Datenschutz

Für den Betrieb der Plattform, Accounts, Sicherheit, Abrechnung der Plattformgebühr, technische Betriebsprotokolle und eigene Support-/Meldewege ist der BasarZauber-Plattformbetreiber verantwortlich.

Für den konkreten Basar, Verkäuferbedingungen, Annahme und Rückgabe von Waren, lokale Käufer-/Verkäuferkommunikation, Verkäuferkosten und Auszahlung ist der jeweilige Veranstalter verantwortlich. Je nach Vereinbarung kann BasarZauber bei eventbezogenen Daten außerdem als Auftragsverarbeiter des Veranstalters tätig sein.

Wir verarbeiten Daten zur Bereitstellung der Plattform, zur Account- und Rollenverwaltung, zur Basar-Organisation, zur Verkäuferbewerbung, zur Artikel- und Kassenabwicklung, zur Auszahlungsvorbereitung, zur Sicherheit, zur Fehleranalyse, zur Erfüllung gesetzlicher Pflichten und zur Durchsetzung oder Abwehr von Ansprüchen.

Als Rechtsgrundlagen kommen insbesondere Vertragserfüllung bzw. vorvertragliche Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO), gesetzliche Pflichten (Art. 6 Abs. 1 lit. c DSGVO), berechtigte Interessen an Betrieb, Sicherheit, Missbrauchsabwehr und Nachweisbarkeit (Art. 6 Abs. 1 lit. f DSGVO) sowie ausdrückliche Einwilligungen dort in Betracht, wo die Oberfläche sie gesondert abfragt.

Wenn BasarZauber Daten im Auftrag eines Veranstalters verarbeitet, erfolgt dies auf Grundlage der jeweiligen Vereinbarung mit dem Veranstalter und der zugehörigen AVV-/TOM-Unterlagen.

Bei der Kontoerstellung und Anmeldung verarbeiten wir insbesondere Name, E-Mail-Adresse, Passwort-/Provider-Anmeldedaten, Verifizierungs- und Zurücksetzen-Tokens, Spracheinstellungen sowie die gespeicherte Annahme der Nutzungsbedingungen und Datenschutzhinweise mit Version und Zeitpunkt.

Für Sitzungen speichert das Authentifizierungssystem technische Sitzungsdaten wie Session-Token, Ablaufzeitpunkt, IP-Adresse und User-Agent. Diese Daten werden benötigt, um angemeldete Bereiche, Rollen und Sicherheitsprüfungen bereitzustellen.

E-Mail-Adressen werden für Anmeldung, Verifizierung, Passwortwiederherstellung, wichtige Plattformkommunikation und eventbezogene Benachrichtigungen genutzt, soweit diese für die Nutzung erforderlich sind.

Für Basare verarbeiten wir Titel, Beschreibung, Zeiten, Ort, Geokoordinaten, Zeitzone, öffentliche Veranstalterangaben, interne Prüf- und Kontaktangaben, Verkäuferbedingungen, Gebühren-/Kostenangaben, Rollen, Freigabestatus und zugehörige Auditdaten.

Für Verkäufer:innen verarbeiten wir Bewerbungen, Verkäuferkennungen, Verkäuferbedingungen-Akzeptanz mit Version/Snapshot, Artikeltexte, Preise, Etiketten-Codes, Angebotsstatus, Verkaufsstatus und für die Organisation notwendige Rollen- oder Zuordnungsdaten.

Für den physischen Kassenbetrieb verarbeitet BasarZauber Transaktions- und Artikel-Snapshots wie Artikelanzahl, Summe, Status, Kassiererkennung, Verkäuferkennung, Etikett-Nummer, Preis und Artikeltext. In V1 gibt es keinen Online-Kauf, keine Online-Zahlung und keine von BasarZauber gehaltenen Käufergelder.

