Datenschutzerklärung Privacy Policy

Diese Datenschutzerklärung gilt für die Webseiten guitarpt.app (diese Landing-Page) und stems.guitarpt.app (Stem-Trennungs-Service) sowie die iOS-App „GuitarPT", soweit diese mit unseren Servern kommuniziert (Cloud-Analyse, In-App-Käufe). Wir betreiben alle drei Komponenten mit dem ausdrücklichen Anspruch, möglichst wenig Daten zu verarbeiten — kein Account, keine Cookies, kein Tracking, kein Werbenetzwerk, kein Analytics-SDK. Was wir trotzdem verarbeiten müssen (für Betrieb, Missbrauchsschutz, Cloud-Analyse und Zahlungsabwicklung), steht hier transparent. Daten, die rein lokal auf deinem iPhone bzw. in deinem iCloud-Konto bleiben (Songs, Setlists, Marker, Loops), fallen ausschließlich unter Apples Datenschutz- Bestimmungen — dort haben wir keinen Zugriff. This privacy policy applies to the websites guitarpt.app (this landing page) and stems.guitarpt.app (stem-separation service) as well as the iOS app "GuitarPT" insofar as it communicates with our servers (cloud analysis, in-app purchases). We run all three components with the explicit goal of processing as little data as possible — no account, no cookies, no tracking, no ad network, no analytics SDK. Everything we still have to process (for operation, abuse prevention, cloud analysis and payment handling) is listed here transparently. Data that stays purely local on your iPhone or in your iCloud account (songs, setlists, markers, loops) is covered solely by Apple's privacy terms — we have no access to it.

1. Verantwortlicher 1. Controller

Verantwortlich für die Datenverarbeitung auf dieser Website ist: The controller for data processing on this website is:

Thorsten Jüttner
Warfer Landstrasse 17
28357 Bremen
Deutschland Germany
info@guitarpt.app

2. Welche Daten wir verarbeiten 2. What data we process

2.1 IP-Adresse 2.1 IP address

Zweck: Rate-Limit (max. ein Job pro IP pro 24 Stunden) zum Schutz vor Missbrauch.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — Missbrauchsschutz / Fair Use).
Speicherdauer: 24 Stunden, danach automatische Löschung.
Empfänger: ausschließlich unser Server (kein Drittanbieter). Purpose: rate limit (max. one job per IP per 24 hours) to prevent abuse.
Legal basis: Art. 6 (1) (f) GDPR (legitimate interest — abuse prevention / fair use).
Retention: 24 hours, then automatic deletion.
Recipients: our server only (no third party).

2.2 Hochgeladene Audiodatei 2.2 Uploaded audio file

Zweck: Durchführung der Stem-Separation.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — du lädst hoch, wir liefern).
Speicherdauer: 30 Tage ab Upload, danach automatische Löschung der Original-Datei und der generierten Stems.
Empfänger: Replicate, Inc. (USA) für die KI-Inferenz; siehe Abschnitt „Auftragsverarbeiter".
Wichtig: Wir veröffentlichen keine Inhalte und nutzen die Dateien nicht zum Training irgendwelcher Modelle. Purpose: performing the stem separation.
Legal basis: Art. 6 (1) (b) GDPR (contract performance — you upload, we deliver).
Retention: 30 days from upload, then automatic deletion of the original file and the generated stems.
Recipients: Replicate, Inc. (USA) for AI inference; see "Processors".
Important: we don't publish any content, and we do not use the files to train any models.

2.3 Server-Logs (Caddy Access-Log) 2.3 Server logs (Caddy access log)

Daten: IP-Adresse, Zeitstempel, User-Agent, abgerufener Pfad, HTTP-Statuscode.
Zweck: Sicherheit, Debugging, Missbrauchsanalyse.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — Betriebssicherheit).
Speicherdauer: 7 Tage Rotation, danach automatische Löschung.
Empfänger: ausschließlich unser Server. Data: IP address, timestamp, user agent, requested path, HTTP status code.
Purpose: security, debugging, abuse analysis.
Legal basis: Art. 6 (1) (f) GDPR (legitimate interest — operational security).
Retention: 7-day rotation, then automatic deletion.
Recipients: our server only.

