Datenschutzerklärung

TubeVault · tubevault.io
Letzte Aktualisierung: 3. Mai 2026 · Betreiber: Robin Jost, Cottbus, Deutschland

English version →Impressum →

1. Verantwortlicher

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO:

Robin Jost
Ziegeleigrund 10, 03051 Cottbus, Deutschland
Telefon: +49 176 22789264
E-Mail: jost@ikigai-dynamics.com
Website: https://tubevault.io

Hinweis: Robin Jost ist als Freiberufler im Sinne von §18 EStG tätig und beim Finanzamt Cottbus gemeldet. Es gilt die Kleinunternehmerregelung gemäß §19 UStG; es wird keine Umsatzsteuer ausgewiesen. Eine Gewerbeanmeldung ist für freiberufliche Tätigkeit nach deutschem Recht nicht erforderlich. Die Bestellung eines Datenschutzbeauftragten nach Art. 37 DSGVO ist aufgrund der Art und des Umfangs der Verarbeitungstätigkeiten nicht erforderlich.

2. Übersicht der verarbeiteten Daten

Bei der Nutzung von TubeVault verarbeiten wir folgende Kategorien personenbezogener Daten:

  • Kontaktdaten: E-Mail-Adresse (bei Registrierung)
  • Profildaten: Name und Profilbild (bei Anmeldung über Google OAuth)
  • Konversationsdaten: Chatverlauf einschließlich Ihrer Fragen, KI-generierter Antworten, Quellenverweise und Zeitstempel (siehe Abschnitt 5a)
  • Nutzungsdaten: Suchanfragen, Kanal-Interaktionen, Feature-Nutzung, Conversion-Events
  • Technische Daten: IP-Adresse (in Server-Logs), Browser-Informationen
  • Zahlungsdaten: Werden ausschließlich von Stripe verarbeitet — wir erhalten oder speichern keine Zahlungskartendaten
  • Technische Kennungen: Gehashte Gerätemerkmale für anonyme Nutzer (kein persistentes Tracking)
  • Attributionsdaten: UTM-Parameter, Referrer-URL, Landingpage-Variante (nur mit Einwilligung)
  • Persistente Session-Kennung: tv_session_id für Attribution (nur mit Einwilligung)
  • Einwilligungsprotokolle: Welche Kategorien akzeptiert wurden, Zeitstempel, IP-gehasht (für DSGVO Art. 7 Nachweispflicht)

3. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten auf folgenden Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. b DSGVO — Verarbeitung zur Vertragserfüllung (Bereitstellung der Plattform, Verwaltung von Abonnements)
  • Art. 6 Abs. 1 lit. c DSGVO — Verarbeitung zur Erfüllung rechtlicher Verpflichtungen (Aufbewahrungspflichten nach Handels- und Steuerrecht)
  • Art. 6 Abs. 1 lit. f DSGVO — Verarbeitung auf Grundlage berechtigter Interessen (IT-Sicherheit, Missbrauchsprävention, Produktanalyse, Server-Logs)
  • Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (soweit ausdrücklich erteilt, z. B. Marketing-E-Mails)

4. Registrierung und Nutzerkonto

4.1 E-Mail-Registrierung

Zur Erstellung eines Kontos erheben wir Ihre E-Mail-Adresse und ein von Ihnen gewähltes Passwort. Diese Daten werden über Supabase Auth verarbeitet und gespeichert (siehe Abschnitt 12).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

Speicherdauer: Für die Dauer des Vertragsverhältnisses; jederzeit löschbar auf Anfrage (Abschnitt 15).

4.2 Google OAuth (Single Sign-On)

Alternativ können Sie sich mit Ihrem Google-Konto anmelden. Google übermittelt uns dabei: E-Mail-Adresse, Anzeigename, Profilbild-URL und eine anonymisierte Google-Nutzer-ID. Wir erhalten weder Ihr Google-Passwort noch Zugang zu weiteren Google-Daten über das für die Authentifizierung Notwendige hinaus.

Google-Datenschutzerklärung: https://policies.google.com/privacy

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

5. Suchanfragen und KI-Antwortgenerierung

TubeVault ermöglicht die semantische Suche in indexierten YouTube-Kanal-Archiven. Jede Suchanfrage wird verarbeitet, um eine KI-gestützte Antwort mit Quellenangaben zu erzeugen.

