Datenschutzerklärung
Stand: 27.03.2026 · Version 2.2
1. Verantwortlicher
PiXX Media — Inh.: Manuel Zagler
Schillerstraße 32, 84544 Aschau am Inn, Deutschland
E-Mail: [email protected]
Es handelt sich um ein Kleinunternehmen. Ein Datenschutzbeauftragter ist nicht bestellt (Art. 37 Abs. 4 DSGVO, § 38 BDSG). Bei Datenschutzfragen wenden Sie sich bitte an die oben genannte E-Mail-Adresse.
2. Erhebung und Speicherung personenbezogener Daten
2.1 Beim Besuch der Website
Beim Aufrufen unserer Website werden durch den Browser automatisch Informationen an unseren Server übermittelt (IP-Adresse, Datum/Uhrzeit, URL, Browser-Kennung, Referrer). IP-Adressen werden nicht dauerhaft gespeichert. Für die Statistik-Funktion (Event-Aufrufe) wird ein pseudonymisierter Tages-Hash (SHA-256 aus IP + User-Agent + Datum) erstellt, der keinen Rückschluss auf einzelne Personen zulässt. Dieser Hash wird ausschließlich zur Erkennung von Mehrfachaufrufen verwendet und nicht mit anderen Daten zusammengeführt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der sicheren und stabilen Bereitstellung der Website).
2.2 Bei der Registrierung
Bei der Registrierung erheben wir: Vorname, Nachname, Benutzername (Handle), E-Mail-Adresse, Passwort (nur als bcrypt-Hash gespeichert — das Klartext-Passwort wird zu keinem Zeitpunkt gespeichert). Freiwillig: Handynummer, Adressdaten (Straße, PLZ, Ort, Land). Freiwillige Angaben werden nicht öffentlich angezeigt und können jederzeit im Profil gelöscht werden.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
2.3 Profilbilder
Hochgeladene Profilbilder werden auf unserem Server gespeichert und vor der öffentlichen Anzeige durch unser Moderationsteam geprüft. Bis zur Freigabe ist das Bild nur für den Nutzer selbst und Administratoren/Moderatoren sichtbar. Bei Ablehnung bleibt das Bild gespeichert aber unsichtbar; der Nutzer kann ein neues hochladen. Profilbilder werden bei Kontolöschung gelöscht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktiven Upload).
2.4 Bei der Event-Einreichung
Eingereichte Events werden mit der Benutzer-ID des Einreichers verknüpft. Hochgeladene Flyer werden auf unserem Server gespeichert und in optimierte Formate (WebP, Thumbnails in 400px/800px) konvertiert. Originalbilder werden nach der Konvertierung nicht separat aufbewahrt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
2.5 Standortdaten
Beim ersten Besuch der Plattform wird der Nutzer gefragt, ob er seinen Standort freigeben möchte, um Events in der Nähe anzuzeigen. Die Standortabfrage erfolgt über die Browser-Geolocation-API und erfordert eine aktive Zustimmung des Nutzers (Browser-Dialog). Die Standortdaten werden ausschließlich im Browser verarbeitet und als URL-Parameter an unseren Server übergeben, um in der Nähe liegende Events zu filtern. Standortdaten werden nicht dauerhaft auf unserem Server gespeichert, es sei denn, der Nutzer hat Push-Benachrichtigungen mit Standortfilter aktiviert (siehe Abschnitt 4.2).
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung durch Browser-Abfrage).
