Datenschutzerklärung
Stand: 14.07.2026
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) für den Betrieb dieser Website und die Abwicklung von Anfragen und Verträgen ist:
Sonventory, Inhaber: Tibor Czekayc/o COCENTER
Koppoldstr. 1
86551 Aichach, Deutschland
E-Mail: bestellung@sonventory.com
Für die Durchführung der beauftragten Audioanalyse wird die datenschutzrechtliche Rollenverteilung vor Freischaltung anhand der tatsächlichen Verträge und Abläufe dokumentiert; siehe Ziffer 9.
2. Das Wichtigste in Kürze
- Diese Website setzt keine Cookies zu Analyse- oder Marketingzwecken ein und verwendet keine Tracking-Tools.
- Im Browser wird lediglich lokal gespeichert (localStorage, ohne Übertragung an uns oder Dritte): Ihre Design-Einstellung (hell/dunkel) und die Bestätigung des Cookie-Hinweises. Diese Speicherung ist technisch erforderlich, um die von Ihnen gewünschte Einstellung bereitzustellen (§ 25 Abs. 2 Nr. 2 TDDDG); Sie können sie jederzeit über die Browser-Einstellungen löschen.
- Schriftarten werden lokal von unserem Server geladen. Es findet keine Verbindung zu Google Fonts statt.
- Der Auftraggeber übermittelt Sonventory keine Mediendateien. Nach Freischaltung soll die technische Audioerkennung durch Analyse öffentlich erreichbarer Plattformlinks über einen externen Erkennungsdienst erfolgen. Dieser Dienst ruft die öffentlich erreichbaren Medien technisch ab und verarbeitet sie (Ziffer 8).
- Personenbezogene Daten verarbeiten wir nur, soweit dies für die Bereitstellung der Website und die Abwicklung Ihrer Anfrage bzw. Ihres Auftrags erforderlich ist.
3. Hosting (Cloudflare)
Diese Website wird bei Cloudflare gehostet (Cloudflare Germany GmbH, Rosental 7, 80331 München, als europäische Niederlassung der Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA; nachfolgend „Cloudflare“).
Beim Aufruf der Website verarbeitet Cloudflare technisch notwendige Verbindungsdaten (insbesondere IP-Adresse, Datum und Uhrzeit des Zugriffs, aufgerufene URL, Browser-/Gerätetyp), um die Website auszuliefern, die Stabilität zu gewährleisten und Angriffe abzuwehren. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und performanten Betrieb).
Mit Cloudflare besteht ein Auftragsverarbeitungsvertrag (Art. 28 DSGVO). Soweit Daten in die USA übermittelt werden, stützt sich die Übermittlung auf den Angemessenheitsbeschluss zum EU-US Data Privacy Framework, dem Cloudflare, Inc. angehört, sowie ergänzend auf EU-Standardvertragsklauseln.
4. Spam-Schutz Cloudflare Turnstile
Zum Schutz unseres Anfrageformulars vor Missbrauch und automatisierten Zugriffen setzen wir Cloudflare Turnstile ein. Dabei verarbeitet Cloudflare technische Merkmale des Browsers und der Interaktion, um zwischen Menschen und Bots zu unterscheiden. Turnstile ist darauf ausgelegt, ohne Analyse-Cookies und ohne geräteübergreifendes Tracking auszukommen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz vor Spam und Missbrauch); zu Cloudflare als Anbieter siehe Ziffer 3.
