Datenschutz, Sicherheit
und Compliance
Singify verarbeitet ausschließlich Vorname, Thema und Anlass. Keine Geburtsdaten, keine Adressen, keine Fotos. AVV, TOMs und Subprocessor-Liste sind transparent einsehbar.
DSGVO · Art. 25 (Data Protection by Design) · Art. 28 (AVV) · EU-Serverstandort
Datenminimierung by design (Art. 25 DSGVO)
Wir verarbeiten nur die Daten, die für die Liedgenerierung zwingend notwendig sind:
Nicht erhoben: Nachnamen, Geburtsdaten, Adressen, Fotos, Gesundheitsdaten, Standortdaten.
Rechtsgrundlage (Art. 6 DSGVO)
Die Verarbeitung personenbezogener Daten bei Singify erfolgt auf folgenden Grundlagen:
Art. 6 Abs. 1 lit. b DSGVO
Vertragserfüllung — Verarbeitung von Vorname und Anlass zur Erstellung des beauftragten Kinderliedes.
Art. 6 Abs. 1 lit. f DSGVO
Berechtigtes Interesse — Betrieb, Sicherheit und Verbesserung der Plattform.
Art. 28 DSGVO
Auftragsverarbeitung — bei Abschluss eines AVV mit Einrichtungen und Trägern.
Art. 6 Abs. 1 lit. a DSGVO
Einwilligung — nur für optionale Analyse-Cookies (Plausible Analytics), jederzeit widerrufbar.
Auftragsverarbeitungsvertrag (AVV)
Einrichtungen und Träger, die personalisierte Kinderlieder bestellen, können einen AVV gemäß Art. 28 DSGVO abschließen.
Wir stellen ein Muster-AVV bereit, das die Verarbeitung personenbezogener Daten (Vorname + Anlass) im Rahmen der Liedgenerierung regelt. Individuelle Anpassungen — auch für kirchliche Träger (DSG-EKD / KDG) — sind auf Anfrage möglich.
AVV per E-Mail anfordernRückmeldung in der Regel innerhalb von 2 Werktagen.
Technische und Organisatorische Maßnahmen (TOMs)
Übersicht der Maßnahmen zum Schutz personenbezogener Daten bei der Verarbeitung durch Singify.
Verschlüsselung
TLS 1.3 in Transit. Verschlüsselung at Rest auf allen Datenbanken und Speichersystemen (Google Cloud managed encryption).
Zugriffskontrolle
Rollenbasierter Zugriff auf Produktionssysteme. Kein Zugang durch nicht autorisierte Dritte. Least-Privilege-Prinzip.
Protokollierung
Zugriffe auf personenbezogene Daten werden protokolliert. Logs sind unveränderbar und werden regelmäßig geprüft.
Löschkonzept
Automatische Löschung nach Ablauf der Speicherfrist (Standard: 30 Tage). Widerruf jederzeit per E-Mail möglich.
Backup & Wiederherstellung
Regelmäßige Backups mit verschlüsselter Speicherung. Wiederherstellung innerhalb definierter RPO/RTO.
Incident Response
Definierter Prozess für Sicherheitsvorfälle. Meldung an Aufsichtsbehörde und Betroffene gemäß Art. 33/34 DSGVO.
Unterauftragsverarbeiter(7 Dienstleister)
Auflistung aller Dienstleister, die im Rahmen der Leistungserbringung personenbezogene Daten verarbeiten.
| Dienstleister | Zweck | Region |
|---|---|---|
| Google Cloud (Cloud Run) | Hosting, Anwendungsbetrieb | EU |
| Google Cloud (Firestore) | Datenspeicherung | EU |
| Anthropic (Claude API) | Textgenerierung | USA* |
| Suno (Suno Inc.) | Audio-Generierung | USA* |
| Lyria (Google DeepMind) | Audio-Generierung (alt.) | USA* |
| Cloudflare (Turnstile) | Bot-Schutz | Global |
| Plausible Analytics | Anonyme Statistiken | EU |
* Datenübertragung auf Basis von Standardvertragsklauseln (SCCs) und ergänzenden Schutzmaßnahmen. Nur Vornamen und thematische Angaben werden übermittelt.
