Hier dokumentiere ich meine Beschwerde über den Musikdienst Suno bei der Landesbeauftragtes für den Datenschutz Nordrhein-Westfalen am 20.11.
Betreff: Datenschutzbeschwerde gegen Suno, Inc. wegen Verstoßes gegen die DSGVO und das TDDDG
Sehr geehrte Damen und Herren,
hiermit erhebe ich förmlich Beschwerde gemäß Art. 77 Abs. 1 DSGVO gegen das
US-Unternehmen Suno, Inc. wegen schwerwiegender Verstöße gegen die
Datenschutz-Grundverordnung (DSGVO) und das
Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG)
1. Angaben zum Verantwortlichen
● Name des Unternehmens: Suno, Inc.
● Hauptsitz: 17 Dunster Street, Floor 4, Cambridge, MA 02138, USA
● Website: https://suno.com und https://suno.ai
● Datenschutzkontakt: privacy@suno.com
● Art der Dienstleistung: KI-gestützte Musikgenerierungsplattform. Das Angebot richtet
sich explizit auch an Nutzer in der EU (Marktortprinzip, Art. 3 Abs. 2 DSGVO).
2. Meine Betroffenheit
Ich bin registrierter Nutzer und zahlender Kunde der Suno-Dienste mit Wohnsitz in
Deutschland. Ich nutze die Plattform zur Erstellung von Musik mittels KI-Tools und habe hierfür
ein Benutzerkonto angelegt.
Meine Nutzerdaten bei Suno umfassen:
● Kontaktinformationen (Name, E-Mail-Adresse)
● Benutzerkonto-Informationen (Username, Passwort)
● Zahlungsinformationen (über Drittanbieter Stripe)
● Nutzeraktivitätsdaten (IP-Adresse, Browser-Daten, Nutzungsverhalten)
● Von mir erstellte Inhalte und Chat-Eingaben zur Musikgenerierung
3. Beschreibung der Datenschutzverstöße
3.1 Verstoß gegen § 25 TDDDGund Art. 6 Abs. 1 lit. a DSGVO –
Rechtswidriges Tracking ohne Einwilligung
Sachverhalt:
Bei Aufruf der Website suno.com werden ohne vorherige Einwilligung und ohne
Cookie-Consent-Banner umfangreiche Tracking- und Marketing-Cookies von zahlreichen
Drittanbietern gesetzt und personenbezogene Daten übermittelt.
Nachgewiesene Drittanbieter-Verbindungen beim Seitenaufruf (siehe Anlage 1):
Marketing- und Tracking-Dienste:
● google-analytics.com (Google Analytics)
● googletagmanager.com (Google Tag Manager)
● facebook.net (Meta/Facebook Pixel)
● ads-twitter.com (Twitter/X Ads)
● tiktok.com (TikTok Pixel)
● bing.com / bing.net (Microsoft Advertising)
● appsflyer.com (Mobile Analytics)
● agentio.com (Marketing-Automation)
● maze.co (User Testing/Analytics)
● singular.net (Marketing Analytics Platform)
Diese Dienste werden unmittelbar beim ersten Seitenaufruf geladen, ohne dass mir zuvor:
● Ein Cookie-Banner angezeigt wurde
● Eine Einwilligung abgefragt wurde
● Eine Wahlmöglichkeit gegeben wurde
Rechtliche Bewertung:
Gemäß § 25 Abs. 1 TDDDG ist die Speicherung von Informationen in der Endeinrichtung des
Endnutzers oder der Zugriff auf bereits gespeicherte Informationen nur zulässig, wenn der
Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.
Ausnahmen nach § 25 Abs. 2 TDDDG (technisch notwendige Cookies) liegen bei Marketing-
und Analytics-Cookies nicht vor.
Die fehlende Einholung einer Einwilligung stellt zudem einen Verstoß gegen Art. 6 Abs. 1 lit. a
DSGVO dar, da keine rechtmäßige Rechtsgrundlage für die Verarbeitung personenbezogener
Daten durch diese Tracking-Technologien vorliegt.
3.2 Verstoß gegen Art. 7 DSGVO – Keine wirksame Einwilligung
Sachverhalt:
Die Datenschutzerklärung von Suno (Stand: 6. November 2025) enthält folgende Formulierung:
“By using the Services and allowing cookies and similar technologies to be placed
by us, you consent to our use of these technologies and the User Activity
Information generated from them.”
Suno interpretiert die bloße Nutzung der Website als stillschweigende Einwilligung in
umfangreiches Tracking.
Rechtliche Bewertung:
Nach Art. 7 DSGVO muss eine Einwilligung:
● Freiwillig erfolgen
● Für den bestimmten Fall gegeben werden
● In informierter Weise erfolgen
● Durch eine eindeutige bestätigende Handlung erklärt werden
Eine stillschweigende Einwilligung durch bloße Websitenutzung erfüllt diese Anforderungen
nicht (vgl. EuGH, Urt. v. 1.10.2019, C-673/17 – Planet49).
