Datenschutzerklärung

1. Überblick und Verantwortlicher

Die bvents GmbH nimmt den Schutz deiner persönlichen Daten sehr ernst. Diese Datenschutzerklärung informiert dich über die Verarbeitung personenbezogener Daten bei der Nutzung unserer Event-Plattform bvents.de.

Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO:

bvents GmbH
Bernhardstr. 25
53721 Siegburg
Deutschland

Amtsgericht Siegburg, HRB 19511

Vertreten durch die Geschäftsführer: Marcel Böttcher, Patrick Maj (beide einzelvertretungsberechtigt)

Kontakt:
E-Mail: info@bvents.de
Telefon: +49 177 8781999

Kontakt in Datenschutzangelegenheiten:
E-Mail: legal@bvents.de

2. Grundsätzliches zur Datenverarbeitung

Als Vermittlungsplattform für Eventdienstleistungen verarbeiten wir personenbezogene Daten, um dir eine optimale Nutzung unserer Services zu ermöglichen.

Arten der verarbeiteten Daten

Kontakt- und Grunddaten:

1. Name, E-Mail-Adresse, Telefonnummer
2. Firmen- und Organisationsdaten (für Dienstleister)
3. Postadresse und Standortinformationen

Nutzungsdaten:

1. IP-Adresse, Browser-Informationen
2. Besuchte Seiten und Verweildauer
3. Such- und Filtereinstellungen
4. Favoriten und gespeicherte Listings

Inhaltsdaten:

1. Listing-Beschreibungen und Medieninhalte
2. Bewertungen und Kommentare
3. Nachrichten zwischen Nutzern

3. Zwecke und Rechtsgrundlagen der Datenverarbeitung

Plattform-Bereitstellung

Zweck: Vermittlung zwischen Eventdienstleistern und Kunden
Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

Die Verarbeitung umfasst:

1. Registrierung und Account-Verwaltung
2. Darstellung von Listings und Dienstleistungen
3. Kontaktvermittlung zwischen Nutzern
4. Bewertungs- und Feedbacksystem

Kommunikation

Zweck: Kundenbetreuung und Service-Kommunikation
Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)

Die Verarbeitung umfasst:

1. Beantwortung von Anfragen
2. Technischer Support
3. Benachrichtigungen über Plattform-Updates

Marketing (nur mit Einwilligung)

Zweck: Newsletter und Informationen über neue Features
Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Plattform-Nachrichten zwischen Kunden und Dienstleistern

Zweck: Ermöglichung einer direkten, nachvollziehbaren Kommunikation zwischen Kunden und Dienstleistern zur Anbahnung und Abwicklung von Aufträgen.

Rechtsgrundlage:

• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für die Zustellung und Speicherung der Nachrichten als Kernbestandteil der Plattformleistung (Vermittlung zwischen Kunden und Dienstleistern)
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für:
  • Die temporäre Speicherung eingehender E-Mails in unserem Mail-Postfach als Transport-Nebenprodukt (Betriebsnotwendigkeit)
  • Missbrauchs-, Spam- und Betrugsprävention (Plattformintegrität)
  • Den anlassbezogenen administrativen Zugriff nach Art. 32 DSGVO (siehe „Wer hat Zugriff?" weiter unten)

Wie funktioniert das technisch?

Wenn du als Kunde eine Anfrage an einen Dienstleister stellst, legen wir in unserer Datenbank eine Konversation an. Diese Konversation bekommt eine eindeutige, plattform-interne E-Mail-Adresse (z. B. c-abc123@bvents.de). Diese Adresse dient ausschließlich dem Routing: Antwortet der Dienstleister per E-Mail, wird die Antwort automatisch deiner Konversation zugeordnet und als Nachricht gespeichert — du siehst sie in deinem Postfach auf bvents.de.

Dieselbe Mechanik gilt in die andere Richtung: Antwortet der Dienstleister per E-Mail, wird seine Nachricht über unsere E-Mail-Infrastruktur empfangen, automatisiert verarbeitet und in der Datenbank abgelegt.

Welche Daten werden gespeichert?

