Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

2. Art der verarbeiteten Daten

Diese Website verarbeitet folgende Kategorien personenbezogener Daten:

• Server-Logs des Hosters: IP-Adresse, Zeitstempel, aufgerufene URL, HTTP-Status-Code, übertragene Datenmenge, Referrer-URL, Browser-Typ (User-Agent). Diese Daten werden vom Hoster automatisch erhoben und nach spätestens 7 Tagen gelöscht.
• Anonymisierte Nutzungsstatistiken (Plausible Analytics): Aggregierte Seitenaufrufzahlen ohne persönliche Identifikation. Kein Setzen von Cookies, keine Verfolgung über Sitzungen hinweg (siehe Abschnitt 3).
• Gast-Registrierungsdaten (Live-Event): Vorname + Nachname, Telefonnummer (Pflichtfelder), E-Mail-Adresse (optional). Verarbeitung nur bei Nutzung des Live-Event-Gäste-Systems (Abschnitt 7).
• Musikwunschdaten: Spotify-Track-ID, Titel, Interpret, optionale Textnachricht (max. 140 Zeichen). Keine Übertragung persönlicher Daten an Spotify (Abschnitt 9).
• IP-Hash für Rate-Limiting: SHA-256-Hash Ihrer IP-Adresse (mit zufälligem Salt) zur Spam-Prävention. Kein Klartext-IP gespeichert (Abschnitt 8).

3. Plausible Analytics (cookieless)

Diese Website nutzt Plausible Analytics — ein datenschutzfreundliches, open-source Web-Analyse-Tool. Plausible setzt keine Cookies und erfasst keine personenbezogenen Daten.

Die Analyse-Instanz wird selbst gehostet auf unserem eigenen Server in Frankfurt (Hostinger VPS, Deutschland) und teilt keine Daten mit Dritten. Es werden ausschließlich aggregierte, anonymisierte Statistiken gespeichert (z. B. Seitenaufrufe, grober Standort auf Landesebene, Verweisquellen).

Da keine Cookies gesetzt und keine personenbezogenen Daten verarbeitet werden, ist für diese Analyse weder eine Einwilligung noch ein Cookie-Banner erforderlich. Rechtsgrundlage: berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO (Optimierung des Web-Angebots).

4. Hosting

Diese Website wird auf einem virtuellen privaten Server (VPS) bei Hostinger in Frankfurt, Deutschland gehostet. Betrieben wird der Server mittels Coolify (selbst gehostete Server-Management-Software).

Der Serverstandort ist Deutschland (Frankfurt). Ein Auftragsverarbeitungsvertrag (AV-Vertrag) mit Hostinger wurde abgeschlossen. Daten werden nicht in Drittländer außerhalb der EU/EWR übertragen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Bereitstellung der Website als berechtigtes Interesse).

5. SSL/TLS-Verschlüsselung

Diese Website nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://“ auf „https://“ wechselt. Wenn die SSL- bzw. TLS-Verschlüsselung aktiviert ist, können die Daten, die Sie an uns übermitteln, nicht von Dritten mitgelesen werden.

6. Externe Links

Diese Website enthält Links zu externen Diensten (z. B. WhatsApp, Instagram, SoundCloud). Wenn Sie auf einen solchen Link klicken, verlassen Sie diese Website. Für die Datenschutzpraktiken dieser externen Dienste sind deren eigene Datenschutzerklärungen maßgeblich:

• WhatsApp: whatsapp.com/legal/privacy-policy-eea
• Instagram (Meta): privacycenter.instagram.com
• SoundCloud — beim Klick auf externe Links gelten jeweils deren Datenschutzerklärungen

7. Gast-Registrierung (Live-Event)

Für die Teilnahme am Live-Musikwunsch-System bei Events von DJ tonicfresh können Sie sich als Gast registrieren. Dabei werden folgende Daten erhoben:

• Pflichtfelder: Vor- und Nachname, Telefonnummer
• Optional: E-Mail-Adresse
• Technisch automatisch: Gerätetyp (User-Agent), IP-Hash (gehashte IP für Rate-Limiting, kein Klartext), Sprache

Zweck: Verwaltung Ihrer Musikwünsche während des Events, Zuordnung von Wünschen zu Ihrem Gast-Profil, Verhinderung von Missbrauch (Rate-Limiting).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Bereitstellung des Live-Event-Wunschdienstes).

