Datenschutzerklärung

Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist die Oflu & Akyazi GbR, erreichbar unter der Anschrift Straußstr. 7, 33129 Delbrück, Deutschland.

Der Verantwortliche bestimmt allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten.

Kontakt für Datenschutzanliegen

Für allgemeine Anfragen können Sie info@merhabamap.com nutzen. Für Anfragen zum Datenschutz, zur Ausübung Ihrer Betroffenenrechte und für Vertrauliches im Zusammenhang mit personenbezogenen Daten ist privacy@merhabamap.com vorgesehen. Bitte beschreiben Sie Ihr Anliegen möglichst konkret, damit wir Ihre Identität angemessen prüfen und schneller antworten können.

Verarbeitete Datenkategorien

Bei Registrierung und Anmeldung verarbeiten wir insbesondere Ihre E-Mail-Adresse und einen von Ihnen gewählten Nutzernamen. Die E-Mail/Passwort-Authentifizierung läuft über Supabase Auth; Klartext-Passwörter werden dabei nicht verarbeitet und nicht in unserer App-Datenbank gespeichert. Wenn Sie sich über Google oder Apple anmelden, können für die Authentifizierung erforderliche Basisangaben (z. B. E-Mail und Profilname) über Supabase Auth verarbeitet werden. Für Authentifizierung und Missbrauchsschutz fallen ferner Sitzungsdaten, Sicherheitsereignisse und begleitende technische Protokolldaten an.

Wenn Sie Passkeys/WebAuthn verwenden, verarbeiten wir sicherheitsbezogene technische Daten zu den registrierten Anmeldeschlüsseln (z. B. Credential-ID, Public-Key-Material, Zählerstand, Gerätetyp, Backup-Status, Label und Nutzungszeitpunkte). Diese Verarbeitung dient ausschließlich der Kontosicherheit und Anmeldung.

Zur Bestätigung Ihrer E-Mail-Adresse und zum Zurücksetzen eines Passworts können einmalige Sicherheitslinks (Token) per E-Mail versendet und serverseitig mit begrenzter Gültigkeit verarbeitet werden. Dabei werden insbesondere die betroffene E-Mail-Adresse, Zeitstempel und technische Versandmetadaten verarbeitet.

Wenn Sie Meldungen (Reports) auslösen, Inhalte einreichen, Business-Claims stellen oder den Support kontaktieren, verarbeiten wir die von Ihnen eingegebenen Texte, ggf. Anhänge, Kontaktdaten und die zur Bearbeitung erforderlichen Metadaten. Wenn Sie uns per E-Mail kontaktieren, verarbeiten wir den Inhalt der Nachricht sowie die üblichen Kopfdaten (Absender, Zeitstempel, Betreff).

Wenn Sie in der Kartenansicht die Standortfunktion Ihres Browsers nutzen („Standort verwenden“ o. Ä.), werden geografische Koordinaten im Rahmen Ihrer Browserberechtigung lokal verarbeitet, um die Darstellung zu unterstützen; eine Speicherung Ihres Standorts auf unseren Servern erfolgt durch diese Funktion nicht.

Die Funktion „Gespeichert“ kann ausgewählte Orte lokal in Ihrem Browser (z. B. im localStorage) ablegen, ohne dass diese Auswahl zwingend mit einem Serverkonto synchronisiert werden muss — es sei denn, die Produktlogik sieht ausdrücklich eine serverseitige Speicherung vor. Zur sicheren Bereitstellung der Website können zudem Verbindungsdaten, begrenzte Logdaten und Infrastrukturmetriken bei Hosting- und Datenbankdienstleistern anfallen.

Wenn Sie ein Profilbild (Avatar) hochladen, verarbeiten wir die Bilddatei, technische Dateimetadaten und den nutzerbezogenen Speicherpfad. Wenn Sie in Direktnachrichten oder Gruppenchats Bilder versenden, verarbeiten wir den Bildinhalt sowie Nachrichtenmetadaten (Sender, Empfänger/Gruppe, Zeitpunkt); der Abruf kann über kurzlebige signierte URLs abgesichert werden.

Für Ortsfotos aus Google Places nutzt die Anwendung eine serverseitige Proxy-Route. Dabei können technische Request-Daten und die betreffende Place-Referenz an Google Places API übermittelt werden.

