Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Marvin Rüßbüldt
c/o IP-Management #8928, Ludwig-Erhard-Straße 18, 20459 Hamburg
E-Mail: info@goru.rocks
Der Verantwortliche verarbeitet im Rahmen des Betriebs der Plattform goru.rocks folgende Kategorien personenbezogener Daten:
(a) Account-Daten: E-Mail-Adresse, Anzeigename und die Kennung des OAuth-Anbieters (Provider-Nutzerkennung), erhoben über den Google-OAuth- oder Discord-OAuth-Login;
(b) Zahlungsdaten: über Stripe abgewickelte Transaktionsdaten;
(c) generierte Videos: die vom Nutzer erzeugten Videodateien;
(d) Aktivitätsprotokolle: Protokolldaten zu Video-Generierungen, Renderings, Käufen, Anmeldungen sowie Aktivitäten im Live Chat; die Einzelheiten sind in § 3 beschrieben;
(e) generierte Skripte: der vollständige Text der erzeugten Video-Skripte;
(f) Consent-Logs: Nachweisdaten zu erteilten Zustimmungen bei kostenpflichtigen Vorgängen sowie zur Join-Consent-Erklärung beim Beitritt zu öffentlichen Live-Chat-Räumen;
(g) IP-Adressen: zur Absicherung des Betriebs und zur Missbrauchsprävention;
(h) Skript-Entwürfe: im lokalen Speicher des Browsers (localStorage) abgelegte Entwürfe, die den Browser des Nutzers nicht verlassen;
(i) Live-Chat-Nachrichten: in öffentlichen oder privaten Räumen übermittelte Nachrichteninhalte;
(j) Live-Chat-Username: der vom Nutzer für den Live Chat festgelegte Anzeigename;
(k) Live-Chat-Charakter: der je Raum gewählte Charakter (Land mit Flagge);
(l) Reports: Meldedaten zu beanstandeten Live-Chat-Nachrichten samt Meldegrund und gegebenenfalls Nachrichtenkontext.
Zur sicheren Bereitstellung der Plattform, zur Missbrauchserkennung, zur Fehlerbehebung und zur Qualitätsverbesserung protokolliert der Verantwortliche bestimmte Aktivitäten. Im Einzelnen werden folgende Daten erfasst:
(1) Bei jeder Video-Generierung und jedem Rendering:
(a) IP-Adresse;
(b) Nutzer-Kennung (User-ID) bei angemeldeten Nutzern oder Sitzungs-Kennung (Session-ID) bei nicht angemeldeten Nutzern;
(c) das eingegebene Thema beziehungsweise der eingegebene Prompt;
(d) das generierte Skript im vollständigen Wortlaut;
(e) die verwendeten Charaktere (Namen und Typ);
(f) das gewählte Format (Chat oder Quiz);
(g) der gewählte Tab (Countries oder Characters);
(h) der Zeitstempel;
(i) der Nutzungsplan des Nutzers;
(j) die eingesetzten Credits (Anzahl und Verwendungszweck).
(2) Bei jedem Kauf:
(a) IP-Adresse;
(b) Nutzer-Kennung (User-ID);
(c) das erworbene Produkt (Abonnement-Plan oder Credit-Paket);
(d) der Betrag;
(e) die Zahlungsmethode;
(f) der Zeitstempel;
(g) die akzeptierte Version der AGB;
(h) die Bestätigung der Auswahlflächen (Checkbox-Bestätigungen).
(3) Bei jeder Anmeldung und jeder Account-Aktion:
(a) IP-Adresse;
(b) Zeitstempel;
(c) der verwendete OAuth-Anbieter (Google oder Discord).
(4) Bei jeder Aktivität im Live Chat:
(a) IP-Adresse;
(b) Nutzer-Kennung (User-ID);
(c) Username;
(d) der gewählte Charakter;
(e) Raum-Kennung sowie Typ des Raumes (öffentlich oder privat);
(f) Nachrichteninhalt;
(g) Zeitstempel;
(h) die ausgeführte Aktion (insbesondere Beitritt, Verlassen, Senden einer Nachricht, Stummschaltung durch den Host, Einreichen eines Reports).
(5) Live-Chat-Nachrichten werden serverseitig gespeichert und dabei mittels AES-256 verschlüsselt (Verschlüsselung at Rest). Eine Ende-zu-Ende-Verschlüsselung besteht weder in öffentlichen noch in privaten Räumen. Die serverseitige Speicherung und die Möglichkeit der Entschlüsselung sind Voraussetzung für die Moderation gemeldeter Nachrichten (§ 4 Abs. 3, § 12 Abs. 2) sowie für die Erzeugung von Highlight- und Session-Videos aus dem Live Chat.
Die Verarbeitung der in den §§ 2 und 3 genannten Daten stützt sich auf folgende Rechtsgrundlagen:
(1) Vertragserfüllung nach Art. 6 Abs. 1 lit. b DSGVO für: Account-Daten, Zahlungsdaten, generierte Videos, die kauf- und account-bezogenen Protokolldaten (§ 3 Abs. 2 und 3) sowie die Bereitstellung des Live Chats einschließlich der Verarbeitung von Live-Chat-Nachrichten, Username, Charakter-Auswahl und der Live-Chat-Protokolldaten (§ 3 Abs. 4).
