Zum Inhalt springen
events
Anmelden EN

Datenschutzerklärung

Stand: März 2026

1. Verantwortlicher

Rafael Alex
Ullsteinstraße 16
90763 Fürth
Deutschland

E-Mail: events@rafaelalex.de

2. Erhebung und Verarbeitung personenbezogener Daten

Wir erheben und verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung unserer Dienste erforderlich ist.

2.1 Bei der Registrierung

  • Name
  • E-Mail-Adresse
  • Passwort (verschlüsselt gespeichert)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

2.2 Bei der Nutzung als Gast

  • Name (freiwillige Angabe)
  • E-Mail-Adresse (erforderlich bei Einladung durch Organisator; für Einladungs-E-Mails und Erinnerungen)
  • Anmeldestatus (Zu-/Absage)
  • Sternebewertung (1–5) nach dem Event (freiwillig; wird dem Veranstalter in einer Zusammenfassung mitgeteilt)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Teilnahme am Event).

2.3 Social Login

Bei Anmeldung über Google, Facebook oder Apple erhalten wir: Name, E-Mail-Adresse und Profilbild-URL (Apple stellt kein Profilbild bereit). Wir speichern keine Zugangstokens dauerhaft.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Datenschutzerklärungen der Anbieter: Google, Meta/Facebook, Apple.

2.4 Push-Benachrichtigungen (optional)

Wenn Sie Push-Benachrichtigungen aktivieren, speichern wir einen technischen Subscription-Endpunkt Ihres Browsers (keine personenbezogenen Daten, lediglich eine zufällige URL des jeweiligen Browser-Push-Dienstes) sowie kryptografische Schlüssel zur Verschlüsselung der Nachrichten. In der nativen mobilen App werden Push-Benachrichtigungen über Firebase Cloud Messaging (FCM) (Google LLC) zugestellt. Dafür wird ein gerätespezifisches Token an Firebase übermittelt. Auf iOS werden Nachrichten über den Apple Push Notification Service (APNs) (Apple Inc.) weitergeleitet. Firebase verarbeitet Daten gemäß der Google-Datenschutzerklärung. Apple verarbeitet Daten gemäß der Apple-Datenschutzerklärung. Diese Daten werden ausschließlich zur Zustellung von Push-Benachrichtigungen verwendet und können jederzeit in den Benachrichtigungseinstellungen widerrufen werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

2.5 Mobile App

Unser Dienst ist auch als native iOS-App verfügbar. Dabei gilt folgende zusätzliche Datenverarbeitung: Kontaktezugriff: Bei erteilter Berechtigung kann die App auf Ihre Gerätekontakte zugreifen, um das Einladen von Gästen zu vereinfachen. Kontaktdaten werden nur zu diesem Zweck verwendet und nicht auf unseren Servern gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

2.6 Kinder-Events

Für Events, die speziell für Kinder angelegt werden, können Veranstalter den Kindernamen, die Telefonnummer eines Elternteils und eine Abholzeit erfassen. Diese Daten werden ausschließlich für die Organisation des jeweiligen Events verwendet und nach Event-Löschung entfernt. Die Eingabe erfolgt durch die Eltern oder den Veranstalter — nicht durch Kinder selbst. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3. Cookies

Wir verwenden ausschließlich technisch notwendige Cookies:

  • Session-Cookie — Authentifizierung und CSRF-Schutz (Laufzeit: 120 Minuten)
  • XSRF-TOKEN — Schutz vor Cross-Site-Request-Forgery (Laufzeit: Session)
  • Gast-Token — Wiedererkennung von Gästen ohne Account (Laufzeit: 90 Tage)
  • Remember-Me — Optionale Daueranmeldung bei aktiver Auswahl durch den Nutzer (Laufzeit: 5 Jahre)

Da ausschließlich technisch notwendige Cookies verwendet werden, ist keine Einwilligung erforderlich (§ 25 Abs. 2 TDDDG).

