Datenschutzerklärung

(Stand: Februar 2026)

1. Verantwortlicher

Aerra Flow e.U.
Neustraße 7/3, 4522 Sierning, Österreich
Inhaber: Ralf Reschauer
FN 628502v, Landesgericht Steyr

Kontakt für Datenschutzanfragen:

2. Geltungsbereich

Diese Datenschutzerklärung gilt für die Nutzung von aerraflow.com sowie für den Chatbot HelmoodBotter, der auf Twitch und Discord in Kanälen/Servern aktiver Streamer-Partner betrieben wird. Sie informiert Sie gemäß Art. 13 und 14 DSGVO über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten. Bei der Nutzung des Bots in Streamer-Kanälen/Servern kann der jeweilige Kanalbetreiber für kanalbezogene Moderationsentscheidungen datenschutzrechtlich (mit-)verantwortlich sein.

3. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten ausschließlich auf Basis einer gesetzlichen Grundlage:

Rechtsgrundlage Anwendungsbereich
Art. 6 Abs. 1 lit. f DSGVO
(Berechtigte Interessen)		 Die Verarbeitung für Betrieb und Moderation des Bots erfolgt überwiegend auf Grundlage berechtigter Interessen: Empfang und Verarbeitung von Chat-Nachrichten, Zuordnung zu Nutzerprofilen, Anti-Spam-Maßnahmen, Strike-/Ban-System, Missbrauchsprävention, Aktivitätsprotokollierung.

Unsere berechtigten Interessen: Community-Sicherheit, konsistente Regeldurchsetzung, Qualitätsverbesserung des Dienstes.
Art. 6 Abs. 1 lit. a DSGVO
(Einwilligung)		 Erweiterte Funktionen (!privacy accept): dauerhafte Speicherung personenbezogener Chat-Daten über 24 Stunden hinaus, personalisierte Streaks und Anwesenheitsstatistiken, KI-gestützte personalisierte Interaktionen, personenbezogenes Engagement-Tracking.

4. Zwei-Stufen-Datenschutzmodell (Twitch und Discord)

Unser Chatbot verwendet ein zweistufiges Datenschutzmodell, das Transparenz und Nutzerautonomie gewährleistet. Das Modell gilt plattformübergreifend für Twitch und Discord:

4.1 Stufe 1: Essenzielle Verarbeitung (berechtigtes Interesse)

Mit der Teilnahme am Chat in einem Kanal/Server mit aktivem HelmoodBotter verarbeiten wir die folgenden Daten zu den nachstehend beschriebenen Zwecken. Diese Verarbeitung erfolgt auf Basis berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) und stellt keine Einwilligung dar. Bei Ihrer ersten Nachricht erhalten Sie automatisch einen kurzen Datenschutzhinweis mit Verweis auf diese Erklärung und Ihre Rechte.

Verarbeitete Daten:

  • Twitch User-ID, Login und Anzeigename – zur Zuordnung Ihrer Nachrichten und für Moderationszwecke.
  • Nachrichteninhalt, Message-ID und Zeitstempel – für Chatbetrieb und Moderation.
  • Rollen und Badges (Moderator, VIP, Subscriber, Broadcaster) – für das Berechtigungssystem.
  • Moderationsdaten (Strike-Einträge: Grund, Schwere, Zeitpunkt, Kontext, Beweis-Auszug) – für konsistente Regeldurchsetzung.
  • Bot-Aktivitätslog (welche Aktion der Bot auf Ihre Nachricht ausgeführt hat) – für Nachvollziehbarkeit und Fehleranalyse.