5.1 Verarbeitungsschritte

  • Ihre Sucheingabe wird als Vektorabfrage gegen unsere lokale Qdrant-Datenbank (Hetzner-Server, Deutschland) verwendet
  • Die relevantesten Transkript-Ausschnitte werden identifiziert
  • Ihre Suchanfrage und die relevanten Transkript-Ausschnitte werden von unserem Server an die OpenAI-API übermittelt (internationale Übermittlung — siehe Abschnitt 12), um eine zusammengefasste Antwort zu generieren. Ihr Browser kommuniziert nicht direkt mit OpenAI.
  • Die Antwort wird Ihnen mit Zeitstempel-Links zu den Quellvideos auf YouTube angezeigt

5.2 Zweck und Rechtsgrundlage

Zweck: Vertragserfüllung (Bereitstellung der Kernfunktionalität der Plattform)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

5.3 Speicherung von Suchanfragen

Suchanfragen können für maximal 30 Tage in unseren Server-Logs gespeichert werden, zur Missbrauchsprävention und IT-Sicherheit. Eine personalisierte Auswertung einzelner Anfragen findet nicht statt.

5a. Chatverlauf und Konversationsdaten

Wenn Sie TubeVault eingeloggt nutzen, werden Ihre Konversationen (Fragen und KI-generierte Antworten) in Ihrem Konto gespeichert, damit Sie später darauf zugreifen können — sitzungs- und geräteübergreifend.

5a.1 Was wir speichern

  • Ihre Suchfragen (Klartext)
  • KI-generierte Antworten (Klartext)
  • Quellenverweise (Videotitel, URLs, Zeitstempel)
  • Konversations-Metadaten: Titel, zugeordneter Kanal, Erstellungs- und Aktualisierungszeitstempel
  • Bei kanalübergreifenden Suchen: welche Kanäle abgefragt wurden

5a.2 Zweck und Rechtsgrundlage

Zweck: Bereitstellung der Chatverlauf-Funktion als Teil der Kernfunktionalität der Plattform, die es Ihnen ermöglicht, Konversationen fortzusetzen und frühere Antworten einzusehen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

5a.3 Speicherdauer und Löschung

Konversationen werden gespeichert, solange Ihr Konto besteht. Sie können einzelne Konversationen jederzeit über Ihr Dashboard löschen. Bei Löschung Ihres Kontos werden alle Konversationen und Nachrichten unwiderruflich gelöscht.

5a.4 KI-Titelgenerierung

Um Ihnen die Identifizierung von Konversationen zu erleichtern, wird für jede Konversation automatisch ein kurzer Thementitel mithilfe der OpenAI-API generiert (derselbe Anbieter wie für die Antwortgenerierung; siehe Abschnitt 12.3). Die erste Frage und Antwort einer Konversation werden hierfür an OpenAI übermittelt. Sie können Konversationen jederzeit umbenennen.

6. Nutzungsanalyse

Zur Verbesserung von TubeVault und zum Verständnis der Nutzerinteraktion erheben wir pseudonymisierte Produktanalysen. Alle Analysedaten werden ausschließlich auf unseren eigenen Servern gespeichert (Hetzner, Deutschland). Wir verwenden keine Drittanbieter-Analysedienste wie Google Analytics oder Mixpanel.

6.1 Was wir erheben

  • Suchanfragen — gespeichert als kryptographischer SHA-256-Hash; lesbarer Anfragetext wird maximal 7 Tage gespeichert und dann automatisch gelöscht
  • Kanal-Interaktionen — welche Kanäle angesehen und durchsucht werden
  • Feature-Nutzung — welche Plattformfunktionen genutzt werden (z. B. Transkript-Ansicht, kanalübergreifende Suche)
  • Conversion-Events — Upgrade-Button-Klicks, Abonnement-Starts, Neuanmeldungen

6.2 Datenschutzmaßnahmen

  • Nicht authentifizierte Nutzer: Es werden nur gehashte Daten gespeichert, niemals Klartext-Anfragen
  • Authentifizierte Nutzer: Klartext-Anfragen werden maximal 7 Tage gespeichert und dann automatisch durch einen geplanten Bereinigungsjob entfernt
  • Aggregierte Statistiken (ohne Personenbezug) werden zeitlich unbegrenzt für die Produktentwicklung aufbewahrt

TubeVault verwendet zwei unterschiedliche Tracking-Systeme:

  • Analytics-Tracking (anonym): Session-Kennungen werden aus einem täglich rotierenden Hash von Browser-Merkmalen abgeleitet. Diese Kennungen bestehen nicht über Tage hinweg und können Sie nicht persönlich identifizieren.
  • Attributions-Tracking (einwilligungsbasiert): Eine persistente UUID (tv_session_id) wird im localStorage Ihres Browsers gespeichert, um Marketing-Kampagnenbesuche mit späteren Anmeldungen zu korrelieren. Diese Kennung besteht, bis Sie Ihre Browserdaten löschen oder die Attributions-Einwilligung widerrufen. Sie wird erst nach Erteilung der Attributions-Einwilligung erstellt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an der Verbesserung des Produkts und dem Verständnis der Nutzerbedürfnisse

Speicherdauer: Klartext-Anfragen: 7 Tage. Event-Logs: 30 Tage. Aggregate: zeitlich unbegrenzt (keine personenbezogenen Daten).

