Verantwortlicher
Verantwortlicher für die in dieser Erklärung beschriebene Verarbeitung personenbezogener Daten im Sinne des Art. 4 Nr. 7 DSGVO ist:
PostanschriftFabian Bachfischer Software
c/o POSTFLEX PFX-504-917
Emsdettener Straße 10
48268 Greven
Deutschland (Germany)
Inhaltlich verantwortliche Person (§ 18 Abs. 2 MStV) ist Fabian Bachfischer. Der Fabian Bachfischer Software ist ein Einzelunternehmen (Kleinunternehmer gemäß § 19 UStG); es besteht keine Umsatzsteuer-Identifikationsnummer und keine Eintragung im Handelsregister.
In allen Datenschutzangelegenheiten erreichst du uns unter privacy@soundworks-ai.com.
Datenschutzbeauftragter
Es ist kein Datenschutzbeauftragter bestellt, und ein solcher ist nach Art. 37 DSGVO bzw. § 38 BDSG auch nicht gesetzlich erforderlich. Zuständige Ansprechperson für den Datenschutz ist der Inhaber, Fabian Bachfischer, erreichbar unter privacy@soundworks-ai.com.
Rechtsgrundlagen der Verarbeitung
Wir verarbeiten personenbezogene Daten nur, wenn eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO besteht. Je nach Tätigkeit stützen wir uns auf eine oder mehrere der folgenden Grundlagen:
- Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) - um dein Konto anzulegen und zu betreiben, Werbung auszuliefern und zu messen, die Publisher-Vergütung zu berechnen sowie Auszahlungen und Einzahlungen von Werbetreibenden abzuwickeln.
- Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) - zur Verhinderung von Betrug und ungültigem Traffic, zur Absicherung des Dienstes und zur Wahrung der Integrität der Plattform. Der grobe Geräte-Fingerabdruck (siehe § 04) beruht auf dieser Grundlage; die Interessenabwägung ist dort zusammengefasst.
- Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) - zur Aufbewahrung von Rechnungen und Buchhaltungsunterlagen für die gesetzlichen Fristen nach deutschem Handels- und Steuerrecht (siehe § 08).
- Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) - nur, wo wir sie ausdrücklich einholen (z. B. optionale Produkt-E-Mails). Eine erteilte Einwilligung kannst du jederzeit mit Wirkung für die Zukunft widerrufen, ohne dass die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung berührt wird.
Wir betreiben kein verhaltensbasiertes Werbe-Tracking, kein Retargeting und keine Tracking-Pixel - dafür stützen wir uns daher auch auf keine Einwilligung, denn auf stads existieren sie nicht.
Welche Daten wir erheben
stads ist so gebaut, dass es mit sehr wenig auskommt. Wir verarbeiten die folgenden Kategorien personenbezogener Daten:
4.1 · Konto-E-Mail-Adresse
Wenn du dich als Entwickler:in oder Werbetreibende:r registrierst, speichern wir die E-Mail-Adresse, mit der du dich anmeldest. Sie identifiziert dein Konto, ermöglicht die Authentifizierung und ist der Kanal für transaktionale Mitteilungen (Auszahlungsbelege, Einzahlungsbestätigungen, Sicherheitshinweise). Rechtsgrundlage: Vertrag (Art. 6 Abs. 1 lit. b DSGVO).
4.2 · Authentifizierungs-/Session-Cookie
Um dich angemeldet zu halten, setzen wir ein unbedingt erforderliches Authentifizierungs-Cookie samt des zugehörigen Tokens unseres Auth-Anbieters (sb-access-token). Es ist für den Betrieb des eingeloggten Dienstes essenziell - ohne es könntest du nicht angemeldet bleiben - und daher nach § 25 Abs. 2 TDDDG (ehemals TTDSG) einwilligungsfrei. Es trägt keine Werbe-Kennung und dient nicht der Profilbildung. Rechtsgrundlage: Vertrag (Art. 6 Abs. 1 lit. b DSGVO) sowie unser berechtigtes Interesse an einer sicheren Sitzung (Art. 6 Abs. 1 lit. f DSGVO).
4.3 · Grober Geräte-Fingerabdruck
Um zu verhindern, dass ein einzelnes Gerät betrügerische Impressionen erzeugt, leitet der stads-Client einen groben, nicht identifizierenden Geräte-Fingerabdruck ab. Er ist bewusst niedrig aufgelöst: ein stabiles, aber absichtlich unscharfes Signal (etwa ein gehashter Verbund grober Geräteeigenschaften), das ausschließlich dazu dient zu erkennen, dass Impressionen plausibel von einem Gerät bzw. einer Umgebung stammen. Es ist kein präziser Hardware-Identifikator, es ist nicht mit Werbe-IDs verknüpft, und es ist nicht dazu ausgelegt, dich als Person dienstübergreifend zu vereinzeln. Kein Quellcode, keine Dateiinhalte und keine Tastatureingaben verlassen dein Gerät - nur das grobe Signal, das zur Validierung einer Impression nötig ist.
