Datenschutzerklärung

Stand: 11.12.2025

Wir freuen uns, dass Sie die Plattform von PURE.HONEST.MUSIC besuchen. Der Schutz Ihrer personenbezogenen Daten hat für uns einen hohen Stellenwert. In dieser Datenschutzerklärung informieren wir Sie darüber, welche Daten wir verarbeiten, wenn Sie unsere Website nutzen, sich registrieren, einloggen oder andere Funktionen unserer Plattform in Anspruch nehmen, und welche Rechte Ihnen dabei nach der Datenschutz-Grundverordnung (DSGVO) zustehen.

Unsere Plattform kann grundsätzlich genutzt werden, ohne dass Sie aktiv personenbezogene Daten angeben müssen. Einige Funktionen – insbesondere die Registrierung als Nutzer:in und das Anlegen eines Profils, wie auch das Speichern von Favoriten – setzen jedoch voraus, dass wir bestimmte Daten verarbeiten. Soweit hierfür keine gesetzliche Grundlage besteht, holen wir vorab Ihre Einwilligung ein.

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist:

PURE.HONEST.MUSIC
Vertreten durch: Markus Gotzmann
Venloer Str. 527
50825 Köln
E-Mail: info@purehonestmusic.com

Wenn wir in dieser Erklärung von „wir“ sprechen, ist damit PURE.HONEST.MUSIC als Verantwortlicher gemeint.

2. Verarbeitung personenbezogener Daten beim Besuch unserer Website

Wenn Sie unsere Website aufrufen, werden durch Ihren Browser automatisch bestimmte Informationen an unseren Server übermittelt und in sogenannten Logfiles gespeichert. Hierzu gehören insbesondere die IP-Adresse Ihres Endgeräts, das Datum und die Uhrzeit des Zugriffs, die aufgerufene Seite bzw. Datei, die zuvor besuchte Seite (Referrer-URL), der von Ihnen verwendete Browser sowie das Betriebssystem und der Name Ihres Internetproviders.

Diese Daten werden von uns benötigt, um unsere Website technisch bereitzustellen, die Systemsicherheit und -stabilität zu gewährleisten, Angriffe abzuwehren, Fehler zu analysieren und unser Angebot technisch und inhaltlich weiterzuentwickeln. Eine direkte Zuordnung zu Ihrer Person erfolgt dabei in der Regel nicht; die Logfiles werden getrennt von anderen personenbezogenen Daten gespeichert.

Rechtsgrundlage für diese Verarbeitung ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der sicheren, stabilen und nutzerfreundlichen Bereitstellung unserer Website sowie in der Abwehr von Missbrauchs- und Angriffsszenarien.

3. Registrierung, Benutzerkonto und Profil

Wenn Sie sich auf unserer Plattform registrieren und ein Nutzerkonto anlegen, verarbeiten wir die Daten, die Sie uns im Rahmen des Registrierungsprozesses zur Verfügung stellen. Hierzu gehören in der Regel ein Anzeigename bzw. DisplayName, ein frei wählbarer Benutzername, Ihre E-Mail-Adresse sowie ein Passwort. Das Passwort wird von uns ausschließlich in gehashter Form gespeichert (z. B. mittels bcrypt) und niemals im Klartext.

Sie haben zusätzlich die Möglichkeit, freiwillige Profildaten hinzuzufügen, etwa Ihren Standort bzw. Ihre Stadt, Ihre bevorzugte Sprache oder Zeitzone, eine Kurzbeschreibung bzw. Bio, Musikgenres und sonstige Interessen sowie ein Profil- oder Coverbild. Außerdem können wir Informationen zu Ihren Einwilligungen speichern, etwa die Bestätigung, dass Sie volljährig sind, Ihre Zustimmung zum Erhalt von Newslettern oder die Zeitpunkte, zu denen Sie unsere Nutzungsbedingungen und Datenschutzhinweise akzeptiert haben.

