Skip to main content

Datenschutzerklärung

Stand: Juni 2026

Hinweis für Betreiber: Vollständige Anbieterdaten müssen über NEXT_PUBLIC_LEGAL_* Umgebungsvariablen konfiguriert werden, bevor die Plattform öffentlich geht.

[Betreiber — in .env.local konfigurieren]

Einzelunternehmen

[Straße und Hausnummer]

[PLZ] [Ort]

Deutschland

legal@darkcharts.de

1. Verantwortliche Stelle

Verantwortlicher im Sinne der DSGVO ist der im Impressum genannte Betreiber.

Datenschutz-Anfragen: Kontaktadresse im Impressum.

2. Registrierung & Authentifizierung

2.1 E-Mail-Registrierung: E-Mail-Adresse, Passwort-Hash, gewählte Rolle (Fan/DJ/Band/Label). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

2.2 Spotify OAuth: E-Mail, Anzeigename, Spotify-Nutzer-ID, Profilbild (optional). Empfänger: Spotify AB (Drittland USA; Standardvertragsklauseln). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

2.3 Google OAuth: E-Mail, Name, Profilbild, Google-Nutzer-ID. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

2.4 E-Mail-Verifizierung: Transaktions-E-Mails über Resend zur Bestätigung vor Abstimmungen.

2.5 Optionale Spotify-Hörhistorie (Trust-Boost): Top-Künstler/Tracks nur zur Sybil-Resistenz — nicht für Werbung. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

3. Voting-Daten

Bei Abstimmungen speichern wir Profil-ID, Release-ID, Zeitstempel, Stimmen und Credit-Kosten (quadratisches Voting).

IP-Adressen werden nicht dauerhaft gespeichert; kurzzeitig im Arbeitsspeicher für Rate Limiting (max. ca. 2 Minuten pro Instanz). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

Automatisierte Anomalie-Erkennung kann verdächtige Abstimmungsmuster markieren. Ungeklärte Anomalien mit hoher Schwere können Abstimmungen auf betroffene Releases vorübergehend aussetzen.

4. Auftragsverarbeiter & Hosting

  • Supabase Inc. — Datenbank, Nutzerdaten
  • Vercel Inc. — Hosting, Serverless-Funktionen
  • Cloudflare Inc. — R2 Object Storage (Cover-Artworks, sofern konfiguriert)
  • Spotify / Google — OAuth-Anbieter
  • Resend — Transaktions-E-Mails
  • song.link / Odesli — Streaming-Metadaten und Deeplinks
  • Stripe Inc. — Zahlungsabwicklung für Spotlight-Buchungen (Kartendaten nur bei Stripe)

5. Cookies & lokale Speicherung

  • auth-token — Session / JWT — bis Logout / Ablauf
  • oauth-tokens-* — OAuth-Session — bis Logout
  • cookie-consent — Einwilligungsnachweis — 12 Monate
  • language — Spracheinstellung — persistent

6. Ihre Rechte

Bearbeitung innerhalb von 30 Tagen.

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO) — per E-Mail oder „Konto löschen“ im Profil
  • Einschränkung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch (Art. 21 DSGVO)
  • Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

7. Speicherdauer

  • Account-Daten: bis zur Löschung des Kontos
  • Voting-Daten: für Chart-Integrität; bei Kontolöschung werden personenbezogene Verknüpfungen entfernt
  • Server-Logs (Vercel): gemäß Anbieter-Richtlinien, typisch bis 30 Tage
  • Spotlight-Buchungen: Aufbewahrung für Buchhaltung und Streitfälle nach gesetzlichen Vorgaben

8. Datensicherheit

  • Verschlüsselte Übertragung (TLS/HTTPS)
  • Passwort-Hashing (bcrypt)
  • Rate Limiting gegen Brute-Force-Angriffe

Imprint · Privacy · Terms

No track selected