Royalty Ledger

Privacy policy

Verantwortlicher Florian Pflüger/co Audiomode Rosenbergstr. 124 70193 Stuttgart E-Mail: f.pflueger (a t) posteo.de Stand: 06.07.2026 1. Allgemeine Angaben zur Datenverarbeitung und Rechtsgrundlagen Diese Datenschutzerklärung klärt Sie über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten innerhalb unseres Onlineangebotes royaltyledger.app und der mit ihm verbundenen Seiten und Funktionen auf (nachfolgend „Onlineangebot"). Sie gilt unabhängig davon, mit welchem Gerät Sie das Onlineangebot nutzen. Für die verwendeten Begriffe, wie z. B. „personenbezogene Daten" oder deren „Verarbeitung", verweisen wir auf die Definitionen in Art. 4 der Datenschutz-Grundverordnung (DSGVO). Royalty Ledger ist eine geschlossene Web-Anwendung für Musikverlage und Labels (Katalog-, Lizenz- und Tantiemenverwaltung). Es gibt keine öffentliche Registrierung; Nutzerkonten werden ausschließlich auf Einladung angelegt. Zu den verarbeiteten Daten gehören Bestandsdaten (z. B. Namen und Adressen von Kunden und deren Kontakten), Vertragsdaten (z. B. in Anspruch genommene Leistungen, Zahlungsinformationen), Nutzungsdaten (z. B. Zugriffe auf öffentlich geteilte Musik-Seiten) und Inhaltsdaten (z. B. Eingaben in der Anwendung). Der Begriff „Nutzer" umfasst alle von der Datenverarbeitung betroffenen Personen: unsere Kunden und deren Teammitglieder, Geschäftspartner, Empfänger geteilter Inhalte sowie sonstige Besucher des Onlineangebotes. Die verwendeten Begriffe sind geschlechtsneutral zu verstehen. Wir verarbeiten personenbezogene Daten nur bei Vorliegen einer gesetzlichen Erlaubnis. Rechtsgrundlagen sind: für Verarbeitungen mit Einwilligung Art. 6 Abs. 1 lit. a und Art. 7 DSGVO; für die Erfüllung unserer vertraglichen Leistungen und die Durchführung vorvertraglicher Maßnahmen Art. 6 Abs. 1 lit. b DSGVO; für die Erfüllung rechtlicher Verpflichtungen Art. 6 Abs. 1 lit. c DSGVO; für die Wahrung unserer berechtigten Interessen (insbesondere sicherer, wirtschaftlicher Betrieb des Onlineangebotes sowie Schutz vor Missbrauch) Art. 6 Abs. 1 lit. f DSGVO. Wir setzen keine Werbenetzwerke, keine Reichweitenmessungs- oder Analysedienste Dritter (z. B. Google Analytics) und keine Social-Media-Plugins ein und erstellen keine Nutzerprofile zu Werbezwecken. 2. Sicherheitsmaßnahmen Wir treffen organisatorische, vertragliche und technische Sicherheitsmaßnahmen entsprechend dem Stand der Technik, um die Vorschriften der Datenschutzgesetze einzuhalten und die von uns verarbeiteten Daten gegen zufällige oder vorsätzliche Manipulation, Verlust, Zerstörung und den Zugriff unberechtigter Personen zu schützen. Dazu gehören insbesondere: die verschlüsselte Übertragung aller Daten zwischen Ihrem Browser und unserem Server (TLS/HTTPS), die verschlüsselte Speicherung besonders sensibler Daten (z. B. Zugangs-Tokens und Zwei-Faktor-Geheimnisse), das Hashen von Passwörtern, eine verpflichtende Zwei-Faktor-Authentifizierung für administrative Konten sowie ein rollenbasiertes Berechtigungssystem. 