Datenschutzerklärung

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Gerhard Kohl

Kameckenweg 15

24899 Wohlde

11fang_induktor@icloud.com

eventowall.de

Wir verarbeiten personenbezogene Daten ausschließlich im Rahmen der gesetzlichen Bestimmungen der DSGVO sowie des Bundesdatenschutzgesetzes (BDSG).

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen.

Diese Datenschutzerklärung gilt für alle Angebote unter eventowall.de einschließlich der Mobile-App und der API.

Unsere Website wird bei der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland gehostet.

Hetzner verarbeitet personenbezogene Daten in unserem Auftrag (Art. 28 DSGVO). Ein entsprechender Auftragsverarbeitungsvertrag (AVV) wurde abgeschlossen. Der Server steht ausschließlich in Deutschland.

Beim Aufruf der Website werden automatisch folgende Daten in Server-Logfiles gespeichert:

• IP-Adresse
• Datum und Uhrzeit der Anfrage
• aufgerufene Seite
• übertragene Datenmenge
• Referrer-URL
• Browsertyp und Version
• Betriebssystem

Diese Daten dienen der technischen Bereitstellung der Website sowie der Systemsicherheit (z. B. Erkennung von Angriffsversuchen).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren Betrieb).

Die Logfiles werden in der Regel nach spätestens 14 Tagen gelöscht.

Nutzer können sich mit E-Mail-Adresse und Passwort registrieren.

Es werden verarbeitet:

• E-Mail-Adresse
• verschlüsseltes Passwort (bcrypt, 12 Runden)
• Name (optional)
• Postleitzahl bzw. zugeordnete Community (optional)
• Rolle (USER / MEMBER / ADMIN / SUPER_ADMIN)
• Zeitstempel und Versionsnummer der AGB-Akzeptanz

Es werden keine öffentlichen Benutzerprofile erstellt. Nutzer sind für andere Nutzer nicht über eine Profilsuche auffindbar.

Geocoding: Sofern eine Postleitzahl angegeben wird, wird diese zur Bestimmung geografischer Koordinaten an den Dienst Nominatim der OpenStreetMap Foundation (Karlsruhe, Deutschland) übermittelt. Bereits ermittelte Koordinaten werden in unserer Datenbank gecacht; ein erneuter Aufruf an Nominatim erfolgt nur bei nicht im Cache vorhandenen PLZ. Weitere Informationen: nominatim.org und OSMF Privacy Policy.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Die Daten werden gespeichert, solange das Benutzerkonto besteht. Nutzer können ihr Konto im Dashboard unter „Profil → Konto löschen" jederzeit selbst entfernen; damit verbundene personenbezogene Daten werden gemäß den unter „Speicherdauer" beschriebenen Regeln gelöscht.

Für die Nutzung der Mobile-App sowie programmatischer API-Zugänge erzeugen wir geräte­spezifische Authentifizierungs-Tokens.

Dabei werden gespeichert:

• kryptografisch zufälliger Token-Wert (Hash, nicht im Klartext)
• Gerätename (vom Nutzer vergeben oder vom System abgeleitet)
• Plattform (z. B. iOS, Android)
• User-Agent
• IP-Adresse zum Zeitpunkt der Token-Erstellung
• Erstellungs- und Ablaufzeit (Ablauf nach maximal 90 Tagen)

Diese Daten dienen der Sitzungssicherheit, der Erkennung verdächtiger Anmeldeversuche und der Möglichkeit, einzelne Geräte gezielt abzumelden.

Tokens können jederzeit im Profilbereich widerrufen werden; abgelaufene Tokens werden automatisch entfernt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sitzungssicherheit).

