Datenschutzerklärung

§ 1 Verantwortlicher

• Unternehmen: Patrick Stigler Tech, Einzelunternehmen
• Handelsmarke: CutCue
• Inhaber: Patrick Stigler
• Anschrift: Goethestraße 38, 70736 Fellbach, Deutschland
• Telefon: +49 151 61488842
• E-Mail: contact@cutcue.io
• Website: https://cutcue.io

Datenschutzanfragen und Ausübung von Betroffenenrechten: contact@cutcue.io. Zur Identitätsprüfung können weitere Angaben erforderlich sein.

§ 2 Übersicht der verarbeiteten Daten

§ 3 Rechtsgrundlagen

• Art. 6 Abs. 1 lit. a DSGVO – Einwilligung (Newsletter)
• Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung (Audioanalyse, Twitch-Import, Konto, E-Mails)
• Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung (Aufbewahrungspflichten)
• Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse (Sicherheit, Logs, Plausible, Cloudflare)
• § 25 Abs. 2 Nr. 2 TTDSG – Technisch notwendige Cookies (Cloudflare-Sicherheits-Cookies)

Ergänzend gelten die Vorschriften des Bundesdatenschutzgesetzes (BDSG).

§ 4 Ihre Rechte als betroffene Person

Zur Ausübung der folgenden Rechte genügt eine E-Mail an contact@cutcue.io. Wir antworten innerhalb von 30 Tagen (Art. 12 Abs. 3 DSGVO).

• Auskunftsrecht – Art. 15 DSGVO: Auskunft über alle verarbeiteten Daten, Zwecke, Kategorien, Empfänger und Speicherdauer.
• Berichtigungsrecht – Art. 16 DSGVO: Unverzügliche Berichtigung unrichtiger oder Ergänzung unvollständiger Daten.
• Löschungsrecht – Art. 17 DSGVO: Löschung Ihrer Daten, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht. Mit der Kontolöschung über das Dashboard werden alle personenbezogenen Daten sowie Credits unwiederbringlich gelöscht.
• Einschränkungsrecht – Art. 18 DSGVO: Einschränkung der Verarbeitung.
• Datenübertragbarkeit – Art. 20 DSGVO: Daten in strukturiertem, maschinenlesbarem Format.
• Widerspruchsrecht – Art. 21 DSGVO: Gegen Verarbeitungen auf Basis berechtigter Interessen (Art. 6 I lit. f).
• Widerruf – Art. 7 Abs. 3 DSGVO: Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen (Abmeldelink oder contact@cutcue.io).
• Beschwerderecht – Art. 77 DSGVO: LfDI Baden-Württemberg, Lautenschlagerstraße 20, 70173 Stuttgart, www.baden-wuerttemberg.datenschutz.de
• Keine automatisierte Entscheidungsfindung – Art. 22 DSGVO: CutCue trifft keine ausschließlich automatisierten Entscheidungen mit Rechtswirkung.

§ 5 Hosting und Infrastruktur

5.1 IONOS SE – Webhosting, API-Server, SMTP, S3-Speicher

Anbieter: IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Deutschland

Datenschutz: https://www.ionos.de/terms-gtc/datenschutzerklaerung/

IONOS SE erbringt folgende Dienste auf Servern in Deutschland/EU: Webhosting, API-Server, SMTP (transaktionale E-Mails), S3-kompatibler Objektspeicher (temporäre Ablage von Nutzer-Audio-Uploads, max. 24 Stunden, AES-256-verschlüsselt). Rechtsgrundlage: Art. 6 I lit. b DSGVO | lit. f (Hosting). AVV abgeschlossen. Kein Drittlandtransfer.

5.2 Netlify – Frontend-Hosting

Anbieter: Netlify, Inc., 512 2nd Street, Suite 200, San Francisco, CA 94107, USA

Datenschutz: https://www.netlify.com/privacy/

Statisches Frontend über Netlify. Anfragen über Cloudflare geleitet; Netlify empfängt Cloudflare-IPs. Rechtsgrundlage: Art. 6 I lit. f DSGVO. Drittlandtransfer: USA – DPF (Art. 45 DSGVO) + SCC. DPF-zertifiziert.

