Privacy Policy — Songcrate (GDPR)

Effective date: October 2, 2025
This Privacy Policy applies to the Songcrate mobile application provided by Dreamcode Lab GbR (“Dreamcode Lab,” “we,” “us,” or “our”). We process personal data in accordance with the General Data Protection Regulation (GDPR) and the German Federal Data Protection Act (BDSG).

1) Data Controller

Dreamcode Lab GbR
Am Speicher 2, 10245 Berlin, Germany
Email: developer@dreamcodelab.com

2) Scope & What We Process

• Account Data: name, email, password (stored hashed).

• Content Data: lyrics, notes, recordings, uploaded files/images/videos, project metadata.

• Collaboration Data: invitations, roles/permissions, comments, change history.

• Device & Usage Data: device model, OS version, app version, essential in-app events needed to provide core features.

• Diagnostics: crash and performance data (e.g., via Firebase Crashlytics).

• Payments (if enabled): transaction IDs/status, timestamps (payment details processed by the payment provider, not by us).

• Push Notifications: device/push tokens.

• Optional Data (with consent): profile photo, newsletter/marketing preferences.

We do not intentionally process special categories of data under Art. 9 GDPR.

3) Purposes & Legal Bases (Art. 6 GDPR)

• Provide the app, accounts, sync, and collaboration – Art. 6(1)(b) (contract).

• Security, fraud/abuse prevention, reliability, debugging – Art. 6(1)(f) (legitimate interests).

• Analytics (e.g., Firebase Analytics), marketing emails, optional notifications – Art. 6(1)(a) (consent).

• Compliance and accounting – Art. 6(1)(c) (legal obligation).
  
  

Minors: We do not show behavioral advertising, do not sell data, and do not profile minors. Analytics/marketing are disabled for users under the EU age of digital consent unless verifiable parental consent is obtained.

4) Storage, Regions & Security

• Primary processing & storage:

  • Firebase (incl. Firestore): EU data location (project configured in an EU region).

  • Backblaze B2: EU-Central region for file/media storage and backups.

• Encryption in transit: All data transmissions use TLS (SSL).

• Encryption at rest: Files/backups are encrypted using AES-256.

• Access controls: role-based access (least privilege), logging, and environment segregation.
  Note: We do not provide client-side end-to-end encryption for user content; encryption at rest is provided server-side by our providers.
  
  

5) Retention & Deletion

• Accounts & content: retained while your account is active. You can delete your account and all associated content at any time in Settings.

• Upon account deletion: data is removed from active systems; remaining backups are overwritten/removed within 30 days.

• Diagnostics: retained for a limited period (e.g., up to 90 days) for reliability and troubleshooting.

• Billing/records: retained per statutory requirements (typically 6–10 years in Germany).
  
  

6) Sharing / Processors (Art. 28 GDPR)

We use carefully selected processors under data processing agreements:

• Google Firebase / Google Cloud – authentication, database (Firestore), storage, crash reporting, (optional) analytics (configured for EU data location where available).

• Backblaze B2 Cloud Storage – file/media storage and backups in EU-Central.

• Payment provider(s) (only for in-app purchases).
  We do not sell personal data. A current list of sub-processors is available here: [link to your sub-processor page].
  
  

7) International Transfers

We aim to keep processing in the EU (Firestore in EU; Backblaze EU-Central). Where support or provider operations may involve access from outside the EEA (e.g., corporate headquarters in the U.S.), transfers rely on appropriate safeguards, notably EU Standard Contractual Clauses (SCCs) and supplementary measures where required. Details: [link to SCC/transfer info].

8) Children’s Privacy (4+ suitability; GDPR Art. 8)

Songcrate is suitable for ages 4+ (general audience) and is not designed to collect personal data from children.

• Users under the EU age of digital consent (up to 16 in Germany): we minimize data, disable analytics/marketing, and require verifiable parental consent for optional processing.

• If we learn that we collected a child’s data without required consent, we will delete it promptly.

• Parents/guardians can contact developer@dreamcodelab.com to review or request deletion of a child’s data.
  
  

9) App Permissions

• Microphone: in-app audio recording.

• Camera/Photos/Files: capture/import/upload media and documents.

• Notifications: project/collaboration updates.
  Permissions are used only for stated features and can be revoked in device settings.
  