2.4 Trinkgeld-Zahlung (Stripe Checkout) 2.4 Tip payment (Stripe Checkout)

Wann relevant: nur wenn du auf einen Trinkgeld-Button (3 €, 5 €, 10 €, 25 €) klickst.
Daten: deine E-Mail-Adresse, Zahlungsmittel-Daten (je nach Wahl: Karte, PayPal, Apple Pay, Google Pay, Klarna, Link, Amazon Pay, Revolut), Betrag, Zeitpunkt.
Zweck: Abwicklung des freiwilligen Trinkgelds.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: bei uns selbst keine Speicherung der Zahlungsmittel-Daten — die siehst du auf der Stripe-Seite ein und Stripe übernimmt; in unseren Stripe-Reports landen nur E-Mail + Betrag. Stripe bewahrt Buchhaltungs-relevante Daten nach handelsrechtlichen Vorgaben (typ. 10 Jahre) auf.
Empfänger: Stripe Payments Europe Ltd. (Irland); siehe Abschnitt „Auftragsverarbeiter". When relevant: only when you click a tip button (3 €, 5 €, 10 € or 25 €).
Data: your e-mail address, payment-method data (depending on your choice: card, PayPal, Apple Pay, Google Pay, Klarna, Link, Amazon Pay, Revolut), amount, timestamp.
Purpose: processing the voluntary tip.
Legal basis: Art. 6 (1) (b) GDPR (contract performance).
Retention: we ourselves do not store any payment-method data — you enter it on Stripe's page and Stripe handles it; our Stripe reports only show e-mail + amount. Stripe retains accounting-relevant data under commercial-law requirements (typically 10 years).
Recipients: Stripe Payments Europe Ltd. (Ireland); see "Processors".

2.5 iOS-App: Cloud-Analyse 2.5 iOS app: cloud analysis

Wann relevant: nur wenn du in der App eine Cloud-Analyse startest (Akkorderkennung mit Stems, LLM-Theorie- Layer, Hybrid-Akkorde). Die On-Device-Funktionen (Loops, Tempo-Slowdown, Setlists, Leadsheets, On-Device-Akkorde) laufen komplett lokal und sprechen unsere Server nicht an.
Daten: When relevant: only when you start a cloud analysis in the app (chord recognition with stems, LLM theory layer, hybrid chords). The on-device features (loops, tempo slow-down, setlists, leadsheets, on-device chords) run fully locally and never talk to our servers.
Data:

• Anonyme Geräte-UUID — wird beim ersten App-Start einmalig generiert und im iOS-Keychain gespeichert. Nicht mit deiner Apple-ID, E-Mail oder Telefonnummer verknüpft. Wir verwenden sie als Pseudonym, um deine Cloud-Quota und gekauften Pakete zuzuordnen. Anonymous device UUID — generated once on first launch and stored in the iOS Keychain. Not linked to your Apple ID, e-mail or phone number. We use it as a pseudonym to attribute your cloud quota and purchased packs.
• App-Metadaten: App-Version, Plattform („ios"), iOS-Version, Sprach-Locale (z. B. „de"). Dient der Diagnose und der Lokalisierung von Server-Antworten. App metadata: app version, platform ("ios"), iOS version, language locale (e.g. "de"). Used for diagnostics and locale-aware server responses.
• Hochgeladene Audiodatei: der Song, den du analysieren möchtest. Wird auf unseren Servern verarbeitet, durchläuft Quellen-Trennung (Demucs via Replicate) und Akkorderkennung. Wird nicht veröffentlicht und nicht zum Training irgendwelcher Modelle verwendet. Uploaded audio file: the song you want to analyse. Processed on our servers; goes through source separation (Demucs via Replicate) and chord recognition. Not published and not used for training of any model.
• Generierte Ergebnisse: Stems (Drums, Bass, Vocals, Other), Akkord-Stream mit Zeitstempeln, Tempo-Schätzung, optional ein LLM-generierter Theorie-Text (Roman-Numeral-Analyse, Funktionsharmonik-Annotationen). Werden mit deiner Geräte-UUID verknüpft auf unserem Server zwischengespeichert. Generated results: stems (drums, bass, vocals, other), chord stream with timestamps, tempo estimate, optionally an LLM-generated theory text (Roman numeral analysis, functional-harmony annotations). Cached on our server keyed by your device UUID.

