Datenschutzerklärung

Die verantwortliche Stelle ist:

LightPalmMedia GmbH
Margot-Kalinke-Straße 3
80939 München
Deutschland

Telefon: 089 413244699
E-Mail: [email protected]
Web: lightpalmmedia.de

Vertreten durch: Luca Tiziani (Geschäftsführer). Ein gesetzlich vorgeschriebener Datenschutzbeauftragter ist bei uns derzeit nicht benannt.

Weitere Pflichtangaben zum Anbieter finden Sie im Impressum.

Wir verarbeiten personenbezogene Daten nur, soweit dies für die bereitgestellten Funktionen erforderlich ist oder Sie eingewilligt haben. Maßgeblich sind insbesondere Art. 6 Abs. 1 lit. b DSGVO (Vertrag bzw. vorvertragliche Maßnahmen zur Nutzung des Dienstes), Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, z. B. bei OAuth-Verknüpfungen mit Drittanbietern) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem, stabilem Betrieb, Missbrauchsprävention und technischer Fehleranalyse).

Beim Aufruf der Website werden durch den Hosting- bzw. Infrastruktur-Dienst automatisch technische Informationen verarbeitet (z. B. IP-Adresse, Datum und Uhrzeit der Anfrage, übertragene Datenmenge, User-Agent). Dies dient der Bereitstellung, dem Schutz vor Missbrauch (Sicherheit) und der Fehleranalyse.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Logdaten werden nur so lange gespeichert, wie dies für die genannten Zwecke erforderlich ist, und anschließend gelöscht oder anonymisiert, soweit keine längeren gesetzlichen Aufbewahrungspflichten entgegenstehen.

Sie können sich optional mit Ihrem Twitch-Konto anmelden. Dabei verarbeiten wir die von Twitch übermittelten Profil- und Kontokennungen (z. B. Twitch-ID, Login- und Anzeigename, Profilbild) sowie technisch erforderliche OAuth-Tokens, soweit nötig zur Authentifizierung und zur Anbindung an die Twitch-API.

Zweck ist die Nutzerauthentifizierung, die Zuordnung von Handlungen in der Anwendung (z. B. Lobby-Erstellung, Moderation, Song-Einsendungen) sowie — je nach Funktionsumfang — die Anbindung an Twitch-Funktionen (z. B. chatbasierte Abstimmung).

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. f DSGVO (Missbrauchsprävention, technischer Betrieb). Weitere Hinweise: Twitch — Privacy Notice.

Wenn Sie im Profil Spotify oder Google/YouTube verbinden, speichern wir die dafür erforderlichen Tokens und Kontoinformationen, soweit technisch nötig (z. B. Export von Playlists zu Spotify, Auslesen des YouTube-Live-Chats für eine Chat-Abstimmung entsprechend Ihrer Einstellungen).

Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über den OAuth-Vorgang beim jeweiligen Anbieter) bzw. Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung der Vertragserfüllung mit Ihnen dient.

Hinweise der Anbieter: Spotify, Google / YouTube.

Im Rahmen von Lobbies können Song-Links, Titel, Plattformangaben, ggf. Cover-Vorschauen sowie ein Anzeigename bzw. eine Twitch-Zuordnung für Einsendungen gespeichert werden. Abstimmungen und Turnierstände werden zur Durchführung des Events verarbeitet.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. f DSGVO für technisch notwendige Protokollierung und Integrität des Dienstes.

Zur Wiedergabe oder Vorschau können Inhalte von Drittanbietern eingebunden werden (z. B. Spotify-, YouTube- oder SoundCloud-Player). Dabei kann der jeweilige Anbieter Daten erheben (u. a. IP-Adresse, Cookies), auch wenn Sie nicht bei diesem Anbieter angemeldet sind. Wir haben keinen vollständigen Einfluss auf diese Datenverarbeitung; sie richtet sich nach den Datenschutzhinweisen des jeweiligen Anbieters.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (Darstellung eingereichter Links und Nutzererwartung).

Für die Anmeldung und Sitzungsverwaltung können Cookies oder vergleichbare Technologien eingesetzt werden (z. B. Sitzungs-Cookie nach OAuth). Diese sind für den Betrieb der Anwendung erforderlich.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO bzw. Art. 6 Abs. 1 lit. f DSGVO.

