Diese Datenschutzerklärung informiert Sie über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten innerhalb unseres Onlineangebotes und der mit ihm verbundenen Webseiten, Funktionen und Inhalte (nachfolgend gemeinsam als „ORBT“ oder „Dienst“ bezeichnet). Hinsichtlich der verwendeten Begrifflichkeiten, wie z.B. „personenbezogene Daten“ oder deren „Verarbeitung“, verweisen wir auf die Definitionen in Art. 4 der Datenschutz-Grundverordnung (DSGVO).
§ 1 Verantwortlicher
Der Verantwortliche im Sinne von Art. 4 Abs. 7 DSGVO ist: Connor Welge Grandweg 122c 22529 Hamburg Deutschland E-Mail: [email protected] Telefon: +49 151 70526005
§ 2 Arten der verarbeiteten Daten
Wir verarbeiten folgende Kategorien personenbezogener Daten: • Discord-Kontodaten: Benutzer-ID, Benutzername, Anzeigename, Avatar-Hash und die Liste der von Ihnen verwalteten Discord-Server (erhalten über Discord OAuth2). • Server-Konfigurationsdaten: Moduleinstellungen, Nachrichtenvorlagen, Formularvorlagen, benutzerdefinierte Befehle und andere Konfigurationen, die Sie im Dashboard erstellen. • Nutzungsdaten: Zugriffsprotokolle, IP-Adressen, Browsertyp, verweisende URLs, Datum und Uhrzeit des Zugriffs sowie besuchte Seiten (automatisch zu Sicherheits- und Betriebszwecken erhoben). • Zahlungsdaten: Beim Erwerb von Premium-Abonnements werden Transaktionskennungen, Abonnementstatus und Ihre Discord-Benutzer-ID gespeichert. Zahlungsdetails (Kreditkartennummern, Rechnungsadresse) werden ausschließlich von unserem Merchant of Record, Polar SH Inc., verarbeitet und niemals auf unseren Servern gespeichert. • Ticket-Transkripte: Bei aktiviertem Ticket-Modul werden Transkriptdaten einschließlich Nachrichteninhalten, Benutzer-IDs, Benutzernamen und Zeitstempeln der Ticket-Interaktionen gespeichert. • Daten des Empfehlungsprogramms: Wenn Sie einen Empfehlungslink teilen und ein anderer Nutzer den Bot darüber einlädt, wird Ihre Discord-Benutzer-ID nach erfolgreichem Premium-Kauf des empfohlenen Servers als „Referrer“ bei diesem Server gespeichert. Zusätzlich werden die ID des empfohlenen Servers, die Polar-Abonnement-Kennung sowie die Kennung des erzeugten Gutscheincodes mit Zeitstempeln hinterlegt. Details siehe § 11a, Speicherdauer siehe § 11.
§ 3 Rechtsgrundlagen der Verarbeitung
Wir verarbeiten personenbezogene Daten auf folgenden Rechtsgrundlagen: • Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung: Die Verarbeitung ist zur Bereitstellung des ORBT-Dienstes erforderlich, einschließlich der Authentifizierung über Discord OAuth2, der Speicherung Ihrer Serverkonfigurationen und der Verwaltung von Premium-Abonnements. • Art. 6 Abs. 1 lit. f DSGVO — Berechtigte Interessen: Die Verarbeitung ist zur Wahrung unserer berechtigten Interessen erforderlich, einschließlich der Gewährleistung der Sicherheit und Stabilität des Dienstes, der Missbrauchsprävention und der Verbesserung des Dienstes. Ihre Interessen, Grundrechte und Grundfreiheiten überwiegen diese Interessen nicht. • Art. 6 Abs. 1 lit. a DSGVO — Einwilligung: Soweit wir uns auf Ihre Einwilligung stützen, haben Sie das Recht, diese jederzeit mit Wirkung für die Zukunft zu widerrufen.
