Datenschutzerklärung

Stand: 3. Mai 2026

1. Verantwortlicher

Yannik Kern
Neue Str. 58, 38559 Wagenhoff
E-Mail: lode-useless.5k@icloud.com

2. Erhobene Daten

Wir erheben und verarbeiten folgende Daten:

• Username — frei gewählt, wird öffentlich angezeigt
• Passwort — wird ausschließlich als bcrypt-Hash gespeichert, Klartext wird nicht gespeichert
• Spielfortschritt — Inseln, Gebäude, Forschungen, Flotten, Ressourcen, Kampfberichte
• IP-Adresse — temporär für Session-Validierung und Rate-Limiting; nicht im Klartext gespeichert. Für die Erkennung von Bots und Mehrfach-Konten verarbeiten wir einen kryptographischen Hash der IP-Adresse (siehe Abschnitt 5d)
• E-Mail-Adresse — freiwillig, für Benachrichtigungen und Passwort-Reset
• Länderkürzel — 2-Buchstaben-Code (z.B. „DE“), einmalig bei Login aus dem Cloudflare-Header abgeleitet, keine IP-Adresse gespeichert
• Browser-Kennung (User-Agent) — bei Login gespeichert, nur für Admin-Support sichtbar, nie öffentlich
• Spielinteraktionen — Typ und Zeitstempel von Aktionen (Bauen, Forschen, Handeln etc.), für Engagement-Analyse und Spielverbesserung
• Referral-Code — bei der Registrierung wird ein eindeutiger 8-stelliger alphanumerischer Code generiert und gespeichert. Dieser Code kann als Einladungslink öffentlich geteilt werden. Referral-Beziehungen (wer hat wen eingeladen) werden dauerhaft gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
• Profilbiografie — Spieler können eine öffentlich sichtbare Profilbiografie (BBCode-Text, max. 2.000 Zeichen) erstellen. Diese ist für alle eingeloggten Spieler sichtbar. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Eingabe)
• Nachrichten & Chat — Spieler-zu-Spieler-Nachrichten (Betreff, Inhalt) und Allianz-Chat-Nachrichten werden inhaltlich gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
• Engagement-Score — zur Verbesserung des Spielerlebnisses wird ein individueller Engagement-Score (0–100) berechnet, basierend auf Spielhäufigkeit, Regelmäßigkeit und Aktivitätstiefe. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
• Löschungsgrund — bei einem Löschantrag kann optional ein Grund angegeben werden (max. 500 Zeichen). Dieser wird im Löschungs-Log für maximal 30 Tage für Support-Zwecke gespeichert und danach automatisch mit der E-Mail-Adresse entfernt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
• Seitenaufrufe — werden pro Spieler in einer D1-Datenbank (Pfad, Datum, Aufrufanzahl) und in Cloudflare Analytics Engine mit Spieler-Referenz gespeichert. Zweck: Nutzungsanalyse und Verbesserung des Spiels. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
• Drittanbieter-Login-Daten — bei Anmeldung über Google oder Discord speichern wir: deine verifizierte E-Mail-Adresse, eine provider-spezifische Nutzer-ID (Google sub bzw. Discord User-ID) und das Datum der Verknüpfung. Verknüpfungs- und Trennungs-Ereignisse werden zu Audit-Zwecken protokolliert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Klick auf den jeweiligen SSO-Button)
• Session-Cookie — technisch notwendig für die Anmeldung
• Reddit Klick-Identifier & UTM-Parameter — wenn du unsere Seite über eine Reddit-Werbeanzeige besuchst, übermittelt Reddit einen anonymen Klick-Identifier (rdt_cid) sowie UTM-Parameter (utm_source, utm_campaign u. a.) in der Ziel-URL. Diese Daten speichern wir serverseitig (Cloudflare KV, max. 24 Stunden) und nach erfolgter Registrierung dauerhaft an deinem Spieler-Datensatz, um die Effektivität unserer Werbung zu messen. Es werden keine personenbezogenen Daten an Reddit zurückübertragen (siehe Abschnitt 5c). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

2a. Speicherdauer

• Account- und Spieldaten: Bis zur Löschung des Accounts
• Session-Cookies: Bis zum Logout oder Session-Ablauf
• Analytics-Daten (Cloudflare Analytics Engine): 90 Tage
• E-Mail-Digest-Queue: Bis zum Versand (max. 7 Tage)
• Account-Löschungs-Log: 30 Tage nach Löschung (für Support-Nachvollziehbarkeit). E-Mail-Adressen und Löschungsgründe werden nach 30 Tagen automatisch aus dem Log entfernt

3. Cookies

Session-Cookie: Technisch notwendig für die Authentifizierung. Wird beim Logout oder nach Ablauf der Session automatisch gelöscht. Kein Consent erforderlich (§ 25 Abs. 2 TDDDG).

Cloudflare Turnstile: Zum Schutz vor Bots bei Registrierung, Passwort-Reset und Feature-Vorschlägen. Rechtsgrundlage: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).