Zwecke der Verarbeitung und Rechtsgrundlagen

Die Bereitstellung des Nutzerkontos, der Login-Funktion und der vertraglich geschuldeten Plattformleistungen erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bzw. vorvertragliche Maßnahmen). Hierzu zählen auch die E-Mail-Verifizierung und das Passwort-Zurücksetzen, soweit diese zur sicheren Kontoführung erforderlich sind.

Bei Social-Login über Google oder Apple erfolgt die hierfür notwendige OAuth-Datenverarbeitung zur Bereitstellung des angeforderten Kontozugangs regelmäßig auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO; die jeweiligen Anbieter verarbeiten Daten dabei teilweise in eigener Verantwortlichkeit.

Soweit Anti-Bot-Mechanismen wie hCaptcha aktiviert sind, erfolgt deren Einsatz zur Missbrauchsabwehr und Systemsicherheit auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO.

Die Bearbeitung von Meldungen, Claims und Supportanfragen stützt sich je nach Sachverhalt auf Art. 6 Abs. 1 lit. b DSGVO oder auf Art. 6 Abs. 1 lit. f DSGVO, soweit ein berechtigtes Interesse an der Integrität der Plattform, an der Abwehr rechtswidriger Inhalte und an der Rechtsverfolgung besteht.

Die Gewährleistung der IT-Sicherheit, die Missbrauchsprävention, die Stabilität des Dienstes und die Fehleranalyse stützen sich auf Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in einem sicheren, zuverlässigen Betrieb; dieses Interesse wird mit Ihren Grundrechten und Freiheiten abgewogen. Soweit wir gesetzlichen Aufbewahrungs- oder Auskunftspflichten unterliegen, ist Art. 6 Abs. 1 lit. c DSGVO einschlägig.

Die Verarbeitung von Avatar- und Chat-Bilddaten zur Bereitstellung angeforderter Funktionen erfolgt grundsätzlich auf Basis von Art. 6 Abs. 1 lit. b DSGVO; flankierende Sicherheits- und Missbrauchskontrollen können zusätzlich auf Art. 6 Abs. 1 lit. f DSGVO beruhen.

Hosting und technische Dienstleister

Die Next.js-Anwendung wird über Netlify gebaut, gehostet und über das Netlify-Netzwerk ausgeliefert (Einzelheiten siehe Projektdokumentation). Für die öffentlich erreichbare Domain kann vor Netlify ein DNS- bzw. CDN-Anbieter (z. B. Cloudflare) vorgeschaltet sein; dann werden Verbindungen zunächst über dessen Netzwerk geführt, und es können dort technische Zugriffsdaten sowie Sicherheits- und Performancefunktionen zum Einsatz kommen.

Die Datenhaltung kann hybrid erfolgen: Kerninhalte wie Orte und Events liegen in einer verwalteten PostgreSQL-Datenbank bei DigitalOcean, während Teile der Authentifizierungs- und Social-Funktionen (z. B. Messaging-/Social-Tabellen) über Supabase-Infrastruktur verarbeitet werden können.

Kartenkacheln werden im Browser geladen. Der Browser bezieht sie zunächst über eine eigene Serverroute unter derselben Domain; der MapTiler-Schlüssel verbleibt ausschließlich in der Hosting-Umgebung.

Für Authentifizierung und Kontosicherheit wird Supabase Auth eingesetzt (inklusive E-Mail/Passwort, OAuth-Provider und Passkey-Abläufen). Profil-Avatare können über Supabase Storage gespeichert werden; für Chat-Bilder können private Medien-Buckets mit zeitlich begrenzten signierten Abruflinks genutzt werden.

Google-Places-Fotos werden serverseitig über eine Proxy-Route geladen. Dabei werden technische Anfragedaten und die relevante Place-Referenz an Google übermittelt; ein direkter Versand des Google-API-Schlüssels an den Browser findet nicht statt.

E-Mail-Kommunikation

Den automatisierten Versand transaktionaler E-Mails (insbesondere E-Mail-Verifizierung, Passwort-Zurücksetzen sowie Benachrichtigungen im Zusammenhang mit Meldungen und Business-Claims, soweit vorgesehen) führen wir über den Dienst Resend aus, sofern in der jeweiligen Umgebung die E-Mail-Versandkonfiguration auf den Anbieter Resend (technisch z. B. EMAIL_TRANSPORT=resend) eingestellt ist. Dabei werden insbesondere Empfänger- und Absenderadressen, Übermittlungsmetadaten und der Nachrichteninhalt verarbeitet. In Entwicklungs- oder Testumgebungen können E-Mails stattdessen protokolliert oder der Versand deaktiviert sein.