Automatische Pseudonymisierung: Ohne ausdrückliche Einwilligung (Stufe 2) werden Ihre personenbezogenen Felder (Login, Anzeigename und User-ID) in Chat-Nachrichten nach 24 Stunden durch eine stark pseudonymisierte Kennung (gesalzener Hash) ersetzt. Eine Zuordnung zu Ihrer Person ist ohne zusätzliche, getrennt geschützte Informationen nicht möglich. Der Nachrichteninhalt bleibt für statistische Zwecke erhalten; ein Restrisiko indirekter Identifizierung über seltene Inhalte kann nicht vollständig ausgeschlossen werden (Pseudonymisierung, keine Anonymisierung im Sinne der DSGVO). Die Message-ID wird beibehalten, dient aber nur der technischen Deduplizierung und ermöglicht keine Zuordnung zu Ihrer Person.

4.2 Stufe 2: Erweiterte Verarbeitung (Einwilligung via !privacy accept)

Durch den Chat-Befehl !privacy accept willigen Sie in folgende zusätzliche Verarbeitungen ein:

Plattformübergreifende Einwilligung: Eine erteilte Einwilligung gilt dienstübergreifend für HelmoodBotter auf Twitch und Discord. Wenn Sie die Einwilligung auf Twitch erteilen (z.B. über !privacy accept), gilt sie auch für die Nutzung des Bots auf Discord (und umgekehrt), sofern wir Ihr Konto technisch eindeutig zuordnen können (z.B. über eine verknüpfte Account-Zuordnung in unserem System). Ohne eine solche Zuordnung wird die Einwilligung nur innerhalb der Plattform angewendet, auf der sie erteilt wurde.

  • Dauerhafte Zuordnung – Ihre Chat-Nachrichten bleiben dauerhaft mit Ihrem Benutzernamen verknüpft (keine Pseudonymisierung nach 24h).
  • Stream-Anwesenheit und Streaks – Erfassung Ihrer Teilnahme an Streams inkl. Streak-Berechnung.
  • KI-Personalisierung – Ihre bisherigen Nachrichten werden dem Bot als Kontext zur Verfügung gestellt, um persönlichere Antworten zu generieren.
  • Engagement-Tracking – Ihre Reaktionen auf Bot-Antworten werden zur Qualitätsverbesserung ausgewertet.

Widerruf jederzeit möglich: Nutzen Sie !privacy revoke im Chat (Art. 7 Abs. 3 DSGVO). Nach dem Widerruf deaktivieren wir personalisierte Funktionen und pseudonymisieren Ihre Daten in Nachrichten, Engagement-Scores und Aktivitätslog. Moderation und Sicherheitsfunktionen bleiben auf Basis berechtigter Interessen bestehen. Strike-Daten bleiben unabhängig vom Widerruf gemäß den Retention-Fristen (90/365/730 Tage) auf Basis berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) zur Community-Sicherheit und Missbrauchsprävention gespeichert. Der Widerruf wirkt plattformübergreifend für Twitch und Discord, sobald wir Ihre Konten technisch eindeutig zuordnen können.

Widerspruch (Art. 21 DSGVO): Gegen die essenzielle Verarbeitung (Stufe 1) auf Basis berechtigter Interessen können Sie per E-Mail an Widerspruch einlegen. Wir prüfen Ihren Widerspruch einzelfallbezogen. Sofern zwingende schutzwürdige Gründe vorliegen (Community-Sicherheit, Missbrauchsprävention), können Teile der Verarbeitung fortgeführt werden.

4.3 Verfügbare Chat-Befehle

BefehlBeschreibung
!privacyKurzübersicht mit Link zur vollständigen Datenschutzerklärung (aerraflow.com/privacy)
!privacy acceptErweiterte Datenverarbeitung aktivieren (Stufe 2)
!privacy revokeWiderruf der Einwilligung für Stufe 2 (Art. 7 Abs. 3 DSGVO). Personalisierte Funktionen werden deaktiviert, Daten pseudonymisiert.

Discord: Einwilligung durch ✅-Reaction auf den angepinnten Datenschutz-Post; Widerruf durch Entfernen der ✅-Reaction.

4.4 Discord: Einwilligung per ✅-Reaction (Stufe 2)

In Discord kann die Einwilligung für Stufe 2 durch eine Reaktion mit ✅ (grüner Haken) auf den angepinnten Datenschutz-Post erteilt werden. Das Entfernen der ✅-Reaction gilt als Widerruf.

