Datenschutzerklärung

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze ist:

[bitte in .env.local eintragen]
[bitte in .env.local eintragen]
[bitte in .env.local eintragen]
E-Mail: [bitte in .env.local eintragen]

Bei Fragen zum Datenschutz erreichst du uns unter der oben genannten E-Mail-Adresse.

johive ist eine Plattform zur Erstellung und Verwaltung digitaler Event-Einladungen. Gastgeber können Einladungen gestalten, RSVPs sammeln und Mitbringlisten organisieren. Gäste können ohne eigenes Benutzerkonto auf Einladungen reagieren.

Wir setzen keine Werbe-Analytics, kein Tracking über Drittanbieter-Pixel und kein Verhaltensprofiling zu Marketingzwecken ein. Personenbezogene Daten verarbeiten wir nur, soweit dies für den Betrieb der Plattform, die Vertragserfüllung oder aufgrund deiner Einwilligung erforderlich ist.

Die Webanwendung johive wird auf Servern in Deutschland betrieben (Hostinger VPS). Vor der Anwendung kommt ein Nginx-Reverse-Proxy mit TLS-Verschlüsselung zum Einsatz.

Beim Aufruf unserer Website werden technisch notwendige Verbindungsdaten verarbeitet, darunter IP-Adresse, Datum und Uhrzeit der Anfrage, angeforderte URL, HTTP-Statuscode, übertragene Datenmenge, Browsertyp und Betriebssystem. Diese Daten werden in Server-Logfiles gespeichert.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der sicheren und stabilen Bereitstellung unseres Angebots). Die Logdaten werden nach Ablauf der technisch erforderlichen Aufbewahrungsfrist gelöscht, in der Regel nach spätestens 30 Tagen, sofern keine sicherheitsrelevante Aufbewahrung erforderlich ist.

Für öffentliche API-Endpunkte (z. B. RSVP und Mitbringlisten-Reservierung) setzen wir ein Rate-Limiting ein, um Missbrauch zu verhindern.

Wenn du dich als Gastgeber registrierst, erheben wir die von dir angegebenen Daten: E-Mail-Adresse, Passwort (bei uns nur in gehashter Form über Supabase Auth gespeichert) sowie optional einen Anzeigenamen.

Zweck der Verarbeitung ist die Einrichtung und Verwaltung deines Benutzerkontos sowie die Bereitstellung der Plattformfunktionen.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bzw. vorvertragliche Maßnahmen).

Nach der Registrierung kann eine E-Mail-Bestätigung über Supabase Auth versendet werden. Für Passwort-Zurücksetzen verarbeiten wir deine E-Mail-Adresse, um dir einen sicheren Link zu senden.

Du kannst dich alternativ mit deinem Google-Konto anmelden. Dabei leiten wir dich zu Google weiter. Nach erfolgreicher Authentifizierung erhält Supabase Auth von Google typischerweise folgende Daten: E-Mail-Adresse, Anzeigename, Profilbild-URL sowie eine eindeutige Google-Kennung.

Anbieter ist Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Muttergesellschaft: Google LLC, USA).

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Auswahl von „Mit Google anmelden").

Weitere Informationen: https://policies.google.com/privacy

Bei Übermittlung in die USA stützen wir uns auf Standardvertragsklauseln der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO.

In deinen Kontoeinstellungen kannst du einen Anzeigenamen pflegen und ein Profilbild hochladen. Das Bild wird in unserem Dateispeicher (Supabase Storage, Bucket „avatars") gespeichert und als öffentliche URL in deinem Profil hinterlegt.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der Plattform) bzw. Art. 6 Abs. 1 lit. a DSGVO, sofern du freiwillig ein Profilbild hochlädst.

Als Gastgeber speicherst du Event-Daten in deinem Account, darunter Titel, Datum, Uhrzeit, Zeitzone (Standard: Europe/Berlin), Veranstaltungsort, Beschreibung, Dresscode, optionale Atmosphäre-Beschreibung für KI-Hintergründe, Template-Auswahl, Sichtbarkeit (privat oder öffentlich), Teilen-Einstellung sowie optional einen Betrag pro Gast und eine externe Zahlungs-URL.

Hintergrundbilder können hochgeladen oder per KI generiert werden. Hochgeladene Bilder werden im Bucket „event-backgrounds" gespeichert.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Bei freiwilligen Zusatzangaben zusätzlich Art. 6 Abs. 1 lit. a DSGVO.

Gäste benötigen kein Benutzerkonto. Bei einer RSVP-Antwort erheben wir Name, E-Mail-Adresse, Teilnahmeentscheidung (Zusage, Vielleicht, Absage) sowie optional eine persönliche Nachricht (max. 500 Zeichen).

