# Datenschutzerklärung für sexpositiv.community _Stand: 26.12.2026_ --- ## 1\. Verantwortlicher Verantwortlich für die Datenverarbeitung ist: **Ingo Fleckenstein**\ Gebelsbergstraße 87\ 70199 Stuttgart\ E-Mail: [hi@sexpositiv.events](mailto:hi@sexpositiv.events) --- ## 2\. Allgemeine Hinweise zur Datenverarbeitung Der Schutz der Privatsphäre und personenbezogener Daten unserer Mitglieder hat höchste Priorität.\ Die Verarbeitung personenbezogener Daten erfolgt im Einklang mit der **Datenschutz-Grundverordnung (DSGVO)** und dem **Bundesdatenschutzgesetz (BDSG)**. Alle Verbindungen zu dieser Plattform erfolgen **SSL-verschlüsselt (HTTPS)**. --- ## Ergänzung/Änderungsvorschlag (SSO / Keycloak / Password Federation) ### 3\. Zweck der Plattform und verbundene Systeme _(aktualisierte Fassung – ersetze deinen Abschnitt 3 damit)_ Diese Datenschutzerklärung gilt für die Nutzung von **sexpositiv.community** sowie für die technisch und organisatorisch verknüpften Dienste, die zur Anmeldung und zur Abwicklung von Veranstaltungen genutzt werden, insbesondere: - **sexpositiv.events** (Eventverwaltung) - **ticket.sexpositiv.events** (Ticket-/Buchungsabwicklung, ggf. über Pretix oder ein vergleichbares System) - **id.sexpositiv.events** (zentraler Login-/SSO-Dienst auf Basis von **Keycloak**) Alle genannten Systeme werden von Ingo Fleckenstein betrieben oder in seinem Auftrag betrieben und dienen der **Vereinfachung von Anmeldung, Buchung und Teilnahmeverwaltung**. Eine Datenübertragung zwischen den Systemen erfolgt **nur soweit erforderlich**, um Login/SSO, Konto-Zuordnung und Buchungsprozesse technisch zu ermöglichen. ### 3a. Zentrales Login (SSO) über Keycloak und Passwort-Föderation Für die Anmeldung und Konto-Verknüpfung verwenden wir einen zentralen Identitätsdienst (**id.sexpositiv.events**) auf Basis von **Keycloak**. Dadurch können Nutzer:innen sich mit einem Konto bei mehreren verbundenen Diensten anmelden (Single Sign-On, „SSO“). **Verarbeitete Daten beim Login/SSO:** - E-Mail-Adresse (als Login/Identifikator) - ggf. Nutzername/Profilname - technische Metadaten (z. B. Zeitpunkt des Logins, IP-Adresse, Session-/Token-Informationen) - optional Freigaben/Einwilligungen (z. B. Bestätigung der Datenschutzerklärung) **Password Federation (Passwort-Föderation):**\ Sofern aktiviert, kann Keycloak Passwörter **nicht nur lokal verwalten**, sondern sich zur Anmeldung an ein **externes Benutzer-/Passwortsystem** anbinden („Password Federation“). In diesem Fall wird das von Nutzer:innen eingegebene Passwort **zur Authentifizierung an das angebundene System übermittelt** und dort geprüft. Keycloak speichert Passwörter dabei **nicht im Klartext**, sondern verarbeitet sie ausschließlich zur Durchführung des Login-Vorgangs. Je nach Konfiguration kann das angebundene System Passwort-Hashes oder Prüfroutinen bereitstellen. **Zweck der Verarbeitung:**\ Bereitstellung eines sicheren, einheitlichen Logins, Schutz vor Missbrauch (z. B. Brute-Force), Vereinfachung von Buchungen/Teilnahmen und Reduktion mehrfacher Benutzerkonten. **Rechtsgrundlagen:** - Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / Nutzung der Community und verbundener Funktionen) - Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem Authentifizierungsverfahren und Missbrauchsschutz) **Sicherheitsmaßnahmen:**\ Keycloak kann Sicherheitsfunktionen wie Rate-Limiting, Session-Management und optional 2FA unterstützen. Passwörter werden (im jeweiligen System) **gehasht** gespeichert; die Übertragung erfolgt verschlüsselt (HTTPS/TLS). --- ## 4\. Erhobene Daten Im Rahmen der Nutzung von sexpositiv.community werden personenbezogene Daten in unterschiedlichem Umfang verarbeitet. Art und Umfang richten sich nach der Nutzung der Plattform, der Teilnahme an einzelnen Bereichen („Spaces“) sowie nach den von den Nutzer:innen selbst bereitgestellten Informationen. ### 4\.1 Pflichtangaben bei Registrierung und Nutzung Zur