Datenschutzerklärung
1. Verantwortlicher
Verantwortlicher im Sinne der DSGVO ist:
Louise Potzeldt
Jahnallee 59
04109 Leipzig
Deutschland
E-Mail: hello@ensembly.io
2. Überblick der Datenverarbeitung
Diese Datenschutzerklärung informiert Sie darüber, welche personenbezogenen Daten wir im Rahmen der Plattform ensembly erheben, verarbeiten und nutzen. Wir verarbeiten personenbezogene Daten ausschließlich im Einklang mit der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG).
3. Hosting
Die Plattform wird über Vercel Inc. (340 S Lemon Ave #4133, Walnut, CA 91789, USA) gehostet. Serverseitige Funktionen (API-Routen) werden in der EU (Region Frankfurt, Deutschland) ausgeführt. Statische Inhalte werden über Vercels globales CDN ausgeliefert.
Beim Besuch der Plattform werden technische Zugriffsdaten (IP-Adresse, Browsertyp, Zeitpunkt des Zugriffs) in Server-Logfiles erfasst und nach spätestens 7 Tagen gelöscht. Diese Daten werden nicht mit Ihrem Konto verknüpft.
Vercel ist unter dem EU-US Data Privacy Framework zertifiziert. Weitere Informationen: Vercel Privacy Policy.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Bereitstellung der Plattform).
4. Registrierung und Authentifizierung
Für die Nutzung der Plattform ist eine Registrierung erforderlich. Dabei erheben wir Ihre E-Mail-Adresse, ein Passwort sowie Ihre Rolle (Künstler:in oder Veranstalter:in).
Die Authentifizierung erfolgt über Supabase (Supabase Inc., Singapur). Supabase betreibt die Datenbankinfrastruktur in der EU (Region Frankfurt, Deutschland). Passwörter werden mit bcrypt gehasht und niemals im Klartext gespeichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
5. Profil- und Nutzungsdaten
Im Rahmen der Nutzung speichern wir Angaben, die Sie freiwillig in Ihrem Profil hinterlegen: Name, Bühnenname, Instrument(e), Standort, Reiseradius, Sprachkenntnisse, Profilbeschreibung, Medienlinks, Erfahrungseinträge sowie Preisprofilinformationen.
Diese Daten werden in einer Supabase PostgreSQL-Datenbank in der EU (Region Frankfurt) gespeichert und sind über Row Level Security (RLS) abgesichert — nur Sie und für die Plattformfunktion berechtigte Systemkomponenten haben Zugriff auf Ihre Daten.
Hochgeladene Profilbilder und Haftpflichtversicherungsnachweise werden in Supabase Storage gespeichert. Profilbilder öffentlicher Profile sind für alle Nutzer:innen sichtbar; Versicherungsdokumente sind ausschließlich für den Betreiber der Plattform im Rahmen der Überprüfung zugänglich.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch freiwillige Profileingabe) und Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
6. Kalender-Integration
Wenn Sie Google Calendar oder Microsoft Outlook mit ensembly verbinden, werden ausschließlich Frei/Belegt-Informationen synchronisiert. Titel, Beschreibungen, Orte oder Teilnehmer von Kalenderterminen werden zu keinem Zeitpunkt übertragen oder gespeichert — das ist technisch durch den verwendeten API-Scope ausgeschlossen.
Vor der Verbindung holen wir Ihre ausdrückliche Einwilligung ein. Kalender-Zugriffstoken werden AES-256-GCM-verschlüsselt in der Datenbank gespeichert. Sie können die Verbindung jederzeit unter Einstellungen → Kalender trennen; alle gespeicherten Verfügbarkeitsdaten werden dabei sofort gelöscht.
Die Kalenderverbindung nutzt die offiziellen APIs von Google LLC (Google Calendar API) und Microsoft Corporation (Microsoft Graph API). Die dabei verarbeiteten Daten werden ausschließlich für den beschriebenen Zweck verwendet und nicht an Dritte weitergegeben.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung).
7. KI-gestützte Profilimport-Funktion
ensembly bietet eine optionale Funktion an, bei der Sie bis zu fünf öffentliche URLs angeben können. Die Claude API von Anthropic, PBC (548 Market St, San Francisco, CA 94104, USA) analysiert die Inhalte dieser URLs und erstellt daraus einen Textentwurf für Ihr Profil.
Dabei werden ausschließlich die Inhalte der von Ihnen angegebenen öffentlichen URLs an Anthropic übermittelt. Es werden keine personenbezogenen Kontodaten (E-Mail-Adresse, Passwort, Kalenderinformationen) übertragen.