3. Hosting (EU) und Server-Logfiles Unser Onlineangebot wird bei Scaleway SAS, 8 rue de la Ville l'Évêque, 75008 Paris, Frankreich, betrieben (Rechenleistung, Datenbank und Speicherplatz, Standort EU). Mit Scaleway besteht ein Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO. Die Daten unserer Anwendung werden in der Europäischen Union gespeichert. Wir bzw. unser Hostinganbieter erheben auf Grundlage unserer berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) Daten über jeden Zugriff auf den Server (Server-Logfiles). Zu den Zugriffsdaten gehören: aufgerufene Seite bzw. Datei, Datum und Uhrzeit des Abrufs, übertragene Datenmenge, Meldung über erfolgreichen Abruf, Browsertyp und -version, Betriebssystem, Referrer-URL, IP-Adresse und der anfragende Provider. Logfile-Informationen werden aus Sicherheitsgründen (z. B. zur Aufklärung von Missbrauchs- oder Betrugshandlungen) kurzzeitig gespeichert (in der Regel maximal sieben Tage) und danach gelöscht bzw. überschrieben. Daten, deren weitere Aufbewahrung zu Beweiszwecken erforderlich ist, sind bis zur endgültigen Klärung des jeweiligen Vorfalls von der Löschung ausgenommen. 4. Cookies Dieses Onlineangebot verwendet ausschließlich technisch notwendige Cookies. Es werden keine Analyse-, Tracking- oder Werbe-Cookies und keine Cookies von Drittanbietern gesetzt. Im Einzelnen: - Login-Sitzung: Nach der Anmeldung wird ein Sitzungs-Cookie gesetzt, das Ihren Anmeldestatus speichert. Ohne dieses Cookie ist die Nutzung der Anwendung nicht möglich. - Zwei-Faktor-Anmeldung: Während des Anmeldevorgangs mit Zwei-Faktor-Authentifizierung wird ein kurzlebiges Cookie gesetzt, das den Zwischenschritt absichert. - Dropbox-Verbindung: Wenn ein Kontoinhaber seine Dropbox mit der Anwendung verbindet, wird für die Dauer des Verbindungsvorgangs ein Cookie zur Absicherung des OAuth-Verfahrens gesetzt. Die öffentlich zugänglichen Seiten (z. B. Anmeldeseite, geteilte Musik-Seiten, diese Datenschutzerklärung) kommen ohne Cookies aus. Der Einsatz der notwendigen Cookies ist nach § 25 Abs. 2 Nr. 2 TDDDG ohne Einwilligung zulässig; die weitere Verarbeitung beruht auf Art. 6 Abs. 1 lit. b und f DSGVO. Ein Cookie-Banner ist daher nicht erforderlich. 5. Nutzerkonten und Erbringung vertraglicher Leistungen Wir verarbeiten Bestandsdaten (z. B. Namen und Kontaktdaten), Vertragsdaten (z. B. in Anspruch genommene Leistungen, Abrechnungsinformationen) und Inhaltsdaten unserer Kunden zwecks Erfüllung unserer vertraglichen Verpflichtungen und Serviceleistungen gem. Art. 6 Abs. 1 lit. b DSGVO. Nutzerkonten werden ausschließlich auf Einladung angelegt (Name, E-Mail-Adresse, Passwort; das Passwort wird nur als kryptographischer Hash gespeichert). Die Nutzerkonten sind nicht öffentlich und werden von Suchmaschinen nicht indexiert. Im Rahmen der Anmeldung und der Nutzung unserer Onlinedienste können die IP-Adresse und der Zeitpunkt der jeweiligen Nutzerhandlung in den Server-Logs gespeichert werden (siehe Ziffer 3); innerhalb der Anwendung wird zudem ein Aktivitätsprotokoll über wesentliche Änderungen geführt (wer hat wann was geändert), das dem jeweiligen Kunden zur Nachvollziehbarkeit dient. Die Speicherung erfolgt auf Grundlage unserer berechtigten Interessen und der Interessen der Nutzer am Schutz vor Missbrauch und unbefugter Nutzung. Wird ein Nutzerkonto bzw. der Vertrag beendet, werden die kontobezogenen Daten gelöscht, vorbehaltlich gesetzlicher Aufbewahrungspflichten (Art. 6 Abs. 1 lit. c DSGVO). Es obliegt den Kunden, ihre Daten vor Vertragsende zu sichern. 