Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO und anderer nationaler Datenschutzgesetze ist der Inhaber von Klipax, siehe Impressum. Kontakt: admin@klipax.com.

2. Grundsätzliches

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Plattform sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung erfolgt regelmäßig nur nach Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), zur Vertragserfüllung (lit. b), zur Erfüllung einer rechtlichen Verpflichtung (lit. c) oder auf Basis berechtigter Interessen (lit. f).

3. Welche Daten wir verarbeiten

3.1 Account-Daten

Bei Registrierung verarbeiten wir: E-Mail, Anzeigename, Handle, Passwort-Hash, Rolle (Streamer oder Clipper), Spracheinstellung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3.2 Social-Account-Verknüpfung

Bei OAuth-Login und Kanal-Verknüpfung mit Twitch, YouTube (Google) oder TikTok verarbeiten wir die plattformseitige Account-ID, den öffentlichen Handle/Username und ggf. Avatar-URL. Es werden keine OAuth-Refresh-Tokens über das zur Erbringung der Leistung notwendige Maß hinaus gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

3.3 Zahlungs- und Auszahlungsdaten

Für Kampagnen-Zahlungen (Streamer) und Payouts (Clipper) arbeiten wir mit Stripe. Daten wie Kreditkarte oder IBAN werden ausschließlich bei Stripe und deren zertifizierter Infrastruktur gespeichert, nicht auf unseren Servern. Wir speichern lediglich die von Stripe vergebenen IDs (Customer-ID, Connect-Account-ID, Transfer-IDs, Payment-Intent-IDs). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

3.4 Steuerliche Daten (DAC7)

Ab einer Auszahlungssumme von 2.000 € oder 30 Transaktionen pro Kalenderjahr sind wir nach dem Plattformen-Steuertransparenzgesetz (PStTG) verpflichtet, steuerliche Daten der Clipper an das Bundeszentralamt für Steuern zu melden. Die erforderlichen Daten (Steuer-ID, Adresse, ausgezahlte Beträge) werden über Stripe erhoben und verarbeitet. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung).

3.5 Content- und Submission-Daten

Von Clippern eingereichte Clip-URLs, zugehörige Plattform-Metadaten (View-Count, Thumbnail, Titel, Beschreibung) sowie Zeitstempel. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

3.6 Log-Daten und technische Daten

Beim Aufruf unserer Plattform werden von unseren Servern automatisch IP-Adresse, User-Agent, Zeitstempel und aufgerufene URL in kurzen Logs erfasst. Diese werden nach spätestens 14 Tagen anonymisiert bzw. gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Betrieb und IT-Sicherheit der Plattform).

3.7 Audit-Logs

Zu sicherheits- und finanzrelevanten Aktionen (Login, Passwortänderung, Kampagnen-Erstellung, Payout-Anforderung) speichern wir Audit-Logs. Aufbewahrungsdauer: {{ TODO: Aufbewahrungsdauer bestimmen — typisch 6 Jahre nach HGB für zahlungsrelevante Logs }}. Rechtsgrundlage: Art. 6 Abs. 1 lit. c und f DSGVO.

4. Cookies und lokale Speicherung

Wir setzen technisch notwendige Cookies für Login-Sessions, CSRF-Schutz und Sprachauswahl. Diese sind für den Betrieb der Plattform zwingend erforderlich (Art. 6 Abs. 1 lit. f DSGVO). Für optionale Analytics (Plausible) holen wir deine Einwilligung über den Cookie-Banner ein (Art. 6 Abs. 1 lit. a DSGVO).

5. Dienstleister / Auftragsverarbeiter

Wir arbeiten mit folgenden Anbietern zusammen:

• Vercel Inc. — Hosting des Frontends. Server-Standort EU. Zweck: Auslieferung der Plattform. Vertrag nach Art. 28 DSGVO vorhanden.
• Supabase — Datenbank und Authentifizierung, Region Frankfurt (EU). Zweck: Speicherung und Verwaltung aller Plattformdaten. Vertrag nach Art. 28 DSGVO vorhanden.
• Stripe Payments Europe Ltd. — Zahlungsabwicklung (Streamer) und Payouts (Clipper via Stripe Connect Express). Zweck: Zahlungen, KYC und DAC7-Reporting. Vertrag nach Art. 28 DSGVO vorhanden.
• Resend — Transaktions-E-Mails (Registrierung, Password-Reset, Benachrichtigungen). Vertrag nach Art. 28 DSGVO vorhanden.
• Cloudflare — CDN, DNS, Turnstile (Bot-Schutz bei Registrierung). Vertrag nach Art. 28 DSGVO vorhanden.
• Plausible Analytics — Anonymisierte, DSGVO-konforme Nutzungsstatistik, ausschließlich nach Einwilligung via Cookie-Banner. Server-Standort EU.
• YouTube Data API (Google LLC) — Abruf öffentlicher Video-Metadaten für das View-Tracking. Es werden nur öffentlich verfügbare Daten abgefragt.

6. Social Login (OAuth)

Beim Login oder Verknüpfen eines Social-Accounts über Twitch, YouTube (Google) oder TikTok werden dort personenbezogene Daten nach deren jeweiligen Datenschutzbestimmungen verarbeitet. Wir erhalten nur die Daten, denen du im OAuth-Dialog zustimmst.

7. Datenübermittlung in Drittländer

Stripe Payments Europe Ltd. ist in Irland ansässig, kann jedoch Daten zu Konzernverbundenen in den USA übertragen. Die Übermittlung erfolgt auf Basis von EU-Standardvertragsklauseln und zusätzlichen technischen Schutzmaßnahmen. Google LLC (YouTube API) verarbeitet ebenfalls Daten in den USA; die Rechtsgrundlage ist hier das EU-U.S. Data Privacy Framework.

8. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es zur Erbringung unserer Leistungen notwendig ist oder gesetzliche Aufbewahrungsfristen (insb. § 147 AO, § 257 HGB) dies vorsehen. Bei Kontolöschung werden personenbezogene Daten gelöscht oder anonymisiert, sofern nicht gesetzliche Pflichten dem entgegenstehen (zahlungsrelevante Daten typischerweise 10 Jahre).

9. Deine Rechte als Betroffener

Du hast nach der DSGVO das Recht auf:

• Auskunft über deine gespeicherten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung („Recht auf Vergessenwerden“, Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen (Art. 21 DSGVO)
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Einen Daten-Export kannst du direkt in den Kontoeinstellungen anfordern, ebenso die vollständige Kontolöschung.

10. Beschwerderecht

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig ist die Landesbehörde des Inhaberstandorts: {{ TODO: Zuständige Landesdatenschutzbehörde auf Basis des Inhaber-Wohnsitzes eintragen }}.

11. Sicherheit

Wir setzen technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO ein, insbesondere: TLS-Verschlüsselung aller Verbindungen (HTTPS, HSTS), bcrypt mit hohem Cost-Faktor für Passwörter, AES-256-Verschlüsselung sensibler Felder (z. B. Steuer-IDs) at rest, rollenbasierten Zugriff, Rate-Limiting und Bot-Schutz via Cloudflare Turnstile.

12. Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich die tatsächliche Datenverarbeitung oder gesetzliche Vorgaben ändern. Stand dieser Fassung: 24. April 2026.