Helgoboss Projects

Willkommen auf unserer Webseite www.helgoboss.org sowie in unseren Software- und App-Produkten (insbesondere „Jam Pad“, „Helgobox“ und „ReaBoot“). Wenn Sie sich die Inhalte anschauen, Kontakt zu uns aufnehmen, unsere Software installieren oder nutzen, ein Nutzerkonto anlegen, ein Abonnement abschließen oder sonstige Funktionen verwenden, werden personenbezogene Daten verarbeitet.

Die Datenschutz-Grundverordnung (DS-GVO) verpflichtet uns dazu, Sie zum Zeitpunkt der Datenerhebung über die Rahmenbedingungen der Verarbeitung zu informieren. Diese Datenschutzerklärung klärt Sie darüber auf, was mit Ihren personenbezogenen Daten bei uns passiert.

A. ALLGEMEINE INFORMATIONEN

1. Verantwortlicher für die Datenverarbeitung

Verantwortlicher im Sinne der DS-GVO ist:

Benjamin Klum Helgoboss Projects Förstereistr. 40 01099 Dresden Germany

Telefon: +49 351 2728 6449 (keine Hotline) E-Mail: info@helgoboss.org Internet: www.helgoboss.org

2. Datenschutzbeauftragter

Wir haben keinen Datenschutzbeauftragten benannt. Wenn Sie Fragen zum Datenschutz haben, können Sie sich jederzeit an die oben genannten Kontaktdaten wenden.

3. Ihre Betroffenenrechte

Sie haben ein Recht auf Auskunft (Art. 15 DS-GVO), Berichtigung (Art. 16 DS-GVO), Löschung (Art. 17 DS-GVO), Einschränkung der Verarbeitung (Art. 18 DS-GVO) und Datenübertragung (Art. 20 DS-GVO), sofern die jeweils gesetzlich definierten Voraussetzungen erfüllt sind und keine Ausnahmeregelung greift. Wir weisen darauf hin, dass Sie diese Rechte jederzeit geltend machen können. Der Erfüllung können allerdings gesetzliche Vorgaben wie Aufbewahrungspflichten entgegenstehen.

Wenn wir personenbezogene Daten zur Wahrung unserer berechtigten Interessen nach Art. 6 Abs. 1 f) DS-GVO verarbeiten, steht Ihnen ein allgemeines Widerspruchsrecht zu. Soweit es besondere Gründe gibt, die sich aus Ihrer besonderen Situation ergeben und wir kein übergeordnetes Interesse an der Verarbeitung haben, werden wir die Verarbeitung im Falle Ihres Widerspruchs stoppen.

Sofern wir für die Verarbeitung Ihrer personenbezogenen Daten eine Einwilligung benötigen, fragen wir diese bei Ihnen vorher ausdrücklich ab. Erteilte Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden. Die bis dahin erfolgte Datenverarbeitung wird hiervon aber nicht beeinträchtigt.

Der Widerruf der Einwilligung kann uns gegenüber z. B. per E-Mail an info@helgoboss.org oder schriftlich per Brief an die oben genannte Anschrift erklärt werden.

Sie haben außerdem das Recht, sich jederzeit bei einer Datenschutzaufsichtsbehörde zu beschweren. Zuständige Aufsichtsbehörde für uns ist:

Sächsische Datenschutz- und Transparenzbeauftragte Postanschrift: Postfach 11 01 32 01330 Dresden

Telefon: +49 351 85471-101 E-Mail: post@sdtb.sachsen.de Webseite: www.datenschutz.sachsen.de

4. Empfänger der Daten

Ihre Daten werden bei uns von den jeweils zuständigen Personen zur Kenntnis genommen und verwendet. Da Daten in IT-Systemen gespeichert werden, kann es außerdem nicht ausgeschlossen werden, dass eine Kenntnisnahme durch IT-Dienstleister im Rahmen von Hosting, Wartung, Fehlerbehebung und Support erfolgt.

Sofern wir im Rahmen unserer Verarbeitung Daten gegenüber anderen Personen und Unternehmen (Auftragsverarbeitern oder Dritten) offenbaren, sie an diese übermitteln oder ihnen sonst Zugriff auf die Daten gewähren, erfolgt dies nur auf Grundlage einer gesetzlichen Erlaubnis (z. B. wenn eine Übermittlung der Daten an Dritte gem. Art. 6 Abs. 1 S. 1 b) DS-GVO zur Vertragserfüllung erforderlich ist), Sie eingewilligt haben, eine rechtliche Verpflichtung dies vorsieht oder auf Grundlage unserer berechtigten Interessen (z. B. beim Einsatz von Beauftragten, Hostinganbietern, Abrechnungs- und ähnlichen Diensten, die uns eine effiziente und effektive Erfüllung unserer Vertragspflichten, Verwaltungsaufgaben und Pflichten erlauben).

Es besteht die Möglichkeit, dass rechtlich relevante Dokumente und daher auch die darin enthaltenen personenbezogenen Daten von Aufsichtsbehörden, Gerichten, Rechtsanwälten oder Steuerberatern eingesehen werden. Bei steuerlich relevanten Sachverhalten kann es außerdem zu einer Kenntnisnahme durch Steuerberater und das Finanzamt kommen.

5. Datenübertragung in ein Drittland

Wir verarbeiten Daten grundsätzlich innerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums. Eine Datenübermittlung in sogenannte Drittländer (also Länder außerhalb der EU oder des EWR) kann im Einzelfall stattfinden, insbesondere dann, wenn wir Dienste einsetzen, deren Anbieter ihren Sitz außerhalb der EU/EWR haben oder Datenverarbeitungen außerhalb der EU/EWR nicht ausgeschlossen werden können.

Dies kann insbesondere bei international tätigen Dienstleistern und Plattformen relevant sein, etwa bei App Stores, GitHub, Google Workspace, YouTube, RevenueCat, Paddle, 2Checkout, Sentry oder vergleichbaren Diensten. Auch bei der Internet-Synchronisation über Relay-Server kann ein Drittlandbezug entstehen, wenn Relay-Server außerhalb der EU oder des EWR betrieben werden.

Vorbehaltlich gesetzlicher oder vertraglicher Erlaubnisse verarbeiten oder lassen wir personenbezogene Daten in einem Drittland nur beim Vorliegen der besonderen Voraussetzungen der Art. 44 ff. DS-GVO verarbeiten. Das bedeutet, dass die Verarbeitung z. B. auf Grundlage besonderer Garantien erfolgt, wie der offiziell anerkannten Feststellung eines der EU entsprechenden Datenschutzniveaus (z. B. Angemessenheitsbeschluss) oder durch Vereinbarung offiziell anerkannter Standarddatenschutzklauseln mit dem Empfänger der Daten.

Bitte beachten Sie, dass mit Datenübermittlungen in Drittländer trotz solcher Schutzmechanismen Risiken verbunden sein können. Insbesondere können staatliche Zugriffe im Drittland nicht in jedem Fall vollständig ausgeschlossen werden.

6. Speicherdauer

Die Dauer der Speicherung richtet sich in erster Linie nach den gesetzlichen Aufbewahrungspflichten sowie nach unserem berechtigten Interesse an einer weiteren Aufbewahrung. Soweit in dieser Datenschutzerklärung konkrete Speicherdauern genannt werden, gelten diese vorrangig.

Soweit keine konkrete Speicherdauer angegeben ist, löschen wir personenbezogene Daten grundsätzlich, sobald der jeweilige Zweck weggefallen ist und keine gesetzlichen Aufbewahrungspflichten, keine Verjährungsfristen und keine berechtigten Interessen an der weiteren Speicherung entgegenstehen. Support- und Kontaktanfragen speichern wir grundsätzlich für die Dauer der Bearbeitung und danach noch für einen angemessenen Zeitraum zur Dokumentation und Nachvollziehbarkeit. Vertrags- und abrechnungsrelevante Daten speichern wir entsprechend den gesetzlichen handels- und steuerrechtlichen Aufbewahrungspflichten.

B. INFORMATIONEN ZUR WEBSEITE www.helgoboss.org

1. Aufruf der Webseite

Wenn Sie unsere Webseite aufrufen und Sie sich die Inhalte anschauen, werden bestimmte Nutzungsdaten automatisch erhoben und in sogenannten Server Logfiles gespeichert. Dabei werden insbesondere Browsertyp und Browserversion, verwendetes Betriebssystem, Referrer URL (die zuvor besuchte Webseite), IP-Adresse Ihres Endgeräts sowie Uhrzeit der Serveranfrage verarbeitet.

