Datenschutzerklärung
Datenschutzerklärung
1. Überblick und Verantwortlicher
Die bvents GmbH nimmt den Schutz deiner persönlichen Daten sehr ernst. Diese Datenschutzerklärung informiert dich über die Verarbeitung personenbezogener Daten bei der Nutzung unserer Event-Plattform bvents.de.
Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO:
bvents GmbH
Bernhardstr. 25
53721 Siegburg
Deutschland
Amtsgericht Siegburg, HRB 19511
Vertreten durch die Geschäftsführer: Marcel Böttcher, Patrick Maj (beide einzelvertretungsberechtigt)
Kontakt:
E-Mail: info@bvents.de
Telefon: +49 177 8781999
Kontakt in Datenschutzangelegenheiten:
E-Mail: legal@bvents.de
2. Grundsätzliches zur Datenverarbeitung
Als Vermittlungsplattform für Eventdienstleistungen verarbeiten wir personenbezogene Daten, um dir eine optimale Nutzung unserer Services zu ermöglichen.
Arten der verarbeiteten Daten
Kontakt- und Grunddaten:
- Name, E-Mail-Adresse, Telefonnummer
- Firmen- und Organisationsdaten (für Dienstleister)
- Postadresse und Standortinformationen
Nutzungsdaten:
- IP-Adresse, Browser-Informationen
- Besuchte Seiten und Verweildauer
- Such- und Filtereinstellungen
- Favoriten und gespeicherte Listings
Inhaltsdaten:
- Listing-Beschreibungen und Medieninhalte
- Bewertungen und Kommentare
- Nachrichten zwischen Nutzern
3. Zwecke und Rechtsgrundlagen der Datenverarbeitung
Plattform-Bereitstellung
Zweck: Vermittlung zwischen Eventdienstleistern und Kunden
Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
Die Verarbeitung umfasst:
- Registrierung und Account-Verwaltung
- Darstellung von Listings und Dienstleistungen
- Kontaktvermittlung zwischen Nutzern
- Bewertungs- und Feedbacksystem
Abgebrochene Registrierung: Bei der Anmeldung wird dein Konto angelegt, bevor du unseren Allgemeinen Geschäftsbedingungen zustimmst. Brichst du die Anmeldung an dieser Stelle ab, ohne den AGB zuzustimmen, wird das bereits angelegte Konto automatisch gelöscht (in der Regel innerhalb von 24 bis 25 Stunden).
Kommunikation
Zweck: Kundenbetreuung und Service-Kommunikation
Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)
Die Verarbeitung umfasst:
- Beantwortung von Anfragen
- Technischer Support
- Benachrichtigungen über Plattform-Updates
Marketing (nur mit Einwilligung)
Zweck: Newsletter und Informationen über neue Features
Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
Plattform-Nachrichten zwischen Kunden und Dienstleistern
Zweck: Ermöglichung einer direkten, nachvollziehbaren Kommunikation zwischen Kunden und Dienstleistern zur Anbahnung und Abwicklung von Aufträgen.
Rechtsgrundlage:
- Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für die Zustellung und Speicherung der Nachrichten als Kernbestandteil der Plattformleistung (Vermittlung zwischen Kunden und Dienstleistern)
- Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für:
- Die temporäre Speicherung eingehender E-Mails in unserem Mail-Postfach als Transport-Nebenprodukt (Betriebsnotwendigkeit)
- Missbrauchs-, Spam- und Betrugsprävention (Plattformintegrität)
- Den anlassbezogenen administrativen Zugriff nach Art. 32 DSGVO (siehe „Wer hat Zugriff?" weiter unten)
Wie funktioniert das technisch?
Wenn du als Kunde eine Anfrage an einen Dienstleister stellst, legen wir in unserer Datenbank eine Konversation an. Diese Konversation bekommt eine eindeutige, plattform-interne E-Mail-Adresse (z. B. c-abc123@bvents.de). Diese Adresse dient ausschließlich dem Routing: Antwortet der Dienstleister per E-Mail, wird die Antwort automatisch deiner Konversation zugeordnet und als Nachricht gespeichert — du siehst sie in deinem Postfach auf bvents.de.
Dieselbe Mechanik gilt in die andere Richtung: Antwortet der Dienstleister per E-Mail, wird seine Nachricht über unsere E-Mail-Infrastruktur (Empfang via Google Workspace) empfangen, automatisiert verarbeitet und in der Datenbank abgelegt.
Welche Daten werden gespeichert?
- Absender- und Empfänger-E-Mail-Adresse, Absendername
- Inhalt der Nachricht im Klartext
- Zeitstempel und technische Metadaten (z. B. Nachrichten-ID, Gmail-Message-ID zur Duplikat-Erkennung)
- Bezug zum jeweiligen Listing und zur Konversation (
short_id) - Optional angehängte Bilder (Chat-Bild-Anhänge) samt technischer Angaben (Dateiname, Dateityp, Dateigröße, Bildabmessungen)
Die Nachrichten werden in unserer Datenbank (Supabase, EU-Region) im Klartext gespeichert; der Versand der Benachrichtigungen über diese Nachrichten erfolgt über einen Dienstleister in den USA (Resend — siehe „Empfänger in Drittländern"). Parallel verbleiben eingehende E-Mails zusätzlich für bis zu 60 Tage im zugehörigen E-Mail-Konto (Google Workspace) — nach 30 Tagen werden sie in den Papierkorb verschoben und anschließend von Gmail endgültig gelöscht. Eine Ende-zu-Ende-Verschlüsselung findet nicht statt; sende uns daher keine besonders sensiblen Daten (z. B. Gesundheitsdaten, Zahlungsdaten) über die Nachrichtenfunktion.
