EventMyself - Dein kostenloser Event-Planer Logo
FeaturesNewsPreiseFAQKontakt
Features
News
Preise
FAQ
Kontakt
Zur Beta (Kostenlos)
|
Zur Beta (Kostenlos)

Datenschutzerklärung

Stand: April 2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website ist:

EVENTMYSELF eine Marke von VAUNIT WebSolutions
Inhaberin: Valerie Unger
Am Hessentuch 11
32758 Detmold
Deutschland
E-Mail: info@eventmyself.de
Telefon: +49 176 21861570

2. Zuständige Aufsichtsbehörde

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestraße 2–4
40213 Düsseldorf
www.ldi.nrw.de

3. Übersicht der Verarbeitungen

Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen und verweist auf die betroffenen Personen.

Arten der verarbeiteten Daten

  • Bestandsdaten (z.B. Namen, Adressen)
  • Kontaktdaten (z.B. E-Mail, Telefonnummern)
  • Inhaltsdaten (z.B. Eingaben in Onlineformularen)
  • Nutzungsdaten (z.B. besuchte Webseiten, Zugriffszeiten)
  • Meta-/Kommunikationsdaten (z.B. Geräte-Informationen, IP-Adressen)
  • Zahlungsdaten (z.B. bei Nutzung von PayPal oder SumUp)

Kategorien betroffener Personen

  • Nutzer unserer Plattform (Veranstalter)
  • Gäste/Teilnehmer von Events
  • Besucher unserer Website
  • Newsletter-Abonnenten
  • Kontaktanfragen-Absender

4. Rechtsgrundlagen

Im Folgenden informieren wir Sie über die Rechtsgrundlagen der Datenschutz-Grundverordnung (DSGVO), auf deren Basis wir personenbezogene Daten verarbeiten:

  • Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO) – Die betroffene Person hat ihre Einwilligung erteilt (z.B. für Analytics-Cookies, Newsletter).
  • Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b DSGVO) – Die Verarbeitung ist für die Erfüllung eines Vertrags erforderlich (z.B. Registrierung, Event-Verwaltung).
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c DSGVO) – Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich (z.B. Aufbewahrungspflichten).
  • Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO) – Die Verarbeitung ist zur Wahrung berechtigter Interessen erforderlich (z.B. IT-Sicherheit, Betrugsverhinderung).

5. Ihre Rechte als betroffene Person

Sie haben folgende Rechte:

  • Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten verlangen.
  • Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
  • Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen ("Recht auf Vergessenwerden").
  • Recht auf Einschränkung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können verlangen, dass Ihre Daten in einem gängigen Format übermittelt werden.
  • Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten widersprechen.
  • Recht auf Widerruf (Art. 7 Abs. 3 DSGVO): Sie können eine erteilte Einwilligung jederzeit widerrufen.
  • Beschwerderecht: Sie haben das Recht, sich bei der zuständigen Aufsichtsbehörde (siehe Abschnitt 2) zu beschweren.

So üben Sie Ihre Rechte aus

  • Konto selbst löschen: In der App unter Einstellungen → Konto → Konto löschen. Eine detaillierte Beschreibung, was dabei technisch passiert, finden Sie in Abschnitt 20.
  • Andere Anfragen (Auskunft, Berichtigung, Einschränkung, Datenportabilität, Widerspruch) senden Sie uns per E-Mail an info@eventmyself.de mit dem Betreff „[DSGVO Art. XX] Anfrage".
  • Bitte geben Sie zur Identifikation die E-Mail-Adresse an, mit der Sie registriert sind.
  • Wir bearbeiten Ihre Anfrage unverzüglich, spätestens innerhalb von 30 Tagen (Art. 12 Abs. 3 DSGVO).
  • Die Ausübung dieser Rechte ist für Sie kostenfrei.

6. Hosting und Backend-Infrastruktur

Unsere Website und Plattform werden auf Servern in Deutschland gehostet.

Frontend-Hosting

Das Frontend (die Benutzeroberfläche) wird bei Hostinger International Ltd. gehostet. Serverstandort: Deutschland. Es besteht ein Vertrag zur Auftragsverarbeitung (AVV).

Backend & Datenbank

Unsere Datenbank und die Backend-Logik werden von Supabase Inc. bereitgestellt. Die Daten werden in der AWS-Region eu-central-1 (Frankfurt, Deutschland) gespeichert und verarbeitet. Es besteht ein Vertrag zur Auftragsverarbeitung (AVV) inklusive EU-Standardvertragsklauseln (SCCs). Supabase speichert darüber hinaus hochgeladene Dateien (Event-Bilder, Flyer) im Supabase Storage, ebenfalls in der Region eu-central-1.

