| Datenschutz

1. Verantwortliche Stelle

Freiraumbüro Halle (Saale)
Hardenbergstr. 23, 06114 Halle (Saale)
c/o Goldene Rose gGmbH
Rannische Straße 19, 06108 Halle (Saale)
E-Mail: post@tmrb.eu

2. Zwecke, Datenkategorien, Rechtsgrundlagen

tmrb stellt ein Verzeichnis für Veranstaltungen, Räume und Ressourcen bereit. Angebote werden über Formulare angelegt und nach Veröffentlichung öffentlich sichtbar. Nicht veröffentlichte Inhalte sind nicht öffentlich erreichbar („published-only“).

2.1 Technischer Betrieb der Website

Daten: IP-Adresse, Zeitstempel, angefragte URL, User-Agent (Server-Logs), Basis-Fehlerdaten.
Zweck: Auslieferung, Stabilität, Missbrauchs-/Rate-Limit-Schutz, Fehleranalyse.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem Betrieb).
Speicherdauer: i. d. R. 7–30 Tage, danach Löschung/Anonymisierung.

2.2 Einreichungen über Formulare (create/form-Flow)

Daten: Organisations-/Kontaktdaten (z. B. Name der Organisation, E-Mail, Website, Adresse), Angebotsdaten (Titel, Beschreibung, Ort, Zeitraum, Tags), Geodaten (Lat/Lng), Uploads (Bilder).
Zweck: Anlegen, Verwalten und Veröffentlichen von Einträgen; E-Mail-Benachrichtigungen (z. B. Verwaltungslink), Moderation; Sichtbarkeit auf Karte/Liste ausschließlich nach Veröffentlichung.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung des Dienstes/vorvertraglich), Art. 6 Abs. 1 lit. f DSGVO (Moderation/Missbrauchsvermeidung); soweit Einwilligungen abgefragt werden (z. B. Veröffentlichung/Bilder), Art. 6 Abs. 1 lit. a DSGVO.
Speicherdauer: Bis Löschung/Zurückziehen; abgelaufene Veranstaltungen werden nach angemessener Frist entfernt; Entwürfe sind nur mit gültigem Link/Session zugänglich.

2.3 Moderation & Missbrauchsprävention

Daten: Inhalte der Einreichung, einfache Text-Heuristiken/Listen, technische Metadaten (IP, Zeit).
Zweck: Vermeidung von Spam, Gewalt-/Hasssprache, rechtswidrigen Inhalten; manuelle Freigabe.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

2.4 E-Mail-Versand (z. B. Verwaltungs-/Lost-Link)

Daten: E-Mail-Adresse, E-Mail-Inhalte, technische Zustellinformationen.
Zweck: Zustellung von Bestätigungen, Verwaltungs-Links (Magic-Link), Lost-Link-Funktionen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

2.4a Mehrbenutzer-Verwaltung für Organisationen

Daten: E-Mail-Adressen und Rollen von berechtigten Personen einer Organisation (z. B. Owner/Editor), Status der Einladung/Verifizierung, Zeitpunkt von Einladungen, Änderungen und Widerrufen.
Zweck: gemeinsame Verwaltung eines Host-Profils und der dazugehörigen Veranstaltungen, Räume und Ressourcen; Nachvollziehbarkeit administrativer Änderungen; Widerruf nicht mehr berechtigter Zugänge.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der Verwaltungsfunktionen) und Art. 6 Abs. 1 lit. f DSGVO (sicherer, nachvollziehbarer Betrieb und Missbrauchsvermeidung).
Hinweis: Die primäre Organisations-E-Mail kann öffentlich als Kontakt der Organisation erscheinen. Weitere Verwaltungs-E-Mails werden nicht automatisch öffentlich angezeigt.