Eingehende Nachrichten an unsere öffentlichen E-Mail-Adressen werden im Rahmen des für diese Postfächer genutzten E-Mail-Betriebs verarbeitet (Zuordnung zu Anbietern und ggf. Drittlandbezug richtet sich nach der konkreten Domain- und Postfachkonfiguration).

Empfänger und Übermittlungen in Drittländer

Personenbezogene Daten werden an die vorgenannten technischen Dienstleister weitergegeben, soweit dies für den Betrieb der Plattform erforderlich ist. Dazu können insbesondere Hosting/CDN (Netlify, ggf. Cloudflare), Datenbankbetrieb (DigitalOcean), Authentifizierung und Medienspeicherung (Supabase), transaktionaler E-Mail-Versand (Resend), Kartenbereitstellung (MapTiler) und Google-Places-Fotoabrufe gehören.

Bei Social-Login über Google oder Apple werden Authentifizierungsdaten mit dem jeweiligen Anbieter ausgetauscht; diese Anbieter können dabei in eigener Verantwortlichkeit handeln. Für hCaptcha (soweit aktiviert) werden technische Prüf- und Sicherheitsdaten an den Dienst übermittelt.

Soweit ein Anbieter Daten in einem Staat außerhalb der EU/des EWR verarbeitet, erfolgt dies nur unter den Voraussetzungen des Kapitels V DSGVO — etwa auf Grundlage eines Angemessenheitsbeschlusses der EU-Kommission, durch geeignete Garantien (insbesondere die Standardvertragsklauseln der EU-Kommission) oder in den eng begrenzten Ausnahmefällen des Art. 49 DSGVO. Die konkreten Verarbeitungsstandorte hängen von der jeweiligen Projekt- und Hosting-Konfiguration des Anbieters ab und können sich ändern. Auf Anfrage teilen wir mit, welche Garantien im jeweiligen Fall vorgesehen sind, soweit gesetzlich zulässig und zumutbar.

Cookies und ähnliche Technologien

Für Sitzung und Anmeldung werden technisch notwendige Session-Cookies aus Supabase Auth eingesetzt. Über den Sprachschalter kann ein Cookie NEXT_LOCALE gesetzt werden. Diese Technologien sind nach dem derzeitigen Verständnis überwiegend technisch notwendig, um die von Ihnen angeforderten Funktionen bereitzustellen.

In sicherheitsrelevanten Authentifizierungsabläufen (z. B. Registrierung, Login, Passwort-Reset, erneute Verifikationsanforderung) kann hCaptcha eingesetzt werden. Hierbei können durch den hCaptcha-Dienst technische Cookies oder vergleichbare Speichermechanismen gesetzt werden, um Bot-Aktivitäten und Missbrauch zu erkennen.

Für die Merkliste „Gespeichert“ kann der Browser-Speicher (localStorage) genutzt werden. Im eingesetzten Frontend-Code sind keine Skripte von Werbe- oder Analyse-Netzwerken eingebunden, die ein verhaltensbezogenes Tracking über optionale Cookies ermöglichen würden. Sollte sich dies ändern, werden diese Erklärung und gegebenenfalls Einwilligungsmechanismen vorab angepasst.

Kontaktkanäle

Derzeit besteht kein Newsletter und kein allgemeines Web-Formular für Kontaktanfragen. Die Kontaktaufnahme erfolgt vorrangig per E-Mail. Sollten wir Formulare oder Newsletter einführen, werden Zweck und Umfang der Datenverarbeitung gesondert und vorab erläutert.

Melden problematischer Inhalte und Plattformmaßnahmen

MerhabaMap führt nutzergenerierte und eingetragene Inhalte (Orte, Veranstaltungen, begleitende Texte) in einer Plattform zusammen. Für veröffentlichte Orte und Veranstaltungen stehen Meldefunktionen in der Oberfläche zur Verfügung; wo vorgesehen, können ergänzend Business-Claims oder vergleichbare Verfahren genutzt werden. Für eine zügige Prüfung empfehlen wir die Angabe des betroffenen Links oder Namens, einer sachlichen Kurzbeschreibung des Problems sowie — soweit vorhanden — Belege oder Quellenhinweise.