6. Abrechnung (Stripe) Für die Abrechnung kostenpflichtiger Leistungen setzen wir den Zahlungsdienstleister Stripe ein (Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Dublin, Irland; eine Übermittlung an Stripe, Inc., USA, ist möglich). Zahlungsdaten (z. B. Kreditkartendaten) werden direkt bei Stripe eingegeben und verarbeitet; wir erhalten keine vollständigen Zahlungsdaten, sondern nur Bestätigungen und Statusinformationen (z. B. Zahlungseingang, Abonnement-Status). Die Verarbeitung erfolgt zur Vertragserfüllung gem. Art. 6 Abs. 1 lit. b DSGVO. Weitere Informationen: https://stripe.com/de/privacy 7. Verarbeitung im Auftrag unserer Kunden Unsere Kunden (Musikverlage und Labels) verwalten in der Anwendung eigene Datenbestände — insbesondere Werk- und Aufnahmekataloge, Kontakte (z. B. Komponisten, Verlage, Lizenznehmer), Abrechnungs- und Vertragsdaten sowie Empfängerlisten für Musik-Präsentationen. Für diese Daten ist der jeweilige Kunde datenschutzrechtlich Verantwortlicher; wir verarbeiten sie als Auftragsverarbeiter gem. Art. 28 DSGVO ausschließlich weisungsgebunden zur Bereitstellung der Anwendung und geben sie nicht für eigene Zwecke weiter. Betroffene, deren Daten ein Kunde in der Anwendung verwaltet, wenden sich für Auskünfte bevorzugt an den jeweiligen Kunden; wir unterstützen die Kunden bei der Erfüllung von Betroffenenrechten. 8. E-Mail-Versand Für den Versand von E-Mails (z. B. Einladungen, Passwort-Zurücksetzung sowie von unseren Kunden veranlasste Tantiemen-Abrechnungen, Musik-Präsentationen und Kampagnen-E-Mails) setzen wir den Versanddienstleister Resend, Inc. (USA) ein; alternativ kann der Versand über einen vom Kunden konfigurierten SMTP-Server erfolgen. Verarbeitet werden dabei die E-Mail-Adresse, ggf. der Name des Empfängers sowie die Versanddaten. Mit dem Dienstleister bestehen Vereinbarungen zur Auftragsverarbeitung; die Übermittlung in die USA erfolgt auf Grundlage der Garantien nach Art. 44 ff. DSGVO (EU-U.S. Data Privacy Framework bzw. Standardvertragsklauseln). Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO (transaktionale E-Mails) und Art. 6 Abs. 1 lit. f DSGVO (zuverlässiger, sicherer Versand). Werbliche E-Mails (Kampagnen) werden nur an Empfänger versendet, die in den Empfang eingewilligt haben bzw. bei denen eine gesetzliche Erlaubnis besteht; jede dieser E-Mails enthält einen Abmeldelink sowie eine One-Click-Abmeldemöglichkeit nach RFC 8058 (List-Unsubscribe). Nach einer Abmeldung wird die Adresse für künftige Sendungen der jeweiligen Liste gesperrt. 9. Öffentlich geteilte Musik-Seiten und Erfolgsmessung Über die Anwendung können Musiktitel als öffentliche, nicht von Suchmaschinen auffindbare Seiten geteilt werden (individuelle Links, z. B. für Musik-Präsentationen an Auftraggeber). Beim Aufruf einer solchen Seite sowie beim Abspielen oder Herunterladen von Titeln erfassen wir, welchem Link (und damit ggf. welchem Empfänger) die Aktion zuzuordnen ist, welcher Titel betroffen war und den Zeitpunkt. In Kampagnen-E-Mails kann zudem ein Zählpixel enthalten sein, das das Öffnen der E-Mail registriert. Diese Erfolgsmessung