Zum Inhalt springen

Datenschutzerklärung

Stand: 05.06.2026 (Entwurf)

Prüfpflichtiger Entwurf. Dieser Text ist inhaltlich ausgearbeitet, aber noch nicht abschließend juristisch geprüft und stellt keine Rechtsberatung dar. Vor verbindlichem Einsatz juristisch prüfen lassen.

1. Verantwortlicher und Kontakt

Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO für die in dieser Erklärung beschriebenen Verarbeitungen ist:

Christopher Geyer
Ronrieder Straße 11
87616 Marktoberdorf
Deutschland

Telefon: 0171 / 311 46 23
E-Mail: christopher.geyer@appding.de

Anfragen zum Datenschutz richten Sie bitte an die vorgenannte Anschrift oder an die genannte E-Mail-Adresse. Ein Datenschutzbeauftragter ist gesetzlich nicht zu benennen: Es liegt weder ein Fall des § 38 BDSG (keine in der Regel mindestens 20 ständig mit der automatisierten Verarbeitung beschäftigte Personen) noch ein Fall des Art. 37 Abs. 1 DSGVO vor; insbesondere besteht die Kerntätigkeit nicht in einer umfangreichen regelmäßigen und systematischen Überwachung betroffener Personen oder in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten.

2. Geltungsbereich und Rollenverteilung (zwei Datenschutz-Sphären)

Diese Datenschutzerklärung gilt für das Portal und die Marketing-Website unter dasevent.info — insbesondere Konto/Registrierung, Anmeldung (Authentifizierung), Projekt- und Kontoverwaltung sowie Abrechnung. Für diese Verarbeitungen sind wir Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO.

Davon zu unterscheiden sind die auf den Event-Seiten unserer Kundinnen und Kunden (Subdomains *.dasevent.info) erhobenen Besucher-, Anfrage- und Anmeldedaten. Für diese Daten ist der jeweilige Händler bzw. Veranstalter der Verantwortliche; wir verarbeiten sie ausschließlich weisungsgebunden als Auftragsverarbeiter nach Art. 28 DSGVO. Hierfür gilt die Datenschutzerklärung der jeweiligen Event-Seite, an die Sie sich bei betreffenden Anliegen bitte wenden.

Eine Sonderstellung nimmt die Zahlungsabwicklung ein: Soweit über unseren Zahlungsdienstleister Guthaben- bzw. Paketkäufe abgewickelt werden, sind wir hierfür eigener Verantwortlicher und nicht Auftragsverarbeiter des Händlers; es handelt sich nicht um Besucherdaten der Event-Seiten.

3. Hosting, Serverstandort und Mandantentrennung

Die Anwendung und die Web-/Event-Seiten werden über Vercel ausgeliefert. Datenbank, Authentifizierung und Datei-Speicher laufen über Supabase mit Rechenzentrums-Standort in der Europäischen Union (Frankfurt am Main).

Eine strikte Datentrennung je Konto (Mandantentrennung) wird auf Datenbankebene durch Zugriffsbeschränkungen (Row-Level-Security) sichergestellt; die Übertragung erfolgt transportverschlüsselt (TLS).

Zu Hosting und Datenbankbetrieb können Verbindungs- und Server-/Zugriffsprotokolle anfallen, die wir zur Auslieferung, Stabilität und Absicherung gegen Missbrauch verarbeiten (Art. 6 Abs. 1 lit. f DSGVO; berechtigtes Interesse: sicherer, stabiler Plattformbetrieb). Drittlandbezüge sind in Abschnitt 7 erläutert.

