Datenschutzerklärung

Stand: Februar 2026 · Version 3.0 · Letzte Aktualisierung: 24.02.2026

1. Verantwortlicher

Verantwortlich im Sinne der Datenschutz-Grundverordnung (DSGVO) und des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG):

Daniel Wesseling
Brouwerijstraat 1, 7523 XC Enschede, Overijssel, Niederlande
E-Mail: datenschutz@okayplay.io

Wir haben keinen Datenschutzbeauftragten bestellt, da die Voraussetzungen nach Art. 37 DSGVO derzeit nicht vorliegen. Bei Fragen zum Datenschutz wenden Sie sich bitte an die oben genannte E-Mail-Adresse.

2. Übersicht der Verarbeitungstätigkeiten

OKAYPLAY ist eine Audio-Plattform, die Webseiten-Artikel in menschlich eingesprochene Aufnahmen umwandelt und über ein Werbenetzwerk monetarisiert. Wir verarbeiten personenbezogene Daten in folgenden Kontexten:

Webseiten-Besucher (Zuhörer): Personen, die auf Publisher-Webseiten den OKAYPLAY-Player nutzen
Publisher: Webseitenbetreiber, die den OKAYPLAY-Player einbinden
Speaker: Personen, die Aufnahmen einsprechen
Advertiser: Werbetreibende, die Audio-Werbung schalten

3. Consent-Architektur (Einwilligungskonzept)

Der OKAYPLAY-Player arbeitet mit einem dreistufigen Einwilligungskonzept gemäß Art. 6 Abs. 1 lit. a DSGVO und § 25 TDDDG:

Stufe 1: Technisch notwendig (ohne Einwilligung)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) / § 25 Abs. 2 Nr. 2 TDDDG

Ohne jede Einwilligung werden ausschließlich folgende Funktionen ausgeführt:

Prüfung, ob eine Aufnahme für den aktuellen Artikel existiert (/check)
Registrierung neuer Artikel-Inhalte (/discover)
Audio-Wiedergabe bei aktivem Klick des Nutzers

In dieser Stufe findet kein Tracking, kein Profiling und keine persistente Wiedererkennung statt. Es werden keine Cookies gesetzt.

Für die rein technische Auslieferung des Audio-Streams wird ein flüchtiger Sitzungsbezeichner (okp_sid) im sessionStorage Ihres Browsers abgelegt. Dieser wird beim Schließen des Browser-Tabs automatisch gelöscht und dient ausschließlich der Zuordnung der Wiedergabe innerhalb einer einzelnen Sitzung sowie der Betrugsabwehr (Anti-Fraud). Die Nutzung dieses flüchtigen Speichers ist gemäß § 25 Abs. 2 Nr. 2 TDDDG ohne Einwilligung zulässig, da sie für die Erbringung des vom Nutzer ausdrücklich gewünschten Dienstes (Audio-Wiedergabe) unbedingt erforderlich ist.

Die IP-Adresse des Nutzers wird aus rein technischen Gründen an unsere Server übermittelt, um den Audio-Stream auszuliefern und Missbrauch zu verhindern. Die IP-Adresse wird sofort nach Eingang in einen nicht rückrechenbaren Hash-Wert umgewandelt (Pseudonymisierung) und der Klartext-IP-Wert nach spätestens 24 Stunden vollständig gelöscht. Eine darüber hinausgehende Speicherung oder Profilbildung findet in Stufe 1 nicht statt.

Stufe 2: Analytics (mit Einwilligung)

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO / § 25 Abs. 1 TDDDG

Mit Analytics-Einwilligung werden folgende Daten erhoben:

Datenkategorie	Konkrete Daten	Zweck
Session-ID	Zufällig generierte, nicht-persistente ID	Zuordnung von Events innerhalb einer Sitzung
Seiteninformation	URL, Seitentitel	Zuordnung zum Artikel
Gerätetyp	Desktop / Mobile / Tablet (abgeleitet)	Plattform-Optimierung
Sprache	Browser-Spracheinstellung (gekürzt)	Sprachrelevanz
Scroll-Tiefe	Maximaler Scroll-Prozentsatz	Engagement-Messung
Verweildauer	Zeit auf der Seite in Sekunden	Engagement-Messung
Audio-Engagement	Hördauer, Hörquote, Abschluss ja/nein	Qualitätsmessung der Aufnahmen

Speicherdauer: 90 Tage, danach Löschung oder irreversible Anonymisierung.

