Shia Alliance

Datenschutzerklärung

Stand: 12.04.2026

1. Verantwortlicher

Hamed Nokhostin

Roseggerstrasse 16

41564 Kaarst

Deutschland

E-Mail: [email protected]

2. Geltungsbereich dieser Datenschutzerklärung

Diese Datenschutzerklärung beschreibt die derzeit tatsächlich umgesetzten Verarbeitungen auf der öffentlichen Website, im Event-Einreichungsformular, im invite-only Admin-Bereich und in der zustimmungsabhängigen Analytics-Einbindung.

Sie ist bewusst auf die aktuell im Repository nachvollziehbaren Funktionen beschränkt. Es gibt derzeit keine öffentlichen Nutzerkonten für Besucher, keinen Newsletter, keine Werbe- oder Marketing-Tags und kein Session-Replay.

Die öffentliche Website enthält außerdem ein allgemeines Kontaktformular für Plattformfragen, Event-Korrekturen und Datenschutzanliegen.

3. Bereitstellung der Website, Hosting und Server-Logs

Die Website wird derzeit über eine auf DigitalOcean bereitgestellte Anwendungsinfrastruktur ausgeliefert. Beim Abruf können technische Request-Daten wie IP-Adresse, Zeitpunkt, angeforderte URL, Referrer, Browser- und Betriebssysteminformationen verarbeitet werden, um die Website bereitzustellen, abzusichern und Störungen zu untersuchen.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.

4. Browser-Speicher, Cookies und ähnliche Technologien

a) Erforderliche Präferenz- und Admin-Cookies

  • `mf-locale` speichert die gewählte Seitensprache.
  • `mf-access-token` und `mf-refresh-token` sind httpOnly Admin-Session-Cookies und werden nur gesetzt, wenn sich ein Admin anmeldet.
  • `mf-admin-invite-preview` ist ein kurzlebiges Admin-Cookie, mit dem nach dem Erstellen eines Invite-Codes die einmalige Vorschau angezeigt wird.

b) Speicherung der Analytics-Entscheidung

Die Auswahl für browserseitige Analytics wird in localStorage unter dem Schlüssel `mf-analytics-consent` gespeichert, damit die Website Ihre Entscheidung über deaktivierte oder erlaubte Analytics beibehalten kann.

Das Repository führt dafür kein separates serverseitiges Consent-Register.

c) Was derzeit nicht eingesetzt wird

Derzeit werden keine Marketing-Cookies, Werbe-Pixel, Session-Replay-Dienste, Fingerprinting-Verfahren oder Besucherprofile eingesetzt.

5. Analytics nur nach Einwilligung

Browserseitige Analytics ist optional. Google Analytics 4 wird nur geladen, wenn eine GA-Mess-ID konfiguriert ist und Sie die Analytics-Option im Banner oder später in den Datenschutzeinstellungen aktiv wählen.

Ohne diese Wahl wird das GA-Skript nicht geladen und es werden keine öffentlichen Analytics-Events gesendet. Mit Einwilligung sendet die aktuelle Implementierung nur Seitenaufrufe auf öffentlichen Routen sowie das Event `submission_confirmation_view` für die Bestätigungsseite nach einer Einreichung. Admin-Routen gehören nicht zum vorgesehenen öffentlichen Analytics-Umfang.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO. Die Einwilligung kann später über den Datenschutzeinstellungen-Link im Footer widerrufen oder geändert werden.

6. Kartenfunktionen und optionale Standortnutzung

a) Mapbox

Öffentliche Discovery-Seiten können Mapbox-Kartenkacheln und in einzelnen Fällen Mapbox-Geocoding-Anfragen laden. Dabei können technische Daten wie IP-Adresse, Browserinformationen und die angeforderte Karten- oder Geocoding-Anfrage an Mapbox übermittelt werden.

b) Browser-Geolokation

Wenn Sie die Funktion 'Meinen Standort verwenden' ausdrücklich aktivieren, kann Ihr Browser Standortkoordinaten an die Seite übergeben, damit Entfernungen lokal im Browser berechnet werden. Die Anwendung speichert diese Nutzerkoordinaten nicht absichtlich in der Datenbank.