4. Welche Daten wir verarbeiten

  • Konto/Anmeldung: E-Mail-Adresse, Authentifizierungsdaten (Ihr Passwort wird ausschließlich als kryptografischer Hash bei Supabase gespeichert, nicht im Klartext) sowie ggf. ein Anzeigename.
  • Stammdaten und Abrechnung: Firmen- und Rechnungsdaten sowie die über den Zahlungsdienstleister abgewickelten Zahlungs- und Guthabenvorgänge. Vollständige Zahlungskartendaten werden nicht bei uns gespeichert.
  • Einwilligungs- und Akzeptanznachweis: Zeitpunkt, IP-Adresse, User-Agent und Versionsstand der akzeptierten Texte (AGB, Datenschutzerklärung, Auftragsverarbeitungsvertrag) als Nachweis Ihrer Vertragsannahme bzw. Einwilligung.
  • Server-, Zugriffs- und Sicherheitsprotokolle: technisch erforderliche Verbindungsdaten (insbesondere IP-Adresse, Zeitstempel, abgerufene Ressource, User-Agent) zur Auslieferung, Fehlerdiagnose und zum Schutz vor Bots und Missbrauch.
  • Kommunikationsdaten: Inhalte und Metadaten von Nachrichten, die Sie uns zusenden, zur Bearbeitung Ihres Anliegens.

Eine Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO ist im Portal- und Marketingbetrieb nicht vorgesehen.

5. Zwecke und Rechtsgrundlagen je Verarbeitung

  • Bereitstellung von Konto und Plattform sowie Abwicklung der vereinbarten Leistungen: Vertragserfüllung bzw. vorvertragliche Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO).
  • Abrechnung und Zahlungsabwicklung: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) sowie Erfüllung gesetzlicher Aufbewahrungs-/Buchführungspflichten (Art. 6 Abs. 1 lit. c DSGVO i. V. m. HGB/AO).
  • Sicherheit, Bot-/Missbrauchsschutz und Stabilität: berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) — konkret die Abwehr von Spam, automatisierten Angriffen und Missbrauch sowie ein sicherer, verfügbarer Dienst.
  • Fehler-/Stabilitätsüberwachung (Sentry): berechtigtes Interesse an schneller Fehlererkennung und -behebung (Art. 6 Abs. 1 lit. f DSGVO; vgl. Abschnitt 8).
  • Cookielose Reichweitenmessung (Plausible): berechtigtes Interesse an der bedarfsgerechten Gestaltung des Angebots (Art. 6 Abs. 1 lit. f DSGVO; vgl. Abschnitt 9).
  • Nachweis von Einwilligung und Vertragsannahme: rechtliche Verpflichtung und berechtigtes Interesse an der Beweisbarkeit (Art. 6 Abs. 1 lit. c und f DSGVO; Art. 7 Abs. 1 DSGVO).
  • Soweit wir ausdrücklich um Einwilligung bitten: Art. 6 Abs. 1 lit. a DSGVO.

6. Empfänger und eingesetzte Dienste

Zur Erbringung unserer Leistungen setzen wir sorgfältig ausgewählte Dienstleister ein. Soweit diese personenbezogene Daten weisungsgebunden in unserem Auftrag verarbeiten, bestehen mit ihnen Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO. Die folgende Übersicht nennt je Dienst Zweck, Rechtsgrundlage sowie Ort der Verarbeitung und die Übermittlungsgarantie bei Drittlandbezug (Einzelheiten in Abschnitt 7):

DienstZweckRechtsgrundlageOrt / Garantie
Supabase, Inc.Datenbank, Authentifizierung, Datei-SpeicherArt. 6 (1) b, fRZ Frankfurt/EU; Konzern/Support teils USA — SCC + TIA
Vercel, Inc.Hosting & Auslieferung der Web-/Event-SeitenArt. 6 (1) fUSA — EU-US DPF (zertifiziert, Art. 45) + SCC
ResendVersand transaktionaler/System-E-MailsArt. 6 (1) b, fUSA — EU-US DPF (zertifiziert) + SCC
StripeZahlungsabwicklung (Guthaben-/Paketkauf)Art. 6 (1) bUSA — EU-US DPF (zertifiziert) + SCC
Friendly Captcha GmbHBot-/Spam-Schutz öffentlicher Formulare (cookielos)Art. 6 (1) fDeutschland/EU
Plausible Analyticscookielose ReichweitenmessungArt. 6 (1) fEU
SentryFehler-/StabilitätsüberwachungArt. 6 (1) fEU-Region (ggf. SCC)

Plausible und Sentry verarbeiten wir als eigener Verantwortlicher. Hinsichtlich der Zahlungsdaten unserer Kundinnen und Kunden (Stripe) sind wir ebenfalls eigener Verantwortlicher. Eine Übermittlung an weitere Dritte findet nur statt, soweit dies zur Vertragserfüllung erforderlich ist, Sie eingewilligt haben oder wir gesetzlich dazu verpflichtet bzw. berechtigt sind.

