---
title: Datenschutzerklärung — OGRECORDS™
description: GDPR privacy policy, data processing, sub-processors.
canonical: https://www.og-records.com/privacy
locale: de
alternate: https://www.og-records.com/en/privacy.md
lastModified: 2026-07-04
---
# Datenschutzerklärung — OGRECORDS™

**Stand:** 2026-05-18

Diese Erklärung gilt für `og-records.com`, `www.og-records.com`, `www.og-records.com`, `ogr.fm` und alle zugehörigen Subdomains sowie für die nativen Apps (iOS, Android, Phase 5). Sie erläutert, welche personenbezogenen Daten wir verarbeiten, warum, auf welcher Rechtsgrundlage, an wen wir sie weitergeben und welche Rechte du hast.

---

## §1 Verantwortlicher

**OnlineBuilders LLC**
Delaware Limited Liability Company
(Vollständige Adresse: siehe Impressum)

## §2 Welche Daten wir verarbeiten

| Kategorie | Beispiele | Zweck | Rechtsgrundlage |
|---|---|---|---|
| Account | Name, E-Mail, Land, Sprache | Vertragsdurchführung, Kontakt | Art. 6 (1) b DSGVO |
| Identität / KYC | Rechtlicher Name, Adresse, Geburtsdatum, Steuer-ID, Ausweisbild | Anti-Geldwäsche, Steuer-Compliance (1099-K, EU-MwSt) | Art. 6 (1) c DSGVO (Rechtspflicht) |
| Bankverbindung | IBAN, BIC, Kontoinhaber, Bank-Adresse (für non-EU SWIFT) | Auszahlung Royalties | Art. 6 (1) b |
| Musik-Metadaten + Audio | Releases, Tracks, Splits, Cover, Master-WAV/FLAC | Distribution, DDEX-Export | Art. 6 (1) b |
| Audio-Fingerprint (Chromaprint) | Lokal berechneter Akustik-Hash | Doppel-Upload-Warnung im eigenen Katalog | Art. 6 (1) f (berechtigtes Interesse) |
| Datei-Integrität | MD5 (storage-seitig), optional SHA-256 (client-seitig) | Manipulationsschutz, Audit-Trail | Art. 6 (1) f |
| Nutzungsdaten | Login-Zeitpunkt, IP-Hash (Salt-Rotation 90 Tage), Page-Views, Feature-Flags | Sicherheit, Service-Optimierung | Art. 6 (1) f |
| Marketing-Analytics | Klicks, Conversion, opt-in Cookies | nur bei Einwilligung | Art. 6 (1) a |
| Kommunikation | E-Mail-Adresse, WhatsApp-Nummer (falls verbunden), Push-Token, In-App-Präferenzen | Service-Kommunikation, Statusinfos | Art. 6 (1) b / f |
| Zahlungsverkehr | Polar.sh-Inbound-Belege, Auszahlungsprotokolle (SEPA + manuelle Banküberweisung) | Vertrag + Buchhaltung | Art. 6 (1) b/c |
| Support | Ticket-Inhalt, Anhänge, Korrespondenz | Service | Art. 6 (1) b |

## §3 Zwecke und Rechtsgrundlagen im Detail

- **Vertragserfüllung (Art. 6 (1) b):** Account, Distribution-Pipeline, Auszahlung, Support.
- **Rechtliche Verpflichtung (Art. 6 (1) c):** KYC-Pflichten (Anti-Geldwäsche), Steuer-Reporting (1099-K USA, §22 UStG DE), Aufbewahrungsfristen.
- **Berechtigtes Interesse (Art. 6 (1) f):** IT-Sicherheit, Fraud-Detection, Audio-Fingerprint zur Doppel-Upload-Warnung.
- **Einwilligung (Art. 6 (1) a):** Marketing-Cookies, Analytics-Cookies, Newsletter (außerhalb des transaktionalen Service-Versands), Erst-Anmeldung Minderjähriger durch Erziehungsberechtigte (Art. 8 DSGVO).

Bei Verarbeitung auf Basis berechtigten Interesses kannst du jederzeit Widerspruch einlegen (Art. 21 DSGVO).

