Datenschutzerklärung

Herzton AI - Serena Sontag
Stand: Januar 2026

§ 1 Name und Kontaktdaten des Verantwortlichen

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze ist:

Serena Sontag
Herzton AI
Am Steinberg 4
13086 Berlin, Deutschland

E-Mail: service@herztonai.com
Website: www.herztonai.com

§ 2 Allgemeines zur Datenverarbeitung

1. Umfang der Verarbeitung:
   Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung personenbezogener Daten erfolgt regelmäßig nur nach Einwilligung des Nutzers oder wenn die Verarbeitung zur Erfüllung eines Vertrages oder zur Wahrung berechtigter Interessen erforderlich ist.

2. Rechtsgrundlagen:

   • Art. 6 Abs. 1 lit. a DSGVO: Einwilligung der betroffenen Person

   • Art. 6 Abs. 1 lit. b DSGVO: Verarbeitung zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen

   • Art. 6 Abs. 1 lit. c DSGVO: Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung

   • Art. 6 Abs. 1 lit. f DSGVO: Verarbeitung zur Wahrung berechtigter Interessen

3. Datenlöschung und Speicherdauer:
   Die personenbezogenen Daten der betroffenen Person werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Eine Speicherung kann darüber hinaus erfolgen, wenn dies durch europäische oder nationale Rechtsvorschriften vorgesehen ist. Die konkreten Speicherfristen sind in § 10 dieser Datenschutzerklärung aufgeführt.

§ 3 Verarbeitung im Rahmen der Bestellung

Beim Erwerb digitaler Produkte verarbeiten wir personenbezogene Daten, um den Kaufvertrag gemäß Art. 6 Abs. 1 lit. b DSGVO zu erfüllen.

Pflichtangaben (zwingend erforderlich):

• E-Mail-Adresse (zur Lieferung des Produkts und Kommunikation)

• Bestellland (zur korrekten Berechnung der Umsatzsteuer gemäß EU-OSS-Regelung)

Freiwillige Angaben:

• Name (Vor- und Nachname)

• Rechnungsadresse (Straße, PLZ, Ort)

• Firmenname (bei geschäftlicher Bestellung)

Diese Angaben werden nur für die Erstellung einer formellen Rechnung benötigt oder wenn dies gesetzlich vorgeschrieben ist (z.B. bei Bestellungen über 250 €).

Inhaltsdaten:
Zur Erstellung des personalisierten Musikstücks verarbeiten wir die vom Kunden bereitgestellten Inhalte:

• Story/Geschichte des Kunden

• Anlassbeschreibung (Geburtstag, Hochzeit, etc.)

• Gewünschte Stimmung und Genre

• Instrumentenpräferenzen

• Optional: Hochgeladene Audiodateien, Bilddateien oder Texte (nur im Premium-Paket)

Bestelldaten:

• Ausgewähltes Produktpaket

• Bestellzeitpunkt

• Bestellnummer

• Zahlungsinformationen (verarbeitet durch Zahlungsdienstleister)

Zweck der Verarbeitung:

• Vertragsabwicklung und Lieferung der digitalen Inhalte

• Rechnungsstellung

• Kundenkommunikation

• Bearbeitung von Revisionswünschen

Umsatzsteuerbestimmung (EU-OSS):
Zur korrekten Berechnung der Umsatzsteuer bei grenzüberschreitenden digitalen Dienstleistungen verarbeiten wir gemäß den EU-Regelungen (One-Stop-Shop) mindestens zwei nicht widersprüchliche Nachweise zum Aufenthaltsland des Kunden:

• Rechnungsadresse (falls angegeben)

• Bestellland (Kundenauswahl im Formular)

• IP-Adresse (automatisch erfasst)

• Land der Bank/Kreditkarte (übermittelt durch Zahlungsdienstleister)

Besonderheit bei Geschäftskunden:

Bei Bestellungen durch Unternehmen verarbeiten wir zusätzlich:

- Firmenname

- Umsatzsteuer-Identifikationsnummer (USt-IdNr.)