Weitere technisch notwendige Cookies:

• lang — Sprachpräferenz (DE/EN), funktional
• hide_tips — Bautipps ausblenden, Gültigkeit 30 Tage
• email_skip_ts — E-Mail-Erinnerung übersprungen, kurzlebig (<60 Sekunden)
• motd_dismissed_* — Systemnachricht gelesen, Gültigkeit 7 Tage
• kf_attr — technisch notwendiger Session-Identifier für die Werbe-Effektivitätsmessung. Enthält nur eine zufällige UUID, keine personenbezogenen Daten. Gültigkeit: 24 Stunden

Rechtsgrundlage für alle Cookies: § 25 Abs. 2 TDDDG (technisch erforderlich, keine Einwilligung nötig).

Wir verwenden kein Google Analytics, keine Tracking-Cookies und keine Drittanbieter-Werbung.

4. Rechtsgrundlagen

• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) — Verarbeitung von Account- und Spieldaten zur Bereitstellung des Spiels
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) — Schutz vor Missbrauch (Rate-Limiting, Turnstile), technischer Betrieb

5. Drittanbieter

Die Anwendung wird auf Cloudflare (Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA) betrieben. Cloudflare verarbeitet Daten im Rahmen folgender Dienste:

• Cloudflare Workers — Serverless Compute
• Cloudflare D1 — Datenbank
• Cloudflare KV — Session-Speicher
• Cloudflare Turnstile — Bot-Schutz
• Cloudflare R2 — Speicherung statischer Assets (Bilder, CSS)
• Cloudflare Analytics Engine — pseudonymisierte Nutzungsdaten einschließlich Spieler-ID zur Analyse von Spielverhalten und Performance, keine Cookies. Rechtsgrundlage: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

Cloudflare ist unter dem EU-US Data Privacy Framework zertifiziert. Weitere Informationen: Cloudflare Datenschutzerklärung.

5a. Anmeldung über Drittanbieter (Google, Discord)

Du kannst dich alternativ zur klassischen Registrierung über einen Drittanbieter-Dienst bei Kampfinsel anmelden oder registrieren. Aktuell werden Google (Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA) und Discord (Discord Inc., 444 De Haro St, San Francisco, CA 94107, USA) unterstützt.

Zweck: Vereinfachte Registrierung und Anmeldung ohne separates Passwort; Identifikation bei wiederkehrenden Logins.

An den Provider übertragene Daten: Mit dem Klick auf „Mit Google anmelden“ bzw. „Mit Discord anmelden“ wirst du zum jeweiligen Provider weitergeleitet. Dabei erfährt der Provider, dass du Kampfinsel nutzt, sowie die von dir angeforderten Scopes (Google: openid email profile, Discord: identify email). Wir übermitteln keine Spieldaten an den Provider.

Vom Provider empfangene und gespeicherte Daten:

• Google: verifizierte E-Mail-Adresse, stabile Provider-Nutzer-ID (sub), Verifizierungs-Flag. Der angezeigte Name wird ausschließlich als Vorschlag für die Username-Wahl verwendet und nicht dauerhaft gespeichert.
• Discord: verifizierte E-Mail-Adresse, stabile Provider-Nutzer-ID, Verifizierungs-Flag. Username/Global Name werden ausschließlich als Vorschlag für die Username-Wahl verwendet und nicht dauerhaft gespeichert.

Was wir ausdrücklich NICHT erhalten oder speichern:

• Keine Inhalte aus Gmail, Google Drive, Google Kalender oder anderen Google-Diensten
• Keine Discord-Server-Mitgliedschaften, Freundesliste, Nachrichten oder Sprachdaten
• Kein Profilbild/Avatar
• Keine Kontakt- oder Adressdaten über das oben Genannte hinaus

Speicherorte: Die E-Mail-Adresse wird wie bei der klassischen Registrierung im Feld players.email gespeichert. Die Provider-Verknüpfung (Provider, Nutzer-ID, E-Mail zum Zeitpunkt der Verknüpfung, Verknüpfungsdatum) liegt in der Tabelle player_auth_providers. Verknüpfungs- und Trennungs-Ereignisse werden zu Audit-Zwecken in auth_provider_history protokolliert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Bereitstellung des Spielzugangs) sowie Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung durch Klick auf den SSO-Button und Akzeptanz der Datenschutzerklärung).

Übermittlung in Drittländer: Google und Discord verarbeiten Daten in den USA. Die Übermittlung stützt sich auf Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO. Beide Anbieter haben sich zur Einhaltung des EU-US Data Privacy Framework verpflichtet.

Widerruf / Trennung der Verknüpfung: Du kannst jede aktive Provider-Verknüpfung jederzeit in deinen Einstellungen unter Verknüpfte Konten trennen. Voraussetzung: es bleibt mindestens ein Login-Weg bestehen (Passwort oder ein anderer Provider). Nach der Trennung wird keine weitere Kommunikation mit dem Provider stattfinden; bereits gespeicherte Daten bleiben erhalten bis zur Account-Löschung.

Willkommens-E-Mail bei SSO-Registrierung: Bei der Erstregistrierung über einen Drittanbieter senden wir dir eine Willkommens-E-Mail ohne Verifikationslink (die E-Mail gilt durch den Provider als verifiziert).

Stand 2026-05-03: Sobald du die Allianz-Verifizierung in Discord aktivierst, übertragen wir zusätzlich zu deinem Spielernamen folgende Daten an Discord Inc.: deinen aktuellen Allianznamen, Allianz-Tag und Allianz-Mitgliedschaftsstatus. Diese Daten werden in deinem Discord-Server-Nickname und in einer Discord-Rolle gespeichert. Bei Allianz-Wechsel oder -Austritt wird die Information sofort aktualisiert. Im Spiel kannst du das Teilen unter „Einstellungen → Discord-Verifizierung → Allianz-Status teilen“ jederzeit deaktivieren.