Bilder im Chat: Hängst du einer Nachricht ein Bild an, speichern wir es in einem privaten Datei-Speicher (Supabase Storage, EU-Region), auf den nur du und dein Konversationspartner zugreifen können. Aus Datenschutzgründen entfernen wir dabei automatisch die in Fotos oft enthaltenen Standort- und Kamera-Metadaten (EXIF/GPS), bevor das Bild gespeichert wird. Erhält ein nicht registrierter Gast (der kein Postfach auf bvents.de hat) eine Nachricht mit Bild, binden wir das Bild über einen zeitlich begrenzten Link (72 Stunden gültig) direkt in die Benachrichtigungs-E-Mail ein. Diesen Link kannst du ohne Anmeldung öffnen — leite eine solche E-Mail deshalb nur an Personen weiter, die das Bild sehen dürfen. Nach Ablauf der 72 Stunden ist der Link ungültig. Registrierte Nutzer sehen das Bild direkt im Chat auf bvents.de; für sie wird kein solcher Link versendet.
Wer hat Zugriff?
Du und dein jeweiliger Konversationspartner über das Plattform-Postfach
Unsere Auftragsverarbeiter für Hosting und E-Mail-Zustellung (Supabase Inc., Google Ireland Ltd. / Google LLC, Plus Five Five, Inc. / Resend) — vertraglich gebunden nach Art. 28 DSGVO
Ausgewählte Mitarbeiter:innen der bvents GmbH mit Administrator-Rechten, ausschließlich in diesen Fällen:
- Konkreter technischer Fehlerbericht eines Nutzers (z. B. „Meine Nachricht kam nicht an")
- Missbrauchs-, Spam- oder Betrugsmeldung durch einen Nutzer oder Partner
- DSA-Meldung (rechtswidrige Inhalte)
- Behördliche Anfrage mit Rechtsgrundlage
- Auskunftsersuchen nach Art. 15 DSGVO durch den Betroffenen selbst
- Explizite schriftliche Einwilligung des Betroffenen
Routinemäßiges Mitlesen findet nicht statt. Administrative Zugriffe werden protokolliert. Das interne Reglement ist in
docs/legal/admin-access-messaging.mddokumentiert und erfasst ausdrücklich auch Bild-Anhänge aus Chats — ein Abruf angehängter Bilder unterliegt denselben anlassbezogenen Regeln wie der Zugriff auf Text.
Speicherdauer
- Nachrichten in der Datenbank: bis zur Löschung deines Accounts oder der Konversation. Sofern einzelne Nachrichten Teil einer handels- oder steuerrechtlich aufbewahrungspflichtigen Korrespondenz werden (z. B. verbindliche Auftragsbestätigungen), können sie für die Dauer der gesetzlichen Aufbewahrungsfristen (bis zu 10 Jahre nach § 257 HGB, § 147 AO) in zugriffsbeschränkter Form weiter aufbewahrt werden. In diesem Fall informieren wir dich bei einer Löschanfrage über die Einschränkung (Art. 18 DSGVO).
- Eingehende Roh-E-Mails im Postfach: maximal 60 Tage (30 Tage bis zur Verschiebung in den Papierkorb, weitere 30 Tage bis zur endgültigen Löschung durch Gmail).
- Chat-Bild-Anhänge: bis zur Löschung der zugehörigen Nachricht oder Konversation; danach wird die Bilddatei automatisch aus dem Speicher entfernt. Bereits an Gäste versendete Bild-Links laufen spätestens nach 72 Stunden ab.
Empfänger in Drittländern
Der E-Mail-Empfang (Antworten der Gegenseite an die Konversationsadresse c-…@bvents.de) erfolgt über Google Workspace (Google Ireland Ltd., EU-Niederlassung; Google LLC, USA — Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO). Weitere Informationen: Google Workspace Data Processing Amendment. Der gesamte ausgehende E-Mail-Versand — System-Benachrichtigungen ebenso wie die Anfrage-/Antwort-Benachrichtigungen aus dem Nachrichtensystem (inkl. Nachrichteninhalt) — erfolgt über Plus Five Five, Inc. (Resend), USA (siehe Abschnitt 5) — Rechtsgrundlage EU-US Data Privacy Framework (Art. 45 DSGVO), ergänzend Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).
Deine Rechte
Du kannst jederzeit Auskunft über deine Nachrichten verlangen (Art. 15 DSGVO), deren Berichtigung (Art. 16), Löschung (Art. 17) oder Einschränkung der Verarbeitung (Art. 18) fordern. Die Löschung einzelner Nachrichten kann eingeschränkt sein, wenn ein berechtigtes Interesse deines Konversationspartners (Geschäftskorrespondenz) oder eine gesetzliche Aufbewahrungspflicht entgegensteht — in diesem Fall wird die Nachricht nicht gelöscht, sondern ihre Verarbeitung eingeschränkt (Art. 18 DSGVO). Wende dich dazu an legal@bvents.de.