Wir prüfen eingegangene Meldungen im Rahmen unserer organisatorischen und technischen Möglichkeiten und priorisieren nach Dringlichkeit und erkennbarem Rechts- oder Sicherheitsrisiko. Rechtswidrige oder gegen unsere Nutzungs- und Community-Regeln verstoßende Inhalte können wir anpassen, in der Darstellung einschränken oder entfernen; auf Nutzerkonten bezogene Maßnahmen (z. B. Sperren) können wir im Verhältnis zur Schwere und Wiederholung verhältnismäßig ergreifen. Feste Bearbeitungsfristen können wir nicht zusagen; soweit gesetzliche Fristen für bestimmte Verfahren gelten, werden diese eingehalten.

Datenschutzanliegen richten Sie bitte ausschließlich an privacy@merhabamap.com. Weitere inhaltliche oder rechtliche Hinweise können Sie über die auf der Kontaktseite genannten Adressen vortragen.

Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten entgegenstehen. Nach Löschung des Nutzerkontos entfernen oder anonymisieren wir Daten, soweit keine Aufbewahrungspflichten oder berechtigten Interessen an einer Fortspeicherung (z. B. zur Rechtsverteidigung) entgegenstehen.

Avatar-Dateien werden bei Ersetzung oder Löschung des Profilbilds nach Möglichkeit zeitnah aus dem verwalteten Speicher entfernt. Chat-Nachrichten und zugehörige Bilder werden grundsätzlich solange vorgehalten, wie der zugehörige Kommunikationskontext besteht oder rechtliche Aufbewahrungspflichten bzw. Verteidigungsinteressen dies erfordern. Kurzlebige signierte Abruflinks begrenzen den Zugriff, ersetzen aber keine Löschung im Ursprungsspeicher.

Lokal im Browser gespeicherte Informationen unterliegen Ihrer eigenen Kontrolle und können dort jederzeit gelöscht werden.

Kontolöschung und Datenexport

Sie können Ihr Konto in den Profileinstellungen dauerhaft löschen. Dabei wird Ihr Authentifizierungskonto gelöscht und Ihre Profildaten (Name, E-Mail, Nutzername, Bio, Profilbild) werden unwiderruflich anonymisiert. Daten, die gesetzlichen Aufbewahrungspflichten unterliegen (z. B. Moderationsaufzeichnungen), können in anonymisierter Form bestehen bleiben.

Sie können Ihre Daten im JSON-Format exportieren. Der Export umfasst Ihr Profil, Ihre Follower-/Following-Listen, Sammlungen, gespeicherte Elemente, Kommentare, Business-Claims und von Ihnen eingereichte Meldungen.

Die Löschungs- und Exportfunktionen stehen Ihnen auch bei einem eingeschränkten Konto weiterhin zur Verfügung.

Betroffenenrechte

Sie haben das Recht auf Auskunft über die Sie betreffenden personenbezogenen Daten (Art. 15 DSGVO), auf Berichtigung unrichtiger Daten (Art. 16 DSGVO), auf Löschung (Art. 17 DSGVO), auf Einschränkung der Verarbeitung (Art. 18 DSGVO), auf Widerspruch gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. f DSGVO beruhen (Art. 21 DSGVO), sowie — soweit die Voraussetzungen erfüllt sind — auf Datenübertragbarkeit (Art. 20 DSGVO).

Zur Bearbeitung von Betroffenenanfragen können wir eine angemessene Identitätsprüfung verlangen, um unbefugte Auskünfte zu verhindern. Soweit Verarbeitungen auf technisch notwendigen Mechanismen beruhen, besteht nicht in jedem Fall ein Widerrufsrecht wie bei einwilligungsbasierten Verarbeitungen; Browserseitige Speicherungen können Sie jedoch selbst steuern und löschen.

Die Ausübung dieser Rechte ist grundsätzlich unentgeltlich. Nach Art. 12 Abs. 5 DSGVO kann bei offensichtlich unbegründeten oder — insbesondere bei Wiederholung — exzessiven Anträgen ein angemessenes Entgelt verlangt oder der Antrag abgelehnt werden.

Beschwerderecht

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts der mutmaßlichen Verletzung (Art. 77 DSGVO). Zuständig kann auch die Aufsichtsbehörde am Sitz des Verantwortlichen sein.