Kontodaten: E-Mail-Adresse, Benutzername, Passwort-Hash, Zeitzone, Zeitstempel der letzten Anmeldung, Kontoerstellungsdatum und - bei inaktiven Konten - das Datum, an dem eine Löschwarnung versandt wurde.

Watchlist- und Kollaborationsinhalte: verfolgte Serien oder Filme, Notizen, persönliche Links, Plattform-Verfügbarkeitsangaben, Länderauswahlen, Reaktionen, geteilte Inhalte, Freundschaftsverbindungen und Inbox-Einträge.

Kontakt- und Meldedaten: Bei Nutzung des Kontaktformulars werden die Fall-ID, die Kategorie, Betreff und Nachrichtentext, der angegebene Name und die angegebene E-Mail-Adresse sowie - bei Meldungen rechtswidriger Inhalte - die URL oder Kennung des gemeldeten Inhalts und die Markierung als mutmaßliches Material über sexuellen Kindesmissbrauch (CSAM) gespeichert. Angemeldete Nutzer werden mit ihrer Nachricht verknüpft; als CSAM markierte Meldungen können ohne Name oder E-Mail-Adresse übermittelt werden.

Technische Daten: Server-Zugriffsprotokolle (IP-Adresse, User-Agent, Zeitstempel, Anfragepfad, HTTP-Status) sowie Sicherheitsprotokolle der Anwendung (fehlgeschlagene Anmeldungen, Rate-Limit-Ereignisse und Einmalmarkierungen zur Verhinderung der Wiederverwendung gelöster ALTCHA-Aufgaben).

Cookies und Sitzungsspeicher: Einzelheiten enthält der Cookie-Hinweis.

Bereitstellung des Dienstes (Kontoerstellung, Watchlist-Funktionen, Zusammenarbeit, Teilen) - Art. 6 Abs. 1 lit. b DSGVO.

Sicherheit des Dienstes (Rate-Limiting, Bot-Schutz auf der Anmeldeseite, Missbrauchsuntersuchungen, Zugriffsprotokollierung) - Art. 6 Abs. 1 lit. f DSGVO.

Bearbeitung von Kontaktnachrichten, Vorschlägen und datenschutzrechtlichen Anfragen, die über das Kontaktformular eingehen - Art. 6 Abs. 1 lit. b und f DSGVO.

Bearbeitung von Meldungen rechtswidriger Inhalte nach Artikel 16 des Digital Services Act sowie Reaktion auf rechtmäßige Anordnungen und Betroffenenanfragen - Art. 6 Abs. 1 lit. c DSGVO.

Versand von Löschwarnungen per E-Mail an Konten, die seit rund 23 Monaten nicht mehr angemeldet wurden, vor der endgültigen Löschung nach 24 Monaten - Art. 6 Abs. 1 lit. f DSGVO mit überwiegendem Interesse, den Nutzer zu informieren.

Für die Nutzung des Dienstes sind E-Mail-Adresse, Benutzername und Passwort erforderlich. Alle weiteren personenbezogenen Daten sind freiwillig.

Personenbezogene Daten werden im Auftrag des Betreibers oder gemeinsam mit ihm durch folgende Empfänger verarbeitet:

STRATO AG (Pascalstraße 10, 10587 Berlin, Deutschland) - Webhosting und Serverinfrastruktur. Die Anwendung, die Datenbank und das für kontobezogene E-Mails verwendete ausgehende SMTP-Mailrelay laufen auf STRATO-Infrastruktur in Deutschland. Auftragsverarbeiter nach Art. 28 DSGVO.

Cloudflare, Inc. (101 Townsend Street, San Francisco, CA 94107, USA) - Domain-Registrar und autoritativer DNS-Anbieter für die Domain des Dienstes. Cloudflare verarbeitet Verbindungsmetadaten im Rahmen der DNS-Auflösung.

TVmaze, LLC und The Movie Database (TMDB) - öffentliche APIs zum Abruf von Show-Metadaten. Diese Anbieter erhalten technische Anfragemetadaten, wenn der Server Show-Informationen abruft; Kontodaten der Nutzer werden nicht übertragen.

