Startseite
Über mich
Blog
Galerie
Kontakt

Datenschutzerklärung

Zuletzt aktualisiert: April 2026 — Version 2.1Diese Datenschutzerklärung erläutert, wie Ceren Ece Soyer, tätig als Ceren Soyer Music (nachfolgend "wir", "uns" oder "der Verantwortliche"), personenbezogene Daten im Zusammenhang mit dem Betrieb der Website soyermusic.com und aller damit verbundenen Dienste erhebt, verarbeitet, speichert und schützt. Diese Erklärung erfolgt in Übereinstimmung mit Art. 13 und 14 der Datenschutz-Grundverordnung (EU) 2016/679 ("DSGVO") und dem Bundesdatenschutzgesetz ("BDSG").

§1 Geltungsbereich & Anwendbarkeit

Diese Datenschutzerklärung gilt für alle personenbezogenen Daten, die über die Website soyermusic.com verarbeitet werden, einschließlich aller Subdomains, Landingpages und Programmierschnittstellen (APIs), die damit verbunden sind, sowie für jede Kommunikation, die über das Kontaktformular, WhatsApp-Nachrichten oder in die Website integrierte Zahlungssysteme eingeleitet wird.Die Bestimmungen dieser Erklärung gelten für alle natürlichen Personen ("Betroffene"), die die Website besuchen, Anfragen stellen, Unterricht buchen oder anderweitig mit unseren Diensten interagieren. Dies umfasst Interessenten, aktuelle Schülerinnen und Schüler, Eltern oder Erziehungsberechtigte minderjähriger Schüler sowie alle sonstigen Besucher der Website.Soweit in dieser Erklärung auf die DSGVO Bezug genommen wird, ist damit die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) gemeint. Verweise auf das BDSG beziehen sich auf das Bundesdatenschutzgesetz in seiner jeweils geltenden Fassung.

§2 Begriffsbestimmungen

Im Sinne dieser Datenschutzerklärung haben die nachfolgenden Begriffe die ihnen zugewiesene Bedeutung, in Übereinstimmung mit Art. 4 DSGVO:
  • "Personenbezogene Daten" sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann.
  • "Verarbeitung" ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung (Art. 4 Nr. 2 DSGVO).
  • "Verantwortlicher" ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DSGVO).
  • "Auftragsverarbeiter" ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Nr. 8 DSGVO).
  • "Betroffene Person" ist jede identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten von dem Verantwortlichen verarbeitet werden.
  • "Einwilligung" ist jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist (Art. 4 Nr. 11 DSGVO).

§3 Verantwortlicher (Art. 4 Nr. 7 DSGVO)

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO und anderer anwendbarer datenschutzrechtlicher Vorschriften ist:Ceren Ece Soyer
Deichstraße 32, 20459 Hamburg, Deutschland
E-Mail: info@soyermusic.comGemäß Art. 37 DSGVO sind wir nicht zur Benennung eines Datenschutzbeauftragten verpflichtet, da wir keine Verarbeitungsvorgänge durchführen, die eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erfordern, und keine besonderen Kategorien von Daten in großem Umfang verarbeiten.