2.6 Veranstalter-Daten
Veranstalter, die sich über ihr Profil als solche registrieren, geben zusätzlich an: Veranstaltername, optional eine Beschreibung, Logo und Social-Media-Links. Diese Daten werden öffentlich angezeigt. Bei der Veranstalter-Registrierung wird die Zustimmung zu den AGB protokolliert (siehe Abschnitt 5).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
3. Cookies
Unsere Website verwendet technisch notwendige Cookies sowie — nur nach ausdrücklicher Einwilligung — Analyse-Cookies:
| Cookie | Zweck | Dauer | Kategorie |
|---|---|---|---|
| PHPSESSID | Session-Verwaltung (Login, CSRF-Schutz) | Sitzungsende | Notwendig |
| eb_consent | Speicherung der Cookie-Einwilligung | 1 Jahr | Notwendig |
| eb_vid | Anonyme Besucher-ID für Einwilligungsprotokollierung (DSGVO Art. 7) | 1 Jahr | Notwendig |
| eb_visited | Erkennung Erstbesucher (verhindert wiederholte Standort-Abfrage) | 1 Jahr | Notwendig |
| eb_loc | Zwischengespeicherter Standort (Breiten-/Längengrad) für Event-Umkreissuche | 1 Jahr | Notwendig |
| _ga, _ga_* | Google Analytics (GA4) — Nutzungsstatistiken | 2 Jahre | Analyse (nur mit Einwilligung) |
| _pk_id, _pk_ses | Matomo Analytics — Nutzungsstatistiken | 13 Monate / 30 Min | Analyse (nur mit Einwilligung) |
Die Cookie-Einwilligung wird gemäß Art. 7 Abs. 1 DSGVO protokolliert (Zeitpunkt, Art der Einwilligung, pseudonymisierte IP-Adresse). Analyse-Cookies werden ausschließlich nach ausdrücklicher Einwilligung über unser Cookie-Banner gesetzt. Ohne Einwilligung werden keine Tracking- oder Analyse-Cookies verwendet.
Du kannst deine Einwilligung jederzeit widerrufen:
4. Externe Dienste und Datenübermittlung
4.1 Kartenmaterial (OpenStreetMap / Leaflet)
Für die Darstellung von Veranstaltungsorten und die interaktive Venue-Auswahl werden Kartenkacheln von den Servern der OpenStreetMap Foundation (OSMF, Großbritannien) geladen. Dabei wird Ihre IP-Adresse an die OSMF übermittelt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Darstellung von Veranstaltungsorten).
Informationen: OSMF Privacy Policy.
4.2 Push-Benachrichtigungen
Nutzer können freiwillig Push-Benachrichtigungen über neue Events aktivieren. Dabei werden folgende Daten auf unserem Server gespeichert: Push-Endpoint-URL, Verschlüsselungsschlüssel (p256dh, auth) sowie optional der Standort (Breiten-/Längengrad) für standortbasierte Benachrichtigungen.
Die Push-Zustellung erfolgt über die Push-Server des jeweiligen Browser-Herstellers (Google FCM für Chrome, Mozilla Autopush für Firefox, Apple APNs für Safari). Die Nachrichteninhalte werden Ende-zu-Ende-verschlüsselt (RFC 8291, aes128gcm).
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung). Die Einwilligung kann jederzeit im Profil oder in den Browser-Einstellungen widerrufen werden.
4.3 Geocoding (Nominatim)
Für die Adresssuche bei der Event-Einreichung und Venue-Erstellung nutzen wir den Nominatim-Dienst von OpenStreetMap. Dabei wird die eingegebene Adresse an die Server der OSMF übermittelt. Der Dienst wird auch für Reverse-Geocoding verwendet (Umwandlung von Kartenkoordinaten in Adressen).
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Georeferenzierung von Veranstaltungsorten).
4.4 Zahlungsabwicklung (Stripe)
Für die Abwicklung kostenpflichtiger Dienste (Veranstalter-Abonnements, Event-Promotions) nutzen wir den Zahlungsdienstleister Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland.
Bei einem Kaufvorgang werden Sie auf die sichere Checkout-Seite von Stripe weitergeleitet. Dort erhobene Zahlungsdaten (Kreditkartennummer, Ablaufdatum, CVC) werden ausschließlich von Stripe verarbeitet und gespeichert. Wir haben zu keinem Zeitpunkt Zugriff auf vollständige Kreditkartendaten.
Von Stripe erhalten und speichern wir: Stripe Customer-ID, Subscription-ID, Payment-Intent-ID, Zahlungsstatus, Rechnungsbeträge und Abrechnungszeiträume. Diese Daten werden zur Vertragserfüllung, Buchhaltung und Verwaltung von Abonnements gespeichert.