5. Anfrageformular
Wenn Sie über unser Formular ein Audioinventar anfragen, verarbeiten wir die von Ihnen angegebenen Daten:
- Unternehmen bzw. Geschäftsbezeichnung, Vor- und Nachname des Ansprechpartners,
- Rechnungsanschrift (Straße und Hausnummer, ggf. Adresszusatz, PLZ, Ort, Land),
- geschäftliche E-Mail-Adresse und ggf. Telefonnummer,
- gewähltes Paket, benannte Plattformen, Handles bzw. Profil-URLs, den je Account angegebenen Accountinhaber, Analysezeitraum, geschätzter Umfang der öffentlichen Beiträge, ggf. Ihre Anmerkungen,
- Zeitpunkt der Anfrage sowie Ihre Pflichtbestätigungen (AGB und Datenschutz, Unternehmereigenschaft, Berechtigung am Account, Kenntnis von Methode und Grenzen des Reports, Bedingungen der Weitergabe).
Zweck der Verarbeitung ist die Bearbeitung Ihrer Anfrage, die Erstellung von Angebot, Vertrag und Rechnung sowie die anschließende Vertragsdurchführung. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertrag bzw. vorvertragliche Maßnahmen); hinsichtlich der Dokumentation Ihrer Bestätigungen zusätzlich Art. 6 Abs. 1 lit. c und f DSGVO (Nachweispflichten, Rechtsverteidigung).
6. E-Mail-Versand (Resend)
Für den Versand der Eingangsbestätigung an Sie und der Benachrichtigung an uns nutzen wir Resend (Resend, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA) als Auftragsverarbeiter. Dabei verarbeitet Resend die Formulardaten, Nachrichteninhalte, Empfängeradresse und technische Versandmetadaten. Eine gewählte Versandregion „Irland“ betrifft nach den Anbieterangaben den Versandweg; Konto-, Protokoll-, API- und E-Mail-Metadaten werden weiterhin in den USA gespeichert. Mit Resend besteht ein Auftragsverarbeitungsvertrag. Der Drittlandtransfer wird – je nach Anwendbarkeit – auf die Zertifizierung nach dem EU-US Data Privacy Framework und ergänzend auf EU-Standardvertragsklauseln gestützt. Rechtsgrundlage der Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO.
7. E-Mail-Kommunikation
Wenn Sie uns per E-Mail kontaktieren, verarbeiten wir Absender- und Empfängeradresse, Nachrichteninhalt und technische Metadaten zur Bearbeitung Ihrer Anfrage (Art. 6 Abs. 1 lit. b bzw. f DSGVO). Derzeit wird iCloud Mail von Apple Distribution International Limited, Hollyhill Industrial Estate, Hollyhill, Cork, Irland eingesetzt. Soweit Daten an Apple Inc. in den USA übermittelt werden, erfolgt dies nach den Anbieterangaben auf Grundlage des EU-US Data Privacy Framework.
Für die Verarbeitung von Kundendaten als Auftragsverarbeiter ist die aktuelle Consumer-Postfachkonfiguration nicht ausreichend dokumentiert. Deshalb bleibt das Anfrageformular gesperrt und es werden keine Audioanalyse-Aufträge angenommen, bis ein geeigneter Business-Mail-Vertrag einschließlich der erforderlichen Datenschutzvereinbarungen eingerichtet und dieser Abschnitt aktualisiert ist.
8. Durchführung der Audioanalyse (ACRCloud)
Nach Freischaltung des Dienstes ist Kern der Leistung die technische Analyse öffentlich erreichbarer Social-Media-Inhalte. Damit Sie nachvollziehen können, was dabei geschehen soll, beschreiben wir den vorgesehenen Ablauf im Einzelnen.
8.1 Welche Daten wir erhalten und weitergeben
Vom Auftraggeber erhalten wir:
- den übermittelten Handle bzw. die Profil-URL,
- den Accountnamen und das öffentliche Profil des benannten Accounts,
- ggf. einzelne öffentliche Post-URLs,
- die Angabe des Accountinhabers und den gewünschten Analysezeitraum.
Im Rahmen der Durchführung verarbeiten wir zusätzlich die aus dem Profil ermittelten öffentlichen Post-URLs und Post-IDs sowie öffentlich sichtbare Account- und Postmetadaten (z. B. Veröffentlichungsdatum, Beitragstyp).
