Data Processing Agreement.
Wenn du OGRECORDS™ als Label, Studio oder Business-Kunde nutzt und dabei personenbezogene Daten Dritter (z. B. deiner Artists oder Producer) über uns verarbeitest, ist OGR dein Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Diese Vorlage erklärt, was wir vereinbaren.
Vorab-Fassung — Stand: Mai 2026
1. Gegenstand und Dauer der Verarbeitung
Gegenstand ist die Verarbeitung personenbezogener Daten im Rahmen der Distribution-, Royalty-Split-, Smart-Link- und Sync-Marketplace-Funktionen der OGR-Plattform.
Die Verarbeitung erfolgt für die Dauer des Distribution-Agreements zwischen dir und OGR sowie für angemessene Aufbewahrungsfristen nach dessen Beendigung.
2. Art und Zweck der Verarbeitung
Wir verarbeiten:
- Stammdaten (Name, Künstlername, IBAN, Steuer-ID) deiner Artists, Producer und Royalty-Empfänger:innen.
- Auftrags- und Abrechnungsdaten (Streaming-Earnings, Splits, Auszahlungs-Status).
- Audit- und Login-Daten zur Nachweispflicht und Plattform-Sicherheit.
Zweck: Erfüllung des Distribution-Agreements und der gesetzlichen Aufzeichnungs- und Steuer-Pflichten.
3. Pflichten von OGR als Auftragsverarbeiter
OGR verpflichtet sich, personenbezogene Daten ausschließlich nach deinen dokumentierten Weisungen zu verarbeiten, die Vertraulichkeit aller mit der Verarbeitung beschäftigten Personen sicherzustellen und alle technisch-organisatorischen Maßnahmen nach Art. 32 DSGVO umzusetzen.
Konkret: Verschlüsselung at-rest und in-transit, Zugriffstrennung nach Least-Privilege, Audit-Logging, regelmäßige Backups mit dokumentiertem Recovery-Test.
4. Sub-Auftragsverarbeiter
OGR setzt folgende Sub-Auftragsverarbeiter ein. Du stimmst diesen mit Vertragsabschluss generell zu; OGR informiert dich vorab, wenn ein Sub-Auftragsverarbeiter ergänzt oder ausgetauscht wird, und gibt dir 14 Tage Widerspruchsfrist:
- AWS (EU-Region Frankfurt) — Hosting (Aurora-Postgres), S3-Backups, Bedrock-AI (Claude Haiku/Sonnet).
- Hetzner Online (DE) — Server-Hosting via selbst-gehostetes Coolify.
- Firebase (Google) — Auth, Cloud Storage, Analytics, Remote Config, App Check.
- Mailgun (EU-Region) — Transactional Email + Inbound-Webhook für Support-Tickets.
- whapi.cloud — WhatsApp-Business-Channel.
- OneSignal — Push-Notifications.
- Polar.sh — Inbound-Payments für Premium-Add-Ons und Priority-Support-Abo.
- PayPal — Manuelle Auszahlungen an non-EU-Künstler:innen.
- eSignatures.com — Vertragssignatur (Distribution-Agreement).
- Cloudflare — DNS, Edge-CDN, DDoS-Schutz.
5. Datenübermittlung in Drittländer
Soweit Sub-Auftragsverarbeiter Daten in Drittländer übermitteln (z. B. Polar.sh USA, Mailgun USA, PayPal USA/SG, OneSignal USA), basiert dies auf den Standard-Vertragsklauseln (SCC) der EU-Kommission in der Fassung vom 04.06.2021 und ergänzenden technischen Maßnahmen (Verschlüsselung, Pseudonymisierung, Audit-Logging).
Du erhältst auf Anfrage eine Liste mit Detail-Angaben zu jedem Drittland-Transfer.
6. Mitwirkungs-, Lösch- und Rückgabepflichten
OGR unterstützt dich bei der Erfüllung deiner Pflichten nach Art. 32-36 DSGVO und bei Anfragen Betroffener (Art. 15-22 DSGVO).
Nach Beendigung des Vertrags löschen oder geben wir alle personenbezogenen Daten innerhalb von 90 Tagen zurück, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
7. Audit-Recht
Du bist berechtigt, die Einhaltung dieses DPAs einmal pro Kalenderjahr zu auditieren — entweder durch Vorlage von OGR's aktuellen Sicherheitszertifikaten und Penetrationstest-Berichten oder durch ein Vor-Ort-Audit nach 30 Tagen Vorlauf.
Ausserordentliche Audits sind bei begründetem Verdacht jederzeit möglich.
DPA gegenzeichnen lassen
Schreib an info@og-records.com mit dem Betreff „DPA-Anfrage". Wir senden dir die signaturfertige Endfassung als PDF und können diese auf Wunsch über DocuSign oder eSignatures.com gegenzeichnen.