Privacy Policy

Controller: Alviran (Kerim Akgül), Nienkamp 30, 48599 Gronau, Germany • [email protected]

What we process & why

• Ticket system & orders
  (email address, ticket/order ID, game, region, goal, budget, items/notes, messages you send, delivery information and access/credentials that are necessary to provide the requested digital service).
  Purpose: processing your request, providing the service and communicating with you (performance of a contract, Art. 6(1)(b) GDPR).
• Payments via Stripe
  (email, payment method details, amounts, currency, invoice IDs, basic metadata, risk/fraud checks).
  Purpose: payment processing and contract fulfilment (Art. 6(1)(b) GDPR) and prevention of fraud/abuse (legitimate interests, Art. 6(1)(f) GDPR).
  Depending on the specific processing, Stripe may act as our processor and/or as an independent controller (e.g., for its own compliance and fraud-prevention purposes).
  Invoices may be generated by Stripe as a hosted invoice page. We configure the content (e.g. description of the service).
• Payments via PayPal (where offered)
  (email, transaction ID, amounts, currency, payment status, risk/fraud information, and other metadata required to process the payment).
  Purpose: payment processing and contract fulfilment (Art. 6(1)(b) GDPR) and prevention of fraud/abuse (legitimate interests, Art. 6(1)(f) GDPR).
  PayPal may process data as an independent controller for its own compliance and fraud-prevention purposes.
• Payments via Heleket (cryptocurrency)
  (email address, order/invoice ID, amounts, currency, wallet address, payment status, and metadata required to process the transaction).
  Purpose: payment processing and contract fulfilment (Art. 6(1)(b) GDPR) and prevention of fraud/abuse (legitimate interests, Art. 6(1)(f) GDPR).
  Heleket may process data as an independent controller for its own compliance and fraud-prevention purposes.
• Transactional emails via SMTP2GO
  (email address, ticket/order ID, payment status, system messages such as “ticket created”, “deposit confirmed”, “final payment confirmed”, “new reply”).
  Purpose: contract fulfilment & customer support (Art. 6(1)(b) GDPR).
• Access, delivery & security logs
  (IP address, timestamp, requested URL, user-agent, referrer; and limited delivery/access evidence such as the time a ticket was opened or a delivery step was displayed).
  Purpose: operation of the website, security, rate-limiting in the ticket chat, detection of abuse, technical troubleshooting, and defending against fraud/chargebacks (legitimate interests, Art. 6(1)(f) GDPR; where applicable also contract performance, Art. 6(1)(b) GDPR).
  We do not store payment card numbers or full authentication data. We also do not store passwords in system logs.
• Magic-link access & tokens
  We provide access to your ticket via a unique “magic link” containing a token (parameter t) instead of a classic login.
  Purpose: secure, user-friendly access to your ticket and its messages (performance of a contract, Art. 6(1)(b) GDPR) and protection against unauthorized access (legitimate interests, Art. 6(1)(f) GDPR).
• Cookies & similar technologies
  We use the following categories:
  • Essential cookies (e.g., session cookies and cookies required for magic-link / token-based ticket access). These are necessary to provide the service.
    Legal basis: Art. 6(1)(b) GDPR and/or Art. 6(1)(f) GDPR; and for storing/accessing information on your device where applicable, Sec. 25(2) TDDDG.
  • Affiliate/referral cookies (e.g. alv_aff) where applicable. These are used to attribute referrals and are set only if you give consent (if implemented on the website).
    Legal basis: Art. 6(1)(a) GDPR; and Sec. 25(1) TDDDG. You can withdraw your consent at any time via the cookie settings (if available on the site).
  We do not use analytics or marketing cookies without your prior consent.
• Customer dashboard & account
  When you place an order, a customer dashboard account may be created for you automatically (using your email address) so you can view your delivered accounts, track orders and access support features. You will be notified by email when your account is ready.
  Data processed: email address, username (derived from email), hashed password, account-level data (XP, level, reward history, spin history, referral code).
  Purpose: providing the dashboard service and delivering your purchased accounts (performance of a contract, Art. 6(1)(b) GDPR). The rewards/gamification features (XP, levels, weekly spins, referral programme) are provided on the basis of our legitimate interest in customer engagement and retention (Art. 6(1)(f) GDPR).
  You may request deletion of your dashboard account at any time through the “My Data & Privacy” section in the dashboard.
• Email communications
  We send the following categories of emails:
  • Transactional emails directly related to your order (ticket created, deposit confirmed, final payment confirmed, delivery ready, new reply, account credentials). Legal basis: performance of a contract (Art. 6(1)(b) GDPR).
  • Order follow-up emails for pending/incomplete orders (reminders about unpaid tickets, including discount offers to complete your purchase). These are sent on the basis of our legitimate interest in completing initiated transactions (Art. 6(1)(f) GDPR). Each follow-up email contains an unsubscribe link.
  • Marketing & engagement emails such as weekly spin reminders and promotional offers. These are sent only with your consent (Art. 6(1)(a) GDPR; Sec. 7 UWG). You can opt out at any time via the unsubscribe link in every email or through your dashboard notification settings.
• Abuse prevention & blacklist
  To protect against fraud, chargebacks and abuse, we maintain an internal blocklist of email addresses associated with confirmed abuse cases. Data stored: email address, reason, timestamp, and the staff member who recorded the entry.
  Purpose: prevention of fraud and protection of our business operations (legitimate interests, Art. 6(1)(f) GDPR).
  Blacklist entries are reviewed periodically and retained for up to 24 months unless ongoing risk justifies longer retention. If you believe you have been blocked in error, you may contact us at any time.
• Full IP addresses for consent records
  By default, all IP addresses are anonymised (last octet removed) across our systems — including access logs, security logs, and account access logs. We store your full IP address only once: when you accept our Terms of Service and Privacy Policy before payment, as part of the consent record.
  Purpose: to prove that valid consent was given before the transaction (legal obligation / legitimate interests, Art. 6(1)(c)/(f) GDPR).
  This full IP is retained for the duration of the applicable retention period for consent records and is not used for any other purpose.