Auswertungen und anonymer Marktvergleich für Anbieter
Angemeldeten Anbietern stellen wir im Dashboard eine Auswertung zur Verfügung. Diese umfasst zwei Bestandteile:
a) Eigene Kennzahlen: Wir werten die Aufrufe, Anfragen und Kontaktklicks deiner eigenen Inserate aus und stellen sie dir als Statistik dar (z.B. Verlauf, Antwortquote, Vergleich der Zeiträume). Verarbeitet werden dabei ausschließlich Ereignisdaten zu deinen eigenen Inseraten (Inserats-ID, Zeitstempel, Art des Ereignisses), keine personenbezogenen Daten der Besucher.
b) Anonymer Marktvergleich: Zusätzlich zeigen wir dir anonymisierte Vergleichswerte aus dem Markt. Dazu gehören die anonyme Nachfrage in deinen Kategorien (z.B. häufige Anlässe, Gästezahlen, Budgets und Saison aus Planungen von Veranstaltern) sowie ein Leistungsvergleich deines Inserats mit vergleichbaren Anbietern derselben Kategorie in deinem regionalen Umkreis (durchschnittliche Aufrufe, Anfragen und Kontaktklicks). Diese Vergleichswerte sind aggregiert und anonymisiert. Wir zeigen sie nur ab einer Mindestzahl von fünf vergleichbaren Anbietern an und geben keine Namen, Kennungen oder Einzelwerte fremder Anbieter preis. Aus den angezeigten Werten lässt sich kein einzelner anderer Anbieter erkennen.
Damit diese Vergleiche möglich sind, fließen umgekehrt auch deine eigenen Kennzahlen in anonymisierter, aggregierter Form in die Vergleichswerte ein, die anderen Anbietern derselben Kategorie und Region angezeigt werden. Auch dabei werden weder dein Name noch deine Inserats-Kennung noch deine Einzelwerte für andere sichtbar.
Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) — unser Interesse und das der Anbieter an aussagekräftigen, vergleichbaren Markt- und Leistungs-Insights, die bei der Gestaltung und Verbesserung der Inserate helfen. Soweit Anbieter Einzelunternehmer und damit natürliche Personen sind, beruht die Anzeige aggregierter Vergleichswerte ebenfalls auf dieser Grundlage; ein einzelner Anbieter ist aus den aggregierten Werten nicht identifizierbar.
Standortbasierte Umkreissuche („In der Nähe")
Zweck: Anzeige von Angeboten in deiner Umgebung
Rechtsgrundlage: Deine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) sowie § 25 Abs. 1 TDDDG für den Zugriff auf deinen Gerätestandort
Wenn du in der Suche auf „In der Nähe" tippst, fragt dich dein Browser, ob bvents.de auf deinen Standort zugreifen darf. Wir lesen deinen Standort ausschließlich nach diesem aktiven Tippen und nur dann aus — es gibt kein Mitlaufen im Hintergrund und keine dauerhafte Standortverfolgung.
Wir holen bewusst nur eine grobe Position (keine punktgenaue Ortung) und runden deine Koordinaten sofort, bevor wir sie verwenden. Aus dieser gerundeten Position berechnen wir einen Suchradius und zeigen dir passende Angebote. Deine Position wird dabei nicht an Google oder andere Dritte übermittelt und nicht in eine Adresse zurückübersetzt — auf der Trefferseite steht lediglich „In deiner Nähe". Wir speichern deinen Standort nicht dauerhaft; in unserer Suchstatistik wird er für diese Suchvariante nicht hinterlegt.
Du kannst die Standortfreigabe jederzeit in deinen Browsereinstellungen widerrufen. Ohne Freigabe kannst du wie gewohnt nach Stadt oder Adresse suchen.
4. Cookies und Tracking-Technologien
Consent-Management
Wir nutzen Klaro! als Open-Source-Lösung für unser Cookie-Consent-Banner. Klaro ist ein Projekt der KIProtect GmbH (Adalbertstr. 8, 10999 Berlin, Deutschland) und steht unter der BSD-3-Clause-Lizenz. Die Bibliothek läuft als JavaScript-Code Teil unseres Frontend-Bundles direkt in deinem Browser. Es findet keine Datenübertragung an externe CMP-Anbieter statt. Deine Einwilligungen werden in einem First-Party-Cookie (bvents-cookie-consent, Lebensdauer 12 Monate) lokal in deinem Browser gespeichert.
Notwendige Cookies
Zweck: Grundfunktionen der Website
Speicherdauer: Session oder bis zu 1 Jahr
Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)
- Session-Management und Anmeldestatus (Supabase Auth)
- Sicherheitsfeatures und CSRF-Schutz
- Cookie-Consent-Einstellungen (
bvents-cookie-consent) — Rechtsgrundlage hier: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung zur Dokumentation der Einwilligung gemäß Art. 7 Abs. 1 DSGVO i.V.m. § 25 TTDSG); für die technische Speicherung zusätzlich § 25 Abs. 2 Nr. 2 TTDSG (unbedingt erforderlich). - „Willkommen zurück"-Anmeldehilfe (
bvents:last-account:v1) — Wenn du dich anmeldest, merkt sich dein Browser lokal auf diesem Gerät deinen Vornamen, deine E-Mail-Adresse und die zuletzt genutzte Anmeldemethode (z.B. „Google" oder „Anmeldecode per E-Mail"), damit dich der Login beim nächsten Mal mit Namen und maskierter E-Mail begrüßt, dir die passende Anmeldemethode vorschlägt und du dir mit einem Tap einen Anmeldecode schicken lassen kannst, ohne deine E-Mail erneut einzutippen. Die gespeicherte Anmeldemethode ist lediglich ein Komfort-Hinweis und enthält keine Zugangsdaten. Diese Angaben bleiben ausschließlich in deinem Browser (localStorage), werden nicht an uns oder Dritte übertragen und dienen keiner Auswertung. Du kannst sie jederzeit über „Das bist nicht du?" im Anmeldefenster oder durch Leeren der Browserdaten entfernen. Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (für die Bereitstellung dieser Anmeldefunktion erforderlich) sowie Art. 6 Abs. 1 lit. f DSGVO (unser berechtigtes Interesse an einem komfortablen, sicheren Login).