Die Einwilligung bzw. der Widerruf werden als Nachweis gespeichert (Discord-User-ID, Server-ID, Zeitstempel, Version dieser Datenschutzerklärung, Quelle der Einwilligung: „Discord").

Sofern Ihre Konten technisch eindeutig zugeordnet sind, wirkt die Einwilligung bzw. der Widerruf dienstübergreifend auch für die Nutzung des Bots auf Twitch.

5. Erhobene Datenkategorien im Detail

5.1 Website (aerraflow.com)

Beim Besuch unserer Website werden technische Zugriffsdaten durch den Webserver verarbeitet (IP-Adresse, Zeitstempel, angeforderte URL, HTTP-Methode, Statuscode, User-Agent). Diese Server-Logs werden für 14 Tage zur Sicherstellung der IT-Sicherheit und Fehleranalyse gespeichert und danach automatisch gelöscht (Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO).

Wir setzen auf aerraflow.com keine Cookies, Tracking-Tools oder Analysedienste ein. Es werden keine Daten an Werbedienstleister oder Social-Media-Plattformen übermittelt.

5.2 Twitch Chatbot (HelmoodBotter)

Datenkategorie Konkrete Daten Zweck Rechtsgrundlage Aufbewahrung
Chat-Nutzer-Profil Twitch User-ID, Login, Anzeigename, Rollen (Mod/VIP/Sub/Tier/Monate), Zeitpunkt der letzten Nachricht Zuordnung, Berechtigungssystem, Moderation Art. 6(1)(f) Solange der Nutzer im Kanal aktiv ist oder Moderationsdaten bestehen
Chat-Nachrichten Nachrichtentext, Message-ID, Zeitstempel, Broadcaster-Zuordnung, Tags Chatbetrieb, Moderation, KI-Kontext Art. 6(1)(f); mit Einwilligung: Art. 6(1)(a) Benutzerzuordnung: 24h (dann Pseudonymisierung); mit Einwilligung: dauerhaft
Moderationsdaten (Strikes) Verstoßgrund, Schwere, Punkte, Zeitstempel, Kontext (letzte Nachrichten), ausführende Person Konsistente Regeldurchsetzung, Eskalation, Einspruchsverfahren Art. 6(1)(f) Leicht: 90 Tage, mittel: 365 Tage, schwer: 730 Tage (danach automatische Löschung)
Bot-Aktivitätslog Instanz-ID, Nutzer-ID/Login, Aktionstyp, Details (z.B. Analyseergebnis, Antwort, Fehler), Bot-Modus Nachvollziehbarkeit, Fehleranalyse, Missbrauchserkennung Art. 6(1)(f) 90 Tage personenbezogen, danach Pseudonymisierung. Bei Widerruf: sofortige Pseudonymisierung unabhängig von der Aufbewahrungsfrist.
Stream-Anwesenheit Nutzer-ID, Stream-ID, Datum, Erster-Gesehen-Zeitstempel, Streak-Daten Anwesenheitsstatistiken, Streak-Features Art. 6(1)(a) Nur mit Einwilligung; keine neuen Einträge nach Widerruf
Engagement-Scores Auslösende Nachricht/Nutzer, Bot-Antwort, Reaktionen (Login, Name, Text, Zeitversatz), Bewertungen Qualitätsverbesserung des Bots, Analyse erfolgreicher Interaktionen Art. 6(1)(a) Nur mit Einwilligung (Stufe 2); 180 Tage Aufbewahrung, danach Löschung. Bei Widerruf: sofortige Pseudonymisierung.
Einwilligungsstatus Privacy-Essential/Functional-Flag, Zeitstempel der Zustimmung bzw. des Widerrufs Nachweis der Einwilligung (Dokumentationspflicht gemäß Art. 5 Abs. 2, Art. 7 Abs. 1 DSGVO), Steuerung der Verarbeitung Art. 6(1)(c) i.V.m. Art. 7(1) Solange das Nutzerprofil besteht