7. Technische Kennungen für anonyme Nutzer

Zur Begrenzung der kostenlosen Nutzung auf 5 Anfragen pro Tag für nicht authentifizierte Nutzer erzeugen wir einen nicht persistenten gehashten Fingerabdruck aus folgenden Informationen:

  • Browsertyp und -version (User-Agent-String)
  • Bildschirmauflösung
  • Bevorzugte Browsersprache

Dieser Fingerabdruck wird als kryptographischer Hashwert gespeichert. Er ermöglicht keine Identifizierung Ihrer Person, wird nicht persistent gespeichert und ist auf den aktuellen Kalendertag beschränkt. Es werden hierfür keine Cookies gesetzt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verhinderung von Missbrauch des kostenlosen Angebots)

8. Cookies & lokaler Speicher

TubeVault verwendet folgende clientseitige Speichermechanismen:

Unbedingt erforderlich (keine Einwilligung nötig)

  • Authentifizierungs-Cookies (Supabase Auth) — für die Login-Session
  • tv_consent — Ihre Cookie-Einwilligungspräferenzen
  • tv_audit_session_id — anonyme Kennung für den Einwilligungs-Audit-Trail (DSGVO Art. 7 Nachweispflicht)

Analytics (Einwilligung erforderlich)

  • Täglich rotierender Session-Hash (serverseitig) — für Nutzungsstatistiken

Attribution (Einwilligung erforderlich)

  • tv_session_id (localStorage) — persistente UUID zur Verknüpfung von Sessions für Conversion-Tracking
  • tv_attribution (localStorage) — erfasste UTM-Parameter und Referrer (90 Tage Aufbewahrung)

Sie können Ihre Einwilligung jederzeit über den Link „Cookie settings“ in unserer Fußzeile verwalten.

9. Attributions-Tracking

Beim Besuch unserer Landingpages können wir folgende Daten erfassen:

  • UTM-Parameter (utm_source, utm_medium, utm_campaign, utm_content, utm_term) aus der URL
  • Referrer (die Website, die auf uns verlinkt hat)
  • Landingpage-Variante (welche Version unserer Landingpage Sie gesehen haben)
  • Persistente Session-Kennung (UUID in Ihrem Browser gespeichert)

Diese Daten werden nur nach Erteilung Ihrer Attributions-Einwilligung über unseren Cookie-Banner erhoben. Ohne Einwilligung werden keine Attributionsdaten erfasst.

Speicherdauer: Attributionsdatensätze werden nach 90 Tagen automatisch gelöscht. Einwilligungsprotokolle (consent_log) werden für die Dauer unserer gesetzlichen Rechenschaftspflicht nach Art. 7 Abs. 1 DSGVO aufbewahrt.

10. Cookie-Einwilligung (TTDSG)

In Übereinstimmung mit §25 TTDSG und Art. 6 Abs. 1 lit. a DSGVO holen wir Ihre ausdrückliche Einwilligung ein, bevor nicht-essentielle Informationen auf Ihrem Endgerät gespeichert werden. Unser Cookie-Banner bietet drei Optionen:

  • Alle akzeptieren: Alle Kategorien aktiviert (Analytics + Attribution)
  • Nur Notwendige: Nur unbedingt erforderliche Cookies werden gespeichert
  • Einstellungen: Granulare Kontrolle über jede Kategorie

Ihre Einwilligungswahl wird im localStorage (tv_consent) und einem Cookie (tv_consent) für die serverseitige Durchsetzung gespeichert. Beides läuft nach 12 Monaten ab, danach werden Sie erneut gefragt.

Sie können Ihre Einwilligung jederzeit über den Link „Cookie settings“ in der Fußzeile unserer Website widerrufen oder ändern.

