Datenschutzerklärung

Gemäß Art. 13, 14 DSGVO · Stand: Juni 2026

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist der Betreiber dieses Dienstes. Die vollständigen Kontaktdaten sind im Impressum zu finden.

2. Überblick der verarbeiteten Daten

Loco Market verarbeitet ausschließlich Daten, die für den Betrieb des Dienstes technisch notwendig sind. Es werden keine Werbedaten erhoben, keine Tracking-Pixel eingesetzt und kein Nutzerverhalten zu Marketingzwecken analysiert.

3. Zugriffsdaten & Server-Logs

Beim Aufruf der Website werden durch den Webserver automatisch technische Verbindungsdaten erhoben und temporär in Server-Logfiles gespeichert:

IP-Adresse des anfragenden Geräts
Datum und Uhrzeit des Zugriffs
Aufgerufene URL und HTTP-Methode
Übertragene Datenmenge und HTTP-Statuscode
Browser-Typ und Betriebssystem (User-Agent)

Diese Daten werden ausschließlich zur technischen Bereitstellung und Sicherheit des Dienstes verarbeitet (Fehlerbehebung, Missbrauchserkennung). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

IP-Adressen werden außerdem für serverseitiges Rate-Limiting eingesetzt (max. 5 Anmeldeversuche/10 Min., max. 600 Status-Abfragen/15 Min. pro IP), um Brute-Force-Angriffe zu verhindern.

4. Authentifizierung & Kontodaten

Der Dienst verwendet kein Passwort und keine E-Mail-Adresse. Die Anmeldung erfolgt ausschließlich durch Verifizierung des Minecraft-Spielernamens (IGN) über den spielinternen Chat des HugoSMP-Servers.

Dabei werden folgende Daten serverseitig in players.json gespeichert:

Datenfeld	Inhalt	Zweck
`ign`	Minecraft-Spielername (aktueller)	Kontoidentifizierung
`uuid`	Minecraft-UUID (32-stelliger Hex-String, ohne Bindestriche)	Stabiler Kontobezeichner; ermöglicht Kontomigration bei Namensänderung
`plan`	Zugangsstufe (free / pro / media / vip / vip_plus)	Berechtigungssteuerung
`paid`	Zahlungsstatus (boolean)	Zugangsfreischaltung
`paidAmount`	Gezahlter Betrag (Spielwährung)	Zahlungsnachweis
`paidAt`	Zeitstempel der Zahlung	Zahlungsnachweis
`registeredAt`	Zeitstempel der Registrierung	Kontoverwaltung

Die UUID wird beim ersten Login automatisch über die öffentliche Mojang-API (api.mojang.com) abgefragt und dauerhaft gespeichert. Sie ermöglicht die Zuordnung des Kontos auch nach einer Minecraft-Namensänderung. Es werden dabei keine weiteren Daten an Mojang übermittelt als der Spielername selbst; die API-Antwort enthält ausschließlich UUID und bestätigten Spielernamen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Diese Daten bleiben bis zur Löschung des Kontos auf Anfrage gespeichert.

5. Sitzungsverwaltung & Cookies

Nach erfolgreicher Authentifizierung wird ein HMAC-SHA256-signiertes Sitzungs-Cookie gesetzt:

Cookie	Inhalt	Gültigkeitsdauer
`auth_session`	Verschlüsselter Sitzungsbezeichner + Nonce + Ablaufzeit (Base64-kodiert, HMAC-signiert)	28 Tage

Das Cookie wird als httpOnly und sameSite=lax gesetzt — es ist für JavaScript im Browser nicht zugänglich und wird nicht an Drittseiten übermittelt. Es enthält keine personenbezogenen Klardaten.

Serverseitig werden aktive Sitzungen in sessions.json vorgehalten (Sitzungsbezeichner, Nonce, Ablaufzeit, Zugangsstufe). Abgelaufene Sitzungen werden automatisch bereinigt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (technisch notwendig für die Vertragserfüllung). Ein Cookie-Banner ist daher nicht erforderlich.

