1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) ist:

2. Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Plattform sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung personenbezogener Daten erfolgt regelmäßig nur nach Einwilligung des Nutzers oder wenn die Verarbeitung durch gesetzliche Vorschriften gestattet ist.

Tresenhelden befindet sich derzeit in einer öffentlichen Testphase (Beta). Die im Rahmen der Testphase verarbeiteten Daten unterliegen denselben Schutzmaßnahmen wie im regulären Betrieb.

3. Welche Daten wir verarbeiten und warum

3.1 Besuch der Website (Logdaten)

Beim Aufruf unserer Plattform werden technische Zugriffsdaten in Server-Logs gespeichert: gekürzte IP-Adresse, aufgerufene URL, Browsertyp, Referrer-URL, Datum und Uhrzeit des Zugriffs. IP-Adressen werden unmittelbar bei der Protokollierung anonymisiert, sodass eine Rückverfolgung auf einzelne Nutzer nicht möglich ist.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und dem ordnungsgemäßen Betrieb der Plattform). Die Logdaten werden nach spätestens 14 Tagen automatisch gelöscht.

3.2 Registrierung und Nutzerkonto

Für die Registrierung erheben wir: E-Mail-Adresse, Passwort (kryptografisch gesichert gespeichert, nie im Klartext), optionalen Anzeigenamen, Sprach- und Geschmacks-Präferenzen sowie Datum und Uhrzeit der Registrierung. Vor der ersten Nutzung muss die E-Mail-Adresse über einen Bestätigungslink verifiziert werden (Double-Opt-In).

Optional kann eine Anmeldung per Google-Konto erfolgen (Google Sign-In); dabei werden zusätzlich Google-User-ID, E-Mail-Adresse und ggf. der Anzeigename übertragen. Details siehe Abschnitt 4 (Auftragsverarbeiter).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Daten werden für die Dauer des Nutzungsverhältnisses gespeichert. Bei Account-Löschung werden alle direkt mit dem Konto verknüpften Daten unverzüglich gelöscht (siehe Abschnitt 7).

3.3 Nutzung der Plattform

Im Rahmen der aktiven Nutzung verarbeiten wir:

• von Ihnen eingestellte Inhalte (Bar-Bewertungen, Attribut-Vorschläge, Fotos, Bar-Posts, Tour-Notizen),
• Freundschaftsverbindungen, Pings (Kneipentreffen-Einladungen) und Tour-Run-Daten (Live-Bartour-Status),
• gefolgte Bars und Nutzungspräferenzen,
• Beiträge zur Datenanreicherung (Community-Mitmachen-Funktion),
• Erfolge / Trophies und Bar-Pass-Stempel (Gamification-Funktionen),
• technische Nutzungsdaten (Geräteinformationen, Browser-Sprache, Push-Endpoint).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3.4 Standortdaten (GPS)

Wir unterscheiden zwischen zwei Arten von Standortdaten:

(a) Aktueller Geräte-Standort. Einzelne Funktionen (Suche nach Bars in der Nähe, ortsbasierte Pings, Sonnenkarte) erfordern den aktuellen Standort Ihres Geräts. Die Erhebung erfolgt ausschließlich nach Ihrer ausdrücklichen Einwilligung über die Berechtigungsabfrage Ihres Browsers bzw. Betriebssystems. Diese Standortdaten werden ausschließlich kurzzeitig zur Beantwortung der jeweiligen Anfrage verarbeitet und nicht dauerhaft auf unseren Servern gespeichert; nach Ausführung der Anfrage werden sie verworfen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

(b) Vom Nutzer aktiv eingegebene Standortdaten. Beim Anlegen eines Tour-Runs kann der Nutzer einen Treffpunkt mit Adresse und Koordinaten hinterlegen; Bar- Inhaber hinterlegen die Anschrift und Koordinaten ihrer Bar. Diese vom Nutzer aktiv eingegebenen Standortdaten werden — anders als unter (a) — dauerhaft mit dem zugehörigen Datensatz (Tour-Run, Bar) gespeichert und sind über Share-Links bzw. die öffentliche Bar-Detailseite einsehbar. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — die Standort-Angabe ist konstitutiver Bestandteil der jeweiligen Funktion).

