Datenschutzerklärung
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) sowie sonstiger nationaler Datenschutzgesetze der Mitgliedsstaaten und weiterer datenschutzrechtlicher Bestimmungen ist:
xtra audio GmbH
Heerdter Sandberg 32
40549 Düsseldorf
Deutschland
Vertreten durch: Timo Mauter (Geschäftsführer)
Telefon: +49 (0)211-78171818
E-Mail: [email protected]
Website: https://xtra.audio
Handelsregister: HRB 107559 (Amtsgericht Düsseldorf) Umsatzsteuer-ID: DE452158554
Nachfolgend „wir" oder „xtra.audio" genannt.
2. Geltungsbereich
Diese Datenschutzerklärung gilt für die Datenverarbeitung über unsere Websites und Anwendungen:
- https://xtra.audio (Marketing-Website)
- https://docs.xtra.audio (Dokumentation)
- https://app.xtra.audio (Webanwendung / SaaS-Produkt)
xtra.audio ist ein SaaS-Produkt für Cloud-basiertes Radio-Playout, AutoDJ-Funktionen und Live-Streaming und richtet sich sowohl an geschäftliche (B2B) als auch private (B2C) Nutzer. Unser Angebot ist international ausgerichtet.
3. Datenschutzbeauftragter
Wir haben keinen Datenschutzbeauftragten bestellt, da die gesetzlichen Voraussetzungen hierfür (insbesondere Art. 37 DSGVO i. V. m. § 38 BDSG) nicht erfüllt sind. Für datenschutzrechtliche Anfragen erreichen Sie uns unter:
E-Mail: [[email protected]]
4. Allgemeines zur Datenverarbeitung
4.1 Umfang der Verarbeitung personenbezogener Daten
Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website und unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung erfolgt regelmäßig nur nach Einwilligung des Nutzers oder wenn eine gesetzliche Grundlage die Verarbeitung gestattet.
4.2 Rechtsgrundlagen
Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung einholen, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage.
Bei der Verarbeitung personenbezogener Daten, die zur Erfüllung eines Vertrages erforderlich ist, dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind.
Soweit eine Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage.
Ist die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines Dritten erforderlich und überwiegen die Interessen, Grundrechte und Grundfreiheiten des Betroffenen das erstgenannte Interesse nicht, so dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage.
4.3 Datenlöschung und Speicherdauer
Die personenbezogenen Daten der betroffenen Person werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Eine Speicherung kann darüber hinaus erfolgen, wenn dies durch den europäischen oder nationalen Gesetzgeber in unionsrechtlichen Verordnungen, Gesetzen oder sonstigen Vorschriften, denen der Verantwortliche unterliegt, vorgesehen wurde (z. B. handels- und steuerrechtliche Aufbewahrungsfristen von bis zu 10 Jahren nach § 147 AO, § 257 HGB).
5. Bereitstellung der Website und Erstellung von Logfiles
5.1 Beschreibung und Umfang
Bei jedem Aufruf unserer Websites und Anwendungen erfasst unser System automatisiert Daten und Informationen vom Computersystem des aufrufenden Geräts. Folgende Daten werden hierbei erhoben:
- IP-Adresse des Nutzers
- Datum und Uhrzeit des Zugriffs
- Aufgerufene URL / angefragte Ressource
- Referrer-URL (zuvor besuchte Seite)
- Browsertyp und Browserversion
- Verwendetes Betriebssystem
- HTTP-Statuscode und übertragene Datenmenge
Die Daten werden in Logfiles unseres Systems gespeichert. Eine Speicherung dieser Daten zusammen mit anderen personenbezogenen Daten des Nutzers findet nicht statt.
5.2 Rechtsgrundlage
Rechtsgrundlage für die vorübergehende Speicherung der Daten und der Logfiles ist Art. 6 Abs. 1 lit. f DSGVO.
