Is Road to Headliner really free?

Yes, 100% free with no ads or pay-to-win mechanics. All players compete on equal footing. We believe the best game is one where skill and strategy determine success, not your wallet.

How long is a season?

Each season lasts 12 real-world weeks. After a season ends, there's a brief offseason period, then you start fresh with a new band while keeping your awards, prestige, and account history.

Can I play on mobile?

Road to Headliner is designed primarily for PC/desktop browsers. The interface works reasonably on tablets, but the complex management screens are best experienced on a larger screen. A dedicated mobile experience may come in the future.

Yes! You share the game world with other players in real-time. Compete on leaderboards, enter festival brackets, collaborate on features, and declare rivalries with other bands.

What is MT (Management Time)?

MT is your action currency — think of it as your manager's energy. It regenerates 1 per hour up to a maximum of 48. Every action like booking shows, rehearsing, or recording costs MT, so planning your time wisely is key to success.

Datenschutzrichtlinie | Weg zum Headliner

1. Wer wir sind

Road to Headliner ist ein Online-Multiplayer-Bandmanagementspiel, das von einem unabhängigen Entwickler mit Sitz in der Slowakei, Europäische Union, betrieben wird. Wir sind der Datenverantwortliche für die über diesen Dienst verarbeiteten personenbezogenen Daten gemäß der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, „GDPR“). Unsere Spieleserver und unsere Datenbank werden von Hetzner Cloud in Falkenstein, Deutschland (EU) gehostet. Für alle Datenschutzanfragen, Anfragen von betroffenen Personen oder Beschwerden kontaktieren Sie uns unter [email protected].

2. Welche Daten wir sammeln

Kontodaten: E-Mail-Adresse, Anzeigename, gehashtes Passwort
Präferenzdaten: Sprache, Zeitzone
Technische Daten: IP-Adresse, Benutzeragent (Browser), Sitzungskennungen
Spieldaten: Bandname, Spielaktionen, Statistiken, Saisonergebnisse
Kommunikationsdaten: Direktnachrichten, Forumbeiträge (nutzergenerierte Inhalte)
Sicherheitsdaten: Authentifizierungsversuche, Erkennungssignale für mehrere Konten

3. Wie wir Ihre Daten verwenden

Bereitstellung und Betrieb des Spieldienstes
Sicherheit, Anti-Cheat und Betrugsprävention
Produktanalyse ohne Cookies über die PostHog EU-Cloud (nur Speicher, keine Cookies oder lokaler Speicher).
Transaktions-E-Mails (Bestätigungscodes, Passwort-Resets, Sicherheitswarnungen), die über unseren selbst gehosteten Mailserver gesendet werden.

4. Rechtsgrundlagen der Verarbeitung (GDPR)

Vertragserfüllung (Art. 6 Abs. 1 lit. b): Kontoverwaltung, Spieldaten, Kommunikation
Berechtigtes Interesse (Art. 6(1)(f)): Sicherheitsüberwachung, Anti-Cheat, Analyse
Einwilligung (Art. 6 Abs. 1 lit. a): Nur wenn bestimmte zukünftige Funktionen dies erfordern

5. Datenaufbewahrung

Wir bewahren personenbezogene Daten gemäß dem Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e GDPR) nur so lange auf, wie es für die Zwecke, für die sie erhoben wurden, erforderlich ist. Die folgenden Aufbewahrungsfristen werden automatisch über die tägliche geplante Bereinigung erzwungen:

