Datenschutzerklärung
Informationen zum Umgang mit Ihren Daten
1. Verantwortlicher
Verantwortlicher für die Datenverarbeitung auf dieser Website ist:
[DEIN NAME]
c/o [C/O ADRESSE]
[STRASSE NR.]
[PLZ ORT]
Deutschland
E-Mail: info@chatstonks.com
Ein Datenschutzbeauftragter ist nicht bestellt, da die Voraussetzungen nach Art. 37 DSGVO nicht vorliegen.
2. Übersicht der Verarbeitungen
Wir verarbeiten folgende Kategorien personenbezogener Daten:
- Kontodaten: Benutzername, E-Mail-Adresse (bei Twitch-Anmeldung von Twitch übermittelt, bei E-Mail-Anmeldung direkt von Ihnen eingegeben), Profilbild, Twitch-ID (sofern vorhanden)
- Nutzungsdaten: Trades, Portfolio, Posts, Kommentare, Abstimmungen
- Technische Daten: IP-Adresse, Browsertyp, Zugriffszeiten
- Inhaltsdaten: Von Nutzern erstellte Beiträge und Kommentare
3. Rechtsgrundlagen
Wir verarbeiten personenbezogene Daten auf folgenden Rechtsgrundlagen:
- Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Anmeldung über Twitch OAuth
- Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) : Bereitstellung der Plattform, Kontoverwaltung, Trading, Portfolio, Beiträge
- Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) : Missbrauchsprävention (inkl. Speicherung eines mit einem geheimen Pepper gesalzenen SHA-256-Hashes Ihrer E-Mail-Adresse zur Durchsetzung von Anmeldelimits), Serverprotokolle, Plattformstabilität
4. Datenverarbeitung im Einzelnen
Registrierung (Twitch OAuth)
Bei der Anmeldung über Twitch erheben wir: Benutzername, E-Mail-Adresse, Profilbild, Twitch-ID und gefolgten Kanälen. Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Speicherdauer: bis zur Kontolöschung.
Anmeldung per Magic-Link (E-Mail)
Wenn Sie sich per E-Mail anmelden, übermitteln Sie uns Ihre E-Mail-Adresse und optional einen gewünschten Benutzernamen. Wir senden über den Dienstleister Brevo (Sendinblue, Frankreich) einen Anmeldelink an diese Adresse. Die E-Mail-Adresse wird in Supabase zur Kontoverwaltung gespeichert. Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Speicherdauer: bis zur Kontolöschung.
Zur Missbrauchsprävention speichern wir zusätzlich einen mit einem geheimen Pepper gesalzenen SHA-256-Hash Ihrer E-Mail-Adresse in einer separaten Tabelle (signup_attempts). Aus diesem Hash lässt sich die E-Mail-Adresse nicht rekonstruieren. Der Hash wird auch nach einer Kontolöschung aufbewahrt, damit Anmeldelimits weiterhin wirksam sind. Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).
Plattformnutzung
Im Rahmen der Nutzung speichern wir: Trades, Portfolio-Daten, Beiträge, Kommentare und Abstimmungen. Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Speicherdauer: bis zur Kontolöschung.
Technische Daten
Bei jedem Seitenaufruf werden automatisch erhoben: IP-Adresse, Browsertyp, Zugriffszeit. Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO). Speicherdauer: 30 Tage (Vercel-Serverprotokolle).
Serverseitige Analyse
Wir nutzen PostHog serverseitig in unserer Datenpipeline für die Betriebsüberwachung. Es werden keine Nutzer-Browsing-Daten erfasst. Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).
