← Zurück

Datenschutzerklärung

1. Verantwortlicher (Art. 4 Nr. 7 DSGVO)

Marvin Schumann

Zwerchklamm 27

66453 Gersheim, Deutschland

E-Mail: hello@frequenz.live

Telefon: +49 15223242283

Ein externer Datenschutzbeauftragter ist gemäß § 38 BDSG nicht erforderlich (Kleinstunternehmen ohne Kerngeschäfts-Profiling im Sinne der Norm).

2. Überblick über die Verarbeitung

Frequenz ist ein personalisierter Event-Empfehlungsdienst. Um Ihnen passende Musikveranstaltungen in Ihrer Stadt zu empfehlen, verknüpfen wir Ihr Musikgeschmacksprofil (basierend auf SoundCloud und optional Spotify) mit einem von uns gepflegten Katalog von Events. Die wesentlichen Datenkategorien sind im Folgenden einzeln aufgeführt.

3. Erhebung und Verarbeitung personenbezogener Daten

3.1 Kontoerstellung (E-Mail & Passwort)

Bei der Registrierung erheben wir:

• E-Mail-Adresse
• Passwort (ausschließlich als kryptografischer Hash bei Supabase gespeichert, niemals im Klartext)
• Zeitpunkt der Registrierung

Zweck: Authentifizierung, Zugangskontrolle zum Dienst.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / vorvertragliche Maßnahmen).

Speicherdauer: Bis zur Kontolöschung durch Sie bzw. bis 90 Tage nach letzter Anmeldung bei nicht verifizierten Konten.

Double-Opt-In: Nach der Registrierung erhalten Sie eine Bestätigungs-E-Mail über Supabase Auth. Ihr Konto wird erst nach Bestätigung freigeschaltet.

3.2 SoundCloud-Verknüpfung

Wenn Sie Ihren SoundCloud-Benutzernamen eingeben, ruft Frequenz serverseitig über die öffentliche SoundCloud-API (api-v2.soundcloud.com) die folgenden öffentlich sichtbaren Daten Ihres Profils ab:

• Liste Ihrer „Likes" (favorisierte Tracks)
• Liste Ihrer „Reposts"
• Liste der von Ihnen gefolgten Künstler („Followings")
• Daraus abgeleitet: Liste der Künstler, Anzahl der Interaktionen, zeitliches Aktivitätsmuster

Passwort, private Nachrichten oder nicht-öffentliche Inhalte werden nicht abgerufen. Es wird kein OAuth-Token gespeichert — lediglich Ihr Benutzername.

Zweck: Erstellung Ihres Musikgeschmacksprofils zur Ermittlung passender Event-Empfehlungen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Speicherdauer: Bis zur Trennung der Verknüpfung bzw. Kontolöschung.

3.3 Spotify-Verknüpfung (optional)

Verbinden Sie optional Ihr Spotify-Konto, erfolgt dies über den offiziellen OAuth-2.0-Flow von Spotify AB. Frequenz erhält nach Ihrer Freigabe ein Access-Token mit den folgenden Scopes:

• user-top-read — Ihre Top-Künstler und Top-Tracks
• user-library-read — Ihre gespeicherten Titel
• user-follow-read — Ihre gefolgten Künstler

Folgende Daten werden aus Spotify abgerufen und verarbeitet:

• Künstlernamen, Genres und Bilder
• Song-IDs und Metadaten
• Audio-Features (Tempo, Energie, Tanzbarkeit) zur Geschmacksanalyse

Das Access-Token und Refresh-Token werden verschlüsselt in unserer Supabase-Datenbank gespeichert, um die Daten periodisch aktualisieren zu können. Sie können die Verbindung jederzeit in den Spotify-Einstellungen (https://www.spotify.com/account/apps/) widerrufen.

Zweck: Erweiterung des Musikgeschmacksprofils.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung auf Ihren Wunsch).

Speicherdauer: Bis zur Trennung der Verknüpfung bzw. Kontolöschung.

3.4 Abgeleitete Daten (Taste-Profil & Matches)

Aus den unter 3.2 und 3.3 beschriebenen Quellen berechnet Frequenz folgende abgeleitete Daten und speichert sie in Ihrem Konto:

• Top-Genres (aggregiert)
• Genre-Vektoren (numerische Gewichtungen)
• Audio-Feature-Durchschnittswerte
• Liste Ihrer zugeordneten Event-Matches mit Konfidenzwert und Begründung
• NPS-Antworten (nur, wenn Sie aktiv abstimmen)

Zweck: Personalisierte Event-Empfehlungen, Verbesserung des Matchings.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Speicherdauer: Bis zur Kontolöschung.