Aktive Konten: Daten werden gespeichert, solange Ihr Konto besteht und aktiv ist
Authentifizierungsversuche: automatisch nach 90 Tagen gelöscht
Sitzungen: maximal 30 Tage, abgelaufene Sitzungen werden täglich gereinigt
Anforderungs- und Sicherheitsprotokolle: automatisch nach 90 Tagen bereinigt
Administrator-Audit-Protokolle: werden zur Einhaltung gesetzlicher Vorschriften ein Jahr lang aufbewahrt und dann gelöscht
Benachrichtigungen: Gelesene Benachrichtigungen werden nach 90 Tagen gelöscht, ungelesene nach 180 Tagen
Sicherheitswarnungen: Gelöste Warnungen werden nach 180 Tagen gelöscht, offene Warnungen werden nach 365 Tagen gelöscht
Spielsystemprotokolle: nach 30 Tagen gelöscht. Berechnungsspuren und RNG-Prüfdatensätze: nach 90 Tagen gelöscht
Direktnachrichten: Gelesene Nachrichten werden nach 180 Tagen gelöscht, ungelesene Nachrichten werden nach 365 Tagen gelöscht
Spieleraktionsprotokolle: nach 30 Tagen gelöscht
Status-Snapshots und wöchentliche Snapshots: nach 365 Tagen gelöscht
Spielerberichte: Aufgelöste oder abgelehnte Berichte werden nach 180 Tagen gelöscht
Abgelaufene oder verwendete Verifizierungs- und Passwort-Reset-Tokens: nach 7 Tagen gelöscht
Gelöschte Konten: Persönliche Daten werden sofort nach der Kontolöschung anonymisiert. Spielaufzeichnungen (Bandplatzierungen, Chartverlauf) werden aus Gründen der Wettbewerbsintegrität in pseudonymisierter Form aufbewahrt
Backups: Persönliche Daten können in verschlüsselten Backups bis zu 30 Tage nach dem Löschen bestehen bleiben. Backups werden im Ruhezustand verschlüsselt, zugriffskontrolliert und innerhalb des Aufbewahrungsfensters automatisch gelöscht. Dies ist eine akzeptierte Einschränkung, die in Erwägungsgrund 65 GDPR offengelegt wird

6. Ihre Rechte

Gemäß GDPR (Artikel 15-22) haben Sie die folgenden Rechte in Bezug auf Ihre personenbezogenen Daten. Um eines dieser Rechte auszuüben, senden Sie eine E-Mail an [email protected] mit der Betreffzeile „Anfrage einer betroffenen Person“ und geben Sie das Recht an, das Sie ausüben möchten. Wir werden Ihre Identität überprüfen, bevor wir Ihre Anfrage bearbeiten. Wir antworten innerhalb von 30 Tagen (Art. 12(3) GDPR), bei komplexen Anfragen kann die Frist um weitere 60 Tage verlängert werden. In diesem Fall werden wir Sie innerhalb der ersten 30-Tage-Frist über die Verlängerung informieren.

Auskunftsrecht (Art. 15): Fordern Sie eine Kopie aller personenbezogenen Daten an, die wir über Sie gespeichert haben. Sie können Ihre Daten auch jederzeit im maschinenlesbaren JSON-Format über Einstellungen > Daten exportieren herunterladen oder indem Sie im angemeldeten Zustand eine GET-Anfrage an /api/v1/auth/data-export senden. Der Export umfasst Kontodaten, Spieldaten, Nachrichten, Forumbeiträge und den Transaktionsverlauf.
Recht auf Löschung (Art. 17): Fordern Sie die dauerhafte Löschung Ihres Kontos und die Anonymisierung aller personenbezogenen Daten an. Sie können dies jederzeit selbst über Einstellungen > Konto löschen tun (erfordert eine Passwortbestätigung). Ihre personenbezogenen Daten werden umgehend anonymisiert. Spielaufzeichnungen (Bandplatzierungen, Charteinträge) werden aus Gründen der Wettbewerbsintegrität in pseudonymisierter Form aufbewahrt. Bitte beachten Sie: Anonymisierte Daten können in verschlüsselten Backups bis zu 30 Tage lang bestehen bleiben.
Recht auf Berichtigung (Art. 16): Berichtigung unrichtiger personenbezogener Daten verlangen. Sie können Ihre Profilinformationen über Ihre Kontoeinstellungen aktualisieren. Für Daten, die nicht über UI geändert werden können (z. B. Ihre E-Mail-Adresse), wenden Sie sich an [email protected].
Recht auf Datenübertragbarkeit (Art. 20): Erhalten Sie Ihre personenbezogenen Daten in einem strukturierten, gängigen, maschinenlesbaren Format (JSON). Nutzen Sie die oben beschriebene Datenexportfunktion oder fordern Sie eine Kopie per E-Mail an.
Widerspruchsrecht (Art. 21): Widerspruch gegen die Verarbeitung aufgrund unseres berechtigten Interesses (Art. 6(1)(f)), einschließlich Anti-Cheat-Profiling und Sicherheitsüberwachung. Senden Sie eine E-Mail an [email protected] mit der spezifischen Verarbeitung, der Sie widersprechen. Wir werden die Verarbeitung einstellen, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die Ihre Interessen überwiegen.
Recht auf Einschränkung (Art. 18): Fordern Sie eine vorübergehende Einschränkung der Verarbeitung an, während wir die Richtigkeit Ihrer Daten überprüfen, Ihren Einspruch prüfen oder feststellen, ob unsere berechtigten Gründe Vorrang vor Ihren haben. Während der Sperrung werden die entsprechenden Daten von uns gespeichert, aber nicht aktiv verarbeitet. Senden Sie eine E-Mail an [email protected], um eine Einschränkung anzufordern.
Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3): Wenn die Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit widerrufen. Durch den Widerruf wird die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung nicht berührt. Derzeit basiert jede Verarbeitung auf der Vertragserfüllung oder einem berechtigten Interesse, nicht auf einer Einwilligung.
Beschwerderecht (Art. 77): Sie haben das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen. Die zuständige Behörde für unsere Geschäftstätigkeit ist das Urad na ochranu osobnych udajov Slovenskej republiky (Amt für den Schutz personenbezogener Daten der Slowakischen Republik), Hranicna 12, 820 07 Bratislava, Slowakei (https://dataprotection.gov.sk). Sie können sich auch an die Aufsichtsbehörde im EU-Mitgliedstaat Ihres gewöhnlichen Aufenthalts oder Arbeitsplatzes wenden.

