SermonClipper

Datenschutz

Datenschutzerklärung

Diese Datenschutzerklärung beschreibt die Verarbeitung personenbezogener Daten in SermonClipper während der kontrollierten Closed Beta.

Stand: 14.07.2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung ist Max Mustermann (PLATZHALTER), Henriette-Fürth-Straße 28, 60529 Frankfurt am Main, Deutschland. Kontakt: hello@sermonclipper.de.

Diese Angaben sind für die Closed Beta als Platzhalter gekennzeichnet. Vor dem offiziellen Launch müssen Betreiber, Anschrift und gegebenenfalls weitere Pflichtangaben final ersetzt und rechtlich geprüft werden.

2. Was SermonClipper verarbeitet

SermonClipper ist eine deutschsprachige Web-App für Kirchen und Social-Media-Teams. Nutzer können Predigten hochladen oder in begrenztem Umfang importieren, Transkripte erstellen lassen, KI-gestützte Clip-Vorschläge erhalten und gerenderte Kurzclips herunterladen.

Die KI assistiert beim Finden und Vorbereiten von Clips. SermonClipper veröffentlicht Inhalte nicht automatisch. Die inhaltliche Prüfung und Freigabe bleibt bei der jeweiligen Gemeinde beziehungsweise den zuständigen Nutzerinnen und Nutzern.

3. Kategorien personenbezogener Daten

  • Account- und Profildaten: Name, E-Mail-Adresse, Authentifizierungsstatus, Profil-ID, Gemeindezuordnung, Rolle, Mitgliedschaft und Einstellungen.
  • Kirchen- und Organisationsdaten: Name der Gemeinde, Rollen im Team, Tarif-/Beta-Zuweisung, monatliche Predigt-/Analyse-Limits und interne Administrationsnotizen, soweit für die Closed Beta erforderlich.
  • Auth-Daten: Login-Zeitpunkte, Passwort-Reset- und Einladungsprozesse, Supabase-Auth-User-ID, OAuth-Status und technisch notwendige Sessiondaten.
  • Projekt- und Inhaltsdaten: Predigttitel, Predigerangaben, Datum, Quelle, Originalvideo, technische Metadaten, Transkripte, Zeitsegmente, Analyseergebnisse, Clip-Vorschläge, Hooks, Captions, Risiko-/Kontexthinweise und gerenderte Clips.
  • Kommunikationsdaten: Kontaktformular, Launch-Partner-Anfragen, Support-Nachrichten, Datenschutzanfragen, E-Mail-Zustellstatus und dazugehörige Zeitpunkte.
  • Nutzungs- und Sicherheitsdaten: Upload-, Import-, Transkriptions-, Analyse-, Rendering- und Downloadstatus, Fehlertexte, Rate-Limit-/Missbrauchsschutzdaten, IP-HMACs statt Klartext-IP in dafür vorgesehenen Formularflüssen sowie Server- und Sicherheitslogs.
  • Abrechnungsdaten: Stripe-Kunden- und Subscription-Referenzen, Planstatus, Preis- und Webhook-Metadaten, soweit Zahlungs- oder Abo-Funktionen genutzt oder administriert werden.

4. Besondere Sensibilität von Predigtinhalten

Predigten, Gottesdienstaufzeichnungen und Gemeindevideos können personenbezogene Daten, religiöse oder weltanschauliche Bezüge, Stimmen, Bilder und Aussagen identifizierbarer Personen enthalten. Nutzer dürfen solche Inhalte nur verarbeiten lassen, wenn die erforderlichen Rechte, Einwilligungen oder sonstigen Rechtsgrundlagen vorliegen.

SermonClipper ist nicht dafür gedacht, seelsorgerliche, vertrauliche oder besonders schutzbedürftige Inhalte ohne vorherige Prüfung zu verarbeiten. Diese Einschränkung muss vor jeder Nutzung mit echten Gemeindedaten beachtet werden.

5. Zwecke der Verarbeitung

  • Bereitstellung von Login, Passwort-Reset, Einladungen und geschütztem Produktzugang.
  • Zuordnung von Nutzern zu Gemeinden, Rollen, Tarifen und Beta-Kontingenten.
  • Upload, Import, technische Vorbereitung, Transkription, KI-Analyse, Clip-Auswahl, Rendering und Download von Predigtclips.
  • Support, Kontaktaufnahme, Launch-Partner-Kommunikation und Bearbeitung von Datenschutzanfragen.
  • Missbrauchsschutz, Sicherheit, Fehleranalyse, Systemstabilität, Auditierung interner Owner-Aktionen und Nachvollziehbarkeit geschäftskritischer Vorgänge.
  • Abrechnung, Vertragsverwaltung und gesetzliche Nachweispflichten, soweit Zahlungsfunktionen genutzt werden.