- Geschäftliche E-Mail-Adresse

- Name des Ansprechpartners (B2B-Kontaktperson)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Speicherdauer: 10 Jahre (steuerrechtliche Aufbewahrungspflicht)

§ 4 Zahlungsdienstleister

Zur Abwicklung der Zahlungsvorgänge setzen wir externe Zahlungsdienstleister ein. Die Zahlungsdaten werden direkt an diese Dienstleister übermittelt und dort verarbeitet.

4.1 PayPal

Anbieter: PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxembourg

Verarbeitete Daten:

• Name (falls angegeben)

• E-Mail-Adresse

• Rechnungsadresse (falls angegeben)

• Zahlungsbetrag

• Bestellnummer

Zweck: Abwicklung der Zahlung, Betrugsprävention

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Weitere Informationen: https://www.paypal.com/de/webapps/mpp/ua/privacy-full

4.2 Kreditkartenzahlung (Paypal/ Stripe/ andere Payment-Provider)

Je nach eingesetztem Payment-Provider werden Zahlungsdaten direkt an den entsprechenden Dienstleister übermittelt. Wir speichern keine vollständigen Kreditkartennummern.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

§ 5 Hosting und technische Infrastruktur

5.1 Website-Hosting (Hostinger)

Anbieter: Hostinger International Ltd., 61 Lordou Vironos Street, 6023 Larnaca, Zypern

Zweck: Bereitstellung und Betrieb unserer Website (www.herztonai.com)

Verarbeitete Daten:

• IP-Adresse des Besuchers

• Datum und Uhrzeit des Zugriffs

• Aufgerufene Seiten (URLs)

• Browser-Typ und -Version

• Betriebssystem

• Referrer-URL (vorherige Seite)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherer und stabiler Website-Bereitstellung)

Speicherdauer: Server-Logfiles werden nach maximal 7 Tagen automatisch gelöscht.

Standort: Server befinden sich in der EU (Rechenzentren in Deutschland/Litauen).

Weitere Informationen: https://www.hostinger.de/datenschutzrichtlinie

§ 6 Einsatz von Auftragsverarbeitern und externen Tools

Wir setzen zur Abwicklung unserer Geschäftsprozesse folgende externe Dienstleister (Auftragsverarbeiter) ein, mit denen wir entsprechende Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO abgeschlossen haben:

6.1 Jotform (Bestellformular, Zahlungsintegration, Feedback-Formular, Newsletter, Kontaktformular)

Anbieter: Jotform Inc., 111 Pine Street, Suite 1815, San Francisco, CA 94111, USA

Zweck:

• Erfassung von Bestelldaten und Abwicklung des Zahlungsvorgangs (Formular-Hosting)

• Automatisierung (Bestellbestätigung) und Rechnungserstellung

• Erfassung von Bestell- Feedback-Angaben und optionalen Angaben des Namen und Email-Adresse

• Erfassung der E-Mail-Adresse bei Newsletter-Anmeldung (Double-Opt-In-Verfahren)

• Erfassung der Kontaktdaten und Nachrichten bei Kontaktformular-Einträgen

Verarbeitete Daten:

• Bestell-, Bestands- und Inhaltsdaten (Kunden-Story, Auswahl von Stimmung/Genre/Instrumenten)

• E-Mail-Adresse, Name (optional), Rechnungsadresse (optional)

• Zahlungsinformationen (werden direkt an PayPal weitergeleitet, nicht bei Jotform gespeichert)

• Newsletter-Anmeldedaten (E-Mail-Adresse, Zeitstempel der Anmeldung)

• Feedback-Formular Angaben (Feedback-Bestellnummer, Feedback-Details, Email-Adresse und Name optional)

• Kontaktformular-Daten (Name, E-Mail, Nachricht)

Rechtsgrundlage:

• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung bei Newsletter-Anmeldung)

Datenübermittlung in Drittland: Daten werden in die USA übermittelt. Schutzmechanismen: EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.