An den Erkennungsdienst übermitteln wir ausschließlich Links: Handle, Profil-URL bzw. die daraus ermittelten öffentlichen Post-URLs. Wir übermitteln keine Mediendateien, weil uns keine vorliegen.
8.2 Wer die Analyse durchführt
Eingesetzter Erkennungsdienst ist ACRCloud (ACRCloud PTE. LTD., Singapur; nachfolgend „ACRCloud“). ACRCloud ruft die öffentlich verfügbaren Inhalte technisch selbst ab, analysiert die enthaltenen Audios, erzeugt hierzu digitale Fingerprints und gleicht sie mit Referenzdatenbanken ab. ACRCloud gibt an, hochgeladene bzw. abgerufene Audio- und Videodateien nach der Fingerprint-Erstellung zu löschen; an den erzeugten Fingerprints beansprucht ACRCloud eigene Rechte.
Es trifft daher ausdrücklich nicht zu, dass „keinerlei Medien oder Dateien verarbeitet werden“: Die öffentlich erreichbaren Medien werden technisch durch ACRCloud abgerufen und verarbeitet – nur eben nicht durch eine Übermittlung von Dateien durch den Auftraggeber an uns.
8.3 Welche Ergebnisse zurückkommen
ACRCloud übermittelt uns Erkennungsmetadaten: erkannter Titel, Interpret, Album, ISRC, Erkennungs-ID, erkannter Zeitabschnitt und ein technischer Erkennungswert. Diese Ergebnisse übernehmen, strukturieren und dokumentieren wir im Report.
8.4 Personenbezug
Soweit dabei personenbezogene Daten Dritter miterfasst werden (z. B. Personen, die in öffentlich erreichbaren Beiträgen erkennbar sind, oder Angaben zu Interpreten), beschränkt sich die Verarbeitung auf das für die Audiodokumentation Erforderliche. Rechtsgrundlage ist insoweit Art. 6 Abs. 1 lit. f DSGVO bzw. Art. 6 Abs. 1 lit. b DSGVO im Verhältnis zum Auftraggeber.
Was wir ausdrücklich nicht tun
Wir analysieren keine zufällig ausgewählten fremden Accounts. Wir verwenden Analyseergebnisse nicht für eigene Werbeansprache. Wir bauen keine eigene Datenbank über Creator und deren Musiknutzung auf. Wir verwerten Ergebnisse nicht für Benchmarks oder Trainingszwecke weiter. Private Accounts sind ausgeschlossen. Login-Cookies und Zugangsdaten nehmen wir nicht entgegen.
9. Rollenverteilung und Auftragsverarbeitung
Ob Auftraggeber, Sonventory und ACRCloud im konkreten Verarbeitungsschritt als Verantwortliche, gemeinsam Verantwortliche oder Auftragsverarbeiter handeln, richtet sich nicht nach einer bloßen Bezeichnung, sondern nach den tatsächlich festgelegten Zwecken und Mitteln der Verarbeitung. Sonventory wird die Audioanalyse daher erst freischalten, wenn die Rollen anhand der endgültigen Verträge und technischen Abläufe dokumentiert sind.
Soweit Sonventory personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers verarbeitet, wird vor Beginn der Analyse ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geschlossen. ACRCloud darf in diesem Fall nur eingesetzt werden, wenn die Unterauftragsverarbeitung, Weisungsbindung, technischen und organisatorischen Maßnahmen, Löschung sowie Unterstützungspflichten wirksam vereinbart sind. Verfolgt ein Beteiligter eigene Zwecke, wird die hierfür erforderliche Verantwortlichkeit und Rechtsgrundlage gesondert ausgewiesen.
10. Drittlandtransfer
Vertragspartner des Erkennungsdienstes ist die ACRCloud PTE. LTD. mit Sitz in Singapur. Singapur ist in der aktuellen Liste der Angemessenheitsbeschlüsse der EU-Kommission nicht aufgeführt. Eine Übermittlung personenbezogener Daten dorthin bedarf daher geeigneter Garantien nach Art. 46 DSGVO.