Google Analytics (nur mit Einwilligung)
Zweck: Verbesserung der Nutzererfahrung
Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
Wir nutzen Google Analytics 4 (Mess-ID: G-VYZ4H12HJ0), um zu verstehen, wie unsere Plattform genutzt wird. Google Analytics wird erst nach deiner ausdrücklichen Einwilligung über das Cookie-Banner geladen. Die erhobenen Daten umfassen Seitenaufrufe, Verweildauer, Klick-Events, Herkunft der Besucher, ungefähren Standort auf Stadt-/Länderebene aus deiner IP-Adresse, Gerätetyp und Browser. IP-Adressen werden von Google nach kurzer Verarbeitung zur Standortermittlung verworfen und nicht mit weiteren Daten verknüpft. Konzernintern werden Daten an Google LLC in den USA übertragen. Rechtsgrundlage für den Transfer ist Art. 49 Abs. 1 lit. a DSGVO (Einwilligung) i.V.m. dem EU-US Data Privacy Framework (Google LLC ist DPF-zertifiziert). Weitere Informationen findest du in der Datenschutzerklärung von Google.
Cookie-Verwaltung
Du kannst deine erteilten Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen oder anpassen (Art. 7 Abs. 3 DSGVO). Der Widerruf berührt nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung.
Möglichkeiten:
- Über den Link „Cookie-Einstellungen" im Footer jeder Seite
- In den Browsereinstellungen
- Per E-Mail an legal@bvents.de
5. Datenübertragung und Drittanbieter-Services
Hosting und Infrastruktur
Vercel Inc. (440 N Barranca Ave #4133, Covina, CA 91723, USA)
Unsere Website wird über Vercel gehostet. Die Datenverarbeitung erfolgt auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Weitere Informationen: Vercel Privacy Policy.
Supabase Inc. (970 Toa Payoh North #07-04, Singapore 318992)
Wir verwenden Supabase für Authentifizierung, Datenbank und Dateispeicherung. Die Datenverarbeitung erfolgt in der EU (Irland). Supabase Inc. hat ihren Firmensitz außerhalb der EU; die Datenübertragung erfolgt auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Weitere Informationen: Supabase Privacy Policy.
Plus Five Five, Inc. (d/b/a Resend, 2261 Market Street #5039, San Francisco, CA 94114, USA)
Wir nutzen Resend für den Versand aller ausgehenden System- und Transaktions-E-Mails (z. B. Registrierungs-Bestätigung, Benachrichtigungen zum Status deines Inserats, Support-Bestätigungen sowie Anfrage- und Antwort-Benachrichtigungen aus dem Nachrichtensystem) über unsere Subdomain mail.bvents.de. Rechtsgrundlage der Verarbeitung ist die Erfüllung des Nutzungsvertrags bzw. unser berechtigtes Interesse am zuverlässigen Betrieb der Plattform (Art. 6 Abs. 1 lit. b und lit. f DSGVO). Übermittelt werden dabei deine E-Mail-Adresse und der Inhalt der jeweiligen Benachrichtigung — bei Anfrage-/Antwort-Benachrichtigungen schließt dies den Nachrichteninhalt ein. Eingehende Antworten der Gegenseite werden weiterhin über Google Workspace empfangen (siehe Abschnitt „Plattform-Messaging"). Resend speichert Versand-Logs nur für die zur Zustellung und Fehleranalyse erforderliche Dauer. Resend verarbeitet Daten in den USA; Rechtsgrundlage für den Transfer ist das EU-US Data Privacy Framework (Art. 45 DSGVO — Plus Five Five, Inc. ist DPF-zertifiziert) sowie ergänzend Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Es besteht ein Auftragsverarbeitungsvertrag (Art. 28 DSGVO). Weitere Informationen: Resend Privacy Policy.
Vercel Speed Insights
Anbieter: Vercel Inc. (440 N Barranca Ave #4133, Covina, CA 91723, USA)
Zweck: Messung und Optimierung der Website-Performance (Web Vitals wie Ladezeit, Interaktivität)
Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)
Speed Insights erfasst anonymisierte Performance-Daten deines Browsers, um die Ladegeschwindigkeit unserer Plattform zu verbessern. Es werden keine personenbezogenen Daten gespeichert. Die Datenverarbeitung erfolgt durch Vercel auf Grundlage von Standardvertragsklauseln.
Google Maps
Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
Zweck: Darstellung von Karteninhalten und Standorten auf Listing- und Suchseiten
Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
Bei der Nutzung von Google Maps werden Daten (u.a. IP-Adresse, Standortdaten) an Google übertragen. Konzernintern werden Daten an Google LLC in den USA übertragen. Rechtsgrundlage für den Transfer ist Art. 49 Abs. 1 lit. a DSGVO (Einwilligung) i.V.m. dem EU-US Data Privacy Framework. Google Maps wird erst nach deiner Einwilligung geladen. Weitere Informationen findest du in der Datenschutzerklärung von Google.