Die Einwilligung muss durch aktive Handlung (z.B. Anklicken eines Opt-In-Buttons) erfolgen.
Ein voreingestelltes Opt-In oder die Konstruktion “Nutzung = Einwilligung” ist unwirksam.
3.3 Verstoß gegen Art. 13 DSGVO – Unvollständige Information
Sachverhalt:
Die Datenschutzerklärung erwähnt zwar generell die Nutzung von Drittanbieter-Tools wie
“Google Analytics”, listet aber nicht vollständig und transparent alle beim Seitenaufruf
aktivierten Tracking-Dienste auf.
Insbesondere fehlen detaillierte Informationen zu:
● Facebook Pixel (facebook.net)
● Twitter/X Ads (ads-twitter.com)
● TikTok Pixel
● AppsFlyer
● Singular.net
● Maze.co
● Agentio.com
Rechtliche Bewertung:
Nach Art. 13 DSGVO muss der Verantwortliche bei Erhebung personenbezogener Daten die
betroffene Person vollständig und transparent über alle Empfänger oder Kategorien von
Empfängern informieren.
Die pauschale Erwähnung von “Drittanbietern für Analytics” genügt nicht den
Transparenzanforderungen.
3.4 Verstoß gegen Art. 44 ff. DSGVO – Unrechtmäßige
Drittlandübermittlung
Sachverhalt:
Durch die ohne Einwilligung aktivierten Tracking-Dienste werden personenbezogene Daten
(IP-Adressen, Browser-Fingerprints, Nutzungsverhalten) an Unternehmen in den USA und
(vermutlich) China übermittelt:
● Google (USA)
● Meta/Facebook (USA)
● Microsoft (USA)
● TikTok (China/USA)
● Diverse weitere US-Dienstleister
Die Datenschutzerklärung erwähnt zwar die Datenübermittlung in die USA, aber:
Rechtliche Bewertung:
Nach dem Schrems-II-Urteil des EuGH (Urt. v. 16.7.2020, C-311/18) ist eine Datenübermittlung
in die USA nur unter strengen Voraussetzungen rechtmäßig:
1. Es muss eine wirksame Einwilligung vorliegen (fehlt hier)
2. Es müssen geeignete Garantien (z.B. Standardvertragsklauseln) vorhanden sein
3. Es müssen zusätzliche Maßnahmen getroffen werden, um ein angemessenes
Schutzniveau zu gewährleisten
Die Datenschutzerklärung enthält keine Informationen über:
● Konkret verwendete Übermittlungsinstrumente
● Zusätzliche Schutzmaßnahmen (z.B. Verschlüsselung, Pseudonymisierung)
● Transfer Impact Assessments
Die ohne Einwilligung erfolgende Massenübermittlung von Nutzerdaten an
US-Tracking-Dienste verstößt gegen Art. 44, 46 und 49 DSGVO.
3.5 Verstoß gegen Art. 25 DSGVO – Fehlende
Datenschutz-Voreinstellungen (Privacy by Default)
Sachverhalt:
Suno aktiviert standardmäßig alle Tracking- und Marketing-Cookies ohne Wahlmöglichkeit für
den Nutzer.
Rechtliche Bewertung:
Art. 25 Abs. 2 DSGVO verpflichtet Verantwortliche, geeignete technische und organisatorische
Maßnahmen zu treffen, die sicherstellen, dass grundsätzlich nur solche
personenbezogenen Daten verarbeitet werden, die für den jeweiligen
Verarbeitungszweck erforderlich sind.
Marketing-Cookies sind für die Nutzung der Musikgenerierungs-Plattform nicht erforderlich. Die
datenschutzfreundliche Voreinstellung müsste lauten: Tracking standardmäßig deaktiviert,
Aktivierung nur nach Einwilligung.
3.6 Ignorieren von “Do Not Track”-Signalen
Sachverhalt:
Die Datenschutzerklärung gibt offen zu:
“Although your browser may allow you to transmit a ‘Do Not Track’ or ‘opt-out
preference’ signal, like many websites, our website is not designed to respond to
such signals.”
Rechtliche Bewertung:
Obwohl keine rechtliche Pflicht zur Beachtung von DNT-Signalen besteht, zeigt diese
Formulierung die datenschutzfeindliche Grundhaltung des Unternehmens. In Verbindung mit
dem fehlenden Cookie-Banner wird deutlich, dass Nutzerpräferenzen systematisch ignoriert
werden.
3.7 Nutzung von Nutzerdaten zum Training von KI-Modellen
Sachverhalt:
Die Datenschutzerklärung gibt an (Abschnitt “How We Use Your Information”, Punkt 6):
“We use certain User Activity Information, Submissions, Interactive Chat
Information, and other Content […] to train and enhance the models that power our
Services.”