Laut Anthropics Nutzungsbedingungen werden über die API übermittelte Daten nicht zum Training der KI-Modelle verwendet und nicht länger als 30 Tage zu Sicherheitszwecken gespeichert.
Da Anthropic seinen Sitz in den USA hat, erfolgt eine Datenübertragung in ein Drittland. Anthropic ist unter dem EU-US Data Privacy Framework zertifiziert. Weitere Informationen: Anthropic Privacy Policy.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Nutzung der Funktion).
8. E-Mail-Kommunikation
Transaktionale E-Mails (Registrierungsbestätigung, Passwort-Zurücksetzen, Benachrichtigungen) werden über Resend Inc. (San Francisco, CA, USA) versandt. Resend verarbeitet dabei die empfangende E-Mail-Adresse sowie den E-Mail-Inhalt. Die Verarbeitung erfolgt auf Grundlage eines Auftragsverarbeitungsvertrags gemäß DSGVO-konformen Standardvertragsklauseln.
Mit der Registrierung stimmen Sie zu, über die bei der Anmeldung angegebene E-Mail-Adresse transaktionale und servicebezogene E-Mails von ensembly zu erhalten. Sie können dieser Kontaktaufnahme jederzeit widersprechen: hello@ensembly.io
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Nutzerkommunikation).
9. Nutzungsanalyse
Für anonyme Nutzungsstatistiken setzen wir Plausible Analytics (plausible.io) ein — ein datenschutzfreundliches Analysetool ohne Cookies, ohne Browser-Fingerprinting und ohne Erhebung personenbezogener Daten. Es werden ausschließlich aggregierte Daten wie Seitenaufrufe, Verweisquellen und Gerätekategorien erfasst. Eine Zuordnung zu einzelnen Personen ist nicht möglich.
Da Plausible weder Cookies noch Endgeräteinformationen speichert, ist gemäß § 25 Abs. 2 Nr. 2 TTDSG keine Einwilligung erforderlich.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung des Dienstes).
10. Weitergabe von Daten
Wir geben Ihre personenbezogenen Daten nicht zu Werbezwecken weiter. Für den Betrieb der Plattform setzen wir folgende Auftragsverarbeiter ein:
- Supabase Inc. — Authentifizierung, Datenbank, Speicher (EU-Region Frankfurt)
- Vercel Inc. — Hosting (USA, EU-US DPF zertifiziert)
- Resend Inc. — E-Mail-Versand (USA, Standardvertragsklauseln)
- Anthropic, PBC — KI-Profilimport (USA, EU-US DPF zertifiziert) — nur bei aktiver Nutzung dieser Funktion
Zahlungsverarbeitung ist derzeit nicht aktiv.
11. Cookies
Wir verwenden keine Tracking-Cookies und keine Analyse-Tools von Drittanbietern.
Für den Betrieb der Authentifizierung setzt Supabase technisch notwendige Session-Cookies ein. Diese sind für die Funktionsfähigkeit der Plattform unbedingt erforderlich und enthalten keine Tracking-Informationen. Eine Einwilligung ist gemäß § 25 Abs. 2 TTDSG nicht erforderlich.
12. Speicherdauer
Kontodaten und Profilinhalte werden gespeichert, bis Sie Ihr Konto löschen. Kalender-Verfügbarkeitsdaten werden gelöscht, sobald Sie die Verbindung trennen oder Ihr Konto schließen. Server-Logs werden nach 7 Tagen gelöscht. Bei Konto-Löschung werden alle Ihre Daten vollständig aus unserer Datenbank entfernt; bei Auftragsverarbeitern zwischengespeicherte Daten werden gemäß deren Richtlinien gelöscht.
13. Ihre Rechte
Sie haben gegenüber uns folgende Rechte bezüglich Ihrer personenbezogenen Daten:
- Auskunft (Art. 15 DSGVO)
- Berichtigung unrichtiger Daten (Art. 16 DSGVO)
- Löschung (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen (Art. 21 DSGVO)
- Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft
Zur Ausübung Ihrer Rechte wenden Sie sich an: hello@ensembly.io
14. Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für den Standort Leipzig zuständige Behörde ist:
Der Sächsische Datenschutz- und Transparenzbeauftragte
Devrientstraße 5
01067 Dresden
www.datenschutz.sachsen.de
15. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung zu aktualisieren, um sie an geänderte rechtliche Anforderungen oder Änderungen der Plattform anzupassen. Die jeweils aktuelle Version ist auf dieser Seite abrufbar.