Stadtgrenzen aus OpenStreetMap (lokal gespeichert)
Auf der Suchkarte zeigen wir die Verwaltungsgrenze der gesuchten Stadt als gestrichelte Linie. Diese Grenzverläufe stammen aus OpenStreetMap (© OpenStreetMap contributors) und stehen unter der Open Database License (ODbL); auch die von uns vereinfachten Grenzdaten geben wir unter der ODbL weiter. Wir haben die Grenzdaten einmalig importiert und liefern sie von unseren eigenen Servern aus — beim Anzeigen der Stadtgrenze baut dein Browser keine Verbindung zu OpenStreetMap auf und es werden keine personenbezogenen Daten an OpenStreetMap übertragen.
Hörprobe-Einbettung (Spotify / SoundCloud)
Anbieter: Spotify AB, Regeringsgatan 19, 111 53 Stockholm, Schweden · SoundCloud Global Ltd. & Co. KG, Rheinsberger Str. 76/77, 10115 Berlin, Deutschland
Zweck: Anzeige einer Musik-Hörprobe (Track, Album, Playlist, Set oder Profil) im Abschnitt „Hörprobe & Repertoire" auf Inseratsseiten von Bands und DJs
Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
Auf Inseratsseiten von Bands und DJs können Anbieter eine Hörprobe von Spotify und/oder SoundCloud einbetten. Die Hörprobe wird erst geladen, wenn du sie aktiv abspielst — bis dahin zeigen wir nur eine eigene Vorschaufläche und dein Browser baut keine Verbindung zu Spotify oder SoundCloud auf. Erst beim Abspielen werden Daten (u.a. deine IP-Adresse und Browserdaten) an den jeweiligen Anbieter übertragen und der Anbieter kann Cookies setzen.
Beim Abspielen werden personenbezogene Daten (u.a. IP-Adresse und Browserdaten) an den jeweiligen Anbieter übermittelt. Verantwortlich ist bei Spotify die Spotify AB, Stockholm (EWR) und bei SoundCloud — für Nutzer außerhalb der USA — die SoundCloud Global Ltd. & Co. KG, Berlin (EU). Soweit dabei Daten an Dienstleister oder verbundene Unternehmen außerhalb der EU/des EWR (insbesondere in die USA) übermittelt werden, erfolgt dies auf Grundlage der von der EU-Kommission erlassenen Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Du kannst die Einwilligung jederzeit über die Cookie-Einstellungen im Footer widerrufen. Weitere Informationen findest du in der Datenschutzerklärung von Spotify und der Datenschutzerklärung von SoundCloud.
Google OAuth (Anmeldung mit Google)
Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
Zweck: Vereinfachte Registrierung und Anmeldung über dein Google-Konto
Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
Wenn du dich über Google anmeldest, erhalten wir von Google deinen Namen, deine E-Mail-Adresse und dein Profilbild. Diese Daten verwenden wir ausschließlich zur Erstellung und Verwaltung deines Accounts. Weitere Informationen findest du in der Datenschutzerklärung von Google.
Google Analytics
Siehe Abschnitt 4 (Cookies und Tracking-Technologien).
Google Fonts (lokal eingebunden)
Wir verwenden Schriftarten von Google Fonts (DM Sans, Nunito). Diese werden nicht von Google-Servern geladen, sondern lokal über unseren eigenen Server ausgeliefert. Es findet dabei keine Datenübertragung an Google statt.
Klaro! (Cookie-Consent)
Klaro! ist eine Open-Source-JavaScript-Bibliothek (BSD-3-Clause-Lizenz) der KIProtect GmbH (Adalbertstr. 8, 10999 Berlin, Deutschland). KIProtect ist Software-Lieferant der Bibliothek, nicht Empfänger personenbezogener Daten und kein Auftragsverarbeiter im Sinne Art. 28 DSGVO. Die Bibliothek ist Bestandteil des bvents.de-Frontend-Bundles und läuft ausschließlich First-Party im Browser des Nutzers. Es findet keine Datenübertragung an KIProtect oder andere Dritte statt. Siehe Abschnitt 4 (Consent-Management) für Details zu Speicherdauer und Cookie.
OpenAI (KI-gestützte Suche, Inserats-Import und Content-Moderation)
Anbieter: OpenAI, L.L.C., 1455 3rd Street, San Francisco, CA 94158, USA
Zweck: Wir setzen OpenAI an drei Stellen ein:
- Intelligente Suche: Deine in der Suche eingegebene Freitext-Anfrage wird ausgewertet, um sie in passende Filter (z.B. Kategorie, Ort) zu übersetzen und semantisch passende Anbieter zu finden.
- Inserats-Import (für Anbieter — Website oder Instagram): Wenn du als Anbieter dein Inserat über die Adresse deiner Website oder über dein verbundenes Instagram-Profil importierst, werden der Textinhalt der Website bzw. die öffentlichen Profilangaben (Anzeigename, Bio, Website) und die Bildunterschriften und Bilder deiner zuletzt veröffentlichten Instagram-Beiträge ausgewertet, um daraus automatisch Inserats-Daten (z.B. Name, Beschreibung, Kategorie) vorzuschlagen. Details zum Instagram-Schnellstart-Import findest du im Abschnitt „Instagram-Beiträge auf Inseratsseiten".
