events wird geladen…
Zum Inhalt springen
events
Anmelden EN

Datenschutzerklärung

Stand: Mai 2026

1. Verantwortlicher

Rafael Alex
Ullsteinstraße 16
90763 Fürth
Deutschland

E-Mail: events@rafaelalex.de

2. Erhebung und Verarbeitung personenbezogener Daten

Wir erheben und verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung unserer Dienste erforderlich ist.

2.1 Bei der Registrierung

  • Name
  • E-Mail-Adresse
  • Passwort (verschlüsselt gespeichert)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

2.2 Bei der Nutzung als Gast

  • Name (freiwillige Angabe)
  • E-Mail-Adresse (erforderlich bei Einladung durch Organisator; für Einladungs-E-Mails und Erinnerungen)
  • Anmeldestatus (Zu-/Absage)
  • Sternebewertung (1–5) nach dem Event (freiwillig; wird dem Veranstalter in einer Zusammenfassung mitgeteilt)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Teilnahme am Event).

2.3 Social Login

Bei Anmeldung über Google, Facebook oder Apple erhalten wir: Name, E-Mail-Adresse und Profilbild-URL (Apple stellt kein Profilbild bereit). Wir speichern keine Zugangstokens dauerhaft.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Datenschutzerklärungen der Anbieter: Google, Meta/Facebook, Apple.

2.4 Push-Benachrichtigungen (optional)

Wenn Sie Push-Benachrichtigungen aktivieren, speichern wir einen technischen Subscription-Endpunkt Ihres Browsers (keine personenbezogenen Daten, lediglich eine zufällige URL des jeweiligen Browser-Push-Dienstes) sowie kryptografische Schlüssel zur Verschlüsselung der Nachrichten. In der nativen mobilen App werden Push-Benachrichtigungen über Firebase Cloud Messaging (FCM) (Google LLC) zugestellt. Dafür wird ein gerätespezifisches Token an Firebase übermittelt. Auf iOS werden Nachrichten über den Apple Push Notification Service (APNs) (Apple Inc.) weitergeleitet. Firebase verarbeitet Daten gemäß der Google-Datenschutzerklärung. Apple verarbeitet Daten gemäß der Apple-Datenschutzerklärung. Diese Daten werden ausschließlich zur Zustellung von Push-Benachrichtigungen verwendet und können jederzeit in den Benachrichtigungseinstellungen widerrufen werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

2.5 Mobile App (iOS und Android)

Unser Dienst ist als native iOS-App (App Store) und Android-App (Google Play) verfügbar. Dabei gilt folgende zusätzliche Datenverarbeitung: Kontaktezugriff: Bei erteilter Berechtigung kann die App auf Ihre Gerätekontakte zugreifen, um das Einladen von Gästen zu vereinfachen. Kontaktdaten werden nur zu diesem Zweck verwendet und nicht auf unseren Servern gespeichert. Kamera- und Fotozugriff: Bei erteilter Berechtigung können Sie Fotos direkt aus der Kamera oder Fotomediathek in ein Event hochladen. Bilder werden erst bei bewusstem Hochladen an unsere Server übertragen. Kein Tracking: Die App verwendet weder App Tracking Transparency (iOS) noch Advertising ID (Android), es erfolgt keine plattformübergreifende Nachverfolgung. Plattformdienste: Google Play Services (Android, Basis-Funktionalität für Push-Benachrichtigungen) und Apple-Dienste (iOS, App-Attest und Push) verarbeiten technische Telemetriedaten gemäß den Datenschutzrichtlinien der jeweiligen Anbieter. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

2.6 Kinder-Events

Für Events, die speziell für Kinder angelegt werden, können Veranstalter den Kindernamen, die Telefonnummer eines Elternteils und eine Abholzeit erfassen. Diese Daten werden ausschließlich für die Organisation des jeweiligen Events verwendet und nach Event-Löschung entfernt. Die Eingabe erfolgt durch die Eltern oder den Veranstalter — nicht durch Kinder selbst. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

2.7 Wichteln (Secret Santa)

Aktiviert ein Veranstalter das Wichteln-Modul, ermittelt der Dienst per Zufallszuweisung, wer wen beschenkt. Gespeichert wird ausschließlich die Zuordnung von schenkender zu beschenkter Person pro Event sowie optionale Ausschlusspaare (etwa Paare, die sich nicht gegenseitig ziehen sollen). Im Wichteln-Modus werden Wunschlisten-Einträge automatisch so eingeschränkt, dass nur die zugeloste schenkende Person die Wünsche der beschenkten Person sieht, nicht die übrigen Gäste. Die Zuordnung wird den Gästen über einen persönlichen Link mitgeteilt. Der zugehörige Zugangs-Token wird ausschließlich als SHA-256-Hash gespeichert; der Klartext existiert nur im versendeten Link. Bei einer Neuauslosung werden alle bisherigen Zuordnungen und Token ungültig. Mit Löschung des Events oder eines Gastes werden die zugehörigen Wichtel-Daten entfernt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Teilnahme am Event).