6. Rechtsgrundlagen

  • Art. 6 Abs. 1 lit. b DSGVO: Verarbeitung zur Bereitstellung des Accounts, der Closed-Beta-Nutzung und der beauftragten Produktfunktionen.
  • Art. 6 Abs. 1 lit. f DSGVO: berechtigte Interessen an sicherem Betrieb, Missbrauchsschutz, Fehlerbehebung, Produktadministration, interner Auditierung und Kommunikation mit interessierten Gemeinden.
  • Art. 6 Abs. 1 lit. c DSGVO: Verarbeitung zur Erfüllung gesetzlicher Pflichten, insbesondere handels-, steuer- oder nachweisbezogener Pflichten, soweit diese entstehen.
  • Art. 6 Abs. 1 lit. a DSGVO: Einwilligung, soweit künftig optionale Analyse-, Marketing- oder nicht notwendige Cookie-/Tracking-Funktionen eingebunden werden oder eine Einwilligung im konkreten Formular erforderlich ist.
  • Art. 9 DSGVO kann berührt sein, wenn hochgeladene Inhalte besondere Kategorien personenbezogener Daten enthalten. Die konkrete Rechtsgrundlage hierfür muss die jeweilige Gemeinde vor dem Upload prüfen; SermonClipper stellt nur die technische Verarbeitung bereit.

7. Login, Passwort-Reset und Google OAuth

Authentifizierung und Sessionverwaltung erfolgen über Supabase Auth. Dazu gehören E-Mail-/Passwort-Login, Passwort-zurücksetzen-Mails, geschlossene-Beta-Einladungen und Google OAuth, soweit der Nutzer diesen Weg wählt.

Während der Closed Beta ist die öffentliche Registrierung geschlossen. Ein Produktzugang wird nur für ausgewählte Gemeinden eingerichtet. Google OAuth darf nicht automatisch einen neuen Produktzugang erzeugen, wenn keine gültige Provisionierung vorliegt.

8. Uploads, Speicherung und Verarbeitung von Predigten

Große Quellvideos werden in Google Cloud Storage gespeichert und nach aktueller technischer Konfiguration über eine Lifecycle-Regel nach 7 Tagen gelöscht. Extrahiertes Audio wird nur temporär im Worker-Dateisystem verarbeitet und nicht dauerhaft gespeichert.

Metadaten, Transkripte, Analyseergebnisse, Clip-Vorschläge, Render-Jobs und kleine Ausgabe-Dateien wie gerenderte Clips, Poster oder Thumbnails werden in Supabase gespeichert, damit Nutzer ihre Projekte in der App nutzen können.

YouTube ist nur ein optionaler Komfort-/Beta-Import und nicht der primäre Produktpfad. Falls YouTube-Inhalte eingebettet oder importiert werden, können zusätzlich die Datenschutzbedingungen von YouTube beziehungsweise Google relevant sein.

9. KI-Verarbeitung

Für Transkription und Analyse können Predigtinhalte, Audioauszüge, Transkriptsegmente und technische Projektmetadaten an KI-Anbieter übermittelt werden. Aktuell dokumentierte Anbieter sind OpenAI für Transkription, Google Gemini für Analyse und OpenAI als Analyse-Fallback; Groq bleibt als technische Rückrolloption dokumentiert.

KI-Ergebnisse können fehlerhaft oder unvollständig sein. Sie sind Vorschläge und müssen vor Veröffentlichung durch Menschen geprüft werden.

Vor einem öffentlichen Launch müssen Anbieterregionen, Auftragsverarbeitungsverträge, Datenverwendungsbedingungen und internationale Datentransfers rechtlich final geprüft werden.

10. Eingesetzte Dienstleister und Infrastruktur

  • Vercel: Hosting der Next.js-App, Server Actions, API-Routen und technische Serverlogs.
  • Supabase: Authentifizierung, Postgres-Datenbank, Row Level Security und Storage für Produktdaten und kleinere Ausgabedateien.
  • Google Cloud Platform: Cloud Run Worker, Google Cloud Storage für Quellvideos, Workload Identity Federation und technische Logs.
  • OpenAI: Transkription und Analyse-Fallback.
  • Google Gemini: KI-Analyse der Transkripte und Clip-Kandidaten.
  • Google Workspace SMTP: Versand von Kontakt-, Launch-Partner- und Beta-Einladungsmails sowie Auth-E-Mails über die bestehende E-Mail-Infrastruktur.
  • Stripe: Zahlungs-, Kunden-, Subscription- und Webhook-Verarbeitung, soweit Abrechnung oder Abo-Verwaltung genutzt wird. Während der Closed Beta ist Self-Service-Billing für Nutzer deaktiviert.
  • YouTube/Google: optionaler Import oder Einbettung von YouTube-Inhalten, wenn Nutzer entsprechende Quellen angeben.

11. Cookies, lokale Speicherung und Consent

Aktuell setzt SermonClipper nach Codeprüfung vom 2026-07-14 nur technisch notwendige Cookies und vergleichbare Speicherungen ein: insbesondere Supabase-Auth-Session-Cookies, Middleware-/Session-Cookies sowie lokale Speicherungen für Login-/UI-Zustand und lokale Entwicklungs-/Mock-Zustände.

