Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO – zwischen dem Studio-Betreiber (Verantwortlicher) und Viktor Fuchs, CuePort (Auftragsverarbeiter)

§ 1 Gegenstand und Dauer

(1) Der Auftragsverarbeiter (nachfolgend „AV") verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen (nachfolgend „Studio-Betreiber") im Rahmen der Bereitstellung des webbasierten Dienstes CuePort (nachfolgend „Dienst").

(2) Die Verarbeitung beginnt mit der Registrierung des Studio-Kontos und endet mit der vollständigen Löschung des Kontos und aller zugehörigen Daten.

(3) Der AV verarbeitet die Daten ausschließlich auf Grundlage der Weisungen des Studio-Betreibers. Die Weisungen ergeben sich aus diesem Vertrag, den AGB und der bestimmungsgemäßen Nutzung des Dienstes.

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung dient der Bereitstellung einer webbasierten Plattform zur Verwaltung von Musikproduktionen und umfasst insbesondere:

– Speicherung und Verwaltung von Künstlerdaten
– Speicherung und Verwaltung von Produktionsdaten und deren Fortschritt
– Speicherung und Bereitstellung von Audio-Dateien und Cover Art
– Verwaltung von Track-Versionen
– Speicherung und Anzeige von zeitbasiertem Feedback
– Speicherung und Bereitstellung von Lyrics
– Verwaltung von Artist-Zugängen (Artist Portal)
– Bereitstellung eines Echtzeit-Präsenz-Systems
– Abruf und Speicherung öffentlich verfügbarer Spotify-Statistiken
– Tracking von Spotify-Playlist-Daten (Follower, Streams)

§ 3 Art der personenbezogenen Daten

Folgende Kategorien personenbezogener Daten werden verarbeitet:

– Stammdaten: Namen, E-Mail-Adressen, Studio-Namen
– Kontaktdaten: E-Mail, Telefonnummern, Social-Media-Kontakte (soweit vom Studio-Betreiber eingegeben)
– Authentifizierungsdaten: Gehashte Passwörter, Session-Tokens
– Inhaltsdaten: Audio-Dateien, Texte (Lyrics), Bilder (Cover Art), Feedback-Kommentare, Notizen
– Nutzungsdaten: Online-Status, Zeitpunkt der letzten Aktivität
– Öffentlich verfügbare Daten: Spotify-Artist-IDs, Stream-Zahlen, Follower-Zahlen, Discography-Metadaten

§ 4 Kategorien betroffener Personen

– Studio-Nutzer: Admin und Team-Mitglieder des Studios
– Artists: Künstler, deren Daten vom Studio verwaltet werden und die ggf. Zugang zum Artist Portal haben
– Kontaktpersonen: Personen, deren Kontaktdaten in Künstler- oder Produktionsnotizen hinterlegt werden

§ 5 Pflichten des Auftragsverarbeiters

(1) Der AV verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Studio-Betreibers – auch in Bezug auf die Übermittlung in Drittländer – es sei denn, er ist durch Unionsrecht oder das Recht eines Mitgliedstaats hierzu verpflichtet.

(2) Der AV gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben.

(3) Der AV ergreift alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (siehe § 7).

(4) Der AV unterstützt den Studio-Betreiber bei der Erfüllung seiner Pflichten gemäß Art. 32–36 DSGVO (Sicherheit, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzung).

(5) Der AV unterstützt den Studio-Betreiber bei der Beantwortung von Anträgen betroffener Personen (Art. 15–22 DSGVO).

(6) Nach Beendigung der Verarbeitung löscht der AV sämtliche personenbezogenen Daten, sofern keine gesetzliche Aufbewahrungspflicht besteht. Die Löschung erfolgt automatisch bei Löschung des Studio-Kontos.

(7) Der AV stellt dem Studio-Betreiber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

§ 6 Unterauftragsverarbeiter

(1) Der Studio-Betreiber erteilt dem AV die allgemeine Genehmigung, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) hinzuzuziehen. Der AV informiert den Studio-Betreiber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern, wobei der Studio-Betreiber die Möglichkeit hat, gegen derartige Änderungen Einspruch zu erheben.

(2) Derzeit eingesetzte Unterauftragsverarbeiter:

Cloudflare, Inc.
101 Townsend St, San Francisco, CA 94107, USA
Leistung: Hosting (Pages), Serverless Computing (Workers), Datenbank (D1), Objektspeicher (R2), Echtzeit-Funktionen (Durable Objects), Key-Value-Speicher (KV)
Zertifizierung: EU-US Data Privacy Framework
DPA: cloudflare.com/cloudflare-customer-dpa

Lemon Squeezy Inc.
17 Edinburgh Drive, Dover, DE 19901, USA
Leistung: Zahlungsabwicklung als „Merchant of Record" für kostenpflichtige Abonnements
Drittlandtransfer: EU-Standardvertragsklauseln
DPA: lemonsqueezy.com/dpa

(3) Folgende Dienste verarbeiten keine personenbezogenen Daten der Studio-Nutzer oder Artists, sondern ausschließlich öffentlich verfügbare Spotify-IDs. Sie gelten daher nicht als Unterauftragsverarbeiter im Sinne von Art. 28 DSGVO:

– Spotify Web API (Spotify AB, Schweden) – Öffentliche Künstler- und Playlist-Metadaten
– Autorisierte Drittanbieter-APIs – Öffentliche Spotify-Statistiken (Monthly Listeners, Streams, Track-Stream-Zahlen, Playlist-Daten)

§ 7 Technische und organisatorische Maßnahmen (TOMs)

Der AV hat folgende Maßnahmen gemäß Art. 32 DSGVO implementiert:

Vertraulichkeit:

– Passwörter werden ausschließlich als kryptographische Hashes gespeichert (PBKDF2 mit individuellem Salt)
– Session-Tokens werden als kryptographisch sichere Zufallswerte generiert
– Multi-Tenancy: Strikte Datentrennung zwischen Studios auf Datenbankebene (studio_id-basierte Zugriffskontrolle bei jeder Abfrage)
– API-Keys und Secrets werden als verschlüsselte Cloudflare Worker Secrets gespeichert, nicht im Quellcode
– Artist Portal: Token-basierter Zugang, beschränkt auf eigene Produktionsdaten

Integrität:

– Sämtliche Datenübertragung erfolgt ausschließlich über TLS-verschlüsselte Verbindungen (HTTPS)
– Rate Limiting bei Login- und Registrierungsversuchen (IP- und E-Mail-basiert) zum Schutz vor Brute-Force-Angriffen
– Eingabevalidierung und SQL-Injection-Schutz durch Prepared Statements (Cloudflare D1)

Verfügbarkeit:

– Hosting auf Cloudflares globalem Edge-Netzwerk mit automatischer Redundanz
– Cloudflare D1 mit automatischen Backups
– Cloudflare R2 mit integrierter Datenredundanz

Belastbarkeit:

– Serverless-Architektur (Cloudflare Workers) skaliert automatisch
– DDoS-Schutz durch Cloudflare

Löschkonzept:

– Studio-Betreiber können ihr Konto jederzeit selbst vollständig löschen (Kaskadenlöschung aller zugehörigen Daten aus D1 und R2)
– Session-Daten laufen automatisch ab (30 Tage Studio, Browser-Session Artist)
– Rate-Limiting-Daten werden nach 60 Sekunden automatisch gelöscht
– Echtzeit-Präsenzdaten werden bei Verbindungsabbruch automatisch entfernt

§ 8 Meldung von Datenschutzverletzungen

(1) Der AV unterrichtet den Studio-Betreiber unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist.

(2) Die Meldung enthält mindestens: eine Beschreibung der Art der Verletzung, die Kategorien und ungefähre Anzahl der betroffenen Personen und Datensätze, die wahrscheinlichen Folgen und die ergriffenen oder vorgeschlagenen Abhilfemaßnahmen.

(3) Die Meldung erfolgt per E-Mail an die beim Studio-Betreiber hinterlegte Admin-E-Mail-Adresse.

§ 9 Kontrollrechte des Studio-Betreibers

(1) Der Studio-Betreiber hat das Recht, die Einhaltung dieses Vertrags und der Datenschutzvorschriften beim AV zu überprüfen. Der AV stellt die hierzu erforderlichen Informationen auf Anfrage zur Verfügung.

(2) Inspektionen können nach vorheriger Abstimmung (mindestens 14 Tage Vorlauf) durchgeführt werden. Der Studio-Betreiber kann sich dabei durch einen unabhängigen, zur Verschwiegenheit verpflichteten Prüfer vertreten lassen.

(3) Der AV ist berechtigt, alternativ aktuelle Prüfberichte, Zertifizierungen oder Bescheinigungen unabhängiger Prüfer als Nachweis vorzulegen.

§ 10 Drittlandtransfers

(1) Eine Verarbeitung in Drittländern erfolgt ausschließlich über den Unterauftragsverarbeiter Cloudflare, Inc. (USA), der unter dem EU-US Data Privacy Framework zertifiziert ist.

(2) Der AV stellt sicher, dass bei einer Datenübermittlung in Drittländer ein angemessenes Datenschutzniveau gemäß Art. 44 ff. DSGVO gewährleistet ist.

§ 11 Laufzeit und Beendigung

(1) Dieser Vertrag gilt für die Dauer der Nutzung des Dienstes durch den Studio-Betreiber.

(2) Bei Beendigung der Nutzung (Löschung des Studio-Kontos) löscht der AV sämtliche personenbezogenen Daten unwiderruflich, einschließlich aller Daten in Cloudflare D1 (Datenbank), Cloudflare R2 (Audio-Dateien, Cover Art, Logos) und Cloudflare Durable Objects (Echtzeit-Daten).

(3) Der AV bestätigt die vollständige Löschung auf Anfrage per E-Mail.

§ 12 Kontakt

Auftragsverarbeiter:
Viktor Fuchs, CuePort
Künzelsauer Straße 3, 74653 Ingelfingen
E-Mail:

§ 13 Stand

April 2026