Automatisierung

Hintergrundprozesse (z.B. E-Mail-Warteschlangen, Kontaktformular-Weiterleitung) werden über n8n abgewickelt, gehostet auf Servern der 1blu business GmbH in Deutschland. Die Erreichbarkeit erfolgt über die Domain aiauto.vavibros.de. Es besteht ein Auftragsverarbeitungsvertrag mit 1blu.

7. Transaktionaler E-Mail-Versand (Brevo)

Für den Versand transaktionaler E-Mails (Registrierungsbestätigungen, Passwort-Resets, E-Mail-Änderungen, Einladungen) nutzen wir den Dienst Brevo (ehemals Sendinblue).

Anbieter: Sendinblue GmbH, Köpenicker Str. 126, 10179 Berlin, Deutschland.

Bei der Nutzung wird die E-Mail-Adresse des Empfängers an Brevo übermittelt. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an zuverlässiger E-Mail-Zustellung). Es besteht ein Auftragsverarbeitungsvertrag (AVV) mit Brevo. Brevo speichert Zustellprotokolle (E-Mail-Adresse, Zeitstempel, Zustellstatus) für maximal 30 Tage.

Datenschutzerklärung von Brevo: https://www.brevo.com/de/legal/privacypolicy/

8. Server-Logfiles bei unseren Hosting-Dienstleistern

Wir selbst betreiben keine eigenen Server-Logs. Beim Aufruf unserer App oder Website fallen jedoch technisch bedingt bei unseren Hosting-Dienstleistern Zugriffsprotokolle an, die ausschließlich der Sicherstellung des stabilen Betriebs und der Erkennung von Missbrauch dienen. Typischerweise werden dabei folgende Informationen erfasst:

  • IP-Adresse des anfragenden Rechners
  • Datum und Uhrzeit des Zugriffs
  • Name und URL der abgerufenen Datei
  • Website, von der aus der Zugriff erfolgt (Referrer-URL)
  • Verwendeter Browser und Betriebssystem

Diese Logfiles liegen bei unseren Auftragsverarbeitern (siehe Abschnitt 21) und werden ausschließlich nach deren eigenen Aufbewahrungsfristen verarbeitet (typischerweise 7–14 Tage). Sie sind uns nicht direkt zugänglich und werden von uns nicht eigenständig ausgewertet. Eine Zusammenführung mit anderen personenbezogenen Daten findet nicht statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherstellung des Betriebs und der IT-Sicherheit) in Verbindung mit den Auftragsverarbeitungsverträgen nach Art. 28 DSGVO.

Stand der App: Eigene IP-Adressen- oder Nutzungsprotokollierung durch EventMyself findet derzeit nicht statt. Sollte sich dies mit wachsender Größe ändern (z. B. aufgrund von NIS2-Pflichten ab 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz), werden wir diese Datenschutzerklärung entsprechend aktualisieren und Sie darüber informieren.

9. Registrierung und Nutzerkonto

Bei der Registrierung für EventMyself erfassen wir:

  • E-Mail-Adresse
  • Passwort (verschlüsselt gespeichert mittels bcrypt)
  • Optional: Name, Profilbild

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Ihre Daten werden gelöscht, sobald Sie Ihr Konto löschen oder uns zur Löschung auffordern — spätestens 30 Tage nach Kontolöschung.

10. Event-Erstellung und Gästedaten

Wenn Sie ein Event erstellen, werden folgende Daten verarbeitet:

  • Event-Details (Titel, Datum, Ort, Beschreibung, Bilder)
  • Gästelisten mit Namen und E-Mail-Adressen
  • Anmeldestatus, Check-in/Check-out-Daten und Zeitstempel
  • Feedback-Antworten und Abstimmungsergebnisse

Wichtig: Sie als Veranstalter sind für die rechtmäßige Erhebung der Gästedaten verantwortlich. Wir verarbeiten diese Daten in Ihrem Auftrag (Auftragsverarbeitung nach Art. 28 DSGVO). Ein Auftragsverarbeitungsvertrag (AVV) wird auf Anfrage bereitgestellt.