Zweck: Durchführung der Cloud-Analyse, Verwaltung deiner Quota (5 kostenlose Analysen, danach In-App- Käufe), Caching identischer Songs (per SHA-1-Hash) zur Kostenvermeidung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — du startest die Analyse, wir liefern das Ergebnis).
Speicherdauer: Original-Audio und Stems maximal 30 Tage ab Upload, danach automatische Löschung. Akkord- und Theorie-Daten bleiben bis zu 90 Tage im Cache, damit identische Songs nicht erneut analysiert werden müssen. Geräte-UUID bleibt erhalten, solange du die App nutzt; per „Cloud-Daten löschen"-Funktion in den App-Einstellungen jederzeit serverseitig löschbar.
Empfänger: Replicate, Inc. (USA) für die Stem-Separation; OpenAI, L.L.C. (USA) für die optionale LLM-Theorie-Analyse; siehe Abschnitt „Auftragsverarbeiter". Purpose: performing the cloud analysis, managing your quota (5 free analyses, then in-app purchases), caching identical songs (via SHA-1 hash) to avoid duplicate costs.
Legal basis: Art. 6 (1) (b) GDPR (contract performance — you start the analysis, we deliver the result).
Retention: original audio and stems max. 30 days from upload, then automatic deletion. Chord and theory data stay in cache up to 90 days so identical songs don't have to be re-analysed. Device UUID is retained for as long as you use the app; can be deleted on our server at any time via the in-app "Delete cloud data" function in Settings.
Recipients: Replicate, Inc. (USA) for stem separation; OpenAI, L.L.C. (USA) for the optional LLM theory analysis; see "Processors" below.

2.6 iOS-App: In-App-Käufe (Apple StoreKit) 2.6 iOS app: in-app purchases (Apple StoreKit)

Wann relevant: nur wenn du in der App ein Cloud-Paket (30 oder 150 Analysen) oder das Pro-Abo kaufst. Die App selbst ist kostenlos.
Daten: When relevant: only when you buy a cloud pack (30 or 150 analyses) or the Pro subscription inside the app. The app itself is free.
Data:

• Apple-Transaktions-ID und Produkt-ID (z. B. „guitarpt.pack.30") — von Apple beim Kauf an die App ausgehändigt. Apple transaction ID and product ID (e.g. "guitarpt.pack.30") — handed by Apple to the app at purchase time.
• Receipt-JWS (kryptografisch signierter Kaufbeleg von Apple) — leiten wir an unseren Server zur Verifikation gegen Apples öffentliche Schlüssel weiter. Enthält die obigen IDs sowie Kauf-Zeitstempel und Ablaufdatum (bei Abos). Enthält keine Klartext-Apple-ID, keine E-Mail-Adresse, keine Zahlungsmittel-Daten. Receipt JWS (cryptographically signed purchase receipt from Apple) — we forward this to our server for verification against Apple's public keys. It contains the IDs above plus purchase timestamp and expiry date (for subscriptions). It does not contain a plain-text Apple ID, no e-mail address, no payment-method data.
• Verknüpfung mit deiner anonymen Geräte-UUID (siehe 2.5) damit dein Kauf der richtigen Quota zugeordnet wird. Link to your anonymous device UUID (see 2.5) so your purchase is credited to the correct quota.