Erstellung und Verwaltung eines Nutzerkontos werden folgende Daten verarbeitet: - **E-Mail-Adresse** (Login, Kommunikation, Benachrichtigungen) - **Geburtsdatum** (ausschließlich zur Altersprüfung; Mindestalter 18 Jahre) - **Login- und SSO-Daten** im Rahmen des zentralen Anmeldeverfahrens (z. B. Session- und Token-Kennungen, Zeitpunkt der Anmeldung, IP-Adresse) Diese Daten sind erforderlich, um den sicheren Betrieb der Plattform, die Authentifizierung sowie den Schutz vor Missbrauch zu gewährleisten. ### 4\.2 Freiwillige Profilangaben Nutzer:innen können freiwillig zusätzliche Angaben in ihrem Profil machen, insbesondere: - Profilname - Profilbild - Pronomen - Interessen - sexuelle Orientierung - Beziehungsform - weitere selbst definierte Profilinformationen Diese Angaben dienen der Selbstdarstellung, der Kommunikation sowie dem Community-Building und können von anderen Mitgliedern entsprechend der jeweiligen Sichtbarkeitseinstellungen eingesehen werden. ### 4\.3 Angaben in Beiträgen, Chats und Interaktionen Im Rahmen der Nutzung der Plattform können Nutzer:innen eigenständig Inhalte erstellen, darunter: - Beiträge, Kommentare und Reaktionen - private Nachrichten (Chats) - Inhalte innerhalb von Spaces (z. B. Vorstellungsrunden, Diskussionen, Ankündigungen) Dabei liegt es in der Verantwortung der Nutzer:innen, **welche personenbezogenen oder sensiblen Informationen sie freiwillig veröffentlichen**. Diese Inhalte können – je nach Einstellung und Kontext – auch Angaben enthalten, die zu den **besonders schützenswerten personenbezogenen Daten** im Sinne von Art. 9 DSGVO gehören (z. B. Angaben zur Sexualität, sexuellen Orientierung, Beziehungsform). Die Verarbeitung dieser Daten erfolgt ausschließlich auf Grundlage der **freiwilligen und bewussten Bereitstellung durch die Nutzer:innen**. ### 4\.4 Space-spezifische Anforderungen Einzelne Spaces können im Rahmen ihrer inhaltlichen Ausrichtung **bestimmte freiwillige Profilangaben als Voraussetzung für die Teilnahme definieren** (z. B. Angaben zu Interessen, Pronomen oder Beziehungsform). Diese Anforderungen dienen: - der Vertrauensbildung innerhalb des jeweiligen Spaces, - der Einhaltung von Schutz- und Moderationskonzepten, - sowie der Sicherstellung eines respektvollen und konsistenten Community-Rahmens. Die Angabe solcher Informationen bleibt grundsätzlich freiwillig; eine Teilnahme am jeweiligen Space ist jedoch nur möglich, wenn die dort definierten Voraussetzungen erfüllt werden. ### 4\.5 Zahlungs- und Buchungsdaten Bei Spenden, Ticketkäufen oder Eventbuchungen werden Zahlungsdaten verarbeitet. Diese Daten werden **ausschließlich durch die jeweils eingesetzten Zahlungsdienstleister** verarbeitet und nicht dauerhaft auf der Plattform gespeichert. ### 4\.6 Daten bei Ausschluss- und Missbrauchsfällen Zur Wahrung der Sicherheit der Community und zur Verhinderung von wiederholtem Missbrauch können in begründeten Fällen folgende Daten in einer internen Sperrliste gespeichert werden: - E-Mail-Adresse - Name oder Profilname - Geburtsdatum Diese Speicherung erfolgt ausschließlich zu Sicherheits- und Missbrauchspräventionszwecken. --- ## 5\. Zwecke der Verarbeitung Die Verarbeitung personenbezogener Daten erfolgt zu folgenden Zwecken: - Bereitstellung und Verwaltung von Nutzerkonten - Sicherstellung einer altersgerechten und geschützten Community - Ermöglichung von Kommunikation, Interaktion und Community-Building - Organisation und Abwicklung von Veranstaltungen, Buchungen und Teilnahmen - Durchsetzung von Community-Regeln und Schutzkonzepten - Gewährleistung der technischen Sicherheit, Stabilität und Wartung der Systeme - Erfüllung gesetzlicher Verpflichtungen (z. B. steuer- und handelsrechtliche Aufbewahrungspflichten) ### Rechtsgrundlagen der Verarbeitung Die Verarbeitung erfolgt insbesondere auf Grundlage von: - **Art. 6 Abs. 1 lit. a DSGVO** (Einwilligung, insbesondere bei freiwilligen Profilangaben und sensiblen