Stand: 2026-04-27
Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist:
Melvin Ciurletti, einzelunternehmerisch tätig unter der Bezeichnung FAER
Stäudach 154
72074 Tübingen
Deutschland
E-Mail: hello@faer.app
Web: https://www.faer.app
Ein Datenschutzbeauftragter ist nicht bestellt, da die gesetzlichen Voraussetzungen hierfür (Art. 37 DSGVO, § 38 BDSG) nicht erfüllt sind.
(1) Wir verarbeiten personenbezogene Daten ausschließlich zu den in dieser Datenschutzerklärung beschriebenen Zwecken und auf der jeweils angegebenen Rechtsgrundlage.
(2) Als Rechtsgrundlagen kommen insbesondere in Betracht:
(3) Personenbezogene Daten werden gelöscht, sobald der Zweck der Verarbeitung entfällt und keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Die konkrete Speicherdauer wird bei den einzelnen Verarbeitungstätigkeiten angegeben.
(4) Die Übertragung zwischen Endgerät und Server erfolgt ausschließlich über verschlüsselte Verbindungen (TLS). Zur Authentifizierung werden ausschließlich zeitlich befristete Magic-Link-Token eingesetzt; dauerhafte Passwörter werden nicht verwendet. Darüber hinaus treffen wir geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO, um personenbezogene Daten vor Verlust, Manipulation und unberechtigtem Zugriff zu schützen.
Ihnen stehen gegenüber dem Verantwortlichen bezüglich der Sie betreffenden personenbezogenen Daten folgende Rechte zu:
Zur Ausübung Ihrer Rechte genügt eine formlose Nachricht an hello@faer.app. Zur Überprüfung Ihrer Identität können wir zusätzliche Angaben anfordern, wenn begründete Zweifel an der Identität der anfragenden Person bestehen (Art. 12 Abs. 6 DSGVO).
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Die für den Verantwortlichen zuständige Aufsichtsbehörde ist:
Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW)
Hausanschrift: Heilbronner Straße 35, 70191 Stuttgart
Postanschrift: Postfach 10 29 32, 70025 Stuttgart
Telefon: +49 (0)711 615541-0
Web: https://www.baden-wuerttemberg.datenschutz.de
(1) Die Plattform wird auf der Infrastruktur der folgenden Dienstleister betrieben:
(2) Bei jedem Aufruf der Plattform erfassen die genannten Dienstleister in Server-Log-Files folgende Daten:
(3) Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Das berechtigte Interesse liegt in der Bereitstellung, Stabilität und im sicheren Betrieb der Plattform.
(4) Speicherdauer: Server-Log-Files werden spätestens nach 30 Tagen gelöscht, soweit sie nicht zur Untersuchung eines konkreten Sicherheitsvorfalls benötigt werden.
(5) Drittlandsübermittlung: Vercel und Cloudflare sind unter dem EU-US Data Privacy Framework zertifiziert. Zusätzlich bestehen mit allen genannten Dienstleistern Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO; bei Vercel und Cloudflare unter Einbeziehung der Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO.
(1) Wir setzen ausschließlich technisch notwendige Cookies ein:
visitor_session und exhibitor_session — Authentifizierung von Anmelde-Sitzungen. Speicherdauer: 7 Tage.anon_id — ermöglicht das Speichern von Produkten in einer Gast-Mappe, bevor ein Besucher-Konto angelegt wird. Speicherdauer: bis zu 12 Monate.NEXT_LOCALE — merkt sich die von Ihnen gewählte Sprache. Speicherdauer: bis zu 12 Monate.(2) Im Sitzungsspeicher Ihres Browsers (sessionStorage) werden ausschließlich kurzlebige, funktional erforderliche Einträge abgelegt, die mit Schließen des Browser-Tabs automatisch entfernt werden (insbesondere ein Hinweis bei abgelaufener Anmeldung sowie ein Dublettenschutz bei der Zählung von Seitenaufrufen).
(3) Eine Verwendung von localStorage findet nicht statt.
(4) Wir setzen keine Tracking-, Analyse- oder Marketing-Cookies ein und binden keine Dienste Dritter zu Analyse- oder Werbezwecken ein (z. B. Google Analytics, Meta Pixel). Die Auswertung von Nutzungssignalen (etwa Aufrufzahlen einzelner Produktseiten) erfolgt ausschließlich serverseitig und ohne persistente Kennung auf Ihrem Endgerät.
(5) Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderliche Speicherung) in Verbindung mit Art. 6 Abs. 1 lit. b DSGVO (Durchführung des Nutzungsvertrags) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am funktionsfähigen und sicheren Betrieb der Plattform).
