Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist Klaus Werdenich, bdrop.studio. Kontakt: anna@bdrop.studio

2. Verarbeitete Daten und Zweck

Zur Erstellung des personalisierten Geburtstags-Drops verarbeiten wir die Angaben, die Sie im Fragebogen eingeben (z.B. Vorname und Eigenschaften der zu beschenkenden Person, Ihre E-Mail-Adresse zur Zustellung). Die Verarbeitung erfolgt ausschließlich zum Zweck der Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

Warteliste für „bdrop /kids“ Auf der Warteliste für /kids erfassen wir zusätzlich den Tag und Monat des Geburtstags der Legende sowie eine Altersgruppe (6–8, 9–11, 12–14). Es werden keine Namen Minderjähriger erfasst. Die Eingaben stammen vom kaufenden Erwachsenen (Producer); eine Einwilligung der Erziehungsberechtigten gemäß Art. 8 DSGVO wird erst im späteren Bestellprozess eingeholt. Rechtsgrundlage für die Warteliste ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

3. KI-Dienstleister und Datenübermittlung (Sub-Processors)

Zur Bereitstellung unserer Dienste übermitteln wir Daten an ausgewählte Dienstleister. Findet eine Übermittlung in die USA oder ein anderes Drittland statt, ist diese durch EU-Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO abgesichert. Dienstleister Sitz Zweck Rechtsgrundlage Übermittlung Vercel Inc. USA Hosting + Datei-Speicherung Art. 46 DSGVO (SCC) Supabase Inc. USA (Region: EU) Datenbank + Auth Art. 46 DSGVO (SCC) OpenRouter USA KI-Modell-Vermittlung (API-Routing) Art. 46 DSGVO (SCC) KI Dienstleister USA KI-Audio + Bildgenerierung Art. 46 DSGVO (SCC) Google LLC (Gemini) USA KI-Bildanalyse (Doppel-Jester) Art. 46 DSGVO (SCC) Google Cloud USA (Region: EU) Cloud-Speicher + Data-Warehouse Art. 46 DSGVO (SCC) Resend, Inc. USA E-Mail-Versand Art. 46 DSGVO (SCC) Slack Technologies LLC USA Interne Eskalationen Art. 46 DSGVO (SCC) PostHog, Inc. USA (Region: EU) Analytics (cookieless) Art. 6 Abs. 1 lit. f DSGVO Google Cloud wird von Google Cloud EMEA Ltd. (Irland) als europäischer Vertragspartner bereitgestellt; Konzernmutter ist Google LLC (USA). Genutzt werden Google Cloud Storage und BigQuery zur Datensicherung (Backup) sowie für einen zugriffsbeschränkten, ausschließlich intern genutzten Datensatz zur Qualitätssicherung. Serverstandort: Europäische Union.

4. Dienstleister für Audio-Generierung

Der optimierte Songtext (kein Name, keine weiteren personenbezogenen Rohdaten) wird an einen Dienstleister der Kategorie „KI-gestützte Audiogenerierung" übermittelt. Personenbezogene Daten werden nur insoweit übertragen, wie sie der Nutzer ausdrücklich in den Songtext aufnehmen lässt (z.B. ein Vorname im Liedtext). Auch dieser Dienstleister kann seinen Sitz außerhalb der EU/des EWR haben; die Übermittlung erfolgt auf Grundlage von EU-Standardvertragsklauseln (Art. 46 DSGVO).

5. Foto-Upload & „Doppel-Jester“ Analyse

Wenn Sie die Funktion „Doppel-Jester" nutzen, analysiert ein KI-Dienst ein von Ihnen hochgeladenes Foto der zu beschenkenden Person (ab 18 Jahren), um Promi-Lookalikes vorzuschlagen. Da hierbei biometrische Daten im Sinne von Art. 9 Abs. 1 DSGVO (Gesichtsmerkmale zur Ähnlichkeitsanalyse) verarbeitet werden, erfolgt dies **ausschließlich auf Basis Ihrer ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO**, die Sie vor dem Upload erteilen. Das Foto wird über HTTPS an unseren KI-Vermittlungsdienst **OpenRouter, Inc. (USA)** übertragen und von dort an den ausführenden KI-Bildanalyse-Dienst **Google LLC (Modell: Gemini, USA)** weitergeleitet. Der Drittlandtransfer ist durch EU-Standardvertragsklauseln (Art. 46 DSGVO) abgesichert. Das Foto wird **ausschließlich für diese eine Anfrage verarbeitet, nicht zu Trainingszwecken verwendet und von bdrop.studio nicht dauerhaft gespeichert**. Sie können Ihre Einwilligung jederzeit für die Zukunft widerrufen, indem Sie auf die Funktion verzichten. Eine bereits durchgeführte Einzelanfrage lässt sich nicht rückwirkend zurückziehen, da das Foto unmittelbar nach der Analyse verworfen wird.

