Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:

Jaden Mayerhöfer
Domstr. 74
63067 Offenbach am Main
Deutschland
E-Mail: jaden@venues.media

Vollständige Angaben im Impressum.

2. Übersicht

Venues ist eine Plattform zum Entdecken von Nightlife-Events, Bars, Clubs und Konzerten in Frankfurt am Main. Venues besteht aus dieser Webseite (venues.media), der Web-App unter /map und einer iOS-App (in Vorbereitung). Diese Erklärung beschreibt, welche personenbezogenen Daten wir wofür verarbeiten und welche Rechte dir zustehen. Wir verarbeiten Daten ausschließlich auf Basis der DSGVO und des BDSG.

3. Daten, die wir erheben

3.1 Kontodaten

Bei der Registrierung in der Venues-App erheben wir deine E-Mail-Adresse und ein von dir gewähltes Passwort. Das Passwort wird ausschließlich gehasht durch Supabase Auth gespeichert; im Klartext kennen wir es nicht. Optional kannst du einen Anzeigenamen und ein Profilbild hinterlegen. Den Zeitstempel deiner Zustimmung zu Nutzungsbedingungen und dieser Erklärung speichern wir, um die Einwilligung gemäß Art. 7 Abs. 1 DSGVO nachweisen zu können (Rechenschaftspflicht).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Für den Einwilligungsnachweis: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung).

3.2 Standortdaten

Wenn du der App den Zugriff auf deinen Standort erlaubst, nutzen wir GPS-Koordinaten ausschließlich zur Zentrierung der Karte und zur Anzeige der Entfernung zu Events. Die Koordinaten werden auf deinem Gerät verarbeitet und nicht auf unseren Servern gespeichert. Du kannst die Standortfreigabe jederzeit in den System-Einstellungen widerrufen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

3.3 Event- und Gästelisten-Daten

Wenn du dich auf eine Gästeliste setzt, speichern wir deine Anmeldung mit Bezug zum Event und ein zeitlich begrenztes QR-Token (HMAC-SHA256-gehasht, rotiert alle 60 Sekunden). Beim Check-in am Einlass-Terminal sieht das Venue-Personal deinen Anzeigenamen und deinen Gästelisten-Status. Das QR-Token verifiziert nur, dass du gültig auf der Liste stehst — es enthält keine sensiblen Daten und kann nicht von Dritten kopiert oder wiederverwendet werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3.4 Soziale Daten

Wenn du Venues, Veranstaltern oder anderen Profilen folgst, speichern wir die Folge-Beziehung. Beiträge, Kommentare und Likes, die du innerhalb der App erstellst, werden mit Bezug zu deinem Profil gespeichert und sind je nach Sichtbarkeitseinstellung für andere Nutzer:innen einsehbar.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3.5 Push-Benachrichtigungen

Wenn du Push-Benachrichtigungen erlaubst, speichern wir das von Apple Push Notification Service (APNs) bzw. dem entsprechenden Web-Push-Dienst zugewiesene Push-Token. Wir nutzen es, um dich über Event-Erinnerungen, Gästelisten-Status, neue Posts gefolgter Profile und plattformrelevante Updates zu informieren. Du kannst die Einwilligung jederzeit über die System-Einstellungen deines Geräts widerrufen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

3.6 Geräte- und technische Daten

Bei jedem Aufruf der App und Webseite werden technisch notwendige Daten verarbeitet: IP-Adresse, User-Agent, Datum/Uhrzeit, abgerufene URL. Die IP-Adresse wird zusätzlich für Rate-Limiting (Schutz vor Missbrauch) temporär in einem Zähler gespeichert; der Zähler läuft je nach Vorgang nach einer Stunde bis einem Tag ab. Wir erheben keine Werbe-IDs, keine Browser-Fingerprints und keine Modelldetails deines Gerätes.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren und stabilen Betrieb).

3.7 Lokale Gerätespeicherung

Folgendes wird ausschließlich lokal auf deinem Gerät gespeichert und nicht an unsere Server gesendet: Authentifizierungs-Session, gewählte Filtereinstellungen, Sprach-/Regionspräferenzen, zuletzt geöffnete Events. Diese lokale Speicherung ist gemäß § 25 Abs. 2 Nr. 2 TTDSG technisch notwendig und einwilligungsfrei.

