Datenschutzerklärung — OGRECORDS™
Stand: 2026-05-18
Diese Erklärung gilt für og-records.com, www.og-records.com, www.og-records.com, ogr.fm und alle zugehörigen Subdomains sowie für die nativen Apps (iOS, Android, Phase 5). Sie erläutert, welche personenbezogenen Daten wir verarbeiten, warum, auf welcher Rechtsgrundlage, an wen wir sie weitergeben und welche Rechte du hast.
§1 Verantwortlicher
OnlineBuilders LLC Delaware Limited Liability Company (Vollständige Adresse: siehe Impressum)
§2 Welche Daten wir verarbeiten
| Kategorie | Beispiele | Zweck | Rechtsgrundlage |
|---|---|---|---|
| Account | Name, E-Mail, Land, Sprache | Vertragsdurchführung, Kontakt | Art. 6 (1) b DSGVO |
| Identität / KYC | Rechtlicher Name, Adresse, Geburtsdatum, Steuer-ID, Ausweisbild | Anti-Geldwäsche, Steuer-Compliance (1099-K, EU-MwSt) | Art. 6 (1) c DSGVO (Rechtspflicht) |
| Bankverbindung | IBAN, BIC, Kontoinhaber, Bank-Adresse (für non-EU SWIFT) | Auszahlung Royalties | Art. 6 (1) b |
| Musik-Metadaten + Audio | Releases, Tracks, Splits, Cover, Master-WAV/FLAC | Distribution, DDEX-Export | Art. 6 (1) b |
| Audio-Fingerprint (Chromaprint) | Lokal berechneter Akustik-Hash | Doppel-Upload-Warnung im eigenen Katalog | Art. 6 (1) f (berechtigtes Interesse) |
| Datei-Integrität | MD5 (storage-seitig), optional SHA-256 (client-seitig) | Manipulationsschutz, Audit-Trail | Art. 6 (1) f |
| Nutzungsdaten | Login-Zeitpunkt, IP-Hash (Salt-Rotation 90 Tage), Page-Views, Feature-Flags | Sicherheit, Service-Optimierung | Art. 6 (1) f |
| Marketing-Analytics | Klicks, Conversion, opt-in Cookies | nur bei Einwilligung | Art. 6 (1) a |
| Kommunikation | E-Mail-Adresse, WhatsApp-Nummer (falls verbunden), Push-Token, In-App-Präferenzen | Service-Kommunikation, Statusinfos | Art. 6 (1) b / f |
| Zahlungsverkehr | Polar.sh-Inbound-Belege, Auszahlungsprotokolle (SEPA + manuelle Banküberweisung) | Vertrag + Buchhaltung | Art. 6 (1) b/c |
| Support | Ticket-Inhalt, Anhänge, Korrespondenz | Service | Art. 6 (1) b |
§3 Zwecke und Rechtsgrundlagen im Detail
- Vertragserfüllung (Art. 6 (1) b): Account, Distribution-Pipeline, Auszahlung, Support.
- Rechtliche Verpflichtung (Art. 6 (1) c): KYC-Pflichten (Anti-Geldwäsche), Steuer-Reporting (1099-K USA, §22 UStG DE), Aufbewahrungsfristen.
- Berechtigtes Interesse (Art. 6 (1) f): IT-Sicherheit, Fraud-Detection, Audio-Fingerprint zur Doppel-Upload-Warnung.
- Einwilligung (Art. 6 (1) a): Marketing-Cookies, Analytics-Cookies, Newsletter (außerhalb des transaktionalen Service-Versands), Erst-Anmeldung Minderjähriger durch Erziehungsberechtigte (Art. 8 DSGVO).
Bei Verarbeitung auf Basis berechtigten Interesses kannst du jederzeit Widerspruch einlegen (Art. 21 DSGVO).
§4 Sub-Auftragsverarbeiter
Wir nutzen folgende Auftragsverarbeiter unter Art. 28 DSGVO. Mit jedem dieser Anbieter besteht ein abgeschlossener Auftragsverarbeitungsvertrag (AVV); bei US-Anbietern stützen wir Drittland-Transfers auf Standardvertragsklauseln 2021/914 plus, soweit erforderlich, zusätzliche Schutzmaßnahmen (Verschlüsselung im Transit + at-Rest, Pseudonymisierung).