(1) Zur Erkennung und Behebung technischer Fehler nutzen wir den Dienst Sentry (Functional Software Inc. d/b/a Sentry, 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA).
(2) Sentry wird in der EU-Datenregion Frankfurt betrieben. Event-Daten werden ausschließlich innerhalb der EU gespeichert. Eine Übermittlung in die USA kann im Rahmen konzerninterner Administrations- oder Support-Prozesse nicht vollständig ausgeschlossen werden; hierfür gelten die unter Abs. 6 genannten Vertragsgrundlagen.
(3) Verarbeitete Daten: Fehlertyp, Stacktrace, Zeitstempel, Anwendungs- und Laufzeit-Kontext. Folgende Einstellungen sind fest im Quellcode verankert und stellen sicher, dass keine personenbezogenen Daten an Sentry übermittelt werden: keine Übertragung von IP-Adressen oder Request-Headern (sendDefaultPii: false), keine Aufzeichnung von Session Replays (replaysSessionSampleRate: 0, replaysOnErrorSampleRate: 0), keine Performance-Traces (tracesSampleRate: 0). Sensible Feldnamen (Passwörter, Tokens, Sitzungs-IDs) werden durch automatische Data-Scrubbing-Regeln vor der Speicherung entfernt. Zusätzlich werden E-Mail-Adressen in Ereignis-Payloads, Breadcrumbs und Log-Nachrichten durch einen serverseitigen before_send-Hook (Backend) bzw. einen clientseitigen beforeSend-Hook (Frontend) vor der Übermittlung redigiert.
(4) Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Das berechtigte Interesse liegt in der Stabilität, Sicherheit und Fehlerfreiheit der Plattform.
(5) Speicherdauer: Event-Daten werden bei Sentry automatisch nach 30 Tagen gelöscht.
(6) Mit Sentry besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO unter Einbeziehung der Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO; Sentry ist zudem unter dem EU-US Data Privacy Framework zertifiziert.
(1) Für die Registrierung eines Aussteller-Kontos werden folgende Pflichtdaten erhoben:
(2) Im Aussteller-Profil können optional eine Kontakt-E-Mail-Adresse sowie eine Website hinterlegt werden. Beide Angaben werden auf den Event- und Produktseiten des Ausstellers öffentlich angezeigt.
(3) Die Authentifizierung erfolgt ausschließlich per Magic-Link: Bei jeder Anmeldung ohne aktive Sitzung wird eine E-Mail mit einem einmaligen Anmelde-Link an die hinterlegte E-Mail-Adresse versendet. Passwörter werden weder verwendet noch gespeichert.
(4) B2B-Bestätigung: Vor jeder kostenpflichtigen Event-Buchung bestätigen Aussteller über eine Checkbox, dass sie als Unternehmer im Sinne des § 14 BGB handeln und die Plattform ausschließlich für ihre gewerbliche oder selbständige berufliche Tätigkeit nutzen. Zur Erfüllung der gesetzlichen Nachweispflicht über den B2B-Charakter der Vertragsbeziehung protokollieren wir zu dieser Bestätigung den Zeitpunkt der Bestätigung, den Wortlaut des angezeigten Bestätigungstexts sowie einen mit einem internen Schlüssel berechneten kryptografischen Hash (HMAC-SHA256) der IP-Adresse. Die IP-Adresse im Klartext wird nicht gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (die B2B-Bestätigung ist Voraussetzung für den Abschluss des entgeltlichen Nutzungs- und Event-Vertrags) sowie Art. 6 Abs. 1 lit. f DSGVO; das berechtigte Interesse liegt in der Erfüllung der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO und in einem auditfähigen Nachweis des B2B-Charakters der Vertragsbeziehung.
(5) Team-Mitglieder: Ein Aussteller-Inhaber kann weitere Personen per E-Mail-Einladung dem Aussteller-Konto hinzufügen. Für Team-Mitglieder wird ausschließlich die E-Mail-Adresse verarbeitet. Team-Mitgliedern stehen die in §3 genannten Betroffenenrechte unmittelbar gegenüber uns zu. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Durchführung des Nutzungsvertrags mit dem Aussteller) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Zuordnung von Zugriffen innerhalb eines Aussteller-Kontos).
(6) Rechtsgrundlage (Abs. 1–3): Art. 6 Abs. 1 lit. b DSGVO (Durchführung des Nutzungsvertrags).
(7) Speicherdauer: Bis zur Löschung des Aussteller-Kontos bzw. — bei Team-Mitgliedern — bis zu ihrem Austritt oder bis zur Löschung des Aussteller-Kontos. Nach Löschung werden die Daten innerhalb von 30 Tagen auch aus den Datenbank-Backups überschrieben. Steuer- und rechnungsrelevante Daten werden im Rahmen der gesetzlichen Aufbewahrungspflichten (insbesondere § 147 AO, § 257 HGB, bis zu 10 Jahre) auch nach Kontolöschung weiter aufbewahrt.
