FestivalConnect — Rechtliches

Datenschutzerklärung

App: FestivalConnect Stand: 11.06.2026


1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und sonstiger nationaler Datenschutzgesetze sowie weiterer datenschutzrechtlicher Bestimmungen ist:

Nathaniel Lotsch (verantwortliche Person/Anbieter) Billigheimer Str. 6 76865 Rohrbach Deutschland

E-Mail: lotsch.business@gmail.com

Eine gesonderte betriebliche oder behördliche Datenschutzbeauftragte ist nicht bestellt; eine entsprechende gesetzliche Pflicht besteht nach derzeitiger Einschätzung nicht. Bei allen Fragen zum Datenschutz wenden Sie sich bitte an die oben genannte Kontaktadresse.


2. Überblick

FestivalConnect ist eine soziale App für Festivalbesucherinnen und -besucher. Sie ermöglicht insbesondere das Anlegen eines Profils, das Bilden von Camps (Zeltgruppen), einen globalen Foto-Feed, Gruppen- und Direktnachrichten, das Verifizieren von Tickets sowie Freundschaftsanfragen.

Wir verarbeiten personenbezogene Daten nur, soweit dies für die Bereitstellung der App und ihrer Funktionen erforderlich ist oder Sie eingewilligt haben. Wir halten uns dabei an die Grundsätze der Datenminimierung und Zweckbindung.

Was wir bewusst NICHT tun:

Hinweis zu künftigen Funktionen: Für eine geplante Vor-Ort-Karte sind in unserer Datenbank technische Felder bereits angelegt, werden im MVP jedoch nicht befüllt oder ausgewertet — es findet keine Standortverarbeitung statt. Bevor eine Standort- oder Kartenfunktion (oder Push-Benachrichtigungen) aktiviert wird, aktualisieren wir diese Datenschutzerklärung und holen, soweit erforderlich, eine gesonderte, ausdrückliche Einwilligung ein.


3. Welche Daten wir verarbeiten, zu welchem Zweck und auf welcher Rechtsgrundlage

3.1 Konto und Anmeldung

Daten: E-Mail-Adresse, Passwort (wird von unserem Authentifizierungs-Dienstleister Supabase gehasht gespeichert, nicht im Klartext), Anzeigename, Benutzername (Username).

Zweck: Einrichtung und Verwaltung Ihres Nutzerkontos, Authentifizierung, Bereitstellung der Kernfunktionen der App.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrags / vorvertragliche Maßnahmen).

3.2 Profil

Daten (überwiegend freiwillig und von Ihnen selbst angegeben): Profilfoto(s), Bio/Beschreibung, Heimatstadt (Freitext), Instagram-/Snapchat-Handle, Mitglieds-/Unterstützer-Rang (Membership/Supporter-Rang).

Zweck: Darstellung Ihres Profils gegenüber anderen Nutzerinnen und Nutzern, soziale Funktionen der App.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO für die Bereitstellung des Profils als Teil der vertraglichen Leistung. Soweit Sie freiwillige Zusatzangaben (z. B. Social-Media-Handles, Heimatstadt, Bio) machen, beruht deren Verarbeitung zugleich auf Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO; diese können Sie jederzeit durch Löschen der Angaben im Profil mit Wirkung für die Zukunft widerrufen.

3.3 Festival-Teilnahme und Ticket-Verifizierung

Daten: Teilnahmestatus (z. B. „nimmt teil"), Ergebnis der Ticket-Verifizierung.

So funktioniert die Verifizierung: Bei der Verifizierung wird ein von Ihnen eingegebener Ticket-Code gegen einen gespeicherten Hash-Wert geprüft. Der eingegebene Rohcode wird nicht als Profildatum gespeichert oder dauerhaft aufbewahrt; gespeichert wird lediglich, dass eine erfolgreiche Verifizierung stattgefunden hat.

Zweck: Sicherstellen, dass nur tatsächliche Festivalteilnehmende bestimmte Funktionen nutzen; Schutz vor Missbrauch.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der vertraglichen Kernfunktion); ergänzend Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Echtheitsprüfung und Missbrauchsvermeidung).

3.4 Nutzergenerierte Inhalte

Daten: Camp-Beiträge (Fotos mit Bildunterschriften, gespeichert im Dateispeicher von Supabase), Kommentare, Nachrichten in Gruppen-Chats und Direktnachrichten, gemeinsame To-do-/Aufgaben-Einträge, Camp-Mitgliedschaften, Stimmung/Status (Mood/Status), Freundschaftsanfragen, Follows.