Recipients & international transfers

We use selected service providers as processors or independent controllers:

• Hosting: our website (including the ticket system) is hosted with a professional provider within the EU.
• Stripe Payments Europe Ltd. as payment service provider for card and alternative payments.
• PayPal as payment service provider (where offered).
• Heleket as cryptocurrency payment service provider.
• SMTP2GO for sending transactional emails (SMTP / API).

Where personal data is transferred outside the European Economic Area (EEA), we rely on appropriate safeguards such as adequacy decisions or Standard Contractual Clauses in accordance with Art. 46 GDPR.
Data processing agreements are concluded where required by Art. 28 GDPR.

Retention periods

• Invoices & accounting data: as required by German commercial and tax law (generally up to 10 years).
• Ticket/chat data: usually up to 12 months after the ticket is closed, unless longer retention is legally required or justified (e.g. legal claims).
• Access/security logs: generally 30–90 days, unless an incident, abuse prevention or a dispute/chargeback requires longer retention.
• Dispute/chargeback evidence logs: retained for the duration of the dispute and typically up to 180 days thereafter, unless longer retention is necessary to assert or defend legal claims.
• Consent records (if cookie consent is used): stored as long as necessary to demonstrate compliance and then deleted/aggregated.
• Stripe/PayPal/Heleket records: according to the providers’ own legal retention obligations and settings.
• Blacklist/abuse prevention data: up to 24 months, subject to periodic review; longer where ongoing risk is documented.
• Dashboard account data: retained until you request deletion of your account. Upon deletion, all personal data is removed except where retention is legally required (e.g. invoices, tax records).
• Full IP addresses (consent records only): retained for the same period as the consent record they belong to, then deleted.

