Datenschutzerklärung
Stand: Juli 2026 · Gemäß DSGVO (EU) 2016/679
1. Verantwortlicher
Verantwortlicher im Sinne der DSGVO ist:
Rafael Pauley – SANONUS (Einzelunternehmer)
Franz-Fischer-Straße 44, 6020 Innsbruck, Österreich
E-Mail: hello@sanonus.com
2. Erhobene Daten und Zwecke der Verarbeitung
2.1 Registrierung und Nutzerkonto
Bei der Registrierung erheben wir folgende Daten:
- E-Mail-Adresse
- Passwort (gespeichert als Bcrypt-Hash — das Klartext-Passwort wird niemals gespeichert)
- Accountplan (Free, Basic, Pro, Business, Agentur)
Zweck: Bereitstellung des Nutzerkontos und Authentifizierung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
2.2 Scan-Anfragen und Audit-Daten
Wenn Sie einen Compliance-Scan starten, verarbeiten wir:
- Den eingegebenen Instagram-Handle (Benutzername)
- Öffentlich abrufbare Metadaten der zugehörigen Beiträge (Post-ID, Shortcode, Audio-Metadaten)
- Ergebnisse der Compliance-Analyse (Status, erkannte Audiotracks)
Wir analysieren ausschließlich öffentlich zugängliche Instagram-Inhalte. Es werden keine privaten Konten oder nicht-öffentliche Inhalte verarbeitet.
Zweck: Erbringung der Compliance-Analyse-Dienstleistung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
2.3 Zahlungsdaten
Zahlungen werden über unseren Reseller Paddle (Paddle.com Market Ltd) als „Merchant of Record" abgewickelt. Karten- und vollständige Zahlungsdaten werden ausschließlich von Paddle verarbeitet und uns nicht übermittelt. Von Paddle erhalten wir lediglich die zur Auftragsausführung erforderlichen Bestätigungsdaten (u. a. E-Mail-Adresse, gekauftes Paket, Zahlungsbestätigung). Datenschutzerklärung von Paddle: paddle.com/legal/privacy.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
2.4 Server-Logs
Unser Webserver (Nginx) protokolliert technische Zugriffsdaten (IP-Adresse, Zeitstempel, aufgerufene URL, HTTP-Statuscode) zum Zweck der Fehlerbehebung und Sicherheit. Speicherdauer: Nginx-Zugriffslogs: 14 Tage; Applikations-Logs: 30 Tage.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betriebssicherheit).
3. Verarbeitung von Daten gescannter Instagram-Konten
Betroffene Personen und Datenkategorien
Im Rahmen unserer Compliance-Scans verarbeiten wir Daten öffentlich zugänglicher Instagram-Konten, die von unseren Kunden zur Analyse angegeben werden. Verarbeitet werden ausschließlich öffentlich einsehbare Inhalte: Benutzername (Handle), öffentliche Beiträge und Reels einschließlich der darin verwendeten Audiospuren, Veröffentlichungsdaten sowie Beitrags-URLs. Aus den Audiospuren erstellen wir technische Audio-Fingerprints zum Abgleich mit Musikdatenbanken. Wir verarbeiten keine privaten Nachrichten, keine nicht-öffentlichen Inhalte und keine besonderen Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO.
Zweck und Rechtsgrundlage
Die Verarbeitung dient ausschließlich der Prüfung, ob in öffentlichen Beiträgen urheberrechtlich geschützte Musik verwendet wird, und der Erstellung eines entsprechenden Berichts für unseren Kunden. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Das berechtigte Interesse liegt in der Unterstützung unserer Kunden bei der Einhaltung urheberrechtlicher Vorgaben. Wir verarbeiten dabei nur Daten, die die betroffene Person selbst öffentlich zugänglich gemacht hat, in engem sachlichem Umfang und mit kurzer Speicherdauer, sodass die Interessen der betroffenen Personen nicht überwiegen.
Information der betroffenen Personen (Art. 14 DSGVO)
Eine individuelle Benachrichtigung aller Inhaber gescannter Konten ist mit unverhältnismäßigem Aufwand verbunden, da uns regelmäßig keine Kontaktdaten der Kontoinhaber vorliegen (Art. 14 Abs. 5 lit. b DSGVO). Wir stellen die Informationen daher öffentlich in dieser Datenschutzerklärung bereit.
Speicherdauer
Abgerufene Audiodaten werden unmittelbar nach Erstellung des Audio-Fingerprints gelöscht, spätestens nach 24 Stunden. Die Analyseergebnisse (Trefferliste mit Beitrags-URLs) werden für die Dauer der Bereitstellung des Berichts an den Kunden gespeichert, längstens 12 Monate ab Erstellung des Berichts.
