Datenschutzerklärung

Weirdo.Rocks LLC (US, Bundesstaat Florida),
7901 4th St N STE 300
St. Petersburg, Florida 33702, USA
Kontakt: office@weirdo.rocks

Konto:E-Mail-Adresse (für Magic-Link Login), gewählter Username, Sprache, Zeitstempel von Anmeldung & letztem Login.

Spielinhalte: deine Tipps, gewählte Tags, Rundenmitgliedschaften, Kommentare in Matches, optionale Sachpreis-Anmeldungen.

Technisch: IP-Adresse (gekürzt, nur für Spam-/Missbrauchsschutz), Browser-User-Agent, Sitzungs-Cookie (httpOnly, EU-Hosting), Sprachpräferenz-Cookie.

Zahlungen (Premium/Founder): verarbeitet ausschließlich über Polar Software Inc. Wir sehen die Transaktion (Betrag, Tier, Zeitpunkt), nie Kartendaten.

Newsletter / Warteliste: nur deine E-Mail-Adresse + Sprache + Quelle (woher du gekommen bist) + Bestätigungs-Token + Bestätigungs-Zeitstempel (für Double-Opt-In-Dokumentation), abmeldbar über jeden Mail-Footer.

Telegram-Integration (optional): Wenn du deinen Telegram-Account mit tiptilldone verknüpfst, speichern wir deine Telegram-User-ID, deinen Telegram-Username sowie den Zeitpunkt der Verknüpfung. Bei Tipprunden, die einen Telegram-Gruppenchat verbunden haben, speichern wir zusätzlich die Telegram-Chat-ID der Gruppe. Du kannst die Verknüpfung jederzeit lösen (Telegram /unlink oder über die Einstellungen).

Push-Benachrichtigungen (optional): Wenn du Browser-Push aktivierst, speichern wir das von deinem Browser ausgestellte Push-Abonnement (Endpoint-URL des Push-Dienstes deines Browsers sowie die zwei kryptografischen Schlüssel p256dh und auth). Damit senden wir dir Erinnerungen (z.B. Tipp-Deadlines, Ergebnisse). Die Zustellung läuft technisch über den Push-Dienst deines Browser-Herstellers (Google für Chrome/Android, Mozilla für Firefox, Apple für Safari/iOS). Du kannst Push jederzeit in den Einstellungen oder in den Browser-Berechtigungen widerrufen.

• Bereitstellung des Tippspiels & Login — Art. 6 (1) (b) DSGVO (Vertragserfüllung).
• Newsletter / Warteliste — Art. 6 (1) (a) DSGVO (Einwilligung), jederzeit widerrufbar.
• Missbrauchs-/Spam-Abwehr, Server-Logs (max. 14 Tage) — Art. 6 (1) (f) DSGVO (berechtigtes Interesse).
• Rechnungs- & Steuerunterlagen für Fan-Pass/Founder-Käufe — Art. 6 (1) (c) DSGVO (gesetzliche Aufbewahrung gem. §§ 132 BAO / 212 UGB).
• Telegram-Integration & Bot-Benachrichtigungen — Art. 6 (1) (b) DSGVO (Vertragserfüllung, du verknüpfst aktiv).
• Push-Benachrichtigungen — Art. 6 (1) (a) DSGVO (Einwilligung; du aktivierst sie aktiv über die Browser-Abfrage), jederzeit widerrufbar.

• Vercel Inc. (Hosting) — EU-Region (fra1), DPA abgeschlossen.
• Supabase Inc. (Datenbank, Auth) — Frankfurt EU, DPA abgeschlossen.
• Resend, Inc. — transaktionale Mails (Login-Link, Bestätigungen, Match-Ergebnisse, Newsletter).
• Plausible Analytics — EU-gehostet, cookie-frei, keine personenbezogene Auswertung.
• Google Analytics 4 (Google Ireland Ltd.) — nur mit deiner Einwilligung („Alle akzeptieren“), mit IP-Anonymisierung, ohne Werbe-/Personalisierungssignale. Rechtsgrundlage: Art. 6 Abs 1 lit a DSGVO; Drittlandübermittlung in die USA unter SCCs gem. Art. 46 DSGVO. Widerruf jederzeit über den Cookie-Hinweis.
• Polar Software Inc. — Zahlungsabwicklung als Merchant of Record (eigener Verantwortlicher; siehe AGB §4).
• Anthropic, PBC — Generierung von AI-Picks; verarbeitet keine personenbezogenen Daten (nur Spielpaarungen).
• Telegram FZ-LLC — Bot-Nachrichten, wenn du deinen Telegram-Account verknüpfst. Übertragen werden: deine Telegram-User-ID (für DMs) bzw. Gruppen-Chat-ID, Nachrichtentexte, Reply-Markup. Telegram's Datenschutzbedingungen: telegram.org/privacy.
• Crossmint — Optionale Founder-Badge-Mint-Funktion (V1.5); aktiviert nur, wenn ein Founder die Mint-Option wählt.
• Push-Dienste der Browser-Hersteller — wenn du Push aktivierst, werden Benachrichtigungen über den Push-Dienst deines Browsers zugestellt: Google LLC (FCM, Chrome/Android), Mozilla (Firefox) bzw. Apple Inc. (Safari/iOS). Übertragen werden nur die Benachrichtigung selbst und dein Push-Endpoint; Drittlandübermittlung ggf. unter SCCs gem. Art. 46 DSGVO.

