Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) für arrangementlabs.ai ist ArrangementLabs.ai (Marcin Konopka), eingetragener Sitz: [Controller registered office: TBD] . Eine eigenständige Datenschutzbeauftragte (DPO) haben wir nicht bestellt, da die Voraussetzungen nach Art. 37 DSGVO derzeit nicht vorliegen. Sie erreichen uns für Datenschutzanfragen unter den in Abschnitt 8 genannten Kontaktdaten.

2. Verarbeitung auf öffentlichen Seiten (Landing, Login, Registrierung, Datenschutz)

Auf den öffentlichen Seiten (Landing, Login, Registrierung, FAQ, Preise, Datenschutz, Blog) verarbeiten wir nur die zur Auslieferung der Website technisch notwendigen Daten sowie anonyme Nutzungsstatistiken. (1) Server-Zugriffsprotokolle: Unser Hosting-Anbieter Google Cloud Platform (Region Frankfurt, EU) protokolliert für jeden Seitenaufruf IP-Adresse, User-Agent, Zeitstempel und angeforderte URL. Diese Protokolle dienen ausschließlich der IT-Sicherheit, Fehlerdiagnose und Missbrauchsabwehr und werden nach 30 Tagen automatisch gelöscht. Rechtsgrundlage: Art. 6 (1)(f) DSGVO (berechtigtes Interesse am sicheren Betrieb des Dienstes). (2) Plausible Analytics (Plausible Insights OÜ, Tallinn, EU): cookielose, datenschutzfreundliche Zählung anonymer Seitenaufrufe und eines einzelnen Ereignisses (Wartelisten-Eintragung). Plausible setzt keinen Cookie, verfolgt Sie nicht seitenübergreifend und erhebt keine direkt personenbezogenen Daten; die IP-Adresse wird im Arbeitsspeicher gehasht und nach einem Tag verworfen, gespeichert bleiben nur aggregierte Zähler. Rechtsgrundlage: Art. 6 (1)(f) DSGVO (berechtigtes Interesse an der bedarfsgerechten Gestaltung und statistischen Auswertung des Webangebots). Sie haben das Recht auf Widerspruch nach Art. 21 (1) DSGVO — bitte senden Sie Ihren Widerspruch an die in Abschnitt 8 genannte Adresse. (3) Wartelisten-Eintragung: Geben Sie auf der Landing Page Ihre E-Mail-Adresse zur Aufnahme in unsere Beta-Warteliste ein, verarbeiten wir diese E-Mail-Adresse, um Sie über die Beta-Verfügbarkeit zu informieren. Rechtsgrundlage: Art. 6 (1)(a) DSGVO (Einwilligung mit dem Absenden des Formulars) in Verbindung mit Art. 6 (1)(b) DSGVO (vorvertragliche Maßnahme). Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie auf den Abmelde-Link in unseren E-Mails klicken oder uns formlos kontaktieren.