Nutzer können Veranstaltungen einstellen. Dabei werden folgende Daten verarbeitet:

• Veranstaltungsname und Beschreibung
• Ort und Adresse (inkl. automatischer Geocoding-Abfrage bei Nominatim)
• Datum und Uhrzeit
• Kategorie, Sprachen, Kosten (optional)
• ggf. hochgeladene Flyer/Bilder
• ggf. externer Anmelde- oder Ticket-Link

Veranstaltungen sind öffentlich sichtbar, einschließlich der Auffindbarkeit über Suchmaschinen und in Vorschauen externer Plattformen (Open Graph).

KI-Flyer-Generierung: Auf Wunsch können Veranstaltungsdaten (Titel, Datum, Ort, Kategorie, ggf. Referenzbild) zur automatischen Erstellung eines Veranstaltungsflyers verwendet werden. Die Verarbeitung erfolgt ausschließlich auf einem lokalen System (Mac Studio mit ComfyUI/SDXL und lokalen Sprachmodellen) im LAN des Betreibers. Eine Übermittlung an Cloud-Anbieter, US-Dienstleister oder sonstige Dritte findet nicht statt.

Es besteht eine Meldefunktion. Gemeldete Inhalte werden zur Prüfung vorübergehend ausgeblendet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer auffindbaren Veranstaltungsplattform).

Für den Versand transaktionaler E-Mails (z. B. Registrierungsbestätigung, Passwort-Reset, Veranstaltungserinnerungen, Anmeldebestätigungen, Admin-Bewerbungen, DSA-Meldebestätigungen, Sicherheitsmitteilungen) nutzen wir den Dienst:

Resend, Inc.

2261 Market Street #5039

San Francisco, CA 94114, USA

Dabei werden insbesondere folgende Daten verarbeitet:

• E-Mail-Adresse des Empfängers
• Inhalt und Betreff der jeweiligen E-Mail (z. B. Veranstaltungstitel, Reset-Token)
• Versand-, Zustell- und Bounce-Informationen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an zuverlässiger Kommunikation).

Resend handelt als Auftragsverarbeiter gemäß Art. 28 DSGVO. Ein Data Processing Agreement (DPA) wurde abgeschlossen.

Die Datenübermittlung in die USA erfolgt auf Grundlage der EU-Standardvertragsklauseln (SCC) sowie – soweit anwendbar – auf Basis des EU-US Data Privacy Framework, um ein angemessenes Datenschutzniveau sicherzustellen.

Weitere Informationen:
resend.com/security/gdpr
resend.com/legal/privacy-policy

Registrierte Nutzer können Vereine oder Veranstaltungsorte abonnieren, um über neue Veranstaltungen per E-Mail informiert zu werden. Dabei werden gespeichert:

• Nutzer-ID
• Ziel des Abos (Verein-ID oder Orts-ID)
• Erstellungszeitpunkt

Das Abonnement kann jederzeit über das Profil oder den Abmeldelink in jeder Benachrichtigungs-E-Mail beendet werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) bzw. Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Wenn Sie uns per E-Mail kontaktieren (z. B. 11fang_induktor@icloud.com), werden Ihre Angaben zur Bearbeitung der Anfrage gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO oder Art. 6 Abs. 1 lit. f DSGVO.

Die Daten werden gelöscht, sobald sie für den Zweck der Bearbeitung nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten bestehen.

Die Website verwendet ausschließlich technisch notwendige Cookies, die für den Betrieb der Plattform erforderlich sind:

• next-auth.session-token – Sitzungs-Cookie für eingeloggte Nutzer
• next-auth.csrf-token – Schutz vor Cross-Site-Request-Forgery
• ggf. weitere Sitzungs-Cookies, die zur sicheren Auslieferung der Anwendung erforderlich sind

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (technisch erforderlicher Zugriff auf Endeinrichtungen) bzw. Art. 6 Abs. 1 lit. f DSGVO.

Es werden keine Tracking- oder Marketing-Cookies eingesetzt. Die unter Abschnitt 8a beschriebene Reichweitenmessung mit Umami arbeitet cookieless.