US-basierte Anbieter (Vercel, Resend, Polar, Anthropic) verarbeiten Daten in der EU-Region bzw. unter SCCs gem. Art. 46 DSGVO. Eine vollständige Auftragsverarbeiterliste senden wir auf Anfrage.

Wir setzen nur technisch notwendige Cookies (Login-Session, Sprachwahl, CSRF-Schutz). Diese sind ohne Einwilligung zulässig (§ 165 Abs 3 TKG 2021, Art. 5 Abs 3 ePrivacy-RL). Wir verwenden keine Werbe-Pixel von Drittanbietern und kein Re-Targeting.

Zusätzlich kannst du im Cookie-Hinweis per „Alle akzeptieren“ Google Analytics 4 aktivieren. Erst dann werden Analyse-Cookies gesetzt; ohne deine Einwilligung wird kein Google-Skript geladen. Du kannst deine Auswahl jederzeit widerrufen (Cookies löschen).

• Konto + Spielinhalte: solange dein Account aktiv ist; Löschung auf Anfrage oder über Account-Einstellungen.
• Inaktive Konten (kein Login > 24 Monate): automatischer Hinweis, Löschung nach weiteren 60 Tagen ohne Reaktion.
• Server-Logs: 14 Tage, dann gelöscht.
• Rechnungsdaten: 7 Jahre (§ 132 BAO).
• Newsletter: bis zur Abmeldung.

Du hast jederzeit Anspruch auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) sowie Widerspruch gegen Verarbeitungen auf Basis berechtigten Interesses (Art. 21). Einwilligungen kannst du jederzeit für die Zukunft widerrufen.

Wir antworten innerhalb von 30 Tagen. Du hast außerdem das Recht zur Beschwerde bei der österreichischen Datenschutzbehörde (dsb.gv.at).

In den Einstellungen findest du „Daten exportieren“ (JSON aller Spielinhalte) und „Account löschen“ (sofortige, irreversible Löschung). Bei aktiven Fan-Pass-/Founder-Käufen wird die Steuerunterlage gem. § 132 BAO 7 Jahre archiviert; alle übrigen Daten werden anonymisiert.

Findet nicht statt. Tipp-Ergebnisse werden ausschließlich anhand der gewählten, transparent dokumentierten Scoring-Regel berechnet.

Verschlüsselung in transit (TLS 1.3) und at rest (AES-256 in der DB). Passwortlos via Magic Link — kein Passwort-Diebstahl möglich. Row-Level-Security in Supabase isoliert die Daten pro Nutzer:in. Wir veröffentlichen Sicherheitsmeldungen auf tiptilldone.com/security.

Einige redaktionelle Inhalte (z.B. Stadion-Citystecks, Spielvorberichte) enthalten Affiliate-Links zu Streaming-Anbietern, Trikot-Shops oder Reise-Plattformen. Solche Links sind sichtbar mit „Anzeige“ gekennzeichnet (§ 5a UWG). Wenn du über einen Affiliate-Link einkaufst, erhalten wir eine Provision; der Preis für dich ändert sich dadurch nicht. Wir vermitteln keine Glücksspiel-, Wett- oder Casino-Angebote. Bei einem Klick auf einen Affiliate-Link wechselst du zum Partnerangebot; dessen Datenschutzbedingungen gelten dort.

Bei wesentlichen Änderungen informieren wir aktive Nutzer:innen per E-Mail mindestens 30 Tage vorab. Der jeweils aktuelle Stand ist immer unter tiptilldone.com/datenschutz abrufbar.