Speicherdauer: Formulardaten werden bei Jotform für maximal 6 Monate gespeichert, dann automatisch gelöscht.

Weitere Informationen: https://www.jotform.com/privacy/

6.2 Airtable (Datenbank und Knowledge Base)

Anbieter: Airtable, Inc., 799 Market Street, 8th Floor, San Francisco, CA 94103, USA

Zweck: Zentrale Speicherung aller Bestell-, Kunden- und Produktionsdaten (CRM, Living Knowledge Base)

Verarbeitete Daten:

• Alle im Rahmen der Bestellung erhobenen Daten (siehe § 3)

• Bestellstatus, Revisionswünsche, Kundenfeedback

• Produktionsdaten (Song-Metadaten, Lieferzeitpunkt)

• Marketingdaten (Herkunft der Bestellung, z.B. Instagram, TikTok, Facebook, LinkedIn)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Datenübermittlung in Drittland: Daten werden in die USA übermittelt. Schutzmechanismen: EU-Standardvertragsklauseln (SCCs).

Speicherdauer: Gemäß § 10 dieser Datenschutzerklärung (10 Jahre für steuerrelevante Daten, 30 Tage für Inhaltsdaten nach Lieferung).

Weitere Informationen: https://www.airtable.com/privacy

6.3 Make.com (Workflow-Automatisierung)

Anbieter: Celonis SE, Theresienstraße 6, 80333 München, Deutschland (betreibt Make.com)

Zweck: Automatisierung des Bestellprozesses, Datenübertragung zwischen Jotform und Airtable, automatisierter Versand von E-Mails (Auslieferungsmail)

Verarbeitete Daten:

• Daten fließen durch das Tool, werden jedoch nicht dauerhaft gespeichert (Transitdaten)

• Temporär verarbeitete Daten: Bestelldaten, E-Mail-Adresse, Kundenstory (zur Weiterleitung an Airtable)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Datenverarbeitung in der EU: Make.com nutzt EU-Server (Deutschland/Irland). Keine Datenübermittlung in Drittländer, sofern entsprechend konfiguriert.

Speicherdauer: Logs werden nach 30 Tagen gelöscht. Keine dauerhafte Datenspeicherung.

Weitere Informationen: https://www.make.com/en/privacy

6.4 Google Drive (Produktauslieferung)

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland

Zweck: Speicherung und Bereitstellung des finalen Musikstücks an den Kunden (gesicherter Download-Link)

Verarbeitete Daten:

• E-Mail-Adresse des Kunden (für Ordnerfreigabe)

• Bestellnummer, Name, Firma/ Verein (Ordnername)

• Inhaltsdaten (fertige Musikdatei als MP3/WAV, fertige Song-Cover-Datei als jpg/png, Rechnung als pdf)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Speicherdauer:

• Kundendaten bleiben für 90 Tage in Google Drive verfügbar (Downloadmöglichkeit für Kunden)

• Nach 90 Tagen erfolgt die Verschiebung in die interne Archivierung (Microsoft OneDrive) – nicht mehr für Kunden zugänglich

Datenverarbeitung in der EU: Google Drive nutzt EU-Server. Datenverarbeitung erfolgt gemäß EU-DSGVO.

Weitere Informationen: https://policies.google.com/privacy

6.5 Microsoft OneDrive (Interne Archivierung)

Anbieter: Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland

Zweck: Langfristige interne Archivierung von Kundendateien (nach Ablauf der 90-Tage-Frist bei Google Drive)

Verarbeitete Daten:

• Kopien der finalen Musikdateien, Bilddateien und Rechnungen

• Bestellnummer (zur Zuordnung)

• Keine personenbezogenen Daten (Name/E-Mail werden nicht gespeichert, nur Bestellnummer als Referenz)

Rechtsgrundlage:

• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – falls Kunde nach Ablauf der Frist erneuten Download anfordert)

• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an ordnungsgemäßer Dokumentation für potenzielle Nachfragen)

Speicherdauer: Archivierung erfolgt für maximal 2 Jahre, dann endgültige Löschung.