5.3 Cloudflare – CDN, WAF, DDoS-Schutz, DNS, Turnstile

Anbieter: Cloudflare, Inc., 101 Howard Street, San Francisco, CA 94105, USA | EU-Vertreter: Cloudflare Limited, Dublin

Datenschutz: https://www.cloudflare.com/privacypolicy/

CDN/Reverse Proxy, WAF, DDoS-Schutz, Turnstile. Cloudflare-Cookies (§ 25 II Nr. 2 TTDSG): __cf_buid (30 Tage), cf_clearance (variabel). Keine Einwilligung erforderlich. Rechtsgrundlage: Art. 6 I lit. f DSGVO. Drittlandtransfer: USA – DPF + SCC. DPF-zertifiziert.

§ 6 Trial / Free-Tier

CutCue kann neuen Nutzern nach der Registrierung eine kostenlose Testphase (Trial) anbieten. Verarbeitet werden: Account-Daten, Trial-Nutzungsdaten, IP-Adressen. Trial-Daten werden bei Upgrade übernommen; bei Nicht-Upgrade bei Kontolöschung oder nach 24 Monaten Inaktivität gelöscht. Rechtsgrundlage: Art. 6 I lit. b DSGVO.

§ 7 Einsatz von Künstlicher Intelligenz

7.1 OpenAI – Textverarbeitung und Analyse

Vertragspartner: OpenAI Ireland Ltd., 1st Floor, The Liffey Trust Centre, Dublin 1, Irland

Datenschutz: https://openai.com/privacy/

CutCue setzt die OpenAI-API zur Verarbeitung und Auswertung transkribierter Audioinhalte (einschließlich Twitch-VOD-Transkriptionen und angereicherten Analyse-Ergebnissen) ein. Vertragspartner ist OpenAI Ireland Ltd. (EU); Verarbeitung kann auf US-Servern stattfinden. Transfer durch SCC (Art. 46 II lit. c DSGVO) + AVV abgesichert. CutCue hat Modell-Training durch OpenAI vertraglich deaktiviert. Twitch-Chat- und Event-Rohdaten werden nicht an OpenAI übermittelt. Rechtsgrundlage: Art. 6 I lit. b DSGVO.

7.2 Deepgram – Spracherkennung (Speech-to-Text)

Anbieter: Deepgram, Inc., 1400 Fashion Island Blvd, Suite 302, San Mateo, CA 94404, USA

Datenschutz: https://deepgram.com/privacy

CutCue nutzt den EU-API-Endpunkt von Deepgram für die Transkription von Audioinhalten (Nutzer-Uploads und Twitch-VOD-Audio). Verarbeitung primär auf EU-Servern. SCC (Art. 46 II lit. c DSGVO) + AVV gemäß Art. 28 DSGVO abgeschlossen.

Hinweis zur Modellverbesserung durch Deepgram: Auf Basis des abgeschlossenen Auftragsverarbeitungsvertrags (AVV) ist Deepgram berechtigt, übermittelte Audio-Daten zur Verbesserung seiner Spracherkennungsmodelle zu nutzen. Die Verarbeitung ist durch AVV gemäß Art. 28 DSGVO und SCC gemäß Art. 46 DSGVO abgesichert und DSGVO-konform. CutCue selbst verwendet keine Nutzerdaten für eigenes KI-Training. Nutzer, die Audio-Dateien mit Inhalten Dritter (z. B. Mitarbeiter, Kunden, Zuschauer) verarbeiten lassen, sind als datenschutzrechtliche Verantwortliche gehalten, die betroffenen Personen über diese Verarbeitung zu informieren und die erforderliche Rechtsgrundlage sicherzustellen.

