Datenschutzerklärung
Stand: 17.06.2026
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
OpitzWorks Inh. Tobias Opitz
Stockhauser Str. 17
42929 Wermelskirchen
Deutschland
E-Mail: info@mejay.io
Datenschutzbeauftragter: Tobias Opitz (Kontakt s. oben)
2. Überblick & Grundsätze
MeJay ist ein Musikwunsch-Service für DJs: DJs legen pro Veranstaltung einen Kanal an;
Gäste erreichen über einen QR-Code eine mobile Wunsch-Seite, reichen Musikwünsche ein und
stimmen darüber ab. Wir verarbeiten personenbezogene Daten nach dem Grundsatz der
Datenminimierung:
- Hosting in der EU (Hetzner Online GmbH, Deutschland).
- Keine Tracking-Cookies, kein Google Analytics, keine Tracking-Pixel, keine
Werbe-/Profiling-Netzwerke. - Keine externen CDNs — Schriftarten (Inter), Skripte und Stylesheets werden lokal vom
MeJay-Server ausgeliefert. - Gäste benötigen kein Konto und werden nur über eine pseudonyme Kennung erfasst.
3. DJ-Konto (registrierte Nutzer)
Verarbeitete Daten: Name, E-Mail-Adresse, optionale Abrechnungs-E-Mail, Passwort (nur
als kryptografischer Hash gespeichert), Sprach-Einstellung, Rolle, Zeitpunkt der
E-Mail-Bestätigung, Konto-Zeitstempel. Bei aktivierter Zwei-Faktor-Authentifizierung
zusätzlich ein TOTP-Geheimnis und Wiederherstellungscodes.
Zwecke: Bereitstellung und Verwaltung des DJ-Kontos, Authentifizierung, E-Mail-Bestätigung,
Passwort-Zurücksetzen, optionale Zwei-Faktor-Authentifizierung. Bei der Registrierung ist die
Zustimmung zu den AGB erforderlich (Pflicht-Häkchen).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag/vorvertragliche Maßnahmen); für
Sicherheitsmaßnahmen ergänzend Art. 6 Abs. 1 lit. f DSGVO.
Spam-/Bot-Schutz bei der Registrierung: Honeypot-Feld und ein verschlüsselter
Render-Zeitstempel (keine personenbezogene Auswertung) sowie ein IP-basiertes Limit (siehe
Abschnitt 5). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Schutz vor Missbrauch).
Speicherdauer: bis zur Löschung des Kontos (siehe Abschnitt 11). Nicht bestätigte Konten
werden nach kurzer Frist (standardmäßig 7 Tage) automatisch gelöscht.
4. Öffentliche Wunsch-Seiten (Gäste / „Wisher")
Gäste, die über einen QR-Code/Link einen Musikwunsch einreichen oder abstimmen, legen kein
Konto an und geben keinen Namen und keine E-Mail-Adresse an.
Pseudonyme Kennung: Zur Wiedererkennung des eigenen Geräts (eigene Wünsche verwalten,
Wunsch-/Abstimmungs-Limits durchsetzen) wird ein technisch notwendiger Cookie
wisher-identifier mit einer zufälligen Kennung (UUID) gesetzt — ohne Namen oder
E-Mail. Lebensdauer: langlebig (bis zu ca. 5 Jahre), HttpOnly. Rechtsgrundlage für die
Speicherung auf dem Endgerät: § 25 Abs. 2 TTDSG (für den vom Nutzer ausdrücklich gewünschten
Dienst unbedingt erforderlich).
Verarbeitete Inhalte: eingereichte Musikwünsche (Titel, optional Interpret, optionaler
Kommentar), Auf-/Abwertungen (Up-/Downvotes) sowie ggf. eine kanalbezogene Sperre — jeweils
verknüpft mit der pseudonymen Kennung. Kommentare werden über einen Wortfilter moderiert.