§ 4 Discord OAuth2-Authentifizierung
Zur Nutzung des ORBT-Dashboards müssen Sie sich über Discord OAuth2 authentifizieren. Dabei übermittelt Discord folgende Daten an uns: Ihre Discord-Benutzer-ID, Benutzername, Anzeigename, Avatar und eine Liste der Server, auf denen Sie Verwaltungsberechtigungen haben. Diese Daten werden ausschließlich verwendet, um Sie zu identifizieren, festzustellen, welche Server Sie verwalten dürfen, und Ihr Profil im Dashboard anzuzeigen. Wir greifen nicht auf Ihr Discord-Passwort, Ihre Nachrichten oder andere Daten jenseits der bei der Autorisierung ausdrücklich angeforderten Berechtigungen zu. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
§ 5 Datenverarbeitung durch den Discord-Bot
Der ORBT Discord-Bot verarbeitet Daten innerhalb von Discord-Servern, auf denen er von einem autorisierten Administrator installiert wurde. Dies umfasst: • Nachrichtenereignisse: Der Bot verarbeitet Nachrichteninhalte in Echtzeit zur Ausführung konfigurierter Module (z.B. Moderation, Auto-Moderation, Leveling). Nachrichteninhalte werden nicht dauerhaft gespeichert, es sei denn, dies ist ausdrücklich konfiguriert (z.B. Logging-Modul, Ticket-Transkripte). • Mitgliederereignisse: Beitritts-/Austrittsereignisse, Rollenänderungen und Benutzernamen-Aktualisierungen werden für Module wie Willkommensnachrichten, Begrüßungen und Logging verarbeitet. • Moderationsaktionen: Bei Moderationsmaßnahmen werden die Benutzer-ID des Betroffenen, die Benutzer-ID des Moderators, der Grund und der Zeitstempel protokolliert. Serveradministratoren sind dafür verantwortlich, ihre Community-Mitglieder gemäß Art. 13/14 DSGVO über die Nutzung des ORBT-Bots zu informieren. Soweit ORBT personenbezogene Daten im Auftrag eines Serveradministrators verarbeitet (z.B. Speicherung von Ticket-Transkripten oder Logging-Daten auf Grundlage der Administratorkonfiguration), stellen wir auf Anfrage einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO unter [email protected] bereit. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO und Art. 6 Abs. 1 lit. f DSGVO.
§ 6 Cookies und lokaler Speicher
Das ORBT-Dashboard verwendet zwei Kategorien von Cookies / lokalem Speicher: A. Unbedingt erforderlich (keine Einwilligung nötig, § 25 Abs. 2 Nr. 2 TDDDG): • Sitzungs-Cookie (Auth.js): Hält Ihre authentifizierte Sitzung nach der Discord-OAuth2-Anmeldung aufrecht. Für den Betrieb des Dienstes unentbehrlich. • TikTok-OAuth-State-Cookie: Kurzlebiges CSRF-Schutz-Token (~10 Minuten) für den TikTok-Login-Kit-Flow des Social-Messages-Moduls. Wird nur gesetzt, wenn Sie aktiv eine TikTok-Verbindung initiieren. B. Funktionale Nutzereinstellungen (als notwendig behandelt, da sie ausdrücklich von Ihnen getroffene Auswahlen speichern): • `NEXT_LOCALE` (Cookie, 1 Jahr): Ihre ausgewählte Dashboard-Sprache (en / de). • `theme` (lokaler Speicher): Ihr ausgewähltes Farbschema (hell / dunkel). • `orbt:contentWidth` (lokaler Speicher): Ihre Dashboard-Inhaltsbreitenpräferenz. • `orbt:sound` (lokaler Speicher): Ihre Audio-Einstellungen der Landing-Page (stumm / Lautstärke). • `orbt-servers-view` (lokaler Speicher): Ob die Serverliste als Kachel- oder Listenansicht angezeigt wird. • `votePromptShown` (Sitzungs-Speicher, nur aktueller Tab): Verhindert, dass das top.gg-Vote-Popup mehrmals pro Sitzung erscheint. C. Einwilligungspflichtig (wird nur nach aktivem Opt-In gesetzt): • `orbt-ref` (Cookie, 30 Tage): Wird gesetzt, wenn Sie einen Empfehlungslink `/invite?ref=<id>` aufrufen UND auf dem dann erscheinenden Einwilligungs-Banner auf „Cookie zulassen" klicken. Speichert die Discord-Benutzer-ID des Werbenden, damit ein späterer Premium-Kauf im Rahmen des Empfehlungsprogramms (siehe § 11a) zugeordnet werden kann. Sie können die Einwilligung verweigern; die Bot-Einladung funktioniert in beiden Fällen. Ihre Entscheidung wird im lokalen Speicher (`orbt:cookie-consent`) gemerkt, damit das Banner pro Browser höchstens einmal erscheint. Es werden keine Tracking-Cookies, Analyse-Cookies oder Werbe-Cookies verwendet. Es sind keine Tracking-Skripte Dritter eingebettet. Das Dashboard nutzt weder Google Analytics, Meta Pixel noch vergleichbare Dienste. Rechtsgrundlage: § 25 Abs. 1 TDDDG (Einwilligung) für das Empfehlungs-Cookie; § 25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderlich) für Sitzungs- und CSRF-Cookies; die funktionalen Einstellungen werden nach § 25 Abs. 2 Nr. 2 TDDDG als notwendig behandelt, damit das Dashboard in der vom Nutzer ausdrücklich gewählten Konfiguration ausgeliefert werden kann.