kommt ohne Cookies und ohne geräteübergreifendes Tracking aus; es werden keine Browser-Fingerabdrücke erstellt. Zweck ist es, dem Versender nachvollziehbar zu machen, ob und welche Titel bei den Empfängern auf Interesse stoßen (berechtigtes Interesse gem. Art. 6 Abs. 1 lit. f DSGVO). Empfänger können dieser Messung jederzeit widersprechen — formlos per E-Mail an uns bzw. an den Versender oder durch Abmeldung über den in jeder E-Mail enthaltenen Link. Für die Auslieferung der Audio-Vorschauen nutzen wir einen Objektspeicher von Scaleway (EU). Beim Herunterladen von Originaldateien kann die Auslieferung unmittelbar aus dem Cloud-Speicher des jeweiligen Kunden erfolgen (siehe Ziffer 10); dabei wird die IP-Adresse des Abrufenden technisch bedingt an den jeweiligen Speicheranbieter übermittelt. 10. Dropbox-Anbindung Kunden können ihre eigene Dropbox mit der Anwendung verbinden, um Audiodateien direkt aus ihrem eigenen Speicher bereitzustellen (Dropbox International Unlimited Company, Dublin, Irland; Konzernmutter Dropbox, Inc., USA — eine Übermittlung in die USA ist möglich, abgesichert über das EU-U.S. Data Privacy Framework bzw. Standardvertragsklauseln). Die Verbindung erfolgt per OAuth; wir speichern hierfür ein verschlüsseltes Zugriffs-Token. Es werden nur die für die Funktion erforderlichen Datei-Informationen (Dateinamen, Pfade, temporäre Abruf-Links) verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Weitere Informationen: https://www.dropbox.com/privacy 11. Elektronische Signatur (DocuSign) Für die elektronische Unterzeichnung von Verträgen setzen wir DocuSign ein (DocuSign, Inc., USA). Dabei werden Name und E-Mail-Adresse des Unterzeichners, das zu unterzeichnende Dokument sowie Signatur- und Protokolldaten (z. B. Zeitpunkt der Unterschrift) verarbeitet. Die Übermittlung in die USA erfolgt auf Grundlage der Garantien nach Art. 44 ff. DSGVO (EU-U.S. Data Privacy Framework bzw. Standardvertragsklauseln). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung). Weitere Informationen: https://www.docusign.com/privacy 12. KI-gestützte Funktionen (Anthropic) Einzelne Funktionen der Anwendung (z. B. die Umwandlung einer Suchbeschreibung in Katalog-Filter oder das Erstellen von Titelbeschreibungen aus Metadaten) nutzen die Programmierschnittstelle von Anthropic, PBC (USA). Dabei werden ausschließlich die von angemeldeten Nutzern eingegebenen Suchtexte bzw. Musik-Metadaten (z. B. Stimmungs- und Instrument-Schlagworte) übermittelt — keine Daten von Website-Besuchern und keine Empfängerdaten. Nach Angaben des Anbieters werden über die Schnittstelle übermittelte Daten nicht zum Training von KI-Modellen verwendet. Die Übermittlung in die USA erfolgt auf Grundlage der Garantien nach Art. 44 ff. DSGVO. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b und f DSGVO. Weitere Informationen: https://www.anthropic.com/privacy 13. Kontaktaufnahme Bei der Kontaktaufnahme mit uns (per E-Mail) werden die Angaben des Nutzers zur Bearbeitung der Anfrage und deren Abwicklung gem. Art. 6 Abs. 1 lit. b DSGVO verarbeitet. Die Anfragen werden in unserem E-Mail-Postfach gespeichert; ein externes CRM-System setzen wir hierfür nicht ein. 14. Administration, Finanzbuchhaltung, Büroorganisation Wir verarbeiten Daten im Rahmen von Verwaltungsaufgaben, der Organisation unseres Betriebs, der Finanzbuchhaltung und der Befolgung gesetzlicher Pflichten (z. B. Archivierung) auf Grundlage von Art. 6 Abs. 1 lit. c und f DSGVO. Hierbei können Daten gegenüber der Finanzverwaltung und Beratern (z. B. Steuerberatern) offengelegt werden. 