1. Absender- und Empfänger-E-Mail-Adresse, Absendername
2. Inhalt der Nachricht im Klartext
3. Zeitstempel und technische Metadaten (z. B. Nachrichten-ID, Gmail-Message-ID zur Duplikat-Erkennung)
4. Bezug zum jeweiligen Listing und zur Konversation (short_id)

Die Nachrichten werden in unserer Datenbank (Supabase, EU-Region) im Klartext gespeichert. Parallel verbleiben eingehende E-Mails zusätzlich für bis zu 60 Tage im zugehörigen E-Mail-Konto (Google Workspace) — nach 30 Tagen werden sie in den Papierkorb verschoben und anschließend von Gmail endgültig gelöscht. Eine Ende-zu-Ende-Verschlüsselung findet nicht statt; sende uns daher keine besonders sensiblen Daten (z. B. Gesundheitsdaten, Zahlungsdaten) über die Nachrichtenfunktion.

Wer hat Zugriff?

1. Du und dein jeweiliger Konversationspartner über das Plattform-Postfach

2. Unsere Auftragsverarbeiter für Hosting und E-Mail-Zustellung (Supabase Inc., Google Ireland Ltd. / Google LLC) — vertraglich gebunden nach Art. 28 DSGVO

3. Ausgewählte Mitarbeiter:innen der bvents GmbH mit Administrator-Rechten, ausschließlich in diesen Fällen:

   • Konkreter technischer Fehlerbericht eines Nutzers (z. B. „Meine Nachricht kam nicht an")
   • Missbrauchs-, Spam- oder Betrugsmeldung durch einen Nutzer oder Partner
   • DSA-Meldung (rechtswidrige Inhalte)
   • Behördliche Anfrage mit Rechtsgrundlage
   • Auskunftsersuchen nach Art. 15 DSGVO durch den Betroffenen selbst
   • Explizite schriftliche Einwilligung des Betroffenen

   Routinemäßiges Mitlesen findet nicht statt. Administrative Zugriffe werden protokolliert. Das interne Reglement ist in docs/legal/admin-access-messaging.md dokumentiert.

Speicherdauer

• Nachrichten in der Datenbank: bis zur Löschung deines Accounts oder der Konversation. Sofern einzelne Nachrichten Teil einer handels- oder steuerrechtlich aufbewahrungspflichtigen Korrespondenz werden (z. B. verbindliche Auftragsbestätigungen), können sie für die Dauer der gesetzlichen Aufbewahrungsfristen (bis zu 10 Jahre nach § 257 HGB, § 147 AO) in zugriffsbeschränkter Form weiter aufbewahrt werden. In diesem Fall informieren wir dich bei einer Löschanfrage über die Einschränkung (Art. 18 DSGVO).
• Eingehende Roh-E-Mails im Postfach: maximal 60 Tage (30 Tage bis zur Verschiebung in den Papierkorb, weitere 30 Tage bis zur endgültigen Löschung durch Gmail).

Empfänger in Drittländern

Der E-Mail-Empfang erfolgt über Google Workspace (Google Ireland Ltd., EU-Niederlassung; Google LLC, USA — Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO). Weitere Informationen: Google Workspace Data Processing Amendment.

Deine Rechte

Du kannst jederzeit Auskunft über deine Nachrichten verlangen (Art. 15 DSGVO), deren Berichtigung (Art. 16), Löschung (Art. 17) oder Einschränkung der Verarbeitung (Art. 18) fordern. Die Löschung einzelner Nachrichten kann eingeschränkt sein, wenn ein berechtigtes Interesse deines Konversationspartners (Geschäftskorrespondenz) oder eine gesetzliche Aufbewahrungspflicht entgegensteht — in diesem Fall wird die Nachricht nicht gelöscht, sondern ihre Verarbeitung eingeschränkt (Art. 18 DSGVO). Wende dich dazu an legal@bvents.de.