4. Zahlungsabwicklung

Für kostenpflichtige Funktionen nutzen wir Stripe (Stripe, Inc.) als Zahlungsdienstleister. Stripe ist unter dem EU-US Data Privacy Framework zertifiziert. Bei einem Kauf werden Ihre Zahlungsdaten (Kreditkartendaten, Rechnungsadresse) direkt von Stripe erhoben und verarbeitet. Wir speichern keine vollständigen Zahlungsdaten — lediglich eine Stripe-Kunden-ID und Transaktionsreferenzen. Stripe verarbeitet Daten gemäß ihrer Datenschutzerklärung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Veranstalter, die kostenpflichtige Tickets anbieten, verbinden ihr eigenes Stripe-Express-Konto über Stripe Connect. Dabei erhebt Stripe die persönlichen und bankbezogenen Daten des Veranstalters (Name, IBAN/Bankverbindung, Steueridentifikation) direkt im Rahmen des Onboardings. Wir speichern diese Finanzdaten nicht — lediglich eine Stripe-Connect-Konto-ID. Gästezahlungen für Tickets werden direkt über das verbundene Stripe-Konto des Veranstalters abgewickelt; wir erhalten ausschließlich eine Plattformgebühr. In der nativen mobilen App werden Abonnements über den Apple App Store abgewickelt. Wir nutzen RevenueCat (RevenueCat, Inc., USA) zur Verwaltung von In-App-Käufen. RevenueCat ist unter dem EU-US Data Privacy Framework zertifiziert. RevenueCat erhält eine anonymisierte App-User-ID und Kaufbelege. Zahlungsdaten werden ausschließlich vom App Store verarbeitet. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Weitere Informationen: revenuecat.com/privacy.

5. E-Mail-Versand (Resend)

Für den Versand von E-Mails (Einladungen, Erinnerungen, Benachrichtigungen, Passwort-Reset) nutzen wir Resend (Resend, Inc., USA). Dabei werden E-Mail-Adresse, Name und Nachrichteninhalt an Resend übermittelt. Resend ist unter dem EU-US Data Privacy Framework zertifiziert. Es besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Zustellung von Benachrichtigungen). Weitere Informationen: resend.com/legal/privacy-policy

6. Datenweitergabe und Auftragsverarbeitung

Personenbezogene Daten werden nicht an Dritte weitergegeben, es sei denn, dies ist zur Erbringung unserer Dienste erforderlich. Folgende Auftragsverarbeiter werden eingesetzt: E-Mail-Versand (Resend), Zahlungsabwicklung (Stripe), In-App-Kaufverwaltung (RevenueCat), Push-Benachrichtigungen (Firebase Cloud Messaging, Apple Push Notification Service), Fehler-Monitoring (Sentry). Mit allen Auftragsverarbeitern bestehen Verträge gemäß Art. 28 DSGVO. Für US-Dienstleister (Stripe, Resend, Sentry, Google/Firebase, RevenueCat) besteht ein angemessenes Datenschutzniveau durch Zertifizierung im EU-US Data Privacy Framework und/oder Standardvertragsklauseln (SCCs).

7. Datenlöschung und Aufbewahrungsfristen

Registrierte Nutzer können ihr Konto und alle zugehörigen Daten jederzeit in den Kontoeinstellungen löschen. Bei Kontolöschung werden persönliche Daten sofort anonymisiert oder gelöscht. Events des Nutzers werden für 90 Tage vorgehalten (Soft-Delete) und anschließend endgültig entfernt.

Aufbewahrungsfristen im Überblick:

  • Event-Daten: 90 Tage nach Löschung, dann endgültige Entfernung
  • Gast-Daten: werden bei Kontolöschung anonymisiert (Name und E-Mail entfernt)
  • Zahlungsdaten: 10 Jahre (gesetzliche Aufbewahrungspflicht nach § 147 AO, § 257 HGB)
  • Server-Logfiles: 14 Tage
  • Fehler-Logs (Sentry): 90 Tage

