Streamamber
Recht · Datenschutz

Datenschutz. Was, warum, wie lange.

Informationen nach Art. 12 ff. DSGVO. Stand: 13.05.2026.

Stand: 13.05.2026. Diese Erklärung beschreibt die Verarbeitung personenbezogener Daten beim Betrieb des Dienstes „Streamamber" (nachfolgend „der Dienst") auf den Domains admin.motofo20.de und server.motofo20.de. Maßgeblich sind die Datenschutz-Grundverordnung (DSGVO) sowie das Bundesdatenschutzgesetz (BDSG).

1. Verantwortlicher

Verantwortlich im Sinne von Art. 4 Nr. 7 DSGVO ist der Betreiber des Dienstes. Die vollständigen Anbieterangaben nach § 5 TMG stehen im Impressum; bis zur öffentlichen Markteinführung handelt es sich um eine geschlossene Vorschau, die dort hinterlegten Angaben sind ein Platzhalter und werden vor dem Start des bezahlten Angebots ergänzt.

Anfragen zum Datenschutz erreichen den Verantwortlichen unter studio@mail.motofo20.de. Ein:e Datenschutzbeauftragte:r ist gesetzlich nicht erforderlich; die zuständige interne Ansprechperson ist Felix Neuen.

2. Welche Daten wir verarbeiten und warum

Wir verarbeiten ausschließlich Daten, die zur Erbringung des vertraglich geschuldeten Dienstes erforderlich sind oder die uns freiwillig zur Verfügung gestellt werden. Die Rechtsgrundlagen ergeben sich aus Art. 6 Abs. 1 DSGVO.

a) Kontodaten (Twitch-Login)

Beim Login über Twitch erhalten wir aus dem OAuth-Flow die Twitch-User-ID, den Login-Namen, den Anzeigenamen und die bei Twitch hinterlegte E-Mail-Adresse. Wir speichern diese Angaben, um Sie bei erneutem Aufruf wiederzuerkennen und Ihrem Konto Overlays, Käufe und Event-Verläufe zuzuordnen. Das Passwort erreicht uns zu keinem Zeitpunkt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

b) Overlay-Konfigurationen und Browser-Source-Token

Wenn Sie Overlays erstellen, speichern wir das Konfigurations-JSON (Farben, Schriftarten, Animationen, Position) und einen eindeutigen Browser-Source-Token. Der Token ist die einzige Information, die die öffentliche Browser-Source-URL benötigt — wer die URL besitzt, kann die Alerts darstellen (dies ist beabsichtigt; teilen Sie die URL nur mit Ihrer Streaming-Software).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

c) EventSub-Daten (Twitch-Kanalereignisse)

Sendet Twitch Ereignisse zu Ihrem Kanal (Follows, Subs, Raids, Bits), speichern wir je Ereignis einen Log-Eintrag mit Typ und einer kleinen Nutzlast (z. B. Benutzername, Sub-Tier, Raid-Zuschauerzahl). Diese Daten zeigen Ihre Overlays an.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

d) Zahlungsdaten

Bei Abschluss einer kostenpflichtigen Stufe oder eines Founders-Edition-Kaufs wird die Kartentransaktion direkt von Stripe abgewickelt — Ihre Kartendaten erreichen unsere Server nicht. Wir speichern die Stripe-Customer-ID, das gekaufte SKU, Betrag und Datum, um die richtige Stufe zuzuweisen und Belege auszuweisen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

e) Telefonverifikation (optional, 2FA)

Aktivieren Sie SMS-basierte Zwei-Faktor-Authentifizierung, wird Ihre Mobilfunknummer an Twilio Verify übermittelt, um einen Einmalcode auszuliefern. Die Nummer wird bei uns nur als Hash plus letzte zwei Ziffern gespeichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Aktivierung) und Art. 32 DSGVO (Sicherheit der Verarbeitung).

f) Server-Logs

Unser Webserver protokolliert je Anfrage IP-Adresse, Zeitstempel, angefragte URL, Statuscode und User-Agent. Diese Logs dienen dem Schutz vor Missbrauch und der Fehleranalyse und werden nach maximal 14 Tagen automatisch gelöscht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren, stabilen Dienst).