§4 Betroffenenrechte

Nach der DSGVO stehen Ihnen die folgenden Rechte in Bezug auf die von uns verarbeiteten personenbezogenen Daten zu. Diese Rechte können den in den geltenden Rechtsvorschriften festgelegten Bedingungen oder Einschränkungen unterliegen:
  • Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob Sie betreffende personenbezogene Daten verarbeitet werden, und gegebenenfalls Auskunft über diese Daten und Informationen einschließlich der Verarbeitungszwecke, der Kategorien personenbezogener Daten, der Empfänger oder Kategorien von Empfängern, der vorgesehenen Speicherdauer sowie des Bestehens eines Rechts auf Berichtigung, Löschung oder Einschränkung der Verarbeitung zu erhalten.
  • Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, unverzüglich die Berichtigung Sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Verarbeitungszwecke haben Sie das Recht, die Vervollständigung unvollständiger personenbezogener Daten — auch mittels einer ergänzenden Erklärung — zu verlangen.
  • Recht auf Löschung (Art. 17 DSGVO): Sie haben das Recht, die Löschung Sie betreffender personenbezogener Daten unverzüglich zu verlangen, sofern einer der in Art. 17 Abs. 1 DSGVO genannten Gründe vorliegt, etwa wenn die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr erforderlich sind oder Sie Ihre Einwilligung, auf die sich die Verarbeitung stützt, widerrufen haben.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie haben das Recht, die Einschränkung der Verarbeitung zu verlangen, wenn Sie die Richtigkeit der personenbezogenen Daten bestreiten, die Verarbeitung unrechtmäßig ist und Sie die Löschung ablehnen, wir die Daten nicht mehr benötigen, Sie diese jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen, oder Sie Widerspruch gegen die Verarbeitung eingelegt haben.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung zu übermitteln, sofern die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht und mithilfe automatisierter Verfahren erfolgt.
  • Widerspruchsrecht (Art. 21 DSGVO): Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen, einschließlich eines auf diese Bestimmungen gestützten Profilings. Wir verarbeiten die personenbezogenen Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen.
  • Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Soweit die Verarbeitung auf Ihrer Einwilligung beruht, haben Sie das Recht, Ihre Einwilligung jederzeit zu widerrufen. Der Widerruf der Einwilligung berührt nicht die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung.
Zur Ausübung der vorstehenden Rechte senden Sie Ihre Anfrage bitte an info@soyermusic.com. Wir werden den Eingang Ihrer Anfrage innerhalb von 72 Stunden bestätigen und Ihnen innerhalb eines (1) Monats nach Eingang gemäß Art. 12 Abs. 3 DSGVO eine inhaltliche Antwort geben. Diese Frist kann unter Berücksichtigung der Komplexität und Anzahl der Anfragen um weitere zwei (2) Monate verlängert werden.Wir können gemäß Art. 12 Abs. 6 DSGVO zusätzliche Informationen zur Bestätigung Ihrer Identität anfordern, bevor wir Ihre Anfrage bearbeiten. Dies dient dem Schutz vor unbefugter Offenlegung personenbezogener Daten.

§5 Kategorien erhobener personenbezogener Daten

Wir verarbeiten personenbezogene Daten nach dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO). Wir erheben und verarbeiten nur personenbezogene Daten, die dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sind. Folgende Datenkategorien können erhoben werden:

5.1 Freiwillig durch die betroffene Person bereitgestellte Daten

  • Kontaktformular-Eingaben: vollständiger Name, Telefonnummer (im E.164-Format), E-Mail-Adresse, Freitext-Nachrichteninhalt und Zeitstempel der Übermittlung
  • WhatsApp-Kommunikation: Telefonnummer (im E.164-Format), Nachrichteninhalt (Text, Bilder oder Sprachnachrichten) und Nachrichten-Metadaten (Zeitstempel, Nachrichten-ID, Zustellstatus)
  • Zahlungs- und Abrechnungsdaten: Name, E-Mail-Adresse, Zahlungsmethodendetails (ausschließlich von Stripe, Inc. verarbeitet und gespeichert), Transaktionsbeträge, Rechnungsreferenzen und Buchungsdaten

5.2 Automatisch erhobene Daten

  • Technische Verbindungsdaten: IP-Adresse (wird vorübergehend für die Ratenbegrenzung gemäß Art. 6 Abs. 1 lit. f DSGVO verwendet, nicht dauerhaft gespeichert), HTTP-Anfrage-Header einschließlich User-Agent-Zeichenfolge, Referrer-URL und akzeptierte Spracheinstellungen
  • Server-Protokolldaten: Das Vercel-Edge-Netzwerk kann vorübergehend Anfrage-Metadaten (URL-Pfad, Antwort-Statuscode, Antwortzeit) zum Zweck der Infrastrukturüberwachung verarbeiten. Diese Protokolle unterliegen Vercels eigener Auftragsverarbeitungsvereinbarung und Aufbewahrungsrichtlinien.
Wir erheben oder verarbeiten wissentlich keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO (z. B. Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gesundheitsdaten oder biometrische Daten hervorgehen). Sollten Sie solche Daten versehentlich in einer Nachricht angeben, werden wir diese umgehend nach Kenntnisnahme löschen.