8. Ihre Rechte

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

  • Auskunftsrecht (Art. 15 DSGVO) — Sie können Auskunft über die von uns verarbeiteten Daten verlangen.
  • Berichtigungsrecht (Art. 16 DSGVO) — Sie können die Berichtigung unrichtiger Daten verlangen.
  • Löschungsrecht (Art. 17 DSGVO) — Sie können die Löschung Ihrer Daten verlangen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Einschränkungsrecht (Art. 18 DSGVO) — Sie können die Einschränkung der Verarbeitung verlangen.
  • Datenübertragbarkeit (Art. 20 DSGVO) — Sie können Ihre Daten in einem maschinenlesbaren Format anfordern. Dies ist in den Kontoeinstellungen unter „Datenexport" möglich.
  • Widerspruchsrecht (Art. 21 DSGVO) — Sie können der Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f (berechtigtes Interesse) jederzeit widersprechen.
  • Widerrufsrecht (Art. 7 Abs. 3 DSGVO) — Eine erteilte Einwilligung (z.B. Push-Benachrichtigungen, Kontaktezugriff) können Sie jederzeit widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.
  • Beschwerderecht (Art. 77 DSGVO) — Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren. Zuständige Behörde: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach, www.lda.bayern.de.

Für die Ausübung Ihrer Rechte kontaktieren Sie uns unter events@rafaelalex.de.

9. Automatisierte Entscheidungsfindung

Wir verwenden keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO.

10. Webanalyse (Rybbit Analytics)

Diese Anwendung nutzt Rybbit Analytics, einen datenschutzfreundlichen Webanalysedienst, gehostet auf Servern in Deutschland (Betreiber der Instanz: maki-it.de). Rybbit ist vollständig cookieless und DSGVO-konform. Es werden keine personenbezogenen Daten gesammelt und keine Cookies gesetzt. Die Analyse erfolgt vollständig anonymisiert ohne Tracking einzelner Nutzer.

Gemäß § 25 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) ist für diese Art der Analyse keine Einwilligung erforderlich.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse an der Analyse des Nutzerverhaltens zur Optimierung der Anwendung). Weitere Informationen: rybbit.io

11. Server-Logfiles

Der Hosting-Provider erhebt bei jedem Seitenaufruf automatisch Informationen in Server-Logfiles, die Ihr Browser übermittelt: IP-Adresse, aufgerufene URL, Datum und Uhrzeit des Zugriffs, HTTP-Statuscode, übertragene Datenmenge, Referrer-URL, Browser-Typ und Betriebssystem. Diese Daten werden ausschließlich zur Sicherstellung eines störungsfreien Betriebs und zur Missbrauchserkennung verwendet. Eine Zusammenführung mit anderen Datenquellen erfolgt nicht. Die Logfiles werden nach 14 Tagen automatisch gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Betriebssicherheit).

12. Fehler-Monitoring (Sentry)

Diese Anwendung nutzt Sentry (Functional Software, Inc., USA) zur Erkennung und Analyse technischer Fehler. Sentry ist unter dem EU-US Data Privacy Framework zertifiziert. Bei einem Anwendungsfehler werden technische Daten wie Fehlermeldungen, Stack Traces und aufgerufene URL übermittelt. Personenbezogene Daten (IP-Adressen, Passwörter, Tokens, E-Mail-Adressen, Namen) werden vor der Übermittlung automatisch entfernt. Die Verarbeitung erfolgt auf Servern in der EU (Frankfurt). Fehler-Logs werden nach 90 Tagen gelöscht. Es besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse an der Betriebsstabilität und Fehlerbeseitigung). Weitere Informationen: sentry.io/privacy

13. Standortsuche (OpenStreetMap)

Für die Standortsuche nutzt diese Anwendung die Nominatim-API der OpenStreetMap Foundation (OSMF, Großbritannien — EU-Angemessenheitsbeschluss vorhanden). Bei einer Standortsuche wird die Suchanfrage direkt von Ihrem Browser an Nominatim übermittelt. Dabei wird technisch bedingt auch Ihre IP-Adresse an die OSMF-Server übertragen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse an der Bereitstellung einer Standortsuche). Weitere Informationen: osmfoundation.org/wiki/Privacy_Policy

14. Hosting

Diese Website wird bei Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, Deutschland) auf Servern in der EU gehostet. Es besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. Die Datenübertragung erfolgt verschlüsselt über HTTPS. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer zuverlässigen Bereitstellung des Dienstes).