Wir verarbeiten diese Daten, um Ihr Nutzerkonto anzulegen und zu verwalten, Ihr persönliches Profil auf der Plattform bereitzustellen, Ihnen plattformspezifische Funktionen wie Favoriten, Einstellungen oder persönliche Inhalte zur Verfügung zu stellen, mit Ihnen im Zusammenhang mit Ihrem Konto zu kommunizieren (z. B. bei sicherheitsrelevanten Ereignissen) und rechtlich erforderliche Nachweise (z. B. zu Einwilligungen) führen zu können.

Rechtsgrundlage für die Verarbeitung Ihrer Registrierungs- und Profildaten ist in erster Linie Art. 6 Abs. 1 lit. b DSGVO, da die Datenverarbeitung zur Erfüllung des Nutzungsvertrags und zur Bereitstellung Ihres Accounts erforderlich ist. Soweit wir zur Erfüllung gesetzlicher Pflichten verpflichtet sind (z. B. Nachweis von Einwilligungen), stützen wir uns auf Art. 6 Abs. 1 lit. c DSGVO. Darüber hinaus beruht die Verarbeitung in Teilen auf unserem berechtigten Interesse an einer sicheren und missbrauchsarmen Plattform (Art. 6 Abs. 1 lit. f DSGVO).

4. E-Mail-Verifizierung (Double-Opt-In)

Nach der Registrierung senden wir an die von Ihnen angegebene E-Mail-Adresse eine Bestätigungsnachricht mit einem Verifizierungslink. Hierbei verarbeiten wir Ihre E-Mail-Adresse, einen zufällig generierten Verifizierungs-Token sowie die Zeitpunkte der Anforderung und der Bestätigung.

Die Verifizierung dient dazu, sicherzustellen, dass Sie die Inhaberin bzw. der Inhaber der angegebenen E-Mail-Adresse sind und missbräuchliche Registrierungen unter fremden E-Mail-Adressen zu verhindern. Erst nach erfolgreicher Bestätigung wird Ihr Konto vollständig freigeschaltet.

Rechtsgrundlage hierfür sind Art. 6 Abs. 1 lit. b DSGVO (Durchführung vorvertraglicher Maßnahmen und Erfüllung des Nutzungsvertrags) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Missbrauchsprävention). Verifizierungs-Token sind nur für eine begrenzte Dauer gültig und werden nach Ablauf oder erfolgreicher Verifizierung gelöscht bzw. technisch unbrauchbar gemacht.

5. Login, Authentifizierung und Sicherheit

Beim Login verwenden wir Ihre Zugangsdaten, um Ihre Identität zu prüfen und Ihnen den Zugriff auf Ihr Konto zu ermöglichen. Dabei werden die von Ihnen angegebene E-Mail-Adresse oder Ihr Benutzername und Ihr Passwort verarbeitet, wobei das Passwort ausschließlich zum Vergleich mit dem bei uns gespeicherten Hash genutzt wird.

Zusätzlich erzeugen wir bei der Anmeldung technische Authentifizierungsdaten, etwa signierte Token (z. B. JSON Web Tokens) und/oder Sitzungskennungen. Diese werden serverseitig erstellt und auf Ihrem Endgerät (z. B. im lokalen Speicher Ihres Browsers) gespeichert, damit wir Sie zwischen einzelnen Seitenaufrufen als eingeloggt erkennen und Ihnen Ihr persönliches Profil, Ihre Favoriten und andere kontobezogene Inhalte anzeigen können. Im Rahmen der Sicherung unseres Systems können wir zudem Ihre IP-Adresse, den verwendeten Browser (User-Agent), Zeitpunkte von Logins und die Anzahl fehlgeschlagener Anmeldeversuche erfassen, um unbefugte Zugriffe zu erkennen, Brute-Force-Angriffe zu erschweren und sicherheitsrelevante Ereignisse zu protokollieren.

Die Verarbeitung dieser Daten erfolgt, um Ihnen den sicheren Zugriff auf Ihr Konto zu ermöglichen, den Status Ihres Accounts zu prüfen (z. B. aktiv, gesperrt, gelöscht), unsere Plattform gegen Missbrauch abzusichern und Sicherheitsvorfälle nachvollziehen zu können. Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung Ihres Accounts) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren Plattform und an der Abwehr unbefugter Zugriffe).

Tokens haben nur eine begrenzte Gültigkeitsdauer und werden nach Ablauf ungültig. Wenn Sie sich ausloggen, werden die lokalen Authentifizierungsdaten in Ihrem Browser gelöscht; serverseitige Sessions werden entsprechend markiert oder ablaufbasiert verworfen.

6. Passwort-Zurücksetzen

Falls Sie die „Passwort vergessen?“-Funktion nutzen, verarbeiten wir Ihre E-Mail-Adresse, um Ihnen einen Link zum Zurücksetzen des Passworts zu schicken. Dafür erzeugen wir einen zufälligen, zeitlich begrenzten Passwort-Reset-Token und speichern neben dem Token auch die Zeitpunkte der Anforderung und der Nutzung.

Diese Verarbeitung ist notwendig, um Ihnen eine sichere Möglichkeit zur Wiederherstellung des Zugangs zu Ihrem Konto zu bieten, unbefugte Zugriffe zu verhindern und sicherheitsrelevante Aktionen protokollieren zu können.

Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der Account-Funktionalität) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Kontosicherheit). Die Reset-Token sind ebenfalls streng zeitlich begrenzt und werden nach Ablauf oder nach erfolgreicher Nutzung gelöscht oder technisch unbrauchbar gemacht.

7. Sicherheitsmaßnahmen

Zum Schutz Ihrer personenbezogenen Daten setzen wir verschiedene technische und organisatorische Maßnahmen ein. Hierzu gehören insbesondere die Speicherung von Passwörtern ausschließlich in gehashter Form, Zugriffsbeschränkungen auf Konten und Profile, die nur von Ihnen eingesehen werden können, Rate-Limiting und Throttling bei Login, Registrierung und Passwort-Reset zur Erschwerung automatisierter Angriffe, die Protokollierung sicherheitsrelevanter Ereignisse (Audit-Logging) sowie die verschlüsselte Übertragung von Daten mittels HTTPS, soweit Ihr E-Mail- oder Internetprovider dies unterstützt.

Die detaillierte technische Umsetzung unserer Sicherheitsmaßnahmen wird aus Sicherheitsgründen nicht öffentlich im Detail beschrieben, erfüllt jedoch die Anforderungen der DSGVO an ein dem Risiko angemessenes Schutzniveau.

8. Hotjar (Session-Analyse und Nutzungsfeedback)

Zur Verbesserung der Nutzerfreundlichkeit und zur Analyse des Nutzungsverhaltens setzen wir Hotjar, einen Dienst der Hotjar Ltd., ein. Hotjar hilft uns zu verstehen, wie sich Besucher:innen auf unserer Website bewegen, welche Bereiche sie besonders interessant finden und wo möglicherweise Probleme bei der Nutzung auftreten. Hierfür kann Hotjar beispielsweise Mausbewegungen, Klicks, Scroll-Verhalten und Interaktionen aufzeichnen und in Form von Heatmaps oder anonymisierten Nutzersitzungen darstellen.

Hotjar verarbeitet dabei unter anderem eine anonymisierte IP-Adresse Ihres Endgeräts, Informationen zu Ihrem verwendeten Gerät und Browser, ungefähre Standortinformationen (z. B. Land), die aufgerufenen Unterseiten sowie Referrer-URLs. Tastatureingaben in Formularfelder mit sensiblen Inhalten werden nicht aufgezeichnet. Hotjar setzt Cookies ein, um wiederkehrende Besucher:innen zu erkennen und Nutzungssessions zuzuordnen.

Die Nutzung von Hotjar erfolgt ausschließlich auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, etwa über unsere Cookie-/Consent-Einstellungen oder über die von Hotjar angebotenen Opt-Out-Möglichkeiten.

Weitere Informationen zum Datenschutz bei Hotjar und zum Opt-Out finden Sie auf den Seiten von Hotjar.

9. Newsletter und MailerLite

Wenn Sie unseren Newsletter abonnieren, verarbeiten wir Ihre E-Mail-Adresse und – sofern von Ihnen angegeben – weitere optionale Angaben wie Ihren Namen oder Ihre Interessen (z. B. Musikgenres). Der Versand erfolgt über den Dienstleister MailerLite UAB mit Sitz in der EU, den wir als Auftragsverarbeiter einsetzen.

Im Rahmen des Double-Opt-In-Verfahrens erhalten Sie nach der Anmeldung eine Bestätigungs-E-Mail. Erst wenn Sie den darin enthaltenen Link anklicken, wird Ihre Anmeldung wirksam. Wir speichern außerdem den Zeitpunkt der Anmeldung, den Zeitpunkt der Bestätigung sowie technische Metadaten, um Ihre Einwilligung nachweisen und Missbrauch aufklären zu können.

Wir werten zudem aus, ob Newsletter geöffnet werden und auf welche Links geklickt wird, um den Inhalt unseres Newsletters besser auf die Interessen unserer Abonnent:innen abstimmen zu können. Rechtsgrundlage für den Versand und die zugehörige Analyse ist Ihre Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Sie können diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, zum Beispiel über den Abmeldelink in jeder Nachricht oder durch Kontaktaufnahme mit uns.

10. Weitere eingesetzte Technologien (React, Next.js, Tailwind CSS, MongoDB, Payload CMS)

Für die Entwicklung und den Betrieb unserer Plattform verwenden wir moderne Webtechnologien wie React, Next.js, Tailwind CSS, MongoDB sowie das Headless-CMS Payload CMS (Version 3).
Diese Technologien dienen dazu, die Benutzeroberfläche bereitzustellen, Inhalte performant auszuliefern, unsere Plattform strukturiert zu verwalten und die für den Betrieb notwendigen Daten in einer Datenbank zu speichern.
React und Next.js werden genutzt, um die Benutzeroberfläche und serverseitig gerenderte bzw. statisch generierte Seiten bereitzustellen.
Tailwind CSS wird zur Gestaltung und Strukturierung des Frontends verwendet.
MongoDB dient als Datenbank-Management-System zur Speicherung der im Rahmen der Plattformnutzung erforderlichen Daten (z. B. Konto- und Profildaten, Inhalte, Systemeinstellungen).
Payload CMS (V3) setzen wir als Headless-CMS zur inhaltlichen Verwaltung und strukturierten Speicherung von Inhalten (z. B. Texte, Medien, Konfigurationen) ein.
Die eigentliche Verarbeitung personenbezogener Daten erfolgt in diesem Zusammenhang durch uns als Verantwortliche. Die genannten Technologien sind Werkzeuge, die wir zur technischen Umsetzung unserer Plattform nutzen; sie treffen keine eigenständigen Entscheidungen darüber, welche personenbezogenen Daten zu welchen Zwecken verarbeitet werden.
Soweit im Rahmen dieser Systeme personenbezogene Daten in der Datenbank (MongoDB) gespeichert werden, erfolgt dies auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung, z. B. Bereitstellung Ihres Nutzerkontos) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer stabilen, sicheren und technisch zeitgemäßen Plattform).

11. Speicherfristen

Wir speichern personenbezogene Daten nur so lange, wie dies für die Erreichung der jeweiligen Zwecke erforderlich ist oder wir gesetzlich hierzu verpflichtet sind. Das betrifft insbesondere:
Kontodaten und Profildaten, die wir so lange aufbewahren, wie Ihr Konto aktiv ist, und darüber hinaus nur, soweit gesetzliche Aufbewahrungspflichten oder überwiegende berechtigte Interessen (z. B. Nachweis von Einwilligungen, Abwehr von Ansprüchen) dies erfordern.
Verifizierungs- und Passwort-Reset-Token, die nur für die Dauer ihrer jeweiligen Gültigkeit gespeichert und danach gelöscht bzw. unbrauchbar gemacht werden.
Sicherheits- und Audit-Logs, die wir für einen angemessenen Zeitraum zur Erkennung und Untersuchung von Missbrauchsfällen aufbewahren, etwa für 90 Tage, und anschließend löschen oder anonymisieren.
Sobald der jeweils maßgebliche Zweck entfällt und keine gesetzlichen oder sonstigen rechtlichen Aufbewahrungspflichten entgegenstehen, werden personenbezogene Daten routinemäßig gelöscht oder anonymisiert.

12. Empfänger und Kategorien von Empfängern

Im Rahmen unserer Tätigkeit können personenbezogene Daten an interne Stellen (z. B. Support oder Technik) übermittelt werden, soweit dies zur Bearbeitung Ihres Anliegens oder zur Sicherstellung des Betriebs der Plattform erforderlich ist. Zudem setzen wir externe Dienstleister ein, etwa für Hosting, E-Mail-Versand, Analyse- oder Sicherheitszwecke. Diese werden sorgfältig ausgewählt, vertraglich nach Art. 28 DSGVO als Auftragsverarbeiter verpflichtet und verarbeiten personenbezogene Daten nur nach unserer Weisung.
Darüber hinaus können Daten an E-Mail-Provider, Anbieter von Authentifizierungs- oder Analysewerkzeugen oder vergleichbare technische Dienstleister übermittelt werden, soweit dies für die Nutzung der jeweiligen Dienste erforderlich ist. Eine Übermittlung an weitere Dritte erfolgt nur, sofern wir hierzu gesetzlich verpflichtet sind oder Sie ausdrücklich eingewilligt haben.

13. Drittlandübermittlung

Soweit wir personenbezogene Daten an Dienstleister in Drittländern außerhalb des Europäischen Wirtschaftsraums (EWR) übermitteln, erfolgt dies nur, wenn für das betreffende Land ein Angemessenheitsbeschluss der EU-Kommission besteht oder geeignete Garantien im Sinne der Art. 44 ff. DSGVO vorliegen, etwa durch den Abschluss von EU-Standardvertragsklauseln. In diesen Fällen stellen wir sicher, dass ein dem europäischen Standard vergleichbares Datenschutzniveau gewahrt bleibt.

14. Ihre Rechte als betroffene Person

Im Zusammenhang mit der Verarbeitung Ihrer personenbezogenen Daten haben Sie verschiedene Rechte, die Sie jederzeit uns gegenüber geltend machen können. Dazu gehören insbesondere:
das Recht auf Auskunft darüber, welche personenbezogenen Daten wir über Sie verarbeiten (Art. 15 DSGVO),
das Recht auf Berichtigung unrichtiger oder Vervollständigung unvollständiger Daten (Art. 16 DSGVO),
das Recht auf Löschung Ihrer personenbezogenen Daten, sofern keine gesetzlichen Aufbewahrungspflichten oder andere überwiegende Gründe entgegenstehen (Art. 17 DSGVO),
das Recht auf Einschränkung der Verarbeitung unter den Voraussetzungen des Art. 18 DSGVO,
das Recht auf Datenübertragbarkeit hinsichtlich der Daten, die Sie uns bereitgestellt haben (Art. 20 DSGVO),
das Recht, eine einmal erteilte Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen (Art. 7 Abs. 3 DSGVO),
das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen bestimmte Verarbeitungen Widerspruch einzulegen, insbesondere bei Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (Art. 21 DSGVO).
Sie können Ihr Nutzerkonto in der Regel auch selbst über die vorgesehenen Funktionen in Ihrem Profil löschen. In diesem Fall werden Ihre personenbezogenen Daten nach Maßgabe der vorstehenden Grundsätze und gesetzlichen Vorgaben gelöscht oder anonymisiert.
Darüber hinaus haben Sie das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt (Art. 77 DSGVO).

15. Widerspruchsrecht bei Verarbeitungen auf Grundlage berechtigter Interessen

Soweit wir die Verarbeitung Ihrer personenbezogenen Daten auf berechtigte Interessen im Sinne von Art. 6 Abs. 1 lit. f DSGVO stützen, haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen die Verarbeitung einzulegen. Wir werden die betroffenen Daten dann nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich die rechtlichen Rahmenbedingungen, unsere Plattform oder die von uns eingesetzten Dienste ändern. Die jeweils aktuelle Fassung ist jederzeit auf unserer Website abrufbar. Bitte informieren Sie sich daher regelmäßig über den Inhalt dieser Datenschutzerklärung.

Stand: 11.12.2025