6. Speicherdauer und automatische Löschung

Da unsere Dienstleistung häufig Daten von Minderjährigen (z.B. Vornamen, Alter) enthält, wenden wir strenge Datenminimierung an. Generierte Landingpages und die dazugehörigen Mediendateien (Videos/Audios) werden für einen Zeitraum von 3 Monaten nach Erstellung gehostet. Nach Ablauf dieser Frist wird die Landingpage automatisch deaktiviert und die personenbezogenen Rohdaten des Fragebogens werden unwiderruflich gelöscht.

Ihre E-Mail-Adresse (zur Zustellung und für Ihre Kundenbeziehung) ist von dieser Löschung nicht betroffen und wird separat gespeichert.

Eine Ausnahme von der vorstehenden Löschung gilt für das bestellte Werk selbst: das gelieferte Musikstück (MP3) sowie die zugehörige J-Card/das Video enthalten in Audio und Gestaltung den Vornamen der Legende und werden als Vertragsleistung dauerhaft als Geschenk an den Besteller geliefert. Wir bewahren diese Werke entsprechend zur Bereitstellung über Ihre Geschenk-Landingpage auf (Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, Vertragserfüllung). Auf Verlangen löschen wir auch das Werk und deaktivieren die zugehörige Landingpage (Art. 17 DSGVO).

Aufzeichnungen über Sicherheitsverstöße (z.B. ausgelöste Inhaltsfilter) speichern wir für maximal 90 Tage zur Vorfallsanalyse und löschen sie anschließend automatisch.

6a. Lineup — Persönliche Merkliste (Producer-CRM)

Als angemeldeter Nutzer (Producer) haben Sie die Möglichkeit, ausgewählte Personen, denen Sie zukünftig einen Drop schenken möchten, in Ihre persönliche Lineup-Liste aufzunehmen. Hierbei verarbeiten wir folgende Daten: Vorname, Geburtstag (Tag/Monat/ Jahr), sowie optional Beziehung, Lookalike, Outfit, Superkraft, Schwäche und Lieblingsmusik der gespeicherten Person sowie optionale Notizen („Memories"), die Sie als Producer hinzufügen. **Zweck:** Die Lineup-Liste dient als Ihre persönliche Merkliste, um zukünftige Geburtstags-Drops für die gespeicherten Personen zu beschleunigen („Producer-CRM"). **Rechtsgrundlage:** Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) — Sie beauftragen uns mit dem Speichern der Liste als Teil der Studio-Funktionen, die Sie als angemeldeter Nutzer in Anspruch nehmen. **Speicherdauer:** Lineup-Einträge werden so lange gespeichert, bis Sie einen einzelnen Eintrag oder die gesamte Liste über Ihr Studio-Profil löschen oder bis Ihr Nutzerkonto gelöscht wird. Bei Löschung Ihres Nutzerkontos werden alle Lineup-Einträge und Memories automatisch unwiderruflich entfernt. **Trennung vom Fragebogen-Dossier:** Lineup-Einträge sind technisch und datenschutzrechtlich von den unter §6 genannten Rohdaten des Fragebogens getrennt. Sie überdauern die in §6 genannte 3-Monats-Frist, da sie eine gesonderte Verarbeitung mit gesondertem Zweck darstellen. **Ihre Rechte:** Sie können einzelne Lineup-Einträge jederzeit in Ihrem Studio-Profil löschen. Für die vollständige Löschung Ihrer Lineup-Liste wenden Sie sich bitte an anna@bdrop.studio (siehe §9).