Kein persistenter Identifier: Die Session-ID wird beim Schließen des Browsers verworfen. Es erfolgt keine Wiedererkennung über Sitzungen hinweg.

Stufe 3: Werbung & Profiling (mit separater Einwilligung)

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO / § 25 Abs. 1 TDDDG
Zusätzlich erforderlich wegen: Profiling i. S. d. Art. 4 Nr. 4 DSGVO, Zusammenführung über Verantwortliche hinweg

Mit Werbe-Einwilligung werden zusätzlich zu den Analytics-Daten erhoben:

Datenkategorie	Konkrete Daten	Zweck
Persistenter Visitor-Hash	Pseudonymisierter Hash (localStorage)	Wiedererkennung für Frequency Capping und Profiling
Geolokation (IP-basiert)	Land, Region, Stadt	Regionales Ad-Targeting
Gerätedetails	Bildschirmauflösung, Farbtiefe, Touch-Fähigkeit, Viewport, Pixel-Ratio	Geräte-Profiling
Browser-Informationen	User-Agent, Verbindungstyp, Sprache, Zeitzone, Dark-Mode	Technisches Profiling
Besuchshistorie	Besuchsanzahl, Erstbesuch-Datum, Tage seit Erstbesuch	Engagement-Segmentierung
Seitennavigation	Seitenjourney (letzte 20 Seiten), Einstiegsseite, Referrer	Verhaltens-Profiling
UTM-Parameter	utm_source, utm_medium, utm_campaign, utm_content, utm_term	Kampagnen-Attribution
Audio-Verhalten	Lautstärke, Wiedergabegeschwindigkeit, Seeks, Pausen, Zeit bis Play	Detailliertes Engagement-Profiling
Gehörte Artikel	Liste gehörter Artikel-URLs	Themen-Interesse-Profiling

Speicherdauer: Tracking-Events 90 Tage. Besucherprofile 180 Tage. Abrechnungsdaten 365 Tage.

4. Cross-Publisher-Profiling

Nur mit Werbe-Einwilligung (Stufe 3). Wenn Sie auf mehreren Webseiten im OKAYPLAY-Netzwerk den Player nutzen und jeweils die Werbe-Einwilligung erteilt haben, werden Ihre Besucherprofile zu einem einheitlichen Profil zusammengeführt. Dieses enthält:

Aggregierte Besuchs- und Hördaten über alle Publisher
Zusammengeführte Themen-Interessen
Ein Engagement-Level (passiv / Zuhörer / engagiert / Superfan)
Anzahl der besuchten Publisher

Zweck: Publisher-übergreifendes Ad-Targeting und Audience-Segmentierung für Werbetreibende.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Diese Verarbeitung erfolgt ausschließlich mit Ihrer ausdrücklichen Einwilligung.

Widerruf: Sie können Ihre Einwilligung jederzeit widerrufen (siehe Abschnitt 11). Bei Widerruf wird Ihr Cross-Publisher-Profil gelöscht.

5. Audio-Werbung und Ad-Targeting

OKAYPLAY finanziert sich durch Audio-Werbung. Die Ausspielung erfolgt nur mit Werbe-Einwilligung (Stufe 3) und verwendet folgende Targeting-Methoden:

Targeting-Typ	Datengrundlage	Beschreibung
Themengebiet	Artikelkategorie (automatisch klassifiziert)	Werbung passend zum Artikelinhalt
Keywords	Automatisch extrahierte Artikel-Tags	Werbung passend zu Artikelthemen
Regional	IP-basierte Geolokation (Region/Stadt)	Räumlich gezielte Werbung
Audience-Segment	Besucherprofil (Engagement, Gerät, Themen)	Zielgruppenbasierte Werbung
Tageszeit	Aktuelle Uhrzeit	Zeitbasierte Kampagnensteuerung

Ohne Werbe-Einwilligung wird keine Werbung ausgespielt.