5.3 Zweck der Verarbeitung
Die vorübergehende Speicherung der IP-Adresse durch das System ist notwendig, um eine Auslieferung der Website an den Rechner des Nutzers zu ermöglichen. Die Speicherung in Logfiles erfolgt zur Sicherstellung der Funktionsfähigkeit der Website sowie zur Gewährleistung der Sicherheit unserer informationstechnischen Systeme (Erkennung und Abwehr von Angriffen).
5.4 Dauer der Speicherung
Die Logfiles werden nach 14 Tagen automatisch gelöscht.
6. Hosting und Infrastruktur
Wir hosten unsere Websites und Anwendungen bei folgenden Dienstleistern. Mit allen nachstehend genannten Auftragsverarbeitern haben wir Verträge zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO abgeschlossen.
6.1 Hetzner Online GmbH
Anbieter: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland.
Serverstandort: Deutschland (EU).
Zweck: Bereitstellung der Anwendungen, Datenbanken und Serverinfrastruktur.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem zuverlässigen und sicheren Betrieb).
Datenschutz: https://www.hetzner.com/de/rechtliches/datenschutz
6.2 Cloudflare R2 Storage / Cloudflare, Inc.
Anbieter: Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA.
Zweck: Speicherung von Mediendateien (insb. Audioinhalten), Content Delivery, DDoS-Schutz.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Drittlandtransfer: Eine Übermittlung in die USA kann stattfinden. Cloudflare, Inc. ist nach dem EU-U.S. Data Privacy Framework zertifiziert (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023). Ergänzend bestehen EU-Standardvertragsklauseln.
Datenschutz: https://www.cloudflare.com/de-de/privacypolicy/
6.3 DigitalOcean, LLC
Anbieter: DigitalOcean, LLC, 101 Avenue of the Americas, 10th Floor, New York, NY 10013, USA.
Zweck: Bereitstellung zusätzlicher Server- und Infrastrukturleistungen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Drittlandtransfer: Eine Übermittlung in die USA kann stattfinden. DigitalOcean ist nach dem EU-U.S. Data Privacy Framework zertifiziert. Ergänzend bestehen EU-Standardvertragsklauseln.
Datenschutz: https://www.digitalocean.com/legal/privacy-policy
7. SSL-/TLS-Verschlüsselung
Diese Website und die zugehörigen Anwendungen nutzen aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte eine SSL-/TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://" auf „https://" wechselt und am Schloss-Symbol in Ihrer Browserzeile.
8. Cookies und vergleichbare Technologien
8.1 Einsatz eigener Consent-Lösung
Wir setzen auf unseren Websites und in der Anwendung eine eigenentwickelte Consent-Lösung ein. Über diese können Sie Ihre Einwilligung in den Einsatz nicht technisch notwendiger Cookies und vergleichbarer Technologien erteilen, verwalten und widerrufen.
8.2 Technisch notwendige Cookies
Wir verwenden ausschließlich technisch notwendige Cookies und vergleichbare Speichertechnologien (z. B. Session-Cookies zur Authentifizierung und Aufrechterhaltung Ihrer Sitzung). Diese sind für den Betrieb der Anwendung zwingend erforderlich.
Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderlich) i. V. m. Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO.
8.3 Keine Marketing- oder Tracking-Cookies
Wir setzen keine Marketing-, Tracking- oder Analyse-Cookies Dritter ein. Es findet kein geräteübergreifendes Tracking und keine Profilbildung zu Werbezwecken statt.
9. Registrierung und Nutzerkonten
9.1 Kostenlose Nutzerkonten
Für die Nutzung unserer Anwendung ist die Erstellung eines Nutzerkontos erforderlich. Bei der Registrierung erheben wir folgende Pflichtangaben:
- Name
- E-Mail-Adresse
- Passwort (ausschließlich in gehashter Form gespeichert)
9.2 Kostenlose Testaccounts
Wir bieten zeitlich befristete kostenlose Testaccounts an. Nach Ablauf der Testphase wird das Konto entweder in einen kostenpflichtigen Plan überführt oder nach angemessener Frist deaktiviert und gelöscht.