6b. Empfänger-E-Mail bei Compilations (gemeinschaftliche Geschenke)

Wenn Sie als Gastgeber eine Compilation erstellen, erheben wir die von Ihnen angegebene E-Mail-Adresse des Beschenkten („der Legende"), um das fertige Werk **ausschließlich auf Ihre aktive Veranlassung hin** an diese Adresse zu übermitteln. Ohne Ihre ausdrückliche Freigabe erfolgt keine Kontaktaufnahme mit dem Beschenkten. **Rechtsgrundlage:** Durchführung des mit Ihnen geschlossenen Vertrags (Art. 6 Abs. 1 lit. b DSGVO) sowie unser berechtigtes Interesse an der reibungslosen Abwicklung des Geschenkversands (Art. 6 Abs. 1 lit. f DSGVO). Sie sichern uns zu, zur Angabe und Verarbeitung dieser E-Mail-Adresse berechtigt zu sein (siehe AGB). **Verarbeiter:** Der Versand an den Beschenkten erfolgt über unseren E-Mail-Dienstleister Resend, Inc. (USA, Standardvertragsklauseln). **Speicherdauer:** Wir speichern die E-Mail-Adresse des Beschenkten, solange die Compilation besteht, und löschen sie spätestens **90 Tage nach dem Versand an den Beschenkten** bzw. mit Löschung der Compilation oder Ihres Kontos.

6c. Datensicherung und interne Qualitätssicherung

Zur Gewährleistung der Ausfallsicherheit sichern wir die Daten des Dienstes in der EU (Backup). Backups werden für maximal 30 Tage rollierend vorgehalten; bei einer Wiederherstellung werden zwischenzeitlich erfolgte Löschungen erneut angewendet. Zur Verbesserung unserer KI-Modelle speichern wir zudem Inhalte von Drops (einschließlich der von Ihnen eingegebenen Angaben) in einem zugriffsbeschränkten, ausschließlich intern genutzten Datensatz in der EU. Dieser Datensatz wird für maximal 24 Monate vorgehalten und anschließend gelöscht. Auf Verlangen löschen wir Ihre dort gespeicherten Daten auch vorher (Recht auf Löschung). Daten von Drops aus dem Kinderbereich (`/kids`) werden in diesen Datensatz **nicht** aufgenommen. **Rechtsgrundlagen:** Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung, Backup) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Datensicherheit und Produktverbesserung).

