Pardox
← Zurück

Datenschutzerklärung

Stand: 26. April 2026

1. Datenschutz auf einen Blick

Diese Datenschutzerklärung beschreibt, welche personenbezogenen Daten wir bei der Nutzung von Pardox erheben, wozu wir sie verarbeiten und welche Rechte Sie haben. Pardox befindet sich in der Alpha-Phase — Funktionen und damit verbundene Datenverarbeitung können sich noch ändern.

2. Verantwortliche Stelle

Henrik Neumann
Wolfgang-Mischnick-Straße 2
01099 Dresden
E-Mail: neumann-henrik@web.de

3. Datenerfassung beim Besuch der Website

Server-Log-Dateien

Beim Aufruf der Seite übermittelt Ihr Browser automatisch technische Informationen, die wir temporär in Server-Logs speichern: Browsertyp und -version, Betriebssystem, Referrer-URL, aufgerufene Pfade, Uhrzeit der Anfrage und IP-Adresse. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am stabilen Betrieb und an der Abwehr von Angriffen). Die Logs werden nach maximal 14 Tagen automatisch gelöscht.

Anonyme Nutzungsstatistiken

Zur Verbesserung des Angebots erheben wir aggregierte, nicht-personenbezogene Nutzungs­statistiken:

  • aufgerufene Seiten und Verweildauer
  • Suchbegriffe und verwendete Filter
  • angeklickte Events und Interaktionen (Teilen, Kalender-Export, Karte)
  • Gerätekategorie (Mobile/Tablet/Desktop) und ungefähre Bildschirmgröße
  • Referrer-Seite

Ihre IP-Adresse wird ausschließlich in einer täglich rotierenden, gehashten Form verarbeitet und ist nicht auf Ihre Person rückführbar. Zur Wiedererkennung Ihres Browsers innerhalb einer Sitzung wird eine zufällige Session-ID im lokalen Speicher Ihres Browsers abgelegt; sie enthält keine personenbezogenen Daten und kann durch Löschen der Browserdaten entfernt werden.

Wenn Ihr Browser den Header „Do Not Track“ (DNT) sendet, werden weder IP-Hash noch Browserinformationen gespeichert. Alle Statistik-Daten werden ausschließlich auf eigenen Servern verarbeitet, eine Weitergabe an Drittanbieter findet nicht statt.

4. Cookies und lokaler Speicher

Pardox verwendet Cookies und lokalen Browser-Speicher ausschließlich für technisch notwendige Funktionen. Tracking- oder Werbe-Cookies werden nicht eingesetzt, eine Weitergabe an Drittanbieter findet nicht statt.

Login-Cookie (nur bei angemeldeten Nutzern)

Nach erfolgreicher Anmeldung setzen wir ein verschlüsseltes Sitzungs-Cookie (eventron_user_token). Es ist als HttpOnly, Secure und SameSite=Laxmarkiert — das heißt, es ist aus JavaScript nicht auslesbar und wird nur über HTTPS und nicht bei seitenfremden Requests übertragen. Gültigkeit: 24 Stunden, danach automatischer Logout. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung, Bereitstellung des Nutzerkontos).

OAuth-State-Cookie (nur während Login mit Google/Apple)

Beim Login über Google oder Apple setzen wir ein kurzlebiges Cookie (eventron_oauth_state, 10 Minuten) zum Schutz vor CSRF-Angriffen. Es enthält einen zufälligen Wert und keine personenbezogenen Daten.

Lokaler Speicher

Für Komfortfunktionen werden im localStorageIhres Browsers gespeichert: bevorzugtes Theme (hell/dunkel), Filter-Einstellungen, Session-ID für anonyme Statistiken sowie ggf. eine temporäre Token-Referenz für ausstehende Team-Einladungen. Diese Einträge enthalten keine persönlichen Daten und können jederzeit durch Löschen der Browserdaten entfernt werden.

5. Nutzerkonto und Anmeldung

Ein Nutzerkonto ist optional. Sie können Pardox ohne Anmeldung nutzen; bestimmte Funktionen (Bookmarks, Reminder, Freundschaften, Tickets) erfordern eine Anmeldung.

Anmeldung per Magic-Link

Bei der Anmeldung per E-Mail-Link verarbeiten wir Ihre E-Mail-Adresse zum Versand eines einmaligen Login-Links (gültig 15 Minuten). Bei erstmaliger Anmeldung wird zusätzlich ein zufälliger 6-stelliger User-Tag generiert.

Anmeldung über Google oder Apple

Bei der Anmeldung über Google bzw. Apple Sign-In erhalten wir vom jeweiligen Anbieter Ihre E-Mail-Adresse, eine eindeutige Provider-ID und — sofern verfügbar — Ihren Namen. Es werden keine weiteren Daten von Google oder Apple abgefragt. Datenschutzerklärungen: Google und Apple.

Profildaten

Im Nutzerkonto speichern wir freiwillig von Ihnen angegebene Daten: Anzeigename, vollständiger Name, Geburtsdatum, Profilbild, Inhalts-Präferenzen (Kategorien, NSFW-Filter). Diese Felder können Sie jederzeit im Profilbereich ändern oder leeren. Hochgeladene Profilbilder werden serverseitig auf zulässige Bildformate (JPG/PNG/WebP) geprüft.