Follow-up-Einwilligung (optional, Standard: NICHT aktiv): Sie können freiwillig einwilligen, nach dem Event eine E-Mail mit der gespielten Playlist zu erhalten. Diese Einwilligung ist freiwillig und kann jederzeit über den Self-Delete-Link (siehe Abschnitt 11) widerrufen werden. Ohne Einwilligung werden Ihre Daten 90 Tage nach dem Event-Datum automatisch gelöscht (Abschnitt 10).

Selbst-Löschung: Über den Link /gast/loeschen können Sie Ihre Registrierung und alle zugehörigen Musikwünsche jederzeit selbstständig löschen.

8. IP-Adressen und Rate-Limiting

Zur Verhinderung von automatisiertem Missbrauch (Spam, Flooding) verwenden wir ein Rate-Limiting-System. Dabei wird Ihre IP-Adresse nicht im Klartext gespeichert. Stattdessen berechnen wir einen SHA-256-Hash Ihrer IP-Adresse mit einem zufälligen, geheimen Salt-Wert.

Dieser Hash ist nicht umkehrbar — aus dem gespeicherten Hash kann die ursprüngliche IP-Adresse nicht rekonstruiert werden. Der Hash wird ausschließlich zur technischen Durchsetzung von Nutzungslimits verwendet und nach 90 Tagen zusammen mit den übrigen Gast-Daten gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — Schutz vor Missbrauch und Sicherstellung der Verfügbarkeit des Dienstes).

9. Spotify-Integration (Musiksuche)

Für die Musikwunsch-Funktion nutzen wir die Spotify Web API zur Track-Suche. Bei der Nutzung dieser Funktion werden Suchbegriffe (z. B. Künstlername, Songtitel) an die Spotify API übermittelt.

Wichtig: Es werden dabei keine persönlichen Daten (wie Name, Telefonnummer oder E-Mail) an Spotify übertragen. Es wird ausschließlich der Suchbegriff sowie technische Metadaten (API-Credentials im Server-Client-Credentials-Flow) übermittelt. Ein Spotify-Account ist für die Nutzung nicht erforderlich und wird nicht verknüpft.

Die von Spotify zurückgegebenen Track-Metadaten (Titel, Interpret, Album, Cover-Bild, Preview-URL) werden in der Datenbank als Teil Ihres Musikwunsches gespeichert.

Spotify ist als Auftragsverarbeiterin diesem Kontext nicht einzustufen, da keine personenbezogenen Daten übertragen werden. Spotify's Datenschutzerklärung: spotify.com/de/legal/privacy-policy

10. Telegram-Benachrichtigungen

Wenn Sie einen Musikwunsch einreichen oder sich für ein Event registrieren, erhält der DJ (Toby) eine Benachrichtigung über den Messenger-Dienst Telegram.

Pseudonymisierung: Die Telegram-Nachricht enthält ausschließlich Ihren Vornamen und den gewünschten Song-Titel. Telefonnummer, E-Mail-Adresse und weitere personenbezogene Daten werden nicht an Telegram übertragen.

Server-Standort: Telegram betreibt Server in verschiedenen Ländern, darunter außerhalb der EU (USA). Für die Übertragung in Drittländer stützen wir uns auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des DJs zur Empfang von Event-Benachrichtigungen) sowie auf Art. 49 Abs. 1 lit. a DSGVO (Einwilligung durch Nutzung des Wunsch-Services).

AV-Vertrag: Da nur pseudonymisierte Daten (Vorname + Track) übertragen werden, wird Telegram als Auftragsverarbeiter gewertet. Ein entsprechender Auftragsverarbeitungsvertrag ist zu schließen.

