📌 Datenschutzerklärung
Stand: 2026-05-15 — Diese Erklärung gilt für das gesamte
NoopNet-Ökosystem (Webseite, Minecraft-Netzwerk, Discord-Bot Nova).
Inhalt
- Verantwortlicher
- Welche Daten wir erheben
- Empfänger und Auftragsverarbeiter
- Cookies und ähnliche Technologien
- IP-Adressen — was passiert wirklich?
- Speicherdauer und Löschung
- Deine Rechte (Art. 15–22 DSGVO)
- Beschwerderecht
- Minderjährige
- Sicherheit
- Änderungen dieser Erklärung
- Kontakt
- 🌐 Webseite noopnet.net und Subdomains (z. B. bin.noopnet.net, play.noopnet.net)
- ⛏️ Minecraft-Netzwerk auf
play.noopnet.net(Velocity-Proxy + Paper/Folia-Server) - 💬 Discord-Server der Community sowie der Bot Nova
1. Verantwortlicher
Verantwortlich im Sinne von Art. 4 Nr. 7 DSGVO ist:
NoopNet
c/o COCENTER
Koppoldstr. 1
86551 Aichach
DeutschlandServerleitung / Verantwortlicher nach § 5 DDG (vormals TMG):
- Pseudonym: Noopplayer
- Klarname: Johann Adrian Fritz
Eine offizielle Datenschutzbeauftragten-Bestellung besteht derzeit
nicht — wir liegen unter den Schwellen des Art. 37 DSGVO. Datenschutz-
anfragen gehen direkt an die oben genannte E-Mail oder über den
Discord-Support-Kanal.
2. Welche Daten wir erheben
2.1 Minecraft-Netzwerk
Beim Verbinden mit play.noopnet.net und beim Spielen werden folgende
Daten verarbeitet:
| Datum | Inhalt | Rechtsgrundlage | Speicherdauer |
|---|---|---|---|
| Mojang-UUID | eindeutige Account-ID (von Mojang vergeben) | Art. 6 Abs. 1 lit. b DSGVO (Vertrag) | unbefristet, solange Account aktiv |
| Minecraft-Spielername | aktueller Name | Vertrag | unbefristet |
| IP-Adresse (gehasht) | SHA-256-Hash der Verbindungs-IP; Klartext-IP wird nicht persistiert | Art. 6 Abs. 1 lit. f DSGVO (Anti-Cheat, Multi-Account-Erkennung, Hausrecht) | wie Login-Eintrag |
| Login-/Logout-Zeitstempel | Tabelle logins, mit Server-Gruppe | berechtigtes Interesse + ggf. Vertrag | bis zu 12 Monate |
| Profileinstellungen | Sprache, AFK-Bypass, ignorierte Spieler etc. | Vertrag | unbefristet |
| Chat-Logs | bis zu 5.000 Nachrichten pro Account | berechtigtes Interesse (Moderation, Anti-Toxicity) | rollierend, max. 5.000 jüngste |
| Command-Logs | bis zu 5.000 Befehlsausführungen pro Account | berechtigtes Interesse (Sicherheit, Missbrauchsanalyse) | rollierend |
Strafen (punishments) | Bans, Mutes, Kicks, Warns, Blacklists, Hausrechtssperren mit Begründung, Beweisen, Dauer | berechtigtes Interesse (Hausrecht, § 1004 BGB) | bis 36 Monate; lebenslange Sperren bis Widerruf |
Berechtigungen (grants) | zeitlich begrenzte oder dauerhafte Rang-Zuweisungen | Vertrag | unbefristet |
| Reports | Spieler-gegen-Spieler-Meldungen | berechtigtes Interesse | bis zu 12 Monate |
| Freundesliste | gespeicherte Freundes-UUIDs | Vertrag (Feature) | bis zur Löschung durch Spieler |
| Clan-Daten | Mitgliedschaft, Rang, Bank-Coins, Skill-Fortschritt, Bauhistorie als Plot-Schematic | Vertrag | solange Clan existiert |