Wir setzen technische Dienstleister (z. B. Hosting) ein, die in unserem Auftrag Daten verarbeiten können. Mit diesen bestehen — soweit erforderlich — Vereinbarungen zur Auftragsverarbeitung gemäß Art. 28 DSGVO.

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen. Kriterien sind u. a. die Dauer der Nutzerbeziehung, technische Notwendigkeit (z. B. Token-Gültigkeit) und gesetzliche Pflichten.

Sie haben — soweit die gesetzlichen Voraussetzungen erfüllt sind — insbesondere folgende Rechte:

• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)

Sofern eine Verarbeitung auf Einwilligung beruht, können Sie diese mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO), ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird.

Zur Ausübung Ihrer Rechte genügt eine Nachricht an die oben genannten Kontaktdaten der verantwortlichen Stelle.

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig ist insbesondere die Aufsichtsbehörde Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes. Für unseren Sitz in Bayern ist u. a. das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) zuständig: www.lda.bayern.de.

Wenn Dienste von Anbietern mit Sitz außerhalb der EU/des EWR genutzt werden (z. B. Twitch, Spotify, Google), kann eine Datenübermittlung in ein Drittland erfolgen. Soweit kein Angemessenheitsbeschluss der EU-Kommission vorliegt, stützen wir uns — soweit erforderlich — auf geeignete Garantien (z. B. EU-Standardvertragsklauseln) gemäß Art. 44 ff. DSGVO, sofern der Anbieter diese bereitstellt. Näheres entnehmen Sie den Datenschutzhinweisen der jeweiligen Anbieter.

Eine ausschließlich automatisierte Entscheidung im Sinne von Art. 22 DSGVO findet im Zusammenhang mit dieser Anwendung nicht statt.

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder Änderungen unserer Leistungen umfasst. Maßgeblich ist die jeweils bei Ihrem erneuten Besuch abrufbare Fassung.

Datenzugriff

Songcompetition nutzt Google OAuth 2.0 und die YouTube Data API v3. Wir greifen dabei auf folgende Nutzerinformationen bzw. API-Daten zu und verarbeiten sie nur funktionsbezogen: Abhängig von der gewählten Funktion werden die OAuth-Berechtigungen (Scopes) „openid“, für YouTube-/Live-Funktionen zusätzlich „https://www.googleapis.com/auth/youtube.readonly“ sowie bei Google-Login zusätzlich „email“ und „profile“ angefragt. Über die Google-Schnittstelle „oauth2/v3/userinfo“ erhalten wir insbesondere die stabile Kontokennung (Subject „sub“) und je nach Scope ggf. E-Mail-Adresse, Name und Profilbild-URL. Über die YouTube Data API lesen wir insbesondere: von Ihrem Konto verwaltete Kanäle (Kanal-ID, Titel), Metadaten zu Live-Übertragungen sowie zugehörige Live-Chat-IDs, optional die YouTube-Kanal-IDs von Live-Chat-Moderatorinnen und -moderatoren und während einer aktiven, vom Host gestarteten Chat-Abstimmung öffentliche Live-Chat-Nachrichten (Nachrichtentext, Zeitstempel, YouTube-Kanal-ID der absendenden Person).

Verwendung und Zwecke

Diese Daten verwenden wir, um Sie anzumelden bzw. Ihr Google-Konto mit einem bestehenden Songcompetition-Konto zu verknüpfen, Ihr Konto eindeutig zuzuordnen („sub“), Profilangaben in der Anwendung anzuzeigen (soweit übernommen), den von Hosts gewählten YouTube-Kanal für Live-Funktionen zu speichern, OAuth-Zugriffs- und Aktualisierungstokens (Refresh Tokens) serverseitig zu speichern und die APIs technisch anzusprechen, sowie — nur während einer laufenden Chat-Abstimmung — Live-Chat-Nachrichten auszuwerten, um Abstimmkommandos zu erkennen und Stimmen pro YouTube-Kanal-ID zu zählen. Kurzfristige technische Zwischenspeicher (Cache, z. B. Kanallisten, Moderatoren-IDs, Abstimmbezug) erfolgen mit befristeter Gültigkeit in unserem In-Memory-/Cache-System (Redis). Es erfolgt keine Nutzung zu Werbezwecken Dritter und kein Verkauf personenbezogener Daten aus Google.