11. Zahlungsabwicklung

Abonnement-Zahlungen werden von Stripe Payments Europe Ltd., Irland, abgewickelt. Wir speichern weder Kreditkartennummern noch vollständige Zahlungsdetails. Stripe handelt als Auftragsverarbeiter gemäß Art. 28 DSGVO; ein Auftragsverarbeitungsvertrag (AVV) liegt vor. Für Zahlungen, die über US-basierte Stripe-Einheiten abgewickelt werden, gewährleisten Standardvertragsklauseln einen angemessenen Schutz.

Stripe-Datenschutzerklärung: https://stripe.com/privacy

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

Speicherdauer: Stripe bewahrt Zahlungsdaten gemäß den geltenden Aufbewahrungspflichten für Finanzdaten auf (Deutschland: 10 Jahre nach HGB). Eine vollständige Löschung von Stripe-Zahlungsdaten nach Kontoschließung ist daher nicht immer möglich; solche Daten werden anonymisiert, wenn eine Löschung rechtlich nicht zulässig ist.

12. Auftragsverarbeiter und internationale Übermittlungen

Wir setzen folgende Dienstleister ein, jeweils auf Grundlage eines Auftragsverarbeitungsvertrags (AVV) gemäß Art. 28 DSGVO:

12.1 Supabase

Supabase wird als Authentifizierungsanbieter und Nutzerdatenbank verwendet, konfiguriert mit einem EU-Serverstandort (Frankfurt). Ein AVV gemäß Art. 28 DSGVO liegt vor.

Datenschutzinformationen: https://supabase.com/privacy

12.2 Hetzner Online GmbH

Unsere Server (Anwendung, Vektordatenbank, Embeddings, Analysen) befinden sich ausschließlich in Hetzner-Rechenzentren in Deutschland. Ein AVV liegt mit Hetzner vor.

Datenschutzinformationen: https://www.hetzner.com/legal/privacy-policy

12.3 OpenAI (internationale Übermittlung in die USA)

Ihre Suchanfragen werden zur KI-Antwortgenerierung an OpenAI übermittelt. OpenAI verarbeitet diese Daten in den USA. Die Übermittlung basiert auf EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) und einem Auftragsverarbeitungsvertrag. Gemäß den API-Bedingungen von OpenAI (Stand 2024) werden über die API übermittelte Daten standardmäßig nicht zum Training von KI-Modellen verwendet; wir haben dies vertraglich sichergestellt.

Datenschutzinformationen: https://openai.com/policies/privacy-policy

12.4 Stripe Payments Europe Ltd.

Die Zahlungsabwicklung erfolgt über Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland. Stripe verarbeitet:

  • E-Mail-Adresse (für Quittungen und Kundendatensatz)
  • Abonnement-Stufe und Preis-ID
  • Zahlungskartendaten (werden direkt von Stripe verarbeitet; TubeVault sieht diese nicht)
  • Supabase-Nutzer-ID (als Metadaten zur Abonnement-Zuordnung)

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

Datenstandort: EU (Stripe Payments Europe Ltd., Irland).

Für Zahlungen, die über US-basierte Stripe-Einheiten abgewickelt werden, unterhält Stripe Standardvertragsklauseln für einen angemessenen Schutz.

Datenschutzinformationen: https://stripe.com/privacy

13. Server-Logs und technische Daten

Beim Zugriff auf unsere Plattform werden automatisch technische Informationen in Server-Logdateien erfasst:

  • IP-Adresse (nach 24 Stunden gekürzt)
  • Datum und Uhrzeit des Zugriffs
  • Aufgerufene URL
  • HTTP-Statuscode
  • Übertragenes Datenvolumen
  • Browsertyp und Betriebssystem

Diese Daten dienen ausschließlich der Gewährleistung des technischen Betriebs, der IT-Sicherheit und der Missbrauchsprävention. Eine Zusammenführung mit anderen Daten findet nicht statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

Speicherdauer: Maximal 30 Tage, danach automatische Löschung

14. Datensicherheit

Wir setzen angemessene technische und organisatorische Sicherheitsmaßnahmen ein, darunter:

  • Verschlüsselte Übertragung via HTTPS/TLS (Let's-Encrypt-Zertifikat über Caddy)
  • Produktionsdatenbank nur über gesicherte SSH-Verbindungen zugänglich
  • Qdrant-Vektordatenbank ausschließlich an localhost gebunden (kein externer Zugriff)
  • CORS-Einschränkungen auf autorisierte Domains beschränkt
  • API-Key-Schutz für administrative Endpunkte
  • SSH-Passwort-Authentifizierung deaktiviert (nur schlüsselbasierter Zugang)

Bitte beachten Sie, dass keine Datenübertragung über das Internet vollständig sicher ist.

