Datenschutzerklärung

1. Verantwortlicher

Christian Voss
Vossmedien
Frankenstr. 37a
90443 Nurnberg
Deutschland
E-Mail: christian@vossmedien.de

2. Weltweite Nutzung des Dienstes

Spotify Playlist Curator ist weltweit erreichbar und kann auch von Nutzern außerhalb Deutschlands verwendet werden. Diese Datenschutzerklärung beschreibt die Verarbeitung personenbezogener Daten durch einen in Deutschland ansässigen Anbieter. Zwingende Datenschutz- und Verbraucherschutzvorschriften des jeweiligen Aufenthalts- oder Wohnsitzstaates bleiben unberührt.

3. Welche Daten wir verarbeiten

  • Spotify-Kontodaten: Spotify-Benutzer-ID, E-Mail-Adresse, Anzeigename und Profilbild, soweit Spotify diese im OAuth-Profil bereitstellt.
  • Nutzungs- und Inhaltsdaten: Kategorien, zugeordnete Kunstler, Playlist-Konfigurationen, Sync-Protokolle, Discovery-Entscheidungen sowie Einstellungen im Konto.
  • Zahlungsbezug: Stripe Customer-ID, Stripe Subscription-ID, gebuchter Tarif und abrechnungsbezogene Statusdaten. Zahlungsdaten selbst verarbeitet Stripe eigenstandig.
  • Sicherheits- und Sitzungsdaten: Session-Cookies, Zeitstempel für erneute Authentifizierung bei sensiblen Aktionen, Rate-Limit- und Audit-Eintrage.
  • Spotify-Zugriffstoken: Access- und Refresh-Tokens werden verschlüsselt gespeichert und ausschließlich für die Spotify-API-Kommunikation verwendet.
  • KI-Discovery-Profildaten: gewählte Kategorie, Richtung, Energie, Vocal-Präferenz und eine optionale Kurznotiz. Die Kurznotiz wird serverseitig bereinigt; dauerhaft gespeichert wird nur eine redigierte Zusammenfassung der Anfrage zusammen mit gespeicherten Vorschlägen.

4. Zwecke und Rechtsgrundlagen

  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO):Kontoführung, Playlist-Synchronisierung, Abrechnung, Export, Löschung und Support der Kernfunktionen.
  • Sicherheit und Missbrauchsprävention (Art. 6 Abs. 1 lit. f DSGVO): Same-Origin-Prüfungen, Webhook-Idempotenz, Re-Authentifizierung für sensible Aktionen, Rate Limits, Audit-Logging und Eingabeprüfungen für KI-Discovery.
  • Erfüllung gesetzlicher Pflichten (Art. 6 Abs. 1 lit. c DSGVO): handels-, steuer- und zahlungsrechtliche Aufbewahrungspflichten.

5. Eingesetzte Auftragsverarbeiter und Empfanger

  • Spotify AB (Schweden): Authentifizierung, Künstler- und Playlist-Daten. Übermittelt werden insbesondere Spotify-Benutzer-ID sowie die zur Playlist-Verwaltung notwendigen API-Aufrufe.
  • Stripe, Inc. (USA): Checkout, Aboverwaltung, Steuer- und Zahlungsabwicklung. Wir erhalten nur die für die Vertragsverwaltung erforderlichen Referenz- und Statusdaten.
  • Anthropic PBC (USA): KI-gestützte Künstlerempfehlungen. Übermittelt werden Kategoriename, vorhandene Künstlernamen und das strukturierte Discovery-Profil einschließlich einer optionalen Kurznotiz. Wir übermitteln keine Stripe-Daten, keine Zugangstoken und keine Freitext-Chats.
  • Ticketmaster / Live Nation (USA): Konzert- und Eventsuche anhand von Künstlernamen.
  • Hetzner Online GmbH (Deutschland): Hosting der Anwendung und Datenbank in Deutschland.

Bei Übermittlungen in Drittländer stützen wir uns auf geeignete Garantien, insbesondere Standardvertragsklauseln oder einen einschlägigen Angemessenheitsbeschluss, soweit verfügbar.

6. Cookies und lokale Speicherung

Wir verwenden nur technisch erforderliche Cookies und ahnliche Speichermechanismen für Anmeldung, Sprache, Sitzungsführung und Sicherheit. Rechtsgrundlage ist § 25 Abs. 2 TDDDG sowie Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO. Tracking-, Analyse- oder Werbe-Cookies setzen wir derzeit nicht ein.

7. Speicherdauer

  • Kontodaten und Inhaltsdaten speichern wir grundsatzlich bis zur Kontolöschung oder bis zum Ende des Vertragsverhältnisses.
  • Rechnungs- und steuerrelevante Daten konnen aufgrund gesetzlicher Pflichten 6 bis 10 Jahre aufbewahrt werden.
  • Spotify-Cache-Daten werden je nach Datentyp für etwa 2 Stunden bis 30 Tage gespeichert.
  • KI-Discovery-Caches und verifizierte Vorschlags-Caches werden bis zu 24 Stunden gespeichert.
  • Ticketmaster-Event-Caches werden bis zu 8 Stunden gespeichert; Zuordnungs- und Negativ-Caches konnen bis zu 30 Tage bzw. 24 Stunden bestehen.
  • Benutzerbezogene Konzert-Aggregationen werden bis zu 30 Minuten, Sync-Fortschrittsdaten bis zu 10 Minuten und bestimmte Rate-Limit- bzw. Webhook-Marker zwischen 1 Stunde und 24 Stunden gespeichert.

Bei einer Kontolöschung entfernen wir die zugeordneten Datenbankeinträge und benutzerspezifischen Cache-Schlüssel, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

8. Datensicherheit

  • TLS-Verschlüsselung für Datenübertragungen
  • AES-256-GCM für gespeicherte Spotify-Tokens
  • Serverseitige Eingabevalidierung und Schema-Prüfungen
  • Same-Origin-Schutz fur schreibende API-Endpunkte
  • Re-Login-Pflicht für Export, Kontolöschung und sensible Billing-Aktionen
  • Nur serverseitig validierte und Spotify-verifizierte KI-Vorschläge werden angezeigt oder gespeichert

9. Ihre Rechte

  • Auskunft und Datenübertragbarkeit: Export im Kontobereich
  • Löschung: Löschfunktion im Kontobereich
  • Berichtigung, Einschränkung, Widerspruch: per E-Mail an christian@vossmedien.de
  • Beschwerde: bei einer zuständigen Datenschutzaufsichtsbehörde