1. Verantwortliche Stelle

Freiraumbüro Halle (Saale)
Hardenbergstr. 23, 06114 Halle (Saale)
c/o Goldene Rose gGmbH
Rannische Straße 19, 06108 Halle (Saale)
E-Mail: post@tmrb.eu

2. Zwecke, Datenkategorien, Rechtsgrundlagen

tmrb stellt ein Verzeichnis für Veranstaltungen, Räume und Ressourcen bereit. Angebote werden über Formulare angelegt und nach Veröffentlichung öffentlich sichtbar. Nicht veröffentlichte Inhalte sind nicht öffentlich erreichbar („published-only“).

2.1 Technischer Betrieb der Website

• Daten: IP-Adresse, Zeitstempel, angefragte URL, User-Agent (Server-Logs), Basis-Fehlerdaten.
• Zweck: Auslieferung, Stabilität, Missbrauchs-/Rate-Limit-Schutz, Fehleranalyse.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem Betrieb).
• Speicherdauer: i. d. R. 7–30 Tage, danach Löschung/Anonymisierung.

2.2 Einreichungen über Formulare (create/form-Flow)

• Daten: Organisations-/Kontaktdaten (z. B. Name der Organisation, E-Mail, Website, Adresse), Angebotsdaten (Titel, Beschreibung, Ort, Zeitraum, Tags), Geodaten (Lat/Lng), Uploads (Bilder).
• Zweck: Anlegen, Verwalten und Veröffentlichen von Einträgen; E-Mail-Benachrichtigungen (z. B. Verwaltungslink), Moderation; Sichtbarkeit auf Karte/Liste ausschließlich nach Veröffentlichung.
• Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung des Dienstes/vorvertraglich), Art. 6 Abs. 1 lit. f DSGVO (Moderation/Missbrauchsvermeidung); soweit Einwilligungen abgefragt werden (z. B. Veröffentlichung/Bilder), Art. 6 Abs. 1 lit. a DSGVO.
• Speicherdauer: Bis Löschung/Zurückziehen; abgelaufene Veranstaltungen werden nach angemessener Frist entfernt; Entwürfe sind nur mit gültigem Link/Session zugänglich.

2.3 Moderation & Missbrauchsprävention

• Daten: Inhalte der Einreichung, einfache Text-Heuristiken/Listen, technische Metadaten (IP, Zeit).
• Zweck: Vermeidung von Spam, Gewalt-/Hasssprache, rechtswidrigen Inhalten; manuelle Freigabe.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

2.4 E-Mail-Versand (z. B. Verwaltungs-/Lost-Link)

• Daten: E-Mail-Adresse, E-Mail-Inhalte, technische Zustellinformationen.
• Zweck: Zustellung von Bestätigungen, Verwaltungs-Links (Magic-Link), Lost-Link-Funktionen.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

2.5 Karten & Geocoding

• Daten: Beim Abruf von Kartenkacheln die übliche Netzwerk-/Browserkommunikation (z. B. IP, Zeit, User-Agent).
• Zweck: Funktionale Kartenanzeige; Geocoding erfolgt serverseitig über Proxy, personenbezogene Formulardaten werden dabei nicht an Dritte weitergegeben.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

2.6 Einbettungen (Embeds)

• Daten: Bei Einbettungen werden beim Laden der tmrb-Inhalte die üblichen Browserdaten übertragen; externe Plattformen können zusätzlich eigene Verarbeitungen vornehmen.
• Zweck: Darstellung von tmrb-Inhalten in externen Seiten; Öffnen von Links je nach Embed-Modus (z. B. neues Tab).
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

3. Empfängerinnen und Auftragsverarbeitung

• Hosting/Serverbetrieb (EU/EWR): Auftragsverarbeiter nach Art. 28 DSGVO; Vertrag zur Auftragsverarbeitung vorhanden.
• E-Mail-Zustellung (EU/EWR): SMTP/Transport-Provider zur Zustellung.
• Kartenkacheln: OpenStreetMap-Tile-Server (tile.openstreetmap.org o. ä.); beim Abruf werden IP und Browserdaten übertragen.
• Geocoding: Serverseitiger Proxy (z. B. Nominatim) ohne Durchleitung personenbezogener Formulardaten.