Dies betrifft:
● Von mir hochgeladene Musikdateien und Inhalte
● Meine Chat-Eingaben und Prompts zur Musikerstellung
● Mein Nutzungsverhalten
Rechtliche Bewertung:
Die Nutzung personenbezogener Daten (einschließlich potenziell sensibler kreativer Inhalte)
zum Training von KI-Modellen bedarf einer spezifischen, informierten und freiwilligen
Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO.
Die pauschale Formulierung “legitimate interests” (berechtigte Interessen) ist hier nicht
ausreichend, da:
1. Eine Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO bei dieser weitreichenden
Nutzung zulasten des Nutzers ausfallen müsste
2. Nutzer keine Kenntnis haben, wie ihre kreativen Inhalte im Detail verwendet werden
3. Keine Opt-Out-Möglichkeit für diese spezifische Nutzung angeboten wird
3.8 Verstoß gegen Art. 12 Abs. 3 und Art. 15 DSGVO – Nichtbeantwortung
einer Auskunftsanfrage
Sachverhalt:
Am 10.11.2025 habe ich per E-Mail an privacy@suno.com und support@suno.com eine
Auskunftsanfrage gemäß Art. 15 DSGVO gestellt.
Inhalt meiner Anfrage:
Ich bat um Auskunft über alle zu meiner Person gespeicherten personenbezogenen Daten,
deren Herkunft, Empfänger und Verarbeitungszwecke.
Bisherige Reaktion von Suno:
Bis zum heutigen Tag (20.11.25) habe ich keine inhaltliche Antwort von Suno erhalten, mir
wurden lediglich zwei Links zugeschickt.
Rechtliche Bewertung:
Zwar ist die Monatsfrist noch nicht abgelaufen, jedoch hat der Verantwortliche durch die
Übersendung nichtssagender Links faktisch die Erteilung einer vollständigen Auskunft
verweigert bzw. versucht, mich mit Standardtexten abzuspeisen.
Dies verletzt mein Recht auf Auskunft gemäß Art. 15 DSGVO und verstößt gegen das Gebot,
die Ausübung von Betroffenenrechten zu erleichtern (Art. 12 Abs. 2 DSGVO).
Nachweis:
Als Anlage füge ich bei:
● Kopie meiner Auskunftsanfrage vom 10.11.2025
● (Nicht-)Antwort von SUNO
3.9 Verstoß gegen Art. 27 DSGVO – Fehlender EU-Vertreter
Sachverhalt:
Das Unternehmen hat seinen Sitz außerhalb der EU, bietet aber Waren/Dienstleistungen in der
EU an (Art. 3 Abs. 2 DSGVO). In der Datenschutzerklärung und im Impressum ist kein Vertreter
in der Union gemäß Art. 27 DSGVO benannt.
Rechtliche Bewertung:
Dies stellt einen formalen Verstoß gegen Art. 27 DSGVO dar und erschwert die
Rechtsdurchsetzung für Betroffene.
4. Zusammenfassung der Rechtsverstöße
Suno, Inc. verstößt gegen folgende Vorschriften:
Rechtsgrundlage Verstoß
§ 25 Abs. 1 TDDDG Tracking ohne Einwilligung
Art. 6 Abs. 1 lit. a DSGVO Fehlende Rechtsgrundlage für Datenverarbeitung
Art. 7 DSGVO Unwirksame Einwilligung
Art. 13 DSGVO Unvollständige Informationspflichten
Art. 25 Abs. 2 DSGVO Fehlende Privacy by Default
Art. 44 ff. DSGVO Unrechtmäßige Drittlandübermittlung
Art. 5 Abs. 1 lit. a DSGVO
Art. 15 DSGVO
Art. 27 DSGVO
Intransparente Verarbeitung
Unvollständige Auskunftserteilung
Fehlender EU-Vertreter
5. Meine Forderungen
Ich beantrage bei der Aufsichtsbehörde:
1. Untersuchung: Eine umfassende Prüfung der Datenverarbeitungspraxis von Suno, Inc.
2. Anordnungen (Art. 58 DSGVO):
○ Verpflichtung zur Implementierung eines TDDDG-konformen Consent-Layers
(Opt-In).
○ Verbot der Datenverarbeitung zu Trackingzwecken bis zur Herstellung der
Konformität.
○ Benennung eines EU-Vertreters.
○ Verpflichtung zur vollständigen Auskunftserteilung meiner Daten.
3. Sanktionen: Prüfung der Verhängung eines Bußgeldes gemäß Art. 83 DSGVO
aufgrund der Schwere und Systematik der Verstöße (Millionen Nutzer betroffen).
4. Unterrichtung: Information über den Stand und das Ergebnis des Verfahrens gemäß
Art. 77 Abs. 2 DSGVO.
Suno: Mit Seitenauf angeforderte Websites
