Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist:

Michael Jack Beyer
c/o IP-Management #9580
Ludwig-Erhard-Straße 18
20459 Hamburg
E-Mail: kontakt@streamcave.io

2. Zwecke der Verarbeitung und Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten ausschließlich zur Erbringung der StreamCave-Dienste: Anmeldung über Twitch OAuth, Bereitstellung von Alert-Boxes, Chat-Bot, Loyalty-System, Chat-Box-Overlay und weiteren Streamer-Tools.

Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrags) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und funktionalen Dienst — insbesondere bei der Speicherung gehashter Session-Kennungen zur Missbrauchsabwehr).

3. Welche personenbezogenen Daten wir verarbeiten

Wir erheben nur das, was für den Betrieb des Dienstes nötig ist:

• Twitch-Profil (über OAuth)

  Beim Login über Twitch erhalten und speichern wir: deine Twitch-User-ID, deinen Twitch-Login-Namen, deinen Display-Name, deinen Profilbild-URL sowie deine E-Mail-Adresse (sofern Twitch sie freigibt — Scope user:read:email).

• OAuth-Tokens

  Wir speichern deine Twitch-Access- und Refresh-Tokens AES-256-GCM-verschlüsselt (TOKEN_ENCRYPTION_KEY) in der Datenbank, um EventSub-Abonnements und Helix-API-Calls in deinem Namen auszuführen. Tokens werden bei Bedarf automatisch erneuert. Die angeforderten Scopes umfassen aktuell u. a. user:read:email, moderator:read:followers, channel:read:subscriptions, bits:read, channel:read:hype_train, moderator:read:chatters — sowie bei Aktivierung des Bring-Your-Own-Bot-Features zusätzliche Bot-spezifische Scopes.

• Session-Daten

  Bei jeder aktiven Sitzung speichern wir eine zufällig generierte Session-ID sowie SHA-256-Hashes deiner IP-Adresse und deines User-Agents (NIE die Rohwerte). Die Hashes dienen ausschließlich der Session-Bindung und Missbrauchsabwehr.

• Bring-Your-Own-Bot-Daten (optional, nur bei Aktivierung)

  Wenn du das Bring-Your-Own-Bot-Feature nutzt, speichern wir die Twitch-Identitätsdaten und verschlüsselten Tokens eines von dir verknüpften Bot-Accounts. Ohne Aktivierung dieses Features werden keine derartigen Daten erhoben.

• Anwendungsdaten

  Konfigurationen, die du selbst anlegst: Alert-Boxes, Chat-Bot-Befehle und Schutz-Engine-Regeln, Loyalty-System-Einstellungen, Chat-Box-Customizations, Overlay-Konfigurationen. Hinzu kommen vom Loyalty-System erfasste aggregierte Aktivitätsdaten deiner Viewer (Twitch-Login, Punkte, Watchtime, Letzte-Aktivität-Zeitstempel). Für diese Viewer-Daten handelst du als Verantwortlicher im Sinne der DSGVO — wir verarbeiten sie als Auftragsverarbeiter in deinem Auftrag.

• Server-Logs

  Unsere Anwendungs-Logs enthalten HTTP-Methode, Pfad, Status-Code und Antwortzeit — keine rohen IP-Adressen. Auf Reverse-Proxy-Ebene (Coolify/Traefik) können kurzzeitig technische Access-Logs entstehen; diese werden nach maximal 14 Tagen automatisch gelöscht.

4. Empfänger und Übermittlung an Dritte

Wir geben deine Daten nur an die folgenden Auftragsverarbeiter weiter, soweit für den Dienstbetrieb erforderlich:

Hetzner Online GmbH (Deutschland)

Hosting und Object Storage werden bei der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen betrieben. Es besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. Die Daten verlassen den EU-Rechtsraum nicht.

Twitch Interactive Inc. (USA — Drittland)

Twitch ist Bestandteil des Dienstes und unverzichtbar für die Anmeldung sowie Chat-/EventSub-Integration. Die Übermittlung in die USA stützt sich auf Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO (Datenschutzhinweise: https://www.twitch.tv/p/legal/privacy-notice/). Beim Aufruf deines Profilbilds (Avatar) wird die jeweilige Twitch-CDN-URL geladen — auch dies stellt eine Übertragung an Twitch dar.

Es findet KEINE Übermittlung an Tracking-Dienste, Analytics-Anbieter oder KI-Dienste statt. StreamCave nutzt keine Google Analytics, kein Cloudflare-Geräte-Fingerprinting, keine externen Werbe-Netzwerke.

5. Speicherdauer

Account- und Anwendungsdaten speichern wir bis zur Löschung deines Accounts. Eine Account-Löschung erfolgt aktuell auf Anfrage per E-Mail an kontakt@streamcave.io — eine self-service-Löschung über die Oberfläche ist für die nächste Ausbaustufe geplant.

Session-Daten werden mit Ablauf der Session gelöscht (spätestens 30 Tage nach Erstellung oder beim manuellen Logout). Verschlüsselte OAuth-Tokens werden bei Twitch-Refresh kontinuierlich überschrieben. Server-Logs werden nach maximal 14 Tagen automatisch entfernt.

6. Cookies

StreamCave setzt ausschließlich technisch notwendige Cookies — keine Tracking- oder Drittanbieter-Cookies. Aus diesem Grund verzichten wir bewusst auf einen Cookie-Consent-Banner.

__sc_session

Signiertes Session-Cookie zur Aufrechterhaltung der Anmeldung. Lebensdauer: bis zum Logout oder Session-Ablauf.

__sc_oauth_state, __sc_oauth_mode, __sc_bot_oauth_state, __sc_bot_byob_oauth_state

Kurzlebige CSRF-Schutz-Cookies während der OAuth-Anmeldeflüsse (Twitch-Login, Bot-Authorisierung). Lebensdauer: 5 Minuten.

7. Deine Rechte als betroffene Person

Nach DSGVO stehen dir folgende Rechte zu — du kannst sie jederzeit per E-Mail an kontakt@streamcave.io ausüben:

• Recht auf Auskunft (Art. 15 DSGVO) — du kannst erfahren, welche Daten wir über dich verarbeiten.
• Recht auf Berichtigung (Art. 16 DSGVO) — fehlerhafte Daten werden korrigiert.
• Recht auf Löschung (Art. 17 DSGVO) — wir löschen deine Daten, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO).
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO) — Export deiner Daten in einem strukturierten, gängigen Format.
• Recht auf Widerspruch (Art. 21 DSGVO) — gegen Verarbeitungen auf Basis berechtigter Interessen.

8. Beschwerderecht bei der Aufsichtsbehörde

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Für unseren Sitz zuständig ist:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI)
Ludwig-Erhard-Straße 22, 20459 Hamburg
Web: https://datenschutz-hamburg.de

9. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen zum Schutz deiner Daten ein:

• Transport-Verschlüsselung: Alle Verbindungen zum Dienst laufen ausschließlich über TLS 1.2+.
• Token-Verschlüsselung at-rest: Twitch-Access- und Refresh-Tokens werden mit AES-256-GCM verschlüsselt in der Datenbank gespeichert.
• Pseudonymisierung: IP-Adressen und User-Agents werden ausschließlich als SHA-256-Hash gespeichert; die Rohwerte verlassen den Speicher nie.
• Infrastruktur-Sicherheit: Hosting in Deutschland bei Hetzner (ISO-27001-zertifiziert).

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, falls sich der Dienst weiterentwickelt oder Rechtsgrundlagen ändern. Die jeweils aktuelle Fassung ist über die Fußzeile von streamcave.io abrufbar.