Telegram's Datenschutzerklärung: telegram.org/privacy

11. Selbst-Löschung Ihrer Gast-Daten

Als registrierter Gast können Sie Ihre Daten jederzeit selbstständig löschen. Besuchen Sie dazu: dj.fever-events.de/gast/loeschen

Die Löschung umfasst:

• Ihre Registrierungsdaten (Name, Telefon, E-Mail)
• Alle von Ihnen eingereichten Musikwünsche
• Ihren IP-Hash und User-Agent

Nach der Löschung ist der Vorgang nicht umkehrbar. Sie können sich für das gleiche Event erneut registrieren, falls gewünscht.

12. Datenspeicherung und Löschfristen

Server-Logs des Hosters werden spätestens nach 7 Tagen automatisch gelöscht. Plausible Analytics speichert keine personenbezogenen Daten.

13. Auftragsverarbeiter

Folgende Dienstleister verarbeiten Daten in unserem Auftrag:

14. vCard-Download (Kontakt)

Diese Website bietet einen Download einer Kontaktkarte (vCard) an. Der Download-Vorgang erfolgt vollständig clientseitig (im Browser) — es werden dabei keine personenbezogenen Daten an den Server übermittelt und kein Tracking durchgeführt.

15. Ihre Rechte als betroffene Person

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

• Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über die von uns verarbeiteten Daten verlangen.
• Berichtigungsrecht (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten fordern.
• Löschungsrecht (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen — als Gast auch direkt über /gast/loeschen (Self-Service, kein E-Mail-Kontakt nötig).
• Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung Ihrer Daten fordern.
• Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten auf Basis von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) widersprechen.
• Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Eine erteilte Follow-up-Einwilligung können Sie jederzeit widerrufen — über den Self-Delete-Link oder per E-Mail.
• Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem strukturierten, maschinenlesbaren Format erhalten.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: acc@fever-events.de

16. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren. Für Nordrhein-Westfalen ist dies die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW).

17. Post-Event-Follow-up-E-Mails und Feedback (Phase 3)

Sofern Sie bei der Gast-Registrierung die Einwilligung zu Follow-up-E-Mails gegeben haben, senden wir Ihnen nach dem Event eine einmalige personalisierte E-Mail. Diese enthält Ihre Wunsch-Playlist, einen Feedback-Link und einen Opt-Out-Link.

Versand der Follow-up-E-Mail

• SMTP-Versand: Die E-Mail wird über den SMTP-Server smtp.fieberling.de (All-Inkl) versendet. Die E-Mail-Adresse wird ausschließlich für den Versand dieser einmaligen Nachricht genutzt.
• KI-Personalisierung: Der persönliche Abschnitt der E-Mail wird durch Mistral AI (mistral-medium, EU-Server) generiert. Dabei werden Vorname und Wunschliste an Mistral übermittelt. Keine Datenspeicherung durch Mistral (Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO — Einwilligung).
• Feedback-Link: Die E-Mail enthält einen Token-gesicherten Link (JWT, 30 Tage gültig) zur Feedback-Seite.

Feedback-Speicherung

• Die Sterne-Bewertung (1–5) und ein optionaler Kommentar werden in unserer Datenbank gespeichert.
• Bei Nutzung des Self-Delete-Rechts wird die Bewertung anonymisiert (Gast-ID auf NULL gesetzt), bleibt aber als anonyme Statistik erhalten.
• Bei einer Bewertung von ≤3 Sternen erhalten wir eine private Telegram-Benachrichtigung (nur Vorname und Bewertung — kein vollständiger Name, keine E-Mail).

Google-Review-Link

Bei einer Bewertung von ≥4 Sternen wird auf der Bestätigungsseite ein Link zu unserem Google Business Profil angeboten. Dieser Link öffnet eine externe Google-Seite. Datenverarbeitung durch Google unterliegt deren Datenschutzbestimmungen. Klick ist freiwillig.

Opt-Out

Jede Follow-up-E-Mail enthält einen „Keine weiteren E-Mails"-Link. Ein Klick darauf setzt Ihre Einwilligung zurück und wird im DSGVO-Audit-Log protokolliert. Sie erhalten danach keine weiteren Follow-up-E-Mails.

18. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich die tatsächlichen Datenverarbeitungen ändern (z. B. bei Aktivierung neuer Funktionen in Phase 3). Die aktuelle Version ist stets unter dieser URL abrufbar.