3.5 Foto-Uploads

Hochgeladene Bilder (Cover-Fotos, Bar-Fotos, Tour-Run-Fotos) werden auf unserer Server-Infrastruktur (siehe Abschnitt 4) gespeichert. Bilder werden vor der Speicherung serverseitig optimiert; in den Bilddateien enthaltene Metadaten – insbesondere GPS-Standortdaten – werden dabei automatisch entfernt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und – soweit Bilder öffentlich sichtbar sein sollen – Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch das aktive Hochladen).

Recht am eigenen Bild Dritter: Soweit auf hochgeladenen Bildern erkennbare Personen abgebildet sind, ist es ausschließlich die Verantwortung des Uploaders, für die nach §§ 22, 23 KunstUrhG bzw. Art. 6 Abs. 1 lit. a DSGVO erforderlichen Einwilligungen der abgebildeten Personen zu sorgen. Wir prüfen Bild-Inhalte nicht proaktiv. Betroffene Personen, die ohne ihre Einwilligung abgebildet wurden, können die Entfernung des Bildes per E-Mail an info@tresenhelden.de verlangen (Notice-and-Take-Down); wir prüfen Hinweise unverzüglich und entfernen rechtswidrige Inhalte zeitnah.

3.6 Push-Benachrichtigungen

Auf Wunsch senden wir Ihnen Web-Push-Benachrichtigungen (z. B. zu Freunde-Anfragen, Pings oder gefolgten Tour-Runs). Hierfür speichern wir den von Ihrem Browser bereitgestellten Push-Endpoint und die zugehörigen Verschlüsselungs-Schlüssel.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können den Push-Versand jederzeit in den Browser- oder Geräte-Einstellungen widerrufen.

3.7 Newsletter und Marketing-E-Mails (optional)

Bei der Registrierung können Sie freiwillig zustimmen, gelegentliche Marketing-E-Mails zu erhalten (Newsletter, neue Funktionen, Bar-Tipps, persönliche Nachrichten von Rene oder Matthias aus dem Team). Die Zustimmung ist nicht voreingestelltund keine Voraussetzung für die Nutzung der Plattform.

Verarbeitet werden hierfür Ihre E-Mail-Adresse und – sofern angegeben – Ihr Anzeigename. Jede Marketing-E-Mail enthält am Seitenende einen Abmelde-Link; alternativ können Sie die Einwilligung jederzeit unter „Profil → Einstellungen" widerrufen. Der Widerruf wirkt für die Zukunft; die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung bleibt unberührt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die E-Mail-Adresse wird nach Widerruf aus dem Marketing-Verteiler entfernt; die Einwilligungs-Erklärung (Datum, Inhalt, Widerrufs-Datum) wird zum Nachweis der ordnungsgemäß eingeholten Einwilligung für 3 Jahre nach Widerruf aufbewahrt (Verjährungsfrist § 195 BGB / § 11 UWG).

3.8 Tour-Run-Share-Links

Wenn Sie als Tour-Veranstalter einen öffentlichen Tour-Run mit Share-Link erstellen, werden die Inhalte (Tour-Titel, Treffpunkt, Bar-Liste, hochgeladene Fotos, Live-Status) für jeden Empfänger des Share-Links abrufbar. Der Link enthält ein zufällig generiertes Token; ein Erraten ist praktisch ausgeschlossen, der Link ist aber nicht passwortgeschützt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – aktiv durch das Erstellen des Tour-Runs vom Nutzer ausgelöst).

3.9 Kontaktaufnahme

Wenn Sie uns per E-Mail kontaktieren, das Feedback-Formular oder Bar-Reports nutzen, verarbeiten wir Ihre E-Mail-Adresse (sofern eingeloggt oder freiwillig angegeben) sowie die Inhalte Ihrer Nachricht zur Bearbeitung Ihrer Anfrage. Anonyme Reports und Feedback sind möglich.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung der Anfrage).

4. Einsatz von Auftragsverarbeitern und Drittdienstleistern

Für den Betrieb der Plattform setzen wir folgende Dienstleister ein, mit denen wir – soweit es sich um eine Auftragsverarbeitung handelt – Verträge gemäß Art. 28 DSGVO abgeschlossen haben. Soweit Daten in Drittländer übermittelt werden, erfolgt dies auf Basis von Standardvertragsklauseln (SCC) der Europäischen Kommission und/oder dem EU-US Data Privacy Framework.

