Diese Datenschutzerklärung beschreibt, wie die MATTALNET GRUPP OÜ („VidEXE", „wir") personenbezogene Daten verarbeitet, wenn du unsere Website, die iOS- und Android-Apps oder die zugehörigen APIs nutzt. Wir richten uns nach der Datenschutz-Grundverordnung der EU (DSGVO) und dem estnischen Datenschutzgesetz. Du kannst dieses Dokument zuerst in Klartext lesen — die verbindliche Fassung sind die nummerierten Abschnitte darunter.
Klartext: Wir speichern nur das Nötigste, um dein Konto zu betreiben. Wir verkaufen deine Daten nicht. Wir trainieren keine KI mit deinen Transkripten oder Skripten. Du kannst deine Daten jederzeit exportieren oder löschen lassen.
1. Verantwortlicher
Verantwortlicher im Sinne der DSGVO ist die MATTALNET GRUPP OÜ, Tuukri tn 19-315, 10120 Tallinn, Estland (estnisches Handelsregister Registrikood 14744075, USt-IdNr. EE102519059). Für Datenschutzfragen schreibe das Formular unter videxe.com/privacy/requests. Wir liegen unterhalb der Schwelle für einen verpflichtenden Datenschutzbeauftragten; das Postfach wird vom inhaltlich Verantwortlichen Alexsander Gros betreut und bei Bedarf an den Geschäftsinhaber Andreas A. Gleim eskaliert.
2. Welche personenbezogenen Daten wir erheben
Wir verarbeiten folgende Kategorien personenbezogener Daten:
• Kontodaten — deine E-Mail-Adresse, optional ein Anzeigename, ein gesalzener Passwort-Hash (bei Passwort-Anmeldung) und das Datum der Kontoanlage.
• Abonnementdaten — die vom Store ausgestellte Kauf-Kennung (Apple `originalTransactionId` für iOS, Google Purchase-Token für Android), der aktive Tarif (Free, Plus, Pro oder Testphase), Beginn und Ende des Zeitraums sowie der Verlängerungsstatus.
• Inhaltsdaten — von dir erstellte oder hochgeladene Mediendateien, Transkripte, Zusammenfassungen, Übersetzungen, Remix-Skripte, Sprachproben, generierte Videos, Kanal-Abonnements und Workflow-Definitionen.
• Nutzungsdaten — ein Prüfprotokoll jedes KI-Aufrufs: Endpunkt, Metrik, Token-Anzahl, geschätzte Kosten, Zeitstempel, HTTP-Status und ein gesalzener Hash der Anfrage-IP. Diese Daten dienen Abrechnung, Missbrauchserkennung und dem Kontingent-Dashboard.
• OAuth-Tokens — für Veröffentlichungsziele, die du selbst verbindest (aktuell YouTube; Refresh-Tokens sind mit AES-256-GCM verschlüsselt).
• Geräte-Tokens — langlebige Bearer-Tokens für deine mobilen Clients; gespeichert wird nur der SHA-256-Hash.
• Diagnosedaten — bei Fehlern erfassen wir die Fehlermeldung und den Pfad der fehlgeschlagenen Anfrage, ohne sensible Inhalte.
3. Zwecke und Rechtsgrundlagen
Wir stützen uns auf folgende Rechtsgrundlagen nach Art. 6 Abs. 1 DSGVO:
• Art. 6 Abs. 1 lit. b — Vertragserfüllung: Bereitstellung des von dir abonnierten Dienstes (Konto, KI-Funktionen, Cloud-Sync, Veröffentlichung).
• Art. 6 Abs. 1 lit. b — Vertragserfüllung: Abwicklung deiner Abonnementzahlungen und Verlängerungen.
• Art. 6 Abs. 1 lit. c — rechtliche Verpflichtung: Aufbewahrung von Rechnungen und Buchhaltungsunterlagen nach estnischem Steuerrecht (7 Jahre).
• Art. 6 Abs. 1 lit. f — berechtigtes Interesse: Schutz des Dienstes vor Missbrauch, Fehleranalyse und anonymisierte Produkt-Statistiken. Du kannst der Verarbeitung auf dieser Grundlage gemäß Art. 21 DSGVO jederzeit widersprechen.
• Art. 6 Abs. 1 lit. a — Einwilligung: Marketing-E-Mails und nicht zwingend erforderliche Analyse-Cookies. Du kannst die Einwilligung jederzeit ohne Auswirkung auf vergangene Verarbeitung widerrufen.
4. Empfänger (Auftragsverarbeiter)
Zur Erbringung des Dienstes geben wir Daten an die in der folgenden Tabelle aufgeführten Auftragsverarbeiter weiter. Mit jedem Anbieter besteht ein Auftragsverarbeitungsvertrag, der ausschließlich Verarbeitung auf unsere dokumentierten Weisungen zulässt. Die aktuelle Liste ist auch unter /admin/legal einsehbar.
Auftragsverarbeiter
| Empfänger | Zweck | Standort | Garantien für die Übermittlung |
|---|
| Apple Inc. (App Store / StoreKit) | Subscription billing for iOS users — Apple receives the payment, we never see card details. | US | User-initiated transfer (Art. 49(1)(b) — performance of contract) + Apple Data Privacy Framework certification. |
| Google LLC (Play Billing) | Subscription billing for Android users — Google receives the payment, we never see card details. | US | EU SCCs + adequacy (Data Privacy Framework). |
| Supabase, Inc. | Managed Postgres + auth backing store. | EU | No transfer — data hosted in EU (eu-west-3). |
| OpenAI, L.L.C. | AI inference (Whisper transcription, GPT chat/summary/translate). | US | EU SCCs (API platform data-processing addendum). |
| Anthropic, PBC | AI inference (Claude chat, summary, comment insights). | US | EU SCCs (API platform data-processing addendum). |
| Groq, Inc. | AI inference (fast LLM responses for chat / translate). | US | EU SCCs (API platform terms). |
| ElevenLabs, Inc. | Text-to-speech generation (voice clones for Remix). | US | EU SCCs (API platform terms). |
| HeyGen, Inc. | Avatar video synthesis for Remix. | US | EU SCCs (API platform terms). |
| Google LLC (YouTube Data API) | Publishing remixes, fetching public comments, OAuth. | US | EU SCCs + adequacy (Data Privacy Framework). |
| Telegram FZ-LLC | Publishing remixes to user-supplied Telegram chats. | Distributed | User-initiated transfer (Art. 49(1)(b) — performance of contract). |
| OneSignal, Inc. | Push-notification delivery to iOS / Android clients. | US | EU SCCs (vendor DPA). |
| Hetzner Online GmbH | Server hosting (the Next.js app + cron + nginx). | EU/DE | No transfer — data hosted in Germany. |
| Resend, Inc. | Transactional email delivery (verification, alerts). | US | EU SCCs (vendor DPA). |
| Cloudflare, Inc. | CDN / DNS in front of videxe.com (when enabled). | US | EU SCCs + adequacy (Data Privacy Framework). |
- Apple Inc. (App Store / StoreKit)
Subscription billing for iOS users — Apple receives the payment, we never see card details.
US · User-initiated transfer (Art. 49(1)(b) — performance of contract) + Apple Data Privacy Framework certification.
- Google LLC (Play Billing)
Subscription billing for Android users — Google receives the payment, we never see card details.
US · EU SCCs + adequacy (Data Privacy Framework).
- Supabase, Inc.
Managed Postgres + auth backing store.
EU · No transfer — data hosted in EU (eu-west-3).
- OpenAI, L.L.C.
AI inference (Whisper transcription, GPT chat/summary/translate).
US · EU SCCs (API platform data-processing addendum).
- Anthropic, PBC
AI inference (Claude chat, summary, comment insights).
US · EU SCCs (API platform data-processing addendum).
- Groq, Inc.
AI inference (fast LLM responses for chat / translate).
US · EU SCCs (API platform terms).
- ElevenLabs, Inc.
Text-to-speech generation (voice clones for Remix).
US · EU SCCs (API platform terms).
- HeyGen, Inc.
Avatar video synthesis for Remix.
US · EU SCCs (API platform terms).
- Google LLC (YouTube Data API)
Publishing remixes, fetching public comments, OAuth.
US · EU SCCs + adequacy (Data Privacy Framework).
- Telegram FZ-LLC
Publishing remixes to user-supplied Telegram chats.
Distributed · User-initiated transfer (Art. 49(1)(b) — performance of contract).
- OneSignal, Inc.
Push-notification delivery to iOS / Android clients.
US · EU SCCs (vendor DPA).
- Hetzner Online GmbH
Server hosting (the Next.js app + cron + nginx).
EU/DE · No transfer — data hosted in Germany.
- Resend, Inc.
Transactional email delivery (verification, alerts).
US · EU SCCs (vendor DPA).
- Cloudflare, Inc.
CDN / DNS in front of videxe.com (when enabled).
US · EU SCCs + adequacy (Data Privacy Framework).
5. Drittlandübermittlung
Einige Auftragsverarbeiter (insbesondere OpenAI, Anthropic, Groq, ElevenLabs, HeyGen, OneSignal, Resend, Cloudflare und Google) verarbeiten Daten in den USA. Für diese Übermittlungen stützen wir uns auf die EU-Standardvertragsklauseln (SCC) gemäß Durchführungsbeschluss (EU) 2021/914, ergänzt um zusätzliche technische Maßnahmen (Transportverschlüsselung, Verschlüsselung im Ruhezustand sofern unterstützt, zweckgebundene Zugangsdaten). Bei Google stützen wir uns zusätzlich auf den Angemessenheitsbeschluss der Kommission im Rahmen des EU-US Data Privacy Framework. Auftragsverarbeiter mit Sitz in der EU (Supabase eu-west-3, Hetzner Deutschland) lösen keine internationale Übermittlung aus. Die Zahlung selbst wird von Apple (App Store) für iOS und Google (Play Store) für Android nach deren eigenen Datenschutzbestimmungen abgewickelt; deine Zahlungsdaten erhalten wir nie.