| Anbieter | Sitz / Region | Zweck | Daten-Kategorien |
|---|---|---|---|
| Firebase (Google) | EU + US (Auth/Storage gem. EU-Default; Analytics global) | Auth, Cloud Storage, Analytics, Remote Config, App Check | Account, Tokens, Storage-Objekte, Telemetry |
| AWS | EU-Frankfurt (Aurora) + EU-Frankfurt (Bedrock) | DB-Hosting, AI-Inference (Claude Haiku/Sonnet) | Alle PII (verschlüsselt at-Rest), Prompt-Inputs |
| Mailgun | EU-Frankfurt-Cluster | Transaktionale E-Mails + Inbound für Support | E-Mail, Name, Ticket-Inhalt |
| whapi.cloud | EU (Cloud) | WhatsApp Business Channel | WhatsApp-Nummer, Message-Inhalt |
| OneSignal | US (mit EU-Datenresidenz-Option) | Push Notifications | Push-Token, Device-ID |
| Polar.sh | EU + US | Inbound-Payments (Premium-Add-Ons, Priority-Support) | Name, E-Mail, Zahlungs-Token (Polar-seitig PCI), Order-Status |
| Mercury Bank | US (Delaware) | USD-Inbound der DSP-Sub-Distributor:innen | Bank-Transaktionsdaten, Counterparty-Info |
| eSignatures.com | US (Delaware) | Distribution-Vereinbarungs-Unterzeichnung | Name, E-Mail, Vertrags-PDF |
| Cloudflare | Global Edge | DNS, CDN, DDoS, Turnstile-Captcha | IP-Hash, Request-Metadata, Captcha-Token |
| Hetzner Online | Falkenstein, Deutschland | Server-Hosting (selbst-gehostetes Coolify) | Alle verarbeiteten Daten (Speicherung) |
| DIDIT | EU | KYC-Identitätsverifizierung | Ausweisdokument, Liveness-Foto |
| Telegram | Global | Operator-Notifikationen (intern) | Operator-IDs, Event-Metadata (keine User-PII außer auf ausdrückliche Anfrage) |
| Sub-Distributor:in(nen) | EU / Global (B2B) | Technische DDEX-Lieferung an DSPs | Release-Metadaten, Master-Audio, Cover, ISRC/UPC |
Eine stets aktuelle Liste der Sub-Auftragsverarbeiter veröffentlichen wir unter og-records.com/legal/sub-processors. Wir informieren über neue Sub-Auftragsverarbeiter mindestens 14 Tage vor Aktivierung; du kannst widersprechen (Folge: keine Nutzung des neuen Auftragsverarbeiters mit deinen Daten, ggf. eingeschränkte Service-Verfügbarkeit).
Chromaprint ist eine Open-Source-Library, die lokal im Worker-Container läuft. Es findet kein Datenexport an Dritte statt; der Fingerprint wird ausschließlich gegen deinen eigenen Katalog verglichen.
§5 Drittland-Transfers (Art. 44-49 DSGVO)
Daten werden an die in §4 genannten US-Anbieter übermittelt. Wir stützen uns auf:
- Standardvertragsklauseln 2021/914 (SCC) für alle US-Anbieter, soweit nicht bereits durch Angemessenheitsbeschluss (z. B. EU-US Data Privacy Framework) gedeckt.
- Transfer-Impact-Assessment (TIA) wird für jeden US-Anbieter durchgeführt und dokumentiert; auf Anfrage stellen wir eine Zusammenfassung zur Verfügung.
- Zusätzliche Schutzmaßnahmen: Transportverschlüsselung TLS 1.2+, At-Rest-Verschlüsselung, Zugriffs-Logging, Pseudonymisierung wo praktikabel.
§6 Aufbewahrung und Löschung
- Account-Daten: während aktiver Vertragslaufzeit + Aufbewahrungsfristen (siehe unten).
- KYC-Dokumente: bis zu 10 Jahre nach Vertragsende gemäß Anti-Geldwäsche-Vorschriften.
- Royalty-Statements + Buchhaltungs-Belege: 10 Jahre (§147 AO DE; 7 Jahre IRS US, gleichwertige UK/EU-Vorschriften).
- Audit-Log: 24 Monate (gemäß
AUDIT_LOG_RETENTION_MONTHS=24, partitioniert). - Streaming-Logs / Page-Views: 12 Monate.
- Soft-Delete-Karenz: Bei Account-Löschanfrage 30 Tage mit Widerruf-Option; danach automatische Pseudonymisierung der PII-Felder und Löschung der zugeordneten Storage-Objekte (Audiomaster, Cover, DDEX-Exports), sofern keine Aufbewahrungspflicht greift.
- Backups: rollierend 30 Tage; aus Backups gelöschte Daten werden beim nächsten Backup-Zyklus überschrieben.
§7 Deine Rechte
Du hast nach DSGVO (sowie nach UK-GDPR, CCPA, gleichwertigen Vorschriften) folgende Rechte:
- Auskunft (Art. 15) — vollständige Datenkopie als JSON + PDF im Dashboard unter „Export meiner Daten".
- Berichtigung (Art. 16) — Korrektur falscher Daten.
- Löschung (Art. 17) — vorbehaltlich gesetzlicher Aufbewahrungsfristen (siehe §6). Initiiere über „Konto löschen" im Dashboard oder per E-Mail an
info@og-records.com. - Einschränkung (Art. 18) — z. B. während eines streitigen Vorgangs.