5.3 Discord (HelmoodBotter)

Beim Einsatz des Bots in Discord verarbeiten wir, abhängig von Funktionen und Einwilligungsstatus, insbesondere:

  • Discord User-ID, Username/Displayname, Server-/Channel-Zuordnung, Rollen/Rechte – Berechtigungssystem, Moderation.
  • Nachrichteninhalt, Message-ID, Zeitstempel – Chatbetrieb, Moderation, KI-Kontext.
  • Moderationsdaten (z.B. Strikes/Bans/Unbans: Grund, Schwere, Zeitpunkt, Kontext) – konsistente Regeldurchsetzung.
  • Bot-Aktivitätslog – ausgeführte Aktionen und Fehler.
  • Einwilligungsstatus (Quelle: Twitch/Discord, Zeitstempel, Version) – Nachweis der Einwilligung.

Rechtsgrundlagen, Pseudonymisierung und Aufbewahrungsfristen entsprechen dem Zwei-Stufen-Modell (Abschnitt 4) und den Retention-Regeln (Abschnitt 7).

6. KI-Verarbeitung und Drittanbieter

Wir verwenden Google Cloud Vertex AI (Gemini) zur Analyse und Antwortgenerierung. Dabei können Chat-Nachrichten an Google-Server übermittelt werden.

  • Verarbeitungsstandort: Die Verarbeitung erfolgt bevorzugt in der EU-Region europe-west3 (Frankfurt). Für Preview-Modelle, die noch nicht auf EU-Endpunkten verfügbar sind, werden globale Endpunkte genutzt. In diesem Fall gelten die Standardvertragsklauseln (SCCs) gemäß Durchführungsbeschluss (EU) 2021/914 als Transfergrundlage.
  • Übermittelte Daten: Nachrichtentext, Benutzername, Chat-Kontext (letzte relevante Nachrichten). Soweit technisch möglich, wird statt des Benutzernamens nur die pseudonymisierte User-ID übermittelt. Es werden keine Passwörter, Token oder private Kontaktdaten übermittelt.
  • Zweck: Analyse (behalten/verwerfen, Tagging), Antwortgenerierung, Moderationsprüfung.
  • Ergänzende Schutzmaßnahmen: Verschlüsselung bei der Übertragung (TLS), Zugriffsbeschränkung über API-Keys mit minimalen Berechtigungen, Vertraulichkeitsfilter auf unserer Seite vor Übermittlung.
  • Keine Trainingsfreigabe: Wir aktivieren keine Option zur Verwendung Ihrer Inhalte für das Training von Google-Modellen. Gemäß den Google Cloud Data Processing Terms werden Kundendaten nicht für Modelltraining herangezogen. Google kann jedoch Service-Logging und Abuse-Monitoring im Rahmen seiner Vertragsbedingungen durchführen.
  • Drittlandübermittlung: Obwohl die Verarbeitung bevorzugt in der EU erfolgt, können Drittlandübermittlungen nicht vollständig ausgeschlossen werden (z.B. Support-Endpunkte, Preview-Modelle). In solchen Fällen gelten SCCs und ergänzende Schutzmaßnahmen; die Angemessenheit wird regelmäßig bewertet.
  • Subprozessoren: Google setzt Subprozessoren gemäß der Google Cloud Data Processing Addendum (DPA) ein. Eine aktuelle Liste ist über die Google Cloud-Dokumentation einsehbar.