4. Cookies und Tracking-Technologien

Consent-Management

Wir nutzen Klaro! als Open-Source-Lösung für unser Cookie-Consent-Banner. Klaro ist ein Projekt der KIProtect GmbH (Adalbertstr. 8, 10999 Berlin, Deutschland) und steht unter der BSD-3-Clause-Lizenz. Die Bibliothek läuft als JavaScript-Code Teil unseres Frontend-Bundles direkt in deinem Browser. Es findet keine Datenübertragung an externe CMP-Anbieter statt. Deine Einwilligungen werden in einem First-Party-Cookie (bvents-cookie-consent, Lebensdauer 12 Monate) lokal in deinem Browser gespeichert.

Notwendige Cookies

Zweck: Grundfunktionen der Website
Speicherdauer: Session oder bis zu 1 Jahr
Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)

1. Session-Management und Anmeldestatus (Supabase Auth)
2. Sicherheitsfeatures und CSRF-Schutz
3. Cookie-Consent-Einstellungen (bvents-cookie-consent) — Rechtsgrundlage hier: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung zur Dokumentation der Einwilligung gemäß Art. 7 Abs. 1 DSGVO i.V.m. § 25 TTDSG); für die technische Speicherung zusätzlich § 25 Abs. 2 Nr. 2 TTDSG (unbedingt erforderlich).

Google Analytics (nur mit Einwilligung)

Zweck: Verbesserung der Nutzererfahrung
Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Wir nutzen Google Analytics 4 (Mess-ID: G-VYZ4H12HJ0), um zu verstehen, wie unsere Plattform genutzt wird. Google Analytics wird erst nach deiner ausdrücklichen Einwilligung über das Cookie-Banner geladen. Die erhobenen Daten umfassen Seitenaufrufe, Verweildauer, Klick-Events, Herkunft der Besucher, ungefähren Standort auf Stadt-/Länderebene aus deiner IP-Adresse, Gerätetyp und Browser. IP-Adressen werden von Google nach kurzer Verarbeitung zur Standortermittlung verworfen und nicht mit weiteren Daten verknüpft. Konzernintern werden Daten an Google LLC in den USA übertragen. Rechtsgrundlage für den Transfer ist Art. 49 Abs. 1 lit. a DSGVO (Einwilligung) i.V.m. dem EU-US Data Privacy Framework (Google LLC ist DPF-zertifiziert). Weitere Informationen findest du in der Datenschutzerklärung von Google.

Cookie-Verwaltung

Du kannst deine erteilten Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen oder anpassen (Art. 7 Abs. 3 DSGVO). Der Widerruf berührt nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung.

Möglichkeiten:

1. Über den Link „Cookie-Einstellungen" im Footer jeder Seite
2. In den Browsereinstellungen
3. Per E-Mail an legal@bvents.de

5. Datenübertragung und Drittanbieter-Services

Hosting und Infrastruktur

Vercel Inc. (440 N Barranca Ave #4133, Covina, CA 91723, USA)
Unsere Website wird über Vercel gehostet. Die Datenverarbeitung erfolgt auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Weitere Informationen: Vercel Privacy Policy.

Supabase Inc. (970 Toa Payoh North #07-04, Singapore 318992)
Wir verwenden Supabase für Authentifizierung, Datenbank und Dateispeicherung. Die Datenverarbeitung erfolgt in der EU (Irland). Supabase Inc. hat ihren Firmensitz außerhalb der EU; die Datenübertragung erfolgt auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Weitere Informationen: Supabase Privacy Policy.

Vercel Speed Insights

Anbieter: Vercel Inc. (440 N Barranca Ave #4133, Covina, CA 91723, USA)
Zweck: Messung und Optimierung der Website-Performance (Web Vitals wie Ladezeit, Interaktivität)
Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)

Speed Insights erfasst anonymisierte Performance-Daten deines Browsers, um die Ladegeschwindigkeit unserer Plattform zu verbessern. Es werden keine personenbezogenen Daten gespeichert. Die Datenverarbeitung erfolgt durch Vercel auf Grundlage von Standardvertragsklauseln.

