Videos
VideosDatingEscortCamsGames
AnmeldenRegistrieren
Hinweis: Diese Texte sind Mustervorlagen ohne Rechtsverbindlichkeit. Vor dem produktiven Betrieb müssen alle Angaben von einer qualifizierten Rechtsberatung geprüft und an Ihr Geschäftsmodell, Hosting und Zahlungsanbieter angepasst werden.

Datenschutzerklärung

Stand: 2026-07-16

Verantwortlichen-Angaben sind noch nicht vollständig konfiguriert. Bitte unter Admin → Integrationen → Legal / Operator oder über OPERATOR_* / LEGAL_EMAIL setzen (siehe auch Impressum).

Luveria (luveria.com) wird betrieben von [Betreibername]. Nachfolgend informieren wir über die Verarbeitung personenbezogener Daten auf dieser Plattform (Video, Dating, Escort, Zahlungen, Altersverifikation).

1. Verantwortlicher

[Betreibername]
[Rechtsform]
[Straße und Hausnummer]
[PLZ Ort], [Land]
E-Mail: [LEGAL_EMAIL]

Custodian of Records (18 U.S.C. § 2257): [Custodian of Records], [Anschrift der Aufzeichnungen]. Details: /2257.

2. Datenkategorien, Zwecke und Rechtsgrundlagen

2.1 Kontodaten

  • E-Mail-Adresse, Benutzername, Passwort-Hash
  • Rollen / Account-Scopes, Premium-Status
  • Land/Stadt (optional), E-Mail-Verifikation
  • OAuth-Verknüpfung (z. B. Google), sofern genutzt

Zwecke: Registrierung und Authentifizierung; Bereitstellung der Plattformfunktionen; Kommunikation zu Konto und Sicherheit.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertrag); Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
Empfänger / Kategorien: Hosting, SMTP-Anbieter, ggf. OAuth-Anbieter.

2.2 Altersverifikation (AVS)

  • Verifikationsstatus, Provider, Session-/Referenz-ID, Zeitstempel
  • Keine Ausweisbilder oder biometrischen Rohdaten auf unseren Servern (Verarbeitung beim AVS-Anbieter)

Zwecke: Geschlossene Benutzergruppe / Jugendschutz (JMStV); Freischaltung altersbeschränkter Funktionen und Zahlungen.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Pflicht); Art. 6 Abs. 1 lit. b DSGVO (Vertrag); Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Empfänger / Kategorien: Yoti / Veriff / Sumsub (je nach Konfiguration).

2.3 Zahlungen (über Processor)

  • Bestell-/Transaktionsreferenzen, Produkttyp, Betrag, Status
  • Abonnement- und Entitlement-Metadaten
  • Keine vollständigen Kreditkartendaten auf unseren Servern

Zwecke: Abwicklung von Premium, PPV, Credits und Creator-Zahlungen; Buchhaltung, Betrugsprävention, Chargeback-Kooperation.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertrag); Art. 6 Abs. 1 lit. c DSGVO (rechtliche Pflicht); Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
Empfänger / Kategorien: CCBill, Verotel (je nach Konfiguration).

2.4 Dating & Escort

  • Profiltexte, Präferenzen, Erscheinungsbild-Attribute
  • Fotos, Standort als geoBucket (datenschutzschonend, keine exakten GPS-Koordinaten)
  • Likes, Matches, Nachrichten, Escort-Anfragen und Meldungen

Zwecke: Bereitstellung der Dating-/Escort-Funktionen; Matching, Kommunikation, Missbrauchsprävention.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertrag); Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse); Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Empfänger / Kategorien: Hosting, CDN (Medien), SMTP bei Benachrichtigungen.

2.5 Creator-Inhalte & Consent-Nachweise

  • Upload-Metadaten, Videos/Galerien, Model-Release / ConsentDocument
  • Performer-Verknüpfungen, IP/User-Agent bei Consent (gekürzt/gehasht wo möglich)

Zwecke: Vertragliche Content-Bereitstellung; Nachweis von Einwilligung und Altersprüfung (u. a. 18 U.S.C. § 2257); Abwehr zivilrechtlicher Ansprüche.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertrag); Art. 6 Abs. 1 lit. c DSGVO (rechtliche Pflicht); Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
Empfänger / Kategorien: Bunny.net (CDN/Stream), Custodian of Records.