| Skill-Fortschritt | Level, XP, Quests, Achievements | Vertrag | unbefristet |
| Tod-Inventare | letzter Inventar-Stand pro Tod (Rollback durch Staff möglich) | berechtigtes Interesse (Anti-Bug, Kundenservice) | 30 Tage |
| Audit-Logs | Aktionen von Staff-Mitgliedern | berechtigtes Interesse (interne Aufsicht) | 24 Monate |
| Chat-Snapshots | Staff-Auszüge des Chats für Tickets/Reports | berechtigtes Interesse | bis zu 12 Monate |
2.2 Discord (OAuth-Login + Bot)
Wer sich mit Discord auf der Webseite anmeldet (NextAuth) oder mit dem
NoopNet-Discord interagiert, übermittelt:
| Datum | Inhalt | Rechtsgrundlage | Speicherdauer |
|---|---|---|---|
| Discord-User-ID | numerische ID (Snowflake) | Vertrag bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung beim OAuth-Login) | bis Account-Trennung |
| Discord-Username | aktueller Name | Vertrag | bis Account-Trennung |
| Discord-Avatar | Avatar-Hash, kein Bild-Upload bei uns | Vertrag | bis Account-Trennung |
| E-Mail-Adresse | nur bei OAuth-Scope email | Einwilligung | bis Widerruf |
| Server-Mitgliedschaft + Rollen | Community-/Team-Discord, zugewiesene Rollen | berechtigtes Interesse (Staff-Verifikation) | live; nicht dauerhaft kopiert (Caching ≤ 1 h) |
| MC-Account-Verlinkung | UUID ↔ Discord-ID Mapping | Vertrag (Feature) | bis Trennung durch Spieler |
ℹ️ Auf dem Discord selbst gelten zusätzlich die
Datenschutzbestimmungen von Discord Inc..
Discord ist unabhängiger Verantwortlicher für die dortige Plattform.
2.3 Webseite (noopnet.net)
| Datum | Inhalt | Rechtsgrundlage | Speicherdauer |
|---|---|---|---|
| Server-Logs | IP, User-Agent, Pfad, Zeitstempel, Status-Code | Art. 6 Abs. 1 lit. f DSGVO (Sicherheit, Fehleranalyse) | 7 Tage |
| NextAuth-Session-Cookie | __Secure-next-auth.session-token (httpOnly, Secure, SameSite=Lax) | Vertrag (Funktion) | 1 Stunde TTL |
Sprach-Cookie (nn-locale) | de oder en | Einwilligung implizit | 1 Jahr |
| Web-Sessions (Redis) | Token + ggf. IP-Pin für StaffCP | berechtigtes Interesse (Sicherheit) | 1 Stunde |
| Tickets über Web | Inhalt, Anhänge (max. 10 MB, kein SVG), Antworten | Vertrag | 12 Monate nach Schließen |
| Bewerbungen (Apply) | Antworten auf Formular-Fragen, Discord-ID des Bewerbers | Einwilligung + Vertrag | 12 Monate |
| Audit-Logs | Aktionen von Staff im StaffCP | berechtigtes Interesse | 24 Monate |
| Uploads | Dateien die Staff ins Wiki/Blog hochlädt | Vertrag | bis zur Löschung |
🚫 Wir setzen keine Tracking-Cookies und kein Werbe- oder
Analyse-Tracking (kein Google Analytics, Meta-Pixel, etc.).
2.4 Tickets (Discord + Web)
Tickets können über das Web-Frontend oder direkt im Discord erstellt
werden. Wir speichern:
- die ursprüngliche Anfrage und alle Antworten (Text, Anhänge),
- die Beteiligten (Discord-ID, ggf. MC-UUID),
- Timestamps und Status (
OPEN/IN_PROGRESS/CLOSED), - bei Bewerbungs- und Appeal-Tickets zusätzlich die Form-Daten.