Die Audioanalyse bleibt deaktiviert, bis mit ACRCloud eine geeignete Übermittlungsgrundlage – insbesondere die einschlägigen EU-Standardvertragsklauseln – abgeschlossen, eine Übermittlungsfolgenabschätzung durchgeführt und Datenstandorte, Unterauftragnehmer, technische und organisatorische Maßnahmen, Löschabläufe, Sicherheitsvorfälle und mögliche Anfragen von Rechteinhabern dokumentiert sind.
11. Empfänger der Daten
Empfänger Ihrer Daten sind ausschließlich die in dieser Erklärung genannten Dienstleister (Cloudflare, Resend, Apple und – erst nach Freischaltung der Analyse – ACRCloud) sowie, soweit gesetzlich vorgeschrieben, Steuerberater und Finanzbehörden im Rahmen der Buchführung. Eine Weitergabe zu Werbezwecken findet nicht statt.
Hinweis zur Transparenz: Nach seinen öffentlich zugänglichen Bedingungen behält sich ACRCloud vor, Informationen an Rechteinhaber („Content Owner“) weiterzugeben. Auf diese Weitergabe haben wir keinen Einfluss.
12. Speicherdauer und Löschung
| Daten | Aufbewahrung |
|---|---|
| Scan- & Arbeitsdaten | Löschung 14 Tage nach Reportübergabe. Wir löschen Scanaufträge und gespeicherte Ergebnisdatensätze beim Erkennungsdienst, soweit dies über den verwendeten Tarif und die Schnittstelle möglich ist. |
| Reportkopie | 90 Tage für Rückfragen und Korrekturen, danach automatische Löschung. |
| Anfragen ohne Vertrag | Spätestens 6 Monate nach Abschluss der Kommunikation. |
| Vertrags- & Rechnungsdaten | Nach den jeweils einschlägigen gesetzlichen Aufbewahrungsfristen. Buchungsbelege werden grundsätzlich acht Jahre, Handels- und Geschäftsbriefe grundsätzlich sechs Jahre aufbewahrt; einzelne Unterlagen können abweichenden Fristen unterliegen (§ 257 HGB, § 147 AO). |
13. Ihre Rechte
Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:
- Recht auf Auskunft (Art. 15 DSGVO),
- Recht auf Berichtigung (Art. 16 DSGVO),
- Recht auf Löschung (Art. 17 DSGVO),
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO),
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO).
Soweit wir als Auftragsverarbeiter tätig sind (Ziffer 9), richten Sie Betroffenenanfragen bitte an den jeweiligen Verantwortlichen; wir unterstützen ihn bei der Beantwortung.
Widerspruchsrecht (Art. 21 DSGVO)
Soweit wir Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO verarbeiten, haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen die Verarbeitung einzulegen. Richten Sie den Widerspruch formlos an die oben genannte Kontaktadresse.
Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO), etwa bei der für Ihren Wohnsitz oder für uns zuständigen Behörde: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach.
14. Keine automatisierte Entscheidungsfindung
Eine automatisierte Entscheidungsfindung einschließlich Profiling (Art. 22 DSGVO) findet nicht statt. Die automatische Audioerkennung liefert technische Erkennungsergebnisse; sie trifft keine Entscheidung über Sie und keine Bewertung.
15. Pflicht zur Bereitstellung
Die Bereitstellung Ihrer Daten im Anfrageformular ist für den Vertragsschluss erforderlich; ohne die Pflichtangaben können wir Ihre Anfrage nicht bearbeiten.
16. Änderungen dieser Erklärung
Wir passen diese Datenschutzerklärung an, wenn sich die Rechtslage oder unsere Verarbeitungen ändern. Es gilt die jeweils auf dieser Seite veröffentlichte Fassung.