Zweck: Bereitstellung der sozialen Kernfunktionen (Feed, Camps, Chats, Aufgaben, Vernetzung).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrags). Inhalte und Nachrichten sind, je nach Funktion, für andere Nutzerinnen und Nutzer sichtbar (z. B. öffentlicher Feed, Camp-intern, Chat-Teilnehmende). Bitte veröffentlichen Sie nur Inhalte, zu deren Weitergabe Sie berechtigt sind, und achten Sie auf die Persönlichkeitsrechte abgebildeter Personen.

Hinweis: Es ist möglich, dass Sie in Beiträgen, Bildunterschriften oder Nachrichten freiwillig besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO (z. B. Angaben zur Gesundheit, religiösen oder weltanschaulichen Überzeugung, sexuellen Orientierung) angeben. Eine solche Verarbeitung erfolgt allein auf Ihre Veranlassung; soweit erforderlich, beruht sie auf Ihrer ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO. Wir fordern solche Daten nicht an und raten davon ab, sie zu veröffentlichen.

3.5 Sicherheit und Moderation (Blockieren und Melden)

Daten: Von Ihnen vorgenommene Blockierungen anderer Nutzerinnen/Nutzer sowie Meldungen (Reports) von Inhalten oder Profilen, einschließlich der gemeldeten Inhalte/Kennungen.

Zweck: Schutz der Nutzerinnen und Nutzer, Moderation rechtswidriger oder unangemessener Inhalte, Missbrauchsvermeidung, Durchsetzung unserer Nutzungsbedingungen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren Plattform, am Schutz der Nutzerinnen und Nutzer sowie an der Verhinderung von Missbrauch). Soweit rechtliche Verpflichtungen bestehen (z. B. nach dem Digital Services Act), kann die Verarbeitung zusätzlich auf Art. 6 Abs. 1 lit. c DSGVO beruhen.

3.7 Technische Daten

Auth-/Sitzungs-Token: Zur Aufrechterhaltung Ihrer Anmeldung werden Authentifizierungs- und Sitzungs-Token verwendet. Diese werden auf Ihrem Gerät verschlüsselt im sicheren Schlüsselspeicher des Betriebssystems (iOS Keychain / Android Keystore) über expo-secure-store abgelegt.

Server-seitige Metadaten: Beim Aufruf unserer Backend-Dienste fallen technisch bedingt übliche Anfrage-Metadaten an (z. B. IP-Adresse, Zeitstempel, technische Verbindungsinformationen), wie sie für den Betrieb und die Sicherheit von Internetdiensten erforderlich sind.

Update-Prüfung: Die App prüft beim Start, ob ein Update verfügbar ist (Over-the-Air-Updates über Expo/EAS); dabei werden minimale Metadaten zur Update-Prüfung übermittelt.

Zweck: Sicherer und stabiler Betrieb der App, Aufrechterhaltung der Sitzung, Bereitstellung von Updates, IT-Sicherheit.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (technische Bereitstellung der vertraglichen Leistung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren, stabilen und aktuellen Betrieb).


4. Empfänger und Auftragsverarbeiter

Zur Bereitstellung der App setzen wir sorgfältig ausgewählte Dienstleister ein, die personenbezogene Daten ausschließlich in unserem Auftrag und nach unseren Weisungen verarbeiten (Auftragsverarbeitung gemäß Art. 28 DSGVO).

4.1 Supabase (primärer Auftragsverarbeiter)

Wir nutzen Supabase für Datenbank, Authentifizierung, Dateispeicher und Echtzeit-Funktionen. Dies ist unser primärer Auftragsverarbeiter. Das Projekt ist in der Region eu-central (Frankfurt am Main, Deutschland) auf AWS-Infrastruktur gehostet; die Daten verbleiben damit im regulären Betrieb in der Europäischen Union. Mit Supabase besteht ein Auftragsverarbeitungsvertrag (AVV/DPA).

4.2 Expo / EAS (Expo Application Services)

Wir nutzen Expo/EAS für das Erstellen der App (Builds) sowie für Over-the-Air-Updates des JavaScript-Codes. Beim Prüfen auf Updates werden minimale Update-Prüf-Metadaten verarbeitet.