(1) Für die Abwicklung kostenpflichtiger Event-Buchungen nutzen wir den Zahlungsdienstleister Lemon Squeezy. Anbieter ist die Sold through Link, LLC (f/k/a Lemon Squeezy LLC), 222 South Main Street, Suite 500, Salt Lake City, UT 84101, USA.
(2) Lemon Squeezy tritt als Merchant of Record auf, d. h. als eigenständiger Verkäufer gegenüber dem Aussteller und eigenständiger Verantwortlicher für die Zahlungsabwicklung. Für die Verarbeitung der Zahlungsdaten gelten ergänzend die Datenschutzbestimmungen von Lemon Squeezy: https://www.lemonsqueezy.com/privacy.
(3) Im Rahmen der Zahlungsabwicklung werden folgende Daten verarbeitet:
Von uns an Lemon Squeezy übermittelt (beim Start des Checkouts): Produkt- und Mengenangaben der Buchung (Variante und Anzahl der Event-Tage), interne Referenz-IDs zur späteren Zuordnung der Buchung (Exhibitor-ID, interner Event-Token) sowie die Rückleitungs-URL nach Abschluss des Checkouts. Eine Übermittlung personenbezogener Daten des Ausstellers (Name, E-Mail-Adresse, Rechnungsanschrift, USt-ID) von uns an Lemon Squeezy erfolgt nicht; diese Angaben werden vom Aussteller ausschließlich direkt auf der Checkout-Seite von Lemon Squeezy eingegeben.
Von Lemon Squeezy an uns übermittelt (nach erfolgreichem Kauf per Webhook): Bestell-ID und Rechnungsnummer, gezahlter Betrag und Währung, Anzahl gebuchter Tage, Zeitstempel und Status der Bestellung (bezahlt / erstattet), Steuerangaben sowie die vom Aussteller bei Lemon Squeezy hinterlegten Rechnungsdaten (Name, E-Mail-Adresse, Rechnungsanschrift). Diese Daten werden zur Zuordnung der Buchung, zur Rechnungsablage und zur Erfüllung steuerlicher Aufzeichnungspflichten verwendet.
Zahlungsmittel-Daten (z. B. Kreditkartennummer, IBAN) werden ausschließlich von Lemon Squeezy erhoben und uns zu keinem Zeitpunkt übermittelt.
(4) Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung) und Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung zur Rechnungsstellung und Buchhaltung).
(5) Drittlandsübermittlung: Die Übermittlung erfolgt auf Grundlage der Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO.
(6) Speicherdauer: Die bei uns eingehenden Bestell- und Rechnungsdaten werden im Rahmen der gesetzlichen Aufbewahrungspflichten für Rechnungen und Buchhaltungsbelege gespeichert (insbesondere § 147 AO, § 257 HGB, bis zu 10 Jahre). Die Speicherdauer der bei Lemon Squeezy selbst verarbeiteten Zahlungsdaten regelt Lemon Squeezy nach den eigenen Datenschutzbestimmungen.
(1) Für den Versand transaktionaler E-Mails nutzen wir den Dienst Resend. Anbieter ist die Plus Five Five, Inc. (Resend), 2261 Market Street #5039, San Francisco, CA 94114, USA. Versendet werden insbesondere:
(2) Verarbeitete Daten: E-Mail-Adresse des Empfängers sowie der Inhalt der jeweiligen Nachricht.
(3) Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Durchführung des Nutzungsvertrags) sowie — für Einwilligungs-Bestätigungen mit Widerrufs-Link — Art. 6 Abs. 1 lit. c DSGVO (Erfüllung der Pflicht aus Art. 7 Abs. 3 DSGVO, den Widerruf einer Einwilligung so einfach zu ermöglichen wie deren Erteilung).
(4) Speicherdauer: Versandprotokolle werden bei Resend maximal 30 Tage aufbewahrt.
(5) Drittlandsübermittlung: Mit Resend besteht ein Auftragsverarbeitungsvertrag mit Einbeziehung der Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO.
(1) E-Mails, die Sie an hello@faer.app oder andere Adressen unter der Domain faer.app richten, werden mittels Google Workspace verarbeitet. Anbieter ist die Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland, unter Einbeziehung von Infrastruktur der Google LLC, Mountain View, Kalifornien, USA.