Bei Abonnements teilt Stripe uns über Webhooks mit: Zahlungserfolge, fehlgeschlagene Zahlungen, Kündigungen, Pausierungen und Verlängerungen. Diese Status-Änderungen werden in unserer Datenbank protokolliert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Stripe verarbeitet Daten teilweise in den USA auf Basis von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) und des EU-US Data Privacy Framework.
Informationen: Stripe Privacy Policy.
4.5 Schriftarten
Alle Schriftarten werden lokal von unserem Server geladen (Self-Hosting). Es findet keine Datenübertragung an Google Fonts oder andere Drittanbieter statt.
4.6 Webanalyse (Google Analytics / GA4)
Mit deiner Einwilligung nutzen wir Google Analytics 4 (GA4), einen Webanalysedienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. GA4 verwendet Cookies (z. B. _ga), um anonymisierte Nutzungsstatistiken zu erstellen (aufgerufene Seiten, Verweildauer, Herkunft). IP-Adressen werden vor der Übertragung anonymisiert. Google verarbeitet diese Daten auf Servern in den USA auf Basis des EU-US Data Privacy Framework.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Einwilligung kann jederzeit über den Button „Cookie-Einstellungen" im Footer widerrufen werden.
Informationen: Google Privacy Policy.
4.7 Webanalyse (Matomo)
Mit deiner Einwilligung nutzen wir Matomo (ehemals Piwik), eine selbst gehostete Open-Source-Webanalyse-Software. Matomo wird auf unseren eigenen Servern betrieben (piwik.pixx-media.de) — es findet keine Datenübertragung an Dritte statt. Die erhobenen Statistiken (aufgerufene Seiten, Verweildauer, Klickpfade) werden ausschließlich auf unseren Servern gespeichert. IP-Adressen werden vor der Speicherung anonymisiert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Einwilligung kann jederzeit über den Button „Cookie-Einstellungen" im Footer widerrufen werden.
Informationen: Matomo Privacy Policy.
4.8 Transaktionale E-Mails (Passwort-Reset)
Wenn du über die Funktion „Passwort vergessen" einen Reset-Link anforderst, wird eine E-Mail an die angegebene Adresse gesendet. Dazu wird die E-Mail-Adresse vorübergehend verarbeitet. Der Reset-Token wird als SHA-256-Hash in unserer Datenbank gespeichert und nach 1 Stunde oder nach erfolgreicher Nutzung automatisch gelöscht. Es werden keine weiteren E-Mails ohne ausdrückliche Anforderung gesendet.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / Kontoverwaltung).
4.9 Newsletter (E-Mail-Marketing)
Du kannst dich freiwillig für unseren Newsletter anmelden, um über neue Events und Highlights informiert zu werden. Für die Anmeldung gilt das Double-Opt-In-Verfahren: Nach der Anmeldung erhältst du eine Bestätigungs-E-Mail und musst die Anmeldung aktiv bestätigen. Erst nach der Bestätigung wirst du in den Newsletter-Verteiler aufgenommen.
Bei der Anmeldung speichern wir folgende Daten: E-Mail-Adresse, optionaler Name, Zeitpunkt der Anmeldung, Zeitpunkt der Bestätigung sowie einen pseudonymisierten Hash der IP-Adresse als Einwilligungsnachweis (Art. 7 Abs. 1 DSGVO).
Abmeldung: Du kannst den Newsletter jederzeit abbestellen — ohne Angabe von Gründen und ohne Login — über den Abmelde-Link am Ende jeder Newsletter-E-Mail oder direkt in deinem Profil.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung durch Double-Opt-In). Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.
5. Einwilligungsprotokollierung
Erteilte Einwilligungen werden gemäß Art. 7 Abs. 1 DSGVO mit Zeitstempel, pseudonymisierter IP-Adresse (SHA-256-Hash), pseudonymisiertem User-Agent-Hash und Art/Version der Einwilligung in unserer Datenbank protokolliert. Diese Protokolle dienen ausschließlich dem Nachweis der Einwilligungserteilung.