#…) — unsere Server sehen
ihn nie. Optional schützen wir das Transcript zusätzlich mit einem
zufälligen Passwort.
🕒 Standard-Aufbewahrung Transcripts: 1 Woche, danach automatisch
gelöscht.
2.5 Verifizierungs-Captcha
Beim Discord-Verify wird Cloudflare Turnstile geladen und die
IP-Adresse über ipapi.is auf VPN/Proxy geprüft.
Beide Drittanbieter erhalten in dem Augenblick die IP des Anfragenden.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Bot-/Spam-Schutz).
3. Empfänger und Auftragsverarbeiter
| Empfänger | Zweck | Sitz / Datenübermittlung |
|---|---|---|
| Hetzner Online GmbH (oder aktueller Hoster) | Server-Hosting (Coolify, MC-Server, Redis, Postgres) | 🇩🇪 Deutschland (EU) |
| Discord Inc. | Discord-Plattform, OAuth, Bot | 🇺🇸 USA — Standardvertragsklauseln, EU-US Data Privacy Framework |
| Mojang AB / Microsoft | UUID/Name-Lookups (offizielle Mojang-API) | 🇸🇪 Schweden / 🇺🇸 USA |
| Cloudflare, Inc. | Turnstile-Captcha vor /verify | 🇺🇸 USA — EU-US-DPF |
| ipapi.is | VPN/Proxy-Detection bei Verify | 🇵🇱 Polen / 🇺🇸 USA |
| mclo.gs (optional, Server-Log-Uploads) | externer Paste-Service für Crash-Logs | 🇪🇺 EU |
| Visage / mc-heads.net / crafatar.com | Skin-/Avatar-Renderings | 🇪🇺/🇺🇸 |
| Eigener PrivateBin (bin.noopnet.net) | verschlüsselte Transcripts/Exports | 🇪🇺 gleicher Hoster |
✅ Wir geben keine Daten an Dritte zu Marketing-Zwecken weiter.
4. Cookies und ähnliche Technologien
Wir setzen ausschließlich funktionale Cookies, die für den Betrieb
der Seite zwingend erforderlich sind:
| Name | Zweck | Lebensdauer | Typ |
|---|---|---|---|
__Secure-next-auth.session-token | Login-Status (Discord OAuth) | 1 h | httpOnly, Secure, SameSite=Lax |
__Host-next-auth.csrf-token | CSRF-Schutz für Login-Flow | Session | httpOnly, Secure, SameSite=Lax |
nn-locale | Sprachpräferenz (DE/EN) | 1 Jahr | nicht-httpOnly |
ℹ️ Eine Einwilligung im Sinne des § 25 TTDSG ist daher nicht
erforderlich. Du kannst Cookies trotzdem jederzeit über die
Einstellungen deines Browsers löschen.
5. IP-Adressen — was passiert wirklich?
Wir wissen, dass die IP eine besonders schützenswerte Information ist.
- 🔒 Die rohe IP von MC-Logins wird nicht in der Datenbank gespeichert. Stattdessen legen wir nur einen SHA-256-Hash ab — damit erkennen wir Muster (Multi-Account, Ban-Evasion), können aber die IP nicht zurückrechnen.
- 📋 Server-Logs des Coolify-Reverse-Proxy enthalten die IP für maximal 7 Tage zur technischen Fehleranalyse.
- 🚪 Velocity-Proxy sieht die IP zur Verbindungs-Aufbau-Zeit, hält sie aber nur transient im RAM.
- 🧷 Bei aktiver Maintenance und der Web-Login-Sicherung (
/aweb,/mweb) pinnen wir Sessions an die ursprüngliche IP, um Session-Hijacking zu erschweren.
6. Speicherdauer und Löschung
Wir speichern personenbezogene Daten nur so lange, wie es für die
genannten Zwecke notwendig ist (Art. 5 Abs. 1 lit. e DSGVO).
- 📤 DSGVO-Auskunfts-Export (Art. 15) — über StaffCP → Compliance, alle Daten zu einer Person als verschlüsselter PrivateBin-Link.