3. Cookies

Wir verwenden ausschließlich technisch notwendige Cookies:

  • Session-Cookie — Authentifizierung und CSRF-Schutz (Laufzeit: 120 Minuten)
  • XSRF-TOKEN — Schutz vor Cross-Site-Request-Forgery (Laufzeit: Session)
  • Gast-Token — Wiedererkennung von Gästen ohne Account (Laufzeit: 90 Tage)
  • Remember-Me — Optionale Daueranmeldung bei aktiver Auswahl durch den Nutzer (Laufzeit: 5 Jahre)

Da ausschließlich technisch notwendige Cookies verwendet werden, ist keine Einwilligung erforderlich (§ 25 Abs. 2 TDDDG).

4. Zahlungsabwicklung

Für kostenpflichtige Funktionen nutzen wir Stripe (Stripe, Inc.) als Zahlungsdienstleister. Stripe ist unter dem EU-US Data Privacy Framework zertifiziert. Bei einem Kauf werden Ihre Zahlungsdaten (Kreditkartendaten, Rechnungsadresse) direkt von Stripe erhoben und verarbeitet. Wir speichern keine vollständigen Zahlungsdaten — lediglich eine Stripe-Kunden-ID und Transaktionsreferenzen. Stripe verarbeitet Daten gemäß ihrer Datenschutzerklärung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Veranstalter, die kostenpflichtige Tickets anbieten, verbinden ihr eigenes Stripe-Express-Konto über Stripe Connect. Dabei erhebt Stripe die persönlichen und bankbezogenen Daten des Veranstalters (Name, IBAN/Bankverbindung, Steueridentifikation) direkt im Rahmen des Onboardings. Wir speichern diese Finanzdaten nicht — lediglich eine Stripe-Connect-Konto-ID. Gästezahlungen für Tickets werden direkt über das verbundene Stripe-Konto des Veranstalters abgewickelt; wir erhalten ausschließlich eine Plattformgebühr. In der nativen mobilen App werden Abonnements über den Apple App Store abgewickelt. Wir nutzen RevenueCat (RevenueCat, Inc., USA) zur Verwaltung von In-App-Käufen. RevenueCat ist unter dem EU-US Data Privacy Framework zertifiziert. RevenueCat erhält eine anonymisierte App-User-ID und Kaufbelege. Zahlungsdaten werden ausschließlich vom App Store verarbeitet. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Weitere Informationen: revenuecat.com/privacy. Veranstalter können für Ticketzahlungen alternativ einen PayPal.Me-Benutzernamen hinterlegen; Gäste werden dann zur direkten Zahlung via PayPal geleitet. In diesem Fall ist die Plattform weder Zahlungsdienstleister noch Vertragspartner der Zahlung; wir speichern lediglich den angegebenen Benutzernamen sowie einen anonymisierbaren Link-Schnappschuss pro erstelltem Ticket. Bei Löschung des Accounts werden diese Snapshots anonymisiert (Art. 17 DSGVO). Datenschutz von PayPal: paypal.com/de/privacy.

5. E-Mail-Versand (Resend)

Für den Versand von E-Mails (Einladungen, Erinnerungen, Benachrichtigungen, Passwort-Reset) nutzen wir Resend (Resend, Inc., USA). Dabei werden E-Mail-Adresse, Name und Nachrichteninhalt an Resend übermittelt. Resend ist unter dem EU-US Data Privacy Framework zertifiziert. Es besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Zustellung von Benachrichtigungen). Weitere Informationen: resend.com/legal/privacy-policy

Antwortadresse (Reply-To) bei Event-Mails: Bei Einladungen, Erinnerungen und Benachrichtigungen rund um ein Event setzen wir die persönliche E-Mail-Adresse des Veranstalters als Reply-To. Antwortet ein Gast direkt auf eine solche E-Mail, geht die Antwort an den Veranstalter und nicht an uns. Für Gäste ist die E-Mail-Adresse des Veranstalters daher im Mail-Programm sichtbar. Veranstalter, die ihre persönliche Adresse nicht offenlegen möchten, können stattdessen mit einer separaten E-Mail-Adresse (z. B. einem Alias) ein Konto anlegen.

6. Datenweitergabe und Auftragsverarbeitung

Personenbezogene Daten werden nicht an Dritte weitergegeben, es sei denn, dies ist zur Erbringung unserer Dienste erforderlich. Folgende Auftragsverarbeiter werden eingesetzt: E-Mail-Versand (Resend), Zahlungsabwicklung (Stripe), In-App-Kaufverwaltung (RevenueCat), Push-Benachrichtigungen (Firebase Cloud Messaging, Apple Push Notification Service), Fehler-Monitoring (Sentry). Mit allen Auftragsverarbeitern bestehen Verträge gemäß Art. 28 DSGVO. Für US-Dienstleister (Stripe, Resend, Sentry, Google/Firebase, RevenueCat) besteht ein angemessenes Datenschutzniveau durch Zertifizierung im EU-US Data Privacy Framework und/oder Standardvertragsklauseln (SCCs).