6. Temporärer Browser-Speicher (SessionStorage)

Während des Kaufprozesses auf /kaufen werden folgende Daten kurzfristig im sessionStorage des Browsers zwischengespeichert:

_upCode – Temporärer Upgrade-Code (8-stellig, hexadezimal)
_upPrice – Proratierter Upgrade-Preis in Spielwährung
_upDays – Verbleibende Tage des aktuellen Plans

Diese Daten liegen ausschließlich lokal im Browser, werden nicht an Server übertragen und beim Schließen des Browsertabs automatisch gelöscht.

7. Zahlungsprotokoll

Jede abgeschlossene Zahlung wird in einer append-only Logdatei (payments.log) protokolliert. Einträge enthalten: Zeitstempel, Spielername (IGN), Zugangsstufe, bezahlten Betrag (Spielwährung), vorherige Zugangsstufe sowie etwaige Systemrückerstattungen. Diese Logs dienen ausschließlich der internen Nachvollziehbarkeit bei Streitigkeiten über erbrachte Leistungen und werden nicht an Dritte weitergegeben. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Dokumentation erbrachter Leistungen und Absicherung gegen unbegründete Rückforderungen).

8. Marktdaten-Cache

Der Bot speichert serverseitig einen rollierenden Cache von Marktaktivitäten auf dem HugoSMP-Server:

player_listings.json – Spielernamen, gehandelte Gegenstände, Preise, Mengen, Listentyp, Zeitstempel. Automatische Löschung nach 7 Tagen.
history_cache.json – Historische Preistrends (aggregiert). Rollierendes Fenster von 30 Tagen.

Bei den gespeicherten Spielernamen handelt es sich um öffentliche Minecraft-Ingame-Namen, die bereits auf der HugoSMP-Marktplattform öffentlich einsehbar sind. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Betrieb des Marktbeobachtungsdienstes).

9. Filter & Discord-Webhook (optional)

Nutzer können im Dashboard eigene Suchfilter erstellen. Diese werden in bot_state.json serverseitig gespeichert (Name, Typ, Preisbereich) und sind bis zur manuellen Löschung aktiv.

Auf Wunsch kann eine Discord-Webhook-URL hinterlegt werden. An diese URL sendet der Bot automatisiert Benachrichtigungen, sobald ein Filterkriterium zutrifft. Die URL wird in bot_state.json gespeichert. Für die Datenverarbeitung innerhalb von Discord ist Discord Inc. verantwortlich: discord.com/privacy. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung auf Anfrage des Nutzers).

10. Minecraft-Bot (Verifikation & Zahlung)

Zur Verifikation des Spielernamens und zur Bestätigung von Zahlungen verbindet sich ein automatisierter Minecraft-Client (Bot) mit dem HugoSMP-Server. Der Bot empfängt ausschließlich die Flüsternachricht mit dem Einmal-Code sowie die systemseitige Zahlungsbestätigung des Servers. Sonstige Chat-Nachrichten werden nicht verarbeitet oder gespeichert.

Unmittelbar nach erfolgreicher Verifikation fragt das System die Minecraft-UUID des Spielers über die öffentliche Mojang-API (api.mojang.com/users/profiles/minecraft/{spielername}) ab. Diese Anfrage enthält ausschließlich den Spielernamen; es werden keine weiteren personenbezogenen Daten übermittelt. Die zurückgelieferte UUID wird wie in Abschnitt 4 beschrieben gespeichert. Für die Datenverarbeitung durch Mojang ist Microsoft/Mojang Studios verantwortlich.

Die Authentifizierungsdaten des Bots (Microsoft-Token) werden lokal im Verzeichnis .mc_auth/ gespeichert und nicht an Dritte weitergegeben.