3.8 Wartelisten-Daten

Wenn du dich auf venues.media über die Warteliste anmeldest, speichern wir deine E-Mail-Adresse und die ausgewählten Einwilligungen (z. B. Launch-Benachrichtigung). Den Zeitstempel deiner Anmeldung speichern wir zur Dokumentation der Einwilligung gemäß Art. 7 Abs. 1 DSGVO. Falls du in der URL beim Anmelden UTM-Quellenparameter mitbringst, speichern wir diese, um zu verstehen welche Marketing-Kanäle zu Anmeldungen führen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Du kannst die Einwilligung jederzeit per E-Mail an jaden@venues.media widerrufen.

3.9 KI-gestützte Datenextraktion (intern)

Beim manuellen Einpflegen von Events durch Administratoren werden Bilder von Event-Postern (Screenshots) zur OCR-Texterkennung an die Claude API von Anthropic (USA) übermittelt. Die Bilder werden weder bei uns noch bei Anthropic dauerhaft gespeichert. Diese Funktion ist ausschließlich für interne Administrator-Zugänge zugänglich und betrifft keine Endnutzer-Daten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Pflege des Event-Bestandes). Drittlandtransfer USA: Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) mit ergänzenden technischen Maßnahmen.

3.10 Daten aus öffentlich zugänglichen Quellen

Ein Teil der Event-Informationen in der App stammt aus öffentlich zugänglichen Websites von Veranstaltern, Venues und ähnlichen Quellen. Vor jeder automatisierten Übernahme prüfen wir die robots.txt der jeweiligen Quelle und respektieren maschinenlesbare Vorbehalte gegen Text- und Data-Mining. Die Originalquelle wird in der App transparent ausgewiesen (Link zum Original). Personenbezogene Daten Dritter werden dabei nicht aktiv erhoben; soweit Künstler- oder Lineup-Namen enthalten sind, handelt es sich um öffentlich zugängliche Informationen aus dem Kontext einer Veranstaltung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer aktuellen Event-Übersicht) und § 44b UrhG (Schranke für Text- und Data-Mining). Eine Dokumentation unserer Quellenprüfung halten wir auf Anfrage bereit.

3.11 Geschäftsnutzer-Daten (Venues Business)

Geschäftsnutzer:innen (Venue-Betreiber, Veranstalter, Promoter) verfügen über separate Geschäfts-Profile. Wir verarbeiten dabei: Geschäftsrolle, Profil- und Kontaktdaten, Venue- und Event-Daten, Code-Zugriffe, Benachrichtigungs-Historie und aggregierte Insights über Event-Reichweite. Beim Anlegen eines Events an einem fremden Venue durch eine:n Veranstalter:in wird eine Verifizierungsanfrage mit Namen und Event-Details an den Venue-Eigentümer gesendet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3.12 Vertragsdaten von Geschäftspartnern

Wenn Geschäftspartner (Venues, Veranstalter, Promoter) Verträge mit uns abschließen — etwa zur Nutzung von Bildern, Beschreibungen oder Event-Materialien in der Venues-App — speichern wir die im Vertrag enthaltenen personenbezogenen Daten (Name, Anschrift, E-Mail der vertretungsberechtigten Person) sowie das unterzeichnete Vertragsdokument. Diese Daten verwenden wir ausschließlich zur Vertragsabwicklung und zur Erfüllung gesetzlicher Aufbewahrungspflichten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht) gemäß §§ 257 HGB und 147 AO. Speicherdauer: bis zu 10 Jahre nach Ende der Vertragsbeziehung.

4. Drittanbieter-Dienste

Zur Bereitstellung des Dienstes nutzen wir folgende Auftragsverarbeiter und Dienstleister. Mit allen Verarbeitern, soweit erforderlich, bestehen Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO.

Datenstandort und Drittlandtransfer

Supabase verarbeitet die Daten in der EU (Frankfurt). Vercel ist DPF-zertifiziert; entsprechende Übermittlungen basieren auf dem EU-Angemessenheitsbeschluss (Art. 45 DSGVO). Übermittlungen an Mapbox, Anthropic und Apple erfolgen auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) mit ergänzenden technischen Maßnahmen (Verschlüsselung bei Übertragung und Speicherung). Den DPF-Status der jeweiligen Anbieter kannst du unter dataprivacyframework.gov prüfen.

5. Für andere Nutzer:innen sichtbare Daten

Andere Nutzer:innen können sehen: deinen Anzeigenamen und dein Profilbild, von dir erstellte Posts und Likes (gemäß deiner Sichtbarkeitseinstellung), und dass du einer Venue oder einem Veranstalter folgst. Beim Check-in über die Gästeliste sieht das Venue-Personal deinen Anzeigenamen und Gästelisten-Status — keine darüberhinausgehenden Daten.