IBANs werden accountbezogen gespeichert, damit der jeweilige Basar-Veranstalter Verkäuferauszahlungen nach dem Basar vorbereiten und durchführen kann. BasarZauber ist dabei technische Plattform, nicht Auszahlungsstelle oder Zahlungsdienstleister.

Zugriff auf rohe IBANs erhalten nur dafür berechtigte Personen des konkreten Basars, insbesondere Hauptverantwortliche und Basar-Admins bzw. autorisierte Auszahlungsexporte. Kassierer:innen, andere Verkäufer:innen, öffentliche Seiten und allgemeine Plattformrollen erhalten keinen routinemäßigen Zugriff auf fremde IBANs.

Die IBAN bleibt im Account gespeichert, bis sie ersetzt oder gelöscht wird oder eine Account-Löschung greift. Eventbezogener Zugriff soll auf den Auszahlungs- und Abrechnungszweck begrenzt bleiben; Nachweis-, Abrechnungs-, Support- oder Rechtsverteidigungsfristen können eine begrenzte weitere Verarbeitung einzelner Auszahlungsvorgänge erforderlich machen.

Der Produktionsbetrieb läuft auf Hetzner-Infrastruktur. Dazu gehören Anwendung, PostgreSQL-Datenbank, Reverse Proxy, SMTP/E-Mail-Versand und S3-kompatibler Object Storage für Uploads und Backups. Der Betreiber hat für Hetzner nach aktuellem Planungsstand eine AVV/DPA abgeschlossen.

E-Mails werden per SMTP versendet, insbesondere für Verifizierung, Anmeldung, System- und eventbezogene Kommunikation. Dabei können Empfängeradresse, Betreff, Versandzeitpunkt, technische Zustellinformationen und der Inhalt der jeweiligen E-Mail verarbeitet werden.

Eventbilder und Uploads werden in Hetzner Object Storage gespeichert. Bilder werden vor dem Upload normalisiert und öffentlich eingebunden, wenn sie für einen freigegebenen Basar angezeigt werden; interne Backups werden getrennt im privaten Object Storage gespeichert.

Bei der Adresssuche sendet BasarZauber Suchbegriffe serverseitig an Nominatim/OpenStreetMap, um Ortsvorschläge, Koordinaten und Zeitzonenhinweise zu ermitteln. Die Suche ist gedrosselt und zwischengespeichert, damit nicht jeder Tastendruck unmittelbar an den externen Dienst geht.

Öffentliche Karten können OpenStreetMap-Kacheln direkt aus dem Browser laden. Dabei erhält der jeweilige Kartendienst technisch notwendige Daten wie IP-Adresse, Browserinformationen und die aufgerufenen Kartenausschnitte.

Links zur Routen- oder Kartenansicht können auf Google Maps verweisen. Erst beim Öffnen dieses externen Links verarbeitet Google die Anfrage nach eigenen Bedingungen; BasarZauber übermittelt keine Google-Maps-Anfrage im Hintergrund.

BasarZauber nutzt technische Betriebsprotokolle, Fehler- und Performance-Signale sowie Systemmetriken ausschließlich für Betrieb, Sicherheit, Fehleranalyse und Stabilität der Plattform. Die Verarbeitung erfolgt in der selbst betriebenen Monitoring-Umgebung auf der BasarZauber-Infrastruktur bei Hetzner.

Erfasst werden technische Signale wie JavaScript-Fehler, Performancewerte, Seitenaufrufe bzw. Navigationswechsel, Seiten-URLs, technische Sitzungskennungen sowie Browser-/Geräteinformationen. Die Erfassung von Konsolenmeldungen ist deaktiviert, damit keine Inhalte aus Formularen oder Admin-Oberflächen übertragen werden.

BasarZauber übergibt keine Account-, Verkäufer-, Käufer- oder Artikelkennungen an das Browser-Monitoring und nutzt diese Daten nicht für Marketing-Tracking, Session-Replay oder Werbeprofile. Jede spätere Erweiterung der Telemetrie erfordert eine gesonderte Prüfung.