Die Zulässigkeit dieser Verarbeitung richtet sich nach Art. 6 Abs. 1 f) DS-GVO (berechtigtes Interesse). Wir sind darauf angewiesen, unsere Leistungen auf einer Webseite darzustellen. Das Internet ist ein wichtiges Kommunikationsmedium. Ohne eine eigene Webseite könnten wir Informationen zu unseren Projekten und Produkten nicht angemessen bereitstellen. Um die Webseite aufrufen zu können, ist die beschriebene Datenverarbeitung erforderlich.

Die IP-Adresse wird gespeichert, soweit dies zur Datensicherheit und zur Aufklärung oder Verhinderung von Sicherheits- oder Datenschutzverletzungen angemessen ist. Die Speicherdauer beträgt bei der Auslieferung über BunnyCDN nach aktuellem Stand drei Tage. Dabei erfolgt nach Angabe des Anbieters eine IP-Anonymisierung. Im Falle einer Strafanzeige oder der Durchsetzung von Ansprüchen gegen Personen, die Sicherheits- oder Datenschutzverletzungen begangen haben, kann die Speicherung und Verwendung der Daten bis zur abschließenden Klärung oder Durchsetzung von Ansprüchen erfolgen.

Hosting

Unsere Webseite wird bei einem Hosting-Anbieter betrieben. Der Hosting-Anbieter kann im Rahmen seiner Leistungserbringung Zugriff auf die genannten Daten erhalten. Wir haben den Hosting-Anbieter vertraglich verpflichtet und zuvor auf Zuverlässigkeit geprüft.

Hoster: Hetzner Online GmbH Industriestr. 25 91710 Gunzenhausen Deutschland

Weitere Informationen: https://www.hetzner.com/de/legal/privacy-policy/

Die Webseite wird über BunnyCDN ausgeliefert. BunnyCDN dient der performanten Auslieferung von Webseiteninhalten und User Content. Nach aktuellem Stand wird BunnyCDN in einer EU-Konfiguration eingesetzt. BunnyCDN speichert Logdaten nach Angabe des Mandanten für drei Tage und anonymisiert IP-Adressen. Mit BunnyCDN besteht ein Vertrag zur Auftragsverarbeitung.

CDN-Anbieter: BunnyWay d.o.o. Dunajska cesta 165 1000 Ljubljana Slowenien

Weitere Informationen: https://bunny.net/privacy/ https://bunny.net/gdpr/

2. Kontaktaufnahme

Wenn Sie Fragen haben oder ein konkretes Anliegen zu unseren Leistungen und Projekten haben, können Sie uns per E-Mail oder telefonisch kontaktieren. Dabei verarbeiten wir die von Ihnen mitgeteilten Daten, um Ihre Anfrage zu beantworten.

Die Zulässigkeit dieser Verarbeitung richtet sich nach Art. 6 Abs. 1 b) DS-GVO (vorvertragliche Maßnahme), soweit Ihre Anfrage auf einen Vertragsschluss oder die Durchführung eines Vertrags abzielt, sowie nach Art. 6 Abs. 1 f) DS-GVO (berechtigtes Interesse), soweit wir allgemeine Anfragen effizient bearbeiten möchten. Ohne die Bereitstellung Ihrer Daten können wir Ihre Anfrage in der Regel nicht beantworten. Insofern ist die Bereitstellung erforderlich, um mit uns in Kontakt zu treten und Antworten auf Ihre Fragen zu bekommen.

Für die E-Mail-Kommunikation und den Support nutzen wir Google Workspace. Google Workspace dient der technischen Bereitstellung und Verwaltung unseres E-Mail-Postfachs. Dabei können insbesondere Absender- und Empfängeradressen, Betreffzeilen, Nachrichteninhalte, Anhänge, Zeitpunkte und technische Metadaten verarbeitet werden. Die Verarbeitung erfolgt, um eingehende Anfragen zu empfangen, zu beantworten und die Kommunikation nachvollziehbar zu dokumentieren. Rechtsgrundlage ist Art. 6 Abs. 1 b) DS-GVO, soweit die Kommunikation der Vertragsanbahnung oder Vertragsdurchführung dient, und im Übrigen Art. 6 Abs. 1 f) DS-GVO. Unser berechtigtes Interesse liegt in einer zuverlässigen, sicheren und effizienten E-Mail-Kommunikation.

Wir verwenden für den direkten Support kein Ticket-System. Anfragen werden über E-Mail bearbeitet. Wir speichern Ihre Anfrage für die Dauer der Bearbeitung und darüber hinaus, sofern ein Vertrag zustande kommt oder sofern wir ein berechtigtes Interesse an der Dokumentation der Kommunikation haben. Ansonsten werden die Anfragen gelöscht, sobald sie nicht mehr erforderlich sind und keine Aufbewahrungspflichten oder Rechtsverteidigungsinteressen entgegenstehen.

2.1 Kontaktformular

Wenn wir auf unserer Webseite ein Kontaktformular bereitstellen, werden die von Ihnen in das Formular eingegebenen Daten verarbeitet, um Ihre Anfrage entgegenzunehmen und zu beantworten. Je nach Formular können dies insbesondere Name, E-Mail-Adresse, Betreff und Nachrichteninhalt sein. Alternativ können Sie uns auch per E-Mail kontaktieren.

Die Zulässigkeit dieser Verarbeitung richtet sich nach Art. 6 Abs. 1 b) DS-GVO (vorvertragliche Maßnahme) sowie Art. 6 Abs. 1 f) DS-GVO (berechtigtes Interesse). Wir möchten dazu in der Lage sein, Ihre Anfragen ort- und zeitunabhängig entgegenzunehmen und zu beantworten. Daher eröffnen wir Ihnen einen elektronischen Weg zur Kontaktaufnahme. Die von Ihnen mitgeteilten Daten nutzen wir zur Beantwortung Ihrer Anfrage. Ohne die Bereitstellung Ihrer Daten können wir nicht antworten. Insofern ist die Bereitstellung erforderlich, um mit uns in Kontakt zu treten und Antworten auf Ihre Fragen zu bekommen.

Die technische Abwicklung des Kontaktformulars erfolgt über eine Eigenlösung („Helgoboss API“). Die Formulareingaben werden an unsere API übermittelt und von dort über Mailjet bzw. Sinch Email an unsere Support-E-Mail-Adresse gesendet. Eine zusätzliche Speicherung in einer Datenbank oder in einem CRM-System erfolgt nach aktuellem Stand nicht.

Mailjet bzw. Sinch Email wird als technischer Versanddienstleister eingesetzt. Dabei können insbesondere E-Mail-Adresse, Nachrichteninhalt, technische Versanddaten und Zustellinformationen verarbeitet werden. Die Verarbeitung erfolgt, um die Formularanfrage zuverlässig an uns zu übermitteln. Rechtsgrundlage ist Art. 6 Abs. 1 b) DS-GVO, soweit es um vorvertragliche Maßnahmen oder Vertragsdurchführung geht, und im Übrigen Art. 6 Abs. 1 f) DS-GVO. Unser berechtigtes Interesse liegt in einer zuverlässigen technischen Übermittlung von Formularanfragen.

Mailjet / Sinch Email: Sinch Email, Teil der Sinch Group, Sitz bzw. Stammsitz in Paris, Frankreich

AV-Vertrag / DPA: https://sinch.com/legal/terms-and-conditions/other-sinch-terms-conditions/data-protection-agreement/

Wir speichern Ihre Anfrage für die Dauer der Bearbeitung und darüber hinaus, sofern ein Vertrag zustande kommt oder sofern wir ein berechtigtes Interesse an der Dokumentation der Kommunikation haben. Ansonsten wird der Nachrichtenverlauf gelöscht, sobald er nicht mehr erforderlich ist und keine Aufbewahrungspflichten oder Rechtsverteidigungsinteressen entgegenstehen.

Nach aktuellem Stand setzen wir auf unserer Webseite keine Cookies ein, die eine Einwilligung erfordern. Ein Consent-Management-Tool wird nach aktuellem Stand nicht eingesetzt, weil wir derzeit ohne Cookie-Banner auskommen.