Your rights

You have the rights of access, rectification, erasure, restriction of processing, data portability and objection (Art. 15–21 GDPR), subject to the conditions therein. Where processing is based on consent, you may withdraw it at any time (Art. 7(3) GDPR), without affecting the lawfulness of processing before withdrawal.
Where we process data based on legitimate interests (Art. 6(1)(f) GDPR), you have the right to object on grounds relating to your particular situation (Art. 21 GDPR).
You may lodge a complaint with the competent supervisory authority, in particular: State Data Protection Authority of North Rhine-Westphalia (LDI NRW).

How to exercise your rights: If you have a dashboard account, you can access, export and request deletion of your data through the “My Data & Privacy” section. We will process your request within 30 days. For all other requests or if you do not have an account, please contact us at the email address above. Certain data (e.g. invoices required by tax law) may be exempt from deletion under Art. 17(3) GDPR.

Provision of data

• For placing orders and using the ticket system, the provision of certain data (e.g. email, game/region/goal) is contractually required.
• Without this data, we cannot create a ticket, process your request or provide the service.

No automated decision-making

We do not use automated decision-making or profiling within the meaning of Art. 22 GDPR in connection with the ticket system. Payment providers may perform risk and fraud checks under their own responsibility.

Security

We apply appropriate technical and organisational measures to protect your data (encryption, access control, backups, etc.). In case of a personal-data breach likely to result in a high risk to your rights and freedoms, we will notify you and the competent authority where required under Art. 33 and 34 GDPR.

Verantwortlicher: Alviran (Kerim Akgül), Nienkamp 30, 48599 Gronau, Deutschland • [email protected]

