Datenschutzerklärung — DrumBooth.Live

Mit der folgenden Datenschutzerklärung möchte ich Sie darüber aufklären, welche Arten Ihrer personenbezogenen Daten (nachfolgend auch kurz als „Daten" bezeichnet) ich zu welchen Zwecken und in welchem Umfang im Rahmen von DrumBooth.Live (nachfolgend „der Dienst") verarbeite.

1. Verantwortlicher

Pierluigi Ciaccio Transvaalstr. 16
13351 Berlin
Deutschland

E-Mail: pierondrums@proton.me
Telefon: +49 1577 5384266

Ich bin alleiniger Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO für alle im Rahmen des Dienstes verarbeiteten Daten.

2. Überblick über die Verarbeitungen

Verarbeitete Datenkategorien

Identifikations- und Kontaktdaten (Name, E-Mail, Telefonnummer)
Vertragsdaten (Projektdetails, vereinbarte Leistungen, Fristen, BPM- und Tonart-Angaben)
Inhaltsdaten (von Ihnen hochgeladene Audiodateien: Stems, Demos, Referenz-Tracks, Tempo-Maps)
Kommunikationsdaten (vor, während und nach einer Session ausgetauschte Nachrichten)
Live-Session-Daten (in Echtzeit übertragene Audio- und Videoströme während einer Aufnahmesession)
Nutzungs- und Metadaten (IP-Adressen, Zeitstempel, Browser-Typ, Server-Logdaten)
Zahlungsdaten (Bankverbindung oder PayPal-Identifikatoren, Transaktionsdaten)

Kategorien betroffener Personen

Auftraggeber (Künstler, Produzenten, Labels, Bands), die Aufnahmeleistungen beauftragen
Besucher der Website und der Formular-Seiten
Teilnehmer an Live-Online-Sessions

Zwecke der Verarbeitung

Erbringung der vertraglichen Leistung (Vorbereitung und Aufnahme von Remote-Drum-Sessions)
Kommunikation vor, während und nach einer Session
Rechnungsstellung und Buchhaltung gemäß deutschem Steuerrecht
Technischer Betrieb und Sicherheit der Dienst-Infrastruktur
Erfüllung gesetzlicher Verpflichtungen

3. Rechtsgrundlagen

Die Verarbeitung personenbezogener Daten erfolgt auf folgenden Rechtsgrundlagen:

Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) — sofern Sie eine spezifische, informierte Einwilligung für einen festgelegten Zweck erteilt haben.
Vertragserfüllung und vorvertragliche Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO) — sofern die Verarbeitung zur Erbringung der von Ihnen angefragten Leistung oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist.
Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) — sofern die Verarbeitung zur Erfüllung gesetzlicher Pflichten erforderlich ist (z. B. steuerrechtliche Aufbewahrungspflichten gemäß § 147 AO).
Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) — sofern die Verarbeitung zur Wahrung berechtigter Interessen des Verantwortlichen erforderlich ist.

Ergänzend zur DSGVO gelten die Vorschriften des Bundesdatenschutzgesetzes (BDSG) als nationales Datenschutzrecht.

4. Sicherheitsmaßnahmen

Ich treffe geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, gemäß Art. 32 DSGVO. Dazu gehören insbesondere:

TLS/SSL-Verschlüsselung (HTTPS) für alle Daten, die zwischen Ihrem Browser und dem Dienst übertragen werden.
Zugangskontrollen und Authentifizierung für alle administrativen Schnittstellen.
Selbst gehostete Infrastruktur unter direkter administrativer Kontrolle, um Datenzugriff durch Dritte zu minimieren.
Regelmäßige Sicherungen und Wiederherstellungsverfahren.
Regelmäßige Sicherheitsaktualisierungen aller Softwarekomponenten.

5. Datenempfänger und Auftragsverarbeiter

Die folgenden Dritten können personenbezogene Daten im Rahmen des Dienstes empfangen oder verarbeiten. Soweit erforderlich, wurden Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO geschlossen.

5.1 Hetzner Online GmbH (Hosting)

Die Infrastruktur des Dienstes (Nextcloud, Jitsi, Audio-Routing) wird auf virtuellen Servern der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland, betrieben. Die physischen Server befinden sich in Helsinki, Finnland (Europäische Union).

Rolle: Auftragsverarbeiter (Art. 28 DSGVO)
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO
Datenort: Finnland (EU/EWR)
Datenschutzerklärung: hetzner.com/datenschutz

5.2 Cloudflare, Inc. (DNS und Reverse Proxy)

Cloudflare, Inc. (101 Townsend St, San Francisco, CA 94107, USA) wird als Reverse Proxy und DNS-Anbieter für bestimmte Subdomains des Dienstes verwendet (insbesondere forms.drumbooth.live). Beim Zugriff auf diese Seiten verarbeitet Cloudflare Ihre IP-Adresse, Verbindungsmetadaten und Request-Header zum Zweck der Auslieferung von Inhalten, des Traffic-Routings und des Schutzes vor Denial-of-Service-Angriffen.

