Política de privacidad
1. Privacidad de un vistazo
Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie diese Website besuchen oder Fotos zu einem Event hochladen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können.
2. Responsable del tratamiento
3. Recopilación de datos en este sitio
Wer ist verantwortlich für die Datenerfassung?
Die Datenverarbeitung auf dieser Website erfolgt durch den Websitebetreiber. Dessen Kontaktdaten können Sie dem Abschnitt „Verantwortliche Stelle" entnehmen.
Wie erfassen wir Ihre Daten?
Ihre Daten werden zum einen dadurch erhoben, dass Sie uns diese mitteilen — beispielsweise bei der Registrierung oder durch Hochladen eines Fotos als Gast. Andere Daten werden automatisch beim Besuch der Website durch unsere IT-Systeme erfasst. Das sind vor allem technische Daten (z. B. IP-Adresse, Browser-Typ, Betriebssystem oder Uhrzeit des Seitenaufrufs).
Wofür nutzen wir Ihre Daten?
Ein Teil der Daten wird erhoben, um eine fehlerfreie Bereitstellung der Website zu gewährleisten. Andere Daten verarbeiten wir, um hochgeladene Fotos in der Event-Library zu speichern, Live-Slideshows anzuzeigen und Gästen per QR-Code einen Upload-Link bereitzustellen.
4. Tus derechos
Sie haben jederzeit das Recht auf unentgeltliche Auskunft über Herkunft, Empfänger und Zweck Ihrer gespeicherten personenbezogenen Daten (Art. 15 DSGVO). Sie haben außerdem ein Recht auf Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO) und Einschränkung der Verarbeitung (Art. 18 DSGVO). Wenn Sie eine Einwilligung zur Datenverarbeitung erteilt haben, können Sie diese jederzeit für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO).
Darüber hinaus haben Sie das Recht auf Datenübertragbarkeit (Art. 20 DSGVO) — das heißt, Sie können Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten. Einen Export Ihrer Daten können Sie jederzeit unter Account-Einstellungen anstoßen. Dort finden Sie ebenfalls die Option, Ihr Konto samt aller zugehörigen Daten unwiderruflich zu löschen.
Des Weiteren steht Ihnen ein Beschwerderecht bei der zuständigen Aufsichtsbehörde zu. Die für uns zuständige Aufsichtsbehörde ist:
Die Landesbeauftragte für den Datenschutz
und für das Recht auf Akteneinsicht Brandenburg (LDA)
Stahnsdorfer Damm 77
14532 Kleinmachnow
5. Cifrado
Ende-zu-Ende-Verschlüsselung der Fotos
Alle hochgeladenen Fotos werden bereits im Browser des Gastes mit AES-GCM-256 verschlüsselt, bevor sie unseren Server erreichen. Der dazugehörige Schlüssel wird clientseitig generiert und — je nach Event-Konfiguration — ausschließlich im URL-Fragment (#…) bzw. mittels einer vom Veranstalter festgelegten PIN gesichert. Das URL-Fragment wird von Browsern niemals an den Server gesendet, die PIN-Ableitung erfolgt lokal via PBKDF2. Wir sehen die Fotos also zu keinem Zeitpunkt im Klartext — weder beim Upload, noch in der Datenbank, noch in der Backup-Kette.
Konkret bedeutet das: Auch wir als Betreiber oder ein möglicher Angreifer mit Zugriff auf die Server-Infrastruktur könnten keine inhaltlichen Daten aus den gespeicherten Foto-Dateien extrahieren. Entschlüsseln kann ausschließlich, wer den vollständigen Galerie-Link bzw. die korrekte Event-PIN besitzt. Diese Architektur entspricht einer Zero-Knowledge-Verarbeitung nach dem Stand der Technik gemäß Art. 32 DSGVO.
Transport-Verschlüsselung (SSL/TLS)
Die Verbindung zwischen Browser und Server ist zusätzlich per SSL-/TLS-Verschlüsselung gegen Mithören und Manipulation gesichert. Eine verschlüsselte Verbindung erkennen Sie an „https://" in der Adresszeile und am Schloss-Symbol Ihres Browsers.