6. Rechtsgrundlagen-Matrix

Verarbeitung	Rechtsgrundlage	§ 25 TDDDG	Speicherfrist
Audio-Wiedergabe (Playback)	Art. 6(1)(f) – Berechtigtes Interesse	§ 25(2) Nr. 2 – technisch notwendig	Keine Speicherung
Artikel-Registrierung (/discover)	Art. 6(1)(f) – Berechtigtes Interesse	§ 25(2) Nr. 2 – technisch notwendig	Bis Löschung durch Publisher
Analytics-Tracking (Stufe 2)	Art. 6(1)(a) – Einwilligung	§ 25(1) – Einwilligung erforderlich	90 Tage
Visitor-Profiling (Stufe 3)	Art. 6(1)(a) – Einwilligung	§ 25(1) – Einwilligung erforderlich	180 Tage
Cross-Publisher-Profiling	Art. 6(1)(a) – Einwilligung	§ 25(1) – Einwilligung erforderlich	180 Tage
Ad-Ausspielung	Art. 6(1)(a) – Einwilligung	§ 25(1) – Einwilligung erforderlich	90 Tage (Events), 365 Tage (Abrechnung)
Anti-Fraud (IP-Hash)	Art. 6(1)(f) – Berechtigtes Interesse	§ 25(2) Nr. 2 – technisch notwendig	24 Stunden (IP-Hash)
Speaker-Konto	Art. 6(1)(b) – Vertragserfüllung	Nicht anwendbar	Bis Kontolöschung + gesetzl. Aufbewahrung
Advertiser-Konto	Art. 6(1)(b) – Vertragserfüllung	Nicht anwendbar	Bis Kontolöschung + 10 J. steuerrechtlich
Publisher-Konto	Art. 6(1)(b) – Vertragserfüllung	Nicht anwendbar	Bis Kontolöschung + gesetzl. Aufbewahrung

7. Empfänger und Auftragsverarbeitung

Ihre Daten werden an folgende Kategorien von Empfängern weitergegeben:

Empfänger	Zweck	Rechtsgrundlage	Standort
All-Inkl (Hosting)	Server-Betrieb, Datenspeicherung	AVV nach Art. 28 DSGVO	Deutschland
Publisher im Netzwerk	Consent-Einholung, Analytics, Werbeausspielung	Art. 26 DSGVO (gemeinsame Verantwortlichkeit)	Deutschland (DACH)
Werbetreibende	Aggregierte Kampagnen-Reports (keine Einzelprofile)	Art. 6(1)(a) – Einwilligung des Zuhörers	Deutschland (DACH)

Es findet keine Datenübermittlung in Drittländer statt. Alle Server befinden sich in Deutschland.

8. Datenschutz-Folgenabschätzung (DSFA)

Wir haben gemäß Art. 35 DSGVO eine Datenschutz-Folgenabschätzung durchgeführt für:

Systematisches Tracking von Webseitenbesuchern
Profiling zur Werbeausspielung
Cross-Publisher-Zusammenführung von Besucherprofilen

Das Ergebnis: Durch das dreistufige Consent-Modell, die Datenminimierung (kein Tracking ohne Einwilligung), Pseudonymisierung (Hash-basierte IDs statt Klarnamen), strikte Speicherfristen und die Möglichkeit jederzeitigen Widerrufs werden die Risiken auf ein akzeptables Maß reduziert. Die vollständige DSFA liegt intern vor und kann auf Anfrage der zuständigen Aufsichtsbehörde vorgelegt werden.

9. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Verschlüsselung in Transit: TLS/SSL für alle Verbindungen (HTTPS)
Pseudonymisierung: Visitor-IDs als Hash-Werte, keine Klarnamen-Zuordnung
IP-Handling: IP-Adressen werden nur gehasht gespeichert (SHA-256 + Salt), nie im Klartext
Zugriffskontrolle: Rollenbasiertes Berechtigungssystem (Admin/Publisher/Speaker/Advertiser)
Datentrennung: Getrennte Speicherung von Fraud-Daten, Analytics-Daten und Abrechnungsdaten
Automatische Löschung: Retention-Policies mit automatischer Bereinigung nach definierten Fristen
Incident Response: Definierter Prozess zur Meldung von Datenschutzverletzungen gemäß Art. 33/34 DSGVO innerhalb von 72 Stunden
Backup: Tägliche Datenbanksicherung, 30 Tage Aufbewahrung, verschlüsselte Übertragung
Minimierung: Erhebung der minimal notwendigen Daten je Consent-Stufe

10. Cookies und lokale Speicherung

OKAYPLAY verwendet auf Publisher-Webseiten folgende Speichermechanismen:

Technisch notwendig (Stufe 1, kein Consent)

sessionStorage: okp_sid – Session-ID für die aktuelle Sitzung. Wird beim Schließen des Tabs automatisch gelöscht. Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderlich für die Erbringung des Dienstes).

