Rechtliches

Datenschutzerklärung

1. Verantwortlicher

Technischer Betreiber und Verantwortlicher im Sinne der DSGVO:

Patrick Kämpf – Mühlenweg 2, 57399 Kirchhundem, Deutschland

E-Mail:

2. Hosting & Auftragsverarbeitung

Die Plattform läuft auf einem STRATO VPS (Serverstandort EU). Die komplette Supabase-Instanz (Postgres, Auth, Storage, Realtime) wird dort ebenfalls selbst gehostet und ist damit physisch auf demselben Server untergebracht. Mit beiden Dienstleistern bestehen Auftragsverarbeitungsverträge nach Art. 28 DSGVO. Hosting erfolgt ausschließlich in europäischen Rechenzentren; alle Daten bleiben unter unserer Kontrolle, es existiert kein externer Cloud-Zugriff.

Mails werden über den im Impressum genannten SMTP-Dienst verschickt; auch hier erfolgt die Verarbeitung ausschließlich in der EU bzw. gemäß EU-Standardvertragsklauseln.

3. Zwecke & Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten, um Nutzerkonten bereitzustellen, Events zu veröffentlichen, Teilnahme- und Kontaktanfragen zu ermöglichen, administrative Inhalte wie Netzwerke zu verwalten, Moderationsentscheidungen nachvollziehbar zu protokollieren sowie die technische Sicherheit und Stabilität der Plattform zu gewährleisten.

Rechtsgrundlagen sind insbesondere Art. 6 Abs. 1 lit. b DSGVO (z. B. Anmeldung per Magic-Link, Teilnahme- und Organisationsfunktionen), Art. 6 Abs. 1 lit. f DSGVO (Betriebssicherheit, Missbrauchserkennung, Rate-Limiting, Betrugsprävention, technische Administration) sowie Art. 6 Abs. 1 lit. a DSGVO (Einwilligungen, z. B. Push-Benachrichtigungen oder Standortfreigabe).

4. Verarbeitete Daten & Vorgänge

  • Accounts & Login: Name, E-Mail, Rolle, Sperrstatus, Verifizierungszeitpunkt sowie technisch erzeugte Login- und Session-Daten
  • Events: Inhalte, Bilder/Audio (Supabase Storage), optionale Kontakt- & Social-Media-Links, Geodaten
  • MachBar-Anmeldungen: Name, E-Mail, freiwillige Nachricht, Status-Historie, Mail-Logs für Zusagen/Absagen
  • Admin-Bereich: Administrative Inhalte wie Netzwerke und Widgets werden ausschließlich durch Administratoren verwaltet. Jede Moderations- oder Verwaltungsaktion (z. B. Rollenwechsel, Event-Prüfung, Netzwerk- oder Widget-Änderung) wird mit Benutzerkennung, Zeitpunkt und Kontext protokolliert, damit nachvollziehbar bleibt, wer welche Inhalte verändert hat
  • Support & Kommunikation: Inhalte eingehender E-Mails oder Kontaktanfragen
  • Push-Benachrichtigungen: Push-Endpunkt, kryptografische Schlüssel, technische Gerätedaten (z. B. User Agent) sowie optional Standortdaten für ortsbezogene Benachrichtigungen
  • Sicherheits- und Missbrauchsschutz: IP-Adresse bzw. Header-Informationen, soweit dies zur Anfragebegrenzung, Fehleranalyse und Abwehr missbräuchlicher Nutzung erforderlich ist

5. Authentifizierung, Login-Methoden & Session-Cookies

Der Login erfolgt passwortlos über einen Magic-Link per E-Mail, einen Einmal-PIN (OTP) oder – optional – per Google-Konto (OAuth 2.0). Passwörter speichern wir nicht. Nach erfolgreicher Anmeldung wird ein Session-Token für die Sitzungsverwaltung im Browser gesetzt. Die Verarbeitung der E-Mail-Adresse erfolgt zur Bereitstellung des Nutzerkontos und der Login-Funktion gemäß Art. 6 Abs. 1 lit. b DSGVO.

  • Das Session-Token wird als HTTP-only Cookie (`auth-token`) gespeichert. Es ist technisch notwendig und dient ausschließlich der Sitzungsverwaltung.
  • Das Session-Token enthält technische Kontoangaben wie User-ID, E-Mail-Adresse, Rolle und gegebenenfalls den Namen. Die Token-Laufzeit beträgt derzeit 24 Stunden; bei aktivierter "Angemeldet bleiben"-Funktion kann das Cookie bis zu 7 Tage gespeichert werden, ansonsten endet es mit der Browser-Sitzung oder beim Logout.
  • E-Mails mit Magic-Link enthalten einmalige Token, die nach 15 Minuten automatisch verfallen.
  • Einmal-PINs (OTP) sind 10 Minuten gültig und können nur einmal verwendet werden.
  • Google-Login (OAuth 2.0): Wer sich per Google anmeldet, erlaubt uns den einmaligen Abruf von E-Mail-Adresse und Name aus dem Google-Konto. Diese Daten werden ausschließlich zur Kontoerstellung bzw. -verknüpfung verwendet. Es erfolgt kein Google-Tracking, keine Weitergabe von Daten an Google nach dem Login. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Verarbeitung erfolgt nur durch Googles OAuth-Endpunkt (accounts.google.com); dabei kann eine kurzzeitige Datenübermittlung in die USA nicht ausgeschlossen werden (Standardvertragsklauseln der EU).
  • Discord-Login (OAuth 2.0): Wer sich per Discord anmeldet, erlaubt uns den einmaligen Abruf von E-Mail-Adresse und Nutzernamen aus dem Discord-Konto. Diese Daten werden ausschließlich zur Kontoerstellung bzw. -verknüpfung verwendet. Es erfolgt kein Discord-Tracking nach dem Login. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Verarbeitung erfolgt über Discords OAuth2-Endpunkt (discord.com); dabei kann eine kurzzeitige Datenübermittlung in die USA nicht ausgeschlossen werden (Standardvertragsklauseln der EU).
  • Zur Missbrauchsverhinderung begrenzen wir Login-Anfragen technisch anhand der anfragenden IP-Adresse.
  • Aktuell verwenden wir keine Marketing- oder Tracking-Cookies externer Werbedienste.