Zur Auswertung der allgemeinen Nutzung unserer Website (z. B. Anzahl der Seitenaufrufe, häufig besuchte Seiten, ungefähre Herkunft der Besucher) setzen wir die Open-Source-Software Umami ein.

Die Umami-Instanz wird auf einem Server in Deutschland im Auftrag des Verantwortlichen betrieben. Es findet keine Übermittlung an Umami als US-Anbieter oder an sonstige Dritte statt.

Charakteristik:

• cookieless – es werden keine Tracking-Cookies gesetzt
• IP-Adressen werden vor der Speicherung anonymisiert (Hashing) und nicht im Klartext aufbewahrt
• kein geräteübergreifendes Wiedererkennen einzelner Personen
• keine Verknüpfung mit dem Nutzerkonto

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer datensparsamen Reichweitenanalyse zur Verbesserung des Angebots). Da Umami auf das Setzen von Cookies bzw. das Auslesen von Geräte-IDs verzichtet, ist eine Einwilligung nach § 25 TDDDG nicht erforderlich.

Widerspruch: Sie können der Reichweitenmessung jederzeit widersprechen, indem Sie in Ihrem Browser die „Do Not Track"-Einstellung aktivieren oder den Umami-Skript-Aufruf über übliche Tracking-Blocker (z. B. uBlock Origin) unterbinden.

Zur Performance-Optimierung sowie für das Job-Queue-System (Mail-Versand, KI-Pipeline) wird ein lokal auf dem Server betriebenes Redis-System verwendet.

Eine Weitergabe personenbezogener Daten an Dritte erfolgt hierbei nicht.

Nutzer können Bilder (JPEG, PNG, WebP, max. 5 MB) hochladen, z. B. als Veranstaltungsflyer oder Vereinslogo.

Dabei werden gespeichert:

• Bilddatei (lokal auf dem Server, eindeutiger zufälliger Dateiname)
• Dateityp, Größe und Zeitstempel
• Zuordnung zum Nutzerkonto (sofern eingeloggt) oder zum Gast-Event

Sicherheits- und Datenminimierungs-Maßnahmen:

• Validierung der Datei-Magic-Bytes (verhindert getarnte Nicht-Bild-Dateien)
• Serverseitiges Entfernen sämtlicher EXIF-, IPTC- und XMP-Metadaten – insbesondere etwaiger GPS-Koordinaten und Kameragerätedaten – bevor das Bild gespeichert wird (Datenminimierung gem. Art. 5 Abs. 1 lit. c DSGVO)
• Größenbegrenzung auf 5 MB

Hochgeladene Inhalte können vor ihrer öffentlichen Sichtbarkeit einer Moderation unterliegen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Veranstaltungen können auch ohne Registrierung als Gast eingestellt werden. Dabei werden folgende Daten erhoben:

• E-Mail-Adresse des Gasts
• Zeitstempel und Inhalt der Einwilligung in AGB, Datenschutzerklärung und Moderation
• Bestätigungs-Token (24 Stunden gültig)
• Bearbeitungs-Token (gültig bis zum Ende der Veranstaltung)

Die E-Mail-Adresse dient ausschließlich der Bestätigung der Erstellung sowie der späteren Bearbeitung oder Löschung der Veranstaltung durch den Gast selbst.

Automatische Löschung: Gast-Veranstaltungen werden 30 Tage nach Veranstaltungsende automatisch entfernt; die zugehörigen personenbezogenen Daten (insbesondere die E-Mail-Adresse) werden ebenfalls gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem zuverlässigen Bestätigungsverfahren).