## §4 Sub-Auftragsverarbeiter

Wir nutzen folgende Auftragsverarbeiter unter Art. 28 DSGVO. Mit jedem dieser Anbieter besteht ein abgeschlossener Auftragsverarbeitungsvertrag (AVV); bei US-Anbietern stützen wir Drittland-Transfers auf Standardvertragsklauseln 2021/914 plus, soweit erforderlich, zusätzliche Schutzmaßnahmen (Verschlüsselung im Transit + at-Rest, Pseudonymisierung).

| Anbieter | Sitz / Region | Zweck | Daten-Kategorien |
|---|---|---|---|
| Firebase (Google) | EU + US (Auth/Storage gem. EU-Default; Analytics global) | Auth, Cloud Storage, Analytics, Remote Config, App Check | Account, Tokens, Storage-Objekte, Telemetry |
| AWS | EU-Frankfurt (Aurora) + EU-Frankfurt (Bedrock) | DB-Hosting, AI-Inference (Claude Haiku/Sonnet) | Alle PII (verschlüsselt at-Rest), Prompt-Inputs |
| Google (Gemini) | EU / US (Generative-Language- bzw. Vertex-AI-Region) | AI Studio: Cover-Bildgenerierung; RAG-Embeddings/Chat | Prompts, Stil-/Titel-Eingaben (keine besonderen Kategorien) |
| Suno, Inc. | US | AI Studio: KI-Musikgenerierung | Prompt, Lyrics, Titel, Stil-/Generierungsparameter (vom Nutzer eingegeben) |
| Mailgun | EU-Frankfurt-Cluster | Transaktionale E-Mails + Inbound für Support | E-Mail, Name, Ticket-Inhalt |
| whapi.cloud | EU (Cloud) | WhatsApp Business Channel | WhatsApp-Nummer, Message-Inhalt |
| OneSignal | US (mit EU-Datenresidenz-Option) | Push Notifications | Push-Token, Device-ID |
| Polar.sh | EU + US | Inbound-Payments (Premium-Add-Ons, Priority-Support) | Name, E-Mail, Zahlungs-Token (Polar-seitig PCI), Order-Status |
| Mercury Bank | US (Delaware) | USD-Inbound der DSP-Sub-Distributor:innen | Bank-Transaktionsdaten, Counterparty-Info |
| eSignatures.com | US (Delaware) | Distribution-Vereinbarungs-Unterzeichnung | Name, E-Mail, Vertrags-PDF |
| Cloudflare | Global Edge | DNS, CDN, DDoS, Turnstile-Captcha | IP-Hash, Request-Metadata, Captcha-Token |
| Hetzner Online | Falkenstein, Deutschland | Server-Hosting (selbst-gehostetes Coolify) | Alle verarbeiteten Daten (Speicherung) |
| DIDIT | EU | KYC-Identitätsverifizierung | Ausweisdokument, Liveness-Foto |
| Telegram | Global | Operator-Notifikationen (intern) | Operator-IDs, Event-Metadata (keine User-PII außer auf ausdrückliche Anfrage) |
| Sub-Distributor:in(nen) | EU / Global (B2B) | Technische DDEX-Lieferung an DSPs | Release-Metadaten, Master-Audio, Cover, ISRC/UPC |

Eine **stets aktuelle Liste der Sub-Auftragsverarbeiter** veröffentlichen wir unter `og-records.com/legal/sub-processors`. Wir informieren über neue Sub-Auftragsverarbeiter mindestens 14 Tage vor Aktivierung; du kannst widersprechen (Folge: keine Nutzung des neuen Auftragsverarbeiters mit deinen Daten, ggf. eingeschränkte Service-Verfügbarkeit).

**Chromaprint** ist eine Open-Source-Library, die lokal im Worker-Container läuft. Es findet **kein Datenexport** an Dritte statt; der Fingerprint wird ausschließlich gegen deinen eigenen Katalog verglichen.

## §5 Drittland-Transfers (Art. 44-49 DSGVO)

Daten werden an die in §4 genannten US-Anbieter übermittelt. Wir stützen uns auf:

- **Standardvertragsklauseln 2021/914** (SCC) für alle US-Anbieter, soweit nicht bereits durch Angemessenheitsbeschluss (z. B. EU-US Data Privacy Framework) gedeckt.
- **Transfer-Impact-Assessment (TIA)** wird für jeden US-Anbieter durchgeführt und dokumentiert; auf Anfrage stellen wir eine Zusammenfassung zur Verfügung.
- **Zusätzliche Schutzmaßnahmen:** Transportverschlüsselung TLS 1.2+, At-Rest-Verschlüsselung, Zugriffs-Logging, Pseudonymisierung wo praktikabel.

## §6 Aufbewahrung und Löschung

- **Account-Daten:** während aktiver Vertragslaufzeit + Aufbewahrungsfristen (siehe unten).
- **KYC-Dokumente:** bis zu 10 Jahre nach Vertragsende gemäß Anti-Geldwäsche-Vorschriften.
- **Royalty-Statements + Buchhaltungs-Belege:** 10 Jahre (§147 AO DE; 7 Jahre IRS US, gleichwertige UK/EU-Vorschriften).
- **Audit-Log:** 24 Monate (gemäß `AUDIT_LOG_RETENTION_MONTHS=24`, partitioniert).
- **Streaming-Logs / Page-Views:** 12 Monate.
- **Soft-Delete-Karenz:** Bei Account-Löschanfrage **30 Tage** mit Widerruf-Option; danach automatische Pseudonymisierung der PII-Felder und Löschung der zugeordneten Storage-Objekte (Audiomaster, Cover, DDEX-Exports), sofern keine Aufbewahrungspflicht greift.
- **Backups:** rollierend 30 Tage; aus Backups gelöschte Daten werden beim nächsten Backup-Zyklus überschrieben.