Datenverarbeitung in der EU: OneDrive nutzt EU-Server (Rechenzentren in Deutschland/Irland).

Weitere Informationen: https://privacy.microsoft.com/de-de/privacystatement

6.6 Microsoft Outlook / Microsoft 365 (E-Mail-Kommunikation)

Anbieter: Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland

Zweck: Versand von E-Mails (Auslieferungsmail, Kundenkommunikation)

Verarbeitete Daten:

• E-Mail-Adresse des Kunden

• E-Mail-Inhalte (Bestellinformationen, Download-Links, Antworten auf Kundenanfragen)

Besonderheit: E-Mails werden durch Make.com automatisch erstellt und als Entwurf an Outlook übergeben. Der Versand erfolgt nach manueller Freigabe durch den Anbieter.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Speicherdauer: E-Mails werden für die Dauer der Aufbewahrungspflicht (siehe § 10) gespeichert.

Datenverarbeitung in der EU: Microsoft 365 nutzt EU-Server.

Weitere Informationen: https://privacy.microsoft.com/de-de/privacystatement

6.7 SevDesk / Lexware (Buchhaltung)

Anbieter:

• SevDesk GmbH, Rathausplatz 12, 78647 Trossingen, Deutschland

• Lexware GmbH & Co. KG, Munzinger Straße 9, 79111 Freiburg, Deutschland

Zweck: Rechtssichere Rechnungsübertragung, Buchhaltung, Steuerdokumentation

Verarbeitete Daten:

• Name, Rechnungsadresse (falls vom Kunden angegeben)

• E-Mail-Adresse

• Bestelldaten (Produktname, Preis, Datum)

• Rechnungsnummer, Zahlungsinformationen

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung gemäß § 14 UStG, § 257 HGB)

Speicherdauer: 10 Jahre gemäß steuerrechtlicher Aufbewahrungspflichten (§ 257 HGB, § 147 AO)

Datenverarbeitung in Deutschland: Alle Server befinden sich in Deutschland. Keine Datenübermittlung in Drittländer.

Weitere Informationen:

• SevDesk: https://sevdesk.de/datenschutz/

• Lexware: https://www.lexware.de/datenschutz/

6.8 SoundCloud Widget (Audio-Einbettung)

Anbieter: SoundCloud Limited, Rheinsberger Str. 76/77, 10115 Berlin, Deutschland

Zweck: Wiedergabe von Audio-Hörproben auf unserer Website (Portfolio-Seite)

Verarbeitete Daten (beim Abspielen des Widgets):

• IP-Adresse

• Datum und Uhrzeit des Besuchs

• Aufgerufene Seite (Referrer-URL)

• Browser-Typ und -Version

• Betriebssystem

Rechtsgrundlage:

• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an ansprechender Website-Darstellung)

• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, wenn Sie das Audio-Widget aktiv abspielen)

Cookies: SoundCloud setzt Cookies zur Erstellung von Nutzungsstatistiken. Speicherdauer: bis zu 2 Jahre (abhängig vom Cookie-Typ).

Widerspruch/Löschung: Sie können der Datenverarbeitung durch SoundCloud widersprechen, indem Sie:

• Cookies in Ihrem Browser deaktivieren

• Das Audio-Widget nicht abspielen

• Die SoundCloud-Datenschutzeinstellungen nutzen: https://soundcloud.com/pages/privacy

Weitere Informationen: https://soundcloud.com/pages/privacy

6.9 KI-gestützte Musikproduktion

Zur Erstellung der Musikstücke setzen wir externe KI-basierte Musikgenerierungs- und Textoptimierungstools ein.

Verarbeitete Daten:

• Keine personenbezogenen Kundendaten (keine Namen, E-Mail-Adressen)

• Nur anonymisierte Inhaltsdaten (Stimmung, Genre, Instrumente, Anlassbeschreibung)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Besonderheit: Die KI-Tools erhalten ausschließlich die für die Musikgenerierung notwendigen Informationen in anonymisierter Form. Ein Personenbezug ist nicht herstellbar.