Pro Verein können mehrere Personen Adminrechte besitzen. Beim Bewerbungs- und Meldeverfahren werden folgende Daten verarbeitet:

• Bewerber-ID, Verein, Bewerbungstext, Status, Zeitstempel
• ggf. Reviewer-ID und Entscheidungstext
• bei Legitimitäts-Meldungen: Melder-ID, betroffener Admin, Begründung

Bewerbungen, über die nicht innerhalb von 7 Tagen entschieden wird, gelten als angenommen (automatische Freigabe). Die zugehörigen Vorgänge bleiben zu Nachweiszwecken im System.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Durchführung des Multi-Admin-Vertragsverhältnisses) und Art. 6 Abs. 1 lit. f DSGVO (Plattformintegrität).

Auch ohne Registrierung können Nutzer Veranstaltungen oder andere Inhalte als rechtswidrig oder unangemessen melden. Dabei wird die angegebene E-Mail-Adresse erhoben, um die Meldung über einen Bestätigungslink zu verifizieren (Schutz vor Spam-Meldungen).

Dabei werden verarbeitet:

• E-Mail-Adresse (zur Bestätigung und Rückmeldung)
• Bestätigungs-Token (48-Stunden-Gültigkeit)
• Meldegrund, betroffener Inhalt, Zeitstempel

Die E-Mail-Adresse wird nach Abschluss der Prüfung gelöscht, soweit keine weitere Korrespondenz mit dem Meldenden geführt wird.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Plattformintegrität) sowie Erfüllung der Pflichten aus dem Digital Services Act (Art. 16 DSA).

Wir treffen geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, um personenbezogene Daten gegen Verlust, Manipulation oder unbefugten Zugriff zu schützen.

Dazu gehören insbesondere:

• SSL-/TLS-Verschlüsselung aller Verbindungen
• Passwort-Hashing mit bcrypt (12 Runden)
• kryptografisch zufällige API-Tokens, Hashing in der Datenbank
• Validierung von Datei-Uploads (Magic Bytes, Größenlimit, EXIF-Strip)
• Rate Limiting auf sicherheitskritischen Endpunkten (z. B. Registrierung, Login)
• Zugriffsbeschränkungen auf Server- und Datenbankebene
• regelmäßige Sicherheitsupdates
• Datensicherungen (Backups)

Personenbezogene Daten werden gelöscht, sobald der Zweck der Speicherung entfällt und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Konkret gelten folgende Fristen:

Benutzerkonten können jederzeit selbst gelöscht werden; eine vollständige Löschung erfolgt unmittelbar.

Sie haben das Recht auf:

• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch (Art. 21 DSGVO) gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. f DSGVO beruhen
• Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Zur Ausübung Ihrer Rechte genügt eine formlose E-Mail an: 11fang_induktor@icloud.com

Eine Übermittlung personenbezogener Daten erfolgt ausschließlich an folgende Empfänger:

Eine darüber hinausgehende Weitergabe an Dritte – insbesondere zu Werbezwecken – findet nicht statt.

Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren.

Für den Verantwortlichen zuständig ist:

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD)

Holstenstraße 98

24103 Kiel

www.datenschutzzentrum.de

Sie können sich auch an die Aufsichtsbehörde Ihres Wohnsitzes wenden.

Ein Datenschutzbeauftragter ist nicht bestellt, da die Voraussetzungen des § 38 BDSG (z. B. mindestens 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, oder Verarbeitung als Kerntätigkeit i. S. d. Art. 37 DSGVO) nicht vorliegen. Datenschutzanfragen richten Sie bitte direkt an den oben genannten Verantwortlichen.

Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO – einschließlich Profiling – findet auf der Plattform nicht statt. Insbesondere werden keine Entscheidungen über Nutzerrechte, Kontostatus oder Sichtbarkeit von Inhalten allein automatisiert getroffen.

Wir passen diese Datenschutzerklärung an, wenn sich rechtliche Rahmenbedingungen oder technische Funktionen ändern. Die jeweils aktuelle Fassung ist über diese Seite abrufbar; Versionsnummer und Stand werden im Header der Seite angegeben.

Bei wesentlichen Änderungen werden registrierte Nutzer beim nächsten Login um eine erneute Kenntnisnahme gebeten.