Datenschutzerklärung
Stand: 25. Juni 2026
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer datenschutzrechtlicher Bestimmungen ist:
[FULL NAME] [STREET ADDRESS] [POSTAL CODE + CITY] Deutschland E-Mail: minddojogame@gmail.com Telefon: [optional: PHONE]
2. Allgemeines zur Datenverarbeitung
Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung erfolgt regelmäßig nach Einwilligung des Nutzers oder auf einer der in Art. 6 DSGVO genannten Rechtsgrundlagen.
3. Bereitstellung der Website und Server-Logs
Beim Aufruf unserer Website werden durch unseren Hosting-Anbieter Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland automatisch Informationen in sogenannten Server-Logfiles erhoben:
- IP-Adresse des aufrufenden Geräts
- Datum und Uhrzeit des Zugriffs
- Aufgerufene URL / Referrer
- User-Agent (Browser, Betriebssystem)
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betrieb und Sicherheit der Website). Speicherdauer: im Rahmen der vom Hosting-Anbieter standardmäßig konfigurierten Aufbewahrung, sofern kein Sicherheitsvorfall die längere Speicherung erfordert. Die konkrete Speicherdauer ergibt sich aus der Konfiguration des unter Abschnitt 9 genannten Hosting-Anbieters.
4. Registrierung und Nutzerkonto (Supabase Auth)
Für die Nutzung des Mind-Dojo-Trainings ist die Anlage eines Nutzerkontos erforderlich. Wir verarbeiten dazu folgende Daten:
- Kontodaten: E-Mail-Adresse, Passwort-Hash (nie das Passwort selbst), Erstellungs- und Login-Zeitstempel
- Profildaten: Benutzername, optional Avatar-URL, Sichtbarkeitseinstellung des Profils (öffentlich / Freunde / privat)
- Spielfortschritt: Punktzahlen, Belt-Level je Disziplin, Dojo-Rang-XP, Match-Historie inkl. anonymisierter Replay-Logs zur Anti-Cheat-Prüfung
- Errungenschaften & Aufgaben: Achievement-Fortschritt, Tages-/Wochen-Quests, Herausforderungen gegen andere Spieler, saisonale Bestenlisten-Einträge
- Kosmetische Inhalte: Freigeschaltete und ausgerüstete Belt-Skins
- Soziale Beziehungen: Freundschaften, Freundschaftsanfragen, blockierte Nutzer
- Aktivitätsprotokoll: spielinterne Ereignisse (z. B. Bestleistungen, Belt-Aufstiege, gewonnene Turniere) zur Anzeige in der Aktivitäts-Übersicht
- Einstellungen: Audio-Präferenzen, Onboarding-Status
Die Authentifizierung und Datenspeicherung erfolgt über Supabase Inc. (970 Toa Payoh North, Singapur / 660 King Street, San Francisco, USA). Die Datenbank- und Authentifizierungsdaten werden physisch im Rechenzentrum AWS London (Region eu-west-2), Vereinigtes Königreich gespeichert. Das Vereinigte Königreich ist seit dem Brexit ein Drittland im Sinne der DSGVO, für das jedoch ein Angemessenheitsbeschluss der EU-Kommission vom 28. Juni 2021 vorliegt; eine Datenübermittlung in das UK ist daher datenschutzrechtlich einer Übermittlung innerhalb der EU gleichgestellt. Soweit Supabase Inc. als US-amerikanisches Unternehmen aus den USA auf die Daten zugreifen kann, stützt sich diese Übermittlung auf das EU-US Data Privacy Framework bzw. EU-Standardvertragsklauseln (siehe Abschnitt 14). Es besteht ein Auftragsverarbeitungsvertrag (AVV) gem. Art. 28 DSGVO.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Speicherdauer: bis zur Löschung des Kontos durch den Nutzer; siehe Abschnitt 12.
4a. Versus-Modus und Gast-Konten (anonyme Sitzungen)
Im Versus-Modus können Sie eine Einladung zu einem 1‑gegen‑1‑Match öffnen, ohne sich vorab zu registrieren. Beim Öffnen des Einladungslinks legen wir technisch ein anonymes Konto (Supabase Anonymous Sign-in) an. Das ist erforderlich, damit unsere Zugriffsregeln (Row Level Security) Sie als Teilnehmer des Matches erkennen können.