3.5 Authentifizierungs-Cookies

Zur Aufrechterhaltung Ihrer Login-Sitzung setzt Frequenz zwei technisch notwendige Cookies:

• session_token — kurzlebiges JWT-Access-Token (HttpOnly, Secure, SameSite=Lax, Laufzeit: 7 Tage)
• refresh_token — Supabase-Refresh-Token (HttpOnly, Secure, SameSite=Lax, Laufzeit: 30 Tage)
• oauth_state — temporärer CSRF-Schutz während des Spotify-OAuth-Flows (HttpOnly, Max-Age: 5 Minuten)

Zweck: Anmeldesitzung, CSRF-Schutz.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG (unbedingt erforderlich) sowie Art. 6 Abs. 1 lit. b DSGVO.

Ein Cookie-Banner ist nicht erforderlich, da ausschließlich unbedingt erforderliche Cookies eingesetzt werden.

LocalStorage und SessionStorage werden nicht verwendet.

3.6 Server-Logdateien

Beim Aufruf der App werden automatisch folgende Daten in Server-Logdateien erfasst:

• IP-Adresse (gekürzt nach 24 Stunden)
• Datum und Uhrzeit des Zugriffs
• Aufgerufene URL / HTTP-Methode
• HTTP-Statuscode
• User-Agent (Browsertyp)
• Referrer (zuvor besuchte Seite)

Zweck: Sicherstellung eines störungsfreien Betriebs, Fehleranalyse, Abwehr missbräuchlicher Nutzung (Art. 32 DSGVO — Sicherheit der Verarbeitung).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

Speicherdauer: 7 Tage, danach automatische Löschung.

4. Auftragsverarbeiter und Drittanbieter

Mit allen nachfolgend genannten Anbietern bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO, sofern nicht anders vermerkt.

4.1 Supabase (Datenbank & Auth)

Anbieter: Supabase, Inc., 970 Toa Payoh North #07-04, Singapore 318992. Die Datenverarbeitung für das Frequenz-Projekt erfolgt in der Region EU (Frankfurt am Main, Deutschland).

Funktion: Benutzerauthentifizierung, Datenbank (PostgreSQL), verschlüsseltes Token-Storage.

Verarbeitete Daten: Sämtliche unter Abschnitt 3.1–3.4 beschriebenen Daten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Internationale Übermittlungen erfolgen auf Grundlage der EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.

Datenschutzerklärung: https://supabase.com/privacy

4.2 Hetzner Online GmbH (Hosting der App)

Anbieter: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland.

Funktion: Server-Hosting der Anwendung (Standort: Rechenzentrum Frankfurt am Main, Deutschland).

Verarbeitete Daten: Serverlogs (siehe 3.6), sämtlicher Traffic zur App.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

Die Datenverarbeitung erfolgt ausschließlich innerhalb der EU. Es besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.

4.3 Spotify AB (nur bei Nutzung der Spotify-Verknüpfung)

Anbieter: Spotify AB, Regeringsgatan 19, 11153 Stockholm, Schweden.

Funktion: OAuth-Provider, Bereitstellung der Musikgeschmacksdaten des Nutzers.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Spotify verarbeitet teils Daten außerhalb des EWR; Grundlage sind die von Spotify verwendeten EU-Standardvertragsklauseln.

Datenschutzerklärung: https://www.spotify.com/legal/privacy-policy/

4.4 SoundCloud Global Limited & Co. KG (nur bei SoundCloud-Verknüpfung)

Anbieter: SoundCloud Global Limited & Co. KG, Rheinsberger Str. 76/77, 10115 Berlin, Deutschland.

Funktion: Quelle der öffentlich zugänglichen Musikdaten. Frequenz fragt öffentliche API-Endpunkte an, ohne OAuth — ein Auftragsverarbeitungsvertrag ist aufgrund der Verwendung rein öffentlicher Schnittstellen nicht erforderlich.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Datenschutzerklärung: https://soundcloud.com/pages/privacy

4.5 Telegram Messenger Inc. (interne Admin-Benachrichtigung)

Anbieter: Telegram Messenger Inc., Britische Jungferninseln. Technische Infrastruktur: Telegram FZ-LLC, Dubai.

Funktion: Bei einer Neuanmeldung senden wir ausschließlich an den Betreiber (Marvin Schumann) eine interne Benachrichtigung mit der E-Mail-Adresse des neuen Nutzers und einem Freigabelink, um die manuelle Waitlist-Freigabe zu ermöglichen.

Empfänger: Ausschließlich der Betreiber selbst; keine Weiterleitung an Dritte.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer zeitnahen manuellen Freigabe in der geschlossenen Beta-Phase). Diese Verarbeitung entfällt nach Abschluss der Beta-Phase.

Die Datenübermittlung außerhalb des EWR erfolgt auf Grundlage Ihrer informierten Zustimmung gemäß Art. 49 Abs. 1 lit. a DSGVO. Eine alternative EU-basierte Lösung ist in Vorbereitung.