§ 7 Zahlungsabwicklung
Premium-Abonnements werden von Polar SH Inc. („Polar“) als Merchant of Record abgewickelt. Wenn Sie ein Premium-Abonnement erwerben, erhebt und verarbeitet Polar Ihre Zahlungsinformationen (z.B. Kreditkartendaten, Rechnungsadresse) direkt. Wir haben keinen Zugriff auf Ihre vollständigen Zahlungsdetails. Wir erhalten und speichern folgende Daten von Polar: Ihre Polar-Kunden-ID, Abonnement-ID, Abonnementstatus und die mit dem Kauf verbundene Discord-Benutzer-ID. Diese Daten werden zur Aktivierung und Verwaltung von Premium-Funktionen für Ihren Server verwendet. Polar verarbeitet Daten gemäß ihrer eigenen Datenschutzerklärung. Wir empfehlen, deren Datenschutzerklärung vor Abschluss eines Kaufs zu lesen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
§ 8 KI-Assistent (Anthropic)
Das ORBT-Dashboard enthält einen KI-Assistenten, mit dem Sie Fragen zu Ihrer Serverkonfiguration in natürlicher Sprache stellen können. Bei Nutzung dieser Funktion werden der Inhalt Ihrer Nachrichten zusammen mit einem System-Prompt und relevantem Server-Kontext an Anthropic PBC („Anthropic“), 548 Market St, PMB 90375, San Francisco, CA 94104, USA, ausschließlich zum Zweck der Antworterzeugung übermittelt. • Anbieter: Anthropic PBC (USA). • Drittlandübermittlung: Die Verarbeitung erfolgt über die Anthropic-API, die in den Vereinigten Staaten gehostet wird. Die Übermittlung ist durch die Teilnahme von Anthropic am EU-U.S. Data Privacy Framework sowie durch Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO), die in den Anthropic Commercial Terms und das Data Processing Addendum integriert sind, abgesichert. • Modelltraining: Anthropic verwendet Daten, die über die kommerzielle API übermittelt werden, nicht für das Training seiner Basismodelle. • Sitzungsspeicherung: Zur Aufrechterhaltung des Gesprächskontexts werden bis zu 50 Nachrichten einer Konversation in unserem Redis-Cache unter einem Schlüssel gespeichert, der Ihre Discord-Benutzer-ID und den ausgewählten Server enthält. Sitzungsdaten werden 7 Tage nach der letzten Aktivität automatisch gelöscht. • Kategorien übermittelter Daten: Ihre eingegebenen Texte, Namen und Kennungen der vom Assistenten referenzierten Discord-Ressourcen (z.B. Servername, Kanalnamen, Rollennamen) sowie Ihre gewählte Sprache. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung für die von Ihnen angeforderte Dashboard-Funktion).