2.6 Protokolle & Sicherheit

  • Server- und Zugriffs-Logfiles (IP, User-Agent, Zeitstempel)
  • Audit-Logs (Admin-/Sicherheitsaktionen)
  • ConsentLog (Cookie-/AGB-/Datenschutz-Einwilligungen)
  • Analytics-Events (nur mit Consent, sofern aktiviert)

Zwecke: Betriebssicherheit, Missbrauchserkennung; Nachweis von Einwilligungen (TTDSG/DSGVO); Reichweitenmessung nach Einwilligung.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse); Art. 6 Abs. 1 lit. a DSGVO (Einwilligung); § 25 Abs. 1 TTDSG (Einwilligung für nicht notwendige Cookies/Tracker); § 25 Abs. 2 TTDSG (technisch notwendige Speicherung).
Empfänger / Kategorien: Hosting, ggf. Analyseanbieter (Plausible/Umami/Google).

2.7 Meldungen (DSA / Community)

  • Meldekategorie, Beschreibung, optionale Kontaktdaten
  • Statement of Reasons bei Moderationsentscheidungen

Zwecke: Pflichten nach DSA Art. 16 ff.; Moderation und Nutzerbeschwerden.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Pflicht); Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
Empfänger / Kategorien: Interne Moderation, ggf. Behörden bei gesetzlicher Pflicht.

3. Aufbewahrungsfristen

  • Kontodaten: Für die Dauer der Mitgliedschaft; nach Löschung Anonymisierung/Löschung, soweit keine Ausnahmen greifen
  • Model Release / ConsentDocument (§ 2257): 10 Jahre ab Erstellung (ConsentDocument) — Geschützte Typen: MODEL_RELEASE, CONTENT_OWNERSHIP, AGE_VERIFICATION. Siehe auch /2257. (Ausnahme von der vollständigen Löschung bei Kontolöschung bis Fristablauf)
  • AGB-/Nutzungsbedingungen-Nachweise: Vertragslaufzeit + 3 Jahre nach Vertragsende (ConsentDocument TERMS_ACCEPTANCE)
  • Altersverifikation (Ergebnis): 12 Monate (Status + Zeitstempel); keine Ausweisbilder bei uns
  • Cookie-/Tracking-Einwilligungen (ConsentLog): 13 Monate (TTDSG-Nachweis) bzw. ConsentLog insgesamt 3 Jahre
  • Zahlungs-/Buchungsdaten: Gesetzliche Aufbewahrungsfristen (typisch 6–10 Jahre handels-/steuerrechtlich beim Betreiber bzw. Processor)
  • Dating-/Escort-Inhalte: Bis Profil-/Kontolöschung; Nachrichten und Meldungen ggf. befristet für Missbrauchsabwehr
  • Server-Logs: In der Regel 7–30 Tage, länger nur bei Sicherheitsvorfällen
  • DSA-Missbrauchsmeldungen: 3 Jahre nach Abschluss, danach Löschung/Anonymisierung
  • Kontolöschung (Cooling-off): 14 Tage Widerrufsfrist nach Passwortbestätigung, bevor die Löschung ausgeführt wird

Nach Fristablauf: Löschung oder Anonymisierung, sofern keine gesetzlichen Pflichten entgegenstehen. ConsentDocument-Purge: npm run purge:consent-documents (siehe docs/GDPR.md).

4. Auftragsverarbeitung & Dienstleister (DPA)

Soweit wir Dienstleister als Auftragsverarbeiter einsetzen, bestehen Verträge gemäß Art. 28 DSGVO. Zahlungsdienstleister (CCBill, Verotel) verarbeiten Kartendaten in der Regel als eigene Verantwortliche. Drittlandübermittlungen nur mit geeigneten Garantien (insb. Standardvertragsklauseln). Der Aktiv-Status folgt den Admin-Integrationen (getOperator() / Integrationseinstellungen).

Derzeit sind in den Integrationen keine externen Processor-Zugangsdaten als aktiv erkannt (z. B. Entwicklung mit MOCK-AVS). Die Katalogliste unten gilt für den produktiven Betrieb.