Weitergabe

Wir verkaufen Google-Nutzerdaten nicht und geben sie nicht für unkontrollierte Werbeprofile an Dritte weiter. Empfänger sind insbesondere: Google LLC bzw. verbundene Unternehmen im Rahmen von OAuth und der YouTube API (Verarbeitung nach deren Bedingungen und Hinweisen); unsere technischen Auftragsverarbeiter (z. B. Hosting), soweit sie Zugriff auf Server oder Datenbanken haben; andere Nutzer der Plattform können — wie bei anderen Anmeldeweisen — bestimmte nicht geheime Profilangaben (z. B. Anzeigename) und Inhalte sehen, die Sie in Lobbies einstellen (z. B. Song-Einsendungen); aggregierte Abstimmstände können für Teilnehmende einer Lobby sichtbar sein. Eine weitergehende Weitergabe erfolgt nur, wenn wir rechtlich dazu verpflichtet sind oder dies zur Durchsetzung unserer berechtigten Interessen (z. B. Rechtsverteidigung) erforderlich und zulässig ist.

Speicherung und Schutz

Google-bezogene Daten werden auf unseren Servern (HTTPS) in einer Datenbank sowie vorübergehend im beschriebenen Cache gespeichert. OAuth-Refresh- und Zugriffstokens werden ausschließlich serverseitig gehalten und nicht in öffentlich auslesbarem Browser-Speicher für diese Zwecke abgelegt. Zugriffe auf die Systeme beschränken wir technisch und organisatorisch (z. B. Berechtigungskonzepte, aktuelle Softwarepflege, Trennung von Produktions- und Entwicklungsumgebungen, soweit angewendet). Details zu Hosting und Auftragsverarbeitung siehe Abschnitt 9.

Aufbewahrung und Löschung

Wir speichern die genannten Daten, solange Ihr Nutzerkonto besteht und die Verknüpfung technisch erforderlich ist (siehe auch Abschnitt 10). Sie können Ihr Konto in den Profileinstellungen dauerhaft löschen; die Löschung erfordert die Bestätigung „KONTO LÖSCHEN“. Mit der Kontolöschung werden u. a. gespeicherte Google-/YouTube-OAuth-Tokens, die Google-Subject-ID und die mit YouTube verknüpften Kanalangaben aus unserer Nutzerdatenbank entfernt; Cache-Einträge verfallen nach den dortigen TTLs. Unabhängig davon stehen Ihnen die Rechte aus Abschnitt 11 (z. B. Auskunft, Löschung) zu; zur Kontaktaufnahme nutzen Sie bitte die oben genannten Kontaktdaten der verantwortlichen Stelle.

Kontakt zum API-Client (YouTube API Services)

Für Anfragen zu dieser Anwendung als API-Client im Sinne der YouTube API Services — Developer Policies erreichen Sie uns unter [email protected] sowie postalisch über die im Impressum genannte Anschrift der LightPalmMedia GmbH.

Widerruf des Zugriffs auf Google-/YouTube-Daten

Sie können den Zugriff dieser Anwendung auf Ihr Google-Konto und verbundene Dienste jederzeit in Ihren Google-Kontoeinstellungen widerrufen und verbundene Apps entfernen. Hilfreicher Einstiegspunkt (Google): Google-Konto — Apps und Dienste mit Zugriff. Dort können Sie die Verbindung zu Songcompetition aufheben. Technisch gespeicherte Tokens auf unseren Servern werden bei erfolgreicher Trennung bzw. Kontolöschung entfernt (siehe Aufbewahrung oben).