Datenschutzerklärungen der Provider:

• Google: https://policies.google.com/privacy
• Discord: https://discord.com/privacy

5b. Fehleranalyse und technisches Monitoring

Zur Sicherstellung eines stabilen Spielbetriebs und zur Analyse technischer Fehler setzen wir folgende Dienste ein:

Cloudflare Workers Logs und Tracing

Cloudflare Workers Logs erfasst automatisch Metadaten zu Anwendungsaufrufen (URL, HTTP-Status, Zeitstempel, Laufzeit, gekürzte IP-Adresse) sowie von der Anwendung geschriebene technische Logs. Speicherdauer: 7 Tage. Verantwortliche Stelle: Cloudflare, Inc. — bereits weiter oben in dieser Datenschutzerklärung als Auftragsverarbeiter aufgeführt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem stabilen und sicheren Spielbetrieb).

Sentry (Fehler-Tracking, Logs und Metriken)

Wir nutzen Sentry zur Erkennung und Analyse technischer Fehler sowie zur Erhebung anonymisierter Betriebsmetriken. Bei einem technischen Fehler oder Warnhinweis übermitteln wir an Sentry folgende Daten: Fehlertyp, Fehlermeldung und Stack-Trace; aufgerufene URL und HTTP-Methode; deine Spieler-ID (nicht dein Name oder deine E-Mail-Adresse); Version der Anwendung; aggregierte Betriebsmetriken (z. B. Antwortzeiten, Fehlerzähler). Nicht übertragen werden: IP-Adresse, User-Agent, E-Mail-Adresse, Spielstand-Daten, Chat-Inhalte. Die Daten werden ausschließlich in der Sentry EU-Region (Rechenzentrum Frankfurt, Deutschland) gespeichert. Speicherdauer: 30 Tage, danach automatische Löschung. Anbieter: Functional Software, Inc. (Sentry), 45 Fremont Street, Floor 8, San Francisco, CA 94105, USA. Mit Sentry besteht ein Auftragsverarbeitungsvertrag (DPA) gemäß Art. 28 DSGVO. Drittlandstransfer abgesichert durch EU-US Data Privacy Framework sowie EU-Standardvertragsklauseln. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Erkennung und Behebung von Softwarefehlern sowie der Überwachung der Systemstabilität).

Cloudflare Web Analytics (Leistungsüberwachung)

Zur Sicherstellung eines fairen und performanten Spielbetriebs für alle Spieler setzen wir Cloudflare Web Analytics ein. Dabei wird ein cookieloses JavaScript-Snippet automatisch in die Seiten eingebunden, das folgende technische Daten erhebt: Seitenladezeiten, Core Web Vitals (Largest Contentful Paint, First Input Delay, Cumulative Layout Shift), aufgerufener Seitenpfad, Referrer, Land, Gerätetyp und Browser. Es werden keine Cookies gesetzt, keine individuellen Nutzerprofile erstellt und keine IP-Adressen gespeichert. Die Daten werden ausschließlich aggregiert ausgewertet, um Ladezeit-Probleme zu erkennen, die einzelne Spieler gegenüber anderen benachteiligen könnten. Anbieter: Cloudflare, Inc. — bereits weiter oben in dieser Datenschutzerklärung als Auftragsverarbeiter aufgeführt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem fairen und performanten Spielbetrieb).

5c. Werbe-Effektivitätsmessung (Reddit Ads)

Wenn du unsere Website über eine Werbeanzeige bei Reddit besuchst, hängt Reddit an die Ziel-URL einen anonymen Klick-Identifier (rdt_cid) sowie UTM-Parameter an. Diese Daten erlauben uns zu messen, welche Anzeigen tatsächlich zu Registrierungen führen — ohne Browser-Tracking, ohne Werbe-Cookies und ohne Profilbildung.

Verarbeitung: Die genannten Parameter werden ausschließlich serverseitig in Cloudflare KV gespeichert (max. 24 Stunden für nicht-konvertierte Besucher). Nach einer erfolgreichen Registrierung werden sie an deinen Spieler-Datensatz angehängt und dort solange gespeichert, wie dein Account besteht.

Datenübermittlung an Reddit: Bei einer Registrierung übertragen wir an Reddit Inc. (USA) ausschließlich:

• den von Reddit selbst stammenden Klick-Identifier (rdt_cid),
• eine von uns erzeugte zufällige Konversions-ID (UUID),
• den Ereignistyp SignUp und einen Zeitstempel.

Was wir explizit NICHT übermitteln: keine E-Mail-Adresse, keine IP-Adresse, keinen User-Agent, keinen Namen, keine Hashes — weder von dir noch von deinem Browser. Reddit erhält keine personenbezogenen Daten.

Drittland-Übermittlung: Reddit Inc., 548 Market St #16093, San Francisco, CA 94104, USA. Reddit ist unter dem EU-US Data Privacy Framework zertifiziert; zusätzlich werden EU-Standardvertragsklauseln (SCC) angewendet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Messung der Werbeeffektivität).