Rechtsgrundlage: Art. 6 I lit. b DSGVO. Drittlandtransfer: EU-Endpunkt; SCC + AVV.

§ 8 Twitch-Integration (VOD-Import)

CutCue bietet eine optionale Funktion zum Import von Twitch-VODs und zugehörigen Daten. Die Nutzung setzt voraus, dass der Nutzer sein Twitch-Konto über OAuth 2.0 mit CutCue verbindet (über die Kontoeinstellungen im Dashboard).

8.1 Twitch, Inc. – Datenquelle

Anbieter: Twitch Interactive, Inc., 350 Bush Street, 2nd Floor, San Francisco, CA 94104, USA (Tochtergesellschaft von Amazon.com, Inc.)

Datenschutz: https://www.twitch.tv/p/legal/privacy-notice/

Durch die OAuth-2.0-Verbindung autorisiert der Nutzer CutCue, in seinem Namen auf folgende Daten zuzugreifen:

• VOD-Audio: Wird direkt vom Twitch-Server auf den CutCue-API-Server heruntergeladen und ausschließlich im Arbeitsspeicher (RAM) verarbeitet. Es findet keine persistente Speicherung auf Disk oder in einem Objektspeicher statt. Die Audio-Daten werden direkt an Deepgram zur Transkription übermittelt und anschließend aus dem Arbeitsspeicher entfernt. Nur die Analyseergebnisse (Transkript, Marker) werden persistent gespeichert.
• Chat-Replay-Daten des jeweiligen VODs: Ausschließlich Emote-Muster zur Erstellung eines Engagement-Graphen. Usernamen werden ausschließlich als flüchtiger Deduplizierungsschlüssel im Arbeitsspeicher verwendet — kein persistentes Speichern, kein Logging, keine Weitergabe an Subprozessoren.
• Event-Daten (Donations, Subs, Raids): Zeitstempel und Typ für den Engagement-Graphen. Usernamen ausschließlich als RAM-Deduplizierungsschlüssel, nicht persistent gespeichert.

Rechtsgrundlage: Art. 6 I lit. b DSGVO (Vertragserfüllung). Drittlandtransfer für OAuth-Kommunikation: USA – Twitch Interactive, Inc. / Amazon; Absicherung durch SCC gemäß Art. 46 II lit. c DSGVO.

Hinweis nach Art. 14 Abs. 5 lit. b DSGVO: Chat- und Event-Daten enthalten personenbezogene Daten von Twitch-Zuschauern, die nicht Vertragspartner von CutCue sind. Eine direkte Benachrichtigung dieser Personen ist praktisch unmöglich und unverhältnismäßig aufwändig. Die erforderliche Transparenz wird durch diese Datenschutzerklärung gewährleistet. Der CutCue-Nutzer ist als datenschutzrechtlicher Verantwortlicher für die Rechtmäßigkeit der Verarbeitung dieser Drittdaten allein verantwortlich.

OAuth-Verbindung trennen: jederzeit über die Kontoeinstellungen von CutCue sowie unter https://www.twitch.tv/settings/connections.

§ 9 Registrierung und Nutzerkonto

Für die Nutzung von CutCue ist die Erstellung eines Nutzerkontos (E-Mail + Passwort) erforderlich. Mit der Registrierung bestätigt der Nutzer, als Unternehmer i. S. d. § 14 BGB zu handeln. Account-Löschung jederzeit über das Dashboard; alle Daten und Credits werden unwiederbringlich gelöscht. Ausnahme: gesetzliche Aufbewahrungspflichten (§ 147 AO / § 257 HGB, 10 Jahre). Rechtsgrundlage: Art. 6 I lit. b DSGVO.

§ 10 E-Mail-Kommunikation

10.1 IONOS SMTP – Transaktionale E-Mails

Systembedingte E-Mails über IONOS SE (Registrierung, Passwort-Reset, Credit-Warnungen, Rollover-Erinnerungen). AVV abgeschlossen; Verarbeitung in Deutschland. Rechtsgrundlage: Art. 6 I lit. b DSGVO.

