← Zurück

Datenschutzerklärung

Stand: Juni 2026

1. Verantwortlicher

Steuten IT Solutions
Inhaber: Christian Steuten
E-Mail: info@Steuten-IT-Solutions.de

2. Erhobene Daten und Zweck

Bei der Anmeldung über Spotify OAuth erhalten wir folgende Daten von Spotify:

  • Spotify-Benutzername und Anzeigename
  • Spotify-ID
  • E-Mail-Adresse (sofern im Spotify-Konto hinterlegt)
  • Spotify-Zugriffstoken und Refresh-Token (für Playback-Steuerung und Playlist-Erstellung)

Gäste, die ohne Spotify-Login an einer Party teilnehmen, werden mit einem selbstgewählten Anzeigenamen und einem anonymen Gäste-Token in unserer Datenbank gespeichert. Der Gäste-Token wird zusätzlich als Cookie im Browser gesetzt, um die Gästesitzung zu identifizieren.

Im Rahmen der Nutzung werden außerdem folgende Daten verarbeitet:

  • Hinzugefügte Songtitel (verknüpft mit Ihrer Nutzer- oder Gäste-ID)
  • Abstimmungen auf Songvorschläge (verknüpft mit Ihrer Gäste-ID)
  • IP-Adressen (vorübergehend für technisches Rate-Limiting verarbeitet; nicht dauerhaft in der Datenbank gespeichert)

Alle Daten werden ausschließlich zum Betrieb der PartyPlaylist-Anwendung verwendet: Erstellung und Verwaltung von Party-Sessions sowie Synchronisation mit Ihrer Spotify-Bibliothek.

3. Rechtsgrundlage

Die Verarbeitung der Spotify-Kontodaten und der Session-Daten von Hosts erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für die Bereitstellung des Dienstes.

Die Verarbeitung von IP-Adressen zum Schutz vor Missbrauch (Rate-Limiting) erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Verfügbarkeit des Dienstes).

4. Speicherdauer

Personenbezogene Daten werden für die Dauer der aktiven Party-Session gespeichert. Sessions und alle zugehörigen Daten (Gästeinformationen, Songeinträge, Abstimmungen) werden automatisch gelöscht, sobald der Host die Party beendet. Sessions, die länger als 48 Stunden inaktiv sind, werden automatisch durch einen regelmäßigen Bereinigungslauf gelöscht.

Zur vorzeitigen Löschung Ihrer Daten wenden Sie sich bitte per E-Mail an uns (Art. 17 DSGVO).

5. Auftragsverarbeiter und Drittanbieter

Wir setzen folgende Dienstleister ein, die personenbezogene Daten in unserem Auftrag verarbeiten (Auftragsverarbeiter gem. Art. 28 DSGVO):

  • Vercel Inc. – Hosting und Infrastruktur (USA; Standardvertragsklauseln)
  • Neon Inc. – Datenbankhosting (USA; Standardvertragsklauseln)
  • Upstash Inc. – Redis-Infrastruktur für Rate-Limiting und Echtzeit-Funktionen (USA; Standardvertragsklauseln)

Darüber hinaus nutzen wir die Spotify-API von Spotify AB (Schweden). Spotify handelt dabei als eigenverantwortlicher Datenverarbeiter nach eigener Datenschutzrichtlinie — nicht als Auftragsverarbeiter von PartyPlaylist. Weitere Informationen finden Sie in Abschnitt 11.

6. Analyse und Tracking

Wir verwenden Vercel Analytics und Vercel Speed Insights zur anonymisierten Nutzungsanalyse. Diese Dienste arbeiten ohne Cookies und erfassen keine personenbezogenen Daten. Es werden lediglich aggregierte, anonymisierte Metriken (Seitenaufrufe, Ladezeiten) erhoben. Eine Einwilligung ist daher nicht erforderlich.

7. Weitergabe an Dritte

Ihre Daten werden nicht an Dritte verkauft. Eine Übermittlung an die in Abschnitt 5 genannten Auftragsverarbeiter erfolgt, soweit dies für den Betrieb des Dienstes erforderlich ist. Sofern Werbung ausgespielt wird (siehe Abschnitt 12), werden – nur mit Ihrer Einwilligung – Daten an Google zu Werbezwecken verarbeitet; Einzelheiten finden Sie dort.

8. Ihre Rechte

Sie haben gemäß DSGVO folgende Rechte:

  • Auskunft über gespeicherte Daten (Art. 15)
  • Berichtigung unrichtiger Daten (Art. 16)
  • Löschung Ihrer Daten (Art. 17)
  • Einschränkung der Verarbeitung (Art. 18)
  • Datenübertragbarkeit (Art. 20)
  • Widerspruch gegen die Verarbeitung (Art. 21)
  • Beschwerde bei einer Aufsichtsbehörde (Art. 77)

Wenden Sie sich dazu an: info@Steuten-IT-Solutions.de

Als angemeldeter Host können Sie Ihre gespeicherten Daten jederzeit direkt herunterladen (Art. 20 DSGVO – Recht auf Datenübertragbarkeit):

Meine Daten exportieren (JSON)

Als Gast können Sie Ihre Daten ebenfalls herunterladen, solange Ihre Session noch aktiv ist (Art. 20 DSGVO):

Meine Gästedaten exportieren (JSON)

Da Gästedaten automatisch mit der Session gelöscht werden (spätestens nach 48 Stunden Inaktivität), ist nach diesem Zeitraum keine Auskunft mehr möglich.

9. Automatisierte Entscheidungen

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO statt.

10. Cookies

Technisch notwendige Cookies (§ 25 Abs. 2 Nr. 2 TDDDG) werden ohne Einwilligung gesetzt. Werbe-Cookies (Google AdSense, siehe Abschnitt 12) sind nicht erforderlich und werden ausschließlich nach Ihrer Einwilligung über die Einwilligungsabfrage von Google gesetzt (§ 25 Abs. 1 TDDDG).

NameZweckSpeicherdauer
guestTokenIdentifikation der Gastsitzung (ohne Login)7 Tage
__Secure-next-auth.session-tokenAuthentifizierung für Spotify-angemeldete Hosts30 Tage
NEXT_LOCALESpeichert die gewählte Sprache (DE/EN)1 Jahr
__gads, __gpi, FCNECGoogle AdSense – Auslieferung/Messung von Werbung und Speicherung Ihrer Einwilligung (nur nach Einwilligung, siehe Abschnitt 12)bis zu 13 Monate

guestToken und __Secure-next-auth.session-token sind als HttpOnly gesetzt und nicht per JavaScript auslesbar. NEXT_LOCALE ist ein normales Cookie und per JavaScript lesbar.

Während des Spotify-Logins setzt NextAuth kurzlebige Hilfs-Cookies (CSRF-Token, Callback-URL, ggf. PKCE-Code-Verifier), die ausschließlich für die sichere Durchführung des OAuth-Flows technisch erforderlich sind und danach nicht mehr gesetzt werden.

11. Spotify

Diese Anwendung nutzt die Spotify-API. Durch die Anmeldung stimmen Sie den Nutzungsbedingungen von Spotify und der Datenschutzrichtlinie von Spotify zu.

12. Werbung (Google AdSense)

Zur Finanzierung des kostenlosen Dienstes wird Gästen Werbung über Google AdSense (Google Ireland Ltd., Irland) angezeigt. Dabei können Cookies und ähnliche Technologien zur Auslieferung und Messung von Werbung sowie – bei entsprechender Einwilligung – zur Personalisierung eingesetzt werden.

Rechtsgrundlage ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG). Die Einwilligung wird über die von Google bereitgestellte, zertifizierte Einwilligungsabfrage (CMP nach IAB TCF v2.2) eingeholt; vor Ihrer Einwilligung werden keine Werbe-Cookies gesetzt. Lehnen Sie ab, werden – soweit überhaupt – nur nicht personalisierte Anzeigen ohne entsprechende Cookies ausgeliefert. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.

Google verarbeitet Daten ggf. auch in den USA (Angemessenheitsbeschluss EU-US Data Privacy Framework bzw. Standardvertragsklauseln). Weitere Informationen finden Sie in der Datenschutzerklärung von Google.