11. Zahlungsdienstleister

PayPal

Für kostenpflichtige Events nutzen wir PayPal als Zahlungsdienstleister. Bei einer Zahlung werden Ihre Zahlungsdaten direkt an PayPal übermittelt. Wir haben keinen Zugriff auf Ihre vollständigen Zahlungsdaten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

Anbieter: PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxembourg. Datenschutzerklärung von PayPal

SumUp

Optional können Veranstalter SumUp als Zahlungsanbieter nutzen. Dabei werden Zahlungsdaten direkt an SumUp übermittelt. Wir speichern lediglich Transaktions-IDs und den Zahlungsstatus.

Anbieter: SumUp Limited, Block 8, Harcourt Centre, Charlotte Way, Dublin 2, Irland. Datenschutzerklärung von SumUp

12. Newsletter

Wenn Sie sich für unseren Newsletter anmelden, verarbeiten wir Ihre E-Mail-Adresse zum Zweck des Versands von Informationen über neue Features, Event-Tipps und Plattform-Updates.

Rechtsgrundlage ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink in jeder Newsletter-E-Mail oder per E-Mail an info@eventmyself.de.

Der Newsletter-Versand erfolgt über Brevo (siehe Abschnitt 7). Ihre E-Mail-Adresse wird nach der Abmeldung gelöscht.

13. Kontaktformular

Wenn Sie uns über das Kontaktformular kontaktieren, verarbeiten wir Ihren Namen, Ihre E-Mail-Adresse, den Betreff und Ihre Nachricht. Die Daten werden über unseren n8n-Automatisierungsserver (siehe Abschnitt 6) an unsere E-Mail-Adresse weitergeleitet.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen) bzw. Art. 6 Abs. 1 lit. b DSGVO bei vorvertraglichen Anfragen. Ihre Daten werden nach Abschluss der Bearbeitung gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen — spätestens nach 12 Monaten.

14. Cookies und Einwilligungsverwaltung

Wir verwenden folgende Arten von Cookies:

  • Technisch notwendige Cookies: Diese sind für den Betrieb der Website unbedingt erforderlich (z.B. Session-Cookies für die Anmeldung, Cookie-Consent-Einstellung). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
  • Analyse-Cookies (Google Analytics): Nur mit Ihrer ausdrücklichen Einwilligung nutzen wir Cookies zur Analyse der Website-Nutzung (siehe Abschnitt 15). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.
  • Marketing-Cookies: Nur mit Ihrer ausdrücklichen Einwilligung werden Cookies für Marketingzwecke gesetzt. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.

Sie können Ihre Cookie-Einstellungen jederzeit über den Link "Cookie-Einstellungen" im Footer unserer Website ändern oder widerrufen. Beim ersten Besuch werden nur technisch notwendige Cookies gesetzt — Analyse- und Marketing-Cookies werden erst nach Ihrer ausdrücklichen Einwilligung aktiviert.

15. Google Analytics

Diese Website nutzt — nur nach Ihrer ausdrücklichen Einwilligung — Google Analytics 4, einen Webanalysedienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland ("Google").

Wir setzen Google Analytics mit folgenden Datenschutzmaßnahmen ein:

  • Google Consent Mode v2: Ohne Ihre Einwilligung werden keine Analyse-Daten erfasst.
  • IP-Anonymisierung: Ihre IP-Adresse wird vor der Übermittlung an Google gekürzt (anonymize_ip: true).

Rechtsgrundlage ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Die Einwilligung kann jederzeit über die Cookie-Einstellungen widerrufen werden. Google verarbeitet Daten ggf. auch in den USA. Grundlage für den Drittlandtransfer ist der EU-US Data Privacy Framework (DPF), dem Google beigetreten ist.

Datenschutzerklärung von Google: https://policies.google.com/privacy

16. Google Fonts

Diese Website nutzt die Schriftart "Inter" von Google Fonts. Die Schriftarten werden von den Servern von Google (fonts.googleapis.com, fonts.gstatic.com) geladen. Dabei wird Ihre IP-Adresse an Google übermittelt.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer einheitlichen Darstellung). Wir planen, die Schriftarten zukünftig lokal zu hosten, um den Drittlandtransfer zu vermeiden.

Datenschutzerklärung von Google Fonts: https://developers.google.com/fonts/faq/privacy

17. Chat-Widget (n8n Chat)

Auf unserer Website wird ein Chat-Widget eingebunden, das über eine Drittanbieter-Bibliothek von jsDelivr (CDN, betrieben von Cloudflare) geladen wird. Beim Laden werden Ihre IP-Adresse und Browser-Informationen an das CDN übermittelt.