7. Event-Einreichungen, Moderation und öffentliche Veröffentlichung

Wenn Sie ein Event einreichen, verarbeiten wir die im Formular angegebenen Daten. Dazu können Eventdaten, Organisationsangaben, Kontaktdaten der einreichenden Person, Einwilligungen und ein optionaler Flyer-Upload gehören.

Erforderliche Felder werden benötigt, damit die Einreichung geprüft werden kann. Die öffentliche Anzeige von Kontaktdaten ist optional und getrennt von der Pflicht-Einwilligung für die Bearbeitung der Einreichung.

a) Prüfung und Moderation

Einreichungsdaten werden in Supabase-gestuetzten Datenbank- und Storage-Diensten gespeichert, damit Admins Einreichungen prüfen, korrigieren, freigeben, ablehnen oder pending lassen können. Rechtsgrundlage für personenbezogene Daten der einreichenden Person ist die im Formular eingeholte Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO.

b) Optionale flyergestützte Extraktion

Wenn Sie den optionalen flyergestützten Einreichungspfad nutzen, werden der hochgeladene Flyer und optionaler Zusatztext aus diesem Schritt an OpenAI gesendet, damit für den weiteren Einreichungsfluss ein Entwurfs-Ergebnis erzeugt werden kann.

Dieser Schritt veröffentlicht kein Event automatisch. Das Extraktions-Ergebnis bleibt ein Entwurf, der vor einer finalen Einreichung weiterhin geprüft, geändert oder verworfen werden muss.

c) Öffentliche Event-Seiten

Wenn eine Einreichung freigegeben und veröffentlicht wird, werden die Eventdaten Teil des öffentlichen Event-Verzeichnisses. Kontaktperson, E-Mail-Adresse und Telefonnummer werden nur dann öffentlich angezeigt, wenn die separate Einwilligung für öffentliche Kontaktdaten erteilt wurde.

d) Missbrauchsabwehr und Sicherheit

Zum Schutz des Einreichungsformulars gegen Bots und Missbrauch verarbeitet der Server technische Request-Signale wie IP-Adresse, User-Agent, Accept-Language-Daten, Timing-Informationen und Rate-Limit-Zähler. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.

Wenn der optionale flyergestützte Extraktionspfad aktiviert ist, kann für den Start einer neuen Extraktion zusätzlich eine Cloudflare-Turnstile-Prüfung erforderlich sein. Dabei kann Cloudflare die für die Bot-Abwehr benötigten technischen Request- und Browser-Sicherheitsdaten verarbeiten.

8. Admin-Bereich, Authentifizierung und Sicherheitsnachweise

Der Admin-Bereich ist invite-only und nutzt Supabase Auth für die Anmeldung. Die Admin-Session wird über die oben beschriebenen Cookies verarbeitet.

Zur Sicherheit und Nachvollziehbarkeit zeichnet das System außerdem Admin-Audit-Einträge für privilegierte Aktionen auf und schreibt Security-Log-Events. Wo praktikabel, werden Kennungen wie E-Mail-Adressen oder IP-Adressen vor dem Schreiben in Security-Logs gehasht. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.

9. Eingesetzte Dienstleister und Empfaenger

  • DigitalOcean für Hosting und Laufzeitbetrieb der Anwendung.
  • Supabase für Postgres-Datenhaltung, Authentifizierung und Storage-Buckets für Event- und Submission-Flyer.
  • Mapbox für Kartenkacheln und Geocoding in den entsprechenden Discovery-Funktionen.
  • OpenAI für die optionale Extraktion von Flyer-Inhalten im flyergestützten Einreichungspfad.
  • Resend für den Versand transaktionaler E-Mails zu Einreichungen und Kontaktformular-Nachrichten.
  • Cloudflare Turnstile für Anti-Bot-Schutz beim optionalen Start der Flyer-Extraktion.
  • Google Analytics 4 nur dann, wenn die optionale Analytics-Einwilligung erteilt wurde.

10. Drittlandbezug

Einige der eingesetzten Dienste können Verarbeitungen außerhalb der EU/des EWR oder Zugriffe aus Drittstaaten beinhalten, insbesondere Google Analytics, Mapbox, Cloudflare Turnstile und die optionale OpenAI-Flyer-Verarbeitung. Wir behaupten daher nicht, dass sämtliche Verarbeitungen ausschließlich innerhalb der EU/des EWR stattfinden.

Soweit solche Übermittlungen stattfinden, erfolgen sie auf Grundlage der jeweils einschlägigen vertraglichen oder sonstigen rechtlichen Garantien des Anbieters. Der konkrete Datenstandort kann zudem von der konfigurierten Provider-Region abhängen.

11. Speicherdauer

Das Projekt erzwingt derzeit keinen einheitlichen, vollautomatischen Löschplan für alle Datensätze. Daten werden nur so lange vorgehalten, wie sie für Veröffentlichung, Moderation, Sicherheit, Missbrauchsabwehr oder Rechtsverteidigung operativ benötigt werden, und soweit passend manuell überprüft.

  • Öffentliche Event-Datensätze und zugehörige öffentliche Flyer bleiben verfügbar, solange sie veröffentlicht sind oder für den Betrieb des Event-Verzeichnisses noch benötigt werden.
  • Einreichungs- und Moderationsdaten werden gespeichert, solange Prüfung, Rückfragen oder Missbrauchsabwehr dies noch erforderlich machen.
  • Nachrichten aus dem Kontaktformular können gespeichert bleiben, solange Bearbeitung, Rückfragen oder die Klärung von Betroffenenrechten dies operativ erfordern.
  • Admin-Audit- und Sicherheitsdaten können länger vorgehalten werden, wenn dies für Nachvollziehbarkeit oder Incident-Bearbeitung erforderlich ist.
  • Die Analytics-Entscheidung bleibt in localStorage gespeichert, bis Sie sie ändern oder Ihren Browser-Speicher löschen.

12. Ihre Rechte

Sie können uns unter [email protected] zu Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch oder Widerruf einer Einwilligung kontaktieren.

Wenn sich Ihr Anliegen auf eine Event-Einreichung, eine veröffentlichte Event-Seite oder einen Admin-Invite bzw. Admin-Account bezieht, nennen Sie bitte genug Informationen, damit wir den Datensatz sicher zuordnen können.

Für die Analytics-Einwilligung ist der Link zu den Datenschutzpräferenzen im Footer der primäre Widerrufsweg. Sie können uns trotzdem per E-Mail kontaktieren, wenn Sie dazu Rückfragen haben oder eine bestätigende Auskunft benötigen.

Anfragen werden derzeit manuell über die Kontakt-E-Mail bearbeitet. Als verhältnismäßigen Nachweis können wir Sie bitten, von derselben E-Mail-Adresse wie bei einer Einreichung oder beim Admin-Onboarding zu schreiben oder konkrete Datensatzangaben wie Veranstaltungstitel, Stadt, ungefähres Einreichungsdatum oder die verlinkte Event-URL zu bestätigen. Ausweisdokumente verlangen wir standardmäßig nicht.

  • Recht auf Auskunft
  • Recht auf Berichtigung
  • Recht auf Löschung
  • Recht auf Einschränkung der Verarbeitung
  • Recht auf Datenübertragbarkeit
  • Recht auf Widerspruch bei Verarbeitungen auf Grundlage berechtigter Interessen
  • Recht auf Widerruf einer Einwilligung mit Wirkung für die Zukunft
  • Einzelne Anliegen können weiterhin eine Prüfung beim Provider oder Host erfordern, insbesondere bei Supabase-Auth-Daten, bereits verarbeiteten GA4-Daten nach Einwilligung oder Runtime-/Security-Logs außerhalb der Hauptdatenbank.
  • Soweit Datensätze aus Gründen der Sicherheit, Missbrauchsabwehr, Nachvollziehbarkeit oder Rechtsverteidigung aufbewahrt werden müssen, kann die Bearbeitung auf Erläuterung, Einschränkung oder eine Einzelfallprüfung beschränkt sein.

13. Zuständige Aufsichtsbehoerde

Sie haben außerdem das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Für den Wohnsitz des Verantwortlichen kommt insbesondere in Betracht:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen

Postfach 20 04 44

40102 Duesseldorf

E-Mail: [email protected]

Telefon: +49 (0)211 38424-0

14. Keine automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung oder Profiling im Sinne von Art. 22 DSGVO findet nicht statt.