6. Hosting (AWS)
Diese Website und zugehörige Datenbanken werden auf Servern von Amazon Web Services (AWS) in der EU (Region Frankfurt, eu-central-1) gehostet. Hochgeladene Fotos werden in Amazon S3 ebenfalls in der Region eu-central-1 abgelegt. Personenbezogene Daten verlassen dabei nicht den EU-Raum.
Die Nutzung von AWS erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer zuverlässigen Bereitstellung unserer Website). Ein entsprechender Auftragsverarbeitungsvertrag (AVV) mit AWS wurde geschlossen. Eine vollständige Übersicht aller eingesetzten Subdienstleister finden Sie in unserer Auftragsverarbeiter-Liste.
7. DNS (Cloudflare)
Wir nutzen Cloudflare, Inc. (101 Townsend St, San Francisco, CA 94107, USA) als DNS-Anbieter, Reverse-Proxy und CDN. Sämtlicher Datenverkehr zur Domain vibe-pics.com wird über das Cloudflare-Netzwerk geroutet. Cloudflare beendet die TLS-Verbindung an den Edge-Servern (in der Regel innerhalb der EU) und leitet die Anfragen verschlüsselt mit Authenticated Origin Pulls an unseren AWS-Server in Frankfurt weiter.
Cloudflare verarbeitet dabei IP-Adressen, Anfragezeit, User-Agent und URL der aufgerufenen Seite zur Abwehr von DDoS-Angriffen, Spam und automatisierten Bots sowie zur Performance-Optimierung über Caching. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und schnellen Betrieb).
Mit Cloudflare wurde ein Auftragsverarbeitungsvertrag (DPA) abgeschlossen. Übermittlungen in Drittländer erfolgen auf Grundlage von Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO. Details: cloudflare.com/privacypolicy.
8. Cookies
Technisch notwendige Cookies, die für den Betrieb der Website und die Authentifizierung (Session-Tokens) erforderlich sind, setzen wir auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Diese sind nicht einwilligungspflichtig.
Darüber hinaus setzen wir Cookies für Werbe-Conversion-Tracking ein — ausschließlich nach Ihrer ausdrücklichen Einwilligung. Beim ersten Besuch erhalten Sie hierzu einen Cookie-Hinweis. Lehnen Sie ab oder treffen keine Auswahl, werden keinerlei Werbe-Cookies gesetzt und es wird kein entsprechendes Skript geladen. Rechtsgrundlage ist § 25 Abs. 1 TTDSG i. V. m. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Ihre Einwilligung können Sie jederzeit mit Wirkung für die Zukunft über den Link „Cookie-Einstellungen" im Seitenfußbereich widerrufen.
Google Ads (Conversion-Tracking)
Sofern Sie eingewilligt haben, nutzen wir Google Ads Conversion-Tracking, einen Dienst der Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland). Damit messen wir, ob ein Besuch über eine unserer Werbeanzeigen zu einer Event-Freischaltung geführt hat. Hierzu wird ein Cookie (u. a. _gcl_*) gesetzt und beim Abschluss einer Zahlung eine Conversion-Meldung an Google übermittelt. Wir verarbeiten dabei keine für uns identifizierenden Klarnamen; an Google übermittelt werden Interaktions- und Conversion-Daten sowie Ihre IP-Adresse.
Wir setzen den Google-Consent-Mode ein: Das Google-Skript wird erst nach Ihrer Einwilligung geladen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Diese ist jederzeit über „Cookie-Einstellungen" im Footer widerrufbar.
Bei der Einbindung von Google kann es zu einer Übermittlung personenbezogener Daten an die Google LLC in den USA kommen. Diese erfolgt auf Grundlage des EU-US Data Privacy Framework bzw. der EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO. Weitere Informationen: policies.google.com/privacy.
Hinweis: Hochgeladene Fotos sind von dieser Verarbeitung nicht betroffen. Sie bleiben Ende-zu-Ende-verschlüsselt und werden zu keinem Zeitpunkt an Google übermittelt.
Meta Pixel (Facebook/Instagram)
Sofern Sie eingewilligt haben, nutzen wir den Meta-Pixel, einen Dienst der Meta Platforms Ireland Ltd. (4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland). Damit messen wir den Erfolg unserer Werbeanzeigen auf Facebook und Instagram — etwa ob ein Besuch über eine Anzeige zu einer Event-Freischaltung geführt hat.