3. Verarbeitung im eingeloggten App-Bereich

Sobald Sie sich in der App einloggen, verarbeiten wir die folgenden personenbezogenen Daten zur Erbringung des vertraglich vereinbarten Dienstes: (1) Kontodaten via Firebase Authentication (Google Ireland Ltd, Dublin, EU) — Ihre E-Mail-Adresse, eine zufällig vergebene Firebase-Benutzer-ID und ein gehashtes Passwort (sofern Sie sich nicht über Google OAuth einloggen). Rechtsgrundlage: Art. 6 (1)(b) DSGVO (Vertragserfüllung). (2) Hochgeladene Partituren (ABC, MusicXML, MIDI): Wir verarbeiten diese ausschließlich zur Generierung des angeforderten Arrangements und zur kurzzeitigen Bereitstellung des Ergebnisses (MIDI, MusicXML, PDF). Die hochgeladenen Quelldateien und generierten Ergebnisse werden in unserem Objektspeicher (Google Cloud Storage, Region Frankfurt) abgelegt und nach drei Tagen automatisch gelöscht. Rechtsgrundlage: Art. 6 (1)(b) DSGVO. (3) PostHog Produktanalyse (PostHog Inc., Daten verarbeitet in der EU, Region Frankfurt): Wir zeichnen Produkt-Nutzungsereignisse auf — die Auswahl eines Presets, den Start eines Arrangements und dessen erfolgreichen Abschluss oder Fehlschlag. Jedes Ereignis wird mit Ihrer Firebase-Benutzer-ID und Ihrer E-Mail-Adresse verknüpft. Rechtsgrundlage: Art. 6 (1)(b) DSGVO (Vertragserfüllung zur Verbesserung des Dienstes, für den Sie sich angemeldet haben) sowie Art. 6 (1)(f) DSGVO (berechtigtes Interesse an Produktverbesserung). Sitzungsaufzeichnung (Session Replay) ist dauerhaft deaktiviert; das vom Browser gesendete Do-Not-Track-Signal wird respektiert. (4) Kein Training von KI-Modellen auf Ihren Daten ohne gesonderte Einwilligung: Ihre hochgeladenen Partituren werden nicht automatisch zum Training unserer Arrangement-Modelle verwendet. Eine Verwendung für Modell-Verbesserung erfolgt ausschließlich, wenn Sie ausdrücklich an einer optionalen Human-in-the-Loop-Feedback-Schleife teilnehmen (gesonderte Einwilligung).

4. Cookies und ähnliche Technologien (§25 TDDDG)

Auf den öffentlichen Seiten setzen wir keinerlei Cookies und verwenden kein localStorage zu Tracking-Zwecken. Im eingeloggten App-Bereich werden ausschließlich technisch unbedingt erforderliche Speichervorgänge eingesetzt: (1) ein einzelner Funktions-Cookie von PostHog, der die eindeutige Nutzer-ID über Seitenladevorgänge hinweg speichert, damit Produktanalyse korrekt zugeordnet werden kann; (2) eine localStorage-Präferenz zum Zustand der Seitenleiste (eingeklappt/ausgeklappt). Beide Speichervorgänge sind technisch erforderlich für den von Ihnen ausdrücklich angeforderten Telemediendienst und unterliegen daher §25 (2) Nr. 2 TDDDG (technische Erforderlichkeit) — eine Einwilligung ist nicht erforderlich. Wir setzen weder Werbe-, Marketing-, Profiling- noch Drittanbieter-Tracking-Cookies auf der gesamten Website. Sollten wir in Zukunft nicht-erforderliche Cookies einführen, werden wir zuvor eine TDDDG- und DSGVO-konforme Einwilligungslösung mit granularem Opt-in implementieren.

5. Ihre Rechte (Art. 15-22 DSGVO)

Sie haben gegenüber uns die folgenden Rechte bezüglich Ihrer personenbezogenen Daten: Recht auf Auskunft (Art. 15 DSGVO), Recht auf Berichtigung unrichtiger Daten (Art. 16 DSGVO), Recht auf Löschung („Recht auf Vergessenwerden“, Art. 17 DSGVO), Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO), Recht auf Datenübertragbarkeit (Art. 20 DSGVO) sowie Recht auf Widerspruch gegen eine auf Art. 6 (1)(f) DSGVO gestützte Verarbeitung (Art. 21 DSGVO). Sofern Sie uns eine Einwilligung erteilt haben, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 (3) DSGVO). Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO mit rechtlicher Wirkung Ihnen gegenüber findet nicht statt — alle wesentlichen Entscheidungen zur Kontoverwaltung trifft ein Mensch. Wir antworten auf Anträge zur Ausübung Ihrer Rechte innerhalb der gesetzlichen Frist von einem Monat (Art. 12 (3) DSGVO); die Frist kann bei Bedarf um zwei weitere Monate verlängert werden, worüber wir Sie zuvor unterrichten. Zusätzlich steht Ihnen ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde zu (Art. 77 DSGVO). Bei Wohnsitz in Deutschland können Sie sich wahlweise an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI, Bonn) oder an die Landesdatenschutzbehörde Ihres Bundeslandes wenden. Da unser Sitz in Polen liegt, ist daneben das polnische Urząd Ochrony Danych Osobowych (UODO, Warschau) zuständig.

6. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungsfristen es vorschreiben. Konkrete Fristen: (1) Hochgeladene Partituren und generierte Arrangement-Dateien (MIDI, MusicXML, PDF): drei Tage, danach automatische Löschung aus dem Objektspeicher. (2) Kontodaten (E-Mail-Adresse, Firebase-Benutzer-ID, gehashtes Passwort): für die Dauer des Bestehens Ihres Kontos; auf Löschanfrage gemäß Art. 17 DSGVO werden alle Kontodaten innerhalb von 30 Tagen entfernt. (3) Wartelisten-E-Mail-Adressen: bis zum Widerruf Ihrer Einwilligung, spätestens jedoch nach Abschluss der geschlossenen Beta-Phase. (4) Server-Zugriffsprotokolle: 30 Tage, danach automatische Löschung. (5) Plausible-Aggregate: unbegrenzt, da es sich um anonyme Seitenaufruf-Zähler ohne Personenbezug handelt. (6) PostHog-Produktereignisse: 12 Monate für Trendanalyse, danach automatische Löschung. Längere Aufbewahrung erfolgt nur, soweit gesetzliche Pflichten (z. B. handels- oder steuerrechtliche Aufbewahrungsfristen) dies verlangen.

7. Auftragsverarbeiter und Drittlandübermittlung

Zur Bereitstellung des Dienstes setzen wir die folgenden Auftragsverarbeiter ein. Mit jedem dieser Anbieter haben wir einen Vertrag über Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen. Die Datenverarbeitung erfolgt vorrangig innerhalb der Europäischen Union. Soweit im Einzelfall eine Übermittlung in ein Drittland erfolgt, geschieht dies ausschließlich auf Grundlage eines Angemessenheitsbeschlusses der Europäischen Kommission oder geeigneter Garantien im Sinne von Art. 46 DSGVO (insbesondere EU-Standardvertrags-klauseln). Im Einzelnen:

• Google Cloud Platform / Google Ireland Ltd (Dublin, IE; Region Frankfurt, DE) — Anwendungshosting, PostgreSQL-Datenbank, Objektspeicher, Server-Zugriffsprotokolle. Verarbeitung in der EU.
• Firebase Authentication / Google Ireland Ltd (Dublin, IE) — Authentifizierung, Benutzerkonto-Verwaltung. Verarbeitung primär in der EU; etwaige Drittlandübermittlungen an die US-Muttergesellschaft Google LLC auf Grundlage von EU-Standardvertragsklauseln.
• Brevo SAS, ehemals Sendinblue (Paris, FR) — transaktionale und Wartelisten-E-Mails. Verarbeitung in der EU.
• Plausible Insights OÜ (Tallinn, EE) — cookielose Web-Analyse auf öffentlichen Seiten. Verarbeitung in der EU.
• PostHog Inc. (US-Unternehmen mit Sitz San Francisco, CA; Daten gehostet in EU, Region Frankfurt, DE) — Produktanalyse für eingeloggte Nutzer. EU-Datenresidenz vertraglich garantiert; ergänzende EU-Standardvertragsklauseln mit der US-Muttergesellschaft.

8. Kontakt und Beschwerden

Für Datenschutzanfragen — insbesondere Auskunfts-, Berichtigungs-, Lösch- oder Widerspruchsbegehren — wenden Sie sich an die datenschutz-verantwortliche Person unter [DPO contact: TBD] . Für allgemeine Fragen schreiben Sie an hello@arrangementlabs.ai . Wir antworten innerhalb der gesetzlich vorgesehenen Frist von einem Monat (Art. 12 (3) DSGVO). Diese Datenschutzerklärung wird bei wesentlichen Änderungen unserer Verarbeitungstätigkeiten aktualisiert; das Datum der letzten Änderung finden Sie am Anfang dieses Dokuments.