Inhalten) - **Art. 6 Abs. 1 lit. b DSGVO** (Vertragserfüllung, Nutzung der Plattform und verbundener Dienste) - **Art. 6 Abs. 1 lit. c DSGVO** (rechtliche Verpflichtungen) - **Art. 6 Abs. 1 lit. f DSGVO** (berechtigtes Interesse an Sicherheit, Missbrauchsschutz und einem funktionsfähigen Community-System) - **Art. 9 Abs. 2 lit. a DSGVO**, sofern Nutzer:innen freiwillig besonders geschützte Daten (z. B. zur Sexualität) veröffentlichen --- ## 6\. Speicherdauer und Löschung Personenbezogene Daten werden grundsätzlich **nur so lange gespeichert, wie dies für die jeweiligen Zwecke erforderlich ist**. - Nutzerkontodaten werden bis zur Löschung des Profils gespeichert. - Bei Löschung des Profils werden personenbezogene Stammdaten und hochgeladene Bilder **physisch gelöscht**. - Beiträge, Kommentare oder Diskussionen können aus Gründen der Nachvollziehbarkeit und des Community-Kontexts **in anonymisierter Form** erhalten bleiben. - Daten aus Ausschluss- oder Missbrauchsfällen können aus Sicherheitsgründen über die reguläre Nutzungsdauer hinaus gespeichert werden. - Backups werden täglich erstellt und für maximal **6 Monate** aufbewahrt; eine Wiederherstellung einzelner Datensätze ist nur in Ausnahmefällen möglich. --- ## 7\. Weitergabe an Dritte - Es erfolgt **keine aktive Weitergabe** personenbezogener Daten an Dritte. - Eine Übermittlung an Dritte erfolgt nur, wenn dies zur Vertragserfüllung notwendig ist (z. B. bei Zahlungsabwicklung). - Das Hosting erfolgt über die **IONOS SE**, Serverstandort **Berlin (Deutschland)**.\ IONOS arbeitet DSGVO-konform und ist vertraglich als **Auftragsverarbeiter** gebunden. - Normale technische Übertragungsdaten (z. B. IP-Adresse, Browserinformationen, Logfiles) fallen beim Seitenaufruf unvermeidbar an. ## 7a. Versand von E-Mails über Brevo (Sendinblue GmbH)\*\* Für den Versand von E-Mails (z. B. Bestätigungen, Benachrichtigungen oder Newsletter) nutzen wir den Dienst **Brevo (Sendinblue GmbH, Köpenicker Straße 126, 10179 Berlin, Deutschland)**.\ Brevo ist ein spezialisierter Anbieter für den Versand und die Verwaltung von E-Mails und fungiert als **Auftragsverarbeiter** gemäß Art. 28 DSGVO. **Zweck der Verarbeitung:**\ Der Einsatz von Brevo dient dem sicheren und zuverlässigen Versand von transaktionalen E-Mails (z. B. Registrierungs- und Buchungsbestätigungen) sowie optionaler Informations- und Community-Mitteilungen. **Verarbeitete Daten:** - E-Mail-Adresse der Nutzer:innen - Name oder Profilname (sofern angegeben) - Versandzeitpunkt, technische Metadaten (IP-Adresse, Öffnungs- und Klickraten, Zustellstatus) - Inhalt der jeweiligen Mitteilung Diese Daten werden ausschließlich für den Versand, die Zustellung und die statistische Auswertung (z. B. zur Erkennung technischer Probleme oder Spam-Missbrauch) verarbeitet. Eine weitergehende Nutzung zu eigenen Zwecken durch Brevo erfolgt **nicht**. **Rechtsgrundlage:**\ Die Verarbeitung erfolgt gemäß Art. 6 Abs. 1 lit. b DSGVO (zur Vertragserfüllung, z. B. Buchungsbestätigungen) sowie auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, z. B. für Newsletter-Kommunikation). **Datenspeicherung und Sicherheit:**\ Die Server von Brevo befinden sich überwiegend in **Frankreich und Deutschland**. Brevo setzt zertifizierte Rechenzentren und ein ISO 27001-geprüftes Sicherheitsmanagementsystem ein.\ Zur Absicherung des Dienstes können Subunternehmen eingesetzt werden (z. B. Cloudflare oder Google Cloud France), die gemäß DSGVO vertraglich gebunden sind.\ Eine Datenübermittlung in Drittländer (z. B. USA, Indien) erfolgt ausschließlich auf Grundlage geeigneter Garantien nach Art. 46 DSGVO (Standarddatenschutzklauseln, „Data Privacy Framework“). **Löschung:**\ E-Mail-Adressdaten und Versandprotokolle werden nach Wegfall des Zwecks (z. B. Abmeldung vom Newsletter oder Löschung des Profils) gelöscht oder anonymisiert, spätestens jedoch nach 24 Monaten.