Speicherdauer: Bei nicht erfolgter Registrierung serverseitige Löschung nach 24 Stunden. Bei erfolgter Registrierung Speicherung an deinem Datensatz bis zur Account-Löschung.

Widerspruch: Du kannst dieser Verarbeitung jederzeit per E-Mail an die im Abschnitt 1 genannte Adresse widersprechen. Wir löschen dann alle gespeicherten Werbe-Identifier zu deinem Datensatz.

5d. Schutz vor Bots und Mehrfach-Konten

Zur Erkennung von automatisierten Zugängen (Bots) und unzulässigen Mehrfach-Konten verarbeiten wir folgende technische Daten:

• Kryptographischer IP-Hash — Wir speichern nicht deine IP-Adresse, sondern einen mit einem monatlich rotierenden Schlüssel berechneten SHA-256-Hash. Aus dem Hash kann die ursprüngliche IP-Adresse nicht zurückgewonnen werden.
• ASN-Klasse — Eine generische Einordnung deines Internet-Anbieters (z. B. „Mobilfunk“, „Heimanschluss“, „Rechenzentrum“), abgeleitet aus öffentlichen Routing-Daten.
• Herkunftsland — 2-Buchstaben-Länderkürzel.

Zweck: Erkennung von automatisierten Zugängen, missbräuchlichen Mehrfach-Konten und sonstigem regelwidrigen Verhalten zur Sicherstellung eines fairen Spielbetriebs.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz vor Missbrauch).

Speicherdauer: Laufende Hashes werden nach 30 Tagen automatisch gelöscht. Der bei der Registrierung erfasste Hash wird bis zur Account-Löschung aufbewahrt.

Empfänger / Drittland-Übermittlung: Die Verarbeitung erfolgt ausschließlich auf der Cloudflare-Plattform. Die Auftragsverarbeitung durch Cloudflare und das zugehörige Drittlandtransfer-Regime (EU-US Data Privacy Framework, Standardvertragsklauseln) sind unter Abschnitt 5 bzw. Abschnitt 5b dieser Erklärung beschrieben.

Diese Verarbeitung ist Voraussetzung für die Nutzung des Spiels. Wer dieser Verarbeitung nicht zustimmt, kann das Konto unter Account-Einstellungen löschen.

6. E-Mail-Kommunikation

Freiwillige Angabe: Du kannst optional eine E-Mail-Adresse in deinen Spieleinstellungen hinterlegen. Die Angabe ist grundsätzlich freiwillig. Wenn das E-Mail-Enforcement aktiv ist, ist eine verifizierte E-Mail-Adresse für den fortgesetzten Spielzugang erforderlich. In diesem Fall ist die Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Zweck der Verarbeitung: Wir verwenden deine E-Mail-Adresse ausschließlich für:

• Verifizierung der E-Mail-Adresse
• Spielbezogene Benachrichtigungen (Angriffe, Bauvorgänge) — nur wenn du diese aktivierst
• Wöchentliche Spielzusammenfassung — nur wenn du diese aktivierst
• Strandgut-Benachrichtigungen (wenn neues Strandgut auf einer Insel erscheint) — nur wenn du diese aktivierst
• Willkommens-E-Mail bei Registrierung über Google oder Discord (anstelle der Verifikations-E-Mail)
• Passwort-Zurücksetzen

Rechtsgrundlage: Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Du kannst deine Einwilligung jederzeit widerrufen.

Dienstleister: Für den E-Mail-Versand nutzen wir Resend (Resend, Inc., USA). E-Mails werden über die Subdomain re.kampfinsel.com versendet (Absender: ahoi@re.kampfinsel.com). Deine E-Mail-Adresse wird an Resend übermittelt. Resend verarbeitet Daten gemäß ihrer Datenschutzrichtlinie.

Abmeldung: Du kannst E-Mail-Benachrichtigungen jederzeit in deinen Einstellungen deaktivieren oder über den Abmelde-Link in jeder E-Mail.

Speicherdauer: Deine E-Mail-Adresse wird gespeichert solange dein Account besteht oder bis du sie entfernst.

Sichtbarkeit: Deine E-Mail-Adresse ist zu keinem Zeitpunkt für andere Spieler sichtbar.

6a. Reaktivierungs-E-Mails (Account-Lifecycle-Kommunikation)

Wenn dein Account in Inaktivität gerät (ab 3 Tagen ohne Login), senden wir dir Status-Benachrichtigungen zu deinem Account. Diese beinhalten:

• Dauer der Abwesenheit
• Aktuellen Zustand deiner Inseln
• Bevorstehende Lifecycle-Übergänge (Schlummernd, Steuermannslos, Archivierung)
• Einen einmaligen Login-Link zum schnellen Zugriff (gültig 72 Stunden, einmal verwendbar)

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) — wir informieren dich über wesentliche Veränderungen deines Account-Status, die dein Spielerlebnis betreffen, und ermöglichen dir eine informierte Entscheidung über die Rückkehr.

Widerspruch: Du kannst diese Benachrichtigungen jederzeit in deinen Einstellungen deaktivieren (unter „E-Mail-Benachrichtigungen“) oder über den Abmelde-Link in jeder E-Mail.

Speicherdauer: Magic-Link-Tokens werden nach Ablauf (72h) oder Verwendung automatisch invalidiert und nach 30 Tagen gelöscht. Reaktivierungs-Events werden 90 Tage gespeichert zur Funnel-Analyse, danach gelöscht.