Folgende Einwilligungen werden protokolliert:
| Zeitpunkt | Einwilligungstyp |
|---|---|
| Registrierung | Akzeptanz der AGB, Akzeptanz der Datenschutzerklärung |
| Veranstalter-Anfrage | Akzeptanz der AGB für Veranstalter |
| Abo-Buchung | Akzeptanz der AGB, Widerrufsverzicht (§ 356 Abs. 5 BGB), Datenschutz |
| Promotion-Buchung | Akzeptanz der AGB, Widerrufsverzicht (§ 356 Abs. 5 BGB) |
| Cookie-Banner | Cookie-Einwilligung (alle/nur notwendige/widerrufen) |
| Newsletter-Anmeldung | Double-Opt-In-Einwilligung (IP-Hash, Zeitstempel) |
Diese Daten können über den DSGVO-Datenexport im Profil eingesehen werden.
6. Speicherdauer
Personenbezogene Daten werden gelöscht, sobald der Zweck der Speicherung entfällt:
| Datenart | Speicherdauer |
|---|---|
| Kontodaten | Bei Löschung des Benutzerkontos, spätestens 24 Monate nach letzter Aktivität |
| Zahlungs- und Rechnungsdaten | 10 Jahre (§ 147 AO, § 257 HGB — gesetzliche Aufbewahrungsfristen) |
| Stripe Customer-/Subscription-ID | Bis zur Kontolöschung oder 10 Jahre nach letzter Zahlung |
| Einwilligungsprotokolle | 3 Jahre nach Widerruf der Einwilligung (§ 195 BGB Regelverjährung) |
| Event-Statistiken | Unbegrenzt (pseudonymisiert, kein Personenbezug) |
| Push-Subscriptions | Bis zum Widerruf durch den Nutzer oder Ablauf des Endpoints |
| Profilbilder (abgelehnt) | Bis zur Kontolöschung oder bis zum Hochladen eines neuen Bildes |
7. Deine Rechte (Art. 15–21 DSGVO)
Du hast folgende Rechte bezüglich deiner personenbezogenen Daten:
| Recht | Beschreibung |
|---|---|
| Auskunft (Art. 15) | Welche Daten wir über dich gespeichert haben. Du kannst einen vollständigen Export über dein Profil herunterladen (DSGVO-Datenauskunft). |
| Berichtigung (Art. 16) | Korrektur unrichtiger Daten über dein Profil oder per E-Mail. |
| Löschung (Art. 17) | Löschung deiner Daten über die Kontolöschung im Profil, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. |
| Einschränkung (Art. 18) | Einschränkung der Verarbeitung unter bestimmten Voraussetzungen. |
| Datenübertragbarkeit (Art. 20) | Export deiner Daten in einem strukturierten, gängigen Format (HTML) über den DSGVO-Export im Profil. |
| Widerspruch (Art. 21) | Widerspruch gegen die Verarbeitung auf Basis berechtigter Interessen. |
| Widerruf (Art. 7 Abs. 3) | Widerruf erteilter Einwilligungen jederzeit mit Wirkung für die Zukunft (z. B. Cookie-Einwilligung, Push-Benachrichtigungen). |
Anfragen bitte per E-Mail an: [email protected]. Wir antworten innerhalb eines Monats (Art. 12 Abs. 3 DSGVO).
8. Beschwerderecht bei einer Aufsichtsbehörde
Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Die für den Anbieter zuständige Aufsichtsbehörde ist:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach
www.lda.bayern.de
9. Datensicherheit
Wir setzen umfangreiche technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO ein:
- SSL/TLS-Verschlüsselung (HTTPS) für alle Verbindungen
- bcrypt-Passwort-Hashing (Klartext-Passwörter werden nie gespeichert)
- CSRF-Token zum Schutz vor Cross-Site-Request-Forgery
- Prepared Statements zum Schutz vor SQL-Injection
- Output-Escaping zum Schutz vor Cross-Site-Scripting (XSS)
- Ende-zu-Ende-verschlüsselte Push-Benachrichtigungen (RFC 8291, aes128gcm)
- Separierte Datenbankdateien mit eingeschränkten Dateiberechtigungen
- Pseudonymisierte Einwilligungsprotokolle (SHA-256-Hashes statt IP-Adressen)
- Profilbild-Moderation vor öffentlicher Anzeige
10. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Die neue Datenschutzerklärung gilt ab dem nächsten Besuch der Plattform.