Chat-Nachrichten werden über unseren n8n-Automatisierungsserver (siehe Abschnitt 6) in Deutschland verarbeitet. Es werden keine Chat-Inhalte an Dritte weitergegeben.

Rechtsgrundlage für das Laden des Widgets ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem Kommunikationskanal). Rechtsgrundlage für die Verarbeitung der Chat-Nachrichten ist Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. lit. f (berechtigtes Interesse an der Beantwortung von Anfragen).

18. Push-Benachrichtigungen

Mit Ihrer ausdrücklichen Einwilligung senden wir Ihnen Push-Benachrichtigungen über Ihren Browser (Web Push). Dafür wird ein Push-Subscription-Objekt (Endpunkt-URL, Schlüssel) gespeichert, das keine personenbezogenen Daten im engeren Sinne enthält.

Rechtsgrundlage ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Sie können die Einwilligung jederzeit über Ihre Browser-Einstellungen oder in der App unter Einstellungen widerrufen.

19. Datensicherheit

Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein:

  • SSL/TLS-Verschlüsselung für alle Datenübertragungen
  • Verschlüsselte Speicherung von Passwörtern (bcrypt)
  • Row Level Security (RLS) auf Datenbankebene — jeder Nutzer sieht nur seine eigenen Daten
  • Regelmäßige Sicherheitsupdates und Dependency-Audits
  • Zugriffskontrollen und rollenbasiertes Berechtigungsmanagement
  • Regelmäßige automatische Backups

20. Speicherdauer und Löschung

Wir speichern Ihre Daten nur so lange, wie es für die Erfüllung der Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

  • Kontodaten: Bis zur Löschung des Kontos + 30 Tage (Backup-Vorhaltung)
  • Event-Daten: Bis 12 Monate nach Event-Datum oder bis Sie als Veranstalter das Event löschen
  • Gästedaten: Gestuftes Löschkonzept — volle Daten 30 Tage, danach Pseudonymisierung (Initialen + Email-Hash), nach 2 Jahren vollständige Anonymisierung (siehe unten „Lebenszyklus von Gäste-Daten")
  • Rechnungs- und Zahlungsdaten: 10 Jahre (gesetzliche Aufbewahrungspflicht nach § 147 AO, § 257 HGB)
  • Server-Logs: 7 Tage
  • Kontaktanfragen: 12 Monate nach Abschluss der Bearbeitung
  • Newsletter-Daten: Bis zum Widerruf der Einwilligung
  • Brevo E-Mail-Logs: 30 Tage

Was bei der Löschung Ihres Kontos konkret passiert

Wenn Sie Ihr Konto über Einstellungen → Konto → Konto löschen entfernen, führen wir automatisch folgende Schritte durch:

  • Sofortige Löschung Ihres Profils (Name, E-Mail, Telefon, Adresse), aller von Ihnen erstellten Events samt Gästelisten, Einladungen, Umfragen, Agenda, Nachrichten-Threads, Todoist-Verbindungen, Push-Anmeldungen und Abonnement-Einstellungen.
  • Anonymisierung von Freitext-Inhalten, die Sie in gemeinsam genutzten Bereichen hinterlassen haben (z.B. Event-Nachrichten an Gäste, Support-Ticket-Antworten, Audit-Log-Einträge): Der Textinhalt wird durch den Platzhalter „[gelöscht]" ersetzt, Ihre Benutzer-ID wird entfernt. Die Einträge können ab diesem Zeitpunkt nicht mehr auf Sie zurückgeführt werden (echte Anonymisierung im Sinne von Erwägungsgrund 26 DSGVO, keine Pseudonymisierung).
  • Audit-Protokolle werden auf gleiche Weise bereinigt: Sensible Felder (E-Mail, Name, Telefon, IP-Adresse, User-Agent) in System-Logs werden durch „[gelöscht]" ersetzt, der technische Vorgang (z.B. „Check-In durchgeführt um 14:32") bleibt als anonymes Aggregate erhalten.
  • Feedback-Aggregate (z.B. Sterne-Bewertungen für ein Event) bleiben anonymisiert erhalten, damit Veranstalter weiterhin aussagekräftige Statistiken haben. Freitext-Feedback wird in diesem Zuge ebenfalls durch „[gelöscht]" ersetzt.
  • Zahlungshistorie: Transaktionseinträge in unserer Buchhaltung bleiben ohne Personenbezug für 10 Jahre bestehen. Dies erfolgt auf Basis unserer gesetzlichen Pflicht (§ 147 AO, § 257 HGB) und überwiegt das Recht auf Löschung (Art. 17 Abs. 3 lit. b DSGVO). Der Eintrag enthält danach keine personenbezogenen Felder mehr.
  • Ausstehende Einladungen an Sie (von anderen Veranstaltern per E-Mail) werden ebenfalls entfernt.