Sollten wir künftig Cookies oder ähnliche Technologien einsetzen, die nicht technisch erforderlich sind, werden wir vorab eine Einwilligung einholen, soweit dies gesetzlich erforderlich ist. Soweit für die Verarbeitung die Speicherung von Informationen in Ihrer Endeinrichtung oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, erforderlich ist, beachten wir zusätzlich § 25 TDDDG.

4. Webanalyse mit Umami

Wir setzen eine selbst gehostete Version von Umami ein, um die Nutzung unserer Webseite statistisch auszuwerten und unsere Inhalte zu verbessern. Umami wird nach aktuellem Stand ohne Cookies eingesetzt. Die Analyse erfolgt anonymisiert bzw. aggregiert. Es werden keine websiteübergreifenden Nutzerprofile erstellt und es erfolgt keine Wiedererkennung über verschiedene Webseiten hinweg.

Bei der Nutzung von Umami können technische Nutzungsdaten verarbeitet werden, insbesondere aufgerufene Seiten, Referrer, verwendeter Browser, Betriebssystem, Gerätetyp, ungefährer Standort auf Länderebene sowie Zeitpunkt des Zugriffs. Wir verwenden diese Informationen, um zu verstehen, welche Inhalte aufgerufen werden, welche technischen Umgebungen genutzt werden und wie wir unsere Webseite verbessern können.

Die Zulässigkeit der Verarbeitung richtet sich nach Art. 6 Abs. 1 f) DS-GVO. Unser berechtigtes Interesse liegt in der statistischen Auswertung und Verbesserung unserer Webseite. Soweit Umami ohne Cookies betrieben wird und keine Informationen in Ihrer Endeinrichtung gespeichert oder ausgelesen werden, ist nach aktueller Konzeption keine Einwilligung nach § 25 Abs. 1 TDDDG erforderlich.

Da Umami selbst gehostet wird, erfolgt die Verarbeitung im Rahmen unserer eigenen technischen Infrastruktur. Eine Weitergabe personenbezogener Webanalyse-Daten an einen externen Analyseanbieter findet nach aktueller Konzeption nicht statt.

5. Externe Links und Drittanbieter-Webseiten

Unsere Webseite kann Links zu externen Webseiten und Plattformen enthalten, insbesondere zu YouTube, GitHub, App Stores, Zahlungsanbietern, Dokumentationsseiten oder Community-Plattformen. Wenn Sie einen externen Link anklicken, verlassen Sie unsere Webseite. Ab diesem Zeitpunkt verarbeitet der jeweilige Anbieter personenbezogene Daten in eigener Verantwortung.

YouTube-Videos werden nach aktuellem Stand nicht in die Webseite eingebettet, sondern nur verlinkt. Dadurch findet beim bloßen Aufruf unserer Webseite keine automatische Datenübermittlung an YouTube wegen eingebetteter Videos statt. Erst wenn Sie einen YouTube-Link anklicken, verlassen Sie unsere Webseite und es gelten die Datenschutzbedingungen von YouTube bzw. Google.

Auf unserer Webseite können Sie sich für Early-Access, Projektupdates, Newsletter oder vergleichbare Benachrichtigungen anmelden. Dafür geben Sie Ihre E-Mail-Adresse in das entsprechende Formular ein. Zusätzlich kann ein optionales Nachrichtenfeld bereitgestellt werden.

Für die Anmeldung wird ein Double-Opt-In eingesetzt. Sie erhalten zunächst eine E-Mail mit einer Aufforderung zur Bestätigung Ihrer Anmeldung. So stellen wir sicher, dass sich auch wirklich der Inhaber der E-Mail-Adresse angemeldet hat. Dabei verarbeiten wir außerdem technische Nachweisdaten, insbesondere Zeitpunkt und Bestätigungsstatus.

Die Zulässigkeit der Datenverarbeitung bei der Versendung des Newsletters bzw. vergleichbarer Benachrichtigungen richtet sich nach Art. 6 Abs. 1 a) DS-GVO (Einwilligung). Die Bereitstellung Ihrer Daten zu diesem Zweck ist freiwillig.

Für den Versand nutzen wir Mailjet bzw. Sinch Email. Dabei können insbesondere E-Mail-Adresse, optionale Nachrichtenangaben, Einwilligungs- und Bestätigungsdaten sowie Versand- und Zustellinformationen verarbeitet werden.

Mailjet / Sinch Email: Sinch Email, Teil der Sinch Group, Sitz bzw. Stammsitz in Paris, Frankreich

AV-Vertrag / DPA: https://sinch.com/legal/terms-and-conditions/other-sinch-terms-conditions/data-protection-agreement/

Ihre Daten werden für die Dauer Ihrer Anmeldung gespeichert. Sie werden aus der aktiven Versandliste gelöscht, wenn Sie Ihre Einwilligung widerrufen oder den Newsletter abbestellen. Soweit eine weitere Speicherung von Nachweisdaten erforderlich ist, erfolgt diese nur, solange dies zur Dokumentation der Einwilligung oder zur Rechtsverteidigung erforderlich ist.

7. Werbung für ähnliche Leistungen per E-Mail

Wenn Sie bereits Nutzer unserer Open-Source-Software oder unserer kommerziellen Software sind oder mit uns in einer entsprechenden Kundenbeziehung stehen, können wir Ihre E-Mail-Adresse verwenden, um Sie auf ähnliche eigene Leistungen hinzuweisen, etwa auf Jam Pad oder verwandte Helgoboss-Produkte.

Die Zulässigkeit richtet sich nach Art. 6 Abs. 1 f) DS-GVO (berechtigtes Interesse) und, soweit einschlägig, § 7 Abs. 3 UWG. Unser berechtigtes Interesse liegt darin, bestehende Nutzer über ähnliche eigene Angebote zu informieren. Sie können der werblichen Nutzung Ihrer E-Mail-Adresse jederzeit widersprechen. Wenn Sie widersprechen, wird Ihre E-Mail-Adresse für diese Form der werblichen Ansprache nicht mehr verwendet.

8. Onlineauftritte, Community-Plattformen und öffentliche Support-Kanäle

Wir unterhalten auf Grundlage unserer berechtigten Interessen im Sinne des Art. 6 Abs. 1 f) DS-GVO Onlinepräsenzen innerhalb sozialer Netzwerke, Entwicklerplattformen und Community-Plattformen, um mit dort aktiven Nutzern zu kommunizieren, Informationen bereitzustellen, Feedback entgegenzunehmen und öffentliche Diskussionen zu unseren Projekten zu ermöglichen.

Beim Aufruf der jeweiligen Netzwerke und Plattformen gelten die Geschäftsbedingungen und die Datenverarbeitungsrichtlinien der jeweiligen Betreiber. Soweit nicht anders im Rahmen dieser Datenschutzerklärung angegeben, verarbeiten wir die Daten der Nutzer, sofern diese mit uns innerhalb der Plattformen kommunizieren, beispielsweise Beiträge auf unseren Onlinepräsenzen verfassen, öffentliche Issues erstellen, Feature-Requests stellen oder uns Nachrichten zusenden.

GitHub wird insbesondere für öffentliche Issues, Feature-Requests, Forum- oder Wiki-Funktionen sowie für GitHub Releases eingesetzt. Diese Angebote sind Community-Angebote und für den Kernbetrieb der Software nicht zwingend erforderlich. Bitte beachten Sie, dass Beiträge auf GitHub regelmäßig öffentlich sichtbar sein können. Reichen Sie über öffentliche GitHub-Bereiche daher keine vertraulichen Informationen und keine personenbezogenen Daten ein, die nicht öffentlich sichtbar sein sollen.

Profile und Plattformen:

YouTube: https://www.youtube.com/c/BenjaminKlum Über YouTube wird normalerweise kein Support angeboten.

GitHub: https://github.com/helgoboss GitHub kann für öffentlich sichtbaren Support, Issues, Feature-Requests, Forum/Wiki-Funktionen und Releases genutzt werden.

Bluesky: https://bsky.app/profile/helgoboss.bsky.social Über Bluesky wird nach aktuellem Stand kein Support angeboten.