Soziale Funktionen

Wenn Sie diese aktiv nutzen, speichern wir: Lesezeichen (gemerkte Events), Freundschaften und Freundschaftsanfragen, Erinnerungen, Kommentare, geteilte Inhalte, Gruppen-Mitgliedschaften und ausgeblendete Events/Locations. Inhalte, die Sie für andere Nutzer sichtbar machen (z. B. Kommentare), sind in der App für diese sichtbar.

Push-Benachrichtigungen

Wenn Sie Push-Benachrichtigungen aktivieren, speichern wir die vom Browser bereitgestellte Push-Subscription (Endpoint-URL und kryptografische Schlüssel). Diese verwenden wir ausschließlich, um angeforderte Erinnerungen zu senden. Die Übertragung erfolgt über den von Ihrem Browser-Hersteller betriebenen Push-Dienst (z. B. Mozilla, Apple, Google). Sie können Push jederzeit in den Browsereinstellungen oder in Ihrem Profil deaktivieren.

6. E-Mail-Versand

Wir senden E-Mails ausschließlich auf Ihre Veranlassung — insbesondere für Login-Links, Bestätigungs-Codes (z. B. bei Account-Löschung) und system­relevante Mitteilungen zu Ihrem Konto. Die E-Mails werden über unseren eigenen SMTP-Anbieter versendet. Werbe- oder Newsletter-Mails versenden wir nicht.

7. Tickets und Bestellungen

Beim Kauf eines Tickets verarbeiten wir die zur Abwicklung erforderlichen Daten: Name, E-Mail-Adresse, gewählte Tickets, Zahlungs- und Bestellnummer. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Aufbewahrungs­fristen ergeben sich aus handels- und steuerrechtlichen Vorgaben.

8. Meldungen und Reports

Wenn Sie Inhalte oder Probleme melden, speichern wir den Meldetext, den gemeldeten Inhalt, optional Ihre Kontakt-E-Mail und ein optional hochgeladenes Bild. Diese Daten verarbeiten wir zur Prüfung und Bearbeitung der Meldung (Art. 6 Abs. 1 lit. f DSGVO, berechtigtes Interesse an der Plattform­qualität).

9. Sicherheitsmaßnahmen

Wir setzen technische und organisatorische Maßnahmen ein, um Ihre Daten zu schützen: ausschließlich verschlüsselte Verbindungen (HTTPS/TLS), HttpOnly-Cookies gegen JavaScript-Auslesen, CSRF-Schutz für OAuth-Logins, Begrenzung wiederholter Login- und Verifikations-Versuche (Rate-Limit), Bcrypt-Hashing von Admin-Passwörtern, getrennte JWT-Schlüssel für unterschiedliche Bereiche und Cookie-/Login-Sicherheits-Header (CSP, HSTS, X-Frame-Options).

10. Externe Dienste

Google Fonts

Zur Darstellung von Schriftarten lädt Ihr Browser Schriften von Google Fonts. Dabei wird Ihre IP-Adresse an Google übermittelt.

OpenStreetMap

Für die Kartenansicht laden wir Kartenkacheln von OpenStreetMap. Dabei wird Ihre IP-Adresse an die Server der OpenStreetMap Foundation übermittelt.

Google OAuth / Apple Sign-In (optional)

Diese Dienste werden nur aktiv, wenn Sie sich dafür entscheiden, sich darüber anzumelden (siehe Abschnitt 5).

11. Speicherdauer und Löschung

Server-Logs werden nach 14 Tagen gelöscht. Anonyme Statistik-Einträge werden in aggregierter Form gespeichert und sind nicht personenbezogen. Magic-Link-Tokens und Bestätigungs-Codes verfallen automatisch nach 15 bis 30 Minuten.

Ihren Account können Sie jederzeit selbst löschen (Profil → Account löschen). Die Löschung wird durch einen per E-Mail zugesandten Bestätigungs-Code abgesichert. Mit der Bestätigung werden Ihr Konto, Ihr Profil und alle damit verknüpften persönlichen Daten (Bookmarks, Freundschaften, Kommentare, Reminder, Push-Subscriptions) unwiderruflich gelöscht. Buchungs- und Rechnungsdaten zu Tickets bleiben bis zum Ablauf gesetzlicher Aufbewahrungs­fristen erhalten und werden in dieser Zeit nicht weiter genutzt.

12. Ihre Rechte

Sie haben jederzeit das Recht auf:

  • Auskunft über Ihre gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung Ihrer Daten (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
  • Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Für Anfragen zu Ihren Daten erreichen Sie uns unter der oben genannten Kontaktadresse. Zuständige Aufsichtsbehörde ist der Sächsische Datenschutz­beauftragte.

13. Änderungen dieser Erklärung

Wir passen diese Datenschutzerklärung an, wenn sich Funktionen oder rechtliche Vorgaben ändern. Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar; das Datum oben gibt den Stand wieder.