3. Auftragsverarbeiter und Drittlandtransfers

Zur Erbringung des Dienstes setzen wir folgende Auftragsverarbeiter (Art. 28 DSGVO) ein. Soweit Daten in Drittländer übermittelt werden, geschieht dies auf Grundlage der Standardvertragsklauseln der EU-Kommission („SCC", Durchführungsbeschluss 2021/914) bzw. — sofern der Empfänger gelistet ist — auf Basis des EU-US Data Privacy Framework (Adäquanzbeschluss der EU-Kommission vom 10.07.2023).

  • Twilio Inc. (USA) — Versand von SMS-Codes für die Telefonverifikation. Datentransfer in die USA auf Grundlage der EU-Standardvertragsklauseln (Module 1 und 2), ergänzt um Twilios EU-US-DPF-Selbstzertifizierung als zusätzlicher Adäquanzmechanismus. Eigener Vertrag zur Auftragsverarbeitung (DPA) liegt vor.
  • Stripe Payments Europe, Ltd. (Irland) mit Konzernverbund Stripe, Inc. (USA) — Abwicklung von Zahlungen, Speicherung von Karteninformationen, Rechnungserstellung. Die Vertragsbeziehung besteht primär zur irischen EU-Entität; Übermittlungen an die US-Mutter erfolgen auf Grundlage der EU-Standardvertragsklauseln und einer separaten Data Processing Addendum (DPA).
  • Resend, Inc. (USA) — Versand transaktionaler E-Mails (Bestellbestätigungen, Sicherheitsbenachrichtigungen, Account-Mails). Datentransfer in die USA auf Grundlage der EU-Standardvertragsklauseln; DPA liegt vor. Verarbeitet werden ausschließlich die Empfängeradresse, der E-Mail-Inhalt sowie Zustelltelemetrie (Bounce, Complaint).
  • Eigenes Hosting (motofo20.de, server.motofo20.de) — Streamamber läuft auf einem eigenen, in Deutschland betriebenen Server. Datenbank und tägliche, verschlüsselte Backups liegen auf derselben Maschine. Eine Übermittlung an Drittländer findet auf der Hosting-Ebene nicht statt.
  • Twitch Interactive, Inc. (USA) — Anbindung an Twitch OAuth und EventSub ist technische Voraussetzung der Streaming-Funktion. Der Transfer Ihrer Twitch-Profildaten an uns erfolgt auf Basis der OAuth-Einwilligung, die Sie gegenüber Twitch beim ersten Login erteilen; ergänzend gelten die EU-Standardvertragsklauseln zwischen Twitch und Streamamber für API-Antworten.

Eine Kopie der einschlägigen SCC bzw. DPA stellen wir Betroffenen auf Anfrage unter studio@mail.motofo20.de zur Verfügung, soweit dies datenschutzrechtlich zulässig ist.

4. Speicherdauer

  • EmailLog (Versandprotokoll): 30 Tage. Danach werden Empfängeradresse und Inhalt durch einen geplanten Prune-Job gelöscht.
  • EventLog (Twitch-EventSub): 90 Tage. Ältere Einträge werden automatisch entfernt; Exporte nach Art. 15 DSGVO sind ebenfalls auf diesen Zeitraum begrenzt.
  • Account-Sessions: Standard-Lebensdauer der Auth.js-Sitzung (30 Tage rollierend nach letzter Aktivität); beim Logout werden Cookie und Session-Datensatz gelöscht.
  • Kontodaten und Käufe: für die Dauer des Vertragsverhältnisses; Zahlungsbelege darüber hinaus für die handels- und steuerrechtliche Aufbewahrungsfrist (regelmäßig 10 Jahre, § 257 HGB / § 147 AO).
  • Server-Logs: maximal 14 Tage.