7. Datenweitergabe und Unterauftragsverarbeiter

Für den Betrieb dieses Dienstes nutzen wir die folgenden Unterauftragsverarbeiter. Jeder Unterauftragsverarbeiter ist im Rahmen einer Datenverarbeitungsvereinbarung (Art. 28 GDPR) beauftragt und verarbeitet nur die Daten, die für seinen Zweck unbedingt erforderlich sind:

Hetzner Cloud (Hetzner Online GmbH, Deutschland): Infrastruktur-Hosting und verschlüsselter Backup-Speicher. Datenkategorien: alle Datenbankinhalte (Kontodaten, Spieldaten, Kommunikation). Standort: Rechenzentrum Falkenstein, Deutschland – keine internationale Übertragung. DPA: Hetzner-Standard DPA gemäß Art.-Nr. 28 GDPR (https://docs.hetzner.com/general/general-terms-and-conditions/data-privacy-faq/).
Cloudflare (Cloudflare, Inc., US mit EU-Edge-Knoten): CDN, DDoS-Schutz und Webanwendungs-Firewall. Datenkategorien: IP-Adressen, HTTP-Anfrageheader, Anfrage-URLs. Übertragungsmechanismus: EU-US Data Privacy Framework (DPF, Art. 45 Angemessenheitsbeschluss) und Standardvertragsklauseln (SCCs, Modul 2: Controller-to-Processor, Art. 46(2)(c)). DPA: Cloudflare-Kunde DPA (https://www.cloudflare.com/cloudflare-customer-dpa/).
Transaktionale E-Mail-Zustellung: Bestätigungs-E-Mails, Passwort-Resets und Sicherheitshinweise werden derzeit über unseren selbst gehosteten SMTP/Postfix-Server auf derselben von Hetzner gehosteten Infrastruktur wie die Anwendung gesendet. E-Mail-Adressen und Anzeigenamen werden nur für den Nachrichtenversand verarbeitet.
PostHog Cloud (EU-Region): Produktanalyse und öffentliche CTA-Analyse. Datenkategorien: pseudonyme Benutzer-IDs, Band-IDs, Staffel-IDs, Seitenpfade und explizite Ereigniseigenschaften. Der Client-Speicher ist deaktiviert (`persistence: memory`), daher werden von PostHog im Browser keine Analyse-Cookies oder LocalStorage-Kennungen erstellt. DPA: https://posthog.com/dpa.