6. Speicherdauer

Personenbezogene Daten speichern wir, solange dein Konto besteht. Wenn du dein Konto löschst (App → Einstellungen → Konto löschen), werden alle damit verknüpften Daten gelöscht; eine kaskadierende Löschung erfasst auch deine Posts, Likes, Follows und Gästelisten-Einträge. Eingelöste QR-Tokens werden anonymisiert (deine Nutzer-ID wird durch einen anonymen Marker ersetzt) statt vollständig gelöscht, da das Löschen die Einlasshistorie für die jeweiligen Venues unbrauchbar machen würde. Rate-Limiting-Zähler laufen automatisch nach Ablauf des Zeitfensters ab. Vertragsdaten von Geschäftspartnern werden gemäß §§ 257 HGB und 147 AO bis zu 10 Jahre aufbewahrt.

7. Datensicherheit

Wir setzen branchenübliche Sicherheitsmaßnahmen ein: TLS-Verschlüsselung für alle Verbindungen (HTTPS), gehashte Passwortspeicherung über Supabase Auth, HMAC-SHA256-signierte und zeitlich rotierende QR-Tokens für die Gästeliste, Row-Level-Security auf der Datenbankebene (jede:r Nutzer:in sieht nur eigene Daten), Rate-Limiting gegen Missbrauch, Eingabevalidierung und atomare Datenbank-Transaktionen.

8. Deine Rechte

Dir stehen gegenüber uns folgende Rechte hinsichtlich deiner personenbezogenen Daten zu:

• Recht auf Auskunft (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
• Recht auf Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO) — etwa für Push-Benachrichtigungen, Standort-Freigabe oder Wartelisten-Anmeldung

Zur Geltendmachung genügt eine formlose E-Mail an jaden@venues.media. Wir antworten innerhalb eines Monats nach Eingang (Art. 12 Abs. 3 DSGVO). In komplexen Fällen kann diese Frist um zwei weitere Monate verlängert werden, worüber wir dich informieren.

9. Beschwerderecht bei der Aufsichtsbehörde

Unbeschadet eines anderweitigen Rechtsbehelfs steht dir das Recht auf Beschwerde bei einer Aufsichtsbehörde zu (Art. 77 DSGVO). Zuständig für Verantwortliche in Hessen ist:

10. Cookies

Diese Landing-Page setzt keine Cookies. In der App-Umgebung unter /map werden technisch notwendige Session-Cookies gesetzt, sobald du dich einloggst (Authentifizierung über Supabase). Mapbox setzt zusätzlich technisch notwendige First-Party-Cookies zur Karten-Performance. Beide Cookie-Arten sind für den Betrieb der App zwingend erforderlich und unterliegen gemäß § 25 Abs. 2 Nr. 2 TTDSG keiner Einwilligungspflicht. Tracking- oder Marketing-Cookies setzen wir nicht ein.

11. Automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung oder Profiling im Sinne von Art. 22 DSGVO statt. Die Sortierung der Event-Listen nach Standort oder Beliebtheit ist eine einfache Inhaltsdarstellung und entfaltet keine rechtliche oder ähnlich erhebliche Wirkung gegenüber dir.

12. Pflicht zur Bereitstellung von Daten

Die Angabe von E-Mail-Adresse und Passwort ist erforderlich, um ein Konto zu erstellen und die App zu nutzen. Ohne diese Daten kannst du den Dienst nicht in vollem Umfang nutzen. Die Karten-Ansicht der Events ist auch ohne Konto öffentlich nutzbar. Die Angabe von Anzeigename, Profilbild und Standort ist freiwillig — der Dienst funktioniert ohne diese Angaben, einige Komfortfunktionen (Entfernungsanzeige, Personalisierung) sind dann jedoch eingeschränkt.

13. Schutz von Minderjährigen

Venues richtet sich an Nutzer:innen ab 16 Jahren. Wenn du jünger bist, lege bitte kein Konto an. Wenn du Sorge­berechtigte:r bist und der Auffassung bist, dass ein:e Minderjährige:r unter 16 Jahren uns Daten zur Verfügung gestellt hat, kontaktiere uns unter jaden@venues.media — wir löschen die Daten umgehend.

14. Stand und Änderungen dieser Erklärung

Diese Datenschutzerklärung hat den Stand vom 27.04.2026. Wir behalten uns vor, sie anzupassen, wenn sich rechtliche oder technische Rahmenbedingungen ändern. Die jeweils aktuelle Version ist stets unter venues.media/datenschutz abrufbar. Bei wesentlichen Änderungen informieren wir aktiv (z. B. per In-App-Hinweis oder E-Mail).