4.3 Apple (App Store) und Google (Google Play)

Die Verteilung der App erfolgt über den Apple App Store und Google Play. In diesem Zusammenhang verarbeiten Apple bzw. Google im eigenen Verantwortungsbereich Daten nach ihren jeweiligen Datenschutzbestimmungen (z. B. zum Download und zur Bereitstellung der App).

4.4 Sonstige Empfänger

Eine Weitergabe Ihrer Daten an weitere Dritte erfolgt nicht, es sei denn, wir sind gesetzlich dazu verpflichtet (z. B. gegenüber Behörden) oder Sie haben eingewilligt. Es findet keine Weitergabe zu Werbe- oder Trackingzwecken statt.


5. Datenübermittlung in Drittländer

Im regulären Betrieb werden Ihre Daten innerhalb der Europäischen Union verarbeitet (Supabase, Region Frankfurt; Datenhaltung in der EU). Eine routinemäßige Übermittlung in Drittländer (außerhalb der EU/des EWR) findet im normalen App-Betrieb nicht statt.

Soweit im Rahmen der App-Verteilung über Apple bzw. Google oder beim Build-/Update-Dienst Expo/EAS eine Verarbeitung in den USA oder anderen Drittländern erfolgt, stützen sich die jeweiligen Anbieter nach eigenen Angaben auf geeignete Garantien im Sinne der Art. 44 ff. DSGVO, insbesondere die EU-Standardvertragsklauseln (Standard Contractual Clauses, SCC) bzw. – soweit anwendbar – das EU-US Data Privacy Framework. Einzelheiten ergeben sich aus den Datenschutzbestimmungen der jeweiligen Anbieter.


6. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie es für die genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

Bitte beachten Sie: Inhalte, die Sie mit anderen geteilt haben (z. B. Nachrichten an andere Nutzerinnen/Nutzer), können bei den Empfängern verbleiben, auch nachdem Sie Ihr Konto gelöscht haben.


7. Ihre Rechte als betroffene Person

Sie haben nach der DSGVO folgende Rechte gegenüber dem Verantwortlichen:

Zur Ausübung Ihrer Rechte genügt eine Nachricht an die in Abschnitt 1 genannte Kontaktadresse.

Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO): Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes. Zuständig ist in der Regel die Aufsichtsbehörde des Bundeslandes, in dem der Verantwortliche seinen Sitz hat.


8. Datensicherheit

Wir treffen angemessene technische und organisatorische Maßnahmen, um Ihre Daten zu schützen. Die Übertragung zwischen App und Backend erfolgt verschlüsselt (Transportverschlüsselung, TLS). Authentifizierungs- und Sitzungs-Token werden auf Ihrem Gerät verschlüsselt im sicheren Schlüsselspeicher des Betriebssystems (iOS Keychain / Android Keystore) abgelegt. Passwörter werden bei unserem Authentifizierungsdienst ausschließlich als Hash gespeichert. Der Zugriff auf Daten im Backend wird über Zugriffsregeln (Row Level Security) beschränkt.


9. Mindestalter

Die Nutzung von FestivalConnect setzt ein Mindestalter von 16 Jahren voraus (vgl. Art. 8 DSGVO zur Einwilligungsfähigkeit). Personen unter 16 Jahren dürfen die App nicht ohne Einwilligung bzw. Zustimmung der Träger der elterlichen Verantwortung nutzen. Bei der Registrierung bestätigen die Nutzerinnen und Nutzer durch Zustimmung zu den Nutzungsbedingungen, dass sie das Mindestalter erreicht haben (Selbstauskunft); eine darüber hinausgehende Altersverifizierung führen wir nicht durch. Wir verarbeiten nicht wissentlich Daten von Personen, die das Mindestalter nicht erreicht haben; sollten wir Kenntnis von einer entsprechenden Verarbeitung erlangen, löschen wir die betreffenden Daten.


10. Keine automatisierte Entscheidungsfindung

Eine ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhende Entscheidung mit rechtlicher Wirkung oder vergleichbar erheblicher Beeinträchtigung im Sinne des Art. 22 DSGVO findet nicht statt.


11. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Es gilt jeweils die in der App bzw. an dieser Stelle veröffentlichte aktuelle Fassung. Maßgeblich ist der oben angegebene Stand.

Stand: 11.06.2026