§ 9 Social-Messages-Modul (Integration externer Plattformen)
Das Social-Messages-Modul ist eine optionale Funktion, die in einem festgelegten Discord-Kanal eine Benachrichtigung postet, sobald ein konfigurierter Creator neue Inhalte auf YouTube, Twitch, Bluesky oder TikTok veröffentlicht. Bei YouTube, Twitch und Bluesky werden ausschließlich öffentliche Informationen (Kanal-Feeds, Livestream-APIs, öffentliche Beiträge) abgefragt — entweder ohne Authentifizierung oder mit unseren eigenen App-Anmeldedaten. Es werden keine personenbezogenen Daten des Creators von Ihrem Konto an diese Plattformen übermittelt. Bei TikTok erfordert die Display API eine ausdrückliche Einwilligung des Creators per TikTok Login Kit (OAuth pro Nutzer). Die Einwilligung wird im Dashboard durch Klick auf "TikTok-Konto verbinden" und Autorisierung auf TikTok-Seite erteilt. Folgende Daten werden anschließend gespeichert und verarbeitet: • Angeforderte Scopes: user.info.basic (Creator-open-ID, Anzeigename, Avatar-URL) und video.list (zuletzt veröffentlichte Videos). • Gespeicherte Tokens: ein Access-Token (Laufzeit ca. 24 Stunden) und ein Refresh-Token (Laufzeit ca. 365 Tage), jeweils mit Ablaufzeitstempel. Tokens werden vor dem Speichern in unserer PostgreSQL-Datenbank mit AES-256-GCM verschlüsselt; der Verschlüsselungsschlüssel wird ausschließlich auf dem Bot-Server vorgehalten. • Refresh: Der Bot ruft den Endpunkt /v2/oauth/token/ von TikTok ungefähr alle 24 Stunden auf, um einen frischen Access-Token zu erhalten; eine weitere Interaktion des Creators ist nicht erforderlich. • Nutzung: Der Bot fragt alle 5 Minuten /v2/video/list/ ab, um neue Uploads zu erkennen. Bei einem neuen Video wird ein Discord-Embed (Titel, Beschreibung, Cover-Bild, Link zu TikTok) im konfigurierten Kanal gepostet. ORBT lädt, verteilt oder verändert keine TikTok-Videoinhalte. • Löschung: Gespeicherte Tokens werden endgültig gelöscht, sobald (a) der Creator das TikTok-Abonnement im Dashboard entfernt, (b) der Bot vom Discord-Server entfernt wird oder (c) der Creator die Einwilligung in den TikTok-Datenschutzeinstellungen widerruft (https://www.tiktok.com/setting/privacy-and-data). In Fall (c) erkennt ORBT den Widerruf beim nächsten Refresh-Versuch und verwirft die Tokens. Anbieter: TikTok Pte. Ltd. (Singapur) sowie für Nutzer im EWR die Tochtergesellschaft TikTok Technology Limited (Irland). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung — die OAuth-Autorisierung stellt die ausdrückliche Einwilligung des Creators dar, dass ORBT in seinem Namen auf seine TikTok-Daten zugreift) sowie Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung der vom Serveradministrator gewünschten Benachrichtigungsfunktion).
§ 10 Hosting und Infrastruktur
Die ORBT-Anwendungsserver (Bot, Dashboard, PostgreSQL-Datenbank, Redis-Cache) werden auf einem dedizierten virtuellen Server der OVH SAS, 2 rue Kellermann, 59100 Roubaix, Frankreich, innerhalb der Europäischen Union betrieben. Bereitstellung und Orchestrierung auf diesem Server erfolgen mit Dokploy, einem selbst gehosteten Open-Source-Tool, das von uns betrieben wird. DNS-Auflösung und Traffic-Routing werden von Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA, bereitgestellt. Cloudflare fungiert als Reverse-Proxy und CDN; Anfragedaten (einschließlich IP-Adresse, angeforderter URL, HTTP-Header, User-Agent) werden durch das globale Netzwerk von Cloudflare geleitet. Cloudflare nimmt am EU-U.S. Data