Beim anonymen Konto verarbeiten wir ausschließlich:
- Anonyme Nutzer-ID (UUID, vom Authentifizierungssystem erzeugt) und das interne Flag
is_anonymous = true - Erstellungszeitpunkt der anonymen Sitzung
- Spielanzeigename (Label, frei wählbar, Standard
guest-XXXXXX, max. 40 Zeichen) — wird auf der Ergebnisseite und auf einer geteilten Auswertung angezeigt - Spielfortschritt für dieses Match: Match-Zuordnung, Punktzahlen pro Runde, das anonymisierte Replay-Log zur Anti-Cheat-Prüfung (gleicher Umfang wie in Abschnitt 4)
Es werden keine E-Mail-Adresse, kein Passwort und keine Profildaten erhoben. Die anonyme Sitzung ist an den Browser gebunden und endet, wenn der lokale Sitzungs-Token verworfen wird.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Durchführung des angefragten Versus-Matches als vorvertragliche Maßnahme bzw. Vertrag mit dem anonymen Nutzer).
Speicherdauer: Anonyme Konten, die innerhalb von 30 Tagen kein abgeschlossenes Versus-Match haben (weder als Host noch als Gegner) und nicht zu einem regulären Konto aufgewertet wurden, werden serverseitig automatisch gelöscht (Funktion purge_stale_guest_users() aus Migration 028 in supabase/migrations/028_purge_stale_guests.sql). Anonyme Konten, die an einem abgeschlossenen Match beteiligt waren, bleiben so lange erhalten, wie das Match selbst gespeichert ist (Account-Löschung des verbleibenden Teilnehmers kaskadiert beide Seiten).
Aufwertung zu einem regulären Konto: Sie können nach dem Match E-Mail und Passwort zum bestehenden anonymen Konto hinzufügen. Dabei bleibt die anonyme Nutzer-ID erhalten — der Spielverlauf des Gast-Matches ist anschließend mit dem aufgewerteten Konto verknüpft, ohne dass eine Datenübertragung zwischen verschiedenen Konten stattfindet.
5. Anmeldung mit Google (OAuth)
Optional kann die Anmeldung über Google erfolgen. Dabei werden folgende Daten von Google an uns übermittelt:
- Google-Konto-ID
- E-Mail-Adresse
- Profilname
- ggf. Profilbild-URL
Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Auswahl des Anbieters). Datenschutzerklärung von Google: https://policies.google.com/privacy
6. Fehler- und Crashtracking (Sentry)
Zur Erkennung und Behebung von Anwendungsfehlern setzen wir Sentry (Functional Software, Inc. dba Sentry) ein. Die Datenverarbeitung erfolgt ausschließlich in der EU-Region (Frankfurt am Main, Deutschland) über den Ingest-Endpunkt *.ingest.de.sentry.io. Ein Auftragsverarbeitungsvertrag (AVV) gem. Art. 28 DSGVO ist abgeschlossen.
Beim Auftreten eines Fehlers werden ausschließlich technische Daten übertragen:
- Fehlermeldung und Stack-Trace
- URL des fehlerverursachenden Aufrufs (ohne Query-String)
- Browser- und Geräteinformationen (z. B. Browserversion, Bildschirmauflösung)
- Spielkontext zum Fehlerzeitpunkt (Spiel-ID, Spielphase, Punktzahl) — ausschließlich numerische bzw. Aufzählungswerte
- Pseudonyme Nutzer-ID (UUID), sofern angemeldet — keine E-Mail-Adresse, kein Klarname
Vor der Übertragung werden personenbezogene Daten clientseitig gefiltert (beforeSend-Filter): IP-Adressen, E-Mail-Adressen, Authentifizierungs-Tokens, Cookies, Request-Body und Query-Strings werden entfernt bzw. nicht erfasst (sendDefaultPii: false). Session-Replay (visuelle Aufzeichnungen der Nutzeroberfläche) ist deaktiviert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am stabilen Betrieb der Anwendung). Da die Verarbeitung ausschließlich in der EU stattfindet, ist eine Drittlandübermittlung nicht erforderlich. Speicherdauer: entsprechend der in unserem Sentry-Account konfigurierten Aufbewahrung (Sentry-Standardaufbewahrung; planabhängig).