Aktualisierung, Zwischenspeicherung und Löschung von YouTube-API-Daten

OAuth-Zugriffstoken für YouTube werden vor Ablauf aktualisiert, sobald unsere Server die APIs ansprechen; Refresh-Tokens bleiben gültig, bis Sie die Verbindung widerrufen oder Ihr Konto löschen. Die Ergebnisse von `channels.list` (Ihre verwalteten Kanäle) cachen wir in Redis bis zu 6 Stunden, um API-Kontingent zu schonen; der Cache wird bei Verknüpfungsänderungen invalidiert oder spätestens nach Ablauf der TTL automatisch verworfen. Live-Chat-Nachrichten der YouTube Data API rufen wir nur während einer aktiven, vom Host gestarteten Chat-Abstimmung ab — typischerweise etwa alle 1,5 bis 10 Sekunden gemäß API-Vorgabe (`pollingIntervalMillis`) und nur bis zum Abstimmungsende; danach stoppt die Abfrage. Zugehörige technische Redis-Schlüssel (Verknüpfung Abstimmung ↔ Live-Chat) laufen mit begrenzter Gültigkeit (z. B. bis zu 24 Stunden) automatisch aus. Song-Suchen über die YouTube Data API (API-Key-basiert in Lobbies) führen wir pro Anfrage aus; wir speichern keine dauerhafte personenbezogene Suchhistorie der Treffer auf unseren Servern. Bei Trennung der Google-/YouTube-Verbindung oder bei Kontolöschung entfernen wir gespeicherte OAuth-Tokens und zugehörige Verknüpfungsfelder aus der Nutzerdatenbank. Aggregierte Abstimmungs- und Lobbydaten unterliegen den allgemeinen Speicherdauern des Dienstes (siehe Abschnitte 6 und 10).

Wir bieten optional eine Chrome-Erweiterung an, die auf den offiziellen Song-Competition-Domains eine pegel- bzw. spektrumbasierte Hintergrundvisualisierung auf Battle-Seiten (URL-Pfade wie /l/…/battle) ermöglicht. Die folgenden Hinweise ergänzen diese Erklärung speziell für die Erweiterung und betreffen Verarbeitungen in Ihrem Browser, die unabhängig von der reinen Nutzung unserer Webanwendung auf unseren Servern stattfinden können.

Berechtigung „tabCapture“

Die Berechtigung wird nur genutzt, nachdem Sie die Funktion ausdrücklich starten (Schalter auf der Battle-Seite oder entsprechende Aktion im Erweiterungs-Popup). Sie dient dazu, den gemischten Audioausgang des aktuellen Browser-Tabs zu erfassen und daraus lokal Pegel- bzw. Spektrumswerte für die Darstellung zu berechnen. Eine Übermittlung des Audiostreams oder von Rohdaten der Analyse an Server der Song Competition erfolgt durch die Erweiterung nicht.

Berechtigung „offscreen“ (Offscreen-Dokument)

Diese Berechtigung ermöglicht es, die vom Browser vorgesehene Verarbeitungskette für Tab-Capture mit der Web Audio API (u. a. AnalyserNode) in einem versteckten Offscreen-Dokument auszuführen. Das entspricht dem empfohlenen Muster in Chromium; die Auswertung bleibt auf Ihrem Gerät.

Berechtigung „tabs“

Die Berechtigung wird benötigt, um von der Erweiterung aus den richtigen Ziel-Tab anzusprechen (z. B. Start und Stopp der Visualisierung aus dem Popup) und Nachrichten zwischen dem Erweiterungs-Teil und der auf der Battle-Seite eingeblendeten Oberfläche zuzustellen (Steuerung und Status).

Hostberechtigung / content_scripts (Übereinstimmungsmuster)

Im Erweiterungsmanifest sind für Content Scripts ausschließlich die offiziellen Websites angegeben: https://song-competition.live/*, https://www.song-competition.live/*, https://song-competition.de/* und https://www.song-competition.de/*. Nur dort werden Skripte und Stile eingefügt, damit Steuerung und Visualisierung angeboten werden können; eine pauschale Einbindung auf beliebigen Websites („<all_urls>“) verwenden wir in der für den Chrome Web Store vorgesehenen Version nicht.

Verarbeitung personenbezogener Inhalte im Tab-Ton

Soweit im Tab-Ton personenbezogene Inhalte vorkommen können (z. B. gesprochene Sprache in Streams), werden diese Signale durch die Erweiterung ausschließlich lokal zur Steuerung der grafischen Anzeige verarbeitet und nicht zu diesem Zweck dauerhaft von der Erweiterung gespeichert. Google Chrome sowie eingebettete Drittanbieter (z. B. Medienplayer) können eigene, zusätzliche Datenverarbeitungen vornehmen; maßgeblich sind deren Hinweise.

Lokale Speicherung in der Erweiterung

Die gewählte Darstellungsoption (z. B. Balken oder Aurora) kann sitzungsbezogen im sessionStorage des jeweiligen Tabs vorgehalten werden, damit die Einstellung während der Tab-Sitzung erhalten bleibt.