Hierzu setzt Meta Cookies (u. a. _fbp) und verarbeitet Interaktions- und Conversion-Daten (z. B. Seitenaufruf, abgeschlossener Kauf samt Betrag und Währung) sowie Ihre IP-Adresse. Für uns identifizierende Klarnamen übermitteln wir nicht.
Der Meta-Pixel wird erst nach Ihrer ausdrücklichen Einwilligung geladen — vorher wird kein Skript und kein Cookie gesetzt. Rechtsgrundlage ist § 25 Abs. 1 TTDSG i. V. m. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), jederzeit über „Cookie-Einstellungen" im Footer widerrufbar.
Meta verarbeitet die Daten teils als gemeinsam Verantwortlicher und in den USA. Die Übermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework bzw. der EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO. Weitere Informationen: facebook.com/privacy/policy.
Hinweis: Hochgeladene Fotos sind von dieser Verarbeitung nicht betroffen und werden zu keinem Zeitpunkt an Meta übermittelt.
PostHog (Produktanalyse)
Sofern Sie eingewilligt haben, nutzen wir PostHog, ein Produktanalyse-Werkzeug der PostHog, Inc. (965 Mission St, San Francisco, CA 94103, USA). Wir betreiben PostHog in der EU-Cloud; die erhobenen Daten werden auf Servern in der EU (Frankfurt, eu-central-1) gespeichert. Damit verstehen wir, wie VIBE genutzt wird — etwa an welchen Stellen beim Anlegen eines Events oder beim Freischalten Nutzer abbrechen —, um die App fortlaufend zu verbessern.
Verarbeitet werden Seitenaufrufe, Klick- und Interaktionsereignisse, technische Geräte- und Browserdaten sowie eine gekürzte IP-Adresse zur groben Verortung. Zusätzlich zeichnen wir maskierte Sitzungsverläufe (Session Replays) auf: Sämtliche Eingabefelder sowie alle Bild-, Video- und Canvas-Inhalte werden dabei technisch geblockt und niemals übertragen. Hochgeladene Fotos sind von der Aufzeichnung ausgenommen und bleiben Ende-zu-Ende-verschlüsselt.
PostHog wird erst nach Ihrer ausdrücklichen Einwilligung geladen — vorher werden weder ein Skript noch Cookies gesetzt. Rechtsgrundlage ist § 25 Abs. 1 TTDSG i. V. m. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Diese ist jederzeit über „Cookie-Einstellungen" im Footer mit Wirkung für die Zukunft widerrufbar.
Da die PostHog, Inc. ihren Sitz in den USA hat, kann es zu einer Übermittlung personenbezogener Daten in die USA kommen. Diese erfolgt auf Grundlage der EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO. Mit PostHog wurde ein Auftragsverarbeitungsvertrag (DPA) abgeschlossen. Weitere Informationen: posthog.com/privacy.
9. Subidas de fotos por invitados
Gäste können über einen vom Veranstalter geteilten Event-Code bzw. QR-Code Fotos zu einem Event hochladen — ohne Registrierung oder Account.
Im Rahmen eines Gast-Uploads verarbeiten wir folgende Daten: die IP-Adresse des Uploaders (technisch notwendig zur Missbrauchserkennung), das Upload-Datum sowie die Bilddatei selbst. Es werden keine weiteren Profil- oder Identifikationsdaten über den Gast erhoben.
Die IP-Adresse wird ausschließlich zur Abwehr von Missbrauch (Rate-Limiting, Spam-Filter) gespeichert und nach spätestens 90 Tagen gelöscht bzw. anonymisiert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb).
Jede:r Gast-Uploader kann innerhalb von 24 Stunden nach dem Upload das von ihm bzw. ihr hochgeladene Foto unmittelbar über die Upload-Seite wieder entfernen (Löschen-Symbol neben dem Eintrag). Die Datei wird daraufhin sowohl aus der Datenbank als auch aus dem Storage unwiderruflich entfernt.
10. Registro y cuenta de usuario
Bei der Registrierung als Event-Veranstalter erheben wir folgende Daten: E-Mail-Adresse, optional einen Anzeigenamen und ein Passwort. Passwörter werden ausschließlich als kryptografischer Hash gespeichert — wir können Ihr Klartext-Passwort zu keinem Zeitpunkt einsehen.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Ihre Daten werden gespeichert, solange Ihr Nutzerkonto besteht. Sie können Ihr Konto jederzeit selbst löschen; dabei werden auch alle Ihre Events und hochgeladenen Fotos unwiderruflich gelöscht.