5. Cookies und lokale Speicherung
Wir verwenden ausschließlich technisch notwendige Cookies und lokale Speicherung. Ein Cookie-Banner ist daher nicht erforderlich (§ 25 Abs. 2 TDDDG).
| Speicher | Zweck | Dauer |
|---|---|---|
| Supabase Auth Cookie | Sitzungsauthentifizierung | Bis zum Logout |
| sidebar-* (localStorage) | Seitenleisten-Einstellung | Dauerhaft |
| pending_consent (localStorage) | Einwilligungsstatus bei Anmeldung | Wird nach Anmeldung gelöscht |
6. Drittanbieter
| Dienst | Zweck | Standort | Absicherung |
|---|---|---|---|
| Supabase | Datenbank und Authentifizierung | EU (Frankfurt) | AV-Vertrag |
| Twitch (Amazon) | OAuth-Anmeldung und API-Daten | USA | EU-US DPF |
| Brevo (Sendinblue) | Versand von Anmelde-Magic-Links | Frankreich (EU) | AV-Vertrag |
| Vercel | Web-Hosting | USA | EU-US DPF, AV-Vertrag |
| Hetzner | Pipeline-Server | Deutschland | AV-Vertrag |
| PostHog | Serverseitige Betriebsanalyse | EU | AV-Vertrag |
7. Internationale Datenübermittlung
Daten werden an Twitch (Amazon, USA) und Vercel (USA) übermittelt. Diese Übermittlungen sind durch den Angemessenheitsbeschluss der EU-Kommission zum EU-US Data Privacy Framework (DPF) vom 10. Juli 2023 abgesichert.
8. Betroffenenrechte
Sie haben folgende Rechte nach der DSGVO:
- Auskunftsrecht (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung (Art. 17 DSGVO): Sie können Ihr Konto jederzeit in den Einstellungen löschen
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Ein Datenexport steht Ihnen in den Einstellungen zur Verfügung
- Widerspruchsrecht (Art. 21 DSGVO)
- Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie können die Twitch-OAuth-Berechtigung jederzeit in Ihren Twitch-Einstellungen widerrufen
Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter info@chatstonks.com.
Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Die für uns zuständige Aufsichtsbehörde ist: [LANDESBEAUFTRAGTE/R FÜR DATENSCHUTZ IHRES BUNDESLANDES].
9. Speicherdauer
- Kontodaten: bis zur Kontolöschung
- Nutzungsdaten (Trades, Portfolio, Beiträge): bis zur Kontolöschung
- Gehashte E-Mail-Adresse (signup_attempts): bleibt auch nach Kontolöschung gespeichert (Missbrauchsprävention)
- Serverprotokolle (Vercel): 30 Tage
- Pipeline-Analyse (PostHog): gemäß PostHog-Aufbewahrungsrichtlinie
10. Automatisierte Entscheidungsfindung
Es findet keine automatisierte Entscheidungsfindung oder Profiling im Sinne von Art. 22 DSGVO statt.
11. Minderjährige
Die Nutzung von ChatStonks setzt ein Mindestalter von 16 Jahren voraus (§ 7 BDSG). Wir erheben wissentlich keine Daten von Personen unter 16 Jahren.
12. Änderungen
Wir können diese Datenschutzerklärung bei Bedarf aktualisieren. Wesentliche Änderungen werden über die Plattform mitgeteilt.
Stand: 24. April 2026
English translation provided for convenience. The German version above is legally binding.
1. Data Controller
The data controller for this website is: [YOUR NAME], c/o [C/O ADDRESS], [STREET NO.], [ZIP CITY], Germany. Email: info@chatstonks.com.
A Data Protection Officer is not appointed, as the requirements under Art. 37 GDPR are not met.
2. Data We Collect
- Account data: Username, email (provided by Twitch for Twitch sign-in, entered directly by you for email sign-in), profile picture, Twitch ID (if available)
- Usage data: Trades, portfolio, posts, comments, votes
- Technical data: IP address, browser type, access times
- Content data: User-generated posts and comments
3. Legal Bases
- Consent (Art. 6(1)(a) GDPR): Twitch OAuth login
- Contract performance (Art. 6(1)(b) GDPR): Platform services, account management, trading, posts
- Legitimate interest (Art. 6(1)(f) GDPR): Abuse prevention (including storage of a peppered SHA-256 hash of your email address to enforce sign-up limits), server logs, platform stability
4. Processing Details
Registration (Twitch OAuth)
We collect: username, email, profile picture, Twitch ID, and followed channels. Legal basis: consent. Retention: until account deletion.
Magic-Link Sign-In (Email)
When you sign in via email, you provide us with your email address and optionally a desired username. We deliver a sign-in link to that address through our processor Brevo (Sendinblue, France). The email address is stored in Supabase for account management. Legal basis: contract performance (Art. 6(1)(b) GDPR). Retention: until account deletion.
For abuse prevention, we also store a peppered SHA-256 hash of your email address in a separate table (signup_attempts). The email address cannot be reconstructed from this hash. The hash is retained after account deletion so that sign-up limits remain effective. Legal basis: legitimate interest (Art. 6(1)(f) GDPR).
Platform Usage
We store: trades, portfolio data, posts, comments, and votes. Legal basis: contract performance. Retention: until account deletion.
Technical Data
Automatically collected on each visit: IP address, browser type, access time. Legal basis: legitimate interest. Retention: 30 days (Vercel server logs).
Server-Side Analytics
We use PostHog server-side in our data pipeline for operational monitoring. No user browsing data is collected. Legal basis: legitimate interest.
5. Cookies and Local Storage
We use only technically necessary cookies and local storage. A cookie consent banner is therefore not required (Section 25(2) TDDDG).
| Storage | Purpose | Duration |
|---|---|---|
| Supabase Auth Cookie | Session authentication | Until logout |
| sidebar-* (localStorage) | Sidebar layout preference | Permanent |
| pending_consent (localStorage) | Consent state during sign-in | Cleared after login |
6. Third-Party Services
| Service | Purpose | Location | Safeguard |
|---|---|---|---|
| Supabase | Database and authentication | EU (Frankfurt) | DPA |
| Twitch (Amazon) | OAuth login and API data | USA | EU-US DPF |
| Brevo (Sendinblue) | Sign-in magic link delivery | France (EU) | DPA |
| Vercel | Web hosting | USA | EU-US DPF, DPA |
| Hetzner | Pipeline server | Germany | DPA |
| PostHog | Server-side operational analytics | EU | DPA |
7. International Data Transfers
Data is transferred to Twitch (Amazon, USA) and Vercel (USA). These transfers are covered by the EU Commission's adequacy decision on the EU-US Data Privacy Framework (DPF) of July 10, 2023.
8. Your Rights
Under the GDPR, you have the following rights:
- Right of access (Art. 15 GDPR)
- Right to rectification (Art. 16 GDPR)
- Right to erasure (Art. 17 GDPR): you can delete your account at any time in your settings
- Right to restriction of processing (Art. 18 GDPR)
- Right to data portability (Art. 20 GDPR): a data export is available in your settings
- Right to object (Art. 21 GDPR)
- Right to withdraw consent (Art. 7(3) GDPR): you can revoke Twitch OAuth access at any time in your Twitch settings
To exercise your rights, contact info@chatstonks.com.
You have the right to lodge a complaint with a supervisory authority (Art. 77 GDPR). The competent authority is: [DATA PROTECTION AUTHORITY OF YOUR STATE].
9. Data Retention
- Account data: until account deletion
- Usage data (trades, portfolio, posts): until account deletion
- Hashed email address (signup_attempts): retained after account deletion (abuse prevention)
- Server logs (Vercel): 30 days
- Pipeline analytics (PostHog): per PostHog retention policy
10. Automated Decision-Making
No automated decision-making or profiling within the meaning of Art. 22 GDPR takes place.
11. Minors
Use of ChatStonks requires a minimum age of 16 (Section 7 BDSG). We do not knowingly collect data from persons under 16.
12. Changes
We may update this privacy policy as needed. Material changes will be communicated via the platform.
Last updated: 24 April 2026