§ 7 Newsletter (E-Mail-Marketing) - optional, falls Newsletter angeboten wird

1. Anmeldung per Double-Opt-In:
   Die Anmeldung zum Newsletter erfolgt über ein Formular auf unserer Website (bereitgestellt durch Jotform). Nach der Anmeldung erhalten Sie eine Bestätigungsmail, in der Sie einen Link anklicken müssen (Double-Opt-In-Verfahren). Erst nach dieser Bestätigung wird Ihre E-Mail-Adresse in den Verteiler aufgenommen.

2. Verarbeitete Daten:

   • E-Mail-Adresse

   • Zeitpunkt der Anmeldung

   • IP-Adresse (zum Nachweis der Anmeldung)

3. Zweck: Versand von Informationen über neue Produkte, Angebote und Unternehmensnews.

4. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

5. Widerruf: Sie können den Newsletter jederzeit abbestellen:

   • Über den Abmeldelink in jeder Newsletter-E-Mail

   • Per E-Mail an service@herztonai.com

6. Tool: Versand erfolgt über Jotform (siehe § 6.1).

§ 8 Cookies und Tracking-Technologien

8.1 Technisch notwendige Cookies

Wir setzen Cookies ein, die für den Betrieb der Website technisch erforderlich sind:

• Session-Cookies: Temporäre Cookies, die Ihre Sitzung aufrechterhalten (z.B. Formulareinträge)

• Sicherheits-Cookies: Zur Abwehr von Cross-Site-Request-Forgery (CSRF)-Angriffen

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherer und funktionaler Website)

Speicherdauer: Session-Cookies werden nach Schließen des Browsers automatisch gelöscht.

8.2 Analyse- und Marketing-Cookies - aktuell nicht im Einsatz

Derzeit setzen wir keine Analyse-Tools wie Google Analytics ein. Sollte sich dies ändern, werden Sie vor dem Einsatz solcher Tools um Ihre Einwilligung gebeten (Cookie-Banner).

8.3 Cookie-Verwaltung

Sie können Cookies in Ihren Browser-Einstellungen jederzeit löschen oder die Annahme von Cookies verweigern. Bitte beachten Sie, dass die Funktionalität unserer Website dadurch eingeschränkt sein kann.

Anleitung zur Cookie-Verwaltung:

• Chrome: https://support.google.com/chrome/answer/95647

• Firefox: https://support.mozilla.org/de/kb/cookies-loeschen-daten-von-websites-entfernen

• Safari: https://support.apple.com/de-de/guide/safari/sfri11471/mac

§ 9 Datenübermittlung in Drittländer (USA)

Bei der Nutzung von Jotform und Airtable (alle USA) werden Ihre Daten in die USA übermittelt. Die USA gelten seit dem "Schrems II"-Urteil des EuGH nicht mehr als sicheres Drittland.

Schutzmechanismen:

1. EU-Standardvertragsklauseln (SCCs):
   Mit allen US-Anbietern haben wir die von der EU-Kommission genehmigten Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO abgeschlossen. Diese Klauseln verpflichten den Empfänger zur Einhaltung des europäischen Datenschutzniveaus.

2. Zusätzliche Garantien (falls zutreffend):
   Einige Anbieter (z.B. Airtable) sind zusätzlich nach dem EU-US Data Privacy Framework (DPF) zertifiziert. Dies bietet zusätzliche Garantien für die rechtmäßige Datenübermittlung.

3. Minimierung der Datenübermittlung:
   Wir übermitteln ausschließlich die für die jeweilige Dienstleistung notwendigen Daten. Personenbezogene Daten werden – wo möglich – anonymisiert oder pseudonymisiert.