Rolle: Auftragsverarbeiter (Art. 28 DSGVO)
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO
Datenort: USA (mit globalem Edge-Netzwerk)
Drittlandtransfer: EU-US Data Privacy Framework (DPF). Cloudflare ist DPF-zertifiziert.
Datenschutzerklärung: cloudflare.com/privacypolicy

5.3 8x8, Inc. (Jitsi STUN-Server)

Für Live-Online-Sessions wird eine selbst gehostete Jitsi-Meet-Instanz betrieben. Um Peer-to-Peer-Audio- und Videoverbindungen durch NAT und Firewalls hindurch zu ermöglichen, nutzt der Jitsi-Client den öffentlichen STUN-Server meet-jit-si-turnrelay.jitsi.net, betrieben von 8x8, Inc. (675 Creekside Way, Campbell, CA 95008, USA). Der STUN-Server empfängt kurzzeitig Ihre IP-Adresse ausschließlich zum Zweck des Verbindungsaufbaus. Audio-, Video- oder Inhaltsdaten werden nicht von 8x8 verarbeitet.

Rolle: Drittanbieter
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO
Datenort: USA
Drittlandtransfer: Data Privacy Framework (DPF). 8x8 ist DPF-zertifiziert.
Datenschutzerklärung: 8x8.com/privacy-policy

5.4 Proton AG (E-Mail)

Die E-Mail-Kommunikation mit Auftraggebern erfolgt über Proton Mail, betrieben von der Proton AG, Route de la Galaise 32, 1228 Plan-les-Ouates, Schweiz.

Rolle: Auftragsverarbeiter für übermittelte E-Mail-Inhalte
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
Datenort: Schweiz
Drittlandtransfer: Angemessenheitsbeschluss der EU-Kommission für die Schweiz.
Datenschutzerklärung: proton.me/legal/privacy

5.5 PayPal (Zahlungsabwicklung — bei Nutzung)

Sofern Sie sich für eine Zahlung via PayPal entscheiden, werden Ihre Zahlungsdaten von PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxemburg, verarbeitet.

Rolle: Eigenständiger Verantwortlicher
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
Datenschutzerklärung: paypal.com/legalhub/privacy-full

5.6 Google LLC (Google Fonts)

Auf Formularseiten werden Webfonts ggf. von Google Fonts geladen (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland). Beim Laden einer Formularseite überträgt Ihr Browser ggf. Ihre IP-Adresse, den Browser-Typ und das Betriebssystem an Google-Server.

Rolle: Drittanbieter
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO
Datenort: USA (Google agiert global)
Drittlandtransfer: Data Privacy Framework (DPF). Google LLC ist DPF-zertifiziert.
Datenschutzerklärung: policies.google.com/privacy

6. Internationale Datentransfers

Einige der oben genannten Empfänger befinden sich außerhalb der EU/des EWR, insbesondere in den USA. Für Datenübermittlungen in die USA stütze ich mich vorrangig auf das EU-US Data Privacy Framework (DPF), das durch Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023 anerkannt wurde. Wo zusätzliche Garantien angemessen sind, stütze ich mich auf Standardvertragsklauseln (SCCs) der EU-Kommission. Für Übermittlungen in die Schweiz gilt der Angemessenheitsbeschluss der EU-Kommission.

Weitere Informationen zum Data Privacy Framework finden Sie unter dataprivacyframework.gov.

7. Spezifische Verarbeitungsaktivitäten

7.1 Buchungsformulare (forms.drumbooth.live)

Beim Absenden eines Buchungsformulars werden folgende Daten erhoben und verarbeitet:

Name, E-Mail-Adresse, Telefonnummer (sofern angegeben)
Künstler- oder Projektname und Projektbeschreibung
Genre, Tempo, Tonart und Referenz-Tracks
Hochgeladene Audiodateien (Stems, Demos, Tempo-Maps, Click-Tracks)
Datum und Uhrzeit der Einreichung
IP-Adresse (durch die zugrundeliegende Nextcloud-Forms-Anwendung protokolliert)

Zweck: Vorbereitung und Erbringung der angefragten Aufnahmeleistung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen und Vertragserfüllung).

Aufbewahrung: Formulardaten und hochgeladene Dateien werden für maximal 180 Tage nach Lieferung der fertigen Aufnahme aufbewahrt, es sei denn, eine längere Aufbewahrung ist zur Vertragserfüllung, Rechtsverteidigung oder Erfüllung gesetzlicher Aufbewahrungspflichten (handels- und steuerrechtlich, in der Regel bis zu 10 Jahre für Rechnungen und Buchführungsunterlagen) erforderlich. Nach Ablauf dieser Frist werden Audiodateien und Formulardaten sicher gelöscht.