Privacy Framework teil. Die Domain orbt.gg ist über Spaceship, Inc. registriert. Spaceship fungiert ausschließlich als Domain-Registrar und verarbeitet weder Traffic- noch Inhaltsdaten. Zugriffsprotokolle (IP-Adresse, Zeitstempel, angeforderte URL, HTTP-Statuscode, User-Agent) werden automatisch vom Webserver zu Sicherheitszwecken und zur Gewährleistung der Stabilität des Dienstes erfasst. Diese Protokolle werden maximal 14 Tage aufbewahrt und danach automatisch gelöscht. Verschlüsselung im Ruhezustand: Personenbezogene Daten, die nach der Discord-Developer-Policy als "potentially sensitive user information" gelten, werden vor dem Schreiben in die PostgreSQL-Datenbank auf Anwendungsebene mit AES-256-GCM verschlüsselt. Dies betrifft Ticket-Transkripte (Nachrichteninhalte, Benutzername und Avatar-URL des Verfassers), Audit-Log-Einträge zu Dashboard-Administratoraktionen (Benutzername und Avatar-Hash der handelnden Person), Begründungen von Moderationsfällen, Schließgründe von Tickets, Antworten auf Entbann-Anfragen und Entscheidungstexte der Moderation zu solchen Anfragen. OAuth-Zugangsdaten Dritter, die vom Modul Social Messages verarbeitet werden (TikTok-Access- und Refresh-Token), sind ebenfalls verschlüsselt. Der Schlüssel liegt ausschließlich auf dem Bot-Server, getrennt von der Datenbank, und wird an keine dritte Partei weitergegeben. Lese-Zugriffe entschlüsseln diese Werte transparent in der Service-Schicht, sodass die Verschlüsselung für autorisierte Dashboard-Nutzer nicht sichtbar ist. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Stabilität des Dienstes).
§ 11 Datenspeicherung
• Server-Konfigurationen: Werden gespeichert, solange der ORBT-Bot auf dem jeweiligen Discord-Server installiert ist. Bei Entfernung des Bots von einem Server werden die zugehörigen Konfigurationsdaten innerhalb von 30 Tagen gelöscht. • Kontodaten: Werden gespeichert, solange Sie den Dienst nutzen. Sie können jederzeit die Löschung beantragen. • Ticket-Transkripte: Werden gespeichert, solange der Server auf ORBT aktiv ist. Serveradministratoren können einzelne Transkripte jederzeit löschen. • KI-Assistent-Sitzungen: Werden 7 Tage nach der letzten Aktivität automatisch gelöscht. • TikTok-OAuth-Tokens: Verschlüsselt gespeichert und kontinuierlich erneuert, solange das Abonnement aktiv ist. Werden innerhalb von 24 Stunden endgültig gelöscht, sobald das Abonnement entfernt, der Bot vom Server entfernt oder die Einwilligung des Creators auf TikTok-Seite widerrufen wird. • Zahlungs-/Abonnementdaten: Abonnement-Kennungen und -Status werden für die Dauer des Abonnements und darüber hinaus für die nach geltendem Steuer- und Handelsrecht vorgeschriebene Zeitspanne aufbewahrt (§ 147 AO, § 257 HGB — bis zu 10 Jahre für Rechnungsunterlagen). • Server-Zugriffsprotokolle: Werden nach 14 Tagen automatisch gelöscht. • Empfehlungs-Attribution-Cookie: Das Cookie `orbt-ref` wird für 30 Tage ab dem letzten Klick auf einen Empfehlungslink auf Ihrem Endgerät gespeichert. Sie können es jederzeit über die Cookie-Einstellungen Ihres Browsers löschen. • Empfehlungsdatensätze (Werbender-ID, ID des empfohlenen Servers, Polar-Abonnement-ID, Kennung des Gutscheincodes): Werden gespeichert, solange das zugrundeliegende Premium-Abonnement aktiv ist. Datensätze zu Gutscheincodes werden mindestens 24 Monate ab Ausstellung aufbewahrt (entsprechend dem Erstattungs-/Chargeback-Fenster von Polar) und anschließend anonymisiert.