9.3 Projektinhaber mit kostenpflichtigem Plan
Bei Nutzern, die einen kostenpflichtigen Plan abschließen (Projektinhaber), erheben wir zusätzlich:
- Vollständige Anschrift (Straße, PLZ, Ort, Land)
- Zahlungsdaten (siehe Ziffer 11)
- ggf. Firmenname und USt-ID (bei B2B)
9.4 Rollen- und Rechtemodell
Innerhalb der Anwendung existieren verschiedene Rollen (Administratoren, reguläre Nutzer mit differenzierten Rechten). Die Rollenzuweisung durch Projektinhaber dient der Zugriffssteuerung auf Projekte und Inhalte.
9.5 Rechtsgrundlagen und Zweck
Die Verarbeitung erfolgt zur Erfüllung des Nutzungsvertrags (Art. 6 Abs. 1 lit. b DSGVO). Rechnungs- und steuerrelevante Daten werden zudem aufgrund gesetzlicher Aufbewahrungspflichten verarbeitet (Art. 6 Abs. 1 lit. c DSGVO).
9.6 Speicherdauer
Kontodaten werden für die Dauer der aktiven Nutzung gespeichert. Nach Kündigung oder Löschung des Kontos werden personenbezogene Daten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten (insb. 10 Jahre für Rechnungs- und Buchhaltungsdaten nach § 147 AO, § 257 HGB) entgegenstehen. Für diese Zeit werden die betroffenen Daten eingeschränkt verarbeitet.
10. Single Sign-On (SSO) via Audiocon
10.1 Beschreibung
Wir bieten die Möglichkeit, sich über das Audiocon-System der UPLINK Digital GmbH per Single Sign-On (SSO) bei xtra.audio anzumelden. Bei Nutzung dieser Option werden zur Authentifizierung die hierfür erforderlichen Identifikations- und Kontaktdaten (insb. E-Mail-Adresse, Name, Benutzerkennung) zwischen Audiocon und xtra.audio ausgetauscht.
Anbieter: UPLINK Digital GmbH, Heerdter Sandberg 32, 40549 Düsseldorf
10.2 Rechtsgrundlage und Zweck
Die Nutzung der SSO-Funktion erfolgt freiwillig auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) bzw. zur Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO). Zweck ist die vereinfachte und sichere Authentifizierung.
10.3 Widerruf
Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie die SSO-Verknüpfung in Ihren Kontoeinstellungen entfernen oder ein klassisches Benutzerkonto mit E-Mail und Passwort verwenden.
11. Zahlungsabwicklung über Stripe
11.1 Beschreibung
Für die Abwicklung kostenpflichtiger Abonnements nutzen wir den Zahlungsdienstleister Stripe.
Anbieter (EU): Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland.
Mutterunternehmen: Stripe, Inc., 510 Townsend Street, San Francisco, CA 94103, USA.
11.2 Verarbeitete Daten
Im Rahmen der Zahlungsabwicklung werden u. a. folgende Daten an Stripe übermittelt bzw. direkt von Stripe erhoben:
- Name und Anschrift
- E-Mail-Adresse
- Zahlungsdaten (z. B. Kreditkarten-, SEPA-Lastschrift- oder sonstige Zahlungsinformationen)
- Rechnungsbetrag, Währung, Transaktions- und Abrechnungszeitpunkt
- IP-Adresse und technische Transaktionsmetadaten (Betrugsprävention)
Zahlungskartendaten werden grundsätzlich direkt bei Stripe eingegeben und gelangen in vollständiger Form nicht auf unsere Server.
11.3 Rechtsgrundlage
Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung) sowie Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten, u. a. handels- und steuerrechtlich).
