Datenschutzerklärung

Eduardo Arturo Sieber Artiles<br/>Heubnerweg 9, 14059 Berlin, Deutschland<br/>E-Mail: legal@tropixus.com

Aufgrund der aktuellen Größe des Projekts sind wir nach Art. 37 DSGVO nicht verpflichtet, einen Datenschutzbeauftragten (DSB) zu benennen. Für alle Fragen zum Datenschutz wende dich bitte an die oben angegebene Adresse.

Je nach Aktivität erfassen wir folgende Daten:

• Registrierungs-/Anmeldedaten: Vorname, Nachname, E-Mail-Adresse, Passwort (gehashte Form, niemals im Klartext), Land und Postleitzahl. Diese werden in der Backend-Datenbank und in Keycloak (Identitätsmanager) gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung).
• Authentifizierungsdaten: HttpOnly-Session-Token (sicheres Cookie), temporäre OTP-Codes für den Passwort-Wiederherstellungsablauf. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO + Art. 6 Abs. 1 lit. f (Kontosicherheit).
• Missbrauchsschutz (Rate Limiting): Um die Formulare für Anmeldung, Registrierung, OTP-Versand und Passwortzurücksetzung vor automatisierten oder Brute-Force-Angriffen zu schützen, zählen wir die Versuche pro IP-Adresse (und gegebenenfalls pro E-Mail-Adresse) innerhalb kurzer Zeitfenster (5–60 Minuten). Die Zähler werden nach Ablauf des Zeitfensters gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Kontosicherheit).
• Lesezeichen und Erinnerungen: Die von dir gespeicherten Unternehmen und Veranstaltungen sowie deine Präferenz für Benachrichtigungen vor einer Veranstaltung. Rechtsgrundlage: Art. 6 Abs. 1 Buchstabe b DSGVO.
• Berichte und Feedback-Nachrichten: Der Text, den du über die Schaltfläche „Etwas nicht in Ordnung?“ oder über die Kontakt-/Hilfe-/Formulare für Unternehmen sendest, zusammen mit deiner E-Mail-Adresse (sofern du diese angibst) und der URL, von der aus du schreibst. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung des Dienstes).
• Technische Navigationsdaten: Besuchte URL, Browsertyp, Sprache, im Auswahlmenü gewählte Stadt, Datum und Uhrzeit. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Aufrechterhaltung des Betriebs und der Sicherheit der Plattform).
• Protokollierung der Cookie-Einwilligung: akzeptierte Banner-Version, Datum und zugelassene Kategorien. Rechtsgrundlage: Art. 7.1 DSGVO (Beweislast) + § 25 TTDSG.
• Analytische Cookies: Anonyme Identifikatoren, die von Google Analytics 4 und Microsoft Clarity bereitgestellt werden, nur wenn du im Banner deine ausdrückliche Einwilligung erteilst. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO + § 25 Abs. 1 TTDSG. Derzeit verwenden wir keine Marketing- oder Werbe-Cookies; die Kategorie ist zwar im Banner vorhanden, lädt aber derzeit keine Cookies; sie ist für zukünftige Kampagnen reserviert und sollte diese aktiviert werden, werden sie nur mit deiner Einwilligung geladen.

• Betrieb und Wartung der Plattform und der mobilen App.
• Anpassung der Inhalte an deine Stadt und Sprache.
• Beantwortung Ihrer Anfragen und Meldungen über das Feedback-Formular.
• Erfüllung gesetzlicher Verpflichtungen (Rechnungsstellung, Steuerabzug, Antworten an Behörden).
• Das Produkt anhand aggregierter Analysedaten verbessern (nur mit deiner Zustimmung).

Wir geben Daten ausschließlich an Auftragsverarbeiter weiter, die auf unsere Anweisung hin handeln (Art. 28 DSGVO):