4. Übermittlung in Drittländer

Eine aktive Übermittlung personenbezogener Daten in Drittländer ist nicht vorgesehen. Bei externen Kartenkacheln/Einbettungen kann im Einzelfall eine Übermittlung stattfinden. In solchen Fällen werden geeignete Garantien nach Art. 44 ff. DSGVO berücksichtigt; die Anzeige externer Inhalte kann durch Browser-/Add-on-Einstellungen unterbunden werden.

5. Cookies, Sessions und lokale Speicherung

• Technisch notwendige Cookies/Sessions: z. B. für Ausblendung des Cookie-Hinweises, Formular-/Moderations-Flows, Rate-Limit, Sitzungsverwaltung im Dashboard; keine Tracking- oder Marketing-Cookies.
• Session-Lebensdauer: Sitzungen können bis zu 14d bestehen (konfigurationsabhängig), um fortgesetzte Bearbeitungen zu ermöglichen.
• Token-Links (Magic-Links): Verwaltungslinks sind zeitlich begrenzt (z. B. 2h). Nach Ablauf ist eine neue Zustellung über Link anfordern möglich.
• Local/SessionStorage: Optional können lokal im Browser funktionale Komfortinformationen gespeichert werden (z. B. das Merken einer E-Mail-Adresse zur Vorbelegung eines Formulars). Diese Speicherung erfolgt ausschließlich auf dem Endgerät der Nutzer:innen, wird nicht an tmrb.eu übertragen und kann jederzeit durch Löschen der Browserdaten entfernt werden.

6. Uploads & Medien

Speicherung ausschließlich in der EU; off-root; EXIF-Entfernung; Größenreduktion. Veröffentlichte Medien sind nur über veröffentlichte Einträge zugänglich (kein Direktlisting). Nicht veröffentlichte Medien sind nicht öffentlich erreichbar.

7. Aufbewahrung & Löschung

• Einträge: bis Löschung/Zurückziehen; abgelaufene Veranstaltungen werden nach angemessener Frist entfernt.
• Tokens: nach Ablauf automatisch ungültig und serverseitig gelöscht/invalidiert.
• Server-Logs: 7–30 Tage, danach Löschung/Anonymisierung.
• Backups: in betrieblich erforderlichen Intervallen; Löschung nach gesetzlichen Fristen.

8. Rechte betroffener Personen

Es bestehen Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie Widerspruch. Soweit eine Verarbeitung auf Einwilligung beruht, kann diese jederzeit mit Wirkung für die Zukunft widerrufen werden.

Kontakt: post@tmrb.eu. Zusätzlich besteht ein Beschwerderecht bei einer Datenschutzaufsichtsbehörde.

9. Sicherheit

tmrb trifft technische und organisatorische Maßnahmen: Trennung von Webroot und privaten Verzeichnissen, Zugriffsbeschränkungen, TLS-Verschlüsselung bei der Übertragung, serverseitige Bild-Rekodierung (Metadaten-Entfernung), Rate-Limit/CSRF-Schutz, regelmäßige Updates und Protokollierung für Störungsanalyse.

10. Einbettungen, Öffnen von Links & Content-Security-Policy

Für Einbettungen kann tmrb je nach Einbettungs-Modus Links im selben oder in einem neuen Tab öffnen. Die Auslieferung kann durch eine Content-Security-Policy (CSP) auf definierte frame-ancestors beschränkt werden. Wird eine Einbettung deaktiviert, sind Inhalte ausschließlich direkt auf tmrb abrufbar.

11. Änderungen

Diese Erklärung wird bei Bedarf angepasst, z. B. bei neuen Funktionen oder rechtlichen Anforderungen. Stand: 16.04.2026.