Was wir nicht bekommen: deine Apple-ID, deine E-Mail-Adresse, deinen Namen, deine Rechnungs- oder Zahlungsmittel-Daten. Diese Informationen bleiben ausschließlich bei Apple und unterliegen Apples Datenschutz-Bestimmungen.
Zweck: Verifikation der Echtheit des Kaufs, Gutschrift der Cloud-Analyse-Credits, Erkennung von Wiederholungs-Einsendungen desselben Receipts (Idempotenz).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung — buchhalterische Aufbewahrungspflicht nach § 257 HGB).
Speicherdauer: Transaktions-ID + Produkt-ID + Zeitstempel werden aus buchhalterischen Gründen 10 Jahre aufbewahrt (HGB § 257). Der vollständige Receipt-JWS wird nach erfolgreicher Verifikation auf einen Hash reduziert, der die Idempotenzprüfung erlaubt, aber keine Klartext-Information mehr enthält.
Empfänger: Apple Inc. (USA) als eigenständig Verantwortlicher für die Zahlungsabwicklung. Wir leiten den Receipt zur Verifikation an Apples App-Store-Server-API weiter (Apples eigene Endpunkte, keine Drittpartei). What we don't get: your Apple ID, your e-mail address, your name, billing or payment-method data. That information stays exclusively with Apple and is governed by Apple's privacy terms.
Purpose: verifying the authenticity of the purchase, crediting cloud-analysis quota, detecting duplicate submissions of the same receipt (idempotency).
Legal basis: Art. 6 (1) (b) GDPR (contract performance) and Art. 6 (1) (c) GDPR (legal obligation — commercial-law retention under § 257 HGB).
Retention: transaction ID + product ID + timestamp are retained for 10 years for accounting reasons (HGB § 257). The full receipt JWS is reduced to a hash after successful verification — enough for idempotency checks, no longer plaintext.
Recipients: Apple Inc. (USA) as an independent controller for payment processing. We forward the receipt for verification to Apple's App Store Server API (Apple's own endpoints, no third party).

3. Auftragsverarbeiter 3. Processors

Wir setzen folgende Auftragsverarbeiter ein, mit denen Verträge nach Art. 28 DSGVO bestehen: We use the following processors with Art. 28 GDPR agreements in place:

• Hetzner Online GmbH — Industriestraße 25, 91710 Gunzenhausen, Deutschland Germany.
  Hosting / Server-Infrastruktur. Hosting / server infrastructure.
• Replicate, Inc. — 1209 Orange Street, Wilmington, DE 19801, USA.
  KI-Inferenz (Stem-Separation via Demucs). Datentransfer in die USA erfolgt auf Grundlage der EU-Standardvertrags- klauseln (Art. 46 Abs. 2 lit. c DSGVO). AI inference (stem separation via Demucs). Data transfer to the USA is based on EU Standard Contractual Clauses (Art. 46 (2) (c) GDPR).
• OpenAI, L.L.C. — 3180 18th Street, San Francisco, CA 94110, USA.
  KI-Inferenz für die optionale LLM-Theorie-Analyse (gpt-4o-Modell, Roman-Numeral-Analyse und Funktionsharmonik). Übermittelt werden nur die in unserer Cloud-Analyse ermittelten Akkord-Sequenzen und Beat-Zeitpunkte (kein Audio, keine Geräte-UUID, keine Apple-IDs). OpenAI bestätigt vertraglich, dass API-Eingaben nicht zum Training von Modellen verwendet werden. Datentransfer in die USA erfolgt auf Grundlage der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Apple Inc. (USA) ist eigenständig Verantwortlicher für die Zahlungsabwicklung von In-App-Käufen und damit kein Auftragsverarbeiter im Sinne der DSGVO. AI inference for the optional LLM theory analysis (gpt-4o model, Roman numeral analysis and functional harmony). Only the chord sequences and beat times produced by our cloud analysis are transmitted — no audio, no device UUID, no Apple identifiers. OpenAI contractually confirms that API inputs are not used for model training. Data transfer to the USA is based on EU Standard Contractual Clauses (Art. 46 (2) (c) GDPR). Apple Inc. (USA) is an independent controller for the payment processing of in-app purchases and is therefore not a processor in the GDPR sense.
• Stripe Payments Europe Ltd. — 1 Grand Canal Street Lower, Grand Canal Dock, Dublin 2, Irland Ireland.
  Zahlungsabwicklung für Trinkgeld-Beträge. Stripe ist eigenständig Verantwortlicher für die Zahlungsabwicklung selbst und kann zur Erbringung der Zahlungs-Dienstleistung weitere Unterauftragsverarbeiter einsetzen (z. B. PayPal, Apple, Google). Payment processing for tip amounts. Stripe is an independent controller for the payment processing itself and may engage further sub-processors to deliver the payment service (e.g. PayPal, Apple, Google).