  

10) Your Rights (GDPR)

You have the rights to access, rectification, erasure, restriction, portability, object, and to withdraw consent.
Contact: developer@dreamcodelab.com. We verify identity and usually respond within 30 days.
Supervisory authority: Berlin Commissioner for Data Protection and Freedom of Information, Alt-Moabit 59–61, 10555 Berlin, Germany, mailbox@datenschutz-berlin.de.

11) App Store / Play Disclosures

We provide accurate disclosures in Apple Privacy Nutrition Labels and Google Play Data Safety. For a general-audience app rated 4+, we do not show behavioral ads or profile minors. Changes to data practices will be reflected both there and in this policy.

12) Changes to This Policy

We may update this policy from time to time. Material changes will be announced in-app and/or by email. The effective date appears at the top.

13) Contact

Dreamcode Lab GbR, Am Speicher 2, 10245 Berlin, Germany
Email: developer@dreamcodelab.com

Datenschutzerklärung — Songcrate (DSGVO)

Gültig ab: 2. Oktober 2025
Diese Datenschutzerklärung gilt für die mobile App Songcrate der Dreamcode Lab GbR („wir“/„uns“). Wir verarbeiten personenbezogene Daten gemäß Datenschutz-Grundverordnung (DSGVO) und Bundesdatenschutzgesetz (BDSG).

1) Verantwortlicher

Dreamcode Lab GbR
Am Speicher 2, 10245 Berlin, Deutschland
E-Mail: developer@dreamcodelab.com

2) Umfang & Verarbeitete Daten

• Kontodaten: Name, E-Mail, Passwort (gehasht gespeichert).

• Inhaltsdaten: Lyrics, Notizen, Aufnahmen, hochgeladene Dateien/Bilder/Videos, Projekt-Metadaten.

• Kollaborationsdaten: Einladungen, Rollen/Rechte, Kommentare, Änderungsverläufe.

• Geräte- & Nutzungsdaten: Gerätetyp, Betriebssystem, App-Version, essenzielle In-App-Ereignisse zur Bereitstellung der Kernfunktionen.

• Diagnose: Absturz- und Leistungsdaten (z. B. via Firebase Crashlytics).

• Zahlungen (falls aktiv): Transaktions-IDs/Status, Zeitstempel (Zahlungsdaten verarbeitet der Zahlungsdienstleister, nicht wir).

• Push-Benachrichtigungen: Geräte-/Push-Token.

• Optionale Daten (mit Einwilligung): Profilfoto, Newsletter/Marketing-Einstellungen.

Wir verarbeiten keine besonderen Kategorien personenbezogener Daten i. S. v. Art. 9 DSGVO.

3) Zwecke & Rechtsgrundlagen (Art. 6 DSGVO)

• App-Bereitstellung, Konto, Sync & Zusammenarbeit – Art. 6 Abs. 1 lit. b (Vertrag).

• Sicherheit, Missbrauchs-/Betrugsvermeidung, Stabilität, Fehlerbehebung – Art. 6 Abs. 1 lit. f (berechtigtes Interesse).

• Analytik (z. B. Firebase Analytics), Marketing-E-Mails, optionale Benachrichtigungen – Art. 6 Abs. 1 lit. a (Einwilligung).

• Gesetzliche Pflichten/Abrechnung – Art. 6 Abs. 1 lit. c.
  
  

Minderjährige: Keine verhaltensbasierten Anzeigen, kein Datenverkauf, keine Profilbildung Minderjähriger. Analytik/Marketing sind für Nutzende unterhalb der digitalen Einwilligungsgrenze deaktiviert, es sei denn, es liegt eine nachprüfbare elterliche Einwilligung vor.

4) Speicherung, Regionen & Sicherheit

• Primäre Verarbeitung & Speicherung:

  • Firebase (inkl. Firestore): EU-Datenstandort (Projekt in einer EU-Region konfiguriert).

  • Backblaze B2: EU-Central-Region für Datei-/Medienspeicher und Backups.

• Verschlüsselung bei Übertragung: Alle Datenübertragungen erfolgen über TLS (SSL).

• Verschlüsselung im Ruhezustand: Dateien/Backups sind mit AES-256 verschlüsselt.

• Zugriffskontrollen: rollenbasierte Zugriffe (least privilege), Protokollierung, Trennung der Umgebungen.
  Hinweis: Keine clientseitige Ende-zu-Ende-Verschlüsselung; die Verschlüsselung im Ruhezustand erfolgt serverseitig durch unsere Anbieter.
  