15. Ihre Rechte als betroffene Person

Nach der DSGVO haben Sie folgende Rechte bezüglich Ihrer personenbezogenen Daten:

Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, Bestätigung darüber zu erhalten, ob wir personenbezogene Daten über Sie verarbeiten und, falls ja, eine Kopie dieser Daten kostenlos zu erhalten.

Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, die Korrektur unrichtiger oder unvollständiger personenbezogener Daten zu verlangen.

Recht auf Löschung (Art. 17 DSGVO)

Sie haben das Recht, die Löschung Ihrer Daten zu verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Sie können Ihr Konto direkt in Ihren Kontoeinstellungen unter „Delete Account“ löschen. Bei Löschung entfernen wir:

  • Ihr Supabase-Nutzerkonto (einschließlich E-Mail, Passwort-Hash, OAuth-Verknüpfung)
  • Alle Konversationen und Chat-Nachrichten (Fragen, Antworten, Quellenverweise)
  • Alle gespeicherten Suchanfragen und Analytics-Events, die Ihrer Konto-ID zugeordnet sind
  • Alle Präferenzdaten

Stripe-Zahlungsdaten können aufgrund gesetzlicher Aufbewahrungspflichten (Abgabenordnung: 10 Jahre) nicht vollständig gelöscht werden; solche Daten werden anonymisiert.

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten unter den in Art. 18 DSGVO genannten Voraussetzungen zu verlangen.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.

Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, jederzeit gegen die Verarbeitung Ihrer Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) Widerspruch einzulegen, einschließlich eines auf diese Bestimmungen gestützten Profilings.

Beschwerderecht

Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren. Die für uns zuständige Behörde ist:

Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (LDA Brandenburg)
Stahnsdorfer Damm 77, 14532 Kleinmachnow, Deutschland
www.lda.brandenburg.de

Sie können sich auch an die Aufsichtsbehörde Ihres Wohnsitzes oder Arbeitsorts innerhalb der EU wenden.

16. Aufbewahrungsfristen

Personenbezogene Daten werden gelöscht, sobald sie für den Verarbeitungszweck nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Wesentliche Aufbewahrungsfristen:

  • Konversationsdaten: Gespeichert bis zur Löschung der Konversation oder Ihres Kontos
  • Klartext-Suchanfragen: 7 Tage
  • Server-Logs: 30 Tage
  • Attributionsdaten (landing_attribution): 90 Tage
  • Einwilligungsprotokolle (consent_log): Für die Dauer unserer gesetzlichen Rechenschaftspflicht nach Art. 7 Abs. 1 DSGVO
  • tv_consent localStorage-Eintrag: 12 Monate
  • tv_session_id localStorage-Eintrag: Bis zur manuellen Löschung durch den Nutzer
  • Zahlungsdaten: 10 Jahre (Handels- und Steuerrecht)
  • Aggregierte Statistiken: Zeitlich unbegrenzt (keine personenbezogenen Daten)

Weitere Details finden Sie in den jeweiligen Abschnitten oben.

17. Minderjährige

TubeVault richtet sich nicht an Kinder unter 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Personen unter 16 Jahren. Sollten wir erfahren, dass eine Person unter 16 Jahren ein Konto erstellt hat, werden wir das Konto und alle zugehörigen Daten unverzüglich löschen.

18. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf zu aktualisieren, insbesondere wenn sich die Plattform ändert, neue Dienstleister eingesetzt werden oder sich die Rechtslage weiterentwickelt. Registrierte Nutzer werden über wesentliche Änderungen per E-Mail informiert. Das Datum der letzten Aktualisierung ist stets am Anfang dieses Dokuments angegeben.

19. Kontakt

Für Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte kontaktieren Sie bitte:

E-Mail: jost@ikigai-dynamics.com

Wir beantworten Anfragen innerhalb von 30 Tagen gemäß Art. 12 Abs. 3 DSGVO.

Sie können DSGVO-Anfragen auch direkt über unser Online-Formular stellen: Anfrage stellen →

Versionshistorie

  • Version 1.1 — 3. Mai 2026: Abschnitt 5a (Chatverlauf und Konversationsdaten) hinzugefügt; Datenübersicht, Löschrechte und Aufbewahrungsfristen aktualisiert.
  • Version 1.0 — 27. April 2026: Erstveröffentlichung.

TubeVault · Robin Jost · Cottbus, Deutschland

← Zurück zur Startseite