7. Aufbewahrungsfristen

Datenkategorie Aufbewahrungsfrist Maßnahme nach Ablauf
Chat-Nachrichten (ohne Einwilligung) 24 Stunden personenbezogen Automatische Pseudonymisierung (Login, Name und User-ID durch gesalzenen Hash ersetzt; Nachrichteninhalt bleibt erhalten)
Chat-Nachrichten (mit Einwilligung) Solange Einwilligung besteht Bei Widerruf: Pseudonymisierung
Server-Logs (Website) 14 Tage Automatische Löschung
OAuth-States (PKCE) 15 Minuten Automatische Löschung
Strike-Einträge (leicht) 90 Tage Automatische Löschung durch Retention-Scheduler
Strike-Einträge (mittel) 365 Tage Automatische Löschung durch Retention-Scheduler
Strike-Einträge (schwer) 730 Tage Automatische Löschung durch Retention-Scheduler
Bot-Aktivitätslog 90 Tage personenbezogen Automatische Pseudonymisierung (Benutzername entfernt, Nutzer-ID genullt). Bei Widerruf: sofortige Pseudonymisierung unabhängig von der Aufbewahrungsfrist.
Engagement-Scores (nur mit Einwilligung) 180 Tage Automatische Löschung; bei Widerruf: sofortige Pseudonymisierung
Stream-Anwesenheit Solange Einwilligung besteht Keine neuen Einträge nach Widerruf

Die genannten Aufbewahrungsfristen gelten entsprechend auch für Discord-Daten.

8. Empfänger und Auftragsverarbeiter

Personenbezogene Daten werden an folgende Kategorien von Empfängern weitergegeben:

  • Streamer-Partner (Kanalbetreiber): Streamer-Partner nutzen HelmoodBotter zur Moderation und Interaktion in ihrem eigenen Twitch-Kanal bzw. Discord-Server und können Moderationsmaßnahmen (z.B. Bans/Unbans, Eskalationen) auslösen. Für diese kanalbezogene Moderation und Regelanwendung handeln Streamer-Partner in der Regel als eigenständige Verantwortliche. Aerra Flow stellt die technische Plattform bereit und verarbeitet Daten zur Bereitstellung, Sicherheit und Fehleranalyse des Dienstes. Ein Export/Download personenbezogener Daten aus dem Dashboard ist nicht vorgesehen; Zugriffe sind rollenbasiert beschränkt und werden protokolliert.
  • Hetzner Online GmbH (Deutschland) – Server-Infrastruktur und Hosting. Rechenzentren in der EU.
  • Google Cloud / Vertex AI (Google Ireland Ltd., Irland) – KI-Analyse und Antwortgenerierung (siehe Abschnitt 6).
  • Twitch Interactive, Inc. (Amazon, USA) – Technische Interaktion über die Twitch API (Nachrichten senden, Moderationsaktionen ausführen). Twitch ist eigenständiger Verantwortlicher für seine Plattformverarbeitung.
  • Discord Inc. (USA) – Technische Interaktion über die Discord API (Nachrichten senden, Moderationsaktionen ausführen). Discord ist eigenständiger Verantwortlicher für seine Plattformverarbeitung. Datenübermittlung auf Basis von SCCs.

Hinweis zur Rollenverteilung (Art. 26 DSGVO): Soweit Streamer-Partner und Aerra Flow Zwecke und Mittel bestimmter Verarbeitungen gemeinsam festlegen (z.B. Ausgestaltung des Strike-/Moderationssystems im Kanal), können sie hierfür gemeinsam Verantwortliche sein. Die wesentlichen Inhalte der Vereinbarung (Kontaktstelle und Zuständigkeiten) stellen wir auf Anfrage zur Verfügung. Primäre Kontaktstelle: Aerra Flow (). Zuständigkeiten: Aerra Flow (Plattformbetrieb, Sicherheit, Retention), Streamer-Partner (kanalbezogene Moderationsentscheidungen).

Mit allen Auftragsverarbeitern bestehen Vereinbarungen gemäß Art. 28 DSGVO. Wir verkaufen oder vermieten keine personenbezogenen Daten an Dritte. Es findet keine Verarbeitung für Werbezwecke statt.