- Content-Moderation (beim Veröffentlichen eines Inserats): Wenn du als Anbieter ein Inserat veröffentlichst, prüfen wir den Titel, die Beschreibung und die Inserats-Bilder automatisiert auf verbotene Inhalte (z.B. sexuelle, gewaltverherrlichende oder hassbezogene Inhalte), bevor das Inserat online geht. Unbedenkliche Inserate werden automatisch freigeschaltet; auffällige oder technisch nicht prüfbare Inserate legen wir einer Person aus unserem Team zur Prüfung vor. Es erfolgt keine automatisierte Ablehnung — die endgültige Entscheidung über eine Sperre trifft immer ein Mensch.
Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) — relevantere Suchergebnisse, ein komfortabler Inserats-Import ohne manuelle Abtipparbeit sowie der Schutz unserer Plattform und ihrer Nutzer vor rechtswidrigen Inhalten. Die Content-Moderation dient zugleich der Erfüllung unserer Sorgfaltspflichten nach dem Digital Services Act (DSA).
Verarbeitete Daten:
- Intelligente Suche: deine Suchanfrage (Freitext) — unabhängig davon, ob du angemeldet bist. Es werden keine direkten Identifikatoren (Name, E-Mail-Adresse, Account-Kennung, IP-Adresse) mitgesendet, nur der auf 200 Zeichen begrenzte Suchtext. Der Aufruf läuft serverseitig über unseren Vercel-Server, OpenAI sieht nur die Server-IP, nicht deine.
- Website-Import: der öffentliche Textinhalt der von dir angegebenen Website (serverseitig auf max. 8.000 Zeichen begrenzt).
- Instagram-Import: die öffentlichen Profilangaben deines verbundenen Instagram-Kontos (Anzeigename, Bio, Website) sowie die Bildunterschriften und Bilder deiner zuletzt veröffentlichten Beiträge. Der Aufruf läuft serverseitig.
- Content-Moderation: der Titel, die Beschreibung und die Bilder deines Inserats. Diese Inhalte sind ohnehin zur öffentlichen Veröffentlichung bestimmt; Bilder können abgebildete Personen enthalten. Auch hier läuft der Aufruf serverseitig (OpenAI sieht nur die Server-IP).
Regelbasierter Planer vs. Freitext-Eingabe: Der strukturierte Anlass-Planer (der Klick-Wizard mit vorgegebenen Auswahlfeldern) arbeitet rein regelbasiert und übermittelt keine Daten an OpenAI. Gibst du hingegen einen freien Beschreibungssatz deines Vorhabens ein (z.B. im Sucheingabefeld der Startseite, etwa „Geburtstag in Siegburg mit 60 Gästen"), wird dieser Satz wie eine Freitext-Suchanfrage ausgewertet (siehe oben, Punkt 1 „Intelligente Suche"). Auch hier gehen nur der auf 200 Zeichen begrenzte Satz und keine direkten Identifikatoren an OpenAI.
Modelle: OpenAI gpt-4o-mini (Text-Auswertung), text-embedding-3-small (semantische Suche) und omni-moderation-latest (Content-Moderation von Text und Bild). Die Nutzung ist serverseitig auf ein Tageslimit gedeckelt.
Drittland-Transfer: OpenAI verarbeitet Daten in den USA. Rechtsgrundlage für den Transfer ist das EU-US Data Privacy Framework (Art. 45 DSGVO) — OpenAI L.L.C. ist seit März 2025 DPF-zertifiziert (Liste der zertifizierten Unternehmen: www.dataprivacyframework.gov). OpenAI hat sich vertraglich verpflichtet, übermittelte Daten nicht für das Training ihrer Modelle zu verwenden (API-Nutzung, nicht ChatGPT). Speicherdauer: maximal 30 Tage für Missbrauchs-Monitoring, danach Löschung. Weitere Informationen: OpenAI Privacy Policy.
Auftragsverarbeitungs-Vertrag: Es besteht ein Data Processing Addendum (DPA) zwischen bvents.de und OpenAI, das die Datenverarbeitung regelt.
Speicherung deiner Suchanfragen bei bvents: Unabhängig von der Auswertung durch OpenAI speichern wir deine Suchanfrage (den Freitext sowie eine maschinenlesbare Repräsentation, ein sogenanntes Embedding) in unserer Datenbank, um die Suchfunktion zu verbessern und Suchtrends auszuwerten. Suchanfragen nicht angemeldeter Besucher speichern wir nur für längstens 30 Tage, Suchanfragen angemeldeter Nutzer für längstens 12 Monate; danach wird der Eintrag jeweils automatisch gelöscht. Rechtsgrundlage ist unser berechtigtes Interesse an der Verbesserung unserer Suche (Art. 6 Abs. 1 lit. f DSGVO).
Speicherung des Moderations-Ergebnisses bei bvents: Das Ergebnis der Content-Moderation (die geprüften Kategorien und ihre Bewertungs-Scores — keine Kopie deiner Bilder oder Texte) speichern wir am jeweiligen Inserat, damit unser Team auffällige Inserate prüfen kann. Dieses Ergebnis wird zusammen mit dem Inserat gelöscht.