Welche Daten wir verarbeiten & warum

• Ticket-System & Bestellungen
  (E-Mail-Adresse, Ticket-/Bestell-ID, Spiel, Region, Ziel, Budget, Angaben zu Items/Notizen, von Ihnen gesendete Nachrichten, Informationen sowie Zugangsdaten/Zugriffsdaten, die zur Erbringung der digitalen Leistung erforderlich sind).
  Zweck: Bearbeitung Ihrer Anfrage, Erbringung der Dienstleistung und Kommunikation mit Ihnen (Vertragserfüllung, Art. 6 Abs. 1 lit. b DSGVO).
• Zahlungen über Stripe
  (E-Mail, Zahlungsart, Beträge, Währung, Rechnungs-IDs, einfache Metadaten, Risiko-/Betrugsprüfungen).
  Zweck: Zahlungsabwicklung und Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) sowie Betrugsprävention (berechtigtes Interesse, Art. 6 Abs. 1 lit. f DSGVO).
  Je nach Verarbeitung kann Stripe als Auftragsverarbeiter und/oder als eigenständiger Verantwortlicher handeln (z. B. für eigene Compliance- und Betrugspräventionszwecke).
  Rechnungen können über Stripes Hosted Invoice Page bereitgestellt werden. Die Inhalte (z. B. Leistungsbeschreibung) konfigurieren wir.
• Zahlungen über PayPal (sofern angeboten)
  (E-Mail, Transaktions-ID, Beträge, Währung, Zahlungsstatus, Risiko-/Betrugsinformationen sowie weitere für die Zahlungsabwicklung erforderliche Metadaten).
  Zweck: Zahlungsabwicklung und Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) sowie Betrugsprävention (berechtigtes Interesse, Art. 6 Abs. 1 lit. f DSGVO).
  PayPal kann Daten für eigene Compliance- und Betrugspräventionszwecke als eigenständiger Verantwortlicher verarbeiten.
• Zahlungen über Heleket (Kryptowährung)
  (E-Mail-Adresse, Bestell-/Rechnungs-ID, Beträge, Währung, Wallet-Adresse, Zahlungsstatus sowie weitere für die Zahlungsabwicklung erforderliche Metadaten).
  Zweck: Zahlungsabwicklung und Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) sowie Betrugsprävention (berechtigtes Interesse, Art. 6 Abs. 1 lit. f DSGVO).
  Heleket kann Daten für eigene Compliance- und Betrugspräventionszwecke als eigenständiger Verantwortlicher verarbeiten.
• Transaktionale E-Mails über SMTP2GO
  (E-Mail-Adresse, Ticket-/Bestell-ID, Zahlungsstatus, Systemnachrichten wie „Ticket erstellt”, „Deposit bestätigt”, „Final Payment bestätigt”, „Neue Antwort”).
  Zweck: Vertragserfüllung & Support-Kommunikation (Art. 6 Abs. 1 lit. b DSGVO).
• Zugriffs-, Delivery- & Sicherheits-Logs
  (IP-Adresse, Zeitstempel, aufgerufene URL, User-Agent, Referrer; sowie begrenzte Delivery-/Zugriffsnachweise, z. B. Zeitpunkt des Ticket-Öffnens oder der Anzeige eines Delivery-Schritts).
  Zweck: Betrieb der Website, Sicherheit, Rate-Limiting im Ticket-Chat, Missbrauchserkennung, Fehleranalyse sowie Verteidigung gegen Betrug/Chargebacks (berechtigtes Interesse, Art. 6 Abs. 1 lit. f DSGVO; soweit einschlägig auch Vertragserfüllung, Art. 6 Abs. 1 lit. b DSGVO).
  Wir speichern keine Kreditkartennummern oder vollständige Authentifizierungsdaten. Passwörter werden nicht in System-Logs gespeichert.
• Magic-Link-Zugriff & Tokens
  Wir stellen den Zugriff auf Ihr Ticket über einen individuellen „Magic Link” mit Token (Parameter t) bereit, anstatt eines klassischen Logins.
  Zweck: sicherer und nutzerfreundlicher Zugriff auf Ihr Ticket (Vertragserfüllung, Art. 6 Abs. 1 lit. b DSGVO) sowie Schutz vor unbefugtem Zugriff (berechtigtes Interesse, Art. 6 Abs. 1 lit. f DSGVO).
• Cookies & ähnliche Technologien
  Wir verwenden folgende Kategorien:
  • Essenzielle Cookies (z. B. Session-Cookies und Cookies, die für den Magic-Link-/Token-basierten Ticket-Zugriff erforderlich sind). Diese sind zur Bereitstellung des Dienstes notwendig.
    Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO und/oder Art. 6 Abs. 1 lit. f DSGVO; und für das Speichern/Auslesen von Informationen auf Ihrem Endgerät, soweit anwendbar, § 25 Abs. 2 TDDDG.