  

5) Aufbewahrung & Löschung

• Konten & Inhalte: werden für die Dauer der Kontonutzung gespeichert. Sie können Ihr Konto und alle Inhalte jederzeit in den App-Einstellungen löschen.

• Nach Kontolöschung: Daten werden aus aktiven Systemen entfernt; verbleibende Backups werden innerhalb von 30 Tagen überschrieben/entfernt.

• Diagnosedaten: werden für einen begrenzten Zeitraum (z. B. bis zu 90 Tage) zur Stabilität und Fehleranalyse aufbewahrt.

• Rechnungs-/Geschäftsunterlagen: gesetzliche Aufbewahrung (typisch 6–10 Jahre).

6) Weitergabe / Auftragsverarbeiter (Art. 28 DSGVO)

Wir setzen sorgfältig ausgewählte Auftragsverarbeiter mit Auftragsverarbeitungsverträgen ein:

• Google Firebase / Google Cloud – Authentifizierung, Datenbank (Firestore), Storage, Crash Reporting, (optional) Analytik (soweit verfügbar mit EU-Datenstandort).

• Backblaze B2 Cloud Storage – Datei-/Medienspeicherung und Backups in EU-Central.

• Zahlungsdienstleister (nur bei In-App-Käufen).
  Ein aktuelles Verzeichnis der Unterauftragsverarbeiter: [Link zu Ihrer Sub-Prozessor-Seite]. Ein Verkauf personenbezogener Daten findet nicht statt.
  
  

7) Datenübermittlungen in Drittländer

Wir halten die Verarbeitung möglichst in der EU (Firestore EU; Backblaze EU-Central). Soweit Support oder Anbieterbetrieb Zugriffe von außerhalb des EWR erfordert (z. B. Konzernsitz in den USA), stützen wir Übermittlungen auf geeignete Garantien, insbesondere EU-Standardvertragsklauseln (SCCs), ggf. mit ergänzenden Maßnahmen. Details: [Link zu SCC/Transfer-Info].

8) Datenschutz für Kinder (4+-Eignung; Art. 8 DSGVO)

Songcrate ist eine All-Audience-App und für Kinder ab 4 Jahren geeignet; sie ist nicht darauf ausgelegt, personenbezogene Daten von Kindern zu erheben.

• Unterhalb der digitalen Einwilligungsgrenze (in Deutschland bis zu 16 Jahren) minimieren wir die Daten, deaktivieren Analytik/Marketing und holen für optionale Verarbeitungen eine nachprüfbare elterliche Einwilligung ein.

• Werden Daten ohne erforderliche Einwilligung erhoben, löschen wir sie unverzüglich.

• Eltern/Erziehungsberechtigte können unter developer@dreamcodelab.com Einsicht und Löschung von Kinderdaten verlangen.
  
  

9) App-Berechtigungen

• Mikrofon: Audioaufnahmen innerhalb von Projekten.

• Kamera/Fotos/Dateien: Erfassen/Importieren/Hochladen von Medien und Dokumenten.

• Benachrichtigungen: Hinweise zu Projekten und Zusammenarbeit.
  Berechtigungen werden nur zweckgebunden genutzt und können in den System-Einstellungen widerrufen werden.
  
  

10) Rechte betroffener Personen

Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch sowie Widerruf erteilter Einwilligungen.
Kontakt: developer@dreamcodelab.com. Wir verifizieren die Identität und antworten i. d. R. innerhalb von 30 Tagen.
Zuständige Aufsichtsbehörde: Berliner Beauftragte für Datenschutz und Informationsfreiheit, Alt-Moabit 59–61, 10555 Berlin, mailbox@datenschutz-berlin.de.

11) App-Store / Play-Angaben

Wir machen zutreffende Angaben in den Apple-Datenschutzlabels und in Google Play Data Safety. Für 4+-Apps werden keine verhaltensbasierten Anzeigen gezeigt und Minderjährige nicht profiliert. Änderungen unserer Datenverarbeitung werden dort und in dieser Erklärung aktualisiert.

12) Änderungen

Wir können diese Erklärung aktualisieren. Über wesentliche Änderungen informieren wir in der App und/oder per E-Mail. Das Gültigkeitsdatum steht oben.

13) Kontakt

Dreamcode Lab GbR, Am Speicher 2, 10245 Berlin, Deutschland
E-Mail: developer@dreamcodelab.com