## §7 Deine Rechte

Du hast nach DSGVO (sowie nach UK-GDPR, CCPA, gleichwertigen Vorschriften) folgende Rechte:

- **Auskunft** (Art. 15) — vollständige Datenkopie als JSON + PDF im Dashboard unter „Export meiner Daten".
- **Berichtigung** (Art. 16) — Korrektur falscher Daten.
- **Löschung** (Art. 17) — vorbehaltlich gesetzlicher Aufbewahrungsfristen (siehe §6). Initiiere über „Konto löschen" im Dashboard oder per E-Mail an `info@og-records.com`.
- **Einschränkung** (Art. 18) — z. B. während eines streitigen Vorgangs.
- **Datenportabilität** (Art. 20) — strukturierter Export aller transaktionalen Daten.
- **Widerspruch** (Art. 21) — gegen Verarbeitungen auf Basis berechtigten Interesses.
- **Widerruf der Einwilligung** (Art. 7 (3)) — für künftige Verarbeitungen; bereits erfolgte Verarbeitungen bleiben rechtmäßig.
- **Beschwerderecht** bei einer Aufsichtsbehörde (Art. 77) — für Deutschland z. B. BfDI; für UK ICO; für USA State-Attorneys-General + FTC.
- **Automatisierte Entscheidungen** (Art. 22) — wir treffen keine ausschließlich automatisierten rechtlich erheblichen Entscheidungen ohne menschliche Beteiligung. Bei Fraud-Detection (§8 AGB) erfolgt menschliche Letztprüfung; KYC-Approve erfolgt durch DIDIT mit menschlicher Operator-Verifikation bei Edge-Cases.

## §8 Cookies und Tracking

Wir setzen folgende Cookies:

- **Essentiell (ohne Einwilligung):** Session-Cookie, CSRF-Token, Cloudflare-Turnstile, Theme-Cookie (light/dark), `__og_session`.
- **Funktional (Einwilligung):** Language-Override, Wizard-State.
- **Analytics (Einwilligung):** Firebase Analytics (anonymisierte IDs), opt-out per Browser-Setting möglich, sowie **PostHog** (self-hosted Produkt-Analytics) — siehe Absatz unten.
- **Marketing (Einwilligung):** ausschließlich bei expliziter Zustimmung; aktuell nicht im Live-Betrieb.

**PostHog (self-hosted Produkt-Analytics.)** Zur Produktverbesserung und für A/B-Tests unserer Startseite setzen wir PostHog ein. PostHog läuft **auf unserer eigenen Infrastruktur** (`ph.og-records.com`); es werden **keine Analytics-Daten an einen externen Anbieter übermittelt** — PostHog ist daher **kein** Sub-Auftragsverarbeiter (§4). Erfasst werden — **ausschließlich bei Einwilligung** in die Kategorie „Analytics" — Seitenaufrufe, Klick- und Scroll-Interaktionen (Autocapture, Heatmaps) sowie **Session-Replays** (Aufzeichnung des anonymisierten Seitenverlaufs). Bei Session-Replays werden **alle Eingabefelder maskiert**, sodass Eingaben wie E-Mail, Passwort oder Zahlungsdaten nicht aufgezeichnet werden. Ohne Analytics-Einwilligung erfolgt **keine** Erfassung (Opt-out-by-default); ein Widerruf über den Cookie-Banner stoppt Erfassung und Session-Replay unmittelbar. Rechtsgrundlage: Art. 6 (1) a DSGVO (Einwilligung) i. V. m. § 25 (1) TTDSG.

Cookie-Banner mit granularer Konfiguration: „Alle akzeptieren" / „Nur essentielle" / „Einstellungen". Iubenda / Cookiebot wird in Q3-2026 als Compliance-Layer aktiviert.

## §9 Sicherheit

- TLS 1.2+ end-to-end.
- AES-256 at-Rest auf allen Storage-Pfaden.
- Argon2 / bcrypt für Passwort-Hashes (Firebase-Verwaltung).
- 2FA / Multi-Factor-Auth für Admin-Konten (mandatory ab 2026-06-01).
- IP-Hash-Salt-Rotation alle 90 Tage.
- Rate-Limiting (10 req / Minute auf Auth-Endpoints).
- Helmet-CSP, HSTS-Preload, X-Frame-Options, X-Content-Type-Options.
- File-Magic-Byte-Prüfung bei allen Uploads.
- Audit-Log aller Admin-Aktionen, range-partitioned, 24 Monate Retention.