11. Correo electrónico (Resend)
Für den Versand transaktionaler E-Mails (z. B. Bestätigungs-, Willkommens- und Passwort-Zurücksetzungsmails) nutzen wir Resend (Resend, Inc., 2261 Market St #5039, San Francisco, CA 94114, USA). Übermittelt werden die Empfänger-E-Mail-Adresse sowie der Mail-Inhalt; Resend speichert zusätzlich Zustellereignisse (delivered, bounced, complained) für maximal 30 Tage zur Reputationspflege.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an zuverlässiger Kommunikation). Übermittlungen in die USA erfolgen auf Grundlage von Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO. Mit Resend wurde ein Auftragsverarbeitungsvertrag (DPA) abgeschlossen. Details: resend.com/legal/privacy-policy.
Empfänger-Adressen, an die wiederholt Zustellfehler auftreten (Hard-Bounces) oder die eine Beschwerde gemeldet haben, werden in einer internen Suppression-Liste gespeichert, um zukünftige Sendungen an diese Adressen zu unterbinden.
12. Procesamiento de pagos (Stripe)
Für die kostenpflichtige Freischaltung eines Events (einmalig 7,99 €) nutzen wir den Zahlungsdienstleister Stripe. Anbieter innerhalb der EU ist die Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland; technisch eingebunden ist zudem die Muttergesellschaft Stripe, Inc., 354 Oyster Point Blvd, South San Francisco, CA 94080, USA.
Wenn Sie ein Event freischalten, werden Sie auf eine von Stripe gehostete Checkout-Seite (checkout.stripe.com) weitergeleitet. Die Eingabe Ihrer Zahlungsdaten (z. B. Kreditkarten- oder SEPA-Daten) erfolgt ausschließlich dort; diese Daten erreichen unsere Server zu keinem Zeitpunkt. An Stripe übermittelt werden Ihre E-Mail-Adresse, der Event-Bezug sowie der Rechnungsbetrag. Von Stripe erhalten wir zurück: Zahlungsstatus, Betrag, Währung sowie eine Transaktions- und Sitzungs-Kennung, die wir zur Zuordnung und zum Nachweis der Zahlung speichern.
Rechtsgrundlage der Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Vertrags über die Event-Freischaltung). Stripe verarbeitet die Zahlungsdaten zugleich als eigenständig Verantwortlicher zur Betrugsprävention und zur Erfüllung eigener gesetzlicher Pflichten.
Bei der Einbindung von Stripe, Inc. kann es zu einer Übermittlung personenbezogener Daten in die USA kommen. Diese erfolgt auf Grundlage der EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO. Mit Stripe wurde ein Auftragsverarbeitungsvertrag (DPA) geschlossen. Weitere Informationen: stripe.com/de/privacy.
13. Almacenamiento y retención de datos
Ihre personenbezogenen Daten werden nur so lange gespeichert, wie es für die jeweiligen Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen dies vorsehen.
- Kontodaten: bis zur Löschung Ihres Nutzerkontos
- Events und zugehörige Fotos: bis zur Löschung durch Sie oder des Kontos
- Uploader-IP-Adressen (Gast-Uploads): automatisch anonymisiert nach 30 Tagen
- IP-Adressen in Admin-Audit-Log: automatisch anonymisiert nach 90 Tagen
- Abgelaufene Sitzungs-Tokens: automatisch täglich gelöscht
- Server-Logdateien (CloudWatch): maximal 30 Tage
- Datenbank-Snapshots (Point-in-Time-Recovery): 7 Tage
- Verschlüsselte Off-Site-Backups (AWS Glacier Deep Archive): maximal 365 Tage
14. Pase de diapositivas y enlaces compartidos
Veranstalter können einen öffentlichen Share-Link erzeugen, über den alle hochgeladenen Fotos eines Events ohne Login eingesehen werden können. Der Link kann jederzeit in den Event-Einstellungen deaktiviert werden; danach ist die Library für Außenstehende nicht mehr erreichbar.
15. Cambios en esta política de privacidad
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.
Stand: julio de 2026