Rechtsgrundlage & Abwägung - Geräte-Fingerabdruck. Wir verarbeiten den groben Fingerabdruck auf Grundlage unseres berechtigten Interesses an der Betrugsprävention und der Integrität der Plattform (Art. 6 Abs. 1 lit. f DSGVO; vgl. Erwägungsgrund 47, der die Betrugsverhinderung ausdrücklich als berechtigtes Interesse anerkennt). Da das Signal grob und nicht identifizierend ist, ist der Eingriff in deine Privatsphäre gering, während das Interesse - ehrliche Entwickler:innen und Werbetreibende vor ungültigem Traffic zu schützen - erheblich ist; wir gehen daher davon aus, dass deine Rechte dieses Interesse nicht überwiegen. Das lokale Speichern des Salt-Werts und das Auslesen grober Geräteeigenschaften (Plattform, Architektur) auf deinem Gerät durch den stads-Client sind zudem nach § 25 Abs. 2 Nr. 2 TDDDG unbedingt erforderlich, um den von dir über stads init ausdrücklich angeforderten Publisher-Dienst (Anti-Sybil-Schutz und Auszahlungsbindung) zu erbringen; eine Einwilligung ist hierfür nicht erforderlich. Du kannst dieser Verarbeitung aus Gründen, die sich aus deiner besonderen Situation ergeben, widersprechen (siehe § 06); zu beachten ist, dass wir einem Gerät, für das wir Impressionen nicht validieren können, unter Umständen keine Werbung mehr ausliefern können, da hiervon die Abrechnungsintegrität abhängt.
4.4 · Abrechnungs-, Auszahlungs- & Hauptbuchdaten
Für Werbetreibende verarbeiten wir Einzahlungs- und Rechnungsdaten; für Entwickler:innen Auszahlungsdaten und Einnahmen. Zahlungskartendaten und Bankverbindungen werden von unserem Zahlungsdienstleister (Stripe, siehe § 05) verarbeitet - wir speichern keine vollständigen Kartennummern. Die daraus resultierenden Rechnungen, Belege und doppelten Buchungssätze bewahren wir auf. Rechtsgrundlage: Vertrag (Art. 6 Abs. 1 lit. b DSGVO) und rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO).
4.5 · Server-Logs & Impressions-Metadaten
Unsere Server verarbeiten technische Metadaten, die zur Auslieferung und Validierung von Impressionen nötig sind - Zeitstempel, Lease-Validierungsergebnisse, grobe Nutzungssignale sowie Sicherheits- und Diagnoseprotokolle. Diese dienen dem Betrieb und der Absicherung des Dienstes sowie der Ermittlung und Abrechnung der Vergütung. Rechtsgrundlage: Vertrag und berechtigtes Interesse (Art. 6 Abs. 1 lit. b und f DSGVO).
Auftragsverarbeiter & Unterauftragsverarbeiter
Wir setzen eine kleine Zahl sorgfältig ausgewählter Dienstleister ein, die personenbezogene Daten in unserem Auftrag als Auftragsverarbeiter nach Art. 28 DSGVO verarbeiten, jeweils gebunden durch einen Auftragsverarbeitungsvertrag. Wir wählen EU-Regionen, wo immer der Anbieter sie anbietet.
| Verarbeiter | Zweck | Region |
|---|---|---|
| Supabase | Authentifizierung & Datenbank (Konto-E-Mail, Sitzungen, Anwendungsdaten) | EU-Region |
| Stripe | Zahlungen, Einzahlungen & Auszahlungen (Abrechnungsdaten, Kartenabwicklung) | EU / global |
| Vercel | Web- & API-Hosting, Edge-Auslieferung, Request-Logs | EU-Region |
Jeder Anbieter kann eigene weitere Unterauftragsverarbeiter einsetzen; die jeweils aktuelle, maßgebliche Liste der Unterauftragsverarbeiter und ihrer Standorte wird unter /dpa geführt. Stripe handelt für bestimmte zahlungsrechtliche Zwecke (z. B. eigene Betrugs- und Aufsichtspflichten) als eigenständig Verantwortlicher; insoweit gilt die Datenschutzerklärung von Stripe.
Deine Rechte als betroffene Person
Nach der DSGVO stehen dir bezüglich deiner personenbezogenen Daten die folgenden Rechte zu. Zur Ausübung schreibe an privacy@soundworks-ai.com. Wir antworten innerhalb eines Monats (Art. 12 Abs. 3 DSGVO).
- Auskunft (Art. 15 DSGVO) - eine Kopie der über dich gespeicherten personenbezogenen Daten. Einen großen Teil deiner Daten kannst du selbst direkt über den Datenexport im Dashboard abrufen. Dieser enthält dein Konto, Einzahlungen, Kampagnen, Guthabenstände, Geräte-Fingerabdrücke, deine einzelnen Impressionen, Einnahme-Lots samt Statusverlauf sowie Geräte-Grant-Metadaten. Bei sehr umfangreicher Impressionshistorie wird nur der älteste Teil gekürzt und ist auf Anfrage unter privacy@soundworks-ai.com erhältlich.
- Berichtigung (Art. 16 DSGVO) - unrichtige Daten berichtigen und unvollständige Daten vervollständigen zu lassen.