7. Drittlandtransfer und Übermittlungsgarantien

Einige der eingesetzten Dienste verarbeiten Daten in oder mit Bezug zu Drittländern, insbesondere den USA. Eine solche Übermittlung erfolgt nur auf Grundlage geeigneter Garantien nach Kapitel V der DSGVO.

Für in den USA verarbeitende Anbieter, die unter dem EU-US Data Privacy Framework (DPF) zertifiziert sind — dies betrifft Vercel, Resend und Stripe —, stützt sich die Übermittlung auf den Angemessenheitsbeschluss der Europäischen Kommission vom 10.07.2023 (Art. 45 DSGVO). Ergänzend bzw. ersatzweise bestehen mit diesen Anbietern EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

Bei Supabase liegt der primäre Verarbeitungsstandort im EU-Rechenzentrum Frankfurt; ein Drittlandbezug kann sich gleichwohl über den US-Konzern und den Support ergeben. Da Supabase nicht über eine DPF-Zertifizierung verfügt, stützt sich die Übermittlung hier auf EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) nebst einer ergänzenden Risikobewertung (Transfer Impact Assessment).

Hinweis zur Rechtslage: Der Angemessenheitsbeschluss zum EU-US Data Privacy Framework wurde durch das Gericht der Europäischen Union mit Urteil vom 03.09.2025 (Rechtssache Latombe) bestätigt; gegen dieses Urteil ist ein Rechtsmittel beim Gerichtshof der Europäischen Union anhängig (Rechtssache C-703/25 P). Wir halten daher mit den genannten Anbietern zusätzlich EU-Standardvertragsklauseln als Rückfallebene vor und beobachten den Status fortlaufend.

Eine Kopie der für eine Übermittlung maßgeblichen geeigneten Garantien (insbesondere der EU-Standardvertragsklauseln) können Sie über die in Abschnitt 1 genannten Kontaktdaten anfordern.

8. Fehler- und Stabilitätsüberwachung (Sentry)

Zur Erkennung und Behebung technischer Fehler setzen wir Sentry ein. Dabei werden bei Auftreten eines Fehlers technische Diagnosedaten verarbeitet, insbesondere Fehler- und Ablaufinformationen (Stacktraces), die aufgerufene Funktion sowie technische Umgebungsdaten; eine IP-Adresse wird, soweit erhoben, datensparsam behandelt.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; unser berechtigtes Interesse besteht in der schnellen Diagnose und Behebung von Fehlern sowie der Aufrechterhaltung eines sicheren, stabilen Dienstes. Die Verarbeitung erfolgt in einer EU-Region; ein etwaiger Drittlandbezug ist durch EU-Standardvertragsklauseln abgesichert (vgl. Abschnitt 7).

9. Reichweitenmessung, Botschutz, Cookies und TDDDG

Wir setzen keine nicht notwendigen Cookies und kein Cookie-Banner ein. Auf Ihrem Endgerät gespeichert bzw. ausgelesen werden ausschließlich technisch erforderliche Informationen, insbesondere die zur Anmeldung erforderlichen Session-Daten. Dieser Zugriff ist nach § 25 Abs. 2 Nr. 2 TDDDG einwilligungsfrei, weil er unbedingt erforderlich ist, um den von Ihnen ausdrücklich gewünschten Dienst (Ihr angemeldetes Konto) bereitzustellen.

Reichweitenmessung (Plausible): Wir verwenden Plausible Analytics cookielos und ohne Speicherung der vollständigen IP-Adresse, ohne geräteübergreifende Wiedererkennung und ohne personenbezogene Profilbildung. Ein für die Reichweitenmessung erforderlicher Zugriff auf Endgeräte-Informationen im Sinne des § 25 Abs. 1 TDDDG findet nicht statt. Rechtsgrundlage für die aggregierten Reichweitendaten ist Art. 6 Abs. 1 lit. f DSGVO. Sie können dieser cookielosen Reichweitenmessung jederzeit über die entsprechende Einstellung auf der Website widersprechen (Art. 21 DSGVO).