Datenpannen (Art. 33 DSGVO) melden wir der zuständigen Aufsichtsbehörde unverzüglich, spätestens **72 Stunden** nach Kenntnis; betroffene Nutzer:innen werden unverzüglich informiert, wenn ein hohes Risiko (Art. 34) vorliegt.

## §10 Minderjährige

Für Künstler:innen unter 18 Jahren benötigen wir die Einwilligung der/des Erziehungsberechtigten (Art. 8 DSGVO Schwelle 16 Jahre für DE; in einigen EU-Mitgliedsstaaten 13-16 Jahre). In den USA gilt **COPPA** für unter 13-Jährige: ein Account-Anlegen ist in dieser Altersgruppe nicht zulässig. Details siehe AGB §15.

## §11 AI-Verarbeitung

Wir nutzen AI (Claude via AWS Bedrock EU-Frankfurt) für: Genre-Tagging, Mastering-Suggestions, Support-Chat (AI-First-Reply), Track-Description-Vorschläge.

- **Eingangsdaten:** Nur die für die jeweilige AI-Funktion relevanten Daten (kein automatisches Training auf deinen Daten).
- **Kein Modell-Training:** Anthropic und AWS Bedrock verpflichten sich vertraglich, deine Eingaben nicht zum Modell-Training zu nutzen.
- **Menschliche Letztprüfung:** Bei rechtlich erheblichen Entscheidungen (Fraud-Hold, KYC-Reject) erfolgt stets ein menschliches Review (siehe §7 zu Art. 22 DSGVO).
- **Opt-out:** Du kannst AI-Features im Dashboard deaktivieren (Profile → Einstellungen → AI-Features off). Service-Verfügbarkeit kann eingeschränkt sein (Support-Chat dann ausschließlich menschlich, Genre-Tagging manuell).

**AI Studio (Suno / Google Gemini).** Wenn du die optionale Funktion **AI Studio** nutzt, übermitteln wir die von dir eingegebenen **Generierungsdaten** an externe KI-Dienste, damit diese Musik bzw. Cover erzeugen:

- **Suno, Inc. (USA)** — für die Musikgenerierung: dein Prompt, ggf. Lyrics, Titel, Stil-Tags sowie Generierungsparameter (z. B. Modell, Vocal-Gender, Style-Weight, Persona-ID).
- **Google (Gemini)** — für die optionale Cover-Bildgenerierung: dein Cover-Prompt.
- **Rechtsgrundlage:** Art. 6 Abs. 1 lit. b DSGVO (Durchführung der von dir angeforderten Funktion) bzw. lit. f (berechtigtes Interesse an der Bereitstellung des Dienstes).
- **Keine besonderen Kategorien:** Gib in Prompts/Lyrics keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) und keine personenbezogenen Daten Dritter ohne deren Einwilligung ein. Du bist für die Inhalte deiner Eingaben verantwortlich.
- **Drittland-Transfer:** Die Übermittlung an Suno (und ggf. Google-US-Regionen) erfolgt in die USA; wir stützen sie auf Standardvertragsklauseln bzw. einen Angemessenheitsbeschluss sowie ergänzende Schutzmaßnahmen (siehe §5). Soweit verfügbar, nutzen wir für Gemini EU-Regionen (Vertex AI `europe-west*`).
- **Modell-Training:** Soweit vertraglich/technisch möglich, sind die Eingaben von einem Training der Anbieter-Modelle ausgenommen; für die Verarbeitung durch Suno/Google gelten zusätzlich deren eigene Datenschutzbestimmungen.
- **Ergebnisse:** Generierte Audio-/Bilddateien werden in unserer Firebase-Storage (siehe §4) gespeichert und als KI-generiert gekennzeichnet. KI-Ergebnisse können fehlerhaft sein; eine menschliche Prüfung vor Veröffentlichung obliegt dir.

## §12 Telemetry und Performance-Monitoring

- **Web Vitals + Page-Performance** wird anonymisiert in Firebase Analytics erfasst (mit Einwilligung).

## §13 Änderungen dieser Erklärung

Materielle Änderungen kündigen wir mindestens **30 Tage vor Inkrafttreten** per E-Mail an. Aktuelle Version stets unter `og-records.com/privacy`. Versionierungs-Verlauf wird intern geführt und auf Anfrage offengelegt.

## §14 Kontakt + Beschwerden

- **Allgemeine rechtliche Anfragen:** `info@og-records.com`