Katalog (CCBill, Verotel, Yoti/Veriff/Sumsub, Bunny, SMTP, Cloudflare, Analyse):

  • CCBill — Eigener Verantwortlicher (Zahlungsdienstleister / Analyse). Zahlungsabwicklung (Abos, PPV, Credits). Vertragsbeziehung als Zahlungsdienstleister; Kartendaten verarbeitet CCBill eigenständig. Status: nicht aktiv erkannt.
  • Verotel / FlexPay — Eigener Verantwortlicher (Zahlungsdienstleister / Analyse). Zahlungsabwicklung (Abos, PPV, Credits). Vertragsbeziehung als Zahlungsdienstleister; Kartendaten bei Verotel. Status: nicht aktiv erkannt.
  • Yoti — Auftragsverarbeiter (Art. 28 DSGVO). Altersverifikation (AVS). AVV / DPA mit AVS-Anbieter (Art. 28 DSGVO), sofern Yoti aktiv. Status: nicht aktiv erkannt. Derzeit MOCK (Entwicklung) — Live-AVS in den Integrationen wählen.
  • Veriff — Auftragsverarbeiter (Art. 28 DSGVO). Altersverifikation (AVS). AVV / DPA mit AVS-Anbieter (Art. 28 DSGVO), sofern Veriff aktiv. Status: nicht aktiv erkannt. Derzeit MOCK (Entwicklung) — Live-AVS in den Integrationen wählen.
  • Sumsub — Auftragsverarbeiter (Art. 28 DSGVO). Altersverifikation (AVS). AVV / DPA mit AVS-Anbieter (Art. 28 DSGVO), sofern Sumsub aktiv. Status: nicht aktiv erkannt. Derzeit MOCK (Entwicklung) — Live-AVS in den Integrationen wählen.
  • Bunny.net — Auftragsverarbeiter (Art. 28 DSGVO). Video-Storage, CDN und Stream-Auslieferung. Auftragsverarbeitung Art. 28 DSGVO (Bunny DPA). Status: nicht aktiv erkannt.
  • SMTP-E-Mail-Anbieter — Auftragsverarbeiter (Art. 28 DSGVO). Transaktions- und System-E-Mails (Registrierung, Löschung, Benachrichtigungen). AVV mit dem jeweiligen E-Mail-/SMTP-Provider (Art. 28 DSGVO). Status: nicht aktiv erkannt.
  • Cloudflare — Auftragsverarbeiter (Art. 28 DSGVO). optional CDN / DNS / Sicherheitsfunktionen. Cloudflare DPA / SCC, sofern eingesetzt. Status: nicht aktiv erkannt.
  • Google Analytics / Tag Manager — Eigener Verantwortlicher (Zahlungsdienstleister / Analyse). Reichweitenmessung (nur mit Cookie-Consent „Analyse“). Verarbeitung auf Basis Einwilligung; Google-Datenschutz / SCC. Status: nicht aktiv erkannt.
  • Plausible Analytics — Auftragsverarbeiter (Art. 28 DSGVO). cookiefreie / consent-gated Reichweitenmessung (optional). AVV / DPA mit Plausible (Art. 28 DSGVO), sofern eingesetzt. Status: nicht aktiv erkannt.
  • Umami — Auftragsverarbeiter (Art. 28 DSGVO). consent-gated Reichweitenmessung (optional). AVV mit dem Umami-Hoster (Art. 28 DSGVO), sofern eingesetzt. Status: nicht aktiv erkannt.

5. Missbrauchsmeldungen (DSA)

Meldungen illegaler Inhalte speichern wir zur Bearbeitung (Kategorie, Beschreibung, optional Kontaktdaten). Aufbewahrung: 3 Jahre nach Abschluss. Meldeweg: /melden bzw. [LEGAL_EMAIL].

6. Ihre Rechte (Art. 15–21, 7 Abs. 3, 77 DSGVO)

Self-Service im eingeloggten Konto unter Datenschutz & Konto (Cooling-off: 14 Tage):