7. Betroffenenrechte

Du hast das Recht auf:

• Auskunft über deine gespeicherten Daten
• Berichtigung unrichtiger Daten
• Löschung deiner Daten (Account-Löschung)
• Einschränkung der Verarbeitung
• Widerspruch gegen die Verarbeitung
• Beschwerde bei einer Aufsichtsbehörde

Anfragen zur Datenauskunft oder Löschung bitte per E-Mail an: lode-useless.5k@icloud.com

8. Account-Löschung

Du kannst die Löschung deines Accounts direkt in deinen Spieleinstellungen unter „Account löschen“ beantragen. Nach einer 7-tägigen Sicherheits-Wartefrist wird dein Account und alle zugehörigen Spieldaten (Inseln, Gebäude, Nachrichten, Profil) unwiderruflich gelöscht. Während der Wartefrist kannst du die Löschung jederzeit abbrechen. Alternativ kannst du die Löschung auch per E-Mail beantragen.

9. Mindestalter

Die Nutzung von Kampfinsel setzt ein Mindestalter von 16 Jahren voraus.

Veröffentlichung von Kampf-Chroniken

Wenn Sie eine Kampf-Chronik aktiv veröffentlichen (Opt-In), werden folgende Daten öffentlich zugänglich:

• Ihr selbst verfasster Text (Schlacht-Bericht, 0 bis 3000 Zeichen)
• Spielinformationen zur Schlacht
• Die an der Schlacht beteiligten Spieler — sowohl Angreifer als auch Verteidiger — werden mit ihrem Spielernamen angezeigt

Rechtsgrundlage: Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Die Einwilligung erfolgt durch aktive Bestätigung im Veröffentlichungs-Dialog.

Sichtbarkeit: Veröffentlichte Chroniken werden nicht von Suchmaschinen erfasst und sind ausschließlich über einen direkten Link erreichbar.

Widerruf: jederzeit möglich. Eine widerrufene Chronik liefert 410 Gone und ist danach nicht mehr abrufbar.

Entfernung als genannter Gegner: Wenn Sie als Gegner in einer fremden Chronik namentlich genannt werden, können Sie deren Entfernung über die Inhalts-Meldung auf der Chronik-Seite (Grund: „Doxxing“) oder per E-Mail an die in Abschnitt 1 genannte Adresse verlangen.

Community-Meldungen

Bei Inhalts-Meldungen über veröffentlichte Kampf-Chroniken speichern wir einen SHA-256-Hash der IP-Adresse zur Spam-Prävention. Der Hash ist nicht-reversibel, der Salt rotiert monatlich, und die Speicherdauer beträgt 90 Tage.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Spam-Prävention).

KI-Training mit Spieler-Inhalten

Kampfinsel verwendet Spieler-Inhalte und aggregierte Verhaltensdaten zum Training eigener KI-Modelle. Die Nutzung erfolgt ausschließlich für:

• Inhalts-Moderation und Spam-Erkennung
• Anomalie-Erkennung im Spielverhalten
• Generierung narrativer Inhalte innerhalb des Spiels
• Verbesserung der Spieler-Experience auf Basis aggregierter und/oder anonymisierter Verhaltensdaten

Diese KI-Modelle werden ausschließlich durch Kampfinsel selbst oder von Kampfinsel beauftragte Auftragsverarbeiter betrieben. Keine Weitergabe an Drittanbieter zum KI-Training.

Rechtsgrundlage: berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO sowie Einwilligung im Rahmen der AGB-Akzeptanz.

Hinweis: Nach Account-Löschung werden personenbezogene Daten gelöscht. In bereits trainierte Modelle eingeflossene anonymisierte Datenpunkte können technisch bedingt nicht mehr individuell entfernt werden — dies ist branchenüblich und durch das berechtigte Interesse gedeckt.

10. Änderungen

Diese Datenschutzerklärung kann bei Bedarf angepasst werden. Die aktuelle Version ist stets unter /datenschutz abrufbar.

Privacy Policy

Last updated: May 3, 2026

1. Controller

Yannik Kern
Neue Str. 58, 38559 Wagenhoff
Email: lode-useless.5k@icloud.com

2. Data Collected

We collect and process the following data:

• Username — freely chosen, displayed publicly
• Password — stored exclusively as a bcrypt hash, plaintext is never stored
• Game progress — islands, buildings, research, fleets, resources, combat reports
• IP address — temporarily for session validation and rate limiting; not stored in plain text. To detect bots and multi-accounts, we process a cryptographic hash of the IP address (see section 5d)
• Email address — voluntary, for notifications and password reset
• Country code — 2-letter code (e.g. “DE”), derived once at login from the Cloudflare header, no IP address stored
• Browser identifier (User-Agent) — stored at login, visible only to admin support, never public
• Game interactions — type and timestamp of actions (building, researching, trading etc.), for engagement analysis and game improvement
• Referral code — a unique 8-character alphanumeric code is generated and stored at registration. This code can be shared publicly as an invitation link. Referral relationships (who invited whom) are stored permanently. Legal basis: Art. 6 para. 1 lit. b GDPR
• Profile biography — players can create a publicly visible profile biography (BBCode text, max. 2,000 characters). This is visible to all logged-in players. Legal basis: Art. 6 para. 1 lit. a GDPR (consent through active input)
• Messages & chat — player-to-player messages (subject, content) and alliance chat messages are stored with their content. Legal basis: Art. 6 para. 1 lit. b GDPR
• Engagement score — to improve the gaming experience, an individual engagement score (0–100) is calculated based on play frequency, regularity and activity depth. Legal basis: Art. 6 para. 1 lit. f GDPR (legitimate interest)
• Deletion reason — when requesting account deletion, a reason can optionally be provided (max. 500 characters). This is stored in the deletion log for a maximum of 30 days for support purposes and is then automatically removed along with the email address. Legal basis: Art. 6 para. 1 lit. f GDPR (legitimate interest)
• Page views — stored per player in a D1 database (path, date, view count) and in Cloudflare Analytics Engine with player reference. Purpose: usage analysis and game improvement. Legal basis: Art. 6 para. 1 lit. f GDPR (legitimate interest)
• Third-party login data — when signing in via Google or Discord, we store: your verified email address, a provider-specific user ID (Google sub or Discord user ID) and the date of linking. Linking and unlinking events are logged for audit purposes. Legal basis: Art. 6 para. 1 lit. b GDPR (contract fulfilment) and Art. 6 para. 1 lit. a GDPR (consent via click on the respective SSO button)
• Session cookie — technically necessary for authentication
• Reddit click identifier & UTM parameters — if you visit our site via a Reddit advertisement, Reddit appends an anonymous click identifier (rdt_cid) and UTM parameters (utm_source, utm_campaign, etc.) to the destination URL. We store these data server-side (Cloudflare KV, max. 24 hours) and, after a successful registration, permanently with your player record in order to measure the effectiveness of our advertising. No personal data is transmitted back to Reddit (see section 5c). Legal basis: Art. 6 para. 1 lit. f GDPR (legitimate interest)

2a. Storage Duration

• Account and game data: Until account deletion
• Session cookies: Until logout or session expiry
• Analytics data (Cloudflare Analytics Engine): 90 days
• Email digest queue: Until delivery (max. 7 days)
• Account deletion log: 30 days after deletion (for support traceability). Email addresses and deletion reasons are automatically removed from the log after 30 days

3. Cookies

Session cookie: Technically necessary for authentication. Automatically deleted on logout or session expiry. No consent required (§ 25 para. 2 TDDDG).

Cloudflare Turnstile: For bot protection during registration, password reset and feature suggestions. Legal basis: legitimate interest (Art. 6 para. 1 lit. f GDPR).

Additional technically necessary cookies:

• lang — language preference (DE/EN), functional
• hide_tips — hide building tips, validity 30 days
• email_skip_ts — email reminder skipped, short-lived (<60 seconds)
• motd_dismissed_* — system notification read, validity 7 days
• kf_attr — technically necessary session identifier for ad-effectiveness measurement. Contains only a random UUID, no personal data. Validity: 24 hours

Legal basis for all cookies: § 25 para. 2 TDDDG (technically necessary, no consent required).

We use no Google Analytics, no tracking cookies and no third-party advertising.

4. Legal Basis

• Art. 6 para. 1 lit. b GDPR (contract fulfilment) — processing of account and game data to provide the game
• Art. 6 para. 1 lit. f GDPR (legitimate interest) — protection against abuse (rate limiting, Turnstile), technical operation

5. Third Parties

The application is operated on Cloudflare (Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA). Cloudflare processes data as part of the following services:

• Cloudflare Workers — Serverless Compute
• Cloudflare D1 — Database
• Cloudflare KV — Session Storage
• Cloudflare Turnstile — Bot Protection
• Cloudflare R2 — Static Asset Storage (images, CSS)
• Cloudflare Analytics Engine — pseudonymised usage data including player ID for analysis of player behaviour and performance, no cookies. Legal basis: legitimate interest (Art. 6 para. 1 lit. f GDPR)

Cloudflare is certified under the EU-US Data Privacy Framework. More information: Cloudflare Privacy Policy.

5a. Sign-in via Third-Party Providers (Google, Discord)

As an alternative to classic registration, you can sign in to or register with Kampfinsel via a third-party provider. Currently supported: Google (Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA) and Discord (Discord Inc., 444 De Haro St, San Francisco, CA 94107, USA).

Purpose: Simplified registration and sign-in without a separate password; identification on recurring logins.

Data transmitted to the provider: Clicking “Sign in with Google” or “Sign in with Discord” redirects you to the respective provider. In doing so, the provider learns that you use Kampfinsel, along with the requested scopes (Google: openid email profile, Discord: identify email). We do not transmit any game data to the provider.

Data received from the provider and stored by us:

• Google: verified email address, stable provider user ID (sub), verification flag. The display name is used solely as a suggestion for username selection and is not stored persistently.
• Discord: verified email address, stable provider user ID, verification flag. Username/global name are used solely as a suggestion for username selection and are not stored persistently.

What we explicitly do NOT receive or store:

• No content from Gmail, Google Drive, Google Calendar or other Google services
• No Discord server memberships, friends list, messages or voice data
• No profile picture/avatar
• No contact or address data beyond the above

Storage locations: The email address is stored as with classic registration in the field players.email. The provider link (provider, user ID, email at linking time, linked date) is held in the table player_auth_providers. Linking and unlinking events are logged for audit purposes in auth_provider_history.