11. Marktdaten-Erfassung

Marktdaten (Auktionslisten, Orders, Preistrends) werden von unserem eigenen Bot direkt aus dem ingame-Marktplatz des HugoSMP-Minecraft-Servers erfasst. Dabei werden keine personenbezogenen Nutzerdaten an Dritte übermittelt; öffentlich sichtbar sind lediglich die im Spiel ohnehin einsehbaren Listings (u. a. Verkäufer-IGN, Item, Preis).

12. Schriftarten (lokal gehostet)

Diese Website verwendet ausschließlich lokal gehostete Schriftarten (Inter, IBM Plex Mono, Plus Jakarta Sans) aus dem Verzeichnis /fonts/. Es findet kein Datentransfer an externe Schriftartenanbieter statt.

12a. Spieler-Avatare (mc-heads.net)

Zur Darstellung von Minecraft-Spieler-Avataren im Dashboard werden Anfragen an den Drittanbieter mc-heads.net gestellt. Dabei wird der Minecraft-Spielername (IGN) sowie deine IP-Adresse an mc-heads.net übermittelt. Dieser Dienst ist nicht mit Loco Market verbunden; für die dortige Datenverarbeitung ist der Betreiber von mc-heads.net verantwortlich. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Darstellung von Spieler-Identitäten).

12b. Externe JavaScript-Bibliotheken (CDN)

Das Dashboard lädt einige JavaScript-Bibliotheken von externen Content-Delivery-Networks (CDN). Dabei wird deine IP-Adresse an die jeweiligen Anbieter übermittelt:

Anbieter / CDN	Ressource	Datenschutz
cdnjs.cloudflare.com	Chart.js, GSAP, Three.js	cloudflare.com/privacypolicy
cdn.jsdelivr.net	Chart.js Datums-Adapter, Three.js OrbitControls, Minecraft-Block-Texturen	jsdelivr.com/privacy
unpkg.com (Fallback)	Lucide-Icons (nur bei Ladefehler der lokalen Kopie)	npmjs.com/policies/privacy

Diese Bibliotheken sind für die Kernfunktionalität des Dashboards (Diagramme, Animationen, 3D-Vorschau, Icons) notwendig. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am effizienten Betrieb der Webanwendung). Alle genannten Anbieter sind nach dem EU-US Data Privacy Framework zertifiziert oder verarbeiten Daten ausschließlich auf EU-Infrastruktur.

13. Hosting

Der Dienst wird auf einem Server gehostet, der über Cloudflare-Infrastruktur erreichbar ist. Cloudflare verarbeitet dabei technische Verbindungsdaten (inkl. IP-Adressen) zur Auslieferung der Website und zum Schutz vor Angriffen (DDoS-Mitigation). Cloudflare ist nach dem EU-US Data Privacy Framework zertifiziert. Weitere Informationen: cloudflare.com/privacypolicy.

14. Deine Rechte

Du hast gemäß DSGVO folgende Rechte gegenüber uns:

Auskunft (Art. 15 DSGVO) – Welche Daten wir über dich gespeichert haben
Berichtigung (Art. 16 DSGVO) – Korrektur unrichtiger Daten
Löschung (Art. 17 DSGVO) – Löschung deines Kontos und aller zugehörigen Daten
Einschränkung (Art. 18 DSGVO) – Einschränkung der Verarbeitung
Widerspruch (Art. 21 DSGVO) – Widerspruch gegen Verarbeitungen auf Basis von Art. 6 Abs. 1 lit. f DSGVO
Beschwerde (Art. 77 DSGVO) – Bei der zuständigen Datenschutzaufsichtsbehörde

Zur Ausübung deiner Rechte wende dich per E-Mail an die im Impressum angegebene Adresse. Wir bearbeiten Anfragen innerhalb von 30 Tagen.

15. Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung bei technischen Änderungen des Dienstes anzupassen. Die jeweils aktuelle Version ist unter /datenschutz abrufbar. Das Datum der letzten Überarbeitung ist oben vermerkt.