  • Auskunft (Art. 15): Sie können eine Kopie Ihrer gespeicherten personenbezogenen Daten als JSON oder ZIP exportieren. (/account/privacy)
  • Berichtigung (Art. 16): Profildaten (Dating, Escort, Creator) können Sie selbst bearbeiten; weitere Korrekturen per E-Mail. (/account)
  • Löschung (Art. 17): Kontolöschung beantragen und nach Passwortbestätigung innerhalb von 14 Tagen widerrufen. (/account/privacy)
    Ausnahme: Model-Release- und §-2257-ConsentDocuments sowie gesetzlich erforderliche Zahlungs-/Buchungsnachweise werden nicht vor Ablauf der Aufbewahrungsfrist gelöscht (Art. 17 Abs. 3 lit. b DSGVO). Personenbezug wird soweit möglich entfernt (userId getrennt, IP/User-Agent anonymisiert).
  • Einschränkung der Verarbeitung (Art. 18): Kontaktieren Sie uns unter [LEGAL_EMAIL].
  • Datenübertragbarkeit (Art. 20): Der JSON-Export ist maschinenlesbar und strukturiert. (/account/privacy)
  • Widerspruch (Art. 21): Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen an [LEGAL_EMAIL]. Analyse/Marketing-Cookies jederzeit über den Consent-Banner widerrufen.
  • Widerruf der Einwilligung (Art. 7 Abs. 3): Einwilligungen (Cookies, optionale AVS-Zustimmung, Marketing) können Sie jederzeit mit Wirkung für die Zukunft widerrufen — über den Consent-Banner bzw. Kontoeinstellungen. (/account/privacy)
  • Beschwerde bei einer Aufsichtsbehörde (Art. 77): Unbeschadet anderer Rechtsbehelfe können Sie sich bei einer Datenschutz-Aufsichtsbehörde beschweren — insbesondere in Ihrem Aufenthaltsmitgliedstaat. Kontakt für Vorabanfragen: [LEGAL_EMAIL].

7. Cookies & lokale Speicherung

Technisch notwendige Cookies und lokale Speicherung (Session, Altersgate, CSRF, Consent-Status) ohne Einwilligung (§ 25 Abs. 2 TTDSG). Funktionale Komfortfunktionen, Werbung und Analyse nur mit Einwilligung über den Consent-Banner (Opt-in, § 25 Abs. 1 TTDSG / Art. 6 Abs. 1 lit. a DSGVO). Auswahl ändern: .

CMP-Kategorien: Notwendig (immer aktiv) · Funktional · Werbung · Analyse. Standard: optionale Kategorien aus.

7.1 Inventar (Stand App-Implementierung)

Name / MusterArtKategorieZweckSpeicherdauerAnbieterRechtsgrundlage
luveria_session
HttpOnly; SameSite=Lax
CookieNotwendigLogin-Sitzung (JWT Access-Token)15 MinutenLuveria§ 25 Abs. 2 TTDSG (technisch notwendige Speicherung)
luveria_refresh
HttpOnly; Path=/api/auth; SameSite=Strict
CookieNotwendigSitzungs-Erneuerung (Refresh-Token)7 TageLuveria§ 25 Abs. 2 TTDSG (technisch notwendige Speicherung)
luveria_csrf
Nicht HttpOnly (vom Client lesbar); SameSite=Strict
CookieNotwendigCSRF-Schutz (Double-Submit)24 StundenLuveria§ 25 Abs. 2 TTDSG (technisch notwendige Speicherung)
luveria_avs
HttpOnly; gebunden an AgeVerification-Datensatz
CookieNotwendigAltersverifikation / geschlossene BenutzergruppeStandard 24 Stunden (konfigurierbar bis 30 Tage)Luveria§ 25 Abs. 2 TTDSG (technisch notwendige Speicherung)
luveria_age_ok
HttpOnly; wird bei AVS_REQUIRED=true nicht als Verifikation anerkannt
CookieNotwendig18+-Selbstbestätigung (Age Gate), solange kein Provider-AVS aktiv istStandard 30 Tage (AVS_SESSION_HOURS überschreibt)Luveria§ 25 Abs. 2 TTDSG (technisch notwendige Speicherung)
luveria_oauth_stateCookieNotwendigOAuth-State bei Google-Anmeldung (CSRF)Kurzlebig (Login-Flow)Luveria§ 25 Abs. 2 TTDSG (technisch notwendige Speicherung)
luveria_viewed_*
Pro Video-ID; technisch für Zählung
CookieNotwendigDoppelzählung von Video-Views vermeiden24 StundenLuveria§ 25 Abs. 2 TTDSG (technisch notwendige Speicherung)
luveria_escort_viewed_*
Pro Escort-Slug
CookieNotwendigDoppelzählung von Escort-Profilaufrufen vermeiden24 StundenLuveria§ 25 Abs. 2 TTDSG (technisch notwendige Speicherung)
luveria_cookie_consent_v2
Legacy-Schlüssel luveria_cookie_consent_v1 wird einmalig migriert
localStorageNotwendigSpeichert Ihre Cookie-/Tracking-Auswahl (CMP)Bis Widerruf / Löschung im BrowserLuveria§ 25 Abs. 2 TTDSG (technisch notwendige Speicherung)
luveria_consent_sessionsessionStorageNotwendigAnonyme Session-ID für ConsentLog-NachweisBrowser-Tab / SitzungLuveria§ 25 Abs. 2 TTDSG (technisch notwendige Speicherung)
luveria_analytics_consent
Enthält nur den Consent-Status, keine Tracking-IDs
CookieNotwendigServer-lesbares Signal der Analyse-Einwilligung (0/1)1 JahrLuveria§ 25 Abs. 2 TTDSG (technisch notwendige Speicherung)
luveria_ads_consent
Enthält nur den Consent-Status, keine Ad-IDs
CookieNotwendigServer-lesbares Signal der Werbe-Einwilligung (0/1)1 JahrLuveria§ 25 Abs. 2 TTDSG (technisch notwendige Speicherung)
— (keine eigenen Keys)
Derzeit setzt die App keine separaten Cookies allein für „Funktional“; Einwilligung wird im ConsentLog (COOKIES_FUNCTIONAL) gespeichert
CookieFunktionalKomfort-/Präferenzfunktionen (CMP-Kategorie reserviert)n/aLuveria§ 25 Abs. 1 TTDSG (Einwilligung für nicht notwendige Cookies/Tracker)
luveria_analytics_session
Nur wenn Analyse-Einwilligung erteilt; zusätzlich sessionStorage-Kopie
CookieAnalyseFirst-Party Analytics-Session (interne Events)Sitzung (Session-Cookie)Luveria§ 25 Abs. 1 TTDSG (Einwilligung für nicht notwendige Cookies/Tracker)
GA / Plausible / Umami (je nach Integration)
Scripts laden erst nach Consent „Analyse“. Plausible ist typischerweise cookielos; GA/Umami können eigene Cookies setzen
CookieAnalyseReichweitenmessung durch konfigurierte Analyse-AnbieterAnbieterabhängig (z. B. GA4 typisch bis 14 Monate)Drittanbieter (Google / Plausible / Umami)§ 25 Abs. 1 TTDSG (Einwilligung für nicht notwendige Cookies/Tracker)
Ad-Netzwerk-Cookies (z. B. JuicyAds, AdSense)
Ad-Scripts und Popunder nur bei Consent „Werbung“ (consent.ads)
CookieWerbungAusspielung von Banner-/Popunder-WerbungAnbieterabhängigDrittanbieter (Ad-Netzwerke)§ 25 Abs. 1 TTDSG (Einwilligung für nicht notwendige Cookies/Tracker)