Datenschutzerklärung Sentry: https://sentry.io/privacy/
7. Produktanalyse (PostHog)
Zur Verbesserung des Produkts setzen wir PostHog (PostHog EU, gehostet in Frankfurt, Deutschland; Endpunkt eu.i.posthog.com) zur Auswertung von Nutzungsdaten ein. Die Verarbeitung findet ausschließlich in der EU statt; clientseitige Anfragen werden über einen Same-Origin-Reverse-Proxy (/ingest) an den EU-Endpunkt weitergeleitet.
Wir erfassen:
- Clientseitig (Browser, posthog-js): Seitenaufrufe, Klick- und Interaktions-Events innerhalb der Anwendung, Geräte- und Browsertyp, gekürzte IP-Adresse.
- Serverseitig (posthog-node): vertrauenswürdige Spielereignisse, die clientseitig manipulierbar wären — z. B. eingereichte Match-Ergebnisse, Belt-Aufstiege, Turnierergebnisse, Freundschafts- und Herausforderungs-Aktionen, Saison-Ereignisse. Übertragen werden ausschließlich die pseudonyme Nutzer-ID (UUID), der Event-Name und numerische bzw. Aufzählungs-Properties — keine E-Mail-Adresse, kein Klarname.
Es besteht ein Auftragsverarbeitungsvertrag (AVV) gem. Art. 28 DSGVO.
Einwilligung: Sowohl die client- als auch die serverseitige Erfassung ist standardmäßig deaktiviert (opt_out_capturing_by_default) und wird erst nach aktiver Zustimmung über das Cookie-Banner aktiviert. Die Einwilligung wird im Cookie md_analytics_consent gespeichert und kann jederzeit über das Einstellungsmenü widerrufen werden; bei Widerruf werden keine weiteren Events erfasst.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Speicherdauer: entsprechend der in unserem PostHog-Account konfigurierten Aufbewahrung (planabhängig).
Datenschutzerklärung PostHog: https://posthog.com/privacy
8. Cookies und Local Storage
Wir verwenden:
- Technisch notwendige Cookies / Local-Storage-Einträge (z. B. Supabase-Session-Token, Audio-Einstellungen, Spielfortschritt im Browser sowie der Einwilligungs-Cookie
md_analytics_consentselbst). Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG i. V. m. Art. 6 Abs. 1 lit. b DSGVO. Keine Einwilligung erforderlich. - Optionale Cookies (PostHog-Analyse, siehe Abschnitt 7). Rechtsgrundlage: § 25 Abs. 1 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO. Werden erst nach aktiver Einwilligung über das Cookie-Banner gesetzt.
Sie können Cookies jederzeit über Ihre Browsereinstellungen löschen. Die Einwilligung in optionale Cookies können Sie über das Einstellungsmenü widerrufen.
9. Empfänger / Auftragsverarbeiter im Überblick
| Empfänger | Zweck | Sitz | Übertragung Drittland | | ---------------------------------- | ----------------------------------------- | ---------------------------------------- | -------------------------------------------------------- | | Hetzner Online GmbH | Hosting der Anwendung | Deutschland | nein | | Supabase Inc. | Datenbank und Authentifizierung | UK (London, Hosting) / USA (Unternehmen) | UK-Angemessenheitsbeschluss; ggf. EU-US DPF (US-Zugriff) | | Sentry (Functional Software, Inc.) | Error-Tracking | EU (Frankfurt) | nein | | Google Ireland Ltd. | OAuth-Login (optional) | Irland | nein | | PostHog | Produktanalyse (client- und serverseitig) | EU (Frankfurt) | nein |
10. Speicherdauer
- Kontodaten: bis zur Löschung des Kontos durch den Nutzer.
- Anonyme Versus-Konten ohne abgeschlossenes Match: max. 30 Tage (siehe Abschnitt 4a).
- Server-Logs: entsprechend der Konfiguration des Hosting-Anbieters (siehe Abschnitt 3).
- Sentry-Fehlerberichte: entsprechend der bei Sentry für unseren Account konfigurierten Aufbewahrung.
- PostHog-Events: entsprechend der bei PostHog für unseren Account konfigurierten Aufbewahrung.
- Daten, die gesetzlichen Aufbewahrungspflichten unterliegen (z. B. steuerlich), werden bis zum Ablauf der Frist gespeichert und anschließend gelöscht.