(2) Rechtliche Verpflichtung nach Art. 6 Abs. 1 lit. c DSGVO für: Zahlungsdaten und Consent-Logs im Rahmen der steuerrechtlichen Aufbewahrungspflichten.
(3) Berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO für: die Aktivitätsprotokolle (§ 3 Abs. 1), IP-Adressen, generierte Skripte, die Moderation des Live Chats einschließlich der Vorprüfung gemeldeter Nachrichten durch einen Dienst für künstliche Intelligenz sowie die Aufbewahrung gemeldeter Nachrichten zur Nachweisführung. Das berechtigte Interesse besteht in der sicheren Bereitstellung der Plattform, der Missbrauchserkennung, der Fehlerbehebung, der Qualitätsverbesserung sowie dem Schutz der Nutzer vor unzulässigen Inhalten im Live Chat.
(4) Skript-Entwürfe werden ausschließlich lokal im Browser des Nutzers gespeichert und nicht an den Verantwortlichen übermittelt.
Die genannten Datenkategorien werden für folgende Zeiträume gespeichert:
(a) Aktivitätsprotokolle zu Generierungen und Renderings: 12 Monate, sodann Anonymisierung;
(b) IP-Adressen: 30 Tage im Aktivitätsprotokoll, sodann Löschung;
(c) generierte Skripte: 12 Monate mit personenbezogenen Daten, danach Anonymisierung (User-ID, IP-Adresse und Session-ID werden entfernt); anonymisierte Skripte werden unbefristet für Analysezwecke und zur Serviceverbesserung aufbewahrt;
(d) Kaufdaten und Consent-Logs: 10 Jahre gemäß den steuerrechtlichen Aufbewahrungspflichten;
(e) Account-Daten: bis zur Löschung des Nutzerkontos;
(f) generierte Videodateien: 24 Stunden nach Erstellung, sodann Löschung;
(g) Skript-Entwürfe: bis zur Löschung durch den Nutzer im lokalen Browser-Speicher;
(h) Live-Chat-Nachrichten in öffentlichen Räumen: dauerhafte Speicherung bis zur Löschung des Nutzerkontos;
(i) Live-Chat-Nachrichten in privaten Räumen: dauerhafte Speicherung bis zur Löschung des Nutzerkontos;
(j) gemeldete Nachrichten (Reports) einschließlich des Nachrichtenkontexts: 90 Tage zur Nachweisführung, sodann Löschung;
(k) Live-Chat-Username, Charakter-Zuordnung und sonstige Live-Chat-Stammdaten: bis zur Löschung des Nutzerkontos.
Nach Ablauf der jeweiligen Speicherfrist werden die personenbezogenen Bestandteile (insbesondere IP-Adresse und Nutzer-Kennung) aus den Protokollen entfernt. Anonymisierte und aggregierte Daten ohne Personenbezug, etwa die Zahl der je Tag generierten Videos, können zeitlich unbegrenzt gespeichert werden.
(1) Zur Sicherung der Plattform werden regelmäßig Backups erstellt. Backups können personenbezogene Daten enthalten. Backup-Daten werden gemäß dem regulären Backup-Rotationszyklus überschrieben und gelöscht.
(2) Der Backup-Rotationszyklus ist wie folgt strukturiert:
(a) Tägliche Backups werden 30 Tage aufbewahrt;
(b) Wöchentliche Backups werden 90 Tage aufbewahrt;
(c) Nach Ablauf dieser Fristen werden die Backups automatisch überschrieben oder gelöscht.
(3) Zusätzlich können Sicherungskopien auf externen, offline Speichermedien für Zwecke der Notfallwiederherstellung aufbewahrt werden. Diese Archiv-Backups werden nicht aktiv verarbeitet, nicht ausgelesen und unterliegen keinem Rotationszyklus. Personenbezogene Daten, die in solchen Archiv-Backups enthalten sind, können daher zeitlich unbegrenzt gespeichert bleiben. Bei einer Löschanfrage gemäß Art. 17 DSGVO werden die Daten im aktiven System unverzüglich gelöscht; in Archiv-Backups enthaltene Daten verbleiben technisch bedingt bis zu einer etwaigen Überschreibung des jeweiligen Speichermediums und werden ausschließlich im Fall einer Notfallwiederherstellung verarbeitet.
(1) Die Plattform wird auf Servern eines externen Hosting-Dienstleisters innerhalb der Europäischen Union betrieben.
(2) Bei jedem Zugriff werden automatisch Informationen in Server-Logfiles erfasst und gespeichert und nach 30 Tagen automatisch gelöscht. Die Verarbeitung erfolgt auf Grundlage des berechtigten Interesses an der sicheren und effizienten Bereitstellung des Onlineangebots nach Art. 6 Abs. 1 lit. f DSGVO.