4. Cookies und Tracking 4. Cookies and tracking

Diese Website setzt keine Cookies. Wir nutzen kein Webanalyse-Tool, kein Tracking-Pixel, keine sozialen Plugins, keine Werbenetzwerke. Es gibt nichts, dem du zustimmen müsstest — daher auch kein Cookie-Banner. This website uses no cookies. We use no web analytics, no tracking pixel, no social plugins, no ad networks. There is nothing you have to consent to — hence no cookie banner.

Hinweis: Wenn du auf einen Trinkgeld-Button klickst und die Stripe-Checkout-Seite aufrufst, gelten dort die Datenschutzbestimmungen von Stripe: stripe.com/de/privacy. Note: if you click a tip button and open the Stripe Checkout page, Stripe's privacy policy applies there: stripe.com/privacy.

5. Deine Rechte 5. Your rights

Du hast jederzeit das Recht auf: You have the right at any time to:

• Auskunft über die zu deiner Person gespeicherten Daten (Art. 15 DSGVO) Information about the data we store about you (Art. 15 GDPR)
• Berichtigung falscher Daten (Art. 16 DSGVO) Correction of incorrect data (Art. 16 GDPR)
• Löschung deiner Daten (Art. 17 DSGVO) Deletion of your data (Art. 17 GDPR)
• Einschränkung der Verarbeitung (Art. 18 DSGVO) Restriction of processing (Art. 18 GDPR)
• Datenübertragbarkeit (Art. 20 DSGVO) Data portability (Art. 20 GDPR)
• Widerspruch gegen die Verarbeitung (Art. 21 DSGVO) Objection to processing (Art. 21 GDPR)

Für alle Anfragen genügt eine formlose E-Mail an info@guitarpt.app. Wir antworten in der Regel innerhalb von 7 Tagen; die DSGVO-Frist beträgt 30 Tage. An informal e-mail to info@guitarpt.app is sufficient for any request. We typically reply within 7 days; the GDPR deadline is 30 days.

Für Anfragen, die ausschließlich Trinkgeld-Zahlungen betreffen, ist Stripe eigener Verantwortlicher und der richtige Ansprechpartner. For requests that exclusively concern tip payments, Stripe is its own controller and is the correct point of contact.

6. Beschwerderecht 6. Right to complain

Du kannst jederzeit Beschwerde bei einer Datenschutz- Aufsichtsbehörde einlegen. Für unseren Sitz in Bremen zuständig ist: You may lodge a complaint with a data-protection supervisory authority at any time. For our seat in Bremen, the responsible authority is:

Die Landesbeauftragte für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen The State Commissioner for Data Protection and Freedom of Information of the Free Hanseatic City of Bremen
Arndtstraße 1
27570 Bremerhaven
datenschutz.bremen.de

7. Änderungen dieser Erklärung 7. Changes to this policy

Diese Datenschutzerklärung kann angepasst werden, wenn sich Funktionen der Website oder die rechtliche Lage ändern. Bei wesentlichen Änderungen aktualisieren wir das Datum unten und beschreiben die Änderung in Worten. This privacy policy may be updated when the website's functionality or the legal situation changes. For substantial changes we update the date below and describe the change in words.

Stand: 28. Mai 2026 — Aktualisiert um die iOS-App-Cloud-Analyse, In-App-Käufe (Apple StoreKit) und OpenAI als Auftragsverarbeiter. Last updated: 28 May 2026 — added iOS app cloud analysis, in-app purchases (Apple StoreKit) and OpenAI as a processor.

← zurück zur Startseite ← back to home