7. Datenlöschung und Aufbewahrungsfristen

Registrierte Nutzer können ihr Konto und alle zugehörigen Daten jederzeit in den Kontoeinstellungen löschen. Bei Kontolöschung werden persönliche Daten sofort anonymisiert oder gelöscht. Events des Nutzers werden für 90 Tage vorgehalten (Soft-Delete) und anschließend endgültig entfernt.

Aufbewahrungsfristen im Überblick:

  • Event-Daten: 90 Tage nach Löschung, dann endgültige Entfernung
  • Gast-Daten: werden bei Kontolöschung anonymisiert (Name und E-Mail entfernt)
  • Zahlungsdaten: 10 Jahre (gesetzliche Aufbewahrungspflicht nach § 147 AO, § 257 HGB)
  • Server-Logfiles: 14 Tage
  • Fehler-Logs (Sentry): 90 Tage

8. Ihre Rechte

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

  • Auskunftsrecht (Art. 15 DSGVO) — Sie können Auskunft über die von uns verarbeiteten Daten verlangen.
  • Berichtigungsrecht (Art. 16 DSGVO) — Sie können die Berichtigung unrichtiger Daten verlangen.
  • Löschungsrecht (Art. 17 DSGVO) — Sie können die Löschung Ihrer Daten verlangen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Einschränkungsrecht (Art. 18 DSGVO) — Sie können die Einschränkung der Verarbeitung verlangen.
  • Datenübertragbarkeit (Art. 20 DSGVO) — Sie können Ihre Daten in einem maschinenlesbaren Format anfordern. Dies ist in den Kontoeinstellungen unter „Datenexport" möglich.
  • Widerspruchsrecht (Art. 21 DSGVO) — Sie können der Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f (berechtigtes Interesse) jederzeit widersprechen.
  • Widerrufsrecht (Art. 7 Abs. 3 DSGVO) — Eine erteilte Einwilligung (z.B. Push-Benachrichtigungen, Kontaktezugriff) können Sie jederzeit widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.
  • Beschwerderecht (Art. 77 DSGVO) — Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren. Zuständige Behörde: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach, www.lda.bayern.de.

Für die Ausübung Ihrer Rechte kontaktieren Sie uns unter events@rafaelalex.de.

9. Automatisierte Entscheidungsfindung

Wir verwenden keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO.

10. Webanalyse (Rybbit Analytics)

Diese Anwendung nutzt Rybbit Analytics, einen datenschutzfreundlichen Webanalysedienst, gehostet auf Servern in Deutschland (Betreiber der Instanz: maki-it.de). Rybbit ist vollständig cookieless und DSGVO-konform. Es werden keine personenbezogenen Daten gesammelt und keine Cookies gesetzt. Die Analyse erfolgt vollständig anonymisiert ohne Tracking einzelner Nutzer.

Gemäß § 25 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) ist für diese Art der Analyse keine Einwilligung erforderlich.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse an der Analyse des Nutzerverhaltens zur Optimierung der Anwendung). Weitere Informationen: rybbit.io

11. Server-Logfiles

Der Hosting-Provider erhebt bei jedem Seitenaufruf automatisch Informationen in Server-Logfiles, die Ihr Browser übermittelt: IP-Adresse, aufgerufene URL, Datum und Uhrzeit des Zugriffs, HTTP-Statuscode, übertragene Datenmenge, Referrer-URL, Browser-Typ und Betriebssystem. Diese Daten werden ausschließlich zur Sicherstellung eines störungsfreien Betriebs und zur Missbrauchserkennung verwendet. Eine Zusammenführung mit anderen Datenquellen erfolgt nicht. Die Logfiles werden nach 14 Tagen automatisch gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Betriebssicherheit).

12. Fehler-Monitoring (Sentry)

Diese Anwendung nutzt Sentry (Functional Software, Inc., USA) zur Erkennung und Analyse technischer Fehler. Sentry ist unter dem EU-US Data Privacy Framework zertifiziert. Bei einem Anwendungsfehler werden technische Daten wie Fehlermeldungen, Stack Traces und aufgerufene URL übermittelt. Personenbezogene Daten (IP-Adressen, Passwörter, Tokens, E-Mail-Adressen, Namen) werden vor der Übermittlung automatisch entfernt. Die Verarbeitung erfolgt auf Servern in der EU (Frankfurt). Fehler-Logs werden nach 90 Tagen gelöscht. Es besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse an der Betriebsstabilität und Fehlerbeseitigung). Weitere Informationen: sentry.io/privacy

13. Standortsuche (OpenStreetMap)

Für die Standortsuche nutzt diese Anwendung die Nominatim-API der OpenStreetMap Foundation (OSMF, Großbritannien — EU-Angemessenheitsbeschluss vorhanden). Bei einer Standortsuche wird die Suchanfrage direkt von Ihrem Browser an Nominatim übermittelt. Dabei wird technisch bedingt auch Ihre IP-Adresse an die OSMF-Server übertragen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse an der Bereitstellung einer Standortsuche). Weitere Informationen: osmfoundation.org/wiki/Privacy_Policy

14. Hosting

Diese Website wird bei Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, Deutschland) auf Servern in der EU gehostet. Es besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. Die Datenübertragung erfolgt verschlüsselt über HTTPS. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer zuverlässigen Bereitstellung des Dienstes).