(2) Verarbeitete Daten: E-Mail-Adresse des Absenders, Inhalt der Nachricht, technische Metadaten (Zeitstempel, IP-Adressen in den Mail-Headern).
(3) Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Support-Kommunikation) sowie Art. 6 Abs. 1 lit. b DSGVO für Anfragen im Rahmen bestehender oder anzubahnender Vertragsverhältnisse.
(4) Speicherdauer: Bis zum Abschluss der jeweiligen Kommunikation zuzüglich eventueller gesetzlicher Aufbewahrungsfristen für Geschäftskorrespondenz (§ 147 AO, § 257 HGB).
(5) Drittlandsübermittlung: Google ist unter dem EU-US Data Privacy Framework zertifiziert. Zusätzlich besteht ein Datenverarbeitungszusatz (Data Processing Amendment) nach Art. 28 DSGVO unter Einbeziehung der Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO.
(1) Besucher der Plattform können optional ein persönliches Konto anlegen, um besuchte Produktseiten in einem persönlichen Bereich ("Mappe") zu speichern.
(2) Verarbeitete Daten:
Die Mappe enthält ausschließlich Verweise auf die jeweiligen Produktseiten, keine Kopien der Seiteninhalte. Die Authentifizierung erfolgt ausschließlich per Magic-Link; Passwörter werden weder verwendet noch gespeichert.
(3) Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Nutzungsvertrag für das Besucher-Konto).
(4) Speicherdauer: Bis zur Löschung des Besucher-Kontos.
(5) Folgen einer Kontolöschung: Mit Löschung des Besucher-Kontos werden Account-Daten und Mappen-Einträge unwiderruflich gelöscht. Gleichzeitig werden alle vom Besucher erteilten Einwilligungen mit sofortiger Wirkung widerrufen; die betreffenden Lead-Datensätze werden aus den Live-Ansichten der betroffenen Aussteller entfernt (siehe §14 und §15). Das Einwilligungs-Protokoll wird zu Nachweiszwecken nach §15 Abs. 4 fortgeführt.
(1) Aussteller stellen auf der Plattform Produktseiten bereit. Diese Seiten sind grundsätzlich öffentlich abrufbar. Der reine Abruf einer Produktseite erfordert keine Einwilligung des Besuchers und keine Preisgabe personenbezogener Daten seitens des Besuchers.
(2) Event-bezogene Kurz-Links und QR-Codes leiten auf die zugehörigen Produktseiten. Die Gültigkeit dieser Kurz-Links ist an den jeweils gebuchten Event-Zeitraum gebunden; nach dessen Ablauf ist der Kurz-Link nicht mehr aktiv.
(3) Beim Abruf einer Produktseite werden ausschließlich die unter §5 beschriebenen Server-Log-Files erfasst. Eine personenbezogene Auswertung des Besuchs- oder Scan-Verhaltens einzelner Besucher findet nicht statt. Zur statistischen Auswertung der Nutzung erheben wir ausschließlich aggregierte, nicht personenbezogene Nutzungsdaten (insbesondere Aufruf- und Scan-Zahlen) ohne persistente Kennung auf dem Endgerät des Besuchers; diese aggregierten Werte können dem Aussteller im Rahmen der Aussteller-Analytics zur Verfügung gestellt werden.
(4) Auf der Produktseite können Besucher per Klick einwilligen, dass die in ihrem Besucher-Konto hinterlegte E-Mail-Adresse an den Aussteller der Produktseite weitergegeben wird. Für diese Weitergabe gelten ergänzend §14 (Lead-Daten) und §15 (Einwilligungsverwaltung).
(1) Besucher können mit ausdrücklicher Einwilligung auf einer Produktseite oder nach Scan eines Aussteller-QR-Codes veranlassen, dass ihre im Besucher-Konto hinterlegte E-Mail-Adresse an den jeweiligen Aussteller weitergegeben wird ("Lead"). Die Erteilung der Einwilligung richtet sich nach §15.
(2) Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO für die Lead-Daten ist der jeweilige Aussteller, nicht der Betreiber der Plattform. Der Plattformbetreiber verarbeitet Lead-Daten ausschließlich als Auftragsverarbeiter im Sinne des Art. 28 DSGVO auf dokumentierte Weisung des Ausstellers.
(3) Eine Nutzung der Lead-Daten zu eigenen Zwecken des Plattformbetreibers — insbesondere zu eigenem Marketing, ausstellerübergreifendem Profiling oder zum Training von Modellen mit personenbezogenen Daten — findet nicht statt.
(4) Die Einzelheiten der Auftragsverarbeitung regelt ein gesonderter Auftragsverarbeitungsvertrag zwischen dem Plattformbetreiber und dem jeweiligen Aussteller, abrufbar unter https://www