Ihr Recht auf Kopie der SCCs:
Sie können eine Kopie der abgeschlossenen Standardvertragsklauseln anfordern unter: service@herztonai.com

Weitere Informationen:

• EU-Kommission zu SCCs: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_de

• EU-US Data Privacy Framework: https://www.dataprivacyframework.gov/

§ 10 Speicherdauer

10.1 Bestelldaten und steuerrelevante Daten

Speicherdauer: 10 Jahre ab Vertragsende

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung)

Begründung: Steuerrechtliche Aufbewahrungspflichten gemäß § 257 HGB und § 147 AO (Abgabenordnung) verpflichten uns zur Aufbewahrung von Rechnungen, Buchungsbelegen und Geschäftsunterlagen für 10 Jahre.

Betroffene Daten:

• Rechnungsdaten (Name, Adresse, E-Mail, Bestellnummer, Preis)

• Zahlungsnachweise

• Vertragsunterlagen

10.2 Kundenstories und Inhaltsdaten

Speicherdauer: 30 Tage nach Lieferung des Produkts

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – für Revisionsfälle)

Begründung: Die vom Kunden bereitgestellten Geschichten und textlichen Inhalte werden nach Lieferung für 30 Tage aufbewahrt, um eventuelle Revisionswünsche bearbeiten zu können (siehe AGB § 8). Nach Ablauf dieser Frist werden die Inhalte anonymisiert oder vollständig gelöscht.

Ausnahme: Wenn steuerrechtliche Aufbewahrungspflichten greifen (z.B. bei Bestellungen über 250 €), werden die Inhalte im Zusammenhang mit der Rechnung für 10 Jahre gespeichert.

10.3 Kundendateien (Google Drive)

Speicherdauer: 90 Tage

Begründung: Nach Lieferung des Songs haben Kunden 90 Tage Zeit, die Dateien über den Download-Link abzurufen. Nach Ablauf dieser Frist werden die Dateien von Google Drive entfernt und in die interne Archivierung (OneDrive) verschoben (siehe § 6.5).

10.4 Interne Archivierung (OneDrive)

Speicherdauer: Maximal 2 Jahre

Begründung: Für den Fall, dass Kunden nach Ablauf der Download-Frist (90 Tage) eine erneute Bereitstellung des Songs wünschen, wird eine Archivkopie für 2 Jahre aufbewahrt. Nach Ablauf erfolgt die endgültige Löschung.

10.5 E-Mail-Kommunikation

Speicherdauer: 3 Jahre ab letztem Kontakt

Begründung: E-Mails zur Kundenbetreuung werden für 3 Jahre gespeichert, um eventuelle Nachfragen oder Gewährleistungsansprüche bearbeiten zu können.

10.6 Newsletter-Daten

Speicherdauer: Bis zum Widerruf der Einwilligung

Begründung: Newsletter-Anmeldungen bleiben gespeichert, solange Sie den Newsletter abonniert haben. Nach der Abmeldung werden Ihre Daten unverzüglich gelöscht.

§ 11 Datensicherheit

Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre Daten gegen zufällige oder vorsätzliche Manipulationen, Verlust, Zerstörung oder den Zugriff unberechtigter Personen zu schützen.

Unsere Sicherheitsmaßnahmen umfassen:

1. SSL-/TLS-Verschlüsselung:
   Alle Datenübertragungen auf unserer Website erfolgen verschlüsselt über HTTPS (SSL/TLS-Protokoll). Dies schützt Ihre Daten vor unbefugtem Zugriff während der Übertragung.

2. Gesicherter Download-Links:
   Die Auslieferung der finalen Musikstücke erfolgt über gesicherte Links (Google Drive), um unbefugten Zugriff zu verhindern.

3. Zugriffsbeschränkungen:
   Der Zugriff auf personenbezogene Daten ist auf autorisierte Personen (Anbieter) beschränkt. Externe Dienstleister (Auftragsverarbeiter) haben nur Zugriff im Rahmen ihrer vertraglichen Aufgaben.

4. Regelmäßige Sicherheitsupdates:
   Alle eingesetzten Tools und Systeme werden regelmäßig aktualisiert, um Sicherheitslücken zu schließen.

5. Backup-Strategie:
   Regelmäßige Backups aller Kundendaten (Airtable, E-Mails) stellen sicher, dass Daten bei technischen Ausfällen wiederhergestellt werden können.