§6 Rechtsgrundlagen der Verarbeitung

Jede Verarbeitungstätigkeit, die personenbezogene Daten betrifft, bedarf einer gültigen Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO. Folgende Rechtsgrundlagen gelten für unsere Verarbeitungstätigkeiten:
  • Art. 6 Abs. 1 lit. a DSGVO — Einwilligung der betroffenen PersonDie Verarbeitung der über das Kontaktformular und WhatsApp übermittelten Daten beruht auf Ihrer freiwillig erteilten, informierten Einwilligung. Sie erteilen diese Einwilligung, indem Sie die Kontaktaufnahme freiwillig initiieren und im Falle des Kontaktformulars die Einwilligungs-Checkbox vor dem Absenden bestätigen. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen (siehe §4).
  • Art. 6 Abs. 1 lit. b DSGVO — Erfüllung eines VertragesDie Verarbeitung von Zahlungsdaten ist für die Erfüllung eines Vertrages, dessen Vertragspartei Sie sind, erforderlich, namentlich die Buchung und Durchführung von Musikunterricht. Dies umfasst die Zahlungsabwicklung über Stripe und die Aufbewahrung von Buchungsunterlagen.
  • Art. 6 Abs. 1 lit. f DSGVO — Berechtigte Interessen des VerantwortlichenDie vorübergehende Verarbeitung von IP-Adressen zur Ratenbegrenzung und Missbrauchsprävention stellt ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO dar. Unser berechtigtes Interesse liegt in der Sicherstellung der Verfügbarkeit, Integrität und Sicherheit der Website. Eine Abwägungsprüfung hat ergeben, dass dieses Interesse die Grundrechte und Grundfreiheiten der betroffenen Personen nicht überwiegt, da IP-Adressen nur vorübergehend verarbeitet und nicht gespeichert werden.
  • Art. 6 Abs. 1 lit. c DSGVO — Erfüllung einer rechtlichen VerpflichtungDie Aufbewahrung von Rechnungen, Zahlungsbelegen und Buchungsbestätigungen für einen Zeitraum von zehn (10) Jahren ist gemäß §147 der Abgabenordnung (AO) und §257 des Handelsgesetzbuchs (HGB) gesetzlich vorgeschrieben.
Soweit die Verarbeitung auf berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) beruht, haben Sie das Recht, jederzeit aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen eine solche Verarbeitung Widerspruch einzulegen (Art. 21 Abs. 1 DSGVO). Nach Eingang Ihres Widerspruchs stellen wir die Verarbeitung ein, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen.

§7 Verarbeitung über das Kontaktformular

Wenn Sie eine Anfrage über das Kontaktformular auf unserer Website stellen, werden die von Ihnen angegebenen personenbezogenen Daten (Name, Telefonnummer, E-Mail-Adresse und Nachrichteninhalt) zum Zweck der Beantwortung Ihrer Anfrage und gegebenenfalls der Verwaltung anschließender Unterrichtsbuchungen verarbeitet.Das Kontaktformular erfordert Ihre ausdrückliche Einwilligung über eine Checkbox, die auf diese Datenschutzerklärung verweist, bevor die Übermittlung erfolgt. Die Rechtsgrundlage für diese Verarbeitung ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können Ihre Einwilligung jederzeit durch Kontaktaufnahme unter info@soyermusic.com widerrufen; der Widerruf berührt nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung.Nach dem Absenden werden Ihre Daten über eine verschlüsselte HTTPS-Verbindung an unsere bei Vercel, Inc. gehostete Server-Infrastruktur übermittelt. Eine E-Mail-Benachrichtigung mit den Anfrage-Details wird über Resend, Inc. (E-Mail-Zustelldienst) versendet, und die Daten werden gleichzeitig in unserem von Coda Project, Inc. betriebenen Unterrichtsverwaltungssystem zum Zweck des Schülermanagements und der Terminplanung gespeichert.