11.4 Drittlandtransfer
Eine Übermittlung in die USA kann erfolgen. Stripe, Inc. ist nach dem EU-U.S. Data Privacy Framework zertifiziert. Ergänzend hat Stripe EU-Standardvertragsklauseln implementiert.
Datenschutz: https://stripe.com/de/privacy
12. Error Monitoring mittels Sentry
12.1 Beschreibung
Zur Sicherstellung der Funktionsfähigkeit, Stabilität und Sicherheit unserer Anwendungen setzen wir die Open-Source-Software Sentry ein. Die Sentry-Instanz wird nicht als SaaS-Dienst von Sentry, Inc. bezogen, sondern von unserem Partner UPLINK Digital GmbH im Auftrag und unter vertraglicher Bindung (AVV gemäß Art. 28 DSGVO) auf eigener Infrastruktur betrieben.
Anbieter (Auftragsverarbeiter): UPLINK Digital GmbH, Heerdter Sandberg 32, 40549 Düsseldorf, Deutschland
12.2 Verarbeitete Daten
Im Fehlerfall werden u. a. folgende Daten übermittelt und analysiert:
- Fehlerbeschreibung, Stack-Traces und technischer Kontext
- Browser- und Geräteinformationen
- IP-Adresse
- Benutzer-ID (soweit eingeloggt)
- Aktion bzw. URL, bei der der Fehler auftrat
12.3 Rechtsgrundlage und Zweck
Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht in der Erkennung, Analyse und Behebung von Fehlern sowie der Gewährleistung der IT-Sicherheit.
13. Kontaktformular und Kommunikation
13.1 Kontaktformular auf der Website
Auf unserer Website bieten wir ein Kontaktformular an. Bei dessen Nutzung werden die eingegebenen Daten (typischerweise Name, E-Mail-Adresse, Betreff und Nachricht) zur Bearbeitung der Anfrage verarbeitet. Der Versand erfolgt über eigene, intern betriebene Systeme; es findet kein Einsatz externer Drittanbieter statt.
13.2 E-Mail-Kommunikation
Transaktions- und Benachrichtigungs-E-Mails (z. B. Registrierungsbestätigung, Passwort-Reset, Rechnungsversand) versenden wir über eigene, intern betriebene Mailsysteme.
13.3 Newsletter
Soweit wir Newsletter versenden, erfolgt dies ausschließlich über unsere eigenen, intern betriebenen Systeme. Eine Anmeldung erfolgt im Double-Opt-In-Verfahren; Sie erhalten eine Bestätigungs-E-Mail, um Missbrauch fremder E-Mail-Adressen auszuschließen. Eine Abmeldung ist jederzeit über den Abmeldelink am Ende jeder Nachricht oder per E-Mail an [[email protected]] möglich.
13.4 Rechtsgrundlage
- Kontaktformular / E-Mail: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche oder vertragliche Kommunikation) bzw. Art. 6 Abs. 1 lit. f DSGVO (Beantwortung allgemeiner Anfragen).
- Newsletter: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), jederzeit widerrufbar.
13.5 Speicherdauer
Anfragen werden gelöscht, sobald sie abschließend bearbeitet und keine gesetzlichen Aufbewahrungsfristen mehr entgegenstehen. Newsletter-Anmeldedaten werden bis zum Widerruf der Einwilligung gespeichert.
14. Radio-Playout-spezifische Verarbeitungen
14.1 Kein eigenes Streaming-Server-Hosting
xtra.audio stellt derzeit kein eigenes Streaming-Server-Hosting bereit. Eine Erhebung von Hörerdaten (z. B. IP-Adressen, Geolokalisierung, Track-History Ihrer Hörerinnen und Hörer) durch uns findet daher nicht statt.