Legal basis: Art. 6 para. 1 lit. b GDPR (contract fulfilment — providing access to the game) and Art. 6 para. 1 lit. a GDPR (explicit consent via click on the SSO button and acceptance of the privacy policy).

Transfer to third countries: Google and Discord process data in the USA. The transfer is based on Standard Contractual Clauses (SCCs) pursuant to Art. 46(2)(c) GDPR. Both providers have committed to complying with the EU-US Data Privacy Framework.

Withdrawal / unlinking: You can unlink any active provider connection at any time in your settings under Linked accounts. Prerequisite: at least one sign-in method must remain (password or another provider). After unlinking, no further communication with the provider will take place; data already stored will be retained until account deletion.

Welcome email on SSO registration: On initial registration via a third-party provider, we send you a welcome email without a verification link (the email is considered verified via the provider).

As of 2026-05-03: Once you activate the Discord alliance integration, in addition to your player name we transmit the following data to Discord Inc.: your current alliance name, alliance tag and alliance membership status. This data is stored in your Discord server nickname and in a Discord role. The data is updated immediately when you change or leave an alliance. You can disable this sharing at any time in-game under "Settings → Discord verification → Share alliance status".

Provider privacy policies:

• Google: https://policies.google.com/privacy
• Discord: https://discord.com/privacy

5b. Error Analysis and Technical Monitoring

To ensure stable game operations and analyze technical errors, we use the following services:

Cloudflare Workers Logs and Tracing

Cloudflare Workers Logs automatically captures metadata about application calls (URL, HTTP status, timestamps, runtime, truncated IP address) and technical logs written by the application. Retention: 7 days. Controller: Cloudflare, Inc. — already listed as a processor earlier in this privacy policy. Legal basis: Art. 6(1)(f) GDPR (legitimate interest in stable and secure game operations).

Sentry (Error Tracking, Logs and Metrics)

We use Sentry for detecting and analyzing technical errors as well as collecting anonymized operational metrics. When a technical error or warning occurs, we transmit the following data to Sentry: error type, error message, and stack trace; requested URL and HTTP method; your player ID (not your name or email address); application version; aggregated operational metrics (e.g. response times, error counters). Not transmitted: IP address, user agent, email address, game-state data, chat content. Data is stored exclusively in the Sentry EU region (Frankfurt data center, Germany). Retention: 30 days, then automatically deleted. Provider: Functional Software, Inc. (Sentry), 45 Fremont Street, Floor 8, San Francisco, CA 94105, USA. A data processing agreement (DPA) pursuant to Art. 28 GDPR is in place with Sentry. Third-country transfer is safeguarded by the EU-US Data Privacy Framework and EU Standard Contractual Clauses. Legal basis: Art. 6(1)(f) GDPR (legitimate interest in detecting and fixing software errors and monitoring system stability).

Cloudflare Web Analytics (Performance Monitoring)

To ensure fair and performant game operations for all players, we use Cloudflare Web Analytics. A cookieless JavaScript snippet is automatically embedded in pages, collecting the following technical data: page load times, Core Web Vitals (Largest Contentful Paint, First Input Delay, Cumulative Layout Shift), visited page path, referrer, country, device type, and browser. No cookies are set, no individual user profiles are created, and no IP addresses are stored. Data is evaluated exclusively in aggregate to detect loading time issues that could disadvantage individual players compared to others. Provider: Cloudflare, Inc. — already listed as a processor earlier in this privacy policy. Legal basis: Art. 6(1)(f) GDPR (legitimate interest in fair and performant game operations).

5c. Ad Effectiveness Measurement (Reddit Ads)

If you visit our website via a Reddit advertisement, Reddit appends an anonymous click identifier (rdt_cid) and UTM parameters to the destination URL. These data allow us to measure which ads actually result in registrations — without browser tracking, without advertising cookies and without profiling.

Processing: The named parameters are stored exclusively server-side in Cloudflare KV (max. 24 hours for non-converted visitors). After a successful registration, they are attached to your player record and stored there for as long as your account exists.

Data transmission to Reddit: On registration we transmit to Reddit Inc. (USA) exclusively:

• the click identifier originating from Reddit itself (rdt_cid),
• a random conversion ID generated by us (UUID),
• the event type SignUp and a timestamp.

What we explicitly DO NOT transmit: no email address, no IP address, no user agent, no name, no hashes — neither yours nor your browser's. Reddit receives no personal data.

Third-country transfer: Reddit Inc., 548 Market St #16093, San Francisco, CA 94104, USA. Reddit is certified under the EU-US Data Privacy Framework; additionally, EU Standard Contractual Clauses (SCCs) are applied.

Legal basis: Art. 6(1)(f) GDPR (legitimate interest in measuring ad effectiveness).

Storage duration: If no registration occurs, server-side deletion after 24 hours. After successful registration, storage with your record until account deletion.

Objection: You can object to this processing at any time by emailing the address listed in section 1. We will then delete all stored advertising identifiers associated with your record.

5d. Bot and Multi-Account Protection

To detect automated access (bots) and inadmissible multi-accounts, we process the following technical data:

• Cryptographic IP hash — We do not store your IP address; instead, we compute a SHA-256 hash with a monthly-rotating key. The original IP address cannot be recovered from the hash.
• ASN class — A generic classification of your internet provider (e.g. “mobile carrier”, “residential”, “datacenter”), derived from public routing data.
• Country of origin — 2-letter country code.