• Vercel Inc., Webhosting, Region Frankfurt (EU). Betreibt die Plattform und führt technische Zugriffsprotokolle.
• Keycloak, Identitätssystem (eigenes Hosting in der EU). Speichert Kontozugangsdaten, Tokens und Sitzungen.
• Neon / PostgreSQL, Backend-Datenbank (EU). Speichert Profile, Favoriten, Erinnerungen und Feedback-Berichte.
• Resend, Versand von Transaktions-E-Mails (OTP zur Passwortwiederherstellung, Bestätigungen). Europäische Infrastruktur.
• DeepL SE, maschinelle Übersetzung der redaktionellen Inhalte ins Deutsche und Englische (EU). Verarbeitet keine personenbezogenen Daten der Nutzer, sondern nur öffentliche Texte der Website.
• Anthropic, PBC, Generierung der redaktionellen Inhalte der Stadtseiten (H1-Überschriften, FAQ und SEO-Beschreibungen) mittels des Modells Claude (USA). Wir senden keine personenbezogenen Daten an Anthropic, sondern lediglich den Namen der Stadt und von uns definierte Prompt-Vorlagen. Die Übermittlung erfolgt gemäß den Standardvertragsklauseln der Europäischen Kommission (Art. 46 DSGVO).
• Upstash, Inc., Redis-Speicher zur Kontrolle missbräuchlicher Versuche bei Anmelde-, Registrierungs- und Passwortwiederherstellungsformularen (Rate Limiting). Verarbeitet während kurzer Zeitfenster (5–60 Minuten) eine aus deiner IP abgeleitete Kennung und gegebenenfalls den Hash deiner E-Mail-Adresse, ausschließlich zur Zählung der Versuche. Server in der EU (Frankfurt). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz der Benutzerkonten).
• OpenStreetMap / CartoDB, Kartenkacheln in den Listen- und Detailansichten (EU).
• Microsoft Clarity und Google Analytics 4, Webanalyse (USA). Diese werden nur aktiviert, wenn du die Analyse-Cookies im Banner akzeptierst. Die Übermittlung erfolgt im Rahmen des EU-US Data Privacy Framework + Standardvertragsklauseln (Art. 46 DSGVO).
• Umami Software, Inc. (USA, Dienst cloud.umami.is), aggregierte Analytik ohne Cookies oder Browser-Fingerprint. Keine Einwilligung erforderlich (§ 25 Abs. 2 TTDSG). Übermittlung im Rahmen des EU-US Data Privacy Framework + Standardvertragsklauseln (Art. 46 DSGVO).
• Sentry (Functional Software, Inc., USA), Überwachung unbehandelter Fehler und langsamer Transaktionen. Erhält ausschließlich den Fehler-Stacktrace und die URL (ohne Bodies, Header oder Cookies); Session-Replays werden nur mit deiner Analyse-Einwilligung aktiviert und maskieren standardmäßig sämtliche Texte und Formulareingaben. Übermittlung im Rahmen des EU-US Data Privacy Framework + Standardvertragsklauseln (Art. 46 DSGVO).
• Better Stack, Inc. (USA), zentrale Erfassung der Serverlogs und Verfügbarkeitsüberwachung (Uptime). Erhält ausschließlich Server-Ereignisse ohne personenbezogene Daten im Klartext (Nutzer-Identifikatoren werden vor dem Verlassen unserer Infrastruktur per FNV-1a-Hash anonymisiert). Übermittlung im Rahmen des EU-US Data Privacy Framework + Standardvertragsklauseln (Art. 46 DSGVO).

Wir verkaufen keine personenbezogenen Daten und geben diese auch nicht an externe Werbetreibende weiter. Derzeit arbeiten wir mit keinem Marketing- oder Werbeanbieter zusammen (z. B. Retargeting-Pixel); sollten wir dies in Zukunft tun, würden wir dies hier hinzufügen und es würde nur mit deiner ausdrücklichen Zustimmung aktiviert werden.

• Kontodaten: Solange das Konto aktiv ist, sowie weitere 12 Monate nach der Kündigung aus rechtlichen und Sicherheitsgründen.
• OTPs und Sitzungstoken: 15 Minuten (OTP) und bis zu 30 Tage (Sitzung).
• Lesezeichen und Erinnerungen: bis du sie löschst oder das Konto schließt.
• Server-/Zugriffsprotokolle: 30 Tage.
• Feedback-Berichte: 12 Monate, danach anonymisiert (der Inhalt des Berichts bleibt erhalten, ohne mit einem Nutzer verknüpft zu sein).
• Einwilligungsnachweise: 3 Jahre (Nachweispflicht, Art. 7.1 DSGVO).

• Die Sitzung wird in einem HttpOnly- und Secure-Cookie gespeichert (nicht über JavaScript zugänglich) und im JWE-Format signiert.
• Sicherheits-HTTP-Header: HSTS, CSP mit Nonce pro Anfrage, COOP / CORP, restriktive Permissions-Policy.
• Passwörter werden mit bcrypt-Hash in Keycloak gespeichert, niemals im Klartext.
• End-to-End-verschlüsselter Datenverkehr mit TLS 1.3.
• Zugriff auf die Datenbank beschränkt auf die Backend-VPC; kein öffentlicher Internetzugang.

Dir stehen folgende Rechte zu:

• Auskunft (Art. 15 DSGVO): eine Kopie deiner Daten zu erhalten.
• Berichtigung (Art. 16 DSGVO): unrichtige Daten korrigieren zu lassen.
• Löschung (Art. 17 DSGVO, „Recht auf Vergessenwerden“): dein Konto und die damit verbundenen Daten zu löschen.
• Datenübertragbarkeit (Art. 20 DSGVO): deine Daten in einem maschinenlesbaren Format zu erhalten.
• Widerspruch (Art. 21 DSGVO): einer Verarbeitung auf Basis eines berechtigten Interesses zu widersprechen.
• Einschränkung (Art. 18 DSGVO): die Verarbeitung einzuschränken, während eine Streitigkeit geklärt wird.

Um eines dieser Rechte auszuüben, schreib uns an legal@tropixus.com. Wir antworten innerhalb von höchstens 30 Tagen. Du kannst deine Cookie-Einstellungen jederzeit ändern und deine Daten unter Konto > Datenschutz herunterladen oder löschen.

Sie haben das Recht, eine Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen: dem Berliner Beauftragten für Datenschutz und Informationsfreiheit (Friedrichstr. 219, 10969 Berlin) oder der für Ihren Wohnort zuständigen Landesbehörde.