15. Zusammenarbeit mit Auftragsverarbeitern; Übermittlungen in Drittländer Sofern wir im Rahmen unserer Verarbeitung Daten gegenüber anderen Personen und Unternehmen (Auftragsverarbeitern oder Dritten) offenbaren, erfolgt dies nur auf Grundlage einer gesetzlichen Erlaubnis, einer Einwilligung, einer rechtlichen Verpflichtung oder unserer berechtigten Interessen. Auftragsverarbeiter setzen wir nur auf Grundlage eines Vertrags gem. Art. 28 DSGVO ein. Sofern wir Daten in einem Drittland (außerhalb der EU bzw. des EWR) verarbeiten lassen — dies betrifft die in dieser Erklärung genannten US-Dienstleister —, erfolgt dies nur beim Vorliegen der Voraussetzungen der Art. 44 ff. DSGVO, d. h. insbesondere auf Grundlage eines Angemessenheitsbeschlusses (EU-U.S. Data Privacy Framework für zertifizierte Anbieter) oder offiziell anerkannter Standardvertragsklauseln. 16. Löschung von Daten und Aufbewahrungsfristen Die bei uns gespeicherten Daten werden gelöscht, sobald sie für ihre Zweckbestimmung nicht mehr erforderlich sind und der Löschung keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Sofern Daten nicht gelöscht werden, weil sie für andere, gesetzlich zulässige Zwecke erforderlich sind, wird deren Verarbeitung eingeschränkt. Das gilt z. B. für Daten, die aus handels- oder steuerrechtlichen Gründen aufbewahrt werden müssen (§ 257 HGB, § 147 AO: je nach Art der Unterlage sechs bis zehn Jahre). 17. Rechte der Nutzer Sie haben das Recht, unentgeltlich Auskunft über die von uns über Sie gespeicherten personenbezogenen Daten zu erhalten (Art. 15 DSGVO). Zusätzlich haben Sie das Recht auf Berichtigung unrichtiger Daten (Art. 16 DSGVO), auf Löschung (Art. 17 DSGVO), auf Einschränkung der Verarbeitung (Art. 18 DSGVO) und auf Datenübertragbarkeit (Art. 20 DSGVO). Erteilte Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO). Widerspruchsrecht: Sie können der künftigen Verarbeitung Ihrer personenbezogenen Daten, die auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO erfolgt, jederzeit widersprechen (Art. 21 DSGVO), insbesondere der Verarbeitung zu Zwecken der Direktwerbung. Sie haben ferner das Recht, Beschwerde bei einer Datenschutz-Aufsichtsbehörde einzulegen (Art. 77 DSGVO). Die für uns zuständige Aufsichtsbehörde ist: Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Lautenschlagerstraße 20, 70173 Stuttgart, https://www.baden-wuerttemberg.datenschutz.de Zur Ausübung Ihrer Rechte genügt eine formlose E-Mail an contact@royaltyledger.app. 18. Änderungen der Datenschutzerklärung Wir behalten uns vor, diese Datenschutzerklärung anzupassen, sobald Änderungen der von uns durchgeführten Datenverarbeitung oder der Rechtslage dies erforderlich machen. Sofern Einwilligungen der Nutzer erforderlich sind, erfolgen Änderungen nur mit deren Zustimmung. Bitte informieren Sie sich regelmäßig über den Inhalt dieser Datenschutzerklärung.