11. Ihre Rechte als betroffene Person
Nach der DSGVO stehen Ihnen folgende Rechte zu:
- Auskunft (Art. 15 DSGVO) — welche Daten verarbeiten wir über Sie?
- Berichtigung (Art. 16 DSGVO) — Korrektur unrichtiger Daten.
- Löschung (Art. 17 DSGVO) — „Recht auf Vergessenwerden".
- Einschränkung der Verarbeitung (Art. 18 DSGVO).
- Datenübertragbarkeit (Art. 20 DSGVO) — Export Ihrer Daten in einem maschinenlesbaren Format.
- Widerspruch gegen die Verarbeitung (Art. 21 DSGVO).
- Widerruf einer erteilten Einwilligung (Art. 7 Abs. 3 DSGVO), wirkt für die Zukunft.
- Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO). Zuständig ist die Datenschutzbehörde Ihres Bundeslandes bzw. die Behörde am Sitz des Verantwortlichen: [zuständige Aufsichtsbehörde].
Für die Ausübung dieser Rechte wenden Sie sich an: minddojogame@gmail.com
Im Produkt sind Funktionen zur direkten Selbstbedienung verfügbar (Konto-Löschung, Datenexport) — siehe Profil-/Einstellungsbereich.
12. Kontolöschung und Datenexport
- Löschung: Sie können Ihr Konto jederzeit im Einstellungsbereich selbst löschen. Damit werden alle personenbezogenen Daten unwiderruflich aus der Datenbank entfernt (Art. 17 DSGVO). Aggregierte, nicht mehr personenbeziehbare Statistiken können bestehen bleiben.
- Export: Sie können einen Export Ihrer Daten in einem maschinenlesbaren Format anfordern (Art. 20 DSGVO).
13. SSL/TLS-Verschlüsselung
Diese Website nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte eine SSL- bzw. TLS-Verschlüsselung. Erkennbar an „https://" und dem Schloss-Symbol in der Browserzeile.
14. Übermittlung in Drittländer
Soweit Daten an Anbieter mit Sitz oder Hosting außerhalb der EU/EWR übermittelt werden (insbesondere Vereinigtes Königreich und USA), erfolgt dies auf Grundlage:
- des Angemessenheitsbeschlusses der EU-Kommission für das Vereinigte Königreich vom 28. Juni 2021 (für die Datenhaltung bei Supabase in AWS London), oder
- des Angemessenheitsbeschlusses der EU-Kommission unter dem EU-US Data Privacy Framework (Beschluss vom 10. Juli 2023, relevant für einen etwaigen Zugriff der Supabase Inc. aus den USA), oder
- der EU-Standardvertragsklauseln (SCC) mit ergänzenden Garantien.
15. Automatisierte Entscheidungsfindung
Wir setzen keine automatisierte Entscheidungsfindung oder Profiling im Sinne des Art. 22 DSGVO ein.
16. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, sofern sich Rechtslage oder Funktionsumfang der Anwendung ändern. Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar.
Privacy Policy (English Translation)
Non-binding translation. The German version above is legally authoritative for operation from Germany.
Last updated: 25 June 2026
1. Data Controller
Controller within the meaning of the GDPR:
[FULL NAME] [STREET ADDRESS] [POSTAL CODE + CITY] Germany E-mail: minddojogame@gmail.com Phone: [optional: PHONE]
2. General
We process personal data only to the extent necessary to provide a functional website and our services. Processing is based on user consent or one of the legal bases listed in Art. 6 GDPR.
3. Server Logs
When you access our website, our hosting provider Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Germany automatically collects:
- IP address
- Date and time of access
- Requested URL / referrer
- User agent (browser, OS)
Legal basis: Art. 6(1)(f) GDPR (legitimate interest in operation and security). Retention: in line with the hosting provider's standard log retention, unless a security incident requires longer storage. The actual period depends on the hosting provider listed in section 9.