5. Cookies und ähnliche Technologien

Wir verwenden ausschließlich technisch notwendige Cookies, die für den Betrieb der Plattform unerlässlich sind: insbesondere ein Session-Cookie für den eingeloggten Bereich (Ablauf nach 7 Tagen) sowie – während der Beta-Phase – ein Beta-Zugangs-Cookie. Optional wird Ihre Sprach-Präferenz (DE/EN) als Cookie gespeichert.

Tracking-Cookies oder Cookies zu Werbezwecken werden nicht eingesetzt. Sie können Cookies in Ihren Browsereinstellungen deaktivieren; in diesem Fall ist der eingeloggte Bereich nicht nutzbar.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG (technisch notwendige Cookies).

5.1 Reichweitenmessung (cookieless)

Zur Verbesserung der Plattform messen wir die Reichweite einzelner Seiten in aggregierter Form. Hierfür betreiben wir eine eigene, selbst-gehostete Instanz der Open-Source-Software „Umami" auf demselben Server, auf dem auch BarFinder.app läuft. Es findet keine Übertragung an Dritte und kein Drittland-Transfer statt.

Umami arbeitet ohne Cookies und ohne Speicherung im Browser (keinlocalStorage, kein sessionStorage). Wiederkehrende Besuche werden nicht über Geräte- oder Sitzungsgrenzen hinweg verknüpft. Erfasst werden ausschließlich:

• aufgerufene Seite (URL-Pfad ohne Parameter)
• Verweisquelle (Referrer)
• Browser, Betriebssystem, Gerätetyp, Bildschirm-Größenklasse
• grobe Herkunft (Land/Region) auf Basis einer kurzen, anonymisierten Kennung

Die IP-Adresse wird nicht gespeichert. Stattdessen wird aus IP und Browser-Kennung mit einem täglich rotierenden, nicht-rekonstruierbaren Salt eine pseudonyme Kurz-Kennung gebildet, die nach Tageswechsel verworfen wird. Eine Zuordnung zu einer konkreten Person ist uns nicht möglich.

Da weder Cookies noch andere Identifier auf dem Endgerät gesetzt oder ausgelesen werden, ist eine Einwilligung nach § 25 Abs. 1 TTDSG nicht erforderlich. Rechtsgrundlage für die anschließende Auswertung der so gewonnenen Daten ist unser berechtigtes Interesse an einer datensparsamen Reichweitenmessung (Art. 6 Abs. 1 lit. f DSGVO).

Sie können der Reichweitenmessung jederzeit widersprechen, indem Sie in Ihrem Browser einen Do-Not-Track-Header setzen oder gängige Werbe-/Tracking-Blocker verwenden – Umami respektiert beide.

6. Rechtsgrundlagen der Verarbeitung

7. Speicherdauer und Löschung

Personenbezogene Daten werden nur so lange gespeichert, wie dies für die jeweiligen Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen:

• Anonymisierte Server-Logs: 14 Tage.
• Interne Fehler-Reports: 90 Tage.
• Newsletter-Einwilligungs-Nachweis (Datum, Inhalt der Einwilligung, Widerrufs-Datum): 3 Jahre nach Widerruf (Verjährungsfrist § 195 BGB / § 11 UWG).
• Konto- und Inhaltsdaten: für die Dauer des Nutzungsverhältnisses.
• Account-Löschung: Direkt mit dem Konto verknüpfte personenbezogene Daten (Push-Subscriptions, Benachrichtigungen, Freundschaften, Bar-Follows, Rollen) werden bei Klick auf „Account löschen" sofort gelöscht; das Konto selbst wird anonymisiert und innerhalb von 30 Tagen final entfernt, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Steuerlich relevante Rechnungsdaten (Zahlungsabwicklung): 10 Jahre gemäß § 147 AO.

8. Datenübermittlung in Drittländer

Soweit wir Dienstleister aus den USA einsetzen (Stripe, Google, CARTO), gelten die USA datenschutzrechtlich als Drittland ohne pauschales angemessenes Schutzniveau. Die Übermittlung erfolgt:

• auf Basis von EU-Standardvertragsklauseln (SCC, Beschluss 2021/914/EU);
• soweit der Empfänger nach dem EU-US Data Privacy Framework zertifiziert ist (Stripe, Google), zusätzlich auf Basis des Angemessenheitsbeschlusses der EU-Kommission vom 10. Juli 2023.

Die zentrale Datenverarbeitung (Datenbank, Bilder-Storage, Anwendungsserver) findet ausschließlich auf unserem Server in Deutschland (STRATO AG, Berlin) statt.