Zweck: Durchführung des Wunsch-Dienstes für die jeweilige Veranstaltung des DJs.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung
des Dienstes).
Speicherdauer: bis zur Löschung des zugehörigen Kanals bzw. des DJ-Kontos.
5. Server-Logs & IP-Adressen
- Missbrauchs-/Spam-Schutz (Rate-Limiting): Zur Begrenzung von Registrierungs-,
Wunsch- und Abstimmungs-Versuchen wird die IP-Adresse nur kurzlebig in einem flüchtigen
Zwischenspeicher (Cache) verarbeitet und nicht dauerhaft in der Datenbank gespeichert.
Aufbewahrung nur für die Dauer des jeweiligen Zeitfensters (Sekunden bis zu einer Stunde).
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. - Eingeloggte DJ-Sitzungen: Für die Dauer einer angemeldeten Sitzung werden zur
Sitzungsverwaltung IP-Adresse und Browser-Kennung (User-Agent) gespeichert. Sitzungen laufen
standardmäßig nach 120 Minuten Inaktivität ab. - Webserver-Logs: Etwaige Server-Logfiles des Hosters/Webservers sind serverseitig
zu prüfen und hier ggf. zu ergänzen (Inhalt, Zweck, Speicherdauer) — siehe Abschnitt 15.
6. Cookies & lokale Speicherung
MeJay verwendet ausschließlich technisch notwendige Cookies sowie eine lokale
Browser-Speicherung für eine Anzeige-Einstellung. Es werden keine Tracking- oder
Marketing-Cookies und keine Drittanbieter-Tracker eingesetzt.
| Name | Typ | Zweck | Lebensdauer |
|---|---|---|---|
…_session |
Cookie | Sitzungsverwaltung (Login-Status) | ~120 Min. |
XSRF-TOKEN |
Cookie | Schutz vor Cross-Site-Request-Forgery | Sitzung |
wisher-identifier |
Cookie | Pseudonyme Geräte-Kennung für Gäste (siehe 4) | bis ~5 Jahre |
appearance |
LocalStorage | Anzeige-Modus hell/dunkel/System (kein Personenbezug) | bis Löschung durch Nutzer |
7. Empfänger / Auftragsverarbeiter / Drittlandübermittlung
Wir setzen sorgfältig ausgewählte Dienstleister ein. Mit Auftragsverarbeitern sind
Auftragsverarbeitungsverträge (Art. 28 DSGVO) abzuschließen; bei Übermittlungen in Drittländer
sind geeignete Garantien sicherzustellen.
| Dienst | Verarbeitete Daten | Zweck | Ort / Drittland |
|---|---|---|---|
| Hetzner Online GmbH | alle in der App gespeicherten Daten (Hosting) | Server-Betrieb/Speicherung | Deutschland (EU) |
| SendGrid (Twilio Inc.) | Empfänger-E-Mail, Name, Links/Tokens in E-Mails | Versand von Transaktions- und Broadcast-E-Mails (SMTP) | USA — Übermittlung auf Basis Standardvertragsklauseln / EU-US Data Privacy Framework |
| Last.fm (Audioscrobbler) | eingegebener Suchbegriff (Titel/Interpret) | Titel-Autovervollständigung; Aufruf erfolgt serverseitig, es wird keine Gäste-IP an Last.fm übermittelt | Vereinigtes Königreich (Angemessenheitsbeschluss) |
| payments.opitzworks.de | Weiterleitung zum Checkout | Abschluss/Verwaltung des Pro-Abos | OpitzWorks, Wermelskirchen, Deutschland |
Abrechnung/Zahlungen: MeJay speichert keine Zahlungsdaten. Die Abo-Verwaltung und
der Bezahlvorgang laufen vollständig über den Bezahl-Dienst; lokal wird lediglich der ermittelte Abo-Status zwischengespeichert.
8. Werbung auf den Wunsch-Seiten (nur kostenlose Tarife)
Auf den Wunsch-Seiten von DJs im kostenlosen Tarif können eigene Werbebanner angezeigt werden.