Zur Wiedererkennung bei späteren Besuchen derselben Einladung setzen wir ein technisch notwendiges HttpOnly-Cookie (`johive_guest_{eventId}`) mit einem Zugriffstoken (Gültigkeit: ein Jahr, SameSite=lax). In der Datenbank speichern wir nur einen Hash des Tokens.

Gäste können nach dem RSVP Beiträge im Gäste-Feed veröffentlichen, Emoji-Reaktionen setzen und Artikel auf der Mitbringliste reservieren. Dabei werden die genannten Gastdaten mit der jeweiligen Aktion verknüpft.

Rechtsgrundlage für die Verarbeitung durch den Gastgeber als Verantwortlichen des Events ist Art. 6 Abs. 1 lit. b DSGVO (Durchführung der Einladung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Organisation des Events). johive verarbeitet diese Daten als Auftragsverarbeiter im Auftrag des Gastgebers.

Wir versenden keine Newsletter und keine Werbe-E-Mails an Gäste. Die E-Mail-Adresse dient ausschließlich der Zuordnung der RSVP-Antwort.

Wenn ein Gastgeber die Sichtbarkeit eines Events auf „öffentlich" setzt, kann das Event auf der Seite „Events entdecken" (/explore) angezeigt werden. Sichtbar sind dann Titel, Datum, Ort, Gastgebername und das Hintergrundbild — nicht jedoch Gästelisten oder Gäste-E-Mail-Adressen.

Private Events sind nur über den persönlichen Einladungslink erreichbar.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der vom Gastgeber gewählten Funktion) bzw. Art. 6 Abs. 1 lit. a DSGVO, sofern der Gastgeber die Veröffentlichung aktiv wählt.

Optional kannst du einen Event-Hintergrund per Künstlicher Intelligenz erstellen lassen. Dabei übermitteln wir an OpenAI den Event-Titel, deine Atmosphäre-Beschreibung sowie Template-Informationen (Name, Stil). OpenAI generiert daraus ein Bild, das wir in unserem Dateispeicher ablegen.

Anbieter ist OpenAI, L.L.C., USA. Es kann zu einer Übermittlung personenbezogener Daten in die USA kommen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Nutzung der KI-Funktion) sowie Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.

Pro Nutzer gilt ein Tageslimit für KI-Generierungen. Der verwendete Prompt wird zu Dokumentationszwecken in der Datenbank gespeichert.

Weitere Informationen: https://openai.com/policies/privacy-policy

Für Authentifizierung, relationale Datenbank (PostgreSQL) und Dateispeicher nutzen wir Supabase (Supabase Inc.). Gespeichert werden unter anderem Benutzerprofile, Event-Daten, Gästedaten, Gäste-Beiträge und generierte Hintergründe.

Unser Ziel ist die Nutzung der EU-Region Frankfurt (eu-central-1). Bitte prüfe im Supabase-Dashboard, ob dein Projekt in dieser Region betrieben wird.

Supabase handelt als Auftragsverarbeiter auf Grundlage eines Auftragsverarbeitungsvertrags (AVV/DPA). Row Level Security (RLS) schränkt den Datenzugriff auf autorisierte Nutzer ein.

Weitere Informationen: https://supabase.com/privacy

Wir verwenden Cookies und vergleichbare Technologien:

• Supabase-Auth-Cookies: Sitzungsverwaltung für eingeloggte Gastgeber. Technisch notwendig. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO.
• Gast-Cookie (johive_guest_{eventId}): Wiedererkennung bei RSVP und Mitbringliste ohne Account. Technisch notwendig. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO.
• sessionStorage (johive:event-draft:v1): Zwischenspeicherung eines Event-Entwurfs im Browser, bevor du dich anmeldest. Wird nicht an unsere Server übertragen, bis du den Entwurf speicherst.
• Cookie-Einwilligung (localStorage johive:cookie-consent:v1): Speichert deine Wahl bezüglich externer Medien.
• Externe Medien (Social Embeds): Cookies und Tracking durch TikTok, Instagram oder YouTube werden erst gesetzt, wenn du der Kategorie „Externe Medien" zustimmst oder einen eingebetteten Inhalt aktiv lädst.

Wir betreiben Profile auf TikTok, Instagram und YouTube. Auf unserer Website verlinken wir diese Profile im Footer. Beim Besuch unserer Profile auf den jeweiligen Plattformen gelten die Datenschutzbestimmungen der Plattformbetreiber; wir erhalten keine Daten allein durch deinen Besuch dort.

