Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

IMH Group, Inc.
8 The Green, Ste B
Dover, DE 19901
United States

Vertretungsberechtigt: Christian Aberle
Kontakt allgemein: info@imh-group.us, Telefon: +1 (302) 212-0640

Anfragen zum Datenschutz (Auskunft, Löschung, Berichtigung, Widerspruch): info@imh-group.us

Unternehmensangaben siehe auch Impressum bzw. Imprint – IMH Group Inc.

2. Zweck der Anwendung

YT Stream ist ein internes Verwaltungswerkzeug von IMH Group, Inc. zur Steuerung von YouTube-Livestreams (Kanäle, Playlists, Zeitpläne, Medien). Der Zugang ist ausschließlich autorisierten Mitarbeitern und Administratoren vorbehalten. Es werden keine Besucher-Tracking-, Marketing- oder Analyse-Cookies eingesetzt.

3. Verarbeitete Daten

• Benutzerkonten: Benutzername, Passwort-Hash (bcrypt), Rolle (Administrator/Mitarbeiter), Aktivierungsstatus, Erstellungszeitpunkt.
• Session-Cookie: technisch notwendig zur Anmeldung und Autorisierung (siehe Abschnitt 4).
• Kanal- und Stream-Konfiguration: Kanalnamen, Slugs, Zeitpläne, Playlist-Einträge (Dateipfade/Titel), Encoder-Einstellungen.
• Stream-Schlüssel und OAuth-Tokens: verschlüsselt in der Datenbank (Fernet, abgeleitet vom Anwendungs-Geheimnis).
• Audit-Protokoll: Zeitstempel, angemeldeter Benutzername, Aktion (z. B. Erstellen, Bearbeiten, Start/Stopp), optional Kanal-ID und kurze Detailangabe (z. B. Kanalname) — keine Passwörter oder Stream-Keys im Klartext.
• Sicherheit / Rate-Limiting: IP-Adresse bei fehlgeschlagenen Login-Versuchen, temporär im Arbeitsspeicher (max. 15 Minuten, nicht dauerhaft gespeichert).
• Betriebs- und Fehlerprotokolle: technische Logs auf dem Server (Plesk EU), Inhalt abhängig von Serverkonfiguration.

Mitarbeiter-Rollen sehen keine Stream-Schlüssel im Klartext; Administratoren können Schlüssel verwalten. Es werden bewusst keine unnötigen personenbezogenen Daten in Meldungen der Oberfläche angezeigt.

4. Cookies

Es wird ausschließlich ein Session-Cookie (Name typischerweise session) gesetzt. Dieses Cookie ist für die Anmeldung zwingend erforderlich und bedarf keiner Einwilligung nach § 25 TTDSG i. V. m. Erwägungsgrund 28 DSGVO.

• HttpOnly: ja — kein Zugriff per JavaScript im Browser.
• SameSite: Lax (Starlette SessionMiddleware).
• Secure: in Produktion bei HTTPS bzw. wenn PUBLIC_BASE_URL mit https:// oder Proxy-Vertrauen aktiv ist.

Auf der Login-Seite weisen wir darauf hin, dass durch die Anmeldung dieses Cookie gesetzt wird. Es gibt keinen Cookie-Banner für Marketing- oder Statistik-Cookies, da solche nicht verwendet werden.

5. Rechtsgrundlagen (Art. 6 DSGVO)

• Art. 6 Abs. 1 lit. b: Verarbeitung zur Erfüllung des Nutzungsverhältnisses bzw. zur Bereitstellung des internen Dienstes für berechtigte Nutzer.
• Art. 6 Abs. 1 lit. f: berechtigtes Interesse an IT-Sicherheit, Nachvollziehbarkeit von Änderungen (Audit-Log), Missbrauchsprävention (Login-Rate-Limit).

6. Speicherdauer

• Benutzerkonten: bis zur Deaktivierung oder Löschung durch einen Administrator bzw. auf schriftliche Anfrage an info@imh-group.us.
• Session: bis Abmeldung oder Ablauf der Browsersitzung.
• Audit-Protokoll: bis zur manuellen Bereinigung oder Löschung der Datenbank; typischerweise zur Nachvollziehbarkeit über einen längeren Zeitraum (betriebliches Interesse). Auf Anfrage können Einträge zu einem Benutzer berücksichtigt werden.
• Login-Rate-Limit (IP): maximal 15 Minuten im Arbeitsspeicher, danach automatische Löschung.
• Server-Logs: gemäß Aufbewahrungsrichtlinie des Hosting-Anbieters (Plesk EU).

7. Empfänger und Drittanbieter

Daten werden nicht an Werbe- oder Analyse-Dienste weitergegeben. YT Stream enthält kein eingebautes Tracking (z. B. Google Analytics).

Bei Nutzung optionaler Funktionen können Daten an folgende Stellen übermittelt werden:

• YouTube / Google: bei OAuth oder API-Nutzung gemäß Google-Datenschutzrichtlinien.
• Jellyfin: nur wenn in der Konfiguration hinterlegt (Metadaten-Abfrage).
• Hosting (Plesk EU): Serverbetrieb im Rahmen des Auftragsverarbeitungsverhältnisses mit dem Provider.

Externe CDN-Ressourcen (Tailwind, htmx) werden für die Oberfläche geladen; dabei können technisch IP-Adressen beim CDN-Anbieter anfallen. Für den Betrieb kann auf lokale Static-Dateien umgestellt werden.

8. Technische und organisatorische Maßnahmen

• Passwörter werden mit bcrypt gehasht, nicht im Klartext gespeichert.
• Stream-Schlüssel und OAuth-Refresh-Tokens werden mit Fernet-Verschlüsselung in der Datenbank abgelegt.
• In Produktion ist HTTPS vorgesehen; Session-Cookies erhalten das Flag „Secure“, sofern konfiguriert.
• Anwendungsdaten (DATA_DIR: Datenbank, Logs, Cache) liegen außerhalb des öffentlichen Webroots oder sind per Serverregel geschützt.
• Zugriff nur nach Authentifizierung; rollenbasierte Einschränkung für Mitarbeiter.
• CSRF-Schutz für formularbasierte Aktionen.

9. Ihre Rechte

Sie haben gegenüber dem Verantwortlichen u. a. folgende Rechte:

• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen (Art. 21 DSGVO)
• Datenübertragbarkeit, soweit anwendbar (Art. 20 DSGVO)
• Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Löschung von Mitarbeiter-Konten: Administratoren können Konten in der Benutzerverwaltung deaktivieren oder (bei Mitarbeiter-Rolle) vollständig löschen. Für weitere Anfragen wenden Sie sich an info@imh-group.us.

10. Keine Pflicht zur Bereitstellung

Die Nutzung von YT Stream setzt eine interne Berechtigung voraus. Ohne Bereitstellung der für den Login erforderlichen Daten ist eine Nutzung nicht möglich.