14.2 Meldungen an Verwertungsgesellschaften (GEMA / GVL)
In bestimmten größeren Plänen unterstützen wir die Erstellung und Übermittlung von Musiknutzungsmeldungen an Verwertungsgesellschaften, insbesondere GEMA (Gesellschaft für musikalische Aufführungs- und mechanische Vervielfältigungsrechte) und GVL (Gesellschaft zur Verwertung von Leistungsschutzrechten mbH).
Übermittelt werden dabei typischerweise:
- Sender- bzw. Projekt-/Stationsangaben
- Kontaktdaten des für die Meldung Verantwortlichen
- Playlist- und Titelmetadaten (Interpret, Titel, ISRC, Label, Dauer, Ausstrahlungszeitpunkt)
Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung der Nutzer gegenüber den Verwertungsgesellschaften) in Verbindung mit Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung gegenüber unseren Nutzern).
Empfänger: GEMA (Rosenheimer Straße 11, 81667 München) sowie GVL (Podbielskiallee 64, 14195 Berlin) und vergleichbare Verwertungsgesellschaften.
14.3 Öffentliche Now-Playing-Metadaten
Sofern Nutzer die Funktion aktiv freischalten, werden Now-Playing-Metadaten (z. B. aktuell gespielter Titel, Interpret, Cover) über öffentlich zugängliche Schnittstellen bereitgestellt. Ohne ausdrückliche Aktivierung durch den Nutzer erfolgt keine Veröffentlichung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung des Nutzers durch aktive Aktivierung).
15. KI-Funktionen (Gemini via OpenRouter)
15.1 Beschreibung
Für Nutzer bestimmter Pläne stellen wir KI-gestützte Funktionen bereit. Die KI-Verarbeitung erfolgt über das Large-Language-Modell Google Gemini, das wir über den API-Anbieter OpenRouter einbinden.
Anbieter OpenRouter: OpenRouter, Inc., USA.
Modellanbieter: Google LLC, USA (bzw. Google Ireland Ltd. im EU-Kontext).
15.2 Verarbeitete Daten
Im Rahmen der KI-Funktionen werden insbesondere folgende Daten an die genannten Anbieter übermittelt:
- Prompt-Eingaben des Nutzers
- Projekt- bzw. sendungsbezogene Metadaten, die der Nutzer in die Anfrage einbezieht
- Technische Metadaten der Anfrage
15.3 Rechtsgrundlage und Zweck
Die Nutzung der KI-Funktionen erfolgt freiwillig auf Grundlage der Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) sowie zur Erfüllung des Vertrags, sofern die KI-Funktion Teil des gebuchten Plans ist (Art. 6 Abs. 1 lit. b DSGVO). Zweck ist die Bereitstellung intelligenter, assistierender Funktionen im Rahmen des Produkts.
15.4 Drittlandtransfer
Eine Übermittlung in die USA kann stattfinden. Google LLC ist nach dem EU-U.S. Data Privacy Framework zertifiziert. Mit OpenRouter bestehen ergänzend EU-Standardvertragsklauseln. Wir weisen darauf hin, dass trotz dieser Schutzmaßnahmen ein Restrisiko hinsichtlich behördlicher Zugriffe nach US-Recht nicht vollständig ausgeschlossen werden kann.
15.5 Hinweis zur Prompteingabe
Nutzer sollten in Prompts und Eingaben keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) oder unnötige personenbezogene Daten Dritter eingeben.
Datenschutzhinweise OpenRouter: https://openrouter.ai/privacy
Datenschutzhinweise Google: https://policies.google.com/privacy
16. Interner Chatbot (Projekt-/Radiosteuerung)
Innerhalb der Anwendung stellen wir einen intern betriebenen Chatbot bereit, der als interner Nutzer der App fungiert und Nutzern die Steuerung der Anwendung sowie die Beantwortung projekt- bzw. radiospezifischer Fragen ermöglicht.
Die dabei eingegebenen Inhalte werden auf unserer eigenen Infrastruktur verarbeitet. Soweit der Chatbot auf KI-Dienste zurückgreift, gelten ergänzend die Hinweise unter Ziffer 15.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung).