Der gesamte Ablauf geschieht unverzüglich beim Klick auf „Konto löschen". Eine 30-Tage-Vorhaltung kann nur in automatischen Backups bestehen, die nach Ablauf dieser Frist ebenfalls überschrieben werden.

Was bei der Löschung eines Events durch den Veranstalter passiert

  • Alle Gästeanmeldungen inklusive Begleitpersonen und Kinder werden sofort gelöscht.
  • Event-interne Nachrichten, Agenda-Punkte, Umfragen, Abstimmungen, Aufgabenlisten, Einladungen und Hintergrundbilder werden sofort gelöscht.
  • Freie Textantworten in Feedback-Fragen und Bewertungstexte werden auf „[gelöscht]" gesetzt, Sterne-Bewertungen bleiben als anonymes Aggregate erhalten.
  • Zahlungsvorgänge bleiben im Rahmen der 10-jährigen Aufbewahrungspflicht anonymisiert erhalten.

Zukunftssicherheit unserer Löschpipeline

Unsere Datenbank enthält ein technisches Register („deletion_policies"), in dem für jede Tabelle mit Personenbezug festgelegt ist, wie bei einer Löschung zu verfahren ist (harte Löschung, Anonymisierung oder gesetzliche Aufbewahrung). Ein automatisierter Test in unserer Continuous-Integration-Pipeline stellt sicher, dass jede neue Funktion oder Datenbank-Tabelle dieses Register ergänzt — andernfalls schlägt die Auslieferung fehl. Dadurch ist auch bei zukünftigen Erweiterungen unserer App technisch garantiert, dass kein personenbezogenes Datenfeld bei der Löschung vergessen wird.

Lebenszyklus von Gäste-Daten (3-Phasen-Modell)

Wenn Sie an einem Event teilnehmen, das über EventMyself organisiert wird, erhebt der jeweilige Veranstalter personenbezogene Daten über Sie (Name, E-Mail-Adresse, ggf. Telefonnummer, Notizen). Um dem berechtigten Interesse des Veranstalters an einer dauerhaften Auswertung seiner Veranstaltungshistorie (z. B. „Wer war schon mehrmals dabei?", Durchschnittsbewertungen über Jahre) gerecht zu werden und gleichzeitig den Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) zu wahren, folgen Ihre Daten einem abgestuften Löschkonzept:

Phase 1 — Volle Daten (0 bis 30 Tage nach Event)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Ihre Daten bleiben vollständig erhalten, um dem Veranstalter die Nachbereitung (Feedback-Anfragen, Rechnungsversand, Kontaktaufnahme bei Rückfragen) und Ihnen den Zugriff auf Ihr persönliches Gäste-Dashboard zu ermöglichen.

Gespeichert: Vorname, Nachname, E-Mail, Telefonnummer (falls angegeben), Notizen, Registrierungs- und Zahlungsstatus.

Phase 2 — Pseudonymisierung (30 Tage bis 2 Jahre nach Event)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse des Veranstalters an langfristiger Auswertung seiner eigenen Veranstaltungshistorie)
30 Tage nach Event-Ende werden Ihre personenbezogenen Daten automatisch pseudonymisiert:

  • Vor- und Nachname werden auf Initialen reduziert (z. B. „Lisa Müller" → „L. M.")
  • E-Mail-Adresse wird irreversibel per SHA-256 gehasht; die Original-Adresse wird gelöscht
  • Telefonnummer wird gelöscht
  • Notizen werden gelöscht

Der E-Mail-Hash erlaubt dem Veranstalter, wiederkehrende Gäste zu erkennen (z. B. für Stamm-Community-Statistik), ohne dass die tatsächliche E-Mail-Adresse in unserer Datenbank verbleibt. Pseudonymisierte Daten sind nach Art. 4 Nr. 5 DSGVO weiterhin personenbezogene Daten; das Re-Identifizierungsrisiko ist durch die technischen Maßnahmen (Hash ohne Zugriff auf die Ursprungs-E-Mail) jedoch erheblich reduziert.