§8 Verarbeitung über WhatsApp-Kommunikation

Wenn Sie uns über WhatsApp kontaktieren, werden Ihre Nachrichten über die WhatsApp Business API empfangen und verarbeitet, die von Meta Platforms Ireland Ltd. betrieben wird. Die verarbeiteten Daten umfassen Ihre Telefonnummer, Nachrichteninhalte und zugehörige Metadaten. Die Rechtsgrundlage für diese Verarbeitung ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), da Sie die Kommunikation über diesen Kanal freiwillig initiieren.Über WhatsApp empfangene Nachrichten werden in unserem Unterrichtsverwaltungssystem (Coda) für die Zwecke der Schülerkommunikation, Unterrichtskoordination und Führung eines Korrespondenzprotokolls gespeichert. Meta Platforms verarbeitet Nachrichtendaten gemäß seiner eigenen Datenschutzrichtlinie und Auftragsverarbeitungsvereinbarung. WhatsApp Business API-Nachrichten können auf Meta-Servern in den USA und der Europäischen Union verarbeitet werden.Bitte beachten Sie: Während Standard-WhatsApp-Nachrichten zwischen Nutzern Ende-zu-Ende-verschlüsselt sind, werden Nachrichten, die an ein WhatsApp Business API-Konto gesendet werden, beim Empfang entschlüsselt und können in den verbundenen Geschäftssystemen (in unserem Fall Coda) im Klartext gespeichert werden. Bei datenschutzrechtlichen Bedenken bezüglich WhatsApp können Sie uns alternativ über das Kontaktformular oder per E-Mail kontaktieren.

§9 Zahlungsabwicklung & Finanzdaten

Zahlungen für Musikunterricht werden ausschließlich über Stripe, Inc. (für Kunden außerhalb des EWR) und Stripe Payments Europe Ltd. (für Kunden innerhalb des EWR) abgewickelt. Wir erheben, verarbeiten oder speichern zu keinem Zeitpunkt Zahlungskartennummern, CVV-Codes oder andere sensible Zahlungsauthentifizierungsdaten auf unseren eigenen Servern oder unserer Infrastruktur.Stripe ist nach PCI DSS Level 1 zertifiziert, der höchsten Zertifizierungsstufe in der Zahlungskartenindustrie. Alle Zahlungsdaten werden direkt von Stripe über deren eingebettete Zahlungselemente erfasst und an Stripes PCI-konforme Infrastruktur übertragen. Wir erhalten lediglich eine Transaktionsreferenz, den Zahlungsstatus und die letzten vier Ziffern der Kartennummer für Kundendienstzwecke.Gemäß §147 AO (Abgabenordnung) und §257 HGB (Handelsgesetzbuch) werden Rechnungen, Buchungsbestätigungen und Zahlungsbelege für eine gesetzliche Aufbewahrungsfrist von zehn (10) Jahren nach Ende des Kalenderjahres, in dem die Transaktion stattfand, aufbewahrt. Während dieser Aufbewahrungsfrist werden die Daten in einem schreibgeschützten Zustand gespeichert und nicht für andere Zwecke als die Erfüllung gesetzlicher Verpflichtungen und die Beantwortung behördlicher Anfragen verwendet.

§10 Auftragsverarbeiter & Drittanbieter

Gemäß Art. 28 DSGVO setzen wir die folgenden Auftragsverarbeiter zur Unterstützung des Betriebs dieser Website und unserer Dienste ein. Mit jedem Auftragsverarbeiter wurden Auftragsverarbeitungsverträge ("AVV") gemäß Art. 28 Abs. 3 DSGVO geschlossen:
  • Resend Inc.Transaktionale E-Mail-Zustellung für Kontaktformular-Benachrichtigungen. Hauptsitz: San Francisco, CA, USA. E-Mail-Inhalte werden nach 30 Tagen automatisch gelöscht. Rechtsgrundlage der Übermittlung: Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.
  • Coda (Coda Project Inc.)Unterrichtsverwaltung, Schülerakten und Kommunikationsprotokollspeicherung. Hauptsitz: San Francisco, CA, USA. Rechtsgrundlage der Übermittlung: Standardvertragsklauseln (SCCs).
  • Stripe Inc. / Stripe Payments Europe Ltd.Zahlungsabwicklung, Rechnungsstellung und finanzielle Compliance. Stripe, Inc. (USA) und Stripe Payments Europe Ltd. (Dublin, Irland). PCI DSS Level 1 zertifiziert. EWR-Zahlungsdaten werden standardmäßig innerhalb der EU verarbeitet. Rechtsgrundlage der Übermittlung: EU-US Data Privacy Framework (DPF)-Zertifizierung.
  • Meta Platforms Ireland Ltd.WhatsApp Business API für eingehende Nachrichten. Meta Platforms Ireland Ltd. (Dublin, Irland). Nachrichten können sowohl in EU- als auch in US-Rechenzentren verarbeitet werden. Rechtsgrundlage der Übermittlung: EU-US Data Privacy Framework (DPF)-Zertifizierung.
  • Google Ireland Ltd.Google Analytics 4 (GA4) für Website-Analysen und Google Ads Conversion-Tracking (einwilligungsabhängig). Google Ireland Ltd. (Dublin, Irland). Rechtsgrundlage der Übermittlung: EU-US Data Privacy Framework (DPF)-Zertifizierung.
  • Umami Software, Inc.Datenschutzfreundliche Website-Analyse. Umami Software, Inc. Hauptsitz: San Francisco, CA, USA. Setzt keine Cookies; erfasst ausschließlich anonymisierte Seitenaufruf- und Ereignisdaten. Rechtsgrundlage der Übermittlung: Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.
Eine aktuelle Liste der Auftragsverarbeitungsvereinbarungen und ihrer Wirksamkeitsdaten ist auf Anfrage unter info@soyermusic.com erhältlich. Wir überprüfen unsere Auftragsverarbeiter regelmäßig, um die fortlaufende Einhaltung der DSGVO-Anforderungen sicherzustellen.