Wir verkaufen, vermieten, tauschen oder geben Ihre personenbezogenen Daten nicht an Dritte zu Marketing-, Werbe- oder Profilierungszwecken weiter. Die Daten werden nur an die oben aufgeführten Unterauftragsverarbeiter und ausschließlich für die beschriebenen Zwecke weitergegeben.

8. Internationale Datenübertragungen

Die Speicherung Ihrer Daten erfolgt überwiegend in Deutschland (Hetzner Cloud, Rechenzentrum Falkenstein). Cloudflare verarbeitet HTTP-Anfragedaten an EU-Edge-Knoten; Für jede Nicht-EU-Verarbeitung beteiligt sich Cloudflare am EU-US-Datenschutzrahmenwerk (DPF, Art. 45 Angemessenheitsbeschluss) und stellt Standardvertragsklauseln (SCCs, Modul 2, Art. 46(2)(c)) als ergänzende Schutzmaßnahme bereit. Produktanalysen werden über die Cloud-Region EU von PostHog im Cookie-freien Speichermodus verarbeitet. Die transaktionale E-Mail-Zustellung nutzt derzeit unseren selbst gehosteten SMTP/Postfix-Server auf der von Hetzner gehosteten Infrastruktur, sodass in der Produktion kein separater E-Mail-Prozessor aus einem Drittland aktiv ist. Alle übertragenen Daten werden über TLS 1.2+ verschlüsselt. Es werden keine personenbezogenen Daten in Länder ohne Angemessenheitsbeschluss oder angemessene Garantien übermittelt (Art. 46 GDPR).

9. Sicherheitsmaßnahmen

Verschlüsselung während der Übertragung (TLS 1.2+)
Passwörter gehasht mit Argon2id (branchenführender Algorithmus)
HttpOnly-Sitzungscookies mit CSRF-Schutz
Rollenbasierte Zugriffskontrollen und umfassende Audit-Protokollierung

10. Cookies und lokale Speicherung

Wir verwenden nur unbedingt notwendige und funktionale Cookies im Sinne der Datenschutzrichtlinie für elektronische Kommunikation (Art. 5 Abs. 3, Richtlinie 2002/58/EC). Für diese Cookies ist keine Einwilligung erforderlich, da sie für die Bereitstellung des von Ihnen angeforderten Dienstes unerlässlich sind. Wir verwenden keine Tracking-, Werbe- oder Analyse-Cookies von Drittanbietern:

access_token (httpOnly, Secure, SameSite=Strict, 1 Stunde): Authentifizierungssitzungscookie. Unbedingt erforderlich, um Ihre Anmeldesitzung aufrechtzuerhalten.
fresh_token (httpOnly, Secure, SameSite=Strict, 30 Tage): Sitzungsaktualisierungscookie. Unbedingt erforderlich für eine reibungslose erneute Authentifizierung.
rth-lang (funktional): Speichert Ihre Spracheinstellung. Funktionale Cookies sind gemäß ePrivacy Art. ausgenommen. 5(3), da dies für die Bereitstellung des Dienstes in der von Ihnen gewählten Sprache erforderlich ist.
__cf_bm (Cloudflare, Drittanbieter, Sitzungsdauer): Bot-Verwaltungs-Cookie. Für den DDoS-Schutz und die Sicherheit unbedingt erforderlich.
Analyse: Wir verwenden PostHog im Nur-Speicher-Modus für Produkt- und öffentliche Website-Analysen. PostHog setzt in dieser Konfiguration keine Analyse-Cookies oder LocalStorage-Identifikatoren im Browser.
Lokaler Speicher: Wir speichern nicht-personenbezogene UI-Einstellungen (Ablehnung von Cookie-Hinweisen, Tutorial-Fortschritt, UI-Hinweise) im lokalen Speicher Ihres Browsers. Diese enthalten keine personenbezogenen Daten.

