Datenschutzerklärung

Gemäß Art. 13, 14 DSGVO · Stand: Mai 2026

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist der Betreiber dieses Dienstes. Die vollständigen Kontaktdaten sind im Impressum zu finden.

2. Überblick der verarbeiteten Daten

Loco Market verarbeitet ausschließlich Daten, die für den Betrieb des Dienstes technisch notwendig sind. Es werden keine Werbedaten erhoben, keine Tracking-Pixel eingesetzt und kein Nutzerverhalten zu Marketingzwecken analysiert.

3. Zugriffsdaten & Server-Logs

Beim Aufruf der Website werden durch den Webserver automatisch technische Verbindungsdaten erhoben und temporär in Server-Logfiles gespeichert:

IP-Adresse des anfragenden Geräts
Datum und Uhrzeit des Zugriffs
Aufgerufene URL und HTTP-Methode
Übertragene Datenmenge und HTTP-Statuscode
Browser-Typ und Betriebssystem (User-Agent)

Diese Daten werden ausschließlich zur technischen Bereitstellung und Sicherheit des Dienstes verarbeitet (Fehlerbehebung, Missbrauchserkennung). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

IP-Adressen werden außerdem für serverseitiges Rate-Limiting eingesetzt (max. 5 Anmeldeversuche/10 Min., max. 600 Status-Abfragen/15 Min. pro IP), um Brute-Force-Angriffe zu verhindern.

4. Authentifizierung & Kontodaten

Der Dienst verwendet kein Passwort und keine E-Mail-Adresse. Die Anmeldung erfolgt ausschließlich durch Verifizierung des Minecraft-Spielernamens (IGN) über den spielinternen Chat des HugoSMP-Servers.

Dabei werden folgende Daten serverseitig in players.json gespeichert:

Datenfeld	Inhalt	Zweck
`ign`	Minecraft-Spielername	Kontoidentifizierung
`plan`	Zugangsstufe (free / pro / media / vip / vip_plus)	Berechtigungssteuerung
`paid`	Zahlungsstatus (boolean)	Zugangsfreischaltung
`paidAmount`	Gezahlter Betrag (Spielwährung)	Zahlungsnachweis
`paidAt`	Zeitstempel der Zahlung	Zahlungsnachweis
`registeredAt`	Zeitstempel der Registrierung	Kontoverwaltung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Diese Daten bleiben bis zur Löschung des Kontos auf Anfrage gespeichert.

5. Sitzungsverwaltung & Cookies

Nach erfolgreicher Authentifizierung wird ein HMAC-SHA256-signiertes Sitzungs-Cookie gesetzt:

Cookie	Inhalt	Gültigkeitsdauer
`auth_session`	Verschlüsselter Sitzungsbezeichner + Nonce + Ablaufzeit (Base64-kodiert, HMAC-signiert)	28 Tage

Das Cookie wird als httpOnly und sameSite=lax gesetzt — es ist für JavaScript im Browser nicht zugänglich und wird nicht an Drittseiten übermittelt. Es enthält keine personenbezogenen Klardaten.

Serverseitig werden aktive Sitzungen in sessions.json vorgehalten (Sitzungsbezeichner, Nonce, Ablaufzeit, Zugangsstufe). Abgelaufene Sitzungen werden automatisch bereinigt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (technisch notwendig für die Vertragserfüllung). Ein Cookie-Banner ist daher nicht erforderlich.

6. Temporärer Browser-Speicher (SessionStorage)

Während des Kaufprozesses auf /kaufen werden folgende Daten kurzfristig im sessionStorage des Browsers zwischengespeichert:

_upCode – Temporärer Upgrade-Code (8-stellig, hexadezimal)
_upPrice – Proratierter Upgrade-Preis in Spielwährung
_upDays – Verbleibende Tage des aktuellen Plans

Diese Daten liegen ausschließlich lokal im Browser, werden nicht an Server übertragen und beim Schließen des Browsertabs automatisch gelöscht.

7. Zahlungsprotokoll

Jede abgeschlossene Zahlung wird in einer append-only Logdatei (payments.log) protokolliert. Einträge enthalten: Zeitstempel, Spielername (IGN), Zugangsstufe, bezahlten Betrag (Spielwährung), vorherige Zugangsstufe sowie etwaige Systemrückerstattungen. Diese Logs dienen ausschließlich der internen Nachvollziehbarkeit bei Streitigkeiten über erbrachte Leistungen und werden nicht an Dritte weitergegeben. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Dokumentation erbrachter Leistungen und Absicherung gegen unbegründete Rückforderungen).