Interessenabwägung: Das Interesse des Veranstalters an einer kohärenten persönlichen Gastgeber-Historie über mehrere Jahre hinweg überwiegt, da die verbleibenden Daten kein unmittelbares Identifizierungsrisiko mehr darstellen und Sie jederzeit Ihr Löschrecht ausüben können (siehe Abschnitt „Selbstbedienung").

Phase 3 — Vollständige Anonymisierung (ab 2 Jahre nach Event)

2 Jahre nach Event-Ende werden auch die Initialen und der E-Mail-Hash entfernt. Nur noch anonyme Aggregate bleiben zurück (Anzahl Gäste pro Event, Rating-Durchschnitt). Ab diesem Zeitpunkt liegen keine personenbezogenen Daten mehr vor — die Verarbeitung fällt aus dem Anwendungsbereich der DSGVO.

Feedback-Nachrichten

Wenn Sie nach einem Event Feedback-Text hinterlassen, werden Sie beim Absenden gefragt, ob Ihr Text langfristig in der persönlichen Übersicht des Veranstalters gezeigt werden darf (Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO):

  • Mit Ihrer Einwilligung: Text bleibt unbegrenzt als Teil der Event-Aggregate
  • Ohne Einwilligung (Standard): Text wird nach 90 Tagen automatisch entfernt; das numerische Rating (1–5 Sterne) bleibt anonym erhalten

Widerruf der Einwilligung: Sie können Ihre Einwilligung jederzeit für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO). Der Widerruf wirkt nicht rückwirkend. Sie können ihn auf zwei Wegen vornehmen: (a) durch Nutzung unserer Selbstbedienungs-Seite zur Löschung (siehe unten) oder (b) formlos per E-Mail an info@eventmyself.de. Nach Widerruf wird der betroffene Text-Kommentar innerhalb weniger Tage entfernt; das Rating bleibt anonym.

Interessenabwägung für Phase 2 (Art. 6 Abs. 1 lit. f DSGVO)

Die langfristige Speicherung pseudonymisierter Gäste-Daten stützt sich auf das berechtigte Interesse des Veranstalters an einer kohärenten Veranstaltungshistorie. Unsere Interessenabwägung zugunsten des Veranstalters beruht auf folgenden Faktoren:

  • Keine unmittelbaren Identifizierungsmerkmale: In Phase 2 liegen weder vollständige Namen noch Kontaktdaten noch Notizen vor. Das Re-Identifizierungsrisiko ist durch den irreversiblen Hash ohne Zugriff auf die Ursprungs-E-Mail erheblich reduziert.
  • Keine Zweckänderung: Die pseudonymisierten Daten werden ausschließlich für die Gastgeber-Historie des betreffenden Veranstalters genutzt — nicht für Marketing, Werbung oder Weitergabe an Dritte.
  • Jederzeit ausübbares Widerspruchs-/Löschrecht: Sie können über die Selbstbedienungs-Seite jederzeit die Löschung anfordern. Dies erfüllt den Maßstab an Transparenz und Kontrollmöglichkeit nach Erwägungsgrund 47 DSGVO.
  • Technisch-organisatorische Maßnahmen nach Art. 32 DSGVO: Die Pseudonymisierung ist selbst eine empfohlene TOM, zusammen mit Transport-Verschlüsselung (TLS) und Ruhestandsverschlüsselung bei unserem Hosting-Dienstleister.

Automatisierte Erkennung wiederkehrender Gäste (Profiling-Hinweis)

Die Erkennung wiederkehrender Gäste über den E-Mail-Hash ist technisch gesehen ein Profiling im Sinne von Art. 4 Nr. 4 DSGVO. Es findet keine automatisierte Entscheidung mit rechtlicher oder ähnlich erheblicher Wirkung Ihnen gegenüber statt (Art. 22 DSGVO): Die Erkennung dient ausschließlich statistischen Zwecken innerhalb der persönlichen Auswertungsansicht des Veranstalters und hat keinerlei Auswirkung auf Ihre Rechte, Ihren Zugang zu künftigen Events oder sonstige Entscheidungen.