Auf unserer Startseite können Inhalte dieser Plattformen eingebettet sein (z. B. Videos oder Posts). Diese Einbettungen laden erst nach deiner Einwilligung zur Kategorie „Externe Medien" oder nach aktivem Klick auf „Inhalt laden". Bis dahin werden keine Verbindungen zu den Plattform-Servern aufgebaut.

TikTok: Anbieter TikTok Technology Limited / ByteDance Ltd. Bei Einbettung oder Profilbesuch können IP-Adresse, Geräteinformationen und Nutzungsdaten verarbeitet werden. Datenschutz: https://www.tiktok.com/legal/privacy-policy

Instagram: Anbieter Meta Platforms Ireland Limited / Meta Platforms Inc., USA. Bei Einbettung oder Profilbesuch können Cookies und Nutzungsprofile gesetzt werden. Datenschutz: https://privacycenter.instagram.com/policy

YouTube: Anbieter Google Ireland Limited / Google LLC, USA. Wir nutzen nach Einwilligung die Domain youtube-nocookie.com, um Tracking zu reduzieren. Datenschutz: https://policies.google.com/privacy

Rechtsgrundlage für Einbettungen ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Du kannst die Einwilligung jederzeit widerrufen, indem du die gespeicherte Einwilligung im Browser löschst oder die Cookie-Einstellungen anpasst.

Wir geben personenbezogene Daten nur weiter, wenn dies gesetzlich erlaubt ist, du eingewilligt hast oder die Weitergabe zur Vertragserfüllung notwendig ist.

• Hostinger (VPS-Hosting, Deutschland): Betrieb der Webanwendung und Server-Logfiles.
• Supabase Inc. (bevorzugt EU-Region Frankfurt): Authentifizierung, Datenbank, Dateispeicher.
• OpenAI, L.L.C. (USA): optionale KI-Bildgenerierung.
• Google Ireland Limited / Google LLC (Irland/USA): optional OAuth-Anmeldung; YouTube-Einbettungen.
• Meta Platforms (Irland/USA): optionale Instagram-Einbettungen.
• ByteDance / TikTok (Irland/USA/Singapur): optionale TikTok-Einbettungen.

Wir speichern personenbezogene Daten nur so lange, wie es für die genannten Zwecke erforderlich ist:

• Gastgeber-Account: bis zur Löschung des Accounts durch dich oder uns.
• Event- und Gästedaten: bis der Gastgeber das Event löscht; bei Löschung werden verknüpfte Gäste, Beiträge und Mitbringlisten-Einträge durch Kaskadenlöschung entfernt.
• Server-Logfiles: in der Regel bis zu 30 Tage.
• KI-Generierungsprotokolle: solange das zugehörige Event existiert.
• Cookie-Einwilligung: bis du sie im Browser löschst.

Du hast gegenüber uns folgende Rechte hinsichtlich der dich betreffenden personenbezogenen Daten:

Zur Ausübung deiner Rechte wende dich an [bitte in .env.local eintragen]. Als Gast eines Events wende dich für RSVP-bezogene Daten primär an den jeweiligen Gastgeber; wir unterstützen bei berechtigten Anfragen im Rahmen unserer Rolle als Auftragsverarbeiter.

• Recht auf Auskunft (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Recht auf Widerspruch (Art. 21 DSGVO)
• Recht auf Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO) mit Wirkung für die Zukunft

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn du der Ansicht bist, dass die Verarbeitung deiner Daten gegen die DSGVO verstößt.

Zuständige Aufsichtsbehörde: Die für dich zuständige Landesdatenschutzbehörde (bitte LEGAL_SUPERVISORY_AUTHORITY setzen)

Wir setzen technische und organisatorische Maßnahmen ein, um deine Daten zu schützen, darunter TLS-Verschlüsselung bei der Datenübertragung, Zugriffskontrollen über Row Level Security in der Datenbank, gehashte Gast-Zugriffstokens sowie Rate-Limiting auf öffentlichen Schnittstellen.

Bitte wähle ein sicheres Passwort und gib deine Zugangsdaten nicht an Dritte weiter.

Für die Registrierung als Gastgeber sind E-Mail und Passwort erforderlich. Ohne diese Angaben können wir dir keinen Account bereitstellen.

Für eine RSVP-Antwort sind Name und E-Mail-Adresse erforderlich. Ohne diese Angaben kann deine Teilnahme nicht erfasst werden.

Alle weiteren Angaben (Nachricht, Profilbild, KI-Atmosphäre, öffentliche Sichtbarkeit usw.) sind freiwillig.

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich unsere Dienste, die Rechtslage oder technische Grundlagen ändern. Die jeweils aktuelle Fassung findest du auf dieser Seite.

Stand: 30. Juni 2026