6d. Passwortschutz für Drop-Landingpages

Als angemeldeter Nutzer (Producer) können Sie einzelne Drop-Landingpages mit einem von Ihnen vergebenen Passwort schützen, so dass nur Personen, denen Sie das Passwort mitteilen, den Drop sehen können. **Verarbeitete Daten und Zweck:** (a) **Passwort-Hash.** Das von Ihnen vergebene Passwort wird ausschließlich als kryptografischer Hash (argon2id) gespeichert. Der Klartext des Passworts wird zu keinem Zeitpunkt dauerhaft gespeichert und ist auch für bdrop.studio nicht einsehbar oder wiederherstellbar. Im Studio-Profil können Sie Ihr Passwort jederzeit ändern oder den Schutz wieder aufheben. (b) **Zugangs-Sitzungs-Cookie.** Nach erfolgreicher Eingabe des Passworts wird ein technisch notwendiges, signiertes Sitzungs-Cookie im Browser des Besuchers gesetzt. Das Cookie ist auf den betreffenden Drop beschränkt, enthält keine personenbezogenen Daten, läuft nach 24 Stunden ab und wird ungültig, sobald Sie das Passwort ändern oder den Schutz aufheben. Dieses Cookie ist gemäß § 25 Abs. 3 TTDSG für die ausdrücklich angefragte Funktion erforderlich; eine Einwilligung ist nicht erforderlich. (c) **Sicherheitsprotokoll bei Fehlversuchen.** Zum Schutz vor automatisierten Angriffsversuchen protokollieren wir bei jeder fehlgeschlagenen Passworteingabe die IP-Adresse des Besuchers, den Zeitpunkt sowie die Kennung des betroffenen Drops. Erfolgreiche Eingaben werden NICHT protokolliert. Nach fünf Fehlversuchen pro IP-Adresse pro Drop innerhalb einer Stunde wird die betreffende IP-Adresse für 30 Minuten gesperrt. **Rechtsgrundlage:** - Passwort-Hash und Zugangs-Sitzungs-Cookie: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) — Sie beauftragen uns mit dem Bereitstellen der Schutzfunktion als Teil Ihrer Studio-Funktionen. - Sicherheitsprotokoll: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) in Verbindung mit Art. 32 DSGVO (Sicherheit der Verarbeitung). Unser berechtigtes Interesse besteht in der Abwehr automatisierter Angriffsversuche auf von Producern eingerichtete Zugangsbeschränkungen. **Speicherdauer:** - Passwort-Hash: solange der Drop-Schutz aktiv ist. Bei Deaktivierung des Schutzes oder Löschung des Drops wird der Hash unwiderruflich entfernt. - Sicherheitsprotokoll (Fehlversuche): 30 Tage nach Aufzeichnung. Diese Frist unterschreitet die in §6 genannte 3-Monats-Speicherdauer; die Aufbewahrung beschränkt sich auf den zur Aufklärung etwaiger Sicherheitsvorfälle unbedingt erforderlichen Zeitraum. - Sitzungs-Cookie: 24 Stunden nach erfolgreicher Eingabe (clientseitig). **Speicherort:** Passwort-Hash und Sicherheitsprotokoll werden in unserer Datenbank bei Supabase Inc. (Region: EU) gespeichert; siehe §3. **Keine Wiederherstellung durch bdrop.studio.** Da der Klartext des Passworts nicht gespeichert wird, kann bdrop.studio Ihr Passwort weder anzeigen noch wiederherstellen. Im Falle eines Verlusts können Sie im Studio-Profil jederzeit ein neues Passwort vergeben; bisherige Sitzungs-Cookies werden dadurch sofort ungültig. Besucher, die das Passwort vergessen haben, wenden sich bitte direkt an Sie als Producer; bdrop.studio gibt keine Auskunft über Drop-Passwörter an Besucher.

7. Warteliste und E-Mail-Kommunikation

Wenn Sie sich für unsere Warteliste eintragen, nutzen wir das Double-Opt-In-Verfahren, um Ihre E-Mail-Adresse zu verifizieren. Die Verarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Wir nutzen Ihre E-Mail-Adresse, um Sie über den Launch, Neuigkeiten und Angebote zu bdrop.studio zu informieren. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen (z.B. über den Abmelde-Link in jeder E-Mail).

8. Zahlungsabwicklung

Zur Abwicklung von Zahlungen geben wir die hierfür erforderlichen Zahlungsdaten an den von Ihnen ausgewählten Zahlungsdienstleister (z.B. Stripe, PayPal) weiter. Die Rechtsgrundlage für die Weitergabe der Daten ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Die Zahlungsdienstleister verarbeiten die Daten in eigener Verantwortung; es gelten deren jeweilige Datenschutzerklärungen.

9. Ihre Rechte

Sie haben das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18) sowie Datenübertragbarkeit (Art. 20). Zur Ausübung dieser Rechte wenden Sie sich bitte an: anna@bdrop.studio

Sie haben außerdem das Recht, Beschwerde bei einer Datenschutzaufsichtsbehörde einzulegen.

10. Künstler-Bewerbungen (Scene Drop)

Unabhängige Musikerinnen und Musiker können sich über das Formular auf /artists für das Scene-Drop-Programm von bdrop.studio bewerben.

Erhobene Daten

Im Rahmen der Bewerbung verarbeiten wir folgende Daten: Künstler- oder Bandname, Musik-URL (Spotify, Apple Music, SoundCloud, YouTube, Bandcamp oder Instagram), optionale E-Mail-Adresse, bevorzugte Shoutout-Plattform sowie die Einwilligung zur Datenspeicherung (DSGVO-Einwilligungserklärung).

Rechtsgrundlage

Die Verarbeitung erfolgt auf Grundlage Ihrer ausdrücklichen Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden (siehe Löschung unten).

Speicherdauer

Bewerbungsdaten (Status: aktiv, zurückgezogen oder nicht ausgewählt) werden unbefristet gespeichert, bis eine explizite Löschanfrage eingeht. Datensätze geförderter Künstlerinnen und Künstler (Status: funded) unterliegen der handels- und steuerrechtlichen Aufbewahrungspflicht gemäß § 147 AO und werden 10 Jahre aufbewahrt.