Dabei werden nur aggregierte Kennzahlen (Anzahl Einblendungen/Klicks pro Banner) erfasst —
keine personenbezogenen Daten und keine Profilbildung. Ein Klick leitet auf die
externe Zielseite des Werbekunden weiter; für diese gilt deren eigene Datenschutzerklärung.
9. Übernahme von Bestandskunden (Migration)
Konten und Inhalte von Bestandskunden des bisherigen MeJay-Dienstes wurden in die neue
Plattform übernommen (Name, E-Mail, Profile, Kanäle, Wünsche, Abstimmungen, Sperren sowie der
aktive Abo-Status). Passwörter wurden nicht übernommen — die Reaktivierung erfolgt über das
Zurücksetzen des Passworts. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO
(Fortführung des Vertragsverhältnisses bzw. berechtigtes Interesse an der Bestandsübernahme).
10. E-Mail-Kommunikation
Wir versenden transaktionale E-Mails (E-Mail-Bestätigung, Passwort-Zurücksetzen,
Reaktivierungs-Einladungen, Daten-Export, Lösch-Protokoll) sowie ggf. Service-Rundnachrichten
an DJs. Versanddienstleister ist SendGrid/Twilio (siehe Abschnitt 7). Rechtsgrundlage:
Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO.
11. Speicherdauer & Löschung
| Daten | Aufbewahrung |
|---|---|
| DJ-Konto & zugehörige Inhalte | bis zur Löschung durch den Nutzer/Betreiber |
| Nicht bestätigte Konten | automatische Löschung nach kurzer Frist (standardmäßig 7 Tage) |
| Übernommene, nicht reaktivierte Konten | automatische Löschung nach standardmäßig 6 Monaten |
| Sitzungen | ~120 Minuten (Inaktivität) |
| IP im Rate-Limit | nur kurzlebig (Sekunden bis 1 Stunde), nicht in der DB |
Löschung (Recht auf Vergessenwerden): Bei Konto-Löschung werden das Konto und alle
zugehörigen Daten unwiderruflich entfernt (kein „Soft-Delete"): Kanäle, Wünsche,
Abstimmungen, Sperren sowie hochgeladene Bilder (Titelbilder, Logos, Profil-Hintergrund).
Über den Löschvorgang wird ein Protokoll geführt, das ausschließlich Metadaten enthält
(z. B. Zeitpunkt und betroffene Kontokennung) — keine inhaltlichen Daten.
12. Ihre Rechte
Sie haben im Rahmen der gesetzlichen Voraussetzungen das Recht auf Auskunft (Art. 15),
Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung
(Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21) sowie das Recht,
eine erteilte Einwilligung jederzeit zu widerrufen.
Praktische Umsetzung: Im DJ-Konto stehen ein Self-Service-Datenexport (maschinen- und
menschenlesbar als JSON/CSV/PDF inkl. hochgeladener Bilder als ZIP-Archiv) sowie eine
Self-Service-Konto-Löschung zur Verfügung. Anfragen können zudem an den Verantwortlichen
(Abschnitt 1) gerichtet werden.
Beschwerderecht: Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu
beschweren.
13. Datensicherheit
- Verschlüsselte Übertragung (TLS/HTTPS; in Produktion erzwungen).
- Passwörter werden ausschließlich als kryptografischer Hash gespeichert.
- Optionale Zwei-Faktor-Authentifizierung für DJ-Konten.
- Sicherheits-HTTP-Header inkl. Content-Security-Policy (in Produktion).
- Sicherheitsrelevante Tokens werden nur gehasht gespeichert.
14. Änderungen dieser Datenschutzerklärung
Wir passen diese Datenschutzerklärung an, wenn sich die Datenverarbeitung oder die Rechtslage
ändert. Es gilt die jeweils auf https://mejay.io veröffentlichte Fassung.