Instagram-Beiträge auf Inseratsseiten
Anbieter der Plattform: Meta Platforms Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland (für Nutzer im EWR), sowie konzernintern Meta Platforms, Inc., USA
Anbieter können auf ihrer Inseratsseite ihre aktuellen Instagram-Beiträge anzeigen lassen. Wie wir dabei mit Daten umgehen, unterscheidet sich danach, ob du die Seite als Besucher ansiehst oder als Anbieter dein Instagram-Konto verbindest.
a) Für Besucher der Inseratsseiten
Die Instagram-Bilder und -Videos werden ausschließlich über unsere eigenen Server ausgeliefert (serverseitiger Proxy). Dein Browser baut dabei keine Verbindung zu Meta oder Instagram auf — es werden keine Daten von dir (z.B. IP-Adresse, Browserdaten) an Meta übertragen und Meta setzt bei dir keine Cookies. Es handelt sich um normale First-Party-Inhalte unserer Seite.
Auf den Inseratsseiten steht dir trotzdem ein freiwilliger Schalter („Instagram-Beiträge") im Einwilligungs-Banner zur Verfügung. Dieser steuert ausschließlich, ob die eingebetteten Beiträge angezeigt werden. Da hierbei keine personenbezogenen Daten von dir an Dritte fließen, ist dieser Schalter eine reine Anzeige-Präferenz und keine datenschutzrechtliche Einwilligung in eine Übermittlung an Meta.
b) Für Anbieter, die ihr Instagram-Konto verbinden
Wenn du als Anbieter dein Instagram-Business-Konto mit deinem Inserat verbinden möchtest, leiten wir dich über das offizielle Anmeldeverfahren von Instagram („Instagram API mit Instagram-Login") zu Meta weiter. Nach erfolgreicher Anmeldung erhalten und speichern wir:
- deine Instagram-Nutzer-ID und deinen Instagram-Benutzernamen,
- einen langlebigen Zugriffstoken (Access-Token, Gültigkeit 60 Tage), der verschlüsselt in unserer Datenbank-Infrastruktur (Supabase Vault, EU-Region) abgelegt wird und ausschließlich serverseitig verwendet wird,
- einen zwischengespeicherten Auszug deiner zuletzt veröffentlichten Beiträge (Bild- und Video-Verweise, Bildtexte, Permalinks, Veröffentlichungszeitpunkt), um sie auf deiner Inseratsseite anzuzeigen.
Zweck: Anzeige deiner aktuellen Instagram-Beiträge als Bestandteil deines Inserats.
Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) — du aktivierst diese Funktion aktiv als Teil deiner Inserats-Darstellung.
Datenabruf bei Meta (Server-zu-Server): Um die Beiträge aktuell zu halten, ruft unser Server einmal täglich über die Instagram-Schnittstelle deine neuesten öffentlichen Beiträge ab und erneuert den Zugriffstoken. Bei diesem Abruf werden Daten an Meta (Meta Platforms Ireland Ltd. sowie konzernintern Meta Platforms, Inc. in den USA) übermittelt. Den Datentransfer in die USA stützt Meta auf Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Weitere Informationen: Datenschutzrichtlinie von Instagram.
Inhalte deiner Beiträge: Die von dir veröffentlichten Beiträge können Personen abbilden. Für die Rechtmäßigkeit dieser Inhalte und die Rechte etwaiger abgebildeter Personen bist du als Urheber selbst verantwortlich (siehe Abschnitt 8 „Besondere Bestimmungen für Eventdienstleister"). Mit dem Verbinden deines Kontos sicherst du zu, dass du über die erforderlichen Rechte und Einwilligungen verfügst.
Speicherdauer: Der Zugriffstoken wird höchstens 60 Tage gespeichert und bei aktiver Verbindung automatisch erneuert. Den zwischengespeicherten Auszug deiner Beiträge halten wir nur, solange die Verbindung besteht. Trennst du die Verbindung oder löschst du dein Inserat, werden der Token und der zwischengespeicherte Beitrags-Auszug sofort und vollständig gelöscht.
Deine Rechte: Du kannst die Verbindung jederzeit in deinem Anbieter-Dashboard trennen. Damit endet jede weitere Verarbeitung im Zusammenhang mit Instagram.
c) Instagram-Schnellstart-Import vor der Registrierung
Auf der Seite „Inserat in 30 Sekunden" (/partner/schnellstart) kannst du dein Instagram-Business- oder Creator-Profil bereits vor der Anlage eines bvents-Kontos verbinden, damit wir dir aus deinem Profil einen vorausgefüllten Inserat-Entwurf erstellen. Du startest dazu selbst das offizielle Anmeldeverfahren von Instagram („Instagram API mit Instagram-Login") und erteilst Meta gegenüber die Freigabe.
Verarbeitete Daten: Nach erfolgreicher Anmeldung rufen wir serverseitig deine öffentlichen Profilangaben (Instagram-Nutzer-ID, Benutzername, Anzeigename, Bio, Website) sowie die Bildunterschriften und Bilder deiner zuletzt veröffentlichten Beiträge ab. Aus diesen Daten erzeugen wir mit Hilfe von OpenAI (siehe Abschnitt „OpenAI") einen Inserat-Entwurf (Name, Kategorie, Beschreibung, Bildvorschläge).
Zwischenspeicherung (kurzlebig): Bis zu deiner Registrierung legen wir den Inserat-Entwurf und einen Zugriffstoken in einer kurzlebigen Sitzung ab. Der Token wird dabei verschlüsselt in unserer Datenbank-Infrastruktur (Supabase Vault, EU-Region) gespeichert und ausschließlich serverseitig verwendet. Diese Sitzung wird automatisch nach spätestens einer Stunde gelöscht. Schließt du die Registrierung ab und übernimmst den Entwurf, wandern Token und Beitrags-Auszug in eine reguläre Instagram-Verbindung deines Inserats (siehe Buchstabe b), und die kurzlebige Sitzung wird sofort gelöscht.