C. INFORMATIONEN ZU UNSEREN SOFTWARE- UND APP-PRODUKTEN

Dieser Abschnitt gilt insbesondere für:

Jam Pad (App auf Android, iOS, macOS und Windows, später auch Web und Linux)
Helgobox (REAPER Plugin, bestehend aus Open-Source-Komponenten und kommerziellen Komponenten)
ReaBoot (Installer als Desktop-Anwendung und Website)

1. Allgemeine Hinweise zur Nutzung von Software und Apps

Je nach Produkt und Nutzungsart können wir personenbezogene Daten verarbeiten, um die Software bereitzustellen, Funktionen zu ermöglichen, Fehler zu beheben, Missbrauch zu verhindern, Zahlungen zuzuordnen oder den Support zu erbringen.

Soweit eine Nutzung vollständig offline möglich ist, fallen bei uns keine oder nur sehr begrenzte Datenverarbeitungen an. Sobald Online-Funktionen eingesetzt werden, insbesondere Nutzerkonto, Synchronisation über Server, Kollaboration oder Zahlungsabwicklung, werden personenbezogene Daten verarbeitet.

2. Jam Pad

2.1 Welche Daten werden bei der Nutzung von Jam Pad verarbeitet

Jam Pad ist als Offline-First-App konzipiert. Die App ermöglicht die Erstellung und Verwaltung sogenannter „Spaces“. Je nach Space-Typ werden Daten ausschließlich lokal auf Ihrem Gerät verarbeitet, zwischen Geräten synchronisiert oder serverseitig gespeichert und verarbeitet.

a) Single-Device Spaces

Single-Device Spaces sind lokal auf einem einzelnen Endgerät gespeicherte Spaces. Wenn Sie Single-Device Spaces verwenden, verbleiben die Inhalte des jeweiligen Space grundsätzlich auf dem Gerät, auf dem die App installiert ist. Wir erhalten dabei grundsätzlich keine Inhalte und keine aus den Inhalten abgeleiteten Daten.

Bei Single-Device Spaces liegt die Verantwortung für die lokale Datensicherung in besonderem Maße bei Ihnen. Wir haben keinen Zugriff auf lokal gespeicherte Inhalte, solange Sie keine Cloud-, Internet-Sync- oder sonstigen Online-Funktionen nutzen.

b) Multi-Device Spaces

Multi-Device Spaces ermöglichen die Synchronisation zwischen mehreren Geräten. Die Synchronisation kann über das lokale Netzwerk direkt zwischen Ihren Geräten erfolgen. Optional kann nach Opt-in eine Synchronisation über das Internet erfolgen.

Wenn die Synchronisation über das Internet erfolgt, können Relay-Server eingesetzt werden, um Verbindungen zwischen Geräten herzustellen oder verschlüsselte Verbindungen zu vermitteln, wenn eine direkte Verbindung nicht möglich ist. Hierfür wird voraussichtlich Iroh-Relay-Technik eingesetzt. Nach aktueller Planung betreiben wir eigene bzw. dedizierte Relay-Server („dedicated relays“). Die Relay-Server können über Hetzner gehostet werden. Es ist möglich, dass einzelne Relay-Server auch in Drittländern betrieben werden, sofern dies technisch oder funktional erforderlich ist.

Die Inhalte der Synchronisation werden Ende-zu-Ende verschlüsselt übertragen. Relay-Server erhalten nach der technischen Konzeption keinen Zugriff auf Inhaltsdaten. Sie können jedoch technisch bedingt Verbindungsdaten verarbeiten, insbesondere IP-Adressen beider Geräte, Zeitstempel, Verbindungsstatus und Device-Identifier. Bei den Device-Identifiern handelt es sich nach aktueller Konzeption um öffentliche Schlüssel, die Jam Pad beim ersten Start generiert.

Die Zulässigkeit der Verarbeitung richtet sich nach Art. 6 Abs. 1 b) DS-GVO, soweit die Internet-Synchronisation Bestandteil der von Ihnen aktivierten Funktion ist. Soweit für die Einbindung oder Aktivierung der Funktion eine Einwilligung erforderlich ist, wird diese vor der Verarbeitung eingeholt. Die Internet-Synchronisation kann in der App aktiviert bzw. deaktiviert werden, soweit die Funktion bereitgestellt wird.

Weitere Informationen zur Relay-Technik: https://docs.iroh.computer/concepts/relays

c) Cloud Spaces

Cloud Spaces setzen einen Jam-Pad-Account und je nach Funktion ein aktives Abonnement oder eine laufende Testphase voraus. Wenn Sie Cloud Spaces verwenden, werden Inhalte des jeweiligen Cloud Space automatisiert auf von uns bereitgestellte Server hochgeladen. Der Server dient als zentrales Synchronisations- und Speichersystem. Sie können sich auf mehreren Geräten anmelden und Ihre Cloud Spaces synchronisieren.

Bei Cloud Spaces verarbeiten wir die vom Space Owner und den eingeladenen Space Participants eingebrachten Inhalte und Metadaten, soweit dies für Cloud-Speicherung, Synchronisation, Kollaboration und Zugriffsteuerung erforderlich ist.

Dabei werden insbesondere folgende Datenkategorien verarbeitet:

Bestandsdaten, insbesondere Name und E-Mail-Adresse
Vertragsstammdaten, insbesondere Status der Subscription
Kommunikationsdaten, insbesondere Einladungs- und System-E-Mails sowie interne Nachrichten, soweit diese Funktion genutzt wird
Inhaltsdaten, insbesondere die von Ihnen in Cloud Spaces gespeicherten Daten wie Aufnahmen, Marker, Tags, Dokumente, Playlisten, Kommentare, Nachrichten und sonstige Space-Inhalte
Rollen-, Einladungs-, Zugriffs- und Berechtigungsdaten
Quota- und Nutzungsdaten, insbesondere Speicherplatznutzung, Anzahl und Zuordnung von Cloud Spaces, Anzahl teilnehmender Nutzer einschließlich des Space Owners, Content-Speicherverbrauch und technische Nutzungslimits
Nutzungs- und Protokolldaten, insbesondere technische Logdaten und Zeitstempel zur Fehleranalyse, IT-Sicherheit und Missbrauchsprävention

Die Zulässigkeit der Verarbeitung richtet sich nach Art. 6 Abs. 1 b) DS-GVO (Vertrag), weil die Verarbeitung zur Bereitstellung der Cloud- und Kollaborationsfunktionen erforderlich ist. Soweit wir Protokolldaten zur Sicherheit, Stabilität oder Missbrauchsabwehr verarbeiten, stützen wir die Verarbeitung außerdem auf Art. 6 Abs. 1 f) DS-GVO.

Sie können Jam Pad grundsätzlich offline verwenden. Für Cloud Spaces und kollaborative Funktionen benötigen Sie ein Jam-Pad-Konto.

Bei der Registrierung und Nutzung des Nutzerkontos verarbeiten wir insbesondere Name, E-Mail-Adresse sowie Authentifizierungsdaten. Für die Identitäts- und Zugriffsverwaltung wird nach aktuellem Stand Keycloak eingesetzt. Keycloak wird von uns selbst auf unserer Infrastruktur bei Hetzner gehostet.

Optional kann ein Social Login über Apple oder Google eingesetzt werden. In diesem Fall erhalten wir von dem jeweiligen Anbieter die zur Authentifizierung notwendigen Daten, insbesondere E-Mail-Adresse, Name und Provider-ID.

Social Login Anbieter: Apple Google

Die Zulässigkeit der Verarbeitung richtet sich nach Art. 6 Abs. 1 b) DS-GVO (Vertrag oder vorvertragliche Maßnahme). Ohne die Bereitstellung der erforderlichen Daten ist die Einrichtung und Nutzung eines Jam-Pad-Kontos nicht möglich.

2.3 Hosting der Cloud-Funktionen und Auftragsverarbeitung

Für den Betrieb der serverseitigen Komponenten von Jam Pad setzen wir Hosting-Dienstleister ein. Der serverseitige Teil besteht insbesondere aus Identitäts- und Zugriffsverwaltung, Datenbank, Object Storage und Anwendungslogik zur Synchronisation.

Hosting-Anbieter: Hetzner Online GmbH Industriestr. 25 91710 Gunzenhausen Deutschland

Weitere Informationen: https://www.hetzner.com/de/legal/privacy-policy/

Nach aktuellem Stand werden insbesondere die Regionen Falkenstein, Helsinki und ggf. Nürnberg eingesetzt. In der Produktionsumgebung können Daten über mehrere Rechenzentren hinweg repliziert werden, um Sicherheit, Verfügbarkeit und Ausfallschutz zu verbessern.

Mit Hetzner besteht ein Vertrag zur Auftragsverarbeitung nach Art. 28 DS-GVO.

Im Rahmen der Auftragsverarbeitung sind folgende Datenarten vorgesehen: Kommunikationsdaten, Personenstammdaten, Vertragsstammdaten sowie Protokolldaten. Der Kreis der Betroffenen umfasst Kunden und Interessenten.

Die Zulässigkeit der Verarbeitung richtet sich nach Art. 6 Abs. 1 b) DS-GVO (Vertrag).

2.4 Kollaboration, Einladungen und Rollen

Bei Cloud Spaces können Space Owner andere Jam-Pad-Nutzer als Space Participants in einen Cloud Space einladen und aus diesem entfernen. Dazu verarbeiten wir Daten, die für Einladungen und Rechteverwaltung erforderlich sind, insbesondere E-Mail-Adresse, Nutzerkennungen sowie Informationen zum Cloud Space und zu den vergebenen Rollen.

Es gibt nach aktuellem Stand die Rollen Space Owner und Space Participant. Space Participants können den jeweiligen Cloud Space im Rahmen ihrer Rolle und der technisch bereitgestellten Berechtigungen nutzen, ohne selbst Inhaber eines Abonnements sein zu müssen. Inhalte, Kommentare, Nachrichten, Aufnahmen, Marker, Dokumente und sonstige Space-Inhalte können für Space Participants entsprechend der Rollen- und Berechtigungslogik sichtbar und nutzbar sein.

Die genaue Rechtematrix wird in der Produktdokumentation, Hilfedokumentation oder in der App bereitgestellt. Datenschutzrechtlich ist maßgeblich, dass Sichtbarkeit und Nutzung von Inhalten vom jeweiligen Cloud Space, der Rolle und den technisch bereitgestellten Berechtigungen abhängen.

Die Zulässigkeit der Verarbeitung richtet sich nach Art. 6 Abs. 1 b) DS-GVO (Vertrag) und Art. 6 Abs. 1 f) DS-GVO (berechtigtes Interesse), soweit es um die sichere und nachvollziehbare Verwaltung von Zugriffsrechten geht.

2.5 Cloud-Abonnement, Quoten und Berechtigungsstatus

Das Jam-Pad-Cloud-Abonnement ist accountbezogen. Je nach Abo-Plan können Quoten und technische Nutzungslimits bestehen, insbesondere eine maximale Anzahl von Cloud Spaces, eine maximale Anzahl teilnehmender Nutzer einschließlich des Account-Inhabers, Speicherlimits für Content in GB, insbesondere für größere Dateien wie Aufnahmen, sowie sonstige technische Nutzungskontingente.

Die konkreten Limits werden über App, Store, Checkout, Webseite oder Produktinformationen kommuniziert. Um die Cloud- und Kollaborationsfunktionen bereitzustellen und Nutzungslimits umzusetzen, können wir insbesondere Speicherplatznutzung, Anzahl und Zuordnung von Cloud Spaces, Anzahl teilnehmender Nutzer, Abo- und Berechtigungsstatus, Quota-Informationen und technische Nutzungslimits verarbeiten.

Die Zulässigkeit der Verarbeitung richtet sich nach Art. 6 Abs. 1 b) DS-GVO, weil die Verarbeitung zur Bereitstellung und Durchsetzung der vertraglich vereinbarten Funktionen und Nutzungslimits erforderlich ist.

2.6 Zahlungsabwicklung, Abonnements, In-App-Käufe

Jam Pad kann kostenpflichtige Einmalzahlungen sowie Abonnements enthalten. Die meisten Zahlungen werden über App Stores abgewickelt, insbesondere Apple App Store und Google Play Store. In diesem Fall verarbeitet der jeweilige Store die Zahlungs- und Abrechnungsdaten in eigener Verantwortung. Wir erhalten in der Regel Informationen, die zur Zuordnung und Bereitstellung der gekauften Leistungen erforderlich sind, insbesondere Transaktionskennungen, Kaufstatus, Produktkennung, Laufzeitstatus und gegebenenfalls Land oder Region.

Die Zulässigkeit der Verarbeitung richtet sich nach Art. 6 Abs. 1 b) DS-GVO (Vertrag) sowie Art. 6 Abs. 1 c) DS-GVO (rechtliche Verpflichtungen), soweit handels- und steuerrechtliche Aufbewahrungspflichten betroffen sind.

Soweit app-store-unabhängige Zahlungen angeboten werden, kann je nach Produkt und Vertriebskanal ein Merchant of Record eingesetzt werden, insbesondere Paddle oder 2Checkout. Der jeweilige Merchant of Record verarbeitet Zahlungs- und Abrechnungsdaten regelmäßig in eigener Verantwortung. Wir erhalten diejenigen Daten, die zur Bereitstellung, Zuordnung, Abrechnung und Verwaltung der Leistung erforderlich sind, insbesondere E-Mail-Adresse, Zahlungsstatus, Rechnungsdaten und Produkt- bzw. Leistungsstatus.

2.7 RevenueCat (Receipt Validation, Entitlements und Berechtigungsstatus)

Wir setzen RevenueCat ein, um Abonnements und Einmalkäufe technisch zu verwalten, Belege zu validieren und Berechtigungen bereitzustellen. RevenueCat dient insbesondere der Receipt Validation, der Verwaltung von Entitlements und der Prüfung, für welche Funktionen der Nutzer bezahlt hat. Die Jam Pad App und der Jam Pad Server können die API von RevenueCat aufrufen, um den Berechtigungsstatus zu prüfen und den Zugang zu kostenpflichtigen Funktionen freizugeben oder zu sperren.

Dabei können insbesondere Nutzer- oder App-User-IDs, Plattforminformationen, Produktkennungen, Kauf- und Abonnementstatus, Receipt-Informationen, Transaktionsdaten, technische Abrufdaten sowie App- und Geräteinformationen verarbeitet werden, soweit diese für die Prüfung und Bereitstellung der Berechtigungen erforderlich sind.

RevenueCat verarbeitet Daten nach aktueller Einordnung als Auftragsverarbeiter bzw. Processor. Die Zulässigkeit der Verarbeitung richtet sich nach Art. 6 Abs. 1 b) DS-GVO (Vertrag), weil die Verarbeitung erforderlich ist, um gekaufte Funktionen bereitzustellen und den Berechtigungsstatus umzusetzen.

Soweit RevenueCat zusätzlich für Analytics oder Attribution genutzt wird, erfolgt dies gesondert und nur, soweit die hierfür erforderlichen rechtlichen Voraussetzungen erfüllt sind. Eine solche Verarbeitung dient nicht der Fehlerdiagnose und ist von Sentry bzw. technischer Fehlerverfolgung zu trennen.

Dienstleister: RevenueCat, Inc.

DPA: https://www.revenuecat.com/dpa/

Weitere Informationen: https://www.revenuecat.com/gdpr/

2.8 Push Notifications (künftig bzw. optional, nur Service)

Jam Pad setzt aktuell noch keine Push-Benachrichtigungen ein. Nach Release kann eine Funktion für Service-Push-Benachrichtigungen eingeführt werden. Push-Benachrichtigungen sollen ausschließlich Service-Zwecken dienen, nicht zu Marketingzwecken.

Mögliche Zwecke sind insbesondere Benachrichtigungen darüber, dass eine Space-Einladung angenommen wurde, sowie Benachrichtigungen über empfangene Nachrichten in einem Cloud Space.

Sofern Push-Benachrichtigungen aktiviert werden, verarbeiten wir technische Daten, um Ihnen servicebezogene Benachrichtigungen zuzustellen. Dazu können insbesondere Push-Token, Geräteinformationen und Zeitpunkte verarbeitet werden. Als Push-Dienste können insbesondere Apple Push Notification Service (APNs) und Firebase Cloud Messaging (FCM) eingesetzt werden.