4. Account Registration (Supabase Auth)
To use Mind Dojo training, an account is required. We process:
- Account data: e-mail address, password hash (never the password itself), creation and login timestamps
- Profile data: username, optional avatar URL, profile visibility setting (public / friends / private)
- Game progress: scores, per-discipline belt level, Dojo rank XP, match history including anonymized replay logs used for anti-cheat checks
- Achievements & quests: achievement progress, daily/weekly quests, player-vs-player challenges, seasonal leaderboard entries
- Cosmetics: unlocked and equipped belt skins
- Social graph: friendships, friend requests, blocked users
- Activity log: in-app events (e.g. personal bests, belt promotions, tournament wins) shown in the activity feed
- Settings: audio preferences, onboarding state
Authentication and storage are provided by Supabase Inc. (Singapore / San Francisco, USA). The database and authentication data are physically stored in the AWS London data centre (region eu-west-2), United Kingdom. Since Brexit the UK is a third country under the GDPR, but it is covered by the EU Commission's UK adequacy decision of 28 June 2021, so transfers to the UK are treated like intra-EU transfers. To the extent Supabase Inc., as a US company, can access the data from the USA, that transfer relies on the EU-US Data Privacy Framework or EU Standard Contractual Clauses (see section 14). A data processing agreement (Art. 28 GDPR) is in place.
Legal basis: Art. 6(1)(b) GDPR (contract performance). Retention: until account deletion; see section 12.
4a. Versus Mode and Guest Accounts (anonymous sessions)
Versus mode lets you open an invitation to a 1‑vs‑1 match without registering first. When you open the invite link we technically create an anonymous account (Supabase anonymous sign-in). This is required so our access rules (Row Level Security) can recognise you as a participant of the match.
For the anonymous account we process only:
- Anonymous user ID (UUID generated by the authentication system) and the internal
is_anonymous = trueflag - Creation timestamp of the anonymous session
- Display label (free-form, default
guest-XXXXXX, max. 40 characters) — shown on the result screen and on the shared public result page - Match-specific game progress: match association, per-round scores, the anonymised replay log used for anti-cheat checks (same scope as section 4)
No e-mail address, password, or profile data is collected. The anonymous session is bound to your browser and ends when the local session token is discarded.
Legal basis: Art. 6(1)(b) GDPR (contract performance — execution of the requested versus match as a pre-contractual measure or contract with the anonymous user).
Retention: Anonymous accounts that have not been part of a completed versus match (as host or opponent) within 30 days and that were not upgraded to a regular account are automatically deleted server-side (function purge_stale_guest_users() from migration 028 in supabase/migrations/028_purge_stale_guests.sql). Anonymous accounts that took part in a completed match are retained as long as the match itself is stored (the remaining participant's account deletion cascades both sides).
Upgrading to a regular account: After the match you can add e-mail and password to your existing anonymous account. The anonymous user ID is preserved — the guest match history is then linked to the upgraded account without any data transfer between separate accounts.
5. Sign-in with Google (OAuth)
Optionally you can sign in via Google. The following data is transferred to us:
- Google account ID
- E-mail address
- Profile name
- Optionally a profile picture URL
Provider: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland.
Legal basis: Art. 6(1)(a) GDPR (consent through active provider selection). Google privacy policy: https://policies.google.com/privacy
6. Error and Crash Tracking (Sentry)
To detect and remediate application errors we use Sentry (Functional Software, Inc. dba Sentry). All processing takes place exclusively in the EU region (Frankfurt am Main, Germany) via the *.ingest.de.sentry.io ingest endpoint. A data processing agreement under Art. 28 GDPR is in place.
When an error occurs, only technical data is transmitted:
- Error message and stack trace
- URL of the failing request (without query string)
- Browser and device information (e.g. browser version, screen resolution)
- Game context at the time of error (game id, game phase, score) — strictly numeric / enum values
- Pseudonymous user ID (UUID) if logged in — no e-mail address, no real name
Before transmission, personal data is filtered client-side (beforeSend filter): IP addresses, e-mail addresses, authentication tokens, cookies, request bodies, and query strings are stripped or not collected at all (sendDefaultPii: false). Session replay (visual recordings of the user interface) is disabled.
Legal basis: Art. 6(1)(f) GDPR (legitimate interest in stable operation of the application). Because processing takes place exclusively within the EU, no third-country transfer is required. Retention: in line with the retention period configured in our Sentry account (Sentry standard retention; plan-dependent).
Sentry privacy policy: https://sentry.io/privacy/
7. Product Analytics (PostHog)
To improve the product we use PostHog (PostHog EU, hosted in Frankfurt, Germany; endpoint eu.i.posthog.com) to evaluate usage data. All processing happens in the EU; browser requests are routed through a same-origin reverse proxy (/ingest) to the EU endpoint.