Google Maps

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
Zweck: Darstellung von Karteninhalten und Standorten auf Listing- und Suchseiten
Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Bei der Nutzung von Google Maps werden Daten (u.a. IP-Adresse, Standortdaten) an Google übertragen. Konzernintern werden Daten an Google LLC in den USA übertragen. Rechtsgrundlage für den Transfer ist Art. 49 Abs. 1 lit. a DSGVO (Einwilligung) i.V.m. dem EU-US Data Privacy Framework. Google Maps wird erst nach deiner Einwilligung geladen. Weitere Informationen findest du in der Datenschutzerklärung von Google.

Google OAuth (Anmeldung mit Google)

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
Zweck: Vereinfachte Registrierung und Anmeldung über dein Google-Konto
Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

Wenn du dich über Google anmeldest, erhalten wir von Google deinen Namen, deine E-Mail-Adresse und dein Profilbild. Diese Daten verwenden wir ausschließlich zur Erstellung und Verwaltung deines Accounts. Weitere Informationen findest du in der Datenschutzerklärung von Google.

Google Analytics

Siehe Abschnitt 4 (Cookies und Tracking-Technologien).

Google Fonts (lokal eingebunden)

Wir verwenden Schriftarten von Google Fonts (DM Sans, Nunito). Diese werden nicht von Google-Servern geladen, sondern lokal über unseren eigenen Server ausgeliefert. Es findet dabei keine Datenübertragung an Google statt.

Klaro! (Cookie-Consent)

Klaro! ist eine Open-Source-JavaScript-Bibliothek (BSD-3-Clause-Lizenz) der KIProtect GmbH (Adalbertstr. 8, 10999 Berlin, Deutschland). KIProtect ist Software-Lieferant der Bibliothek, nicht Empfänger personenbezogener Daten und kein Auftragsverarbeiter im Sinne Art. 28 DSGVO. Die Bibliothek ist Bestandteil des bvents.de-Frontend-Bundles und läuft ausschließlich First-Party im Browser des Nutzers. Es findet keine Datenübertragung an KIProtect oder andere Dritte statt. Siehe Abschnitt 4 (Consent-Management) für Details zu Speicherdauer und Cookie.

OpenAI (Smart-Planning KI-Empfehlungen)

Anbieter: OpenAI, L.L.C., 1455 3rd Street, San Francisco, CA 94158, USA
Zweck: KI-gestützte Generierung personalisierter Anbieter-Empfehlungen im Smart-Planning-Assistenten
Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) — Verbesserung der Nutzererfahrung durch passendere Empfehlungen
Verarbeitete Daten: Die von dir im Smart-Planning-Wizard eingegebenen Vorlieben werden serverseitig an OpenAI übermittelt:

• Art des Anlasses (z.B. „Hochzeit", „Firmenfeier")
• Ungefähre Gästeanzahl
• Gewünschter Stil (z.B. „Rustikal", „Modern")
• Indoor-/Outdoor-Präferenz
• Prioritäten (z.B. „Catering", „Fotograf")
• Eine Liste der bvents.de-Anbieter aus dem aktuellen Suchergebnis (öffentliche Inserate-Daten, keine personenbezogenen Anbieter-Daten)

Was NICHT übermittelt wird: dein Name, deine E-Mail-Adresse, dein bvents-Account-Identifikator oder deine IP-Adresse. Der Aufruf läuft serverseitig über unseren Vercel-Hosting-Server — OpenAI sieht nur die Vercel-Server-IP, nicht deine.

Modell: OpenAI gpt-4o-mini. Tagesausgaben-Limit serverseitig begrenzt.

Drittland-Transfer: OpenAI verarbeitet Daten in den USA. Rechtsgrundlage für den Transfer ist das EU-US Data Privacy Framework (Art. 45 DSGVO) — OpenAI L.L.C. ist seit März 2025 DPF-zertifiziert (Liste der zertifizierten Unternehmen: www.dataprivacyframework.gov). OpenAI hat sich vertraglich verpflichtet, übermittelte Daten nicht für das Training ihrer Modelle zu verwenden (API-Nutzung, nicht ChatGPT). Speicherdauer: maximal 30 Tage für Missbrauchs-Monitoring, danach Löschung. Weitere Informationen: OpenAI Privacy Policy.