2.4b Kontaktanfragen an Anbieter*innen

Daten: Name, E-Mail-Adresse, angefragter Zeitraum, Nachricht und Bezug zum jeweiligen Raum oder zur jeweiligen Ressource.
Zweck: Weiterleitung der Anfrage an die zuständige Organisation. Je nach Einstellung können neben der primären Kontaktadresse auch ausdrücklich berechtigte Admins/Editoren eine Kopie erhalten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Anbahnung einer Nutzung/Kommunikation) und Art. 6 Abs. 1 lit. f DSGVO (verlässliche Zustellung an zuständige Ansprechpersonen).
Hinweis: Die weitere Kommunikation nach der Weiterleitung liegt in der Verantwortung der beteiligten Personen bzw. Organisationen.

2.5 Karten & Geocoding

Daten: Beim Abruf von Kartenkacheln die übliche Netzwerk-/Browserkommunikation (z. B. IP, Zeit, User-Agent).
Zweck: Funktionale Kartenanzeige; Geocoding erfolgt serverseitig über Proxy, personenbezogene Formulardaten werden dabei nicht an Dritte weitergegeben.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

2.6 Einbettungen (Embeds)

Daten: Bei Einbettungen werden beim Laden der tmrb-Inhalte die üblichen Browserdaten übertragen; externe Plattformen können zusätzlich eigene Verarbeitungen vornehmen.
Zweck: Darstellung von tmrb-Inhalten in externen Seiten; Öffnen von Links je nach Embed-Modus (z. B. neues Tab); technische Absicherung über Einbettungs-Einstellungen wie Aktivierung und optionale Domain-/Allowlist.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Hinweis: Betreiber*innen externer Seiten sind für ihre eigene Website, deren Datenschutzhinweise und dortige Zusatzverarbeitungen selbst verantwortlich.

2.7 Kalender-Import, Navigation und Filterlinks

Daten: öffentlich sichtbare Eintragsdaten wie Titel, Zeitraum, Ort, Beschreibung und Link zum Eintrag; bei Navigation zusätzlich Übergabe des Ortes an das jeweilige Navigationssystem bzw. Endgerät.
Zweck: praktische Nutzung öffentlicher Einträge, z. B. Übernahme eines Events in einen Kalender, Navigation zum Ort oder Weitergabe eines gefilterten Suchergebnisses.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (nutzerfreundliche Bereitstellung bereits veröffentlichter Informationen).
Hinweis: Beim Öffnen externer Kalender-, Karten- oder Navigationsanwendungen gelten zusätzlich die Datenschutzbedingungen des jeweiligen Drittanbieters.

3. Empfängerinnen und Auftragsverarbeitung

Hosting/Serverbetrieb (EU/EWR): Auftragsverarbeiter nach Art. 28 DSGVO; Vertrag zur Auftragsverarbeitung vorhanden.
E-Mail-Zustellung (EU/EWR): SMTP/Transport-Provider zur Zustellung.
Kartenkacheln: OpenStreetMap-Tile-Server (tile.openstreetmap.org o. ä.); beim Abruf werden IP und Browserdaten übertragen.
Geocoding: Serverseitiger Proxy (z. B. Nominatim) ohne Durchleitung personenbezogener Formulardaten.

4. Übermittlung in Drittländer

Eine aktive Übermittlung personenbezogener Daten in Drittländer ist nicht vorgesehen. Bei externen Kartenkacheln/Einbettungen kann im Einzelfall eine Übermittlung stattfinden. In solchen Fällen werden geeignete Garantien nach Art. 44 ff. DSGVO berücksichtigt; die Anzeige externer Inhalte kann durch Browser-/Add-on-Einstellungen unterbunden werden.

5. Cookies, Sessions und lokale Speicherung

Technisch notwendige Cookies/Sessions: z. B. für Ausblendung des Cookie-Hinweises, Formular-/Moderations-Flows, Rate-Limit, Sitzungsverwaltung im Dashboard; keine Tracking- oder Marketing-Cookies.
Session-Lebensdauer: Sitzungen können bis zu 14d bestehen (konfigurationsabhängig), um fortgesetzte Bearbeitungen zu ermöglichen. Beim Entzug von Zugängen oder bei Sicherheitsänderungen können Sessions vorzeitig ungültig werden.
Token-Links (Magic-Links): Verwaltungslinks sind zeitlich begrenzt (z. B. 2h). Neue Tokens werden nur gehasht gespeichert; bestehende Übergangsdaten werden im Rahmen der technischen Migration minimiert und nach Ablauf/Retention entfernt. Nach Ablauf ist eine neue Zustellung über Link anfordern möglich.
Local/SessionStorage: Optional können lokal im Browser funktionale Komfortinformationen gespeichert werden (z. B. das Merken einer E-Mail-Adresse zur Vorbelegung eines Formulars). Diese Speicherung erfolgt ausschließlich auf dem Endgerät der Nutzer:innen, wird nicht an tmrb.eu übertragen und kann jederzeit durch Löschen der Browserdaten entfernt werden.

