderlich sind, stützen wir die Verarbeitung außerdem auf Art. 6 Abs. 1 Buchstabe c DSGVO. Wenn Brevo Unterauftragnehmer außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums einsetzt, erfolgt die Übermittlung auf Grundlage geeigneter Garantien, insbesondere der EU-Standardvertragsklauseln. Versand- und Zustellinformationen bewahren wir nur so lange auf, wie sie für die technische Fehleranalyse und den Nachweis erforderlich sind. Anschließend löschen oder anonymisieren wir die Daten.

9. Zahlungsabwicklung mit Stripe und Webhooks

Wenn Sie Premium-Funktionen nutzen, erfolgt die Zahlungsabwicklung über Stripe. Stripe verarbeitet Zahlungsdaten in eigener Verantwortlichkeit. Wir erhalten von Stripe nur Informationen, die für die Abrechnung und den Status erforderlich sind, zum Beispiel eine Kunden- oder Zahlungskennung und den Abonnementstatus. Die Rechtsgrundlage ist Art. 6 Abs. 1 Buchstabe b DSGVO.

Stripe kann Daten in Drittländer übermitteln, darunter die Vereinigten Staaten von Amerika. Die Übermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework oder der EU-Standardvertragsklauseln. Zur Automatisierung erhalten wir von Stripe Benachrichtigungen per Webhook über Ereignisse wie erfolgreiche Zahlungen, bezahlte Rechnungen, Änderungen an Abonnements oder deren Beendigung. Wir nutzen diese Benachrichtigungen, um Premium-Zugänge freizuschalten, Rechnungen zuzuordnen und Missbrauch zu verhindern. Dabei verarbeiten wir Kunden- und Zahlungskennungen, den Abonnementstatus sowie Rechnungs- und Zeitinformationen.

10. Empfänger und Kategorien von Empfängern

• Railway erbringt Hosting- und IT-Leistungen für Serverbetrieb, Datenbank und Sicherheit in unserer Auftragsverarbeitung.
• Brevo stellt das SMTP-Relay für transaktionale E-Mails in unserer Auftragsverarbeitung bereit.
• Stripe ist eigenständig Verantwortlicher für die Zahlungsabwicklung.
• Interne Empfängerinnen und Empfänger sind ausschließlich Mitarbeitende aus Support, Entwicklung und autorisierten Administrationsbereichen, soweit dies für ihre Aufgaben, insbesondere Support, Diagnose, Qualitätssicherung, Systemsicherheit und Weiterentwicklung, erforderlich ist.

11. Speicherdauern

• Logfiles speichern wir in der Regel höchstens 30 Tage.
• Konto- und Spieldaten speichern wir bis zur Löschung des Kontos oder bis zum Ablauf von Gewährleistungs- und Nachweispflichten.
• Verifikationstoken löschen wir nach Ablauf von 24 Stunden.
• Passwort-Reset-Token löschen wir nach Ablauf von 60 Minuten.
• Abrechnungs- und Steuerunterlagen bewahren wir gemäß Handels- und Steuerrecht auf. Dies betrifft in der Regel sechs Jahre für Handelsbriefe, acht Jahre für Buchungsbelege ab 2026 und teilweise zehn Jahre für Jahresabschlüsse.
• Soweit in einer kundenbezogenen Instanz Diagnose-, Trainings- oder Learning-Analytics-Funktionen aktiviert sind, werden die hierbei anfallenden personenbezogenen Daten grundsätzlich im Auftrag des jeweiligen Kunden verarbeitet. Der jeweilige Kunde bzw. die jeweilige Bildungseinrichtung entscheidet über Zwecke, Umfang, Aktivierung und Deaktivierung dieser Funktion. Wir verarbeiten diese Daten nur nach Weisung des Kunden und nur, soweit dies für den technischen Betrieb der Funktion erforderlich ist oder eine ausdrücklich beauftragte Supportleistung vorliegt.
• Wird die entsprechende Instanz oder Funktion durch den Kunden deaktiviert oder endet das Vertragsverhältnis, werden die zugehörigen Diagnose-, Trainings- und Learning-Analytics-Daten gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

12. Minderjährige

Die App richtet sich nicht an Kinder unter 16 Jahren. Bei direkten Angeboten von Diensten der Informationsgesellschaft an Kinder ist unter 16 Jahren die Einwilligung der Eltern erforderlich. Ohne diese Einwilligung ist eine Registrierung nicht zulässig.

13. Pflicht zur Bereitstellung

Wenn Sie erforderliche Daten wie E-Mail-Adresse und Passwort nicht bereitstellen, können wir kein Nutzerkonto anlegen und die App nicht bereitstellen.

14. Ihre Rechte

Sie haben das Recht auf Auskunft nach Art. 15 DSGVO, auf Berichtigung nach Art. 16 DSGVO, auf Löschung nach Art. 17 DSGVO, auf Einschränkung nach Art. 18 DSGVO, auf Datenübertragbarkeit nach Art. 20 DSGVO und auf Widerspruch nach Art. 21 DSGVO. Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte können Sie uns jederzeit unter info@downchurch.studio kontaktieren oder uns postalisch unter der oben genannten Anschrift erreichen.

15. Beschwerderecht

Sie können sich jederzeit bei einer Datenschutzaufsichtsbehörde beschweren. Zuständig ist zum Beispiel der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz mit Sitz in Mainz.

16. Sicherheit

Wir treffen technische und organisatorische Maßnahmen nach Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu gehören Verschlüsselung, Zugangskontrollen, Protokollierung und Rate-Limiting. Zur Missbrauchsprävention können wir blockierte Absenderlisten führen, etwa für auffällige E-Mail-Adressen.

17. Kontolöschung

Sie können Ihr Konto im Profil selbst löschen. Dabei werden zugehörige Datensätze wie Verifikationen, Passwort-Resets, Einladungen und Spielprotokolle gelöscht oder anonymisiert. Gesetzliche Aufbewahrungspflichten, insbesondere für Abrechnungsnachweise, bleiben unberührt. Diese Daten löschen wir nach Ablauf der jeweiligen Fristen.

Stand: 09.06.2026