§ 11a Empfehlungsprogramm
ORBT betreibt ein optionales Empfehlungsprogramm, in dessen Rahmen registrierte Nutzer Gutscheincodes erhalten, wenn von ihnen empfohlene Server ein kostenpflichtiges Premium-Abonnement erwerben. Die Regeln des Programms sind in unseren Nutzungsbedingungen (§ 5a) festgelegt. Dieser Abschnitt beschreibt die datenschutzrechtliche Seite des Programms. Attributionsmechanismus: Beim Aufruf von `/invite?ref=<Ihre-Discord-ID>` werden Sie zunächst zu einem Einwilligungs-Banner geleitet, das das Cookie erklärt, bevor irgendetwas gespeichert wird. Wenn Sie „Cookie zulassen" anklicken, wird ein First-Party-Cookie namens `orbt-ref` mit der Discord-Benutzer-ID des Werbenden für 30 Tage in Ihrem Browser gesetzt. Das Cookie wird ausschließlich bei First-Party-Aufrufen mitgesendet (`SameSite=Lax`). Lehnen Sie ab, wird kein Cookie gesetzt und die Bot-Einladung läuft normal weiter — nur die Belohnung für den Werbenden entfällt. Ihre Entscheidung wird im lokalen Speicher (`orbt:cookie-consent`) gemerkt, sodass das Banner pro Browser höchstens einmal erscheint. Serverseitige Verarbeitung: Wenn ein angemeldeter Nutzer später einen Premium-Kauf über das Dashboard startet, wird der Cookie-Wert als `metadata.referrerId` an unseren Zahlungsdienstleister (Polar SH Inc.) im Rahmen der Checkout-Anfrage übermittelt. Beim Empfang des zugehörigen `subscription.created`-Ereignisses von Polar (a) prüfen wir, dass Werbender und Käufer unterschiedliche Discord-Konten sind (Selbst-Empfehlungen sind ausgeschlossen), (b) erzeugen wir einen einmal einlösbaren Polar-Gutscheincode und (c) speichern einen Referral-Datensatz (Discord-Benutzer-ID des Werbenden, ID des empfohlenen Servers, Polar-Abonnement-Kennung, Kennung des Gutscheincodes, Zeitstempel) sowie einen ReferralReward-Datensatz (Discord-Benutzer-ID des Werbenden, Gutscheincode, Status, Ablaufdatum). Zweck: Betrieb des in den Nutzungsbedingungen beschriebenen Empfehlungsprogramms — insbesondere die Zuordnung der Belohnung zum richtigen Nutzer, Ausstellung und Verwaltung des Gutscheincodes sowie Widerruf der Belohnung im Falle einer Erstattung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — die Teilnahme am Empfehlungsprogramm ist Bestandteil des Dashboard-Dienstes). Empfänger: Polar SH Inc. (USA) erhält das Feld `referrerId` als Checkout-Metadatum, um es dem entstehenden Abonnement-Datensatz anzuhängen. An weitere Dritte werden keine Empfehlungsdaten weitergegeben. Speicherdauer: Siehe § 11 („Empfehlungs-Attribution-Cookie“ und „Empfehlungsdatensätze“). Sie können sich jederzeit vom Empfehlungsprogramm zurückziehen, indem Sie das Cookie `orbt-ref` löschen oder uns unter [email protected] kontaktieren.
§ 12 Ihre Rechte als betroffene Person
Nach der DSGVO stehen Ihnen folgende Rechte hinsichtlich Ihrer personenbezogenen Daten zu: • Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, Bestätigung darüber zu verlangen, ob personenbezogene Daten verarbeitet werden, und gegebenenfalls Auskunft über diese Daten sowie eine Kopie zu erhalten. • Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, die Berichtigung unrichtiger personenbezogener Daten und die Vervollständigung unvollständiger Daten zu verlangen. • Recht auf Löschung (Art. 17 DSGVO): Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern keine gesetzlichen Aufbewahrungspflichten oder überwiegende berechtigte Interessen entgegenstehen. • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie haben unter bestimmten Voraussetzungen das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen. • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, die Sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese an einen anderen Verantwortlichen zu übermitteln. • Widerspruchsrecht (Art. 21 DSGVO): Sie haben das Recht, jederzeit gegen die Verarbeitung Ihrer personenbezogenen Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO aus Gründen, die sich aus Ihrer besonderen Situation ergeben, Widerspruch einzulegen. • Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Soweit die Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Zur Ausübung dieser Rechte wenden Sie sich bitte an [email protected].