Löschung / Widerruf

Zur Löschung Ihrer Bewerbungsdaten oder zum Widerruf Ihrer Einwilligung wenden Sie sich per E-Mail an anna@bdrop.studio unter Angabe Ihres Künstler- oder Bandnamens und der eingereichten Musik-URL. Eine Angabe Ihrer E-Mail-Adresse ist nicht erforderlich. Geförderungsbelege (funded) sind von der Löschung ausgenommen (§ 147 AO).

Wall of Fame

Geförderte Künstlerinnen und Künstler werden auf der öffentlichen Wall of Fame auf /artists angezeigt (Name, Musik-URL, Monat/Jahr der Förderung, optionaler redaktioneller Hinweis). Eine separate Einwilligung ist nicht erforderlich, da die Veröffentlichung Teil des Sponsoringvertrags ist.

11. The Crate — Öffentliche Galerie

The Crate ist eine kuratierte Galerie auf bdrop.studio, in der ausgewählte Birthday Drops öffentlich angezeigt werden. Sie zeigt die kreativen Ergebnisse unserer Plattform und gibt neuen Besucherinnen und Besuchern einen Eindruck davon, was bdrop.studio produziert.

Welche Daten erscheinen auf The Crate?

Für jeden vorgestellten Drop werden folgende Informationen öffentlich angezeigt: Songtitel (kann den Vornamen der beschenkten Person enthalten), J-Card-Artwork (KI-generiertes Coverbild), Genre und Roast Level, ein Panel-Urteil (ein Satz unseres KI-Review-Panels), Sass Density und Street Cred (automatisierte Qualitätswerte 0–10) sowie ein Link zur Drop-Seite.

Was wird niemals angezeigt?

Nachname oder vollständiger Name der beschenkten Person, die Identität der erstellenden Person, die persönlichen Angaben aus dem Fragebogen (das Dossier) sowie sonstige personenbezogene Informationen.

Rechtsgrundlage

Die Veröffentlichung erfolgt auf Grundlage unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO), die Qualität unseres Angebots gegenüber potenziellen Kunden zu demonstrieren. Drops werden ausschließlich manuell vom bdrop.studio-Team ausgewählt und vor Veröffentlichung auf sensible personenbezogene Informationen geprüft. Drops für Personen unter 18 Jahren werden technisch blockiert und nicht veröffentlicht.

Entfernung beantragen

Wenn Ihr Drop — oder ein Drop, in dem Sie erscheinen — auf The Crate angezeigt wird und Sie eine Entfernung wünschen, schreiben Sie an anna@bdrop.studio mit dem Betreff „Crate-Entfernungsantrag" und dem Link zur Drop-Seite. Wir bearbeiten Entfernungsanträge innerhalb von 72 Stunden. Vorgestellte Drops verbleiben auf The Crate, bis der zugrunde liegende Drop nach 3 Monaten automatisch abläuft, das Team ihn entfernt oder ein Entfernungsantrag bearbeitet wurde.

12. Producer-Eskalationen und Kundenservice

Wenn Sie als Drop-Ersteller (Producer) nach einem Re-Run Ihres Drops weiterhin unzufrieden sind, können Sie eine Eskalation an Anna senden. Hierbei verarbeiten wir: Ihre als Producer hinterlegte E-Mail-Adresse, Ihren Eskalationsgrund (Freitext, max. 2.000 Zeichen) sowie den Bezug zum betreffenden Drop. Zweck: Bearbeitung Ihrer Beschwerde, Servicequalität sowie technische Verbesserung unseres Angebots. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Übermittlung an Drittanbieter: Eskalationen werden zur internen Bearbeitung an unseren Kommunikationsdienstleister Slack (Slack Technologies LLC, USA) übermittelt. Außerdem versenden wir eine Benachrichtigung über unseren E-Mail-Dienstleister Resend (Resend, Inc., USA). Beide Übermittlungen erfolgen auf Grundlage von EU-Standardvertragsklauseln (Art. 46 DSGVO). Speicherdauer: Eskalationsdaten werden 24 Monate nach Lösung der Eskalation gespeichert und anschließend automatisch redigiert.