Datenschutzerklärung
2. Übersicht der Datenverarbeitungen
Diese Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten bei der Nutzung der Webanwendung CuePort (nachfolgend „Dienst") unter cueport.app.
3. Hosting & Infrastruktur
Der Dienst wird vollständig über Cloudflare, Inc. (101 Townsend St, San Francisco, CA 94107, USA) bereitgestellt. Folgende Cloudflare-Dienste kommen zum Einsatz:
Cloudflare Pages – Hosting der Webanwendung (Landing Page, Studio Manager, Artist Portal).
Cloudflare Workers – Serverless API-Endpoints für Datenverarbeitung, Authentifizierung und Geschäftslogik.
Cloudflare D1 – SQLite-Datenbank zur Speicherung aller Nutzerdaten, Produktionen, Feedback, Spotify-Daten und Playlist-Tracking-Daten.
Cloudflare R2 – Objektspeicher für Audio-Dateien (Instrumentale, Vocals, Mixdowns), Cover Art und Studio-Logos.
Cloudflare Durable Objects – Echtzeit-Funktionen für das Präsenz-System (Online-Status) und den automatischen Spotify-Synchronisationsprozess.
Cloudflare KV – Key-Value-Speicher für Rate Limiting bei Login- und Registrierungsversuchen.
Bei jedem Zugriff auf den Dienst werden durch Cloudflare automatisch technische Daten verarbeitet: IP-Adresse, verwendeter Browser und Betriebssystem, Zeitpunkt des Zugriffs, Referrer-URL und aufgerufene Seite. Diese Daten werden von Cloudflare zur Sicherstellung des Betriebs und zur Abwehr von Angriffen verarbeitet.
Cloudflare ist unter dem EU-US Data Privacy Framework zertifiziert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherer und zuverlässiger Bereitstellung des Dienstes).
4. Zahlungsabwicklung (Lemon Squeezy)
Für die Abwicklung kostenpflichtiger Abonnements nutzen wir Lemon Squeezy Inc. als „Merchant of Record".
Bei Abschluss oder Verwaltung eines Abonnements werden folgende Daten an Lemon Squeezy übermittelt:
– Name und E-Mail-Adresse
– Studio-ID
– Auswahl des Tarifs
Die Zahlungsdaten selbst geben Sie direkt im Checkout-Formular von Lemon Squeezy ein. Diese Daten werden nicht an den Anbieter übermittelt.
Lemon Squeezy verarbeitet die Zahlungsdaten als eigenständig Verantwortlicher. Datentransfer USA via EU-Standardvertragsklauseln.
Vom Anbieter zurück übermittelt Lemon Squeezy nur Subscription-Status, Subscription-ID, Customer-ID, Plan-Variante und nächstes Abrechnungsdatum.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtungen).
5. Registrierung & Nutzerkonto
Studio-Registrierung: Eine Registrierung kann eigenständig auf cueport.app vorgenommen werden oder per Einladung durch ein bestehendes Studio. Bei der Registrierung werden gespeichert: Name, E-Mail-Adresse, Passwort (gehasht mit PBKDF2 mit Salt), Rolle (Admin oder Team-Mitglied), Studio-Name und Zeitpunkt der Registrierung.
Registrierungsanfragen: Über das Kontaktformular auf der Landing Page können Interessenten eine Anfrage stellen. Dabei werden Name, Studio-Name, E-Mail-Adresse und eine optionale Nachricht gespeichert.
Mindestalter: Die Nutzung des Dienstes setzt ein Mindestalter von 16 Jahren voraus.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bzw. vorvertragliche Maßnahmen).
6. Cookies & Session-Management
Studio-Session: Nach dem Login wird ein technisch notwendiges Session-Cookie (melotunes_session) gesetzt. Gültigkeitsdauer: 30 Tage. Wird bei Logout gelöscht.
Artist-Session: Im Artist Portal wird der Authentifizierungs-Token im sessionStorage des Browsers gespeichert (kein Cookie). Wird bei Schließen des Browser-Tabs gelöscht.
Es werden keine Tracking-Cookies, Analyse-Cookies oder Marketing-Cookies eingesetzt. Es findet kein Tracking durch Drittanbieter statt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse; technisch notwendige Cookies erfordern keine Einwilligung gemäß § 25 Abs. 2 TDDDG).
7. Datenverarbeitung im Studio Manager
Im Rahmen der Nutzung werden folgende Daten in Cloudflare D1 gespeichert:
– Künstlerdaten: Name, Genre, Kontaktinformationen, interne Notizen, Spotify-Verknüpfung (Spotify-Artist-ID, Bild-URL)
– Produktionsdaten: Titel, Typ (Single/EP/Album etc.), Features, geplantes Release-Datum, Produktionsschritte (Lyrics, Instrumental, Vocals, Mix & Master, Cover Art, Bezahlung)
– Audio-Dateien & Versionen: Hochgeladene Audio-Dateien werden in Cloudflare R2 gespeichert. Pro Produktionsschritt können mehrere Versionen verwaltet werden.