Botschutz der Formulare: Zum Schutz öffentlicher Formulare vor automatisierten Eingaben, Spam und Missbrauch setzen wir mehrere Maßnahmen ein: Friendly Captcha (in der EU betrieben, cookielos, Proof-of-Work ohne Tracking) sowie ergänzend ein für Nutzer unsichtbares Honeypot-Feld und eine Zeitfalle (Time-Trap).

Soweit beim Botschutz auf Endgeräte-Informationen zugegriffen wird, ist dies unbedingt erforderlich, um den angeforderten, missbrauchsfreien Formulardienst bereitzustellen, und damit nach § 25 Abs. 2 Nr. 2 TDDDG einwilligungsfrei. Die anschließende Verarbeitung stützt sich auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Abwehr von Spam und Missbrauch).

10. Speicherdauer

Kontodaten werden für die Dauer des Nutzungsverhältnisses gespeichert und nach Löschung des Kontos entfernt, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Abrechnungsrelevante Unterlagen (Rechnungen, Guthaben- und Zahlungsbelege) werden nach Maßgabe der handels- und steuerrechtlichen Aufbewahrungsfristen vorgehalten (in der Regel bis zu 10 Jahre nach HGB/AO; für bestimmte Unterlagen kürzere Fristen). Reine Sicherheits- und Zugriffsprotokolle werden grundsätzlich binnen 7 bis 30 Tagen gelöscht, soweit sie nicht zur Aufklärung eines konkreten Sicherheitsvorfalls länger benötigt werden. Einwilligungs- und Akzeptanznachweise werden für die Dauer der jeweiligen Nachweis- bzw. Verjährungspflicht aufbewahrt; Diagnosedaten der Fehlerüberwachung nur so lange, wie dies zur Fehleranalyse erforderlich ist; Reichweitendaten werden aggregiert und nicht personenbezogen vorgehalten.

11. Erforderlichkeit der Bereitstellung

Die Bereitstellung bestimmter Daten ist für die Nutzung erforderlich: Für die Einrichtung und Nutzung eines Kontos sowie für die Authentifizierung ist insbesondere die Angabe einer gültigen E-Mail-Adresse zwingend; ohne sie können wir kein Konto bereitstellen und den Dienst nicht erbringen. Für die Abrechnung kostenpflichtiger Leistungen sind die notwendigen Rechnungs- und Zahlungsdaten erforderlich. Im Übrigen ist die Bereitstellung von Daten freiwillig; die Nichtbereitstellung freiwilliger Angaben hat keine über die jeweils beschriebene Funktion hinausgehenden Nachteile.

12. Keine automatisierte Entscheidungsfindung

Eine ausschließlich auf einer automatisierten Verarbeitung beruhende Entscheidung einschließlich Profiling, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt (Art. 22 DSGVO), findet nicht statt.

13. Ihre Rechte

Sie haben nach Maßgabe der gesetzlichen Voraussetzungen das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18) und Datenübertragbarkeit (Art. 20 DSGVO). Sie haben zudem das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen eine auf Art. 6 Abs. 1 lit. f DSGVO gestützte Verarbeitung Widerspruch einzulegen (Art. 21 DSGVO).

Soweit eine Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO); die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt. Zur Ausübung Ihrer Rechte genügt eine Nachricht an die in Abschnitt 1 genannten Kontaktdaten.

Betrifft Ihre Anfrage Daten, die auf einer Event-Seite eines Händlers erhoben wurden, richten Sie diese bitte an den dort genannten Verantwortlichen; wir unterstützen den Händler insoweit als Auftragsverarbeiter.

14. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben unbeschadet anderweitiger Rechtsbehelfe das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO), insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes. Für uns als in Bayern (Marktoberdorf) ansässige nicht-öffentliche Stelle ist zuständig:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
Deutschland

15. Aktualität und Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung ist in der durch das angegebene Stand-Datum bezeichneten Fassung gültig. Wir passen sie an, wenn Änderungen der Verarbeitung oder der Rechtslage dies erforderlich machen. Es gilt jeweils die auf dieser Seite veröffentlichte Fassung.