5. Ihre Rechte

Als betroffene Person stehen Ihnen die folgenden Rechte zu. Die Ausübung ist für Sie unentgeltlich.

  • Auskunft (Art. 15 DSGVO): Sie können eine Kopie der zu Ihrer Person gespeicherten Daten verlangen. Den Self-Service-Export erreichen Sie über GET /api/account/export (bzw. in der Anwendung unter Einstellungen → Datenexport). Sie erhalten eine JSON-Datei mit Ihrem Profil, Ihren Overlays, Käufen und den letzten 90 Tagen Event-Logs.
  • Berichtigung (Art. 16 DSGVO): Falsche oder unvollständige Daten korrigieren Sie in den Kontoeinstellungen oder per E-Mail an uns.
  • Löschung (Art. 17 DSGVO): Sie können Ihr Konto jederzeit selbst löschen — unter „Einstellungen → Danger Zone → Konto löschen". Die Löschung ist endgültig und umfasst Overlays, Event-Logs und hochgeladene Assets. Residuale Daten bei Auftragsverarbeitern (Stripe für Zahlungsbelege, Twilio für Verifikationshistorie, Resend für Zustelltelemetrie) bleiben gemäß deren gesetzlicher Aufbewahrungsfristen bestehen.
  • Einschränkung (Art. 18 DSGVO) und Datenübertragbarkeit (Art. 20 DSGVO): auf Anfrage; der JSON-Export deckt Art. 20 DSGVO regelmäßig ab.
  • Widerspruch (Art. 21 DSGVO): Gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (z. B. Server-Logs) können Sie aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch einlegen.
  • Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO): Sie können erteilte Einwilligungen — etwa zur SMS-2FA — jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie die Funktion in den Einstellungen deaktivieren.
  • Beschwerderecht (Art. 77 DSGVO): Unbeschadet anderer Rechtsbehelfe steht Ihnen das Recht zu, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren — in Deutschland insbesondere bei der für Ihren Wohnort zuständigen Landes- oder der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI).

6. Cookies und lokaler Speicher

Wir setzen ausschließlich ein technisch notwendiges Session-Cookie, das beim Login erzeugt wird (HttpOnly, Secure, SameSite=Lax, Ablauf 30 Tage nach letzter Aktivität). Eine Einwilligung nach § 25 Abs. 1 TDDDG ist hierfür nicht erforderlich, da das Cookie zur Bereitstellung des ausdrücklich angeforderten Dienstes unbedingt erforderlich ist (§ 25 Abs. 2 Nr. 2 TDDDG).

Wir verwenden keine Analyse-, Tracking- oder Marketing-Cookies, keine Drittanbieter-Pixel, keine Fingerprinting-Bibliotheken und kein cross-site Tracking. Lokaler Speicher (LocalStorage / SessionStorage) wird nur für UI-Präferenzen Ihres eigenen Geräts (z. B. Theme, zuletzt-genutzte Overlay-Voransicht) genutzt und nicht an unsere Server übermittelt.

7. Sicherheit

Wir treffen technische und organisatorische Maßnahmen nach Art. 32 DSGVO: TLS-Transportverschlüsselung, gehashte Passwörter (bcrypt), optionale Zwei-Faktor-Authentifizierung, verschlüsselte tägliche Backups, sowie striktes Rate-Limiting auf sensiblen Endpunkten (u. a. dem Datenexport).

8. Änderungen dieser Erklärung

Wesentliche Änderungen kündigen wir mindestens 14 Tage im Voraus per E-Mail an die zum Konto hinterlegte Adresse an. Redaktionelle Anpassungen werden im Changelog datiert vermerkt. Maßgeblich ist jeweils der oben angegebene Stand.

9. Kontakt

Datenschutzanfragen richten Sie bitte an studio@mail.motofo20.de. Wir antworten innerhalb der in Art. 12 Abs. 3 DSGVO genannten Frist von einem Monat, in der Regel innerhalb weniger Werktage.