Rollenverteilung bei Agentur-Kunden
Beauftragt uns eine Agentur mit dem Scan von Konten ihrer eigenen Kunden, erfolgt die Verarbeitung als Auftragsverarbeitung im Sinne des Art. 28 DSGVO. Einen Auftragsverarbeitungsvertrag stellen wir auf Anfrage unter hello@sanonus.com zur Verfügung.
Rechte der betroffenen Personen
Inhaber gescannter Konten haben insbesondere das Recht auf Auskunft (Art. 15 DSGVO), Löschung (Art. 17 DSGVO) und Widerspruch gegen die Verarbeitung aus Gründen, die sich aus ihrer besonderen Situation ergeben (Art. 21 DSGVO). Anfragen richten Sie bitte an hello@sanonus.com. Nach einem Widerspruch nehmen wir das betreffende Konto auf Wunsch in eine interne Sperrliste auf und schließen es von künftigen Scans aus.
4. Nutzungsstatistiken (eigenes System)
Selbst-gehostete Analyse ohne Cookies
Wir verwenden ein eigenes, datenschutzkonformes Analyse-System, das ohne Cookies, ohne IP-Adressspeicherung und ohne Verbindung zu Drittanbietern arbeitet. Dabei wird erfasst:
- Aufgerufene Seite (URL-Pfad, ohne Query-Parameter)
- Gerätekategorie (Mobile/Tablet/Desktop — abgeleitet aus Bildschirmbreite)
- Externe Referrer-Domain (nur Hostname, kein vollständiger URL)
- Anonyme Sitzungs-ID (zufällig generiert, gespeichert in sessionStorage — wird beim Schließen des Browser-Tabs automatisch gelöscht)
Nicht gespeichert: IP-Adresse, vollständiger User-Agent, Nutzerkonto-Verknüpfung, Standortdaten.
Die Sitzungs-ID liegt ausschließlich im sessionStorage (nicht im localStorage und nicht in Cookies) und kann nicht sitzungsübergreifend verfolgt werden.
Zweck: Aggregierte Statistiken zur Website-Nutzung (Seitenaufrufe, populäre Seiten, Geräteverhältnis) ausschließlich für interne Betriebsoptimierung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an anonymer Nutzungsanalyse ohne Eingriff in Grundrechte). Da keine IP-Adressen, keine Cookies und keine geräteübergreifende Verfolgung stattfinden, liegt kein Eingriff vor, der eine Einwilligung erfordern würde.
5. Cookies, Google Ads und Einwilligungsverwaltung
5.1 Technisch notwendiges Login-Cookie
Wir verwenden ein technisch notwendiges Login-Cookie (Speicherdauer: 30 Tage) (sanonus_token), das ein signiertes JWT-Token enthält. Dieses Cookie dient ausschließlich der Authentifizierung und wird nach 30 Tagen automatisch gelöscht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (zur Vertragserfüllung technisch notwendig) — eine Einwilligung ist hierfür nicht erforderlich.
5.2 Google Ads und Conversion-Tracking (Google Tag)
Wir nutzen den Dienst Google Ads der Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland) samt dem „Google Tag" (gtag.js). Damit messen wir den Erfolg unserer Werbeanzeigen (Conversion-Tracking, z. B. abgeschlossene Käufe) und können Nutzern, die unsere Website besucht haben, passende Werbung ausspielen (Remarketing). Hierbei können Cookies und ähnliche Technologien gesetzt sowie eine Online-Kennung, IP-Adresse und Informationen zu Ihrer Nutzung an Google übermittelt werden.
Einwilligung (Consent Mode v2): Diese Cookies und die Datenübermittlung an Google werden erst gesetzt bzw. ausgelöst, nachdem Sie über unseren Cookie-Hinweis ausdrücklich eingewilligt haben („Akzeptieren"). Bis zu einer Einwilligung sind sämtliche Werbe- und Analyse-Speicherzugriffe standardmäßig deaktiviert (Google Consent Mode v2, Standardstatus „denied"). Wählen Sie „Ablehnen", werden keine Marketing-Cookies gesetzt und keine personenbezogenen Werbedaten an Google übermittelt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) sowie § 165 Abs. 3 TKG 2021 für die Speicherung bzw. den Zugriff auf Informationen in Ihrem Endgerät.