6. Cookies, lokale Speicherung & Standort

Neben dem oben genannten Session-Cookie nutzen wir lokale Speichertechniken des Browsers, um technische Einstellungen, Komfortfunktionen und Zwischenspeicherungen im Browser bereitzustellen.

  • Sprache & Darstellung: Im Local Storage werden z. B. gewählte Sprache und Darstellungspräferenzen wie das Theme gespeichert.
  • Hinweise & Touren: Bereits gesehene Banner, Hinweise oder Einführungsschritte können lokal markiert werden, damit sie nicht bei jedem Aufruf erneut erscheinen.
  • Standortoption: Bei aktivierter Entfernungssortierung speichern wir die freigegebene Position lokal im Browser. Zusätzlich können Standortdaten bei aktivierten Push-Benachrichtigungen serverseitig gespeichert werden, wenn dies für ortsbezogene Hinweise erforderlich ist.
  • Event-Entwürfe: Bei der Event-Erstellung können eingegebene Entwurfsdaten lokal im Browser zwischengespeichert werden, damit Eingaben nach einem Seitenwechsel oder Abbruch nicht verloren gehen.
  • Nach aktuellem Stand setzen wir nur technisch erforderliche Cookies und vergleichbare lokale Speichertechniken für Funktions-, Anzeige- und Komfortzwecke ein.
  • Du kannst lokale Browserdaten jederzeit selbst löschen; dadurch können gespeicherte Einstellungen, Entwürfe und Komfortfunktionen verloren gehen.

7. Webanalyse

Wir verwenden die selbst gehostete, quelloffene Analysesoftware Umami (analytics.kaempf.dev). Umami arbeitet vollständig ohne Cookies und speichert keine personenbezogenen Daten. Es werden ausschließlich anonymisierte Nutzungsdaten erhoben, wie aufgerufene Seiten, Verweisquelle, Browsertyp, Betriebssystem, Gerätetyp und ungefähres Herkunftsland.

Alle Analysedaten verbleiben auf unserem eigenen Server in der EU. Es erfolgt kein Cross-Site-Tracking, keine Profilbildung und keine Weitergabe an Dritte. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Analyse der Websitenutzung zur Verbesserung des Angebots).

8. Speicherdauer & Löschung

Personenbezogene Daten werden gelöscht, sobald der jeweilige Zweck entfällt und keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Das betrifft insbesondere Kontodaten, Event- und Kommunikationsdaten sowie hochgeladene Inhalte, soweit keine weitere Speicherung erforderlich ist.

Magic-Link-Tokens verfallen nach kurzer Zeit automatisch. Push-Subscriptions speichern wir bis zum Widerruf, zur Abmeldung oder bis sie technisch ungültig werden. Audit- und E-Mail-Logs bewahren wir nur so lange auf, wie dies für Betrieb, Nachvollziehbarkeit, Fehleranalyse oder rechtliche Nachweise erforderlich ist.

9. Weitergabe & Empfänger

Eine Weitergabe erfolgt nur, wenn dies zur Erfüllung der Plattformfunktionen nötig ist, etwa an Veranstaltende bei Teilnahme- oder Kontaktanfragen, an Hosting- und Infrastruktur-Dienstleister oder an E-Mail-Dienstleister für den Versand transaktionaler Nachrichten.

Bei aktivierten Push-Benachrichtigungen erfolgt technisch bedingt auch eine Kommunikation mit dem Push-Dienst des jeweils verwendeten Browsers bzw. Betriebssystems. Dabei kann eine Verarbeitung durch Anbieter außerhalb der EU nicht ausgeschlossen werden. Eine Nutzung zu Werbe- oder Profilbildungszwecken durch uns findet nicht statt.

10. Rechte der betroffenen Personen

  • Auskunft nach Art. 15 DSGVO über sämtliche gespeicherte Daten
  • Berichtigung oder Löschung (Art. 16/17 DSGVO)
  • Einschränkung der Verarbeitung und Widerspruch gegen berechtigte Interessen (Art. 18/21 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerruf von Einwilligungen mit Wirkung für die Zukunft; der Widerruf berührt nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung
  • Beschwerde bei einer zuständigen Datenschutz-Aufsichtsbehörde, insbesondere an deinem gewöhnlichen Aufenthaltsort, Arbeitsplatz oder am Sitz des Verantwortlichen

11. Sicherheit & Aktualisierung

Alle Verbindungen sind TLS-verschlüsselt. Zugriffe auf sensible Verwaltungsfunktionen werden durch Rollen- und Rechtekonzepte abgesichert; Service-Keys werden ausschließlich serverseitig verwendet. Uploads werden technisch auf zulässige Dateitypen und Größen geprüft.

Wir passen diese Datenschutzerklärung an, sobald neue Funktionen oder gesetzliche Vorgaben dies erfordern. Die jeweils aktuelle Version ist jederzeit hier abrufbar.