10.2 Brevo – Newsletter / Launch-Benachrichtigung

Anbieter: Brevo SAS, 7 rue de Madrid, 75008 Paris, Frankreich

Datenschutz: https://www.brevo.com/de/legal/privacypolicy/

Opt-in durch aktives Ankreuzen: "Ich bin damit einverstanden, eine Benachrichtigungs-E-Mail zu erhalten, wenn die CutCue-Registrierung öffnet. Ich kann mich jederzeit abmelden." Einwilligung wird mit Zeitstempel und IP-Adresse protokolliert (Art. 7 DSGVO). Abmeldung jederzeit über Abmeldelink oder contact@cutcue.io. Rechtsgrundlage: Art. 6 I lit. a DSGVO. Speicherdauer: bis Widerruf; danach bis zu 3 Jahre (Sperrliste). Kein Drittlandtransfer.

§ 11 Analysedienste

11.1 Plausible Analytics

Anbieter: Plausible Insights OÜ, Västriku tn 2, 50403 Tartu, Estland

Datenschutz: https://plausible.io/privacy

Cookiefreie Reichweitenmessung ohne personenbezogene Daten. IP-Adressen werden nur zur geografischen Auflösung verwendet und sofort verworfen. Kein Cookie-Banner erforderlich. Rechtsgrundlage: Art. 6 I lit. f DSGVO.

§ 12 Zahlungsabwicklung

12.1 Lemon Squeezy – Merchant of Record

Anbieter: Lemon Squeezy, LLC, 222 S Main St, Suite 500, Salt Lake City, UT 84101, USA

Datenschutz: https://www.lemonsqueezy.com/privacy

Lemon Squeezy ist eigenständiger datenschutzrechtlicher Verantwortlicher als Merchant of Record. CutCue speichert keine Zahlungsdaten. Drittlandtransfer USA: eigene Datenschutzmaßnahmen gemäß Lemon Squeezy Privacy Policy.

§ 13 Support und Community

Discord: Discord Inc., San Francisco, USA. Optionaler Support-Server, Nutzung freiwillig. DPF-zertifiziert. Art. 6 I lit. f DSGVO. https://discord.com/privacy

§ 14 Soziale Netzwerke

LinkedIn: Gemeinsame Verantwortlichkeit mit LinkedIn Ireland Unlimited Company für Page-Insights-Daten (Art. 26 DSGVO). Rechtsgrundlage: Art. 6 I lit. f DSGVO.

§ 15 Server-Logs, Datensicherheit und Backups

15.1 Server-Logs

Server-Logs (IP-Adresse, Zeitstempel, HTTP-Statuscode, Ressource, Browser-Info) werden aus Sicherheitsgründen 90 Tage gespeichert, dann automatisch gelöscht. Rechtsgrundlage: Art. 6 I lit. f DSGVO.

15.2 Technische Sicherheitsmaßnahmen

• TLS/SSL-Verschlüsselung aller Datenübertragungen (HTTPS)
• AES-256-Verschlüsselung von Nutzer-Audio-Uploads at rest (IONOS S3)
• Twitch-VOD-Audio: ausschließlich RAM-Verarbeitung, keine Persistenz auf Disk
• Zugriffskontrolle nach Least-Privilege-Prinzip
• Cloudflare WAF und DDoS-Schutz
• Automatisierte Löschung von S3-Audio-Dateien (max. 24 Stunden nach Upload)
• Passwort-Hashing mittels etablierter kryptografischer Verfahren
• Regelmäßige Sicherheitsupdates

15.3 Backups

Regelmäßige verschlüsselte Backups. Datenbank-Backups nach max. 30 Tagen automatisch gelöscht.

§ 16 Internationale Datenübermittlungen

§ 17 Änderung dieser Datenschutzerklärung

Diese Datenschutzerklärung wird bei Bedarf aktualisiert. Wesentliche Änderungen werden per E-Mail angekündigt.