Purpose: Detection of automated access, abusive multi-accounts, and other rule violations to ensure fair gameplay.

Legal basis: Art. 6(1)(f) GDPR (legitimate interest in protection against abuse).

Storage duration: Ongoing hashes are automatically deleted after 30 days. The hash captured at registration is retained until account deletion.

Recipients / third-country transfer: Processing occurs exclusively on the Cloudflare platform. Cloudflare's processor role and the corresponding third-country transfer regime (EU-US Data Privacy Framework, Standard Contractual Clauses) are described in Section 5 and Section 5b of this policy.

This processing is a prerequisite for using the game. If you do not agree to this processing, you can delete your account under Account Settings.

6. Email Communication

Voluntary: You can optionally provide an email address in your game settings. This is generally voluntary. When email enforcement is active, a verified email address is required for continued game access. In this case, the legal basis is Art. 6 para. 1 lit. b GDPR (contract fulfilment).

Purpose: We use your email address exclusively for:

• Email address verification
• Game-related notifications (attacks, construction) — only if you enable them
• Weekly game summary — only if you enable it
• Beachcombing notifications (when new flotsam appears on an island) — only if you enable them
• Welcome email on registration via Google or Discord (instead of the verification email)
• Password reset

Legal basis: Consent according to Art. 6 para. 1 lit. a GDPR. You can withdraw your consent at any time.

Service provider: For email delivery we use Resend (Resend, Inc., USA). Emails are sent via the subdomain re.kampfinsel.com (sender: ahoi@re.kampfinsel.com). Your email address is transmitted to Resend. Resend processes data according to their privacy policy.

Unsubscribe: You can disable email notifications at any time in your settings or via the unsubscribe link in every email.

Storage duration: Your email address is stored as long as your account exists or until you remove it.

Visibility: Your email address is never visible to other players.

6a. Reactivation Emails (Account Lifecycle Communication)

When your account enters inactivity (starting 3 days without login), we send you status notifications about your account. These include:

• Length of absence
• Current state of your islands
• Upcoming lifecycle transitions (slumbering, rudderless, archival)
• A single-use login link for quick access (valid 72 hours, one-time use)

Legal basis: Legitimate interest (Art. 6 para. 1 lit. f GDPR) — we inform you about material changes to your account status that affect your gameplay experience, enabling you to make an informed decision about returning.

Objection: You can disable these notifications at any time in your settings (under “Email notifications”) or via the unsubscribe link in every email.

Storage duration: Magic-link tokens are automatically invalidated on expiry (72 h) or use and deleted after 30 days. Reactivation events are stored for 90 days for funnel analysis, then deleted.

7. Data Subject Rights

You have the right to:

• Access your stored data
• Rectification of inaccurate data
• Deletion of your data (account deletion)
• Restriction of processing
• Object to processing
• Lodge a complaint with a supervisory authority

For data access or deletion requests, please email: lode-useless.5k@icloud.com

8. Account Deletion

You can request deletion of your account directly in your game settings under “Delete account”. After a 7-day safety waiting period, your account and all associated game data (islands, buildings, messages, profile) will be irreversibly deleted. During the waiting period, you can cancel the deletion at any time. Alternatively, you can request deletion by email.

9. Minimum Age

Use of Kampfinsel requires a minimum age of 16 years.

Battle Chronicle Publishing

When you actively publish a Battle Chronicle (opt-in), the following data becomes publicly accessible:

• Your self-authored text (battle report, 0 to 3,000 characters)
• Game information about the battle
• The players involved in the battle — both attacker and defender — are shown by their player name

Legal basis: Consent under Art. 6(1)(a) GDPR. Consent is given through active confirmation in the publishing dialog.

Visibility: Published chronicles are not indexed by search engines and are reachable only via a direct link.

Withdrawal: possible at any time. A withdrawn chronicle returns 410 Gone and is no longer accessible thereafter.

Removal as a named opponent: If you are named as an opponent in someone else's chronicle, you can request its removal via the content report on the chronicle page (reason: “Doxxing”) or by email to the address listed in section 1.

Community Reports

For content reports about published Battle Chronicles, we store a SHA-256 hash of the IP address for spam prevention. The hash is non-reversible, the salt rotates monthly, and the storage duration is 90 days.

Legal basis: Art. 6(1)(f) GDPR (legitimate interest in spam prevention).

AI Training with Player Content

Kampfinsel uses Player Content and aggregated behavior data to train its own AI models. This use is exclusively for:

• Content moderation and spam detection
• Anomaly detection in player behavior
• Generation of narrative content within the game
• Improvement of the player experience based on aggregated and/or anonymized behavior data

These AI models are operated exclusively by Kampfinsel itself or by data processors engaged by Kampfinsel. No transfer to third parties for AI training.

Legal basis: Legitimate interest under Art. 6(1)(f) GDPR as well as consent given through acceptance of the Terms of Service.

Note: After account deletion, personal data is deleted. Anonymized data points that have already been incorporated into trained models cannot be individually removed for technical reasons — this is industry-standard and covered by the legitimate interest.

10. Changes

This privacy policy may be updated as needed. The current version is always available at /datenschutz.