6. Nutzungsstatistik ohne Tracking-Cookies

Zur technischen und redaktionellen Weiterentwicklung von tmrb.eu erfassen wir einfache Nutzungsereignisse, zum Beispiel Listenaufrufe, Detailaufrufe, Host-Aufrufe, Kontaktanfragen, Embed-Aufrufe und CSV-Exporte. Diese Auswertung hilft uns zu verstehen, welche Einträge und Funktionen tatsächlich genutzt werden und wo Moderation oder redaktionelle Pflege erforderlich ist.
Dabei verwenden wir keine Tracking-Cookies und erstellen keine personenbezogenen Nutzungsprofile. Die IP-Adresse wird nicht im Klartext gespeichert, sondern nur serverseitig mit einem geheimen Salt gehasht. Zusätzlich können technische Kontextdaten wie Seitentyp, Eintragstyp, Region, Zeitpunkt, Referrer-Domain und ausgewählte Filterparameter gespeichert werden. Nachrichteninhalte aus Kontaktanfragen werden nicht in der Nutzungsstatistik gespeichert.
Die Auswertung erfolgt aggregiert im internen Moderationsbereich. Sie dient der Betriebssicherheit, Qualitätskontrolle, Missbrauchserkennung und Weiterentwicklung der Plattform. Die Daten werden regelmäßig reduziert oder gelöscht; als Richtwert gelten maximal 180 Tage für Rohereignisse.

7. Uploads & Medien

Speicherung ausschließlich in der EU; off-root; EXIF-Entfernung; Größenreduktion. Veröffentlichte Medien sind nur über veröffentlichte Einträge zugänglich (kein Direktlisting). Nicht veröffentlichte Medien sind nicht öffentlich erreichbar.

8. Aufbewahrung & Löschung

Einträge: bis Löschung/Zurückziehen; abgelaufene Veranstaltungen werden nach angemessener Frist entfernt.
Tokens: nach Ablauf automatisch ungültig und serverseitig gelöscht/invalidiert.
Server-Logs: 7–30 Tage, danach Löschung/Anonymisierung.
Backups: in betrieblich erforderlichen Intervallen; Löschung nach gesetzlichen Fristen.

9. Rechte betroffener Personen

Es bestehen Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie Widerspruch. Soweit eine Verarbeitung auf Einwilligung beruht, kann diese jederzeit mit Wirkung für die Zukunft widerrufen werden.

Kontakt: post@tmrb.eu. Zusätzlich besteht ein Beschwerderecht bei einer Datenschutzaufsichtsbehörde.

10. Sicherheit

tmrb trifft technische und organisatorische Maßnahmen: Trennung von Webroot und privaten Verzeichnissen, Zugriffsbeschränkungen, TLS-Verschlüsselung bei der Übertragung, serverseitige Bild-Rekodierung (Metadaten-Entfernung), Rate-Limit/CSRF-Schutz, regelmäßige Updates und Protokollierung für Störungsanalyse.

11. Einbettungen, Öffnen von Links & Content-Security-Policy

Für Einbettungen kann tmrb je nach Einbettungs-Modus Links im selben oder in einem neuen Tab öffnen. Die Auslieferung kann durch eine Content-Security-Policy (CSP) auf definierte frame-ancestors beschränkt werden. Wird eine Einbettung deaktiviert, sind Inhalte ausschließlich direkt auf tmrb abrufbar.

12. Änderungen

Diese Erklärung wird bei Bedarf angepasst, z. B. bei neuen Funktionen oder rechtlichen Anforderungen. Stand: 14.05.2026.