Die Zulässigkeit der Verarbeitung richtet sich nach Art. 6 Abs. 1 b) DS-GVO, soweit Push-Benachrichtigungen zur Bereitstellung einer von Ihnen aktivierten Funktion erforderlich sind. Im Übrigen kann Art. 6 Abs. 1 f) DS-GVO einschlägig sein, soweit unser berechtigtes Interesse in der zuverlässigen Bereitstellung servicebezogener Benachrichtigungen liegt. Die Aktivierung und Deaktivierung erfolgt über die App bzw. über die Geräteeinstellungen.

2.9 Bluetooth-Funktionen (Hike and Mark)

Jam Pad kann die Verbindung zu bestimmten Bluetooth-Fernbedienungen unterstützen. Diese Funktion ist aktiv. Dabei werden technische Verbindungsdaten verarbeitet, die für die Kopplung und Nutzung erforderlich sind. Als Betriebssystem-Berechtigung ist insbesondere der Zugriff auf Bluetooth sowie das Scannen von Bluetooth-Geräten in der Nähe erforderlich.

Die Zulässigkeit der Verarbeitung richtet sich nach Art. 6 Abs. 1 b) DS-GVO (Vertrag), soweit die Funktion Bestandteil der von Ihnen gewünschten Leistung ist, sowie nach Art. 6 Abs. 1 f) DS-GVO (berechtigtes Interesse) zur sicheren Bereitstellung und Fehlerbehebung.

2.10 Fehlerverfolgung und Stabilitätsanalyse über Sentry

Jam Pad kann eine Fehlerverfolgung und technische Diagnose einsetzen, insbesondere über Sentry. Dabei sollen Fehlerberichte verarbeitet werden, um technische Probleme, Abstürze, Stabilitätsprobleme und Fehlfunktionen zu erkennen und zu beheben.

Sentry wird nicht zu Werbe-, Marketing- oder Profilingzwecken eingesetzt. Die Fehlerverfolgung ist von Webanalyse, Nutzungsanalyse, Marketing, Tracking und Attribution zu trennen.

Bei der Fehlerverfolgung können insbesondere App-Version, Betriebssystem, Gerätetyp, Zeitstempel, technische Ereignisdaten, Fehlermeldungen, Stacktraces, Crash-Reports und vergleichbare Diagnosedaten verarbeitet werden. Inhaltsdaten wie Aufnahmen, Dokumente, Nachrichten oder sonstige Space-Inhalte sollen nach Möglichkeit nicht an Sentry übermittelt werden.

Wir konfigurieren Sentry nach dem Grundsatz der Datenminimierung. Nach aktuellem Stand ist Sentry in der EU-Region eingerichtet. Eine DPA bzw. ein Vertrag zur Auftragsverarbeitung ist signiert. Enhanced Privacy ist aktiviert. JavaScript Source Fetching ist deaktiviert. Minidumps werden nicht als Attachment gespeichert. Data Scrubbing ist aktiviert, einschließlich der Vorgaben „Require Data Scrubber“ und „Require Using Default Scrubbers“. Die Speicherung von IP-Adressen wird verhindert.

Rechtsgrundlage ist Art. 6 Abs. 1 f) DS-GVO. Unser berechtigtes Interesse liegt darin, Sicherheit und Stabilität unserer Software zu gewährleisten, Fehler zu analysieren und die Nutzererfahrung zu verbessern. Soweit nach der konkreten technischen Umsetzung ein Zugriff auf Informationen in Ihrer Endeinrichtung erfolgt oder solche Informationen gespeichert werden und hierfür eine Einwilligung erforderlich ist, wird die Verarbeitung zusätzlich an den Vorgaben des § 25 TDDDG ausgerichtet.

Nutzer sollen die Fehlerverfolgung über einen Schalter in den App-Einstellungen deaktivieren können. Der genaue Menüpfad kann je nach App-Version abweichen.

Dienstleister: Sentry

Weitere Informationen: https://sentry.io/legal/privacy/ https://sentry.io/legal/dpa/ https://sentry.io/trust/privacy/gdpr-best-practices

2.11 Löschung und Aufbewahrung bei Jam Pad

Vom Space Owner ausgewählte Cloud Spaces können unmittelbar gelöscht werden. In diesem Fall ist eine Wiederherstellung grundsätzlich nicht möglich.

Nach Ablauf, Kündigung oder Nichtverlängerung eines Abonnements sowie bei Zahlungsstopp oder Account-Löschung gilt für die vom Account-Owner verwalteten Cloud Spaces grundsätzlich eine Schonfrist von 14 Tagen, soweit im Einzelfall nichts Abweichendes angezeigt wird.

Während dieser Schonfrist sind die betroffenen Cloud Spaces grundsätzlich nur noch lesend zugänglich. Der Nutzer kann diese Zeit nutzen, um Inhalte lokal auf seinen Geräten verfügbar zu machen bzw. herunterzuladen, soweit die App dies technisch ermöglicht. Eine Bearbeitung, weitere Synchronisation oder kollaborative Nutzung der betroffenen Cloud Spaces kann während der Schonfrist eingeschränkt oder ausgeschlossen sein.

Nach Ablauf der 14 Tage endet der Zugriff auf die betroffenen Cloud Spaces in der Cloud. Lokal gespeicherte oder zuvor offline verfügbar gemachte Inhalte bleiben hiervon unberührt, soweit sie auf dem jeweiligen Endgerät vorhanden sind und die App deren lokale Nutzung technisch ermöglicht.

Bei Account-Löschung kann eine Reaktivierung innerhalb der Schonfrist möglich sein. Nach Ablauf der Schonfrist besteht kein Anspruch auf Wiederherstellung des Accounts oder der betroffenen Cloud Spaces.

Backups können technisch bedingt bis zu 90 Tage gespeichert bleiben und danach überschrieben oder gelöscht werden. Der Zweck der Backups ist der Schutz vor Datenverlust auf der Serverseite, nicht die Bereitstellung einer allgemeinen Wiederherstellungs- oder Exportfunktion. Eine Wiederherstellung aus Backups erfolgt nur in Ausnahmefällen und wird nicht als allgemeine Wiederherstellungsfunktion geschuldet.

Soweit Daten handels- und steuerrechtlichen Aufbewahrungspflichten unterliegen, speichern wir diese für die gesetzlich vorgegebenen Zeiträume. Andere Daten löschen wir, sofern keine rechtlichen Ansprüche mehr bestehen oder geltend gemacht werden können oder sofern wir kein berechtigtes Interesse an der weiteren Aufbewahrung haben.

3. Helgobox

Helgobox ist ein Plugin für die DAW REAPER. Es vereint ein Open-Source-Produkt (ReaLearn, GPL-3) und ein kommerzielles Produkt (Playtime). Helgobox funktioniert im Wesentlichen offline. Online-Verarbeitungen können insbesondere im Zusammenhang mit Fehlerverfolgung, Update- oder Versionshinweisen oder dem Erwerb und der Prüfung von Lizenzschlüsseln stattfinden.

3.1 Open-Source-Komponenten

Soweit Open-Source-Komponenten eingesetzt werden, werden personenbezogene Daten durch uns nicht allein wegen der Lizenzierung verarbeitet. Einzelheiten zu verwendeten Open-Source-Komponenten und Lizenzen stellen wir in der Software oder auf der Webseite bereit.

3.2 Playtime Lizenzschlüssel und Verkauf über 2Checkout

Wenn Sie für Playtime einen Lizenzschlüssel erwerben, erfolgt die Zahlungsabwicklung über den von uns eingesetzten Merchant of Record.

Merchant of Record: 2Checkout

Wir verarbeiten die Daten, die zur Zuordnung, Bereitstellung und Verwaltung der Lizenz erforderlich sind, insbesondere E-Mail-Adresse, Name, Rechnungsdaten, Land, Zahlungsstatus, Transaktionsinformationen, Lizenzstatus und gegebenenfalls Geräte- oder Installationsdaten, soweit dies technisch vorgesehen ist.

Kauf- und rechnungsbezogene Daten werden für die gesetzlich vorgesehenen handels- und steuerrechtlichen Aufbewahrungsfristen gespeichert, regelmäßig für 10 Jahre.

Weitere Informationen: https://www.2checkout.com/legal/gdpr-commitment/

Rechtsgrundlage ist Art. 6 Abs. 1 b) DS-GVO (Vertrag) sowie Art. 6 Abs. 1 c) DS-GVO (Aufbewahrungspflichten).