Nutzung hochgeladener Audiodateien: Hochgeladene Audiodateien werden ausschließlich zum Zweck der Vorbereitung und Durchführung der gebuchten Aufnahmesession verwendet. Sie werden nicht für Portfolio-Promotion, Training von KI-Modellen, Weitergabe an Dritte oder andere Zwecke ohne Ihre gesonderte, ausdrückliche Einwilligung verwendet.

7.2 Live-Aufnahmesessions (session.drumbooth.live)

Während einer Live-Online-Session werden Audio- und ggf. Videoströme in Echtzeit zwischen Ihnen und dem Verantwortlichen ausgetauscht. Diese Verarbeitung umfasst:

Echtzeit-Audio- und Videoübertragung über die selbst gehostete Jitsi-Meet-Instanz
Verbindungsmetadaten (IP-Adresse, Session-Identifikatoren, Zeitstempel)
Optional die Aufnahme des Audio-Outputs (Drum-Performance) auf Seite des Verantwortlichen als Leistungsergebnis
Nutzung des öffentlichen STUN-Servers von 8x8, Inc. (siehe Abschnitt 5.3)

Zweck: Erbringung der gebuchten Aufnahmeleistung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Aufnahme: Standardmäßig wird über das als Leistungsergebnis aufgenommene Drum-Audio hinaus nichts aufgezeichnet. Sollte eine Aufzeichnung der gesamten Session gewünscht sein, wird zuvor Ihre ausdrückliche Einwilligung eingeholt.

7.3 Reaper Web Control

Während einer Session kann Auftraggebern eingeschränkter Fernzugriff auf eine Reaper-Web-Control-Oberfläche auf derselben Infrastruktur (daw.drumbooth.live) gewährt werden. Der Zugriff ist session-gebunden und wird am Ende der Session widerrufen. Über die regulären Server-Logs hinaus werden in dieser Oberfläche keine personenbezogenen Daten gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

7.4 Allgemeine Websitenutzung und Server-Logs

Bei jedem Besuch einer DrumBooth.Live-Seite werden vom Webserver automatisch folgende technische Daten protokolliert:

IP-Adresse
Datum und Uhrzeit des Zugriffs
Aufgerufene Seite oder Ressource
HTTP-Statuscode
Browser-Typ, -Version und Betriebssystem
Referrer-URL

Zweck: Sicherstellung der Sicherheit, Stabilität und Funktionsfähigkeit des Dienstes.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

Aufbewahrung: Server-Logs werden für maximal 30 Tage aufbewahrt und anschließend automatisch gelöscht oder anonymisiert.

7.5 Cookies

Der Dienst verwendet ausschließlich technisch notwendige Cookies, die für den technischen Betrieb der Plattform erforderlich sind (z. B. Session-Cookies für den Nextcloud-Login). Es werden keine Tracking-, Analyse- oder Werbe-Cookies eingesetzt. Technisch notwendige Cookies bedürfen gemäß § 25 Abs. 2 TTDSG keiner Einwilligung und werden auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO verarbeitet.

8. Aufbewahrung und Löschung

Datenkategorie	Aufbewahrungsdauer
Formulardaten und hochgeladene Audiodateien	180 Tage nach Lieferung
Aufnahmen (Drum-Audio als Leistungsergebnis)	180 Tage nach Lieferung
Session-Metadaten (Jitsi-Verbindungslogs)	30 Tage
Server-Logs	30 Tage
Rechnungen und Buchführungsunterlagen	Bis zu 10 Jahre (gesetzlich)
E-Mail-Kommunikation	Bis nicht mehr erforderlich

9. Ihre Rechte

Sie haben gemäß DSGVO folgende Rechte:

Auskunftsrecht (Art. 15 DSGVO)
Recht auf Berichtigung (Art. 16 DSGVO)
Recht auf Löschung (Art. 17 DSGVO)
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Widerspruchsrecht (Art. 21 DSGVO)
Recht auf Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO)
Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Die zuständige Aufsichtsbehörde ist:

Berliner Beauftragte für Datenschutz und Informationsfreiheit Alt-Moabit 59-61, 10555 Berlin
datenschutz-berlin.de

Zur Ausübung dieser Rechte schreiben Sie bitte an pierondrums@proton.me.

10. Änderung der Datenschutzerklärung

Diese Datenschutzerklärung kann aktualisiert werden, um geänderte gesetzliche Anforderungen oder Änderungen am Dienst widerzuspiegeln. Die jeweils aktuelle Fassung ist stets unter der kanonischen URL dieser Seite abrufbar.