Löschkonzept
Regelfristen
Eingabedaten (Vorname, Thema, Anlass) und generierte Lieder werden standardmäßig 30 Tage nach letzter Nutzung automatisch gelöscht.
Widerruf
Betroffene Personen oder Einrichtungen können jederzeit per E-Mail die sofortige Löschung aller zugehörigen Daten verlangen.
Vertragsende
Nach Auftragsende werden alle im Auftrag verarbeiteten Daten vollständig und unwiderruflich gelöscht. Bestätigung auf Anfrage.
Kirchliche Träger (DSG-EKD / KDG)
Unsere Prozesse sind anschlussfähig an die Anforderungen des kirchlichen Datenschutzes (DSG-EKD für evangelische, KDG für katholische Träger). Bei Bedarf erstellen wir eine individuelle Vereinbarung.
Individuelle Vereinbarung anfragenErwachsenengeführte Nutzung
Vertragspartner von Singify sind ausschließlich Erwachsene — Fachkräfte, Leitungen, Trägervertreter oder Eltern. Kinder nutzen die Plattform nicht selbst und geben keine Daten ein. Im Sinne von Art. 8 Abs. 1 DSGVO ist eine Einwilligung des Kindes nicht erforderlich, da Vertragspartner stets Erwachsene sind. Die Verantwortung für die Datenverarbeitung liegt bei der bestellenden Person oder Einrichtung.
AI-Governance
Automatisierte Outputs
Liedtexte und Audio werden algorithmisch erstellt. Jeder Output durchläuft automatisierte Qualitätsprüfungen.
Kein Modelltraining
Eingabedaten und generierte Inhalte werden nicht zur Weiterentwicklung von Sprachmodellen oder Musik-KI verwendet — es sei denn, eine ausdrückliche Rechtsgrundlage liegt vor.
Menschliche Prüfung
Bei sensiblen B2B-Projekten (z.B. Träger-Rollouts) ist auf Anfrage eine zusätzliche menschliche Prüfung der Outputs möglich.
Barrierefreiheit (BFSG)
Singify strebt an, barrierearm zu sein. Wir orientieren uns an den Grundsätzen der EN 301 549. Semantisches HTML und Tastatur-Navigation sind umgesetzt. Ein formales Barrierefreiheits-Audit steht noch aus.
Häufige Fragen zu Sicherheit & Datenschutz
Per E-Mail an hello@singify.de. Wir stellen ein Muster-AVV bereit, das wir auf Anfrage individuell anpassen — auch für kirchliche Träger (DSG-EKD / KDG).
In der Regel innerhalb von 2 Werktagen nach Anforderung. Bei individuellen Anpassungen kann es etwas länger dauern.
Alle Daten werden auf Servern in der EU verarbeitet und gespeichert (Google Cloud, Region europe-west). Keine Datenübertragung in Drittstaaten ohne angemessenes Schutzniveau.
Ja. Auf Anfrage stellen wir alle zu einer Einrichtung gespeicherten Daten in einem maschinenlesbaren Format bereit (Art. 20 DSGVO).
Anfragen zum Datenschutz richten Sie bitte an hello@singify.de. Wir beantworten alle Fragen zeitnah und leiten bei Bedarf an unseren DSB weiter.
Generierte Lieder und die zugehörigen Eingabedaten (Vorname, Thema, Anlass) werden nach Ablauf der vereinbarten Speicherdauer oder auf Widerruf vollständig gelöscht. Standardmäßig 30 Tage nach letzter Nutzung.
Noch Fragen zu Datenschutz oder AVV?
Kontaktieren Sie uns — wir antworten in der Regel innerhalb eines Werktages.