Unsere Rolle und die des Veranstalters

Für die Gäste-Daten, die im Zusammenhang mit einem konkreten Event erhoben werden (Registrierung, Feedback, Anwesenheitsstatus), ist der jeweilige Veranstalter eigenständig Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. Wir (EVENTMYSELF) stellen lediglich die technische Plattform bereit und agieren insoweit als Auftragsverarbeiter nach Art. 28 DSGVO (siehe Abschnitt „Auftragsverarbeitung"). Der Veranstalter entscheidet, welche Daten er erhebt und zu welchem Zweck. Er ist Ihr primärer Ansprechpartner für Betroffenenrechte, die seinen konkreten Event betreffen; Sie können sich aber alternativ auch direkt an uns wenden — wir leiten Anfragen unverzüglich weiter bzw. führen die Löschung technisch selbst durch.

Meldung von Datenpannen

Im Falle einer Verletzung des Schutzes Ihrer personenbezogenen Daten, die voraussichtlich ein Risiko für Ihre Rechte und Freiheiten zur Folge hat, benachrichtigen wir die zuständige Aufsichtsbehörde unverzüglich — möglichst binnen 72 Stunden (Art. 33 DSGVO). Bei hohem Risiko informieren wir Sie zusätzlich direkt (Art. 34 DSGVO). Dies gilt auch für pseudonymisierte Daten, solange kein vollständig anonymer Zustand erreicht wurde.

Selbstbedienung: Ihre Daten löschen (Art. 17 DSGVO)

Sie können jederzeit die Löschung aller zu Ihnen gespeicherten Daten verlangen — unabhängig von der aktuellen Phase:

Über unsere Selbstbedienungs-Seite: app.eventmyself.de/privacy/delete-my-data

Geben Sie dort einfach Ihre E-Mail-Adresse an und bestätigen Sie die Löschung. Innerhalb von Sekunden werden alle mit Ihrer E-Mail verknüpften Einträge entfernt: aktive Gäste-Einträge, pseudonymisierte Einträge, Feedback-Nachrichten und Verknüpfungen in den Aggregat-Statistiken der Veranstalter.

Was wir zur Dokumentation behalten: Einen Audit-Eintrag mit dem Hash Ihrer E-Mail-Adresse und dem Zeitpunkt der Anfrage. Dieser Hash ist irreversibel und erlaubt keinen Rückschluss auf Ihre Identität. Er dient ausschließlich der Nachweispflicht gegenüber Aufsichtsbehörden, dass Ihre Löschanfrage erfüllt wurde.

Alternativ können Sie uns formlos per E-Mail an info@eventmyself.de kontaktieren.

21. Auftragsverarbeitung

Wir setzen folgende Auftragsverarbeiter ein, mit denen jeweils ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO geschlossen wurde bzw. die entsprechende DPA (Data Processing Agreement) des Anbieters gilt:

  • Supabase Inc. — Datenbank, Authentifizierung, Dateispeicher (Region: eu-central-1, Frankfurt)
  • Hostinger International Ltd. — Frontend-Hosting (Serverstandort: Deutschland)
  • 1blu business GmbH — n8n-Automatisierungsserver (Serverstandort: Deutschland)
  • Sendinblue GmbH (Brevo) — Transaktionaler E-Mail-Versand (Serverstandort: Deutschland/EU)
  • Google Ireland Limited — Google Analytics (nur mit Einwilligung; EU-US DPF)

22. Datenübermittlung in Drittländer

Eine Übermittlung personenbezogener Daten in Länder außerhalb der EU/EWR findet in folgenden Fällen statt:

  • Google Analytics (USA): Nur mit Ihrer ausdrücklichen Einwilligung. Grundlage: EU-US Data Privacy Framework (DPF).
  • Google Fonts (USA): Beim Laden der Schriftarten wird Ihre IP-Adresse an Google-Server übermittelt. Grundlage: Berechtigtes Interesse + EU-US DPF.
  • jsDelivr/Cloudflare CDN (global): Beim Laden des Chat-Widgets. Grundlage: Berechtigtes Interesse + EU-Standardvertragsklauseln.
  • Supabase Inc. (USA als Firmensitz, Daten in EU): Datenverarbeitung erfolgt in Frankfurt (eu-central-1). Grundlage: SCCs + AVV.

In allen anderen Fällen findet keine Übermittlung in Drittländer statt.

23. Kinder und Minderjährige (Art. 8 DSGVO)

Grundsatz: Unser Dienst richtet sich an Erwachsene

Unsere Veranstalter-Accounts (Organizer) richten sich ausschließlich an Personen ab 16 Jahren. Wir erheben keine personenbezogenen Daten von Kindern unter 16 Jahren für die Anlage eigener Organizer-Accounts.

Kinder als Gäste an Events

Kinder können als Teilnehmer an Events erfasst werden — typischerweise durch einen Elternteil oder Erziehungsberechtigten, der sich selbst anmeldet und sein Kind als Begleitperson angibt. Gemäß Art. 8 Abs. 1 DSGVO ist bei Verarbeitungen, die auf Einwilligung beruhen (Art. 6 Abs. 1 lit. a DSGVO), bei Kindern unter 16 Jahren die Einwilligung der Erziehungsberechtigten erforderlich. Die anmeldende Person versichert mit der Registrierung, dass diese Einwilligung vorliegt.

Ausnahme: Kind meldet sich ohne Elternteil an

In Einzelfällen (z. B. Kindergeburtstag, bei dem das Kind ohne Begleitperson kommt) kann ein Kind ausnahmsweise ohne gleichzeitig anwesenden Elternteil als eigenständiger Gast angelegt werden. Auch hier setzen wir voraus, dass die Einwilligung der Erziehungsberechtigten vom Veranstalter eingeholt wurde. Der Veranstalter ist verpflichtet, sich davon zu überzeugen, bevor er eine E-Mail-Adresse des Kindes für Event-Kommunikation hinterlegt.

Datenminimierung bei Kindern

Wir verarbeiten von Kindern grundsätzlich nur das, was für die Teilnahme am Event zwingend erforderlich ist: Vor- und Nachname, ggf. Alter/Altersgruppe bei altersbezogenen Angeboten. Eine E-Mail-Adresse wird nur erhoben, wenn das Kind ohne Elternteil teilnimmt und direkt erreichbar sein muss (für Event-Updates, Ticket, Erinnerungen). Telefonnummern von Kindern werden nicht standardmäßig erfasst.

Lebenszyklus gilt auch für Kinder-Daten

Daten von Kindern unterliegen dem gleichen 3-Phasen-Lebenszyklus wie Erwachsenen-Daten (siehe Abschnitt 20): Volle Daten in Phase 1 (0–30 Tage), Pseudonymisierung in Phase 2 (30 Tage bis 2 Jahre), Anonymisierung ab 2 Jahren. Erziehungsberechtigte können jederzeit die sofortige Löschung verlangen — ohne Angabe von Gründen.

Ihre Rechte als Erziehungsberechtigte

Eltern bzw. Erziehungsberechtigte können die Rechte des Kindes nach Art. 15–22 DSGVO in dessen Namen ausüben. Das umfasst insbesondere:

  • Auskunft darüber, welche Daten des Kindes verarbeitet werden (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Sofortige Löschung (Art. 17 DSGVO) — über unsere Selbstbedienungs-Seite unter app.eventmyself.de/privacy/delete-my-data oder per E-Mail an info@eventmyself.de
  • Widerruf einer zuvor erteilten Einwilligung (Art. 7 Abs. 3 DSGVO)

Was wir tun, wenn wir unrechtmäßige Kinderdaten entdecken

Sollten wir Kenntnis davon erlangen, dass ein Organizer-Account von einer Person unter 16 Jahren angelegt wurde oder dass Daten eines Kindes ohne Einwilligung der Erziehungsberechtigten verarbeitet werden, werden wir die betroffenen Daten unverzüglich löschen und den Account sperren.

24. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht. Die jeweils aktuelle Version gilt für Ihren erneuten Besuch. Wesentliche Änderungen werden wir registrierten Nutzern per E-Mail mitteilen.

Stand: April 2026

← Zur EventMyself Startseite
EventMyself - Kostenlose Gästeliste App & Event-Planer

Die smarte Art, Events zu planen und Gäste zu verwalten.

Produkt

  • Funktionen
  • Preise
  • FAQ

Unternehmen

  • Kontakt
  • Jetzt anrufen

Rechtliches

  • Datenschutz
  • Impressum
  • AGB

© 2024 EventMyself. Alle Rechte vorbehalten. v1.2 (NoCache)

Mit ♥ gemacht in Detmold

Letztes Update: März 2025

🍪

Privatsphäre & Cookies

Wir nutzen Cookies, um dein Erlebnis zu verbessern. Einige sind technisch notwendig, andere helfen uns, die Website zu analysieren und für Marketingzwecke. Datenschutzerklärung lesen