Drittanbieter-Cookies von Ad- oder Analyse-Netzwerken entstehen nur nach der jeweiligen Einwilligung und können sich mit der Integrationskonfiguration ändern. Widerruf wirkt für die Zukunft; bereits gesetzte Drittanbieter-Cookies müssen ggf. im Browser gelöscht werden.

8. Google Analytics (optional)

Sofern der Betreiber Google Analytics in den Integrationen freischaltet und Sie im Consent-Banner „Analyse (Google)“ aktivieren, gelten die Hinweise zu GA4/GTM (Google Ireland / Google LLC, Einwilligung Art. 6 Abs. 1 lit. a DSGVO / § 25 Abs. 1 TTDSG, SCC bei US-Übermittlung). Derzeit ist GA/GTM in den Integrationen nicht als aktiv erkannt — siehe Abschnitt 4.

9. Hosting

Anwendung und Datenbanken werden in der vom Betreiber gewählten Infrastruktur betrieben (Ziel: DE/EU). Medienauslieferung über Bunny.net und ggf. Cloudflare — siehe Abschnitt 4.

Luveria

Premium-Plattform für Erwachsene — consent-first, KJM-ready, gehostet in DE/EU.

Produkte

  • Videos
  • Cams
  • Sex Games
  • Dating
  • Escort
  • Hub
  • Premium
  • Creator

Rechtliches

  • Impressum
  • Datenschutz
  • AGB
  • Zahlungen & Erstattung
  • Community-Richtlinien
  • Jugendschutz
  • 18 U.S.C. § 2257
  • Model Release

Compliance

  • DSA-Übersicht
  • Inhalt melden (DSA)
  • Einspruch (Art. 20)
  • Transparenz
  • Urheberrecht (DMCA)
  • Einwilligungsnachweise pro Upload
  • Moderation vor Veröffentlichung
  • Age Gate 18+ · AVS vor Inhalten & Zahlungen

© 2026 Luveria. Nur für Erwachsene (18+). Alle Rechte vorbehalten.

Enterprise-grade Privacy & Compliance