Analytics (Stufe 2, Consent erforderlich)

Keine zusätzlichen Speichermechanismen. Session-basierte Daten ohne Persistenz.

Werbung & Profiling (Stufe 3, separater Consent)

localStorage: okp_vid – Pseudonymisierter Visitor-Hash. Persistiert über Sessions.
localStorage: okp_visitor – Besuchszähler, Erstbesuch-Datum, gehörte Artikel.
localStorage: okp_consent_analytics / okp_consent_ads – Einwilligungsstatus.
sessionStorage: okp_utm – UTM-Parameter der aktuellen Session.
sessionStorage: okp_journey – Seitennavigation der aktuellen Session.
sessionStorage: okp_entry – Einstiegsseite der aktuellen Session.

11. Ihre Rechte

Ihnen stehen folgende Rechte zu:

Auskunft (Art. 15 DSGVO): Sie können Auskunft über Ihre gespeicherten Daten verlangen.
Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen.
Einschränkung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen.
Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in maschinenlesbarem Format erhalten.
Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung auf Basis berechtigter Interessen widersprechen.
Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie können Ihre Einwilligung jederzeit widerrufen.

Identifikation bei Betroffenenanfragen: Da OKAYPLAY ausschließlich pseudonyme Identifikatoren (okp_vid) verwendet, ist eine Zuordnung zu einer natürlichen Person nur möglich, wenn Sie uns Ihren Identifier mitteilen. Diesen finden Sie im localStorage Ihres Browsers (Schlüssel: okp_vid) oder über die Datenschutz-Funktion im OKAYPLAY-Player. Alternativ genügt die Angabe des Publishers und des ungefähren Nutzungszeitraums für eine Löschung aller zugehörigen Daten. OKAYPLAY wird zur Bearbeitung von Anfragen keine zusätzlichen personenbezogenen Daten erheben.

Widerruf der Einwilligung – So geht's:

Im OKAYPLAY-Player: Klicken Sie auf das Datenschutz-Symbol (🛡) im Player und wählen Sie „Tracking deaktivieren". Ihre Einwilligungen werden sofort widerrufen und alle gespeicherten Daten (localStorage/sessionStorage mit Präfix „okp_") gelöscht.
Über die CMP des Publishers: Ändern Sie Ihre Einwilligung in der Consent-Management-Plattform der jeweiligen Webseite. OKAYPLAY respektiert das aktualisierte CMP-Signal beim nächsten Seitenaufruf.
Über die CMP des Publishers: Widerrufen Sie die Einwilligung für OKAYPLAY in der Cookie-/Consent-Verwaltung der jeweiligen Webseite
Per E-Mail: Senden Sie eine E-Mail an datenschutz@okayplay.io mit Ihrem Anliegen

Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.

12. Beschwerderecht

Sie haben das Recht, sich bei jeder Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Sie können sich insbesondere an die Aufsichtsbehörde Ihres Wohnsitzes, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes wenden.

Da sich der Sitz des Verantwortlichen in den Niederlanden befindet, ist die voraussichtlich federführende Aufsichtsbehörde (Art. 56 DSGVO):

Autoriteit Persoonsgegevens (AP)
Bezuidenhoutseweg 30, 2594 AV Den Haag, Niederlande
www.autoriteitpersoonsgegevens.nl

Für Nutzer in Deutschland ist ergänzend die jeweilige Landesdatenschutzbehörde zuständig.