- Datenportabilität (Art. 20) — strukturierter Export aller transaktionalen Daten.
- Widerspruch (Art. 21) — gegen Verarbeitungen auf Basis berechtigten Interesses.
- Widerruf der Einwilligung (Art. 7 (3)) — für künftige Verarbeitungen; bereits erfolgte Verarbeitungen bleiben rechtmäßig.
- Beschwerderecht bei einer Aufsichtsbehörde (Art. 77) — für Deutschland z. B. BfDI; für UK ICO; für USA State-Attorneys-General + FTC.
- Automatisierte Entscheidungen (Art. 22) — wir treffen keine ausschließlich automatisierten rechtlich erheblichen Entscheidungen ohne menschliche Beteiligung. Bei Fraud-Detection (§8 AGB) erfolgt menschliche Letztprüfung; KYC-Approve erfolgt durch DIDIT mit menschlicher Operator-Verifikation bei Edge-Cases.
§8 Cookies und Tracking
Wir setzen folgende Cookies:
- Essentiell (ohne Einwilligung): Session-Cookie, CSRF-Token, Cloudflare-Turnstile, Theme-Cookie (light/dark),
__og_session. - Funktional (Einwilligung): Language-Override, Wizard-State.
- Analytics (Einwilligung): Firebase Analytics (anonymisierte IDs), opt-out per Browser-Setting möglich.
- Marketing (Einwilligung): ausschließlich bei expliziter Zustimmung; aktuell nicht im Live-Betrieb.
Cookie-Banner mit granularer Konfiguration: „Alle akzeptieren" / „Nur essentielle" / „Einstellungen". Iubenda / Cookiebot wird in Q3-2026 als Compliance-Layer aktiviert.
§9 Sicherheit
- TLS 1.2+ end-to-end.
- AES-256 at-Rest auf allen Storage-Pfaden.
- Argon2 / bcrypt für Passwort-Hashes (Firebase-Verwaltung).
- 2FA / Multi-Factor-Auth für Admin-Konten (mandatory ab 2026-06-01).
- IP-Hash-Salt-Rotation alle 90 Tage.
- Rate-Limiting (10 req / Minute auf Auth-Endpoints).
- Helmet-CSP, HSTS-Preload, X-Frame-Options, X-Content-Type-Options.
- File-Magic-Byte-Prüfung bei allen Uploads.
- Audit-Log aller Admin-Aktionen, range-partitioned, 24 Monate Retention.
Datenpannen (Art. 33 DSGVO) melden wir der zuständigen Aufsichtsbehörde unverzüglich, spätestens 72 Stunden nach Kenntnis; betroffene Nutzer:innen werden unverzüglich informiert, wenn ein hohes Risiko (Art. 34) vorliegt.
§10 Minderjährige
Für Künstler:innen unter 18 Jahren benötigen wir die Einwilligung der/des Erziehungsberechtigten (Art. 8 DSGVO Schwelle 16 Jahre für DE; in einigen EU-Mitgliedsstaaten 13-16 Jahre). In den USA gilt COPPA für unter 13-Jährige: ein Account-Anlegen ist in dieser Altersgruppe nicht zulässig. Details siehe AGB §15.
§11 AI-Verarbeitung
Wir nutzen AI (Claude via AWS Bedrock EU-Frankfurt) für: Genre-Tagging, Mastering-Suggestions, Support-Chat (AI-First-Reply), Track-Description-Vorschläge.
- Eingangsdaten: Nur die für die jeweilige AI-Funktion relevanten Daten (kein automatisches Training auf deinen Daten).
- Kein Modell-Training: Anthropic und AWS Bedrock verpflichten sich vertraglich, deine Eingaben nicht zum Modell-Training zu nutzen.
- Menschliche Letztprüfung: Bei rechtlich erheblichen Entscheidungen (Fraud-Hold, KYC-Reject) erfolgt stets ein menschliches Review (siehe §7 zu Art. 22 DSGVO).
- Opt-out: Du kannst AI-Features im Dashboard deaktivieren (Profile → Einstellungen → AI-Features off). Service-Verfügbarkeit kann eingeschränkt sein (Support-Chat dann ausschließlich menschlich, Genre-Tagging manuell).
§12 Telemetry und Performance-Monitoring
- Web Vitals + Page-Performance wird anonymisiert in Firebase Analytics erfasst (mit Einwilligung).
§13 Änderungen dieser Erklärung
Materielle Änderungen kündigen wir mindestens 30 Tage vor Inkrafttreten per E-Mail an. Aktuelle Version stets unter og-records.com/privacy. Versionierungs-Verlauf wird intern geführt und auf Anfrage offengelegt.
§14 Kontakt + Beschwerden
- Allgemeine rechtliche Anfragen:
info@og-records.com