Drittlandtransfer: Eine Übermittlung an die Google LLC (USA) kann stattfinden; diese erfolgt auf Grundlage des EU-U.S. Data Privacy Framework sowie ergänzender Standardvertragsklauseln (Art. 46 DSGVO).
Weitere Informationen: policies.google.com/privacy und policies.google.com/technologies/ads.
Widerruf: Sie können eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Nutzen Sie dazu die folgende Schaltfläche; der Cookie-Hinweis wird Ihnen anschließend erneut angezeigt.
6. Datenspeicherung und Löschung
Ihre Daten werden auf Servern der Amazon Web Services (AWS) in der Region EU-Central-1 (Frankfurt, Deutschland) gespeichert. AWS ist nach Art. 46 DSGVO durch Standardvertragsklauseln und EU-Zertifizierungen als Drittanbieter abgesichert.
Nutzerkontodaten: bis zur Kontolöschung durch den Nutzer oder auf Anfrage
Audit-Ergebnisse: 12 Monate ab Erstelldatum, danach automatische Löschung
Server-Logs: Nginx-Zugriffslogs: 14 Tage; Applikations-Logs: 30 Tage
Rechnungs- und Buchhaltungsdaten: 7 Jahre (§ 132 BAO)
Zur Löschung Ihres Kontos wenden Sie sich bitte an hello@sanonus.com.
7. Weitergabe an Dritte
Wir geben Ihre Daten nicht an Dritte weiter, außer in folgenden Fällen:
- Paddle.com Market Ltd, 30 Old Bailey, London EC4M 7AU, Vereinigtes Königreich — Zahlungsabwicklung und Rechnungsstellung als „Merchant of Record"; Karten- und Zahlungsdaten werden ausschließlich von Paddle verarbeitet. Drittlandtransfer Vereinigtes Königreich auf Grundlage des Angemessenheitsbeschlusses der EU-Kommission (Art. 45 DSGVO). Datenschutzerklärung: paddle.com/legal/privacy
- Google LLC (USA) — Anmeldung über Google OAuth ("Mit Google anmelden"). Wenn Sie diese Option nutzen, übermittelt Ihr Browser Ihre E-Mail-Adresse und Profildaten an Google. Google verarbeitet diese Daten nach seinen eigenen Datenschutzrichtlinien (policies.google.com/privacy). Grundlage: Art. 6 Abs. 1 lit. b DSGVO; Drittlandtransfer USA über SCCs (Art. 46 DSGVO). Die Übermittlung in die USA erfolgt auf Grundlage des EU-U.S. Data Privacy Framework sowie ergänzender Standardvertragsklauseln. Wenn Sie Google OAuth nicht nutzen, findet keine Datenübermittlung an Google statt.
- Resend Inc. (USA) — Versand transaktionaler E-Mails (Berichte, Bestätigungen, Monitoring-Alerts); verarbeitet Ihre E-Mail-Adresse zum Zweck der Zustellung. Drittlandtransfer USA über SCCs (Art. 46 DSGVO).
- Google Ireland Limited / Google LLC (USA) — Google Ads Conversion-Tracking und Remarketing (Google Tag), nur nach Ihrer Einwilligung (siehe Abschnitt 5.2). Drittlandtransfer USA über EU-U.S. Data Privacy Framework und SCCs (Art. 46 DSGVO).
- Bei gesetzlicher Verpflichtung (z. B. auf behördliche Anordnung)
8. Ihre Rechte
Sie haben nach der DSGVO folgende Rechte:
Auskunftsrecht (Art. 15 DSGVO): Sie können jederzeit Auskunft über die bei uns gespeicherten Daten verlangen.
Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Einschränkung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen.
Datenübertragbarkeit (Art. 20 DSGVO): Sie können die Übermittlung Ihrer Daten in einem maschinenlesbaren Format verlangen.
Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung auf Basis berechtigter Interessen widersprechen.
Beschwerde: Sie haben das Recht, sich bei der zuständigen Datenschutzaufsichtsbehörde zu beschweren — in der Regel die Datenschutzbehörde Ihres EU-Mitgliedstaates.
Zur Ausübung Ihrer Rechte wenden Sie sich an: hello@sanonus.com
9. Sicherheit
Die Übertragung zwischen Ihrem Browser und unseren Servern erfolgt ausschließlich über HTTPS/TLS. Passwörter werden mit bcrypt gehasht gespeichert. Authentifizierungstoken sind signierte JWTs mit begrenzter Gültigkeitsdauer.
10. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen unserer Dienste oder gesetzlicher Anforderungen anzupassen. Die jeweils aktuelle Version ist unter sanonus.com/datenschutz abrufbar. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.