- Löschung (Art. 17 DSGVO) - die Löschung deiner Daten zu verlangen, vorbehaltlich der in § 08 beschriebenen gesetzlichen Aufbewahrungspflichten. Über den Konto-Löschvorgang anonymisieren wir deine personenbezogenen Daten; gesetzlich aufzubewahrende Finanzunterlagen (§ 147 AO) bleiben für die Dauer der Aufbewahrungsfrist erhalten. Den groben Geräte-Fingerabdruck und etwaige Betrugs-Markierungen behalten wir auch nach der Löschung als Betrugspräventionssignal auf Grundlage unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO); hiergegen kannst du nach Art. 21 DSGVO Widerspruch einlegen.
- Einschränkung (Art. 18 DSGVO) - die Einschränkung der Verarbeitung zu verlangen, solange ein Streit geklärt wird.
- Widerspruch (Art. 21 DSGVO) - aus Gründen, die sich aus deiner besonderen Situation ergeben, einer auf unseren berechtigten Interessen beruhenden Verarbeitung (Art. 6 Abs. 1 lit. f DSGVO) zu widersprechen, einschließlich des Geräte-Fingerabdrucks.
- Datenübertragbarkeit (Art. 20 DSGVO) - die von dir bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
- Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) - eine auf Einwilligung gestützte Verarbeitung jederzeit mit Wirkung für die Zukunft zu widerrufen.
Beschwerderecht (Art. 77 DSGVO). Unbeschadet eines anderweitigen Rechtsbehelfs steht dir ein Beschwerderecht bei einer Aufsichtsbehörde zu, insbesondere im Mitgliedstaat deines Aufenthaltsorts, deines Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes. Für den Verantwortlichen mit Sitz in Greven, Nordrhein-Westfalen, ist dies die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW).
Speicherdauer
Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist, und löschen oder anonymisieren sie anschließend - es sei denn, das Gesetz verpflichtet uns zu einer längeren Aufbewahrung.
- Konto-E-Mail & Profil
- Für die Lebensdauer des Kontos; auf Anfrage gelöscht, vorbehaltlich der unten genannten gesetzlichen Pflichten.
- Session-/Auth-Cookie
- Für die Dauer der Sitzung; läuft automatisch ab.
- Geräte-Fingerabdruck & Impressions-Metadaten
- Für das zur Validierung und Abstimmung von Impressionen nötige Betrugspräventionsfenster, danach gelöscht oder aggregiert.
- Rechnungen, Belege & Buchhaltung
- Aufbewahrung für die gesetzliche Frist - in der Regel 10 Jahre nach § 147 AO und § 257 HGB; 6 Jahre für bestimmte Geschäftskorrespondenz.
Die Unterscheidung zwischen „löschen, sobald nicht mehr benötigt“ und „für die gesetzliche Frist aufbewahren“ ist wesentlich: Die Schließung deines Kontos entfernt deine operativen personenbezogenen Daten, doch Finanzunterlagen (Rechnungen, Buchungssätze) müssen wir bis zum Ablauf der gesetzlich vorgeschriebenen Aufbewahrungsfrist behalten, bevor sie gelöscht werden dürfen. Während dieser Zeit ist ihre Verarbeitung auf den Aufbewahrungszweck beschränkt.
Internationale Datenübermittlungen
Wir hosten und verarbeiten personenbezogene Daten wo immer möglich in der EU. Einige unserer Auftragsverarbeiter (insbesondere Stripe sowie Unterauftragsverarbeiter von Supabase und Vercel) können begrenzte Daten außerhalb der EU/des EWR verarbeiten, etwa in den Vereinigten Staaten.
Wo eine Übermittlung in ein Drittland erfolgt, stellen wir ein angemessenes Schutzniveau nach Kapitel V DSGVO sicher - durch Berufung auf einen Angemessenheitsbeschluss der Europäischen Kommission, wo ein solcher besteht (z. B. das EU-U.S. Data Privacy Framework für zertifizierte Empfänger), oder andernfalls auf die Standardvertragsklauseln (SCC) der Europäischen Kommission (Art. 46 Abs. 2 lit. c DSGVO) nebst geeigneten zusätzlichen Maßnahmen. Eine Kopie der einschlägigen Garantien kannst du unter privacy@soundworks-ai.com anfordern.
Änderungen & Kontakt
Wir können diese Erklärung anpassen, wenn sich der Dienst weiterentwickelt oder die Rechtslage ändert. Maßgeblich ist stets die unter stads.cc/privacy veröffentlichte Fassung; wesentliche Änderungen werden oben auf dieser Seite datiert. Für Fragen zu dieser Erklärung oder deinen Daten erreichst du den Verantwortlichen über die folgenden Kontakte:
- Allgemein
- info@soundworks-ai.com
- Datenschutz
- privacy@soundworks-ai.com
- Abrechnung
- billing@soundworks-ai.com
- Missbrauch / Meldungen
- abuse@soundworks-ai.com
// Dein Terminal zahlt jetzt Miete - und eine Datenschutzerklärung, die du Zeile für Zeile lesen kannst.