11. Privatsphäre und Altersüberprüfung von Kindern

Für Road to Headliner müssen Benutzer gemäß GDPR Art. 16 mindestens 16 Jahre alt sein. 8 (Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft). Bei der Registrierung müssen alle Nutzer bestätigen, dass sie mindestens 16 Jahre alt sind, indem sie eine obligatorische Checkbox zur Altersbestätigung ankreuzen. Diese Bestätigung wird als prüffähiger Nachweis erfasst. Wir erheben oder verarbeiten wissentlich keine personenbezogenen Daten von Kindern unter 16 Jahren. Wenn wir Kenntnis davon erlangen, dass ein Nutzer unter 16 Jahre alt ist, werden wir sein Konto und alle damit verbundenen personenbezogenen Daten umgehend löschen. Wenn Sie glauben, dass eine Person unter 16 Jahren ein Konto erstellt hat, kontaktieren Sie uns bitte unter [email protected].

12. Anti-Cheat und automatisiertes Profiling

Um ein faires Spiel zu gewährleisten, verwenden wir eine automatisierte IP-basierte Korrelation, um die potenzielle Nutzung mehrerer Konten zu erkennen. Dieses System vergleicht IP-Adressen und Anmeldemuster zwischen Konten. Erkennungswarnungen werden von einem menschlichen Administrator überprüft, bevor Maßnahmen ergriffen werden. Kein Konto wird allein aufgrund der automatischen Erkennung automatisch gesperrt oder bestraft. Diese Verarbeitung basiert auf unserem berechtigten Interesse an der Wahrung der Spielintegrität (Art. 6(1)(f) GDPR). Sie können dieser Verarbeitung widersprechen, indem Sie sich an [email protected] wenden.

13. Benachrichtigung über Datenschutzverletzungen

Im Falle einer Verletzung des Schutzes personenbezogener Daten, die ein Risiko für Ihre Rechte und Freiheiten darstellt, benachrichtigen wir die zuständige Aufsichtsbehörde innerhalb von 72 Stunden nach Kenntniserlangung der Verletzung (Art. 33 GDPR). Wenn der Verstoß voraussichtlich ein hohes Risiko für Sie mit sich bringt, werden wir Sie darüber hinaus unverzüglich per E-Mail oder In-Game-Benachrichtigung benachrichtigen (Art. 34 GDPR).

14. Datenschutzbeauftragter und Aufsichtsbehörde

Als kleiner Verantwortlicher, der keine groß angelegte Verarbeitung besonderer Datenkategorien und keine groß angelegte systematische Überwachung durchführt, sind wir von der Pflicht zur Benennung eines Datenschutzbeauftragten gemäß Art. 37(1) GDPR. Für alle Datenschutzanfragen, Anfragen betroffener Personen oder Beschwerden kontaktieren Sie uns direkt unter [email protected]. Die zuständige Aufsichtsbehörde für diesen Dienst ist das Urad na ochranu osobnych udajov Slovenskej republiky (Amt für den Schutz personenbezogener Daten der Slowakischen Republik), Hranicna 12, 820 07 Bratislava, Slowakei, Website: https://dataprotection.gov.sk.. Sie haben außerdem das Recht, eine Beschwerde bei der Aufsichtsbehörde im EU-Mitgliedstaat Ihres gewöhnlichen Wohnsitzes oder Arbeitsplatzes einzureichen (Art. 77). GDPR).

15. Änderungen dieser Richtlinie

Wir können diese Datenschutzrichtlinie von Zeit zu Zeit aktualisieren. Wesentliche Änderungen werden per In-Game-Benachrichtigung oder E-Mail mitgeteilt. Die fortgesetzte Nutzung des Dienstes nach Änderungen stellt die Annahme der aktualisierten Richtlinie dar.

16. Kontakt

Für Datenschutzanfragen, Zugriffsanfragen betroffener Personen (SAR), Datenlöschungsanfragen, Berichtigungsanfragen oder Beschwerden kontaktieren Sie uns unter [email protected]. Bitte geben Sie in der Betreffzeile „Anfrage betroffener Person“ an, um die Bearbeitung zu beschleunigen. Unser Ziel ist es, den Eingang innerhalb von 5 Werktagen zu bestätigen und alle Anfragen betroffener Personen innerhalb von 30 Tagen nach Eingang inhaltlich zu beantworten (Art. 12(3) GDPR). Wenn eine Anfrage komplex ist oder wir eine große Menge erhalten, können wir die Antwortfrist um bis zu 60 Tage verlängern. In diesem Fall werden wir Sie innerhalb der ersten 30 Tage informieren.