Datenschutzerklärung

Diese Datenschutzerklärung informiert Sie gemäß Art. 13 DSGVO über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten innerhalb unseres Onlineangebots und der mit ihm verbundenen Webseiten und Funktionen.

1. Verantwortlicher

Daniel Ovadia
CastLoop
Eugen-Richter-Str. 159
76187 Karlsruhe, Deutschland
E-Mail: info@castloop.de

2. Begriffsbestimmungen

Diese Datenschutzerklärung verwendet die Begrifflichkeiten der Datenschutz-Grundverordnung (DSGVO). „Personenbezogene Daten" sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

3. Zwecke und Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten zu folgenden Zwecken:

• Bereitstellung des Onlineangebots und seiner Funktionen (Art. 6 Abs. 1 lit. b DSGVO)
• Erfüllung vertraglicher Pflichten (Art. 6 Abs. 1 lit. b DSGVO)
• Erfüllung rechtlicher Verpflichtungen, insbesondere steuer- und handelsrechtlicher Aufbewahrungspflichten (Art. 6 Abs. 1 lit. c DSGVO)
• Wahrung berechtigter Interessen — insbesondere Sicherheit, Missbrauchsabwehr, Analyse und Verbesserung unseres Angebots (Art. 6 Abs. 1 lit. f DSGVO)
• Einwilligungen, soweit diese erteilt wurden (Art. 6 Abs. 1 lit. a DSGVO)

4. Server-Log-Files & Hosting

Beim Aufruf unserer Webseite werden automatisch Zugriffsdaten in Server-Log-Files gespeichert (IP-Adresse, Datum und Uhrzeit, aufgerufene Seite, User-Agent, Referrer). Diese Daten dienen der technischen Betriebssicherheit und werden nach spätestens 14 Tagen gelöscht oder anonymisiert.

Hosting: IONOS SE, Elgendorfer Straße 57, 56410 Montabaur, Deutschland. Die Datenverarbeitung findet ausschließlich auf Servern in der Europäischen Union (Deutschland) statt. IONOS stellt auch den SMTP-Relay für den Versand transaktionaler E-Mails sowie VM-Snapshot-Backups der Produktivumgebung bereit. Mit dem Anbieter besteht ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO.

5. Registrierung & Kundenkonto

Zur Nutzung von CastLoop können Sie ein Konto anlegen. Pflichtangaben sind E-Mail-Adresse und Passwort; optional sind Firmen-/Kanalname, Vor- und Nachname. Das Passwort wird niemals im Klartext gespeichert, sondern mit dem modernen Verfahren Argon2id (OWASP 2024 Parameter) als Hash abgelegt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Daten werden gelöscht, sobald sie für die Zwecke ihrer Erhebung nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

6. Verarbeitete Inhalte

CastLoop verarbeitet Inhalte, die Sie aktiv bereitstellen — insbesondere URLs von YouTube-Videos bzw. Podcast-Folgen, sowie die daraus erzeugten Transkripte, Clip-Dateien, Titel- und Caption-Vorschläge. Diese Inhalte werden ausschließlich zur Erbringung des bestellten Dienstes verwendet und nach Ablauf der vertraglich vereinbarten Aufbewahrungsfristen gelöscht (in der Regel 7 Tage für Roh-Downloads, bis zu 90 Tage für erzeugte Clips im Rahmen des Recycling-Features). Die Clip-Dateien werden ausschließlich auf EU-Servern der IONOS SE gespeichert; ein Transfer an Cloud-Storage-Anbieter außerhalb der EU findet nicht statt.

7. Social-Login / SSO

Zur Vereinfachung der Anmeldung bieten wir ein Single-Sign-On (SSO) über verschiedene Identity-Provider an. Wenn Sie diese Option nutzen, werden Sie zum jeweiligen Anbieter weitergeleitet; nach erfolgreicher Authentifizierung erhalten wir ein signiertes ID-Token (JWT), aus dem wir ausschließlich eine stabile Nutzerkennung (sub) und Ihre E-Mail-Adresse auslesen. Wir erhalten kein Passwort und keinen unbegrenzten Zugriff auf Ihr dortiges Konto.