We collect:
- Client-side (browser, posthog-js): page views, click and interaction events within the application, device and browser type, truncated IP address.
- Server-side (posthog-node): trustworthy game events that would be manipulable client-side — e.g. submitted match results, belt promotions, tournament outcomes, friends and challenges actions, seasonal events. Only the pseudonymous user ID (UUID), event name, and numeric / enum properties are transmitted — no e-mail address, no real name.
A data processing agreement under Art. 28 GDPR is in place.
Consent: Both client- and server-side capture are opt-out by default (opt_out_capturing_by_default) and only activated after active consent via the cookie banner. Consent is stored in the md_analytics_consent cookie and can be withdrawn at any time from the settings menu; no further events are captured after withdrawal.
Legal basis: Art. 6(1)(a) GDPR (consent). Retention: in line with the retention period configured in our PostHog account (plan-dependent).
PostHog privacy: https://posthog.com/privacy
8. Cookies and Local Storage
We use:
- Strictly necessary cookies / local-storage entries (e.g. Supabase session tokens, audio settings, in-browser game progress, and the consent cookie
md_analytics_consentitself). Legal basis: § 25(2) No. 2 TDDDG together with Art. 6(1)(b) GDPR. No consent required. - Optional cookies (PostHog analytics, see section 7). Legal basis: § 25(1) TDDDG with Art. 6(1)(a) GDPR. Only set after active consent via cookie banner.
You can delete cookies at any time via your browser settings. You can withdraw consent to optional cookies via the settings menu.
9. Recipients / Processors Overview
| Recipient | Purpose | Location | Third-country transfer | | ---------------------------------- | --------------------------------------- | ------------------------------------ | ---------------------------------------------------- | | Hetzner Online GmbH | Application hosting | Germany | no | | Supabase Inc. | Database and auth | UK (London, hosting) / USA (company) | UK adequacy decision; possibly EU-US DPF (US access) | | Sentry (Functional Software, Inc.) | Error tracking | EU (Frankfurt) | no | | Google Ireland Ltd. | OAuth login (optional) | Ireland | no | | PostHog | Product analytics (client- and server-) | EU (Frankfurt) | no |
10. Retention
- Account data: until the user deletes the account.
- Anonymous versus accounts without a completed match: max. 30 days (see section 4a).
- Server logs: as configured at the hosting provider (see section 3).
- Sentry error reports: as configured for our Sentry account.
- PostHog events: as configured for our PostHog account.
- Data subject to statutory retention duties (e.g. tax law) is kept until expiry of the legal deadline.
11. Your Rights as a Data Subject
Under the GDPR you have the right to:
- Access (Art. 15)
- Rectification (Art. 16)
- Erasure / "right to be forgotten" (Art. 17)
- Restriction of processing (Art. 18)
- Data portability (Art. 20) — export your data in a machine-readable format
- Object to processing (Art. 21)
- Withdraw consent (Art. 7(3)) — applies prospectively
- Lodge a complaint with a supervisory authority (Art. 77): [responsible supervisory authority]
To exercise these rights, contact: minddojogame@gmail.com
Self-service flows are available inside the product (account deletion, data export) — see your profile / settings.
12. Account Deletion and Data Export
- Deletion: You can delete your account at any time from the settings page. All personal data will be irreversibly removed from the database (Art. 17 GDPR). Aggregated, non-identifying statistics may remain.
- Export: You can request an export of your data in a machine-readable format (Art. 20 GDPR).
13. SSL/TLS Encryption
This website uses SSL/TLS encryption for security and to protect the transmission of confidential content. Recognizable by "https://" and the padlock icon in your browser.
14. Transfers to Third Countries
To the extent data is transferred to providers located or hosted outside the EU/EEA (in particular the United Kingdom and the USA), this is based on:
- the EU Commission's UK adequacy decision of 28 June 2021 (for the data stored with Supabase in AWS London), or
- the EU Commission's adequacy decision under the EU-US Data Privacy Framework (decision of 10 July 2023, relevant for any access by Supabase Inc. from the USA), or
- the EU Standard Contractual Clauses (SCC) with supplementary safeguards.
15. Automated Decision-Making
We do not use automated decision-making or profiling within the meaning of Art. 22 GDPR.
16. Changes to this Privacy Policy
We may update this policy if the legal situation or scope of the application changes. The current version is always available on this page.