Technische Betriebsprotokolle, Fehlertelemetrie und Systemmetriken werden derzeit grundsätzlich 14 Tage für Betrieb, Fehleranalyse und Sicherheit vorgehalten; vorfallbezogene Auszüge können ausnahmsweise länger benötigt werden, wenn dies dokumentiert und rechtlich erforderlich ist.

Die Kassen-Scannerfunktion kann im Browser um Zugriff auf die Gerätekamera bitten, um Etiketten-Codes lokal zu lesen. Die Kamera wird erst nach Browserfreigabe genutzt.

Nach aktuellem Stand verarbeitet BasarZauber die Kamerabilder lokal im Browser zur Code-Erkennung und lädt keine Kamera-Bilder oder Videos auf den Server hoch. Gespeichert werden nur die resultierenden Artikel-/Etikettencodes und die damit ausgelösten Kassen- oder Testbench-Ereignisse.

Interne Empfänger sind nur Personen und Rollen, die die Daten für ihre Aufgabe benötigen, etwa Plattformbetreiber, Plattform-Admins, Hauptverantwortliche, Basar-Admins, Kassierer:innen oder Verkäufer:innen mit jeweils begrenzten Rechten. Öffentliche Seiten zeigen nur freigegebene Basar- und Veranstalterangaben.

Dienstleister und technische Empfänger sind insbesondere Hetzner für Hosting, Datenbankbetrieb, SMTP/E-Mail, Object Storage und Backups sowie OpenStreetMap/Nominatim und Google Maps für die jeweils beschriebenen Karten- und Adressfunktionen. GitHub/GHCR kann für Quellcode-, Build- und Container-Registry-Prozesse technische Deploy-Metadaten verarbeiten.

Daten werden nicht verkauft und nicht für Werbung oder externe Marketingprofile weitergegeben. Eine Übermittlung an Behörden, Gerichte oder Berater erfolgt nur, wenn sie gesetzlich erforderlich ist oder zur Rechtsdurchsetzung bzw. Rechtsverteidigung benötigt wird.

BasarZauber nutzt kategorienbezogene Aufbewahrungsregeln. Accountdaten werden grundsätzlich für die Dauer des Accounts verarbeitet; Event-, Verkäufer-, Artikel-, Transaktions-, Gebühren-, Akzeptanz- und Auditdaten bleiben so lange erhalten, wie sie für Eventbetrieb, Abrechnung, Nachweis, Support, Sicherheit, Rechtsverteidigung oder gesetzliche Pflichten benötigt werden.

Technische Betriebsprotokolle, Fehlertelemetrie und Systemmetriken werden derzeit grundsätzlich 14 Tage aufbewahrt. Datenbank-Backups altern getrennt aus; Löschungen werden zuerst im Livesystem umgesetzt und wirken in Backups erst mit Ablauf der Backup-Aufbewahrung.

Für einzelne Kategorien – insbesondere Backups, Eventarchive, Uploads, Auditlogs, Supportkommunikation und automatische Accountlöschung – bestehen gesonderte Umsetzungs- oder Betreiberentscheidungen. Deshalb verspricht BasarZauber keine pauschale automatische Löschung nach einem einzigen Zeitraum.

Betroffene Personen können Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch gegen bestimmte Verarbeitungen verlangen. Soweit eine Verarbeitung auf Einwilligung beruht, kann diese mit Wirkung für die Zukunft widerrufen werden.

Anfragen können über die im Impressum genannte Kontaktadresse gestellt werden. BasarZauber prüft dabei, ob gesetzliche Aufbewahrungsfristen, offene Abrechnungen, Auszahlungs-, Support-, Sicherheits- oder Rechtsverteidigungsgründe einer sofortigen Löschung entgegenstehen.

Außerdem besteht das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung personenbezogener Daten gegen Datenschutzrecht verstößt.