9. Ihre Rechte als betroffene Person

Sie haben gegenüber uns folgende Rechte:

• Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über die bei uns gespeicherten personenbezogenen Daten verlangen.
• Berichtigungsrecht (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger oder unvollständiger Daten verlangen.
• Löschungsrecht (Art. 17 DSGVO): Sie können die Löschung Ihrer personenbezogenen Daten verlangen. Eingeloggte Nutzer können das Konto direkt unter „Profil → Sicherheit → Account löschen" entfernen; alle direkt verknüpften Daten werden sofort gelöscht.
• Einschränkung der Verarbeitung (Art. 18 DSGVO).
• Datenübertragbarkeit (Art. 20 DSGVO): Auf Anfrage stellen wir Ihnen Ihre personenbezogenen Daten in einem strukturierten, gängigen, maschinenlesbaren Format (JSON) zur Verfügung. Senden Sie hierfür eine Anfrage an info@tresenhelden.de.
• Widerspruchsrecht (Art. 21 DSGVO).
• Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO).

Zur Geltendmachung Ihrer Rechte wenden Sie sich bitte an: info@tresenhelden.de. Wir bearbeiten Ihre Anfrage innerhalb von einem Monat nach Eingang (Art. 12 Abs. 3 DSGVO). Bei besonders aufwendigen oder komplexen Anfragen kann diese Frist um bis zu zwei weitere Monate verlängert werden; in diesem Fall informieren wir Sie innerhalb des ersten Monats über die Verlängerung und ihre Gründe.

Erforderlichkeit der Bereitstellung Ihrer Daten

Die Bereitstellung der für die Registrierung verlangten Daten (E-Mail-Adresse, Passwort) ist vertraglich erforderlich; ohne diese Angaben können wir kein Nutzerkonto anlegen und Ihnen die Plattform nicht zur Verfügung stellen. Eine gesetzliche Pflicht zur Bereitstellung besteht nicht. Alle weiteren Angaben (z. B. Anzeigename, Geschmacks-Präferenzen) sind freiwillig; ihre Nichtangabe hat keine Auswirkungen auf die Nutzbarkeit der Basisfunktionen.

Automatisierte Entscheidungsfindung / Profiling

Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO – einschließlich Profiling – findet auf der Plattform nicht statt. Algorithmische Sortierungen (z. B. „Beliebte Bars", „Empfohlene Tour-Runs") greifen nicht in die Rechte oder wesentliche Interessen der betroffenen Personen ein.

10. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren (Art. 77 DSGVO). Zuständig für unsere GbR mit Sitz in Hamburg ist:

11. Datensicherheit

Wir treffen geeignete technische und organisatorische Maßnahmen nach dem Stand der Technik, um Ihre Daten gegen zufällige oder vorsätzliche Manipulationen, Verlust, Zerstörung oder den Zugriff unberechtigter Personen zu schützen. Dazu gehören insbesondere:

• verschlüsselte Datenübertragung,
• kryptografische Speicherung von Passwörtern und Sicherheits-Tokens,
• strenge Sicherheits-Header und restriktive Cookie-Einstellungen,
• Anonymisierung von IP-Adressen in Logs,
• Schutzmaßnahmen gegen automatisierte Angriffe auf den Login,
• Validierung und Bereinigung hochgeladener Dateien,
• verschlüsselte, regelmäßige Off-Site-Backups,
• regelmäßige Sicherheitsupdates der eingesetzten Software,
• strikte Zugangsbeschränkungen auf Server-Ebene.

Aus Sicherheitsgründen werden konkrete Versionen, Algorithmen und Konfigurations-Details nicht öffentlich genannt. Auf Anfrage erteilen wir Aufsichtsbehörden und betroffenen Personen ergänzende Auskünfte.

12. Aktualität und Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung hat den Stand April 2026. Durch die Weiterentwicklung unserer Plattform oder aufgrund geänderter gesetzlicher Anforderungen kann es notwendig werden, diese Datenschutzerklärung anzupassen. Die jeweils aktuelle Fassung ist stets unter /privacy abrufbar.

Hinweis zu Hosting-Wechseln: Bei einem späteren Wechsel zu einem anderen EU-Hosting- Anbieter wird diese Datenschutzerklärung entsprechend aktualisiert. Eine Übermittlung in Drittländer ist mit einem Hosting-Wechsel nicht verbunden.