9. Datenübermittlung in Drittländer

Soweit Daten an Google Cloud (Vertex AI), Twitch (Amazon) oder Discord außerhalb des EWR übermittelt werden, erfolgt dies auf Grundlage der Standardvertragsklauseln (SCCs) gemäß Durchführungsbeschluss (EU) 2021/914 sowie ergänzender technischer Schutzmaßnahmen (TLS-Verschlüsselung, Zugriffsbeschränkung, Pseudonymisierung soweit möglich). Die Angemessenheit der Schutzmaßnahmen wird regelmäßig überprüft.

10. Ihre Rechte als betroffene Person

Sie haben gemäß DSGVO folgende Rechte:

Recht Beschreibung Ausübung
Auskunft (Art. 15) Welche Daten wir über Sie gespeichert haben E-Mail an oder !privacy im Chat
Berichtigung (Art. 16) Korrektur unrichtiger Daten E-Mail an
Löschung (Art. 17) Löschung bzw. Pseudonymisierung Ihrer Daten. Eine vollständige Löschung erfolgt, soweit keine gesetzlichen Aufbewahrungspflichten oder zwingenden schutzwürdigen Gründe (z.B. Community-Sicherheit) entgegenstehen. !privacy revoke im Chat oder E-Mail an
Einschränkung (Art. 18) Einschränkung der Verarbeitung (z.B. bei laufendem Einspruch) E-Mail an
Datenübertragbarkeit (Art. 20) Herausgabe Ihrer Daten in einem strukturierten Format E-Mail an
Widerruf der Einwilligung (Art. 7 Abs. 3) Widerruf der Einwilligung für Stufe 2 (erweiterte Verarbeitung). Personalisierte Funktionen werden deaktiviert, Daten pseudonymisiert. Moderation und Sicherheitsfunktionen bleiben bestehen. !privacy revoke im Chat oder E-Mail an
Widerspruch (Art. 21) Widerspruch gegen die essenzielle Verarbeitung (Stufe 1) auf Basis berechtigter Interessen. Wir prüfen einzelfallbezogen; bei zwingenden schutzwürdigen Gründen (Community-Sicherheit) können Teile der Verarbeitung fortgeführt werden. E-Mail an

Zur Identitätsprüfung bei Anfragen per E-Mail benötigen wir Ihren Twitch- und/oder Discord-Benutzernamen. Alternativ können Sie eine Anfrage direkt über Ihren Twitch-Account im Chat stellen. Für kanalbezogene Moderationsverarbeitungen kann die Bearbeitung einer Anfrage die Mitwirkung des jeweiligen Streamer-Partners erfordern; Aerra Flow bleibt zentrale Kontaktstelle und koordiniert die Bearbeitung. Ein Widerruf (Stufe 2) oder eine Anfrage kann, sofern Konten zugeordnet sind, plattformübergreifend umgesetzt werden (Twitch/Discord). Bitte geben Sie dafür Ihren Twitch- und/oder Discord-Nutzernamen an.

11. Beschwerderecht

Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Die für uns zuständige Aufsichtsbehörde ist:

Österreichische Datenschutzbehörde
Barichgasse 40-42, 1030 Wien
www.dsb.gv.at

12. Sicherheitsmaßnahmen

Wir setzen angemessene technische und organisatorische Maßnahmen ein (Art. 32 DSGVO):

  • Transportverschlüsselung (TLS) für alle Verbindungen
  • Verschlüsselung sensibler Daten (OAuth-Tokens werden mit AES-256-GCM verschlüsselt gespeichert)
  • Strikte Zugriffskontrolle und Rollentrennung (Moderatoren vs. Administratoren)
  • Automatische Pseudonymisierung bzw. Löschung nach Ablauf der Aufbewahrungsfrist
  • Vertraulichkeitsfilter: Sensible Daten (Tokens, interne IPs, Passwörter) werden vor der Ausgabe durch den Bot blockiert
  • Audit-Logging aller administrativen Zugriffe und Änderungen

13. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen. Die aktuelle Fassung ist stets unter aerraflow.com/privacy abrufbar. Wesentliche Änderungen werden über den Bot-Befehl !privacy kommuniziert.

Bei Fragen zum Datenschutz wenden Sie sich an: