AIO_Bot

Datenschutzerklärung

Zuletzt aktualisiert: April 2026

1. Verantwortlicher

Diese Datenschutzerklärung gilt für den Dienst AIO_Bot, erreichbar unter aiobot.cc.

Verantwortlicher / Kontakt:

Marc Seidel

Karlsdorf Mitte 2, 85659 Forstern, Deutschland

E-Mail: meinhandball@gmail.com

2. Welche Daten wir erfassen

Beim Nutzen von AIO_Bot werden folgende Daten verarbeitet:

  • Twitch-Konto: Twitch-ID, Benutzername, Profilbild (via Twitch OAuth)
  • YouTube-Konto: OAuth-Access-Token und Refresh-Token (wenn YouTube-Module wie Multi-Chat, Subathon-Timer, Chat-Alerts oder der YouTube-Bot-Account aktiviert werden)
  • Kick-Konto: OAuth-Access-Token und Refresh-Token (wenn Kick-Module wie Multi-Chat, Subathon-Timer, Chat-Alerts oder der Kick-Bot-Account aktiviert werden)
  • Spotify-Konto: OAuth-Access-Token und Refresh-Token (nur wenn das Song-Request-Modul aktiviert wird)
  • Chat-Daten: Chatnachrichten aus verbundenen Streams (Twitch, Kick, YouTube) zur Verarbeitung von Bot-Befehlen und Moderation
  • Bot-Einstellungen: Konfigurationen wie Timer, Commands, Giveaways, Subathon, Moderationsregeln etc.
  • Zahlungs- und Abo-Daten (bei Premium-Abonnement): Stripe-Customer-ID, Stripe-Subscription-ID, Abonnement-Status, gebuchter Preisplan (Price-ID), aktuelles Laufzeitende, Kündigungsstatus. Die eigentlichen Zahlungsinformationen (Kreditkartennummer, IBAN etc.) werden ausschließlich von Stripe verarbeitet — wir erhalten und speichern diese zu keinem Zeitpunkt.

3. Zweck der Datenverarbeitung

Die erfassten Daten werden ausschließlich für den Betrieb des Bots verwendet:

  • Authentifizierung und Autorisierung gegenüber Drittdiensten (Twitch, Kick, YouTube, Spotify)
  • Ausführen von Bot-Funktionen plattformübergreifend in Twitch-, Kick- und YouTube-Streams (Commands, Timer, Giveaways, Moderation, etc.)
  • Lesen und Anzeigen von Live-Chat-Nachrichten im Multi-Chat-Dashboard (Twitch, Kick, YouTube, StreamElements, StreamLabs)
  • Erkennung und Verarbeitung von Events (Subscriptions, Cheers, Raids, Mitgliedschaften, Donations) für Chat-Alerts, Smart Home und den Subathon-Timer
  • Songwünsche über Spotify abspielen
  • Abwicklung von Premium-Abonnements (Checkout, wiederkehrende Abbuchung, Kündigung, Rechnungsstellung) über Stripe

4. Drittdienste

AIO_Bot kommuniziert mit folgenden externen Diensten:

  • Twitch – für Authentifizierung, Bot-Aktionen, EventSub-Events und Chat-Moderation (Twitch Datenschutz)
  • Google / YouTube – für YouTube Live-Chat-Integration, Bot-Aktionen, Mitgliedschafts-Events und Moderation (Google Datenschutz)
  • Kick – für Kick Live-Chat-Integration, Bot-Aktionen, Webhook-Events (Subscriptions, Follows, Bans) und Moderation (Kick Datenschutz)
  • Spotify – für Song-Request-Funktion (Spotify Datenschutz)
  • DeepL – für automatische Chat-Übersetzungen (DeepL Datenschutz)
  • StreamElements / StreamLabs – für Donation-Streams im Multi-Chat-Dashboard
  • Govee – für Smart Home Licht-Effekte bei Stream-Events
  • WeatherAPI – für den !weather-Command
  • Stripe – für die Abwicklung von Premium-Abonnements (Checkout, wiederkehrende Abbuchungen, Kündigung, Rechnungen). Anbieter: Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland (Stripe Datenschutzerklärung)

4a. Zahlungsabwicklung über Stripe

Für Premium-Abonnements nutzen wir den Zahlungsdienstleister Stripe. Rechtsgrundlage ist die Erfüllung des Abo-Vertrags mit dir (Art. 6 Abs. 1 lit. b DSGVO) sowie die Wahrung unserer berechtigten Interessen an sicherer und automatisierter Zahlungsabwicklung (Art. 6 Abs. 1 lit. f DSGVO).

An Stripe übertragene Daten: E-Mail-Adresse, Name (falls im Checkout eingegeben), Rechnungsadresse, Zahlungsinformationen (z. B. Kreditkartendaten, SEPA-Daten), IP-Adresse, Geräte- und Browser-Informationen zur Betrugsprävention. Diese Daten werden direkt auf der von Stripe gehosteten Checkout-Seite erhoben und verlassen deinen Browser verschlüsselt; wir selbst erhalten keine Zahlungsdaten.

Von Stripe an uns übermittelte Daten: Abo-Status, Stripe-Customer-ID, Stripe-Subscription-ID, gebuchter Preisplan, Laufzeitende und Kündigungs-Flag. Diese Daten werden benötigt, um die Premium-Funktionen freizuschalten bzw. bei Kündigung wieder zu deaktivieren.

Datenübermittlung in Drittländer: Stripe kann personenbezogene Daten an seine US-Muttergesellschaft übermitteln. Stripe hat dazu Standardvertragsklauseln der EU-Kommission abgeschlossen; weitere Informationen finden sich in der Stripe-Datenschutzerklärung.

Speicherdauer: Die von Stripe zurückgelieferten Abo-Metadaten werden für die Dauer deines Abonnements in unserer Datenbank gespeichert. Nach Kündigung bewahren wir sie gesetzeskonform bis zum Ablauf handels- und steuerrechtlicher Aufbewahrungsfristen (i. d. R. 10 Jahre) auf. Stripe selbst speichert Zahlungsdaten gemäß eigener Datenschutzerklärung.

5. Datenspeicherung und Löschung

Alle Daten werden in einer gesicherten PostgreSQL-Datenbank gespeichert und nicht an Dritte weitergegeben. OAuth-Tokens werden ausschließlich zur Kommunikation mit den jeweiligen Diensten verwendet.

Du kannst jederzeit die Verbindung zu Twitch, YouTube, Kick oder Spotify über dein Dashboard-Profil trennen. Dabei werden die entsprechenden Tokens aus der Datenbank gelöscht.

5a. Datenschutzmaßnahmen

Zum Schutz deiner Daten setzen wir folgende technische und organisatorische Maßnahmen ein:

  • Verschlüsselung sensibler Daten: Alle OAuth-Tokens und API-Schlüssel werden vor der Speicherung in der Datenbank mit AES-256-Verschlüsselung (Fernet) verschlüsselt. Klartext-Tokens werden zu keinem Zeitpunkt in Logs geschrieben oder unverschlüsselt gespeichert.
  • Sichere Übertragung: Sämtliche Kommunikation zwischen Client und Server erfolgt über HTTPS/TLS. Session-Cookies sind mit den Flags HttpOnly, SameSite=Lax und Secure geschützt.
  • Zugriffskontrolle: Der Zugriff auf Daten ist rollenbasiert eingeschränkt. Nur autorisierte Nutzer können auf ihre eigenen Kanäle und Einstellungen zugreifen. Administrative Funktionen sind auf verifizierte Administratoren beschränkt.
  • Minimale Datenspeicherung: Es werden nur die Daten erhoben und gespeichert, die für den Betrieb des jeweiligen Moduls erforderlich sind. OAuth-Tokens werden sofort gelöscht, wenn die Verbindung getrennt wird.
  • Rate Limiting: API-Zugriffe sind durch Rate Limiting geschützt, um Missbrauch und unbefugten Zugriff zu verhindern.
  • Token-Widerruf: Du kannst den OAuth-Zugriff jederzeit über die jeweilige Plattform (z. B. Google-Kontoberechtigungen) oder über dein AIO_Bot-Dashboard widerrufen.

6. YouTube API – Zusätzliche Hinweise

AIO_Bot verwendet die YouTube Data API v3, um Live-Chat-Nachrichten deines Streams zu lesen und Chat-Aktionen (z. B. Nachrichten senden, Nutzer bannen) auszuführen.

Die dafür benötigten OAuth-Zugriffsrechte (Scopes) sind:

  • https://www.googleapis.com/auth/youtube.force-ssl – Lesen von Live-Broadcasts sowie Senden von Chat-Nachrichten und Moderationsaktionen (Timeout/Ban) im Live-Chat
  • https://www.googleapis.com/auth/youtube.channel-memberships.creator – Abfrage von Kanal-Mitgliedschaften, um Mitglieder-Events (z. B. neue Mitgliedschaft, geschenkte Mitgliedschaften) für den Subathon-Timer und Chat-Alerts zu erkennen

6a. Schutz von YouTube-Nutzerdaten

Für über die YouTube API erhaltene Daten gelten folgende Schutzmaßnahmen:

  • Verschlüsselte Speicherung: YouTube OAuth-Tokens (Access-Token und Refresh-Token) werden vor der Speicherung in der Datenbank mit AES-256-Verschlüsselung (Fernet) verschlüsselt. Es werden zu keinem Zeitpunkt Klartext-Tokens in Logs geschrieben oder unverschlüsselt gespeichert.
  • Sichere Übertragung: Alle Kommunikation mit der YouTube API erfolgt ausschließlich über HTTPS/TLS. OAuth-Token-Austausch und API-Aufrufe nutzen verschlüsselte Verbindungen.
  • Minimale Datenspeicherung: Es werden nur die für den Betrieb erforderlichen Daten gespeichert: OAuth-Tokens zur Authentifizierung sowie die YouTube-Kanal-ID zur Identifikation. Chat-Nachrichten werden nicht dauerhaft gespeichert, sondern nur in Echtzeit an das Multi-Chat-Dashboard weitergeleitet.
  • Zugriffskontrolle: Nur der authentifizierte Nutzer selbst hat Zugriff auf seine YouTube-Verbindung und -Einstellungen. Der Zugriff erfolgt über rollenbasierte Berechtigungen und geschützte API-Endpunkte.
  • Token-Widerruf und Löschung: Nutzer können die YouTube-Verbindung jederzeit über das AIO_Bot-Dashboard trennen. Dabei werden alle zugehörigen OAuth-Tokens sofort und unwiderruflich aus der Datenbank gelöscht. Zusätzlich kann der Zugriff über Google-Kontoberechtigungen widerrufen werden.
  • Keine Weitergabe an Dritte: YouTube-Nutzerdaten werden nicht an Dritte weitergegeben, verkauft oder für Werbezwecke verwendet. Die Daten werden ausschließlich zur Bereitstellung der Bot-Funktionalität genutzt.

Die Nutzung der YouTube API durch AIO_Bot entspricht den Google API Services User Data Policy, einschließlich der Anforderungen zur eingeschränkten Nutzung (Limited Use).

7. Cookies und Sessions

AIO_Bot verwendet serverseitige Sessions, um dich eingeloggt zu halten. Es werden keine Tracking-Cookies oder Werbecookies verwendet.

8. Deine Rechte

Du hast jederzeit das Recht auf:

  • Auskunft über deine gespeicherten Daten
  • Löschung deines Accounts und aller gespeicherten Daten
  • Widerruf erteilter OAuth-Berechtigungen

Für Anfragen wende dich an den Betreiber des Dienstes.

9. Änderungen

Diese Datenschutzerklärung kann gelegentlich aktualisiert werden. Die jeweils aktuelle Version ist unter /privacy abrufbar.

Privacy Policy

Last updated: April 2026

1. Controller

This Privacy Policy applies to the service AIO_Bot, available at aiobot.cc.

Controller / Contact:

Marc Seidel

Karlsdorf Mitte 2, 85659 Forstern, Germany

Email: meinhandball@gmail.com

2. Data We Collect

When using AIO_Bot, the following data is processed:

  • Twitch account: Twitch ID, username, profile picture (via Twitch OAuth)
  • YouTube account: OAuth access token and refresh token (when YouTube modules such as Multi-Chat, Subathon timer, Chat Alerts, or the YouTube bot account are enabled)
  • Kick account: OAuth access token and refresh token (when Kick modules such as Multi-Chat, Subathon timer, Chat Alerts, or the Kick bot account are enabled)
  • Spotify account: OAuth access token and refresh token (only when the Song Request module is enabled)
  • Chat data: Chat messages from connected streams (Twitch, Kick, YouTube) for processing bot commands and moderation
  • Bot settings: Configurations such as timers, commands, giveaways, subathon, moderation rules, etc.
  • Payment and subscription data (for premium subscriptions): Stripe customer ID, Stripe subscription ID, subscription status, chosen price plan (price ID), current period end, cancellation flag. The actual payment information (credit-card number, IBAN etc.) is processed exclusively by Stripe — we never receive or store it.

3. Purpose of Data Processing

The collected data is used exclusively for operating the bot:

  • Authentication and authorization with third-party services (Twitch, Kick, YouTube, Spotify)
  • Executing bot functions across platforms in Twitch, Kick, and YouTube streams (commands, timers, giveaways, moderation, etc.)
  • Reading and displaying live chat messages in the Multi-Chat dashboard (Twitch, Kick, YouTube, StreamElements, StreamLabs)
  • Detecting and processing events (subscriptions, cheers, raids, memberships, donations) for chat alerts, smart home effects, and the subathon timer
  • Playing song requests via Spotify
  • Handling premium subscriptions (checkout, recurring billing, cancellation, invoicing) via Stripe

4. Third-Party Services

AIO_Bot communicates with the following external services:

  • Twitch – for authentication, bot actions, EventSub events, and chat moderation (Twitch Privacy Policy)
  • Google / YouTube – for YouTube Live Chat integration, bot actions, membership events, and moderation (Google Privacy Policy)
  • Kick – for Kick Live Chat integration, bot actions, webhook events (subscriptions, follows, bans), and moderation (Kick Privacy Policy)
  • Spotify – for the Song Request feature (Spotify Privacy Policy)
  • DeepL – for automatic chat translations (DeepL Privacy Policy)
  • StreamElements / StreamLabs – for donation streams in the Multi-Chat dashboard
  • Govee – for smart home light effects on stream events
  • WeatherAPI – for the !weather command
  • Stripe – for handling premium subscriptions (checkout, recurring billing, cancellation, invoicing). Provider: Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Ireland (Stripe Privacy Policy)

4a. Payment Processing via Stripe

We use the payment service provider Stripe for premium subscriptions. The legal basis is the performance of the subscription contract with you (Art. 6(1)(b) GDPR) as well as our legitimate interest in a secure and automated payment flow (Art. 6(1)(f) GDPR).

Data transferred to Stripe: email address, name (if entered at checkout), billing address, payment information (e.g. credit-card data, SEPA details), IP address, device and browser information for fraud prevention. This data is collected directly on the Stripe-hosted checkout page and leaves your browser encrypted; we do not receive payment data ourselves.

Data received from Stripe: subscription status, Stripe customer ID, Stripe subscription ID, chosen price plan, current period end, and cancellation flag. This data is required to activate premium features and to deactivate them upon cancellation.

Transfer to third countries: Stripe may transfer personal data to its US parent company. Stripe has entered into the EU Standard Contractual Clauses for this purpose; further information is available in the Stripe Privacy Policy.

Retention: The subscription metadata returned by Stripe is stored in our database for the duration of your subscription. After cancellation we retain it in accordance with statutory commercial and tax retention periods (typically 10 years). Stripe itself stores payment data in accordance with its own privacy policy.

5. Data Storage and Deletion

All data is stored in a secured PostgreSQL database and is not shared with third parties. OAuth tokens are used exclusively to communicate with the respective services.

You can disconnect your Twitch, YouTube, Kick, or Spotify account at any time via your dashboard profile. The corresponding tokens will be deleted from the database.

5a. Data Protection Measures

We employ the following technical and organizational measures to protect your data:

  • Encryption of sensitive data: All OAuth tokens and API keys are encrypted using AES-256 encryption (Fernet) before being stored in the database. Plaintext tokens are never written to logs or stored unencrypted.
  • Secure transmission: All communication between client and server is conducted over HTTPS/TLS. Session cookies are protected with the HttpOnly, SameSite=Lax, and Secure flags.
  • Access control: Data access is restricted by role-based permissions. Only authorized users can access their own channels and settings. Administrative functions are limited to verified administrators.
  • Data minimization: Only data required for the operation of each module is collected and stored. OAuth tokens are immediately deleted when the connection is revoked.
  • Rate limiting: API access is protected by rate limiting to prevent abuse and unauthorized access.
  • Token revocation: You can revoke OAuth access at any time via the respective platform (e.g. Google Account Permissions) or through your AIO_Bot dashboard.

6. YouTube API – Additional Information

AIO_Bot uses the YouTube Data API v3 to read live chat messages from your stream and perform chat actions (e.g. sending messages, banning users).

The required OAuth scopes are:

  • https://www.googleapis.com/auth/youtube.force-ssl – Read live broadcasts and send chat messages and moderation actions (timeout/ban) in the live chat
  • https://www.googleapis.com/auth/youtube.channel-memberships.creator – Query channel memberships to detect member events (e.g. new memberships, gifted memberships) for the Subathon timer and chat alerts

6a. Protection of YouTube User Data

The following measures apply to data obtained through the YouTube API:

  • Encrypted storage: YouTube OAuth tokens (access token and refresh token) are encrypted using AES-256 encryption (Fernet) before being stored in the database. Plaintext tokens are never written to logs or stored unencrypted at any time.
  • Secure transmission: All communication with the YouTube API is conducted exclusively over HTTPS/TLS. OAuth token exchanges and API calls use encrypted connections.
  • Data minimization: Only data required for operation is stored: OAuth tokens for authentication and the YouTube channel ID for identification. Chat messages are not permanently stored but only relayed in real time to the Multi-Chat dashboard.
  • Access control: Only the authenticated user has access to their own YouTube connection and settings. Access is governed by role-based permissions and protected API endpoints.
  • Token revocation and deletion: Users can disconnect their YouTube account at any time via the AIO_Bot dashboard. All associated OAuth tokens are immediately and permanently deleted from the database. Additionally, access can be revoked via Google Account Permissions.
  • No sharing with third parties: YouTube user data is not shared with, sold to, or used for advertising by any third party. Data is used exclusively to provide the bot functionality.

AIO_Bot's use of the YouTube API complies with the Google API Services User Data Policy, including the Limited Use requirements.

7. Cookies and Sessions

AIO_Bot uses server-side sessions to keep you logged in. No tracking cookies or advertising cookies are used.

8. Your Rights

You have the right at any time to:

  • Request information about your stored data
  • Delete your account and all associated data
  • Revoke granted OAuth permissions

For inquiries, please contact the service operator.

9. Changes

This Privacy Policy may be updated occasionally. The current version is always available at /privacy.