Empfänger von E-Mails: Nutzer erhalten transaktionale E-Mails (Warnungen zu inaktiven Konten) an die mit ihrem Konto verknüpfte E-Mail-Adresse. Der Betreiber erhält interne Benachrichtigungen zu Einträgen aus dem Kontaktformular an die im Impressum angegebene Adresse.

Hosting und Datenbankspeicherung erfolgen innerhalb der EU (Deutschland). Der Betreiber speichert keine personenbezogenen Daten außerhalb des EWR.

Cloudflare, Inc., TVmaze und TMDB haben ihren Sitz in den Vereinigten Staaten. Übermittlungen an diese Anbieter erfolgen bei DNS-Abfragen oder API-Metadatenabrufen und stützen sich - soweit anwendbar - auf den Angemessenheitsbeschluss der Europäischen Kommission zum EU-US Data Privacy Framework, im Übrigen auf Standardvertragsklauseln.

Der Bot-Schutz auf der Anmeldeseite wird durch ALTCHA als selbst gehosteten Proof-of-Work-Mechanismus bereitgestellt. Es ist kein Dritter an dieser Prüfung beteiligt.

Konto- und Watchlist-Daten - Speicherung solange das Konto besteht. Bei Kontolöschung werden das Konto und alle verknüpften personenbezogenen Daten sofort aus der Live-Datenbank entfernt. Backups mit diesen Daten werden innerhalb des Backup-Aufbewahrungszeitraums überschrieben.

Server-Zugriffsprotokolle - bis zu 14 Tage, danach automatische Löschung.

Sicherheitsprotokolle der Anwendung (fehlgeschlagene Anmeldungen, Rate-Limit-Ereignisse, Einmalmarkierungen für verbrauchte Aufgaben) - bis zu 30 Tage.

Datenbank-Backups - bis zu 30 Tage, verschlüsselt gespeichert. Danach werden Backups rotiert und gelöscht.

Kontakt- und Meldenachrichten - bis zu 24 Monate nach Abschluss des Vorgangs aufbewahrt, um Nachweispflichten nach dem Digital Services Act zu erfüllen und Rückfragen bearbeiten zu können. Löscht der Verfasser sein Konto, wird die Verknüpfung mit seinen bisherigen Nachrichten aufgehoben; der Nachrichteninhalt wird nur noch im für die gesetzliche Aufbewahrung erforderlichen Umfang gespeichert.

Inaktive Konten - wenn sich ein Nutzer 23 Monate lang nicht angemeldet hat, sendet der Betreiber eine Warn-E-Mail und speichert das Warnungsdatum. Hat sich der Nutzer auch nach 24 Monaten noch nicht wieder angemeldet und sind seit der Warnung 30 Tage vergangen, werden das Konto und die verknüpften personenbezogenen Daten aus der Live-Datenbank gelöscht. Backups laufen innerhalb der normalen 30-tägigen Backup-Aufbewahrung aus.

Nach der DSGVO haben Sie insbesondere das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) sowie Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen (Art. 21).

Die meisten dieser Rechte können Sie direkt in der App ausüben. Für eine Kopie Ihrer Daten (Art. 20) wenden Sie sich bitte an die im Impressum veröffentlichte Kontaktadresse. Ein Self-Service-Export steht in den Kontoeinstellungen zur Verfügung.

Sie haben außerdem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77). Eine Liste deutscher Aufsichtsbehörden finden Sie unter datenschutzkonferenz-online.de.

Watch verwendet HTTPS, sichere Cookies im Produktivbetrieb, Passwort-Hashing mit Salt, Login-Rate-Limiting, eine selbst gehostete ALTCHA-Proof-of-Work-Prüfung mit Replay-Schutz auf der Anmelde- und der Kontaktseite, IP-basiertes Rate-Limiting für das Kontaktformular sowie TLS für ausgehende E-Mails, um automatisierten Missbrauch auf watch.nynx.cc zu erschweren.

Kein Dienst kann absolute Sicherheit garantieren. Der Betreiber hält Abhängigkeiten, Hosting und Umgebungs-Konfiguration aktuell und überprüft Sicherheitsmaßnahmen regelmäßig.