13. Gemeinsame Verantwortlichkeit mit Publishern (Art. 26 DSGVO)

OKAYPLAY und die Publisher im Netzwerk sind in bestimmten Bereichen gemeinsam Verantwortliche:

OKAYPLAY ist verantwortlich für: Bereitstellung der Plattform und des Players, Verarbeitung der Tracking-Daten, Cross-Publisher-Profiling, Ad-Ausspielung, Datensicherheit der Plattform
Publisher sind verantwortlich für: Einholung der Einwilligung auf ihrer Webseite (CMP-Integration), Information der Besucher über OKAYPLAY in ihrer eigenen Datenschutzerklärung, Bereitstellung der Widerrufmöglichkeit

Die wesentlichen Inhalte der Vereinbarung nach Art. 26 DSGVO:

Publisher: Einholung und Verwaltung der Nutzereinwilligung (CMP), Bereitstellung der Datenschutzinformation auf der eigenen Webseite, Anlaufstelle für Betroffenenanfragen bezüglich der eigenen Webseite
OKAYPLAY: Technische Datenverarbeitung (Audio-Streaming, Analytics-Auswertung, Werbeausspielung), Pseudonymisierung und Löschung gemäß Löschkonzept, Umsetzung von Widerrufen und Löschanfragen im eigenen System

Unabhängig von dieser internen Aufgabenverteilung können sich Betroffene mit ihren Rechten an beide Verantwortliche wenden (Art. 26 Abs. 3 DSGVO). Die vollständige Vereinbarung wird den Betroffenen auf Anfrage zur Verfügung gestellt und kann unter datenschutz@okayplay.io angefordert werden.

14. Auftragsverarbeitung (Art. 28 DSGVO)

Für rein technische Dienstleistungen, bei denen OKAYPLAY keine eigenen Verarbeitungszwecke verfolgt (insbesondere das Hosting und die technische Auslieferung von Audio-Dateien ohne Tracking), kann ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geschlossen werden.

Abgrenzung zur gemeinsamen Verantwortlichkeit: Soweit OKAYPLAY Besucherdaten für eigene Zwecke verarbeitet (Analytics, Werbenetzwerk, Cross-Publisher-Profiling), handelt es sich nicht um eine Auftragsverarbeitung, sondern um eine gemeinsame Verantwortlichkeit mit dem Publisher nach Art. 26 DSGVO (siehe Abschnitt 13). Der AVV erfasst ausschließlich diejenigen Verarbeitungstätigkeiten, bei denen OKAYPLAY als weisungsgebundener Dienstleister agiert.

Publisher können den AVV unter avv@okayplay.io anfordern.

15. Automatisierte Entscheidungsfindung / Profiling

Die Auswahl der ausgespielten Werbung erfolgt automatisiert auf Basis der in Abschnitt 5 beschriebenen Targeting-Kriterien. Dies stellt ein Profiling im Sinne des Art. 4 Nr. 4 DSGVO dar. Die Verarbeitung erfolgt ausschließlich auf Grundlage Ihrer Einwilligung (Stufe 3) und hat keine rechtliche Wirkung oder ähnlich erhebliche Beeinträchtigung für Sie. Sie betrifft ausschließlich die Auswahl von Werbeeinblendungen.

16. Datenminimierung

Wir haben die Datenerhebung auf das für den jeweiligen Zweck erforderliche Minimum beschränkt:

Ohne Einwilligung: kein Tracking, kein Profiling, keine persistente Wiedererkennung (ausschließlich technisch unvermeidbare Verarbeitung wie IP-Adresse zur Stream-Auslieferung, sofort pseudonymisiert)
Mit Analytics-Einwilligung: 7 Datenkategorien (session-basiert, nicht-persistent)
Mit Werbe-Einwilligung: Vollständiges Profiling mit klarer Zweckbindung an Werbefinanzierung

17. Löschkonzept

Datenbestand	Löschfrist	Auslöser
Tracking-Events (player_events)	90 Tage	Automatisch (Retention-Job)
Besucherprofile (visitor_profiles)	180 Tage ab letztem Besuch	Automatisch (Retention-Job)
Cross-Publisher-Profile	180 Tage ab letztem Besuch	Automatisch oder bei Widerruf
Ad-Impressions	365 Tage	Automatisch (steuerrechtl. Aufbewahrung)
IP-Hashes (Fraud)	24 Stunden	Tagessalt-Rotation
Session-Daten	1 Tag	Automatisch
GeoIP-Cache	30 Tage	Automatisch
Nutzerkonten (Speaker/Publisher/Advertiser)	Bei Kontolöschung	Auf Anfrage + gesetzl. Aufbewahrungsfristen

18. Änderungen

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen der Verarbeitung anzupassen. Die jeweils aktuelle Fassung finden Sie auf dieser Seite.