Datenschutz

Datenschutz

Chatlix ist DSGVO-konform betrieben. Server stehen in Deutschland (Hetzner Falkenstein/Helsinki). Es gibt keine Datenuebertragung in Drittstaaten ausserhalb der EU, ausser fuer optionale AI-Provider-Calls (siehe unten).

Welche Daten werden gespeichert

Account-Daten

• E-Mail-Adresse, Account-Name, Passwort-Hash (BCrypt).
• OAuth-Verknuepfungen (Google-ID, Twitch-User-ID).
• MFA-TOTP-Secret (verschluesselt).

Twitch-OAuth-Token

• Access-Token und Refresh-Token von Twitch werden AES-verschluesselt at rest in der Datenbank gespeichert.
• Token sind noetig, um Channel-Points-Rewards, EventSub-Subscriptions und Chat-Connections zu betreiben.
• Du kannst die Twitch-Verknuepfung jederzeit unter /dashboard/connect revoken — danach werden die Token serverseitig sofort geloescht.

Event-Logs

• Alle Trigger (Channel-Points-Redeems, Chat-Commands, OBS-Events) werden im Event-Log gespeichert.
• Aufbewahrung: 30 Tage, danach automatisch geloescht.
• Im Event-Log stehen Zuschauer-Namen (Twitch-Login), Reward-Namen, Zeitstempel. Keine privaten Nachrichten.

Reactions, Rewards, Sounds

• Hochgeladene Audio-/Bild-Dateien.
• Reaction-Konfigurationen.
• Bleiben gespeichert, bis du sie loeschst oder deinen Account loeschst.

AI-Outputs

• AI-generierte Inhalte (TTS-Audios, AI-Bilder) werden je nach Plan bis zu 30 Tage im Media-Storage gehalten und danach automatisch geloescht, wenn nicht aktiv referenziert.
• Im Pro-/Team-Plan koennen Outputs in der Library archiviert werden.
• Externe AI-Provider (OpenAI, ElevenLabs) bekommen Prompts und Voice-Samples — siehe unten.

Logs und Metriken

• Server-Logs (Web-Access, App-Logs) werden maximal 14 Tage aufbewahrt.
• Metriken (Performance, Usage-Counter) werden aggregiert und sind nicht personenbezogen.

Externe AI-Provider

Wenn du AI-Features nutzt, werden die noetigen Daten an die Provider geschickt:

• OpenAI (USA) — fuer Text- und Bild-Generierung (gpt-image-1, GPT-Modelle). Prompts und Bild-Outputs.
• ElevenLabs (USA) — fuer TTS und Voice-Cloning. Text und ggf. Stimmen-Samples.

Fuer beide existieren Auftragsverarbeitungs-Vertraege (AVV) und DPAs nach Standardvertragsklauseln (EU-Kommission). Die Daten werden nicht von den Providern fuer Training verwendet (entsprechende Vertragsklauseln gesetzt).

Wenn du keine AI-Features nutzt, gehen auch keine Daten an OpenAI/ElevenLabs.

Cookie-Consent

Chatlix nutzt nur technisch notwendige Cookies (Session-Cookie, CSRF-Token). Kein Tracking durch Drittanbieter, kein Google Analytics, kein Meta-Pixel.

Im Stream-Overlay laden BrowserSources Inhalte direkt vom Chatlix-CDN — auch hier nur technisch notwendige Tokens, keine Cookies fuer Zuschauer.

Deshalb wird beim Login keine Cookie-Consent-Wand angezeigt — sie ist rechtlich nicht erforderlich.

Account-Loeschung

Du kannst deinen Account vollstaendig loeschen unter:

/dashboard/settings/account

→ « Account loeschen ».

Der Prozess:

1. Bestaetigung per E-Mail-Token (verhindert Klick-Unfaelle).
2. GDPR-Export wird automatisch erstellt — alle deine Daten als ZIP. Download-Link gueltig 7 Tage.
3. Account und alle verknuepften Daten werden geloescht: Reactions, Rewards, Connect-Pairings, Overlay-Tokens, Event-Logs, hochgeladene Medien, AI-Outputs.
4. Twitch-OAuth-Tokens werden revoked.
5. Rechnungen bleiben 10 Jahre aufgehoben (gesetzliche Aufbewahrungspflicht in DE). Sie enthalten nur Rechnungsdaten, keine Reactions / Rewards / Event-Logs.

Die Loeschung ist final und nicht rueckgaengig zu machen.

GDPR-Export ohne Loeschung

Du kannst auch nur einen Export ohne Loeschung anfordern:

/dashboard/settings/account

→ « Datenexport anfordern ».

Der Export enthaelt:

• Account-Stammdaten.
• Aktuelle Reactions, Rewards, Sounds, Konfigurationen (als JSON).
• Event-Log-Auszug der letzten 30 Tage.
• Rechnungen.

Nicht enthalten: Passwort-Hashes, Twitch-Tokens, Server-interne IDs.

Datenschutz-Kontakt

Fragen, Loeschanfragen, Auskunftsersuche:

• E-Mail: privacy@chatlix.app.
• Antwortzeit: < 30 Tage (DSGVO-Vorgabe).
• Vollstaendiger Datenschutz-Hinweis: chatlix.app/privacy.

Subprocessor-Liste

Aktuelle Liste der eingesetzten Auftragsverarbeiter:

• Hetzner Online GmbH (Hosting, DE).
• Mollie B.V. (Zahlungen, NL).
• OpenAI (AI-Generierung, USA, optional).
• ElevenLabs (TTS/Voice, USA, optional).
• Twitch Interactive (OAuth/EventSub, USA — Standardvertragsklauseln).

Aenderungen an dieser Liste werden mindestens 14 Tage vorher per E-Mail angekuendigt.