  • Affiliate-/Referral-Cookies (z. B. alv_aff), sofern eingesetzt. Diese dienen der Zuordnung von Empfehlungen und werden (falls implementiert) nur mit Ihrer Einwilligung gesetzt.
    Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO; und § 25 Abs. 1 TDDDG. Sie können Ihre Einwilligung jederzeit über die Cookie-Einstellungen widerrufen (sofern auf der Website verfügbar).
  Analyse- oder Marketing-Cookies setzen wir nicht ohne vorherige Einwilligung.
• Kunden-Dashboard & Konto
  Bei einer Bestellung kann automatisch ein Dashboard-Konto für Sie erstellt werden (anhand Ihrer E-Mail-Adresse), über das Sie Ihre gelieferten Accounts einsehen, Bestellungen verfolgen und Support-Funktionen nutzen können. Sie werden per E-Mail benachrichtigt, sobald Ihr Konto bereitsteht.
  Verarbeitete Daten: E-Mail-Adresse, Benutzername (abgeleitet von der E-Mail), gehashtes Passwort, kontobezogene Daten (XP, Level, Belohnungsverlauf, Spin-Verlauf, Empfehlungscode).
  Zweck: Bereitstellung des Dashboard-Dienstes und Auslieferung der erworbenen Accounts (Vertragserfüllung, Art. 6 Abs. 1 lit. b DSGVO). Die Belohnungs-/Gamification-Funktionen (XP, Level, wöchentliche Spins, Empfehlungsprogramm) stützen sich auf unser berechtigtes Interesse an Kundenbindung (Art. 6 Abs. 1 lit. f DSGVO).
  Sie können die Löschung Ihres Dashboard-Kontos jederzeit über den Bereich „Meine Daten & Datenschutz” im Dashboard beantragen.
• E-Mail-Kommunikation
  Wir versenden folgende E-Mail-Kategorien:
  • Transaktionale E-Mails mit direktem Bezug zu Ihrer Bestellung (Ticket erstellt, Anzahlung bestätigt, Restzahlung bestätigt, Lieferung bereit, neue Antwort, Account-Zugangsdaten). Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
  • Bestell-Follow-up-E-Mails bei offenen/unvollständigen Bestellungen (Erinnerungen zu unbezahlten Tickets, ggf. mit Rabattangeboten zum Kaufabschluss). Rechtsgrundlage: berechtigtes Interesse am Abschluss angebahnter Transaktionen (Art. 6 Abs. 1 lit. f DSGVO). Jede Follow-up-E-Mail enthält einen Abmeldelink.
  • Marketing- & Engagement-E-Mails wie wöchentliche Spin-Erinnerungen und Werbeangebote. Diese werden nur mit Ihrer Einwilligung versendet (Art. 6 Abs. 1 lit. a DSGVO; § 7 UWG). Sie können sich jederzeit über den Abmeldelink in jeder E-Mail oder über Ihre Dashboard-Benachrichtigungseinstellungen abmelden.
• Missbrauchsprävention & Blockliste
  Zum Schutz vor Betrug, Chargebacks und Missbrauch führen wir eine interne Blockliste von E-Mail-Adressen, die mit bestätigten Missbrauchsfällen in Verbindung stehen. Gespeicherte Daten: E-Mail-Adresse, Grund, Zeitstempel sowie der Mitarbeiter, der den Eintrag vorgenommen hat.
  Zweck: Betrugsprävention und Schutz des Geschäftsbetriebs (berechtigtes Interesse, Art. 6 Abs. 1 lit. f DSGVO).
  Einträge auf der Blockliste werden regelmäßig überprüft und bis zu 24 Monate aufbewahrt, es sei denn, ein fortbestehendes Risiko rechtfertigt eine längere Speicherung. Sollten Sie glauben, fälschlicherweise gesperrt worden zu sein, können Sie uns jederzeit kontaktieren.
• Vollständige IP-Adressen bei Einwilligungsnachweisen
  Grundsätzlich werden alle IP-Adressen in unseren Systemen anonymisiert (letztes Oktett entfernt) — einschließlich Zugriffsprotokolle, Sicherheitsprotokolle und Account-Zugriffsprotokolle. Wir speichern Ihre vollständige IP-Adresse nur einmal: wenn Sie unsere AGB und Datenschutzerklärung vor der Zahlung akzeptieren, als Teil des Einwilligungsnachweises.
  Zweck: Nachweis, dass vor der Transaktion eine gültige Einwilligung erteilt wurde (gesetzliche Verpflichtung / berechtigtes Interesse, Art. 6 Abs. 1 lit. c/f DSGVO).
  Diese vollständige IP wird für die Dauer der jeweiligen Aufbewahrungsfrist für Einwilligungsnachweise gespeichert und nicht für andere Zwecke verwendet.