§11 Internationale Datenübermittlung

Bestimmte in §10 aufgeführte Auftragsverarbeiter sind in den Vereinigten Staaten von Amerika ansässig oder übermitteln personenbezogene Daten in die USA und andere Länder außerhalb des Europäischen Wirtschaftsraums (EWR). Jede solche Übermittlung personenbezogener Daten erfolgt in Übereinstimmung mit Kapitel V der DSGVO (Artikel 44–49).Folgende Garantien werden eingesetzt, um ein angemessenes Datenschutzniveau für internationale Übermittlungen sicherzustellen:
  • EU-US Data Privacy Framework (DPF): Soweit ein Auftragsverarbeiter unter dem DPF zertifiziert ist (Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023, C(2023) 4745), dient diese Zertifizierung als Grundlage für die Übermittlung gemäß Art. 45 DSGVO.
  • Standardvertragsklauseln (SCCs): Soweit keine DPF-Zertifizierung vorliegt, stützen wir uns auf die von der Europäischen Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO beschlossenen Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021).
  • Angemessenheitsbeschlüsse: Für Übermittlungen in Länder, für die ein Angemessenheitsbeschluss der Europäischen Kommission vorliegt (Art. 45 DSGVO), sind keine zusätzlichen Garantien erforderlich.
Eine Kopie der einschlägigen Standardvertragsklauseln oder zusätzliche Informationen über die vorhandenen Garantien können Sie unter info@soyermusic.com anfordern.

§12 Speicherdauer

In Übereinstimmung mit dem Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) werden personenbezogene Daten nur so lange aufbewahrt, wie es für die Erfüllung der Zwecke, für die sie erhoben wurden, erforderlich ist, oder wie es gesetzliche Aufbewahrungspflichten vorschreiben. Es gelten folgende Aufbewahrungsfristen:
  • Kontaktformular-Anfragen: für die Dauer der Schülerbeziehung zuzüglich sechs (6) Monate nach deren Beendigung, um Nachfragen und Kontenabstimmung zu ermöglichen
  • E-Mail-Benachrichtigungen (über Resend): werden automatisch und unwiderruflich nach dreißig (30) Tagen von der Resend-Infrastruktur gelöscht
  • WhatsApp-Nachrichtenprotokolle: für die Dauer der Schülerbeziehung zuzüglich sechs (6) Monate, sofern keine längere Aufbewahrung zur Beilegung einer laufenden Streitigkeit oder eines Rechtsverfahrens erforderlich ist
  • Zahlungsbelege, Rechnungen und Buchungsbestätigungen: zehn (10) Jahre ab Ende des Kalenderjahres der Transaktion, in Übereinstimmung mit §147 AO und §257 HGB
  • Google Analytics-Daten: anonymisierte Analysedaten werden vierzehn (14) Monate aufbewahrt (Google-Standardaufbewahrungseinstellung für GA4-Properties)
  • Theme-Einstellung und Cookie-Einwilligungswahl: in der lokalen Speicherung (localStorage) Ihres Browsers ohne serverseitige Persistenz gespeichert; bleiben erhalten, bis sie manuell vom Nutzer gelöscht oder die Browserdaten gelöscht werden
Nach Ablauf der geltenden Aufbewahrungsfrist werden personenbezogene Daten innerhalb von dreißig (30) Tagen gelöscht oder anonymisiert. Soweit eine Löschung technisch nicht praktikabel ist (z. B. in verschlüsselten Backups eingebettete Daten), werden die Daten von der weiteren Verarbeitung ausgeschlossen und beim nächsten Backup-Rotationszyklus gelöscht.