§ 13 Beschwerderecht
Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs haben Sie das Recht, sich bei einer Aufsichtsbehörde zu beschweren, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt (Art. 77 DSGVO). Die für uns zuständige Aufsichtsbehörde ist: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Ludwig-Erhard-Str. 22, 7. OG 20459 Hamburg https://datenschutz-hamburg.de E-Mail: [email protected]
§ 14 Auftragsverarbeiter und Unterauftragsverarbeiter
Wir setzen folgende Auftragsverarbeiter zur Erbringung des Dienstes ein. Alle wurden auf DSGVO-konforme Garantien geprüft: • Discord Inc. (USA) — Plattformanbieter; verarbeitet OAuth2-Authentifizierungsdaten und alle Bot-Interaktionen. Garantie: EU-U.S. Data Privacy Framework. • Polar SH Inc. (USA) — Merchant of Record für Premium-Abonnements; verarbeitet Zahlungs- und Rechnungsdaten. Garantie: EU-U.S. Data Privacy Framework / Standardvertragsklauseln. • Anthropic PBC (USA) — KI-Anbieter für den Dashboard-Assistenten; verarbeitet Gesprächstexte. Garantie: EU-U.S. Data Privacy Framework / Standardvertragsklauseln. • TikTok Pte. Ltd. (Singapur) und TikTok Technology Limited (Irland) — Display API für das Social-Messages-Modul. Wird ausschließlich für Creator aktiviert, die ORBT explizit per TikTok-OAuth autorisiert haben; verarbeitet die OAuth-Tokens des Creators, öffentliche Profilfelder sowie Video-Metadaten. Garantie: Standardvertragsklauseln gemäß TikToks Developer Terms; primäre Verarbeitung für EWR-Nutzer durch die irische Tochtergesellschaft. • Cloudflare, Inc. (USA) — DNS, CDN, Reverse-Proxy; verarbeitet Anfrage-Metadaten einschließlich IP-Adressen. Garantie: EU-U.S. Data Privacy Framework. • OVH SAS (Frankreich, EU) — Infrastruktur-Hosting für Anwendungsserver und Datenbanken. Keine Drittlandübermittlung. Eine aktuelle Liste ist auf Anfrage unter [email protected] erhältlich.
§ 15 Datenübermittlung in Drittländer
Die Verarbeitung personenbezogener Daten erfolgt primär innerhalb der Europäischen Union. Übermittlungen in Drittländer erfolgen nur, soweit sie für die Bereitstellung des Dienstes erforderlich sind, und sind wie folgt abgesichert: • Discord Inc. (USA) — Discord OAuth2-Authentifizierung und Bot-Interaktionen. Garantie: EU-U.S. Data Privacy Framework (Art. 45 DSGVO). • Polar SH Inc. (USA) — Zahlungsabwicklung. Garantie: EU-U.S. Data Privacy Framework und/oder Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). • Anthropic PBC (USA) — Anfragen an den KI-Assistenten. Garantie: EU-U.S. Data Privacy Framework und Standardvertragsklauseln. • TikTok Pte. Ltd. / TikTok Technology Limited — TikTok Display API. Primäre Verarbeitung für EWR-Nutzer durch die irische Tochtergesellschaft; weiterführende Übermittlungen an ByteDance-Tochtergesellschaften außerhalb der EU sind durch Standardvertragsklauseln gemäß TikToks veröffentlichten Developer Terms abgesichert (Art. 46 Abs. 2 lit. c DSGVO). • Cloudflare, Inc. (USA) — DNS/CDN/Reverse-Proxy. Garantie: EU-U.S. Data Privacy Framework. Eine Kopie der jeweils anwendbaren Standardvertragsklauseln kann unter [email protected] angefordert werden. Abgesehen davon werden personenbezogene Daten nicht in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt.
§ 16 Änderungen dieser Datenschutzerklärung
Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren, um Änderungen unserer Datenverarbeitungspraktiken oder geltender Gesetze widerzuspiegeln. Das Datum der letzten Aktualisierung ist oben auf dieser Seite angegeben. Wir empfehlen Ihnen, diese Erklärung regelmäßig zu überprüfen. Wesentliche Änderungen werden über das Dashboard oder gegebenenfalls per E-Mail mitgeteilt.