– Feedback: Zeitbasierte Kommentare (Timestamp, Text, Rolle des Kommentators) auf Audio-Tracks
– Lyrics: Im Shared-Editor bearbeitete Texte
– Cover Art: Hochgeladene Bilder zu Produktionen
– Team-Daten: Einladungen, Mitgliederliste, Rollen
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
8. Artist Portal
Für Künstler wird ein separates Portal bereitgestellt. Der Zugang erfolgt über:
– Magic Link (einmaliger Token-Link per E-Mail oder Messenger)
– E-Mail/Passwort-Login (nach Registrierung durch den Studio-Admin oder auf Einladung)
Im Artist Portal werden gespeichert: Name, E-Mail-Adresse, Passwort (gehasht), Feedback-Kommentare, hochgeladene Audio-Dateien und Lyrics-Änderungen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
9. Echtzeit-Präsenz-System
Der Studio Manager zeigt an, welche Team-Mitglieder und Artists aktuell online sind. Der Online-Status wird über Cloudflare Durable Objects mittels WebSocket-Verbindung verwaltet. Gespeichert werden: Name, E-Mail und Rolle. Der Status wird bei Verbindungsabbruch oder Inaktivität automatisch entfernt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Echtzeit-Zusammenarbeit).
10. Spotify-Integration & Drittanbieter-APIs
Zur Anzeige von Künstler-Statistiken und Playlist-Daten werden folgende externe Dienste eingesetzt:
Spotify Web API (Spotify AB, Schweden) – Abruf öffentlich verfügbarer Daten: Künstlersuche, Discography, Album-Metadaten, Playlist-Metadaten und Follower-Zahlen. Es werden keine persönlichen Spotify-Konten der Nutzer verknüpft oder ausgelesen.
Drittanbieter-APIs für Musikstatistiken – Zur Ergänzung der Spotify-Daten werden autorisierte Drittanbieter-APIs eingesetzt, um erweiterte Künstler-Statistiken (Monthly Listeners, Follower, Stream-Zahlen pro Track) und Playlist-Daten abzurufen. Übermittelt werden ausschließlich öffentliche Spotify-IDs (Artist-IDs, Track-IDs, Playlist-IDs). Es werden keine personenbezogenen Daten der Nutzer an diese Dienste übermittelt.
Es werden dabei keine personenbezogenen Daten der Studio-Nutzer oder Artists an diese Dienste übermittelt – ausschließlich öffentliche Spotify-IDs. Die Synchronisation erfolgt automatisch einmal täglich (4:00 UTC) über einen Cloudflare Cron Trigger.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Musikproduktions-Management und Marktbeobachtung).
11. Rate Limiting & Sicherheit
Zum Schutz vor Brute-Force-Angriffen wird bei Login- und Registrierungsversuchen ein IP-basiertes und E-Mail-basiertes Rate Limiting eingesetzt. Dabei werden IP-Adresse und E-Mail-Adresse temporär (max. 60 Sekunden) in Cloudflare KV gespeichert und anschließend automatisch gelöscht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit).
12. Keine externen Schriftarten oder Tracking
Alle verwendeten Schriftarten werden lokal vom eigenen Server ausgeliefert (Self-Hosting). Es werden keine externen Dienste wie Google Fonts, Adobe Fonts oder ähnliche eingebunden. Es werden keine Analyse-Tools (wie Google Analytics), keine Social-Media-Plugins und keine Werbenetzwerke eingesetzt.
13. Drittlandtransfers
Cloudflare, Inc. und weitere eingesetzte Drittanbieter verarbeiten Daten teilweise auf Servern in den USA. Cloudflare ist unter dem EU-US Data Privacy Framework zertifiziert. Die Datenübermittlung erfolgt unter Einhaltung der Art. 44 ff. DSGVO.
Für die eingesetzten Drittanbieter-APIs werden ausschließlich öffentlich verfügbare Spotify-Daten übermittelt (keine personenbezogenen Nutzerdaten).
14. Speicherdauer
– Nutzerdaten: Solange das Studio-Konto aktiv ist.
– Studio-Sessions: 30 Tage (Cookie-Ablauf).
– Artist-Sessions: Bis zum Schließen des Browser-Tabs.
– Rate-Limiting-Daten: Maximal 60 Sekunden.
– Spotify-Statistiken: Tägliche Snapshots, solange der Artist verknüpft ist.
– Playlist-Snapshots: Solange die Playlist getrackt wird.
Bei Löschung des Studio-Kontos werden alle zugehörigen Daten vollständig entfernt: Nutzerkonto, alle Künstler, Produktionen, Feedback, Lyrics, Audio-Dateien (R2), Cover Art, Spotify-Daten, Playlist-Tracking-Daten, Team-Mitglieder und Einladungen.
15. Ihre Rechte
Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:
– Auskunft (Art. 15 DSGVO) – Welche Daten über Sie gespeichert sind
– Berichtigung (Art. 16 DSGVO) – Korrektur unrichtiger Daten
– Löschung (Art. 17 DSGVO) – Löschung Ihrer Daten (auch über die Studio-Löschfunktion im Account-Bereich möglich)
– Einschränkung (Art. 18 DSGVO) – Einschränkung der Verarbeitung
– Datenübertragbarkeit (Art. 20 DSGVO) – Erhalt Ihrer Daten in maschinenlesbarem Format
– Widerspruch (Art. 21 DSGVO) – Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen
16. Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Zuständig ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg.
17. Stand
April 2026