Es sind derzeit keine Analytics-, Advertising- oder Marketing-Cookies und keine externen Tracking-Skripte aktiv. Deshalb wird für den aktuellen Closed-Beta-Stand kein gesondertes Cookie-Consent-Banner eingeblendet.

Wenn später Analytics, Marketing-Tags, Retargeting, nicht notwendige Drittanbieter-Skripte oder vergleichbare Technologien aktiviert werden, muss vor Aktivierung ein echtes Consent-Management umgesetzt werden.

12. Serverlogs und Sicherheit

Beim Betrieb der App können Vercel, Supabase, Google Cloud und weitere eingesetzte Dienstleister technische Zugriffsdaten verarbeiten, etwa IP-Adresse, Zeitpunkt, Request-Informationen, User-Agent, Fehlerlogs und Sicherheitsereignisse. Diese Daten werden zur Bereitstellung, Fehlerdiagnose, Missbrauchsvermeidung und Absicherung des Dienstes genutzt.

SermonClipper nutzt rollenbasierte Zugriffe, serverseitige Autorisierung, Row Level Security, private Storage-Buckets, signierte URLs und interne Audit-Logs. Absolute Sicherheit kann bei keinem Online-Dienst garantiert werden.

13. Speicherdauer und Löschung

  • Quellvideos im Google-Cloud-Storage-Bucket werden nach aktueller Konfiguration automatisch nach 7 Tagen gelöscht.
  • Temporäre Audio-Artefakte werden nur während der Verarbeitung im Worker genutzt und nicht dauerhaft gespeichert.
  • Projektmetadaten, Transkripte, Analyseergebnisse und gerenderte Ausgaben bleiben gespeichert, solange sie für den Account, die Projektansicht, den Download oder die Nachvollziehbarkeit benötigt werden oder bis eine Löschung ausgelöst wird.
  • Ein technisch automatisiertes 30-Tage-Wiederherstellungsfenster nach Projektlöschung und eine konkrete maximale Backup-Frist von 90 Tagen sind im aktuellen Code- und Infrastrukturstand noch nicht abschließend belegt. Diese Fristen bleiben bis zur Betreiber-/Provider- und Rechtsprüfung offen.
  • Launch-Partner-Anfragen, Support- und Datenschutzanfragen werden solange gespeichert, wie sie für Bearbeitung, Nachweis und Missbrauchsschutz erforderlich sind.
  • Interne Audit- und Provisioning-Daten der Closed Beta werden zur Sicherheit und Nachvollziehbarkeit administrativer Vorgänge gespeichert und nicht öffentlich zugänglich gemacht.
  • Gesetzliche Aufbewahrungspflichten, insbesondere für Abrechnung oder Buchhaltung, können längere Speicherfristen erforderlich machen.

14. Empfänger, Drittländer und Auftragsverarbeitung

Personenbezogene Daten können an die oben genannten technischen Dienstleister übermittelt werden, soweit dies für Betrieb, Verarbeitung, Kommunikation, Sicherheit oder Abrechnung erforderlich ist.

Einige Anbieter können Daten außerhalb Deutschlands oder der EU verarbeiten oder Konzernzugriffe aus Drittländern ermöglichen. Vor dem offiziellen Launch müssen Auftragsverarbeitungsverträge, Standardvertragsklauseln, Anbieterregionen und konkrete Transfermechanismen final geprüft und dokumentiert werden.

15. Betroffenenrechte

Betroffene Personen können Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch verlangen. Soweit eine Verarbeitung auf Einwilligung beruht, kann die Einwilligung mit Wirkung für die Zukunft widerrufen werden. Anfragen können an hello@sermonclipper.de gesendet werden.

Es besteht außerdem das Recht, sich bei einer zuständigen Datenschutzaufsichtsbehörde zu beschweren.

16. Keine automatisierte Entscheidung mit Rechtswirkung

SermonClipper bewertet Predigtabschnitte algorithmisch und KI-gestützt, trifft aber keine automatisierten Entscheidungen mit rechtlicher Wirkung gegenüber Nutzern. Clip-Scores und Empfehlungen dienen nur als Arbeitshilfe.

17. Verhältnis zu Impressum und Nutzungsbedingungen

Die Anbieterkennzeichnung steht im Impressum. Vertragliche und nutzungsbezogene Regeln stehen in den AGB/Nutzungsbedingungen.

18. Offene Launch-Prüfpunkte

  • Finale Verantwortlichenangaben ersetzen.
  • Auftragsverarbeitungsverträge und Drittlandtransfer-Prüfung für Supabase, Vercel, Google, OpenAI, Stripe und E-Mail-Infrastruktur abschließen.
  • Konkrete Löschprozesse, Backup-Fristen, Support-Prozesse und Datenexporte rechtlich abnehmen.
  • Consent-Management ergänzen, bevor nicht notwendige Analyse- oder Marketing-Technologien aktiviert werden.
  • Diese Datenschutzerklärung vor echtem öffentlichem Launch extern rechtlich prüfen lassen.