§13 Cookies, lokale Speicherung & Tracking-Technologien

Diese Website verwendet Cookies und browserbasierte Speichermechanismen wie nachfolgend beschrieben. Ein "Cookie" ist eine kleine Textdatei, die von einem Webserver auf Ihrem Gerät abgelegt wird; "lokale Speicherung" (localStorage) ist eine Browser-API, die es Websites ermöglicht, Schlüssel-Wert-Daten dauerhaft auf Ihrem Gerät zu speichern. Wir unterscheiden zwischen technisch notwendiger Speicherung (die keiner Einwilligung bedarf) und einwilligungsabhängiger Speicherung (die erst nach ausdrücklicher Einwilligung über den Cookie-Banner aktiviert wird).

13.1 Technisch notwendige Speicherung (keine Einwilligung erforderlich)

  • theme-preference (localStorage) — speichert Ihre gewählte Anzeigeeinstellung (Dunkel- oder Hellmodus). Zweck: funktionales Nutzererlebnis. Dauer: bis zur manuellen Löschung. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem konsistenten Nutzererlebnis).
  • cookie-consent (localStorage) — speichert Ihre Cookie-Einwilligungsentscheidung (akzeptiert, abgelehnt oder ausstehend). Zweck: Dokumentation Ihres Einwilligungsstatus zur Vermeidung wiederholter Abfragen und zur entsprechenden Steuerung von Analyse-/Werbeskripten. Dauer: bis zur manuellen Löschung. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (Pflicht zur Dokumentation der Einwilligung gemäß Art. 7 Abs. 1 DSGVO).
Diese Elemente werden als technisch notwendig im Sinne von §25 Abs. 2 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) eingestuft und bedürfen keiner vorherigen Einwilligung. Durch diese Speichermechanismen werden keine personenbezogenen Daten an Dritte übermittelt.

13.2 Analyse-Cookies (Einwilligung erforderlich — Art. 6 Abs. 1 lit. a DSGVO)

Die folgenden Cookies werden von Google Analytics 4 erst gesetzt, nachdem Sie im Cookie-Banner auf "Akzeptieren" geklickt haben. Vor der Einwilligung werden keine Analyse-Cookies gesetzt und keine Tracking-Daten erhoben (siehe §14 zu Google Consent Mode v2):
  • _ga — Google Analytics Client-Kennung. Unterscheidet eindeutige Besucher. Dauer: 2 Jahre ab letzter Aktivität.
  • _ga_* — Google Analytics sitzungsbezogene Kennung (Mess-ID-spezifisch). Erhält den Sitzungsstatus. Dauer: 2 Jahre ab letzter Aktivität.
  • _gid — Google Analytics Sitzungskennung. Gruppiert Seitenaufrufe zu einer einzelnen Sitzung. Dauer: 24 Stunden.

