Datenschutzerklärung
Stand: Juni 2026
Hinweis für Betreiber: Vollständige Anbieterdaten müssen über NEXT_PUBLIC_LEGAL_* Umgebungsvariablen konfiguriert werden, bevor die Plattform öffentlich geht.
[Betreiber — in .env.local konfigurieren]
Einzelunternehmen
[Straße und Hausnummer]
[PLZ] [Ort]
Deutschland
1. Verantwortliche Stelle
Verantwortlicher im Sinne der DSGVO ist der im Impressum genannte Betreiber.
Datenschutz-Anfragen: Kontaktadresse im Impressum.
2. Registrierung & Authentifizierung
2.1 E-Mail-Registrierung: E-Mail-Adresse, Passwort-Hash, gewählte Rolle (Fan/DJ/Band/Label). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
2.2 Spotify OAuth: E-Mail, Anzeigename, Spotify-Nutzer-ID, Profilbild (optional). Empfänger: Spotify AB (Drittland USA; Standardvertragsklauseln). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
2.3 Google OAuth: E-Mail, Name, Profilbild, Google-Nutzer-ID. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
2.4 E-Mail-Verifizierung: Transaktions-E-Mails über Resend zur Bestätigung vor Abstimmungen.
2.5 Optionale Spotify-Hörhistorie (Trust-Boost): Top-Künstler/Tracks nur zur Sybil-Resistenz — nicht für Werbung. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
3. Voting-Daten
Bei Abstimmungen speichern wir Profil-ID, Release-ID, Zeitstempel, Stimmen und Credit-Kosten (quadratisches Voting).
IP-Adressen werden nicht dauerhaft gespeichert; kurzzeitig im Arbeitsspeicher für Rate Limiting (max. ca. 2 Minuten pro Instanz). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Automatisierte Anomalie-Erkennung kann verdächtige Abstimmungsmuster markieren. Ungeklärte Anomalien mit hoher Schwere können Abstimmungen auf betroffene Releases vorübergehend aussetzen.
4. Auftragsverarbeiter & Hosting
- Supabase Inc. — Datenbank, Nutzerdaten
- Vercel Inc. — Hosting, Serverless-Funktionen
- Cloudflare Inc. — R2 Object Storage (Cover-Artworks, sofern konfiguriert)
- Spotify / Google — OAuth-Anbieter
- Resend — Transaktions-E-Mails
- song.link / Odesli — Streaming-Metadaten und Deeplinks
- Stripe Inc. — Zahlungsabwicklung für Spotlight-Buchungen (Kartendaten nur bei Stripe)
5. Cookies & lokale Speicherung
- auth-token — Session / JWT — bis Logout / Ablauf
- oauth-tokens-* — OAuth-Session — bis Logout
- cookie-consent — Einwilligungsnachweis — 12 Monate
- language — Spracheinstellung — persistent
6. Ihre Rechte
Bearbeitung innerhalb von 30 Tagen.
- Auskunft (Art. 15 DSGVO)
- Berichtigung (Art. 16 DSGVO)
- Löschung (Art. 17 DSGVO) — per E-Mail oder „Konto löschen“ im Profil
- Einschränkung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch (Art. 21 DSGVO)
- Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)
7. Speicherdauer
- Account-Daten: bis zur Löschung des Kontos
- Voting-Daten: für Chart-Integrität; bei Kontolöschung werden personenbezogene Verknüpfungen entfernt
- Server-Logs (Vercel): gemäß Anbieter-Richtlinien, typisch bis 30 Tage
- Spotlight-Buchungen: Aufbewahrung für Buchhaltung und Streitfälle nach gesetzlichen Vorgaben
8. Datensicherheit
- Verschlüsselte Übertragung (TLS/HTTPS)
- Passwort-Hashing (bcrypt)
- Rate Limiting gegen Brute-Force-Angriffe