Empfänger & Drittstaaten

• Hosting-Provider innerhalb der EU für Betrieb & Sicherheit der Website inkl. Ticket-System.
• Stripe Payments Europe Ltd. als Zahlungsdienstleister (Zahlungsabwicklung, Rechnungen, Betrugsprüfung).
• PayPal als Zahlungsdienstleister (sofern angeboten).
• Heleket als Zahlungsdienstleister für Kryptowährungen.
• SMTP2GO für den Versand transaktionaler E-Mails (SMTP / API).

Soweit personenbezogene Daten in Drittländer außerhalb des EWR übermittelt werden, erfolgt dies auf Basis von Angemessenheitsbeschlüssen oder Standardvertragsklauseln im Sinne von Art. 46 DSGVO.
Erforderliche Auftragsverarbeitungsverträge schließen wir nach Art. 28 DSGVO ab.

Speicherdauer

• Rechnungs- und Buchhaltungsdaten: nach handels- und steuerrechtlichen Vorgaben, in der Regel bis zu 10 Jahre.
• Ticket-/Supportdaten: in der Regel bis zu 12 Monate nach Abschluss des Tickets, sofern keine längere Aufbewahrung erforderlich ist (z. B. bei Rechtsansprüchen).
• Zugriffs-/Sicherheits-Logs: in der Regel 30–90 Tage, sofern kein Sicherheitsvorfall, Missbrauchsprävention oder ein Chargeback eine längere Speicherung erfordert.
• Chargeback-/Streitfall-Nachweise: für die Dauer des Streitfalls und typischerweise bis zu 180 Tage danach, sofern keine längere Speicherung zur Durchsetzung oder Verteidigung von Rechtsansprüchen erforderlich ist.
• Einwilligungsnachweise (bei Cookie-Consent): solange erforderlich zur Nachweisführung, anschließend Löschung/Aggregation.
• Blockliste/Missbrauchsprävention: bis zu 24 Monate, vorbehaltlich regelmäßiger Überprüfung; länger bei dokumentiertem fortwährendem Risiko.
• Dashboard-Kontodaten: bis Sie die Löschung Ihres Kontos beantragen. Bei Löschung werden alle personenbezogenen Daten entfernt, sofern keine gesetzliche Aufbewahrungspflicht besteht (z. B. Rechnungen, steuerrelevante Unterlagen).
• Vollständige IP-Adressen (nur Einwilligungsnachweise): werden für die Dauer der Aufbewahrungsfrist des zugehörigen Einwilligungsnachweises gespeichert und danach gelöscht.

Ihre Rechte

Sie haben die Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie Widerspruch (Art. 15–21 DSGVO).
Soweit eine Verarbeitung auf Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO).
Soweit wir Daten auf Basis berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) verarbeiten, haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, Widerspruch einzulegen (Art. 21 DSGVO).
Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren, insbesondere bei der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW).

Ausübung Ihrer Rechte: Sofern Sie über ein Dashboard-Konto verfügen, können Sie Ihre Daten über den Bereich „Meine Daten & Datenschutz” einsehen, exportieren und deren Löschung beantragen. Wir bearbeiten Ihren Antrag innerhalb von 30 Tagen. Für alle sonstigen Anfragen oder wenn Sie kein Konto besitzen, kontaktieren Sie uns bitte unter der oben genannten E-Mail-Adresse. Bestimmte Daten (z. B. steuerrechtlich erforderliche Rechnungen) können gemäß Art. 17 Abs. 3 DSGVO von der Löschung ausgenommen sein.

Datenbereitstellung

• Für die Nutzung des Ticket-Systems und für Käufe ist die Bereitstellung bestimmter Daten (z. B. E-Mail, Angaben zum Spiel/Region/Ziel) vertraglich erforderlich.
• Ohne diese Daten können wir kein Ticket anlegen, Ihre Anfrage nicht bearbeiten und keinen Vertrag mit Ihnen schließen.

Keine automatisierte Entscheidungsfindung

Wir setzen im Zusammenhang mit dem Ticket-System keine automatisierte Entscheidungsfindung oder Profiling gemäß Art. 22 DSGVO ein. Zahlungsdienstleister können Risikoprüfungen und Betrugschecks in eigener Verantwortung durchführen.

Sicherheit

Wir treffen geeignete technische und organisatorische Maßnahmen zum Schutz Ihrer personenbezogenen Daten (z. B. Verschlüsselung, Zugriffsbeschränkungen, Backups).
Im Falle einer Verletzung des Schutzes personenbezogener Daten mit voraussichtlich hohem Risiko für Ihre Rechte und Freiheiten informieren wir Sie und ggf. die zuständige Aufsichtsbehörde entsprechend Art. 33 und 34 DSGVO.