13.3 Werbe-Cookies (Einwilligung erforderlich — Art. 6 Abs. 1 lit. a DSGVO)

Wenn Sie Werbe-Cookies über den Cookie-Banner akzeptieren, setzt Google Ads folgende Cookies zur Messung von Werbekonversionen und Zuordnung von Website-Besuchen zu Anzeigeninteraktionen:
  • _gcl_au — Google Ads Conversion-Linker. Speichert eine eindeutige Klick-Kennung zur Zuordnung von Website-Konversionen zu bestimmten Google Ads-Klicks. Dauer: 90 Tage.
  • _gcl_aw — Google Ads Klick-Kennung (GCLID). Wird gesetzt, wenn Sie über eine Google Ads-Anzeige auf die Website gelangen. Wird für die Konversionsmessung verwendet. Dauer: 90 Tage.
  • _gac_* — Google Ads Kampagnen-Zuordnungs-Cookie. Speichert, welche Kampagne, Anzeigengruppe und welches Keyword Sie auf die Website gebracht hat. Dauer: 90 Tage.
Ohne Ihre ausdrückliche Einwilligung werden keine Analyse- oder Werbe-Cookies gesetzt. Alle einwilligungsabhängigen Skripte sind standardmäßig blockiert und werden erst nach Erteilung der ausdrücklichen Einwilligung geladen.Sie können Ihre Cookie-Einwilligung jederzeit über den Link "Cookie-Einstellungen" in der Fußzeile der Website widerrufen oder ändern. Bei Widerruf werden alle einwilligungsabhängigen Cookies gelöscht und die zugehörigen Tracking-Skripte deaktiviert. Wenn Sie Cookies ablehnen, arbeitet Google Ads im cookielosen Modus (unter Verwendung modellierter Konversionen ohne Speicherung personenbezogener Daten).

§14 Google Analytics 4 & Google Ads Conversion-Tracking

Vorbehaltlich Ihrer vorherigen Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) nutzen wir Google Analytics 4 ("GA4") für Website-Nutzungsanalysen und Google Ads Conversion-Tracking zur Messung der Wirksamkeit von Werbekampagnen. Diese Dienste werden von Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland ("Google") bereitgestellt. Google handelt als Auftragsverarbeiter im Sinne von Art. 28 DSGVO.
  • Auftragsverarbeiter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Muttergesellschaft: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA)
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO — Ihre ausdrückliche, informierte, freiwillig erteilte Einwilligung über den Cookie-Banner
  • Bei Einwilligung erhobene Daten: IP-Adresse (durch IP-Maskierung vor der Speicherung anonymisiert), besuchte Seiten und Interaktionsereignisse, Sitzungsdauer und Engagement-Metriken, Gerätetyp, Betriebssystem, Browsertyp und -version, Bildschirmauflösung, Verweisquelle (direkt, organische Suche, bezahlte Anzeige, soziale Medien) und geografische Region (abgeleitet aus anonymisierter IP, Stadtebene)
  • Gesetzte Cookies: _ga (Client-ID, 2 Jahre), _ga_[Mess-ID] (Sitzungsstatus, 2 Jahre), _gid (Sitzungs-ID, 24 Stunden). Siehe §13.2 für detaillierte Beschreibungen.
  • Internationale Datenübermittlung: Google Ireland Ltd. kann Daten an Google LLC (USA) übermitteln. Diese Übermittlung ist durch Googles Teilnahme am EU-US Data Privacy Framework (DPF), zertifiziert durch das US-Handelsministerium, geschützt.
  • IP-Anonymisierung: GA4 protokolliert standardmäßig keine vollständigen IP-Adressen. IP-Adressen werden für die geografische Ableitung verwendet und anschließend verworfen. In unserer GA4-Property werden keine vollständigen IP-Adressen gespeichert.
Widerruf: Sie können Ihre Einwilligung jederzeit über den Link "Cookie-Einstellungen" in der Fußzeile der Website widerrufen. Bei Widerruf werden alle Google Analytics- und Google Ads-Cookies aus Ihrem Browser gelöscht und das Tracking wird sofort für Ihre Sitzung eingestellt.Google Consent Mode v2: Wir haben Google Consent Mode v2 ("Advanced"-Konfiguration) implementiert. Vor der Einwilligung arbeiten alle Google-Tags in einem eingeschränkten Zustand — es werden keine Cookies gesetzt, keine personenbezogenen Daten erhoben und keine identifizierbaren Informationen an Google übermittelt. Lediglich cookielose, aggregierte Signale (Pings) können zur Unterstützung von Googles modellierter Konversionsberichterstattung gesendet werden. Die vollständige Messung wird erst nach ausdrücklicher Einwilligung aktiviert.Weitere Informationen zu Googles Datenverarbeitungspraktiken finden Sie in Googles Datenschutzerklärung (https://policies.google.com/privacy) und Googles Informationen zur Datennutzung durch Partnerwebsites (https://policies.google.com/technologies/partner-sites).