3.3 Versionsprüfung und Update-Hinweise

Sofern Helgobox eine Funktion zur Prüfung der neuesten Versionsnummer oder zur Anzeige von Update-Hinweisen nutzt, erfolgt dies nach aktuellem Stand durch den Abruf einer statischen Versionsdatei. Eine darüber hinausgehende Telemetrie findet dabei nicht statt.

Beim Abruf der Versionsdatei können technische Informationen verarbeitet werden, insbesondere IP-Adresse, Zeitpunkt, angeforderte Datei bzw. URL sowie Geräte- und Browserinformationen in Server-Logfiles des jeweiligen Bereitstellungsdienstes. Die Auslieferung erfolgt nach aktuellem Stand über BunnyCDN. Die Logfile-Retention beträgt nach aktuellem Stand drei Tage.

Rechtsgrundlage ist Art. 6 Abs. 1 f) DS-GVO (berechtigtes Interesse). Wir haben ein berechtigtes Interesse daran, Sicherheitsupdates und Fehlerbehebungen verfügbar zu machen und Nutzer auf relevante Änderungen hinzuweisen.

3.4 Fehlerverfolgung und technische Diagnose über Sentry

Helgobox kann künftig bzw. optional eine Fehlerverfolgung und technische Diagnose einsetzen, insbesondere über Sentry. Dabei sollen Fehlerberichte verarbeitet werden, um technische Probleme, Abstürze, Stabilitätsprobleme und Fehlfunktionen zu erkennen und zu beheben.

Sentry wird nicht zu Werbe-, Marketing- oder Profilingzwecken eingesetzt. Die Fehlerverfolgung ist von Webanalyse, Nutzungsanalyse, Marketing, Tracking und Attribution zu trennen.

Bei der Fehlerverfolgung können insbesondere Softwareversion, Betriebssystem, Gerätetyp, Zeitstempel, technische Ereignisdaten, Fehlermeldungen, Stacktraces, Crash-Reports und vergleichbare Diagnosedaten verarbeitet werden. Inhaltsdaten sollen nach Möglichkeit nicht an Sentry übermittelt werden.

Nutzer sollen die Fehlerverfolgung über einen Schalter in den App- bzw. Softwareeinstellungen deaktivieren können. Der genaue Menüpfad kann je nach Version abweichen.

4. ReaBoot

ReaBoot besteht aus einer Website (reaboot.com) und einer Desktop-Applikation (Installer). Der Installer dient insbesondere dazu, REAPER und zusätzliche Softwarekomponenten für die DAW REAPER zu installieren und zu aktualisieren.

4.1 ReaBoot Website

Sofern Sie die Website reaboot.com besuchen, gelten die entsprechenden Hinweise zur Webseiten-Nutzung, insbesondere zu Hosting, CDN, Server-Logfiles und Webanalyse. Die Website wird nach aktuellem Stand technisch identisch zur Hauptwebsite betrieben.

ReaBoot.com dient nach aktuellem Stand nur der Information und der Bereitstellung von Downloads. Kontaktformulare, Newsletter und eingebettete Inhalte werden dort nach aktuellem Stand nicht eingesetzt. Soweit die selbst gehostete, cookie-lose Webanalyse mit Umami auch auf reaboot.com eingesetzt wird, gelten die Ausführungen zur Webanalyse entsprechend.

Beim Aufruf von reaboot.com und beim Abruf von Downloads können Server-Logfiles verarbeitet werden, insbesondere IP-Adresse, Zeitpunkt, angeforderte Datei bzw. URL, User-Agent bzw. Browser- und Geräteinformationen sowie Referrer, soweit vorhanden. Die Verarbeitung dient dem Betrieb der Website, der IT-Sicherheit und der Bereitstellung von Downloads. Rechtsgrundlage ist Art. 6 Abs. 1 f) DS-GVO.

4.2 ReaBoot Installer

Der Installer kann je nach Funktion Zugriff auf lokale Systeme erhalten, um Installationen durchzuführen. Eine Übermittlung personenbezogener Daten an uns findet dabei grundsätzlich nur statt, wenn der Installer Online-Funktionen nutzt, z. B. um Downloadquellen zu erreichen oder Dateien aus dem Internet herunterzuladen.

Nach aktuellem Stand enthält ReaBoot keine Telemetrie, keine Crash-Reports und keinen Update-Check für ReaBoot selbst. ReaBoot ist jedoch ein Online-Installer. Das bedeutet, dass der Installer entsprechend des vom Nutzer bereitgestellten Installationsrezepts Dateien aus dem Internet herunterlädt, um die gewünschte Softwarekomponente installieren zu können. Außerdem kann der Installer die aktuellste Version der REAPER DAW ermitteln, herunterladen und installieren, falls diese noch nicht vorhanden ist.

Je nach Installationsrezept können dabei Drittquellen aufgerufen werden, insbesondere GitHub Releases und Anbieter-Webseiten wie die Website des REAPER-Herstellers. Beim Abruf solcher Quellen können die jeweiligen Anbieter technische Daten verarbeiten, insbesondere IP-Adresse, Zeitpunkt, angeforderte URL bzw. Datei, User-Agent und vergleichbare Abrufdaten. Die jeweiligen Anbieter handeln insoweit in eigener Verantwortung.

Rechtsgrundlage für die durch uns veranlassten Abrufe im Rahmen der Installationsfunktion ist Art. 6 Abs. 1 b) DS-GVO, soweit der Abruf zur Bereitstellung der vom Nutzer gewünschten Installationsfunktion erforderlich ist. Im Übrigen kann Art. 6 Abs. 1 f) DS-GVO einschlägig sein, soweit unser berechtigtes Interesse in der funktionsfähigen Bereitstellung des Installers liegt.

5. Datensicherheit und technische und organisatorische Maßnahmen

Wir treffen technische und organisatorische Maßnahmen, um personenbezogene Daten gegen Verlust, Zerstörung, unberechtigten Zugriff, unberechtigte Veränderung und unberechtigte Offenlegung zu schützen. Art und Umfang der Maßnahmen orientieren sich an dem Stand der Technik, an den Implementierungskosten, an Art, Umfang, Umständen und Zwecken der Verarbeitung sowie an der Eintrittswahrscheinlichkeit und dem Schweregrad der Risiken für die Rechte und Freiheiten natürlicher Personen. Dabei ist zu berücksichtigen, dass absolute Sicherheit in IT-Systemen nicht gewährleistet werden kann und Sicherheitsrisiken trotz angemessener Maßnahmen nicht vollständig ausgeschlossen werden können.

5.1 Zugriffsschutz und Berechtigungskonzepte

Wir beschränken den Zugriff auf personenbezogene Daten auf diejenigen Personen und Systeme, die ihn zur Erfüllung der jeweiligen Aufgaben benötigen. Zugriffe auf Verwaltungs- und Betriebssysteme erfolgen nach dem Prinzip der minimalen Rechtevergabe. Für kontobasierte Dienste nutzen wir ein Identitäts- und Zugriffsmanagement, bei Jam Pad Online-Diensten ist dies nach aktuellem Stand Keycloak. Administrative Zugriffe werden protokolliert, soweit dies technisch vorgesehen ist und zur Missbrauchsabwehr oder Fehleranalyse erforderlich ist.

5.2 Verschlüsselung und Schutz bei der Übertragung

Wir setzen für die Übertragung personenbezogener Daten im Rahmen von Online-Diensten regelmäßig Transportverschlüsselung ein, soweit dies technisch vorgesehen ist. Bei Jam Pad kann die Synchronisation zwischen Geräten lokal erfolgen oder, sofern vom Nutzer aktiviert, über das Internet. Bei Internet-Synchronisation werden Inhalte nach dem aktuellen Produktkonzept Ende-zu-Ende verschlüsselt zwischen den Geräten übertragen. Relay-Dienste dienen dabei der Verbindungsherstellung und erhalten nach dem vorgesehenen Konzept keinen Zugriff auf Inhaltsdaten. Verbindungs- und Metadaten wie IP-Adresse und Zeitpunkte können technisch bedingt anfallen.