(1) Der Verantwortliche bedient sich folgender Dienste:
(a) Stripe: Zahlungsabwicklung;
(b) OpenAI: Erzeugung der Video-Skripte sowie Vorprüfung gemeldeter Nachrichten zur Moderation des Live Chats;
(c) Google: OAuth-Login. Der Verantwortliche greift ausschließlich auf Anzeigename, E-Mail-Adresse und die Google-Kontokennung zu;
(d) Discord: OAuth-Login. Der Verantwortliche greift ausschließlich auf Anzeigename, E-Mail-Adresse und die Discord-Nutzerkennung zu;
(e) Hosting-Dienstleister innerhalb der Europäischen Union: Betrieb der Server.
(2) Der Verantwortliche versendet zu betrieblichen Zwecken interne Benachrichtigungen an sich selbst, etwa zu Käufen, Fehlern und Registrierungen. Die Zustellung erfolgt über einen Discord-Webhook sowie per E-Mail über den eigenen Mailserver des Verantwortlichen. Die Benachrichtigungen enthalten den Ereignistyp (etwa „New purchase: Starter plan"), einen Zeitstempel und gegebenenfalls die E-Mail-Adresse des betroffenen Nutzerkontos zur internen Identifikation. IP-Adressen und vollständige Skripte sind nicht Bestandteil dieser Benachrichtigungen. Bei der Zustellung über Discord werden über den vorgenannten Inhalt hinaus keine Nutzerdaten an Discord übermittelt.
Im Rahmen der Nutzung von Stripe, OpenAI, Google und Discord können personenbezogene Daten in die Vereinigten Staaten von Amerika übermittelt werden. Diese Anbieter gewährleisten ein angemessenes Datenschutzniveau durch Standardvertragsklauseln nach Art. 46 DSGVO oder einen Vertrag zur Auftragsverarbeitung.
(1) Der Verantwortliche setzt ausschließlich technisch notwendige Mittel ein:
(a) ein Session-Cookie zur Aufrechterhaltung der Anmeldung;
(b) den lokalen Browser-Speicher (localStorage) zur Sicherung von Skript-Entwürfen.
(2) Im Rahmen der Zahlungsabwicklung kann Stripe eigene Cookies setzen. Deren Erforderlichkeit richtet sich nach dem jeweiligen Cookie-Typ.
(3) Marketing- oder Tracking-Cookies werden nicht eingesetzt.
(1) Zur Erzeugung der Video-Skripte werden die vom Nutzer eingegebenen Themen an OpenAI übermittelt. Eine Übermittlung von Account-Daten oder sonstigen Identifikationsmerkmalen des Nutzers findet hierbei nicht statt.
(2) Zur Moderation gemeldeter Live-Chat-Nachrichten wird der Inhalt der gemeldeten Nachricht und gegebenenfalls der vorhergehende Nachrichtenkontext an OpenAI übermittelt. Personenbezogene Identifikationsmerkmale des Nutzers (insbesondere E-Mail-Adresse, Username, User-ID) werden hierbei nicht an OpenAI übermittelt. Die endgültige Entscheidung über die Berechtigung eines Reports trifft der Verantwortliche.
(1) Dem Nutzer stehen die folgenden Rechte zu:
(a) Auskunft über die zu seiner Person gespeicherten Daten (Art. 15 DSGVO);
(b) Berichtigung unrichtiger Daten (Art. 16 DSGVO);
(c) Löschung seiner Daten (Art. 17 DSGVO);
(d) Einschränkung der Verarbeitung (Art. 18 DSGVO);
(e) Datenübertragbarkeit (Art. 20 DSGVO);
(f) Widerspruch gegen die Verarbeitung (Art. 21 DSGVO);
(g) Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO).
(2) Der Datenexport und die Löschung des Nutzerkontos können vom Nutzer jederzeit unmittelbar in den Account-Einstellungen (Profil) vorgenommen werden. Die übrigen Rechte können über info@goru.rocks ausgeübt werden.
(3) Zuständige Aufsichtsbehörde ist Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Ludwig-Erhard-Straße 22, 20459 Hamburg.
(1) Der Nutzer kann sein Nutzerkonto jederzeit unmittelbar in den Account-Einstellungen (Profil) vollständig löschen.
(2) Mit der Löschung werden die Account-Daten im aktiven System unverzüglich gelöscht. Ein bestehendes Abonnement wird gekündigt; der bereits bezahlte Abrechnungszeitraum wird nicht erstattet. Nicht eingesetzte Credits verfallen ersatzlos und ohne Anspruch auf Rückerstattung. Zahlungs- und Consent-Daten werden für die Dauer der gesetzlichen Aufbewahrungsfristen weiter gespeichert und sodann gelöscht. Für in Backups enthaltene Daten gilt § 7.
Der Verantwortliche kann diese Datenschutzerklärung ändern. Registrierte Nutzer werden über wesentliche Änderungen per E-Mail informiert und beim nächsten Login aufgefordert, die aktualisierte Version zu prüfen und zu akzeptieren. Die jeweils gültige Fassung ist unter goru.rocks/privacy abrufbar.
Für Anfragen zum Datenschutz: Marvin Rüßbüldt, info@goru.rocks