8. Marktdaten-Cache

Der Bot speichert serverseitig einen rollierenden Cache von Marktaktivitäten auf dem HugoSMP-Server:

player_listings.json – Spielernamen, gehandelte Gegenstände, Preise, Mengen, Listentyp, Zeitstempel. Automatische Löschung nach 7 Tagen.
history_cache.json – Historische Preistrends (aggregiert). Rollierendes Fenster von 30 Tagen.

Bei den gespeicherten Spielernamen handelt es sich um öffentliche Minecraft-Ingame-Namen, die bereits auf der HugoSMP-Marktplattform öffentlich einsehbar sind. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Betrieb des Marktbeobachtungsdienstes).

9. Filter & Discord-Webhook (optional)

Nutzer können im Dashboard eigene Suchfilter erstellen. Diese werden in bot_state.json serverseitig gespeichert (Name, Typ, Preisbereich) und sind bis zur manuellen Löschung aktiv.

Auf Wunsch kann eine Discord-Webhook-URL hinterlegt werden. An diese URL sendet der Bot automatisiert Benachrichtigungen, sobald ein Filterkriterium zutrifft. Die URL wird in bot_state.json gespeichert. Für die Datenverarbeitung innerhalb von Discord ist Discord Inc. verantwortlich: discord.com/privacy. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung auf Anfrage des Nutzers).

10. Minecraft-Bot (Verifikation & Zahlung)

Zur Verifikation des Spielernamens und zur Bestätigung von Zahlungen verbindet sich ein automatisierter Minecraft-Client (Bot) mit dem HugoSMP-Server. Der Bot empfängt ausschließlich die Flüsternachricht mit dem Einmal-Code sowie die systemseitige Zahlungsbestätigung des Servers. Sonstige Chat-Nachrichten werden nicht verarbeitet oder gespeichert.

Die Authentifizierungsdaten des Bots (Microsoft-Token) werden lokal im Verzeichnis .mc_auth/ gespeichert und nicht an Dritte weitergegeben.

11. Marktdaten-Erfassung

Marktdaten (Auktionslisten, Orders, Preistrends) werden von unserem eigenen Bot direkt aus dem ingame-Marktplatz des HugoSMP-Minecraft-Servers erfasst. Dabei werden keine personenbezogenen Nutzerdaten an Dritte übermittelt; öffentlich sichtbar sind lediglich die im Spiel ohnehin einsehbaren Listings (u. a. Verkäufer-IGN, Item, Preis).

12. Schriftarten (lokal gehostet)

Diese Website verwendet ausschließlich lokal gehostete Schriftarten im Verzeichnis /fonts/. Es findet kein Datentransfer an externe Anbieter (z. B. Google Fonts) statt.

13. Hosting

Der Dienst wird auf einem Server gehostet, der über Cloudflare-Infrastruktur erreichbar ist. Cloudflare verarbeitet dabei technische Verbindungsdaten (inkl. IP-Adressen) zur Auslieferung der Website und zum Schutz vor Angriffen (DDoS-Mitigation). Cloudflare ist nach dem EU-US Data Privacy Framework zertifiziert. Weitere Informationen: cloudflare.com/privacypolicy.

14. Deine Rechte

Du hast gemäß DSGVO folgende Rechte gegenüber uns:

Auskunft (Art. 15 DSGVO) – Welche Daten wir über dich gespeichert haben
Berichtigung (Art. 16 DSGVO) – Korrektur unrichtiger Daten
Löschung (Art. 17 DSGVO) – Löschung deines Kontos und aller zugehörigen Daten
Einschränkung (Art. 18 DSGVO) – Einschränkung der Verarbeitung
Widerspruch (Art. 21 DSGVO) – Widerspruch gegen Verarbeitungen auf Basis von Art. 6 Abs. 1 lit. f DSGVO
Beschwerde (Art. 77 DSGVO) – Bei der zuständigen Datenschutzaufsichtsbehörde

Zur Ausübung deiner Rechte wende dich per E-Mail an die im Impressum angegebene Adresse. Wir bearbeiten Anfragen innerhalb von 30 Tagen.

15. Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung bei technischen Änderungen des Dienstes anzupassen. Die jeweils aktuelle Version ist unter /datenschutz abrufbar. Das Datum der letzten Überarbeitung ist oben vermerkt.