17. Datensicherung (Backups)
Zur Sicherstellung der Verfügbarkeit und zum Schutz vor Datenverlust erstellen wir regelmäßig Backups unserer Systeme und Datenbanken.
- Speicherort: Hosting-Infrastruktur gemäß Ziffer 6
- Aufbewahrungsdauer: 30 Tage rollierend
- Verschlüsselung: Ruhende Daten werden verschlüsselt gespeichert
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Berechtigtes Interesse ist die Gewährleistung der IT-Sicherheit und Betriebskontinuität (Art. 32 DSGVO).
Löschanträge betroffener Personen werden auf produktiven Systemen unverzüglich umgesetzt; in Backup-Beständen werden die betreffenden Daten spätestens im Rahmen des regulären Backup-Rotationszyklus (nach 30 Tagen) überschrieben.
18. Übermittlung an Drittländer
Wir übermitteln personenbezogene Daten in folgenden Fällen in Drittländer außerhalb der EU/des EWR, insbesondere in die USA:
- Cloudflare, Inc. (Ziffer 6.2)
- DigitalOcean, LLC (Ziffer 6.3)
- Stripe, Inc. (Ziffer 11)
- OpenRouter, Inc. / Google LLC (Ziffer 15)
Die genannten Empfänger in den USA sind – soweit in den jeweiligen Abschnitten benannt – nach dem EU-U.S. Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023) zertifiziert. Ergänzend bestehen mit allen Empfängern in Drittländern EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO sowie – wo erforderlich – zusätzliche technische und organisatorische Schutzmaßnahmen (z. B. Verschlüsselung, Pseudonymisierung).
19. Rechte der betroffenen Personen
Sie haben als betroffene Person folgende Rechte:
- Auskunft (Art. 15 DSGVO): Sie können Auskunft über die von uns verarbeiteten personenbezogenen Daten verlangen.
- Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.
- Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, soweit gesetzliche Aufbewahrungspflichten nicht entgegenstehen.
- Einschränkung der Verarbeitung (Art. 18 DSGVO).
- Datenübertragbarkeit (Art. 20 DSGVO): Sie können verlangen, die Sie betreffenden Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
- Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten widersprechen, soweit wir uns auf Art. 6 Abs. 1 lit. f DSGVO stützen.
- Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie können erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen.
- Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO): Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, insbesondere im Mitgliedstaat Ihres Aufenthaltsortes, Ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes.
Zur Ausübung dieser Rechte genügt eine formlose Mitteilung an [[email protected]].
Zuständige Aufsichtsbehörde für uns ist:
[Zuständige Landesdatenschutzbehörde einsetzen, z. B. Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Kavalleriestr. 2-4, 40213 Düsseldorf]
20. Widerspruchsrecht nach Art. 21 DSGVO
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen. Wir verarbeiten die personenbezogenen Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
21. Datensicherheit
Wir treffen nach Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen, um Ihre Daten gegen zufällige oder vorsätzliche Manipulation, Verlust, Zerstörung oder den Zugriff unberechtigter Personen zu schützen. Dazu zählen u. a. Transportverschlüsselung (TLS), Verschlüsselung ruhender Daten, Zugriffskontrollen, regelmäßige Backups (Ziffer 17), Logging sicherheitsrelevanter Vorgänge sowie regelmäßige Überprüfung und Aktualisierung unserer Schutzmaßnahmen.
22. Keine automatisierte Entscheidungsfindung
Eine ausschließlich automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt, findet nicht statt.
23. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie stets den aktuellen rechtlichen Anforderungen oder zur Umsetzung von Änderungen unserer Leistungen oder Datenverarbeitungsprozesse entsprechend anzupassen. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.
Die jeweils aktuelle Version ist stets unter https://xtra.audio/datenschutz abrufbar.
Stand: 19. April 2026