6. Speicherdauer
Wir speichern personenbezogene Daten nur so lange, wie es für den Zweck erforderlich oder gesetzlich vorgeschrieben ist:
• Kontodaten — solange dein Konto aktiv ist, zuzüglich 90 Tage nach Schließung, um späte Berichtigungs- oder Wiederherstellungsanfragen zu erfüllen.
• Transkripte, Remixe und hochgeladene Medien — bis du sie löschst. Soft-Delete-Tombstones bleiben 30 Tage erhalten, damit andere Geräte die Löschung übernehmen können, und werden danach endgültig entfernt.
• Originalaudio von Transkripten — 30 Tage für Free, 60 für Plus, 90 für Pro. Nach Ablauf wird die Audiodatei automatisch gelöscht; der Texttranskript bleibt erhalten.
• KI-Prüfprotokoll — 90 Tage, dann automatische Löschung durch den Cleanup-Cron.
• Abonnement- und Rechnungsunterlagen — 7 Jahre gemäß estnischem Buchführungsgesetz (Raamatupidamise seadus § 12).
• Zustellprotokolle nach fehlgeschlagenen Mahn-Mails — 30 Tage.
• Datenschutzanfragen — 7 Jahre (Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO).
7. Deine Rechte
Nach Art. 13 und 15-22 DSGVO hast du folgende Rechte:
• Auskunft — Erhalt einer Kopie deiner bei uns gespeicherten personenbezogenen Daten (Art. 15).
• Berichtigung — Korrektur unrichtiger Daten (Art. 16).
• Löschung — Löschung deiner Daten, vorbehaltlich gesetzlicher Aufbewahrungspflichten (Art. 17).
• Einschränkung — Aussetzen der Verarbeitung während eine Beschwerde geprüft wird (Art. 18).
• Datenübertragbarkeit — Erhalt deiner Daten in maschinenlesbarem Format und Übertragung an einen anderen Verantwortlichen (Art. 20).
• Widerspruch — Widerspruch gegen Verarbeitung auf Grundlage berechtigter Interessen oder Direktmarketing (Art. 21).
• Widerruf der Einwilligung — jederzeit, ohne Auswirkung auf die Rechtmäßigkeit der bisherigen Verarbeitung (Art. 7 Abs. 3).
• Beschwerde — bei der estnischen Datenschutzbehörde (Andmekaitse Inspektsioon) oder deiner örtlichen Aufsichtsbehörde.
Am einfachsten nutzt du das Formular unter /privacy/requests. Wir antworten innerhalb von 30 Tagen; bei komplexen Anfragen kann diese Frist gemäß Art. 12 Abs. 3 DSGVO um bis zu zwei weitere Monate verlängert werden, worüber wir dich vorab informieren.
8. Automatisierte Entscheidungen und Profiling
Wir treffen keine ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidungen, die dir gegenüber rechtliche Wirkung entfalten oder dich erheblich beeinträchtigen (Art. 22 DSGVO). Die KI-Funktionen erzeugen Inhalte für dich — sie bewerten dich nicht, vergeben keine Scorings und nehmen dich nicht an oder ab.
9. Cookies
Wir setzen ein technisch notwendiges Session-Cookie für die Anmeldung und ein Präferenz-Cookie für die gewählte Oberflächensprache (NEXT_LOCALE). Wir verwenden keine Werbe-Cookies und keine Cross-Site-Tracker. Unsere Analyse (Plausible) arbeitet ohne Cookies und aggregiert IP-Adressen vor der Speicherung. Deine Cookie-Einstellungen kannst du über den Link „Cookie-Einstellungen" im Footer anpassen.
10. Kinder
VidEXE richtet sich nicht an Kinder unter 16 Jahren; wir erheben wissentlich keine personenbezogenen Daten von Minderjährigen. Wenn du der Ansicht bist, dass ein Kind uns Daten übermittelt hat, schreibe das Formular unter videxe.com/privacy/requests — wir werden diese unverzüglich löschen.
11. Änderungen dieser Erklärung
Wir können diese Datenschutzerklärung von Zeit zu Zeit anpassen. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail und zeigen mindestens 14 Tage vor dem Inkrafttreten ein Banner in der App. Die jeweils aktuelle Fassung mit Datum ist unter /privacy abrufbar.
12. Kontakt
Datenschutzfragen, Widerrufe, Beschwerden und Rechteanfragen: videxe.com/privacy/requests. Postanschrift: MATTALNET GRUPP OÜ, Tuukri tn 19-315, 10120 Tallinn, Estland. Missbrauchsmeldungen: abuse@mattalnet.com. Sonstige Anfragen: support@mattalnet.com.
13. Aufsichtsbehörde
Die zuständige Aufsichtsbehörde ist die estnische Datenschutzbehörde — Andmekaitse Inspektsioon (AKI), Tatari 39, 10134 Tallinn, Estland, https://www.aki.ee/. Du kannst dich auch an die Datenschutzbehörde deines EU-Wohnsitzlandes wenden.