7.1 Google Ireland Ltd. — Google-Sign-In

Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Authentifizierung via Google-Konto („Sign in with Google"). Verarbeitet werden sub (stabile Google-User-ID), E-Mail-Adresse, E-Mail-Bestätigungs-Status, optional Name und Profilbild-URL. Details: policies.google.com/privacy.

7.2 Microsoft Ireland Operations Limited — Sign in with Microsoft

Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland. Authentifizierung via Microsoft-Konto (persönlich oder Work/School). Verarbeitet werden sub (stabile Microsoft-User-ID, nicht oid), E-Mail-Adresse und optional Anzeigename. Details: privacy.microsoft.com.

7.3 Apple Distribution International Ltd. — Sign in with Apple

Apple Distribution International Limited, Hollyhill Industrial Estate, Hollyhill, Cork, Irland. Authentifizierung via Apple-ID. Verarbeitet werden sub (stabile Apple-User-ID) und E-Mail-Adresse.

Hinweis zu Private-Relay-Adressen: Apple bietet die Option „E-Mail-Adresse verbergen" an. In diesem Fall erhalten wir ausschließlich eine anonymisierte Weiterleitungs-Adresse der Form <zufallstoken>@privaterelay.appleid.com. Wir können Ihre echte E-Mail-Adresse dabei nicht einsehen; Apple leitet Mails transparent an Ihre hinterlegte Adresse weiter. Details: apple.com/legal/privacy.

Rechtsgrundlage für SSO: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / vorvertragliche Maßnahmen).

8. Multi-Platform-Posting (OAuth-Tokens & Veröffentlichungen)

Kernleistung von CastLoop ist die automatisierte Veröffentlichung der erzeugten Clips auf von Ihnen verbundenen Social-Media-Plattformen. Dazu stellen Sie uns OAuth-Zugriffstokens der jeweiligen Plattform zur Verfügung. Ihre Passwörter der Plattformen werden von uns zu keinem Zeitpunkt eingesehen oder gespeichert.

Verschlüsselung der Tokens: OAuth-Zugriffs- und Refresh-Tokens werden in unserer Datenbank ausschließlich verschlüsselt mit AES-256-GCM („Envelope Encryption") gespeichert, gebunden an einen Row-spezifischen Additional-Authenticated-Data-Kontext (Tenant-ID, Social-Account-ID, Plattform). Ein Leak der Datenbank ohne Zugriff auf das separat verwahrte Schlüsselmaterial bleibt damit nutzlos.

8.1 Google Ireland Ltd. — YouTube / YouTube Shorts

Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. CastLoop nutzt die YouTube Data API v3 ausschließlich auf dem von Ihnen verbundenen YouTube-Kanal über die folgenden OAuth-Scopes:

• https://www.googleapis.com/auth/youtube.readonly — Lesen Ihrer eigenen Kanal- und Video-Metadaten (Kanal-ID, Titel, Thumbnail, Video-Liste mit Titel, Beschreibung, Länge, Veröffentlichungsdatum). Wird genutzt, um Ihnen im Dashboard die Auswahl zu ermöglichen, aus welchen Long-Form-Videos CastLoop Short-Clips extrahieren soll. Aufgerufen werden ausschließlich die Endpunkte channels.list und videos.list.
• https://www.googleapis.com/auth/youtube.upload — Hochladen der von Ihnen freigegebenen Short-Clips (≤ 60 Sekunden, vertikales Format) als YouTube Shorts auf Ihren eigenen Kanal. Aufgerufen wird ausschließlich der Endpunkt videos.insert. Es findet kein automatischer Upload ohne Ihre vorherige Freigabe und Zeitplanung statt.

Übermittelt werden zum Upload-Zeitpunkt die Clip-Datei (MP4), der von Ihnen vergebene Titel, die Beschreibung, Tags und der Veröffentlichungs-Zeitpunkt. Die Long-Form-Originalvideos verlassen unsere Server zu keinem Zeitpunkt.

Limited Use — Verwendungszusicherung gemäß Google API Services User Data Policy (inkl. Limited Use Requirements):

• Wir nutzen die über die YouTube-API empfangenen Daten ausschließlich, um Ihnen die im Dashboard gezeigte Funktion (Clip-Auswahl, Short-Upload) bereitzustellen.
• Wir verkaufen keine über die YouTube-API empfangenen Daten an Dritte.
• Wir nutzen keine über die YouTube-API empfangenen Daten zur Anzeige von Werbung oder zur Personalisierung von Werbung.
• Wir trainieren keine KI-/ML-Modelle mit den über die YouTube-API empfangenen Inhalten.
• Menschlicher Zugriff (Mitarbeiter / Auftragnehmer) auf die Daten erfolgt ausschließlich (a) mit Ihrer ausdrücklichen Zustimmung, (b) zu Sicherheitszwecken (z. B. Untersuchung eines Missbrauchs- oder Sicherheitsvorfalls), (c) zur Erfüllung gesetzlicher Pflichten oder (d) sofern die Daten für interne Vorgänge anonymisiert/aggregiert sind.

Sie können den YouTube-Kanal jederzeit über Dashboard → Kanäle → Trennen deautorisieren oder die Verbindung direkt im Google-Konto unter „Drittanbieter-Apps mit Kontozugriff" widerrufen. Nach Trennung werden die zugehörigen OAuth-Tokens umgehend gelöscht; bereits hochgeladene YouTube-Shorts verbleiben auf Ihrem Kanal und können von Ihnen wie gewohnt verwaltet werden.

Allgemeine Datenschutzhinweise von Google: policies.google.com/privacy.

8.2 Meta Platforms Ireland Ltd. — Instagram

Meta Platforms Ireland Limited, Merrion Road, Dublin 4, Irland. Veröffentlichung von Reels / Feed-Posts via Instagram Graph API. Details: facebook.com/privacy/policy.

8.3 TikTok Technology Ltd. — TikTok

TikTok Technology Limited (ByteDance-Gruppe), 10 Earlsfort Terrace, Dublin 2, Irland. Veröffentlichung via TikTok Content Posting API. Details: tiktok.com/legal/privacy-policy.

8.4 LinkedIn Ireland Unlimited Company — LinkedIn

LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland. Veröffentlichung von Video-Posts via LinkedIn Marketing Developer Platform. Details: linkedin.com/legal/privacy-policy.

8.5 X Corp. — X (vormals Twitter)

X Corp., 1355 Market Street, Suite 900, San Francisco, CA 94103, USA. Veröffentlichung via X API v2. X Corp. hat seinen Sitz in den USA; Datenübermittlungen in die USA sind unvermeidbar für die Nutzung der X-Plattform. Die Absicherung erfolgt auf Basis der EU-Standardvertragsklauseln (SCC 2021/914). Details: x.com/privacy.

8.6 Meta Platforms Ireland Ltd. — Facebook

Meta Platforms Ireland Limited, Merrion Road, Dublin 4, Irland. Veröffentlichung von Facebook-Page-Video-Posts via Facebook Graph API. Datenschutz-Hinweise: facebook.com/privacy/policy.

8.7 Meta Platforms Ireland Ltd. — Threads

Meta Platforms Ireland Limited, Merrion Road, Dublin 4, Irland. Veröffentlichung von Threads-Posts via Threads Graph API. Da Threads ein Meta-Produkt ist, gilt dieselbe Datenschutzerklärung wie für Instagram: facebook.com/privacy/policy.

Rechtsgrundlage für Posting: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die jeweilige Plattform ist eigenständige datenschutzrechtlich Verantwortliche für die Verarbeitung auf ihren Systemen.

9. KI-gestützte Verarbeitung (Transkription & Clip-Analyse)

Zur automatischen Erstellung von Transkripten, zur Erkennung spannender Momente und zur Generierung von Hook-/Titel-Varianten setzen wir Google Generative AI (Gemini 2.5 Flash) der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland ein. Übermittelt werden Audio-/Text-Transkripte sowie relevante Metadaten des jeweiligen Videos. Die Verarbeitung findet innerhalb der EU bzw. auf Basis von Standardvertragsklauseln statt; Google verarbeitet die Inhalte ausschließlich zur Erbringung der API-Leistung und nicht zum Training seiner Modelle (Paid-Tier/Enterprise-Bedingungen, Gemini API Terms of Service).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

10. Zahlungsabwicklung

Die Zahlungsabwicklung und die Erstellung der korrespondierenden Rechnungen erfolgt über Mollie B.V. (Keizersgracht 126, 1015 CW Amsterdam, Niederlande). An Mollie werden die zur Zahlungsabwicklung erforderlichen Daten (Betrag, Zahlungsmethode, E-Mail, Abrechnungsadresse) übermittelt. Mollie ist selbst Verantwortlicher im Sinne der DSGVO für die Verarbeitung der Zahlungsdaten. Weitere Informationen finden Sie in der Datenschutzerklärung von Mollie.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrungspflichten nach § 257 HGB, § 147 AO).

11. E-Mail-Versand

Für den Versand transaktionaler E-Mails (Registrierungsbestätigung, Passwort-Reset, Rechnungen, Benachrichtigungen zu Clips) nutzen wir den SMTP-Relay der IONOS SE (siehe Abschnitt 4). Ein gesonderter Versanddienstleister außerhalb der EU kommt nicht zum Einsatz. Der Versand erfolgt ausschließlich über TLS-verschlüsselte Verbindungen (TLS 1.2 oder höher).

12. Cookies & vergleichbare Technologien

Unsere Marketing-Webseite castloop.de setzt keine Tracking-Cookies und keine Cookies zu Werbezwecken ein. Die Applikation app.castloop.de verwendet ausschließlich technisch notwendige Cookies (insbesondere ein HttpOnly-Cookie für den sicheren Refresh-Token, CSRF-Schutz, CSP-Nonces). Eine Einwilligung ist hierfür nach § 25 Abs. 2 Nr. 2 TDDDG nicht erforderlich. Weitere Details finden Sie in unserer Cookie-Richtlinie.

13. Empfänger der Daten / Auftragsverarbeiter

Folgende Dienstleister verarbeiten personenbezogene Daten im Auftrag oder als eigenständig Verantwortliche (bei Social-Media-Plattformen und Mollie):

• IONOS SE (Montabaur, DE) — Hosting-Infrastruktur, SMTP-Relay, VM-Snapshot-Backups
• Mollie B.V. (Amsterdam, NL) — Payment-Processing & Invoice-Abwicklung
• Google Ireland Ltd. (Dublin, IE) — Transkription und Clip-Analyse via Google Generative AI (Gemini 2.5 Flash), YouTube Data API, Google-Sign-In
• Microsoft Ireland Operations Ltd. (Dublin, IE) — Authentifizierung via Microsoft-Konto
• Apple Distribution International Ltd. (Cork, IE) — Authentifizierung via Apple-ID
• Meta Platforms Ireland Ltd. (Dublin, IE) — Instagram-, Facebook- und Threads-Veröffentlichungen
• TikTok Technology Ltd. (Dublin, IE) — TikTok-Veröffentlichungen
• LinkedIn Ireland Unlimited Company (Dublin, IE) — LinkedIn-Veröffentlichungen
• X Corp. (San Francisco, USA) — X/Twitter-Veröffentlichungen (Datenverarbeitung auch in den USA, abgesichert durch SCC 2021/914)

Wir schließen mit allen Auftragsverarbeitern nach Art. 28 DSGVO einen Auftragsverarbeitungsvertrag (AVV); Unternehmenskunden können ihrerseits einen AVV mit uns abschließen (siehe AVV-Vorlage).

14. Drittland-Transfers

Wo immer möglich, verarbeiten wir personenbezogene Daten innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums. In den folgenden Fällen ist eine Übermittlung in Drittländer (insb. in die USA) unvermeidbar:

• X Corp. (USA) — bei Veröffentlichung von Clips auf X
• Meta Platforms, Inc. (USA) — bei Veröffentlichung auf Instagram, Facebook oder Threads, soweit Meta Ireland Daten an seine US-Konzernmutter weitergibt
• TikTok Inc. / ByteDance Ltd. (USA / Singapur) — bei TikTok-Veröffentlichungen, soweit Daten an Konzerngesellschaften weitergegeben werden
• Apple Inc. (USA) — bei Sign in with Apple, soweit Apple Distribution International Ltd. Daten an seine US-Konzernmutter weitergibt
• Google LLC (USA) — soweit Google Ireland Ltd. Daten an seine US-Konzernmutter weitergibt
• Microsoft Corporation (USA) — soweit Microsoft Ireland Operations Ltd. Daten an seine US-Konzernmutter weitergibt

Für diese Drittland-Transfers erfolgt die Absicherung auf Basis der EU-Standardvertragsklauseln (SCC) gemäß Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission. Google, Microsoft, Meta und Apple sind zudem nach dem EU-US Data Privacy Framework (DPF) zertifiziert und bieten entsprechende Transfer-Zusagen. Bei Bedarf stellen wir Ihnen Kopien der abgeschlossenen SCC auf Anfrage zur Verfügung.

Rechtsgrundlage: Art. 46 Abs. 2 lit. c DSGVO.

15. Speicherdauer

Wir verarbeiten und speichern personenbezogene Daten nur so lange, wie dies zur Erreichung des Verarbeitungszwecks erforderlich ist oder gesetzliche Aufbewahrungspflichten (insb. § 257 HGB: 10 Jahre für Buchungsbelege / Rechnungen, § 147 AO: 6 bzw. 10 Jahre für steuerlich relevante Unterlagen) bestehen.

16. Ihre Rechte

Ihnen stehen nach der DSGVO folgende Rechte zu:

• Recht auf Auskunft (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruchsrecht (Art. 21 DSGVO)
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
• Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Self-Service im Dashboard: Sie können Ihre Daten jederzeit selbst über das Dashboard verwalten:

• Datenexport (Art. 15 DSGVO) — unter Einstellungen → Daten exportieren können Sie eine maschinenlesbare Kopie Ihrer personenbezogenen Daten (JSON) herunterladen.
• Kontolöschung (Art. 17 DSGVO) — unter Einstellungen → Konto löschen können Sie Ihr Konto dauerhaft entfernen. Die Löschung erfolgt unverzüglich aus der Produktivdatenbank und innerhalb von 30 Tagen auch aus allen Backups (IONOS-VM-Snapshot-Rotation).

Alternativ genügt eine formlose Nachricht an info@castloop.de.

17. Zuständige Aufsichtsbehörde

Die für uns zuständige Datenschutz-Aufsichtsbehörde ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Lautenschlagerstraße 20, 70173 Stuttgart, baden-wuerttemberg.datenschutz.de. Eine vollständige Liste der Landesdatenschutzbeauftragten finden Sie beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI).

18. Aktualität

Diese Datenschutzerklärung wird fortlaufend an rechtliche und technische Entwicklungen angepasst.

Stand: 28. Mai 2026 · Version 1.1 (Threads + Facebook ergänzt, neue Abschnitte 8.6 + 8.7)