Rechtsgrundlage: Durchführung vorvertraglicher Maßnahmen auf deine Anfrage (Art. 6 Abs. 1 lit. b DSGVO — Vertragsanbahnung) sowie unser berechtigtes Interesse an einem komfortablen Inserats-Import ohne manuelle Abtipparbeit (Art. 6 Abs. 1 lit. f DSGVO). Du löst die Verarbeitung selbst aktiv aus.
Nur dein eigenes Konto: Der Import ist ausschließlich für dein eigenes Business- oder Creator-Konto vorgesehen. Mit dem Verbinden bestätigst du, dass du über die Rechte an den importierten Beiträgen verfügst (siehe auch Abschnitt 8). Nichts wird ohne dich veröffentlicht; der Entwurf wird dir vor der Veröffentlichung zur Prüfung und Bearbeitung vorgelegt.
6. Datensicherheit
Technische Schutzmaßnahmen
- SSL/TLS-Verschlüsselung für alle Datenübertragungen
- Sichere Datenbankverbindungen mit Verschlüsselung
- Regelmäßige Sicherheitsupdates aller Systeme
- Backup-Strategien zum Schutz vor Datenverlust
Organisatorische Maßnahmen
- Zugriffsbeschränkungen auf personenbezogene Daten
- Mitarbeiterschulungen zum Datenschutz
- Regelmäßige Sicherheitsaudits
7. Deine Rechte als betroffene Person
Auskunftsrecht (Art. 15 DSGVO)
Du hast das Recht, Auskunft über deine gespeicherten Daten zu erhalten, einschließlich Verarbeitungszwecken und Empfängern.
Berichtigungsrecht (Art. 16 DSGVO)
Du kannst die Berichtigung unrichtiger Daten verlangen.
Löschungsrecht (Art. 17 DSGVO)
Du hast das Recht auf Löschung deiner Daten, wenn:
- Die Daten nicht mehr erforderlich sind
- Du deine Einwilligung widerrufst
- Die Daten unrechtmäßig verarbeitet wurden
Einschränkung der Verarbeitung (Art. 18 DSGVO)
Du kannst die Einschränkung der Verarbeitung verlangen, wenn du die Richtigkeit der Daten bestreitest.
Datenübertragbarkeit (Art. 20 DSGVO)
Du hast das Recht, deine Daten in einem strukturierten, maschinenlesbaren Format zu erhalten.
Widerspruchsrecht (Art. 21 DSGVO)
Du kannst jederzeit Widerspruch gegen die Verarbeitung einlegen, die auf berechtigten Interessen basiert.
Widerruf der Einwilligung
Eine erteilte Einwilligung kannst du jederzeit widerrufen. Der Widerruf wirkt nur für die Zukunft.
8. Besondere Bestimmungen für Eventdienstleister
Geschäftsdaten
Als Dienstleister auf unserer Plattform verarbeitest du zusätzlich:
- Kunden-Kontaktdaten für die Geschäftsanbahnung
- Buchungs- und Vertragsdaten
- Kommunikationsdaten mit potenziellen Kunden
Datenverantwortung
Für die direkte Kommunikation und Vertragsabwicklung mit Kunden bist du eigenverantwortlich und musst eigene Datenschutzmaßnahmen treffen.
9. Speicherdauer
Wir speichern personenbezogene Daten nur so lange, wie es erforderlich ist:
- Account-Daten: Bis zur Kündigung des Accounts
- Vertragsrelevante Daten: Bis zu 10 Jahre (gesetzliche Aufbewahrungspflichten)
- Marketing-Daten: Bis zum Widerruf der Einwilligung
- Analytics-Daten: Maximal 14 Monate (Google Analytics), maximal 12 Monate für eigene Aufrufstatistiken
- Marktvergleichs-Werte für Anbieter: Werden zum Abrufzeitpunkt aus den zugrunde liegenden Ereignisdaten (Aufrufe, Anfragen, Kontaktklicks) berechnet und nicht zusätzlich gespeichert; es gelten die Fristen aus Ziffer 4
10. Änderungen der Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung zu aktualisieren, um sie an geänderte Rechtslage oder neue Features anzupassen.
Wesentliche Änderungen teilen wir dir per E-Mail mit und bitten um deine erneute Einwilligung, wo erforderlich.
11. Beschwerderecht
Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung deiner Daten zu beschweren:
Landesbeauftragte für Datenschutz und Informationsfreiheit NRW
Kavalleriestraße 2-4
40213 Düsseldorf
E-Mail: poststelle@ldi.nrw.de
12. Hinweis zur Umfirmierung
Seit dem 13.04.2026 ist die bvents GmbH (Bernhardstr. 25, 53721 Siegburg, Amtsgericht Siegburg HRB 19511) Verantwortliche für die Verarbeitung personenbezogener Daten auf bvents.de im Sinne des Art. 4 Nr. 7 DSGVO. Die technische Verarbeitung und die Ansprechpartner bleiben unverändert. Wenn du Fragen zum Übergang hast oder deine Einwilligung anpassen möchtest, erreichst du uns unter legal@bvents.de.