4.6 Drittländer-Übersicht

• Supabase: Datenverarbeitung in der EU (Frankfurt), Muttergesellschaft in Singapur — SCC Art. 46
• Hetzner: ausschließlich EU (Deutschland)
• Spotify: Schweden, teils USA — SCC Art. 46 (Spotify-seitig)
• SoundCloud: Deutschland / USA — öffentliche API, keine Nutzeridentifizierung erforderlich
• Telegram: Drittland — Art. 49 Abs. 1 lit. a (beschränkt auf interne Admin-Benachrichtigung)

5. Keine Analytics, kein Tracking, keine CDNs

Die Frequenz-App verwendet keine Analyse-Tools, keine Werbe-Tracker und keine externen CDNs. Sämtliche JavaScript-Bibliotheken (einschließlich Chart.js), Schriftarten und Bilder werden lokal vom Frequenz-Server ausgeliefert. Es erfolgt keinerlei Verbindung zu Google Fonts, Google Analytics, Facebook, jsDelivr o. ä.

6. Automatisierte Entscheidungsfindung / Profiling

Frequenz erstellt ein Musikgeschmacksprofil und nutzt dieses zur Berechnung von Event-Empfehlungen. Diese Verarbeitung stellt ein Profiling im Sinne des Art. 4 Nr. 4 DSGVO dar, hat jedoch keinerlei rechtliche oder ähnlich erhebliche Wirkung auf Sie (Art. 22 DSGVO findet keine Anwendung). Sie erhalten lediglich unverbindliche Empfehlungen für Veranstaltungen.

7. Datensicherheit (Art. 32 DSGVO)

• Transport-Verschlüsselung: TLS 1.2+ über das gesamte Internet (HSTS aktiviert)
• Passwörter: ausschließlich gehasht gespeichert (bcrypt, Supabase)
• OAuth-Tokens: verschlüsselt in der Datenbank
• HTTP-Sicherheitsheader: Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy
• Row-Level-Security auf allen nutzerbezogenen Datenbanktabellen
• Regelmäßige Backups: verschlüsselte Tagesbackups über Supabase, Retention 30 Tage

8. Ihre Rechte als betroffene Person

Gemäß DSGVO haben Sie folgende Rechte:

• Auskunftsrecht (Art. 15 DSGVO) — Sie können eine Bestätigung darüber verlangen, ob Sie betreffende Daten verarbeitet werden, und Auskunft über diese Daten erhalten. Für eingeloggte Nutzer steht der Self-Service-Endpunkt GET /api/me/export bereit.
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO — „Recht auf Vergessenwerden") — Sie können Ihr Konto und sämtliche verknüpften Daten jederzeit löschen lassen. Als eingeloggter Nutzer über den Self-Service-Endpunkt POST /api/me/delete oder per E-Mail an hello@frequenz.live.
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO) — Export in strukturiertem JSON-Format über GET /api/me/export.
• Widerspruchsrecht (Art. 21 DSGVO) — gegenüber Verarbeitungen auf Grundlage berechtigten Interesses.
• Widerrufsrecht (Art. 7 Abs. 3 DSGVO) — Sie können Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen.
• Beschwerderecht (Art. 77 DSGVO) — siehe Abschnitt 9.

Zur Ausübung Ihrer Rechte wenden Sie sich formlos an: hello@frequenz.live. Anfragen werden innerhalb von 30 Tagen beantwortet (Art. 12 Abs. 3 DSGVO). Die Ausübung ist für Sie kostenlos.

9. Zuständige Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Aufgrund des Wohnsitzes des Verantwortlichen im Saarland ist dies:

Unabhängiges Datenschutzzentrum Saarland
Die Landesbeauftragte für Datenschutz und Informationsfreiheit
Fritz-Dobisch-Straße 12
66111 Saarbrücken
Telefon: +49 681 94781-0
E-Mail: poststelle@datenschutz.saarland.de

10. Speicherdauer — Zusammenfassung

• Konto (E-Mail, Hash): bis zur Kontolöschung; bei Inaktivität maximal 90 Tage nach letzter Anmeldung für nicht verifizierte Konten
• Verknüpfte Accounts (Spotify/SoundCloud): bis zur Trennung der Verknüpfung oder Kontolöschung
• Abgeleitetes Taste-Profil: bis zur Kontolöschung
• Event-Matches: bis zur Kontolöschung
• Session-/Refresh-Cookies: 7 bzw. 30 Tage ab Ausstellung
• Server-Logdateien: 7 Tage
• Supabase-Backups: 30 Tage

11. Minderjährigenschutz

Frequenz richtet sich nicht an Personen unter 16 Jahren. Wir erheben wissentlich keine Daten von Minderjährigen. Sollten wir Kenntnis erlangen, dass Daten eines Minderjährigen ohne Einwilligung der Erziehungsberechtigten erhoben wurden, löschen wir diese unverzüglich.

12. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen unseres Dienstes anzupassen. Wesentliche Änderungen werden Ihnen per E-Mail an die in Ihrem Konto hinterlegte Adresse mitgeteilt.

Stand: 10. April 2026