Auftragsverarbeitungs-Vertrag: Es besteht ein Data Processing Addendum (DPA) zwischen bvents.de und OpenAI, das die Datenverarbeitung regelt.

6. Datensicherheit

Technische Schutzmaßnahmen

1. SSL/TLS-Verschlüsselung für alle Datenübertragungen
2. Sichere Datenbankverbindungen mit Verschlüsselung
3. Regelmäßige Sicherheitsupdates aller Systeme
4. Backup-Strategien zum Schutz vor Datenverlust

Organisatorische Maßnahmen

1. Zugriffsbeschränkungen auf personenbezogene Daten
2. Mitarbeiterschulungen zum Datenschutz
3. Regelmäßige Sicherheitsaudits

7. Deine Rechte als betroffene Person

Auskunftsrecht (Art. 15 DSGVO)

Du hast das Recht, Auskunft über deine gespeicherten Daten zu erhalten, einschließlich Verarbeitungszwecken und Empfängern.

Berichtigungsrecht (Art. 16 DSGVO)

Du kannst die Berichtigung unrichtiger Daten verlangen.

Löschungsrecht (Art. 17 DSGVO)

Du hast das Recht auf Löschung deiner Daten, wenn:

1. Die Daten nicht mehr erforderlich sind
2. Du deine Einwilligung widerrufst
3. Die Daten unrechtmäßig verarbeitet wurden

Einschränkung der Verarbeitung (Art. 18 DSGVO)

Du kannst die Einschränkung der Verarbeitung verlangen, wenn du die Richtigkeit der Daten bestreitest.

Datenübertragbarkeit (Art. 20 DSGVO)

Du hast das Recht, deine Daten in einem strukturierten, maschinenlesbaren Format zu erhalten.

Widerspruchsrecht (Art. 21 DSGVO)

Du kannst jederzeit Widerspruch gegen die Verarbeitung einlegen, die auf berechtigten Interessen basiert.

Widerruf der Einwilligung

Eine erteilte Einwilligung kannst du jederzeit widerrufen. Der Widerruf wirkt nur für die Zukunft.

8. Besondere Bestimmungen für Eventdienstleister

Geschäftsdaten

Als Dienstleister auf unserer Plattform verarbeitest du zusätzlich:

1. Kunden-Kontaktdaten für die Geschäftsanbahnung
2. Buchungs- und Vertragsdaten
3. Kommunikationsdaten mit potenziellen Kunden

Datenverantwortung

Für die direkte Kommunikation und Vertragsabwicklung mit Kunden bist du eigenverantwortlich und musst eigene Datenschutzmaßnahmen treffen.

9. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es erforderlich ist:

1. Account-Daten: Bis zur Kündigung des Accounts
2. Vertragsrelevante Daten: Bis zu 10 Jahre (gesetzliche Aufbewahrungspflichten)
3. Marketing-Daten: Bis zum Widerruf der Einwilligung
4. Analytics-Daten: Maximal 14 Monate (Google Analytics), maximal 12 Monate für eigene Aufrufstatistiken

10. Änderungen der Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung zu aktualisieren, um sie an geänderte Rechtslage oder neue Features anzupassen.

Wesentliche Änderungen teilen wir dir per E-Mail mit und bitten um deine erneute Einwilligung, wo erforderlich.

11. Beschwerderecht

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung deiner Daten zu beschweren:

Landesbeauftragte für Datenschutz und Informationsfreiheit NRW
Kavalleriestraße 2-4
40213 Düsseldorf
E-Mail: poststelle@ldi.nrw.de

12. Hinweis zur Umfirmierung

Seit dem 13.04.2026 ist die bvents GmbH (Bernhardstr. 25, 53721 Siegburg, Amtsgericht Siegburg HRB 19511) Verantwortliche für die Verarbeitung personenbezogener Daten auf bvents.de im Sinne des Art. 4 Nr. 7 DSGVO. Die technische Verarbeitung und die Ansprechpartner bleiben unverändert. Wenn du Fragen zum Übergang hast oder deine Einwilligung anpassen möchtest, erreichst du uns unter legal@bvents.de.