6. Firewall und Virenschutz:
   Unsere Systeme sind durch Firewalls und Antivirensoftware geschützt.

Bitte beachten Sie, dass trotz aller Sicherheitsmaßnahmen eine absolute Sicherheit bei der Datenübertragung über das Internet nicht garantiert werden kann.

§ 12 Ihre Rechte als betroffene Person

Als betroffene Person haben Sie folgende Rechte bezüglich Ihrer personenbezogenen Daten:

12.1 Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, Auskunft über die von uns verarbeiteten personenbezogenen Daten zu erhalten. Dies umfasst insbesondere:

• Welche Daten werden verarbeitet?

• Zu welchen Zwecken?

• An welche Empfänger werden Daten übermittelt?

• Wie lange werden die Daten gespeichert?

12.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, die Berichtigung unrichtiger oder die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.

12.3 Recht auf Löschung (Art. 17 DSGVO)

Sie können die Löschung Ihrer personenbezogenen Daten verlangen, sofern:

• Die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind

• Sie Ihre Einwilligung widerrufen haben und es keine andere Rechtsgrundlage gibt

• Sie Widerspruch gegen die Verarbeitung eingelegt haben

• Die Daten unrechtmäßig verarbeitet wurden

Einschränkung: Das Recht auf Löschung besteht nicht, wenn gesetzliche Aufbewahrungspflichten entgegenstehen (z.B. 10-jährige Aufbewahrungspflicht für steuerrelevante Daten gemäß § 257 HGB).

12.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, die Einschränkung der Verarbeitung zu verlangen, wenn:

• Die Richtigkeit der Daten bestritten wird

• Die Verarbeitung unrechtmäßig ist, Sie aber eine Löschung ablehnen

• Die Daten zur Geltendmachung von Rechtsansprüchen benötigt werden

12.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten (z.B. als CSV- oder JSON-Datei). Dies gilt für Daten, die Sie uns bereitgestellt haben und die aufgrund einer Einwilligung oder zur Vertragserfüllung verarbeitet werden.

12.6 Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten Widerspruch einzulegen, sofern die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) beruht.

Besonderes Widerspruchsrecht bei Direktwerbung:
Sie können jederzeit Widerspruch gegen die Verarbeitung Ihrer Daten zum Zwecke der Direktwerbung (z.B. Newsletter) einlegen. Nach Ihrem Widerspruch werden wir Ihre Daten nicht mehr für diesen Zweck verarbeiten.

12.7 Widerrufsrecht bei Einwilligung (Art. 7 Abs. 3 DSGVO)

Sofern die Verarbeitung Ihrer Daten auf einer Einwilligung beruht (z.B. Newsletter-Anmeldung), haben Sie das Recht, diese Einwilligung jederzeit für die Zukunft zu widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.

12.8 Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren.

Zuständige Aufsichtsbehörde für Berlin:
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Friedrichstraße 219
10969 Berlin, Deutschland
Telefon: +49 (0)30 13889-0
E-Mail: mailbox@datenschutz-berlin.de
Website: https://www.datenschutz-berlin.de

§ 13 Ausübung Ihrer Rechte

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an:

E-Mail: service@herztonai.com
Postanschrift: Serena Sontag / Herzton AI, Am Steinberg 4, 13086 Berlin, Deutschland

Wir werden Ihre Anfrage unverzüglich, spätestens jedoch innerhalb eines Monats, beantworten. In komplexen Fällen kann diese Frist um weitere zwei Monate verlängert werden. Über eine solche Verlängerung werden Sie rechtzeitig informiert.

§ 14 Änderungen der Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen unserer Dienstleistungen anzupassen. Die jeweils aktuelle Version ist auf unserer Website unter www.herztonai.com/datenschutz abrufbar.

Stand dieser Datenschutzerklärung: Januar 2026

Kontakt:
Serena Sontag / Herzton AI
Am Steinberg 4
13086 Berlin, Deutschland
E-Mail: service@herztonai.com
Website: www.herztonai.com