5.3 Schutz der Speicherung, Backup und Wiederherstellbarkeit

Soweit wir Online-Dienste bereitstellen, werden Daten auf Servern verarbeitet und gespeichert. Wir setzen angemessene Maßnahmen ein, um diese Daten gegen unberechtigten Zugriff zu schützen. Dazu gehören insbesondere Zugriffskontrollen, Rollen- und Berechtigungskonzepte sowie Verfahren zur Wiederherstellung bei Störungen. Für Jam Pad Cloud Spaces ist ein Löschkonzept vorgesehen, das eine Schonfrist von 14 Tagen nach Account-Löschung, Ablauf, Kündigung, Nichtverlängerung oder Zahlungsstopp vorsieht, soweit im Einzelfall nichts Abweichendes angezeigt wird. In Sicherungskopien können Daten technisch bedingt bis zu 90 Tage bestehen bleiben und werden danach im Rahmen der Backup-Rotation gelöscht oder überschrieben.

5.4 Protokollierung, Monitoring und Missbrauchsabwehr

Wir können Protokolldaten verarbeiten, um Störungen zu erkennen, Sicherheitsvorfälle zu analysieren und Missbrauch zu verhindern. Dies umfasst je nach Systemkontext insbesondere Zeitpunkte von Zugriffen, technische Ereignisse, Fehlermeldungen und sicherheitsrelevante Hinweise. Die Protokollierung erfolgt im erforderlichen Umfang und wird zeitlich begrenzt, soweit keine längere Aufbewahrung zur Aufklärung konkreter Vorfälle erforderlich ist.

5.5 Sichere Entwicklung, Updates und Schwachstellenmanagement

Wir entwickeln und betreiben unsere Software und Online-Dienste so, dass Sicherheitsanforderungen angemessen berücksichtigt werden. Dazu gehören insbesondere regelmäßige Updates, Fehlerbehebungen und Sicherheitsanpassungen. Soweit Updates für die Aufrechterhaltung der Sicherheit oder Vertragsmäßigkeit erforderlich sind, können Nutzer verpflichtet sein, diese zu installieren, soweit dies zumutbar ist. Für Verbraucher gelten hierzu die gesetzlichen Vorgaben für digitale Produkte.

5.6 Datenminimierung und Konfigurationsprinzipien bei Fehleranalyse

Soweit wir Dienste zur Fehleranalyse einsetzen, insbesondere Sentry, beabsichtigen wir personenbezogene Daten zu minimieren und Inhalte wie Aufnahmen oder Dokumente nicht zu übermitteln. Wir konfigurieren die Erfassung so, dass nur solche Daten verarbeitet werden, die zur Diagnose und Behebung technischer Fehler erforderlich sind. Soweit ein Opt-out für Crash Reporting angeboten wird, kann der Nutzer die Funktion in der App deaktivieren, soweit technisch vorgesehen.

5.7 Verantwortungsbereiche der Nutzer

Bei Offline-Funktionen liegt die Datensicherung in besonderem Maße im Verantwortungsbereich der Nutzer, weil Inhalte auf dem Endgerät gespeichert werden. Nutzer sollten ihre Endgeräte schützen, geeignete Sicherheitsmaßnahmen nutzen, Zugangsdaten geheim halten und im Rahmen ihrer Möglichkeiten regelmäßige Datensicherungen vornehmen. Bei kollaborativen Funktionen sollten Nutzer Einladungen sorgfältig adressieren und Zugriffsrechte nur an berechtigte Personen vergeben.

5.8 Vorgehen bei Datenschutzvorfällen

Sollten wir Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erlangen, prüfen wir den Sachverhalt und ergreifen angemessene Abhilfemaßnahmen. Soweit eine Meldung an die zuständige Aufsichtsbehörde oder eine Benachrichtigung betroffener Personen erforderlich ist, erfolgt dies nach Maßgabe der gesetzlichen Vorgaben, insbesondere Art. 33 und Art. 34 DS-GVO.

6. Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

Wir berücksichtigen Datenschutzanforderungen bereits bei der Konzeption, Entwicklung und dem Betrieb unserer Software und Dienste. Ziel ist es, personenbezogene Daten nur in dem Umfang zu verarbeiten, der für die jeweilige Funktion erforderlich ist, und den Nutzern nachvollziehbare Steuerungsmöglichkeiten zu geben. Dabei orientieren wir uns an den Grundsätzen der Datenminimierung, Zweckbindung und Integrität und Vertraulichkeit.

6.1 Trennung von lokaler Nutzung, Internet-Sync und Cloud-Verarbeitung

Soweit eine Nutzung lokal möglich ist, können Inhalte ohne serverseitige Verarbeitung genutzt werden. Insbesondere bei Jam Pad ist die Grundfunktionalität so konzipiert, dass Inhalte bei Single-Device Spaces auf dem Endgerät verbleiben. Multi-Device Spaces ermöglichen eine Synchronisation zwischen Geräten. Diese kann lokal oder über Internet-Synchronisation mit Relay-Servern erfolgen. Cloud Spaces sind hiervon zu trennen, weil bei Cloud Spaces eine serverseitige Speicherung und Verarbeitung durch uns bzw. unsere Dienstleister erfolgt.

Dadurch wird eine Nutzung ohne serverseitige Inhaltsverarbeitung ermöglicht, soweit der Nutzer dies wünscht und keine Cloud-, Internet-Sync- oder sonstigen Online-Funktionen aktiviert.

6.2 Aktivierung optionaler Funktionen durch den Nutzer

Bestimmte Funktionen sind optional und werden nur bereitgestellt, wenn der Nutzer sie bewusst nutzt oder aktiviert. Dies betrifft insbesondere Internet-Synchronisation, die Nutzung von Cloud Spaces und Kollaboration sowie künftige Push-Benachrichtigungen. Soweit die Aktivierung der Funktion eine Verarbeitung zusätzlicher Daten auslöst, wird dies in der App erklärt und die Aktivierung erfolgt nur durch eine entsprechende Nutzerentscheidung. Wo eine Einwilligung erforderlich ist, holen wir diese vor der Verarbeitung ein.

6.3 Datenminimierung und sparsame Konfiguration von Telemetrie

Wenn wir Telemetrie, Fehleranalyse oder Analysefunktionen einsetzen, beabsichtigen wir, diese sparsam zu konfigurieren. Inhalte, insbesondere Aufnahmen und Dokumente, sollen nicht in Fehleranalyse- oder Analysesysteme übertragen werden. Wir prüfen fortlaufend, welche Daten für Diagnose und Verbesserung erforderlich sind, und reduzieren die Erhebung, soweit dies möglich ist.

6.4 Steuerungsmöglichkeiten, Opt-out und Widerruf

Soweit Analyse- oder Attributionsfunktionen eingesetzt werden, sollen Nutzer diese in den Einstellungen der App deaktivieren können, soweit technisch vorgesehen. Gleiches gilt für Crash Reporting, soweit ein Opt-out angeboten wird. Ein Widerruf oder Opt-out wirkt für die Zukunft. Für Push-Benachrichtigungen besteht zusätzlich die Steuerungsmöglichkeit über die Berechtigungseinstellungen des Endgeräts.

Ein app-seitiges Opt-out soll über ein App-Settings-Menü bereitgestellt werden. Der genaue Menüpfad kann je nach App-Version abweichen.

6.5 Rollen und Zugriffssteuerung bei Kollaboration

Bei Kollaboration wird der Zugriff auf Inhalte technisch über Rollen und Berechtigungen gesteuert. Ein Zugriff durch unbeteiligte Dritte ist nicht vorgesehen. Einladungen erfolgen gezielt durch Nutzer, und Zugriffe sind auf eingeladene Personen beschränkt. Konkrete Rollenrechte werden in der Produktdokumentation, Hilfedokumentation oder in der App bereitgestellt.

6.6 Transparenz und laufende Anpassungen

Wir stellen Informationen zur Datenverarbeitung nicht nur in dieser Datenschutzerklärung, sondern, soweit sinnvoll, auch in der App bereit, insbesondere bei Aktivierung sensibler oder optionaler Funktionen. Wenn sich Datenflüsse, eingesetzte Dienstleister oder Zwecke ändern, passen wir diese Datenschutzerklärung an und veröffentlichen die jeweils aktuelle Fassung.

D. ÄNDERUNGEN DIESER DATENSCHUTZERKLÄRUNG

Wir können diese Datenschutzerklärung anpassen, wenn dies aufgrund tatsächlicher oder rechtlicher Änderungen erforderlich ist. Die jeweils aktuelle Fassung stellen wir auf der Website bereit.

Stand: April 2026