Compliance · DSGVO · RIAA · Deloy DNA

1. DSGVO · Europäische Datenschutz-Grundverordnung

Wir verarbeiten die Daten europäischer Nutzer nach den Anforderungen der DSGVO. Das bedeutet:

• Eine explizite Rechtsgrundlage für jede Verarbeitung (Einwilligung, Vertragserfüllung, berechtigtes Interesse, gesetzliche Pflicht).
• Datenminimierung: Wir erheben nur die zum Betrieb des Service notwendigen Daten.
• Rechte auf Auskunft, Berichtigung, Löschung, Portabilität, Widerspruch und Widerruf der Einwilligung — ausübbar über privacy@deloymusic.com.
• Meldung von Verletzungen innerhalb von maximal 72 Stunden an die zuständige Aufsichtsbehörde und an die Betroffenen.
• Standardvertragsklauseln (SCC) für internationale Übermittlungen an Anbieter außerhalb des EWR.
• Für Enterprise-Kunden ein benannter DPO; Kontakt im unterzeichneten Vertrag verfügbar.

2. RIAA-Empfehlungen zu generativer KI

Wir teilen die Haltung der Musikindustrie zur KI: Verantwortungsvolle KI ist die, die die menschliche Autorschaft und den bestehenden Katalog respektiert. Deshalb:

• Wir trainieren keine Modelle mit fremden Katalogen ohne Genehmigung. Virtuelle Producer werden nur mit den eigenen Referenzen des Nutzers trainiert oder mit Katalogen, an denen der Enterprise-Kunde nachweisbare Rechte hat.
• Nachverfolgbarkeit des KI-Beitrags. Jeder Export trägt ein Deloy-DNA-Zertifikat, das den Prozentsatz von KI und menschlichem Beitrag explizit macht. So können Labels und Plattformen zwischen assistierten Werken und überwiegend generierten Werken unterscheiden.
• Sperrung von Stimmklonierung. Deloy bietet keine Funktionen zur Stimmklonierung anerkannter Artists. Referenzen werden genutzt, um Ästhetik zu erfassen, nicht um Identitäten zu imitieren.
• Pull-down auf Anfrage. Wenn ein Rechteinhaber missbräuchliche Nutzung seines Materials feststellt, entfernen wir es innerhalb von maximal 7 Tagen nach der Benachrichtigung aus dem Service.

3. Deloy DNA · kryptografische Autorschaftszertifikate

Jeder aus Deloy exportierte Track trägt ein mit HMAC-SHA256 signiertes Zertifikat, das Folgendes festhält:

• SHA-256-Hash der exportierten Audiodatei.
• AI Score — Prozentsatz des KI-Beitrags, gemessen zur Session-Zeit, nicht am Ende geschätzt.
• UTC-Timestamp des Exportmoments.
• Kennung des virtuellen Producers, der in der Session verwendet wurde.
• Kryptografische Signatur, validiert mit einem serverseitigen Schlüssel.

Das Zertifikat ist durch Dritte überprüfbar: Jedes Label, jede Plattform, jeder Distributor oder Regulierer kann die öffentliche Verifikations-API abfragen, um die Echtheit zu bestätigen, ohne auf deinen Originalinhalt zuzugreifen.

Wichtig: Das Zertifikat deckt ab, was Deloy innerhalb der Session beobachtet. Es zertifiziert nicht, was mit dem Track nach dem Export passiert, noch von außerhalb Deloys importierte Stems.

4. Datenverarbeitung durch Anbieter

Wir unterhalten Auftragsverarbeitungsverträge (DPA) mit all unseren Unterauftragsverarbeitern. Für Enterprise-Kunden wird der spezifische DPA als Anhang zum Vertrag unterzeichnet. Eine aktuelle Liste der Unterauftragsverarbeiter ist auf Anfrage unter compliance@deloymusic.com verfügbar.

5. Audits und Enterprise-Reporting

Kunden im Enterprise-Plan erhalten:

• Vierteljährliche Berichte über Nutzung, Zugriffe und relevante Compliance-Ereignisse.
• Auditierbare Protokolle darüber, welche Nutzer wann auf welche virtuellen Producer zugegriffen haben.
• Die Möglichkeit externer Audits mit angemessener Vorankündigung.
• Zertifizierte Löschung der Daten bei Vertragsende, mit schriftlicher Bestätigung.

6. Anfragen von Behörden

Wenn wir gültige rechtliche Anforderungen erhalten (Gerichtsbeschluss, Rechtshilfeersuchen), die die Herausgabe der Daten eines Nutzers verlangen, prüfen wir deren Gültigkeit, bevor wir nachkommen. Wenn wir rechtlich dürfen, benachrichtigen wir den betroffenen Nutzer, bevor wir Informationen bereitstellen.

7. Compliance-Kontakt

Für Compliance-Fragen, Audits, DPAs, regulatorische Anforderungen oder Pull-downs schreib an compliance@deloymusic.com. Wir antworten innerhalb von maximal 5 Werktagen.