§15 Technische & organisatorische Sicherheitsmaßnahmen

Gemäß Art. 32 DSGVO haben wir geeignete technische und organisatorische Maßnahmen getroffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen. Diese Maßnahmen umfassen unter anderem:
  • Transportverschlüsselung (TLS): Alle zwischen Ihrem Browser und unseren Servern übertragenen Daten werden mittels TLS 1.3 verschlüsselt. Unsere Website erzwingt HTTPS über HTTP Strict Transport Security (HSTS)-Header mit einer Mindest-max-age von einem Jahr.
  • Zugangskontrollen: Der administrative Zugang zu den Konten der Auftragsverarbeiter (Vercel, Coda, Stripe, Resend) ist auf autorisiertes Personal beschränkt und durch Multi-Faktor-Authentifizierung (MFA) geschützt. Zugangsdaten werden in einem verschlüsselten Passwort-Manager gespeichert.
  • Datenminimierung durch Design: Unsere Systeme sind so konzipiert, dass für jeden Verarbeitungszweck nur die minimal erforderlichen Daten erhoben werden. Die Kontaktformularfelder beschränken sich auf wesentliche Informationen, und Zahlungskartendaten berühren unsere Infrastruktur zu keinem Zeitpunkt.
  • Regelmäßige Überprüfung: Wir überprüfen regelmäßig unsere Sicherheitsmaßnahmen, Auftragsverarbeitungsvereinbarungen und Datenverarbeitungstätigkeiten, um die fortlaufende Einhaltung der DSGVO-Anforderungen sicherzustellen und auf neue Bedrohungen zu reagieren.
Obwohl wir uns bemühen, personenbezogene Daten mit branchenüblichen Sicherheitsmaßnahmen zu schützen, ist keine Methode der Übertragung über das Internet oder der elektronischen Speicherung zu 100 % sicher. Wir können die absolute Sicherheit Ihrer Daten nicht garantieren. Im Falle einer Verletzung des Schutzes personenbezogener Daten werden wir die Meldepflichten gemäß Art. 33 und 34 DSGVO erfüllen.

§16 Automatisierte Entscheidungsfindung & Profiling

Wir führen keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO durch, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt. Keine der in dieser Datenschutzerklärung beschriebenen Verarbeitungstätigkeiten beinhaltet eine ausschließlich auf einer automatisierten Verarbeitung beruhende Entscheidung. Unser WhatsApp-Nachrichtenklassifizierungssystem verwendet einfachen Stichwortabgleich ausschließlich zu Weiterleitungszwecken und trifft keine Entscheidungen, die Ihre Rechte oder Ihren Zugang zu Diensten beeinflussen.

§17 Aufsichtsbehörde & Beschwerderecht

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs haben Sie das Recht, sich bei einer Aufsichtsbehörde zu beschweren, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt (Art. 77 DSGVO). Die für uns zuständige Aufsichtsbehörde ist:Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI)
Ludwig-Erhard-Str. 22, 7. OG, 20459 Hamburg, Deutschland
Website: https://datenschutz-hamburg.deWir empfehlen Ihnen, uns zunächst direkt unter info@soyermusic.com zu kontaktieren, bevor Sie eine Beschwerde bei der Aufsichtsbehörde einreichen, damit wir versuchen können, Ihr Anliegen auf informellem Wege zu klären. Dies berührt jedoch nicht Ihr Recht, jederzeit eine Beschwerde einzureichen.

§18 Änderungen & Versionshistorie

Wir behalten uns das Recht vor, diese Datenschutzerklärung jederzeit zu ändern, um Änderungen unserer Datenverarbeitungstätigkeiten, rechtlicher Anforderungen oder aufsichtsbehördlicher Empfehlungen Rechnung zu tragen. Die aktuelle Fassung der Datenschutzerklärung ist stets unter dieser URL abrufbar. Das Änderungsdatum und die Versionsnummer am Anfang dieses Dokuments geben an, wann die Erklärung zuletzt inhaltlich geändert wurde.Wesentliche Änderungen dieser Datenschutzerklärung — insbesondere Änderungen, die die Rechtsgrundlage der Verarbeitung, die Kategorien der erhobenen Daten oder die Rechte der Betroffenen betreffen — werden aktiven Schülerinnen und Schülern vor Inkrafttreten per E-Mail oder WhatsApp-Nachricht mitgeteilt. Die weitere Nutzung der Website nach dem Wirksamkeitsdatum einer geänderten Erklärung gilt als Kenntnisnahme der aktualisierten Bestimmungen.