- 🗑️ DSGVO-Löschung (Art. 17) — 7 Tage Quarantäne nach Antrag, dann Anonymisierung (
AnonymizedUser) und Hard-Delete von Logins, Grants, Chat-/Command-Logs, Friends. Strafen bleiben aus Hausrechtsgründen erhalten, IP-Hashes werden auf0.0.0.0gesetzt. - 🎫 Tickets/Bewerbungen — 12 Monate nach Schließen.
- 📄 Transcripts auf PrivateBin — 1 Woche.
7. Deine Rechte (Art. 15–22 DSGVO)
Du hast jederzeit das Recht auf:
| Recht | Artikel | Inhalt |
|---|---|---|
| Auskunft | Art. 15 | wir liefern auf Anfrage einen vollständigen Datenexport |
| Berichtigung | Art. 16 | falsche Daten korrigieren |
| Löschung | Art. 17 | "Recht auf Vergessenwerden" |
| Einschränkung | Art. 18 | Verarbeitung pausieren |
| Datenübertragbarkeit | Art. 20 | Export im JSON-Format |
| Widerspruch | Art. 21 | gegen Verarbeitung auf Grundlage berechtigten Interesses |
| Widerruf der Einwilligung | Art. 7 Abs. 3 | z. B. für Discord-OAuth-Verlinkung — wirkt nicht zurück |
📩 Anfragen an [email protected]
oder per Support-Ticket.
8. Beschwerderecht
Du hast nach Art. 77 DSGVO das Recht, Beschwerde bei einer
Aufsichtsbehörde einzulegen — typischerweise bei der Behörde deines
gewöhnlichen Aufenthaltsorts.
Für unseren Sitz (Aichach, Bayern) ist zuständig:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
📞 +49 981 180093-0
📧 [email protected]
🌐 www.lda.bayern.de
9. Minderjährige
Unser Angebot richtet sich an Spieler ab 16 Jahren. Dieses
Mindestalter entspricht sowohl den Nutzungsbedingungen von Discord
für Deutschland als auch dem Schwellenwert für eine eigenständige
Einwilligung nach Art. 8 DSGVO (in Deutschland sowie weiteren
EU-Staaten 16 Jahre).
Personen unter 16 Jahren ist die Nutzung nur mit nachweisbarer
Zustimmung der Erziehungsberechtigten gestattet. Wir erheben keine
Daten in dem Wissen, dass eine Person das Mindestalter unterschreitet
und keine elterliche Zustimmung vorliegt; sollte uns das bekannt
werden, löschen wir die Daten unverzüglich und sperren den Account.
10. Sicherheit
- 🔐 TLS-Verschlüsselung auf allen Web-Endpunkten (HSTS aktiv).
- 🔑 Keine Passwörter — Login ausschließlich über Discord-OAuth.
- #️⃣ IP-Adressen nur als SHA-256-Hash persistiert (wo überhaupt gespeichert).
- 🛡️ Transcript-Uploads AES-256-GCM mit Key im URL-Fragment + optionalem Passwort, PBKDF2-HMAC-SHA256 mit 100k Iterationen.
- 🧰 Rollenbasierte Zugriffskontrolle im StaffCP, MC-Presence-Gate für Admin-Aktionen.
- 🧪 Regelmäßige Security-Audits (siehe
legal/audits/).
11. Änderungen dieser Erklärung
Wir können diese Datenschutzerklärung anpassen, wenn sich rechtliche
Vorgaben oder unser Angebot ändern. Die jeweils aktuelle Version mit
Datum oben findest du unter
www.noopnet.net/privacy.
🔔 Wesentliche Änderungen kündigen wir im Discord und beim nächsten
MC-Login (Rules-Acceptance-Version) an.
12. Kontakt
Datenschutzanfragen, Auskunfts- und Löschwünsche:
Allgemeine Anfragen über den
Support-Bereich oder im
Discord.