\ Backups und Sicherheitsprotokolle werden entsprechend den gesetzlichen Vorgaben aufbewahrt. **Auftragsverarbeitung:**\ Mit Brevo wurde ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO abgeschlossen. Darin verpflichtet sich Brevo, personenbezogene Daten ausschließlich nach dokumentierter Weisung und unter Einhaltung europäischer Datenschutzstandards zu verarbeiten.\ Weitere Informationen zum Datenschutz von Brevo findest du unter:\ 👉 [https://www.brevo.com/de/legal/privacypolicy/](https://www.brevo.com/de/legal/privacypolicy/) --- ## 8\. Kommunikation und Messenger-Funktion Mitglieder können über interne Nachrichten (HumHub Messenger) miteinander kommunizieren.\ Diese Nachrichten werden ausschließlich auf den Servern von sexpositiv.community gespeichert und **nicht an Dritte weitergegeben**.\ Alle Datenübertragungen sind **SSL-verschlüsselt**. Kommunikation per E-Mail erfolgt über den Server von IONOS und wird entsprechend der DSGVO geschützt. --- ## 9\. Zahlungsabwicklung Für Spenden und Eventbuchungen werden folgende Zahlungsdienstleister genutzt: - **Banküberweisung** - **PayPal** - **Stripe** Die Zahlungsdaten werden **nicht auf der Plattform gespeichert**, sondern direkt von den jeweiligen Dienstleistern verarbeitet.\ Für deren Datenschutzbestimmungen gilt die jeweilige Anbietererklärung. Rechnungs- und Zahlungsdaten werden entsprechend der gesetzlichen Aufbewahrungsfristen (i. d. R. 10 Jahre) archiviert. --- ## 10\. Server-Logs und technische Sicherheit Zur Gewährleistung der Systemsicherheit werden Server-Logs gespeichert.\ Diese enthalten: - IP-Adresse, Browsertyp, Betriebssystem, Zugriffszeit, aufgerufene Seiten und ggf. Fehlermeldungen. Die Logs dienen ausschließlich der Erkennung und Abwehr von Angriffen (z. B. DDoS, Brute Force, Hacking).\ Sie werden **nach spätestens 7 Tagen gelöscht**.\ Darüber hinaus werden **anonymisierte Logdaten** zur Fehlerbehebung und Systemverbesserung ausgewertet. --- ## 11\. Datensicherheit - Alle Daten werden über **HTTPS/SSL** übertragen. - Passwörter werden **gehasht** gespeichert. - **Zentraler Login (Keycloak)** mit Sicherheitsmechanismen (z. B. Brute-Force-Schutz, Session-Management; 2FA optional/je nach System). - Der Zugriff auf Server und Datenbank ist auf den Betreiber (**Ingo Fleckenstein**) beschränkt. - **Zwei-Faktor-Authentifizierung (2FA)** ist für Mitglieder optional verfügbar. - Backups sind verschlüsselt und gegen unbefugten Zugriff geschützt. --- ## 12\. Nutzerrechte Nach der DSGVO haben Nutzer:innen das Recht auf: - **Auskunft** über gespeicherte personenbezogene Daten (Art. 15 DSGVO) - **Berichtigung** unrichtiger Daten (Art. 16 DSGVO) - **Löschung** ihrer Daten („Recht auf Vergessenwerden“, Art. 17 DSGVO) - **Einschränkung der Verarbeitung** (Art. 18 DSGVO) - **Widerspruch** gegen die Verarbeitung (Art. 21 DSGVO) - **Datenübertragbarkeit** (Art. 20 DSGVO) Zur Wahrnehmung dieser Rechte genügt eine formlose Mitteilung an:\ :e-mail: [hi@sexpositiv.events](mailto:hi@sexpositiv.events) --- ## 13\. Einwilligung und Änderung dieser Datenschutzerklärung Die Nutzung der Plattform setzt die Zustimmung zu dieser Datenschutzerklärung voraus.\ Bei der Registrierung müssen Nutzer:innen aktiv ihr Einverständnis erklären (Checkbox). Änderungen dieser Datenschutzerklärung werden auf der Plattform veröffentlicht.\ Wesentliche Änderungen erfordern eine erneute Zustimmung der Mitglieder. --- ## 14\. Keine Verwendung zu Werbung oder Profiling Personenbezogene oder sensible Daten (z. B. zu Sexualität, Orientierung, Beziehungen etc.)\ werden **nicht für Werbung, automatisierte Entscheidungen oder Profiling** verwendet. --- ## 15\. Sprache und Geltungsbereich Diese Datenschutzerklärung gilt ausschließlich für die deutschsprachige Nutzung der Plattform.\ Registrierungen sind auf Personen mit Wohnsitz in **Deutschland** beschränkt. --- **Betreiber:**\ Ingo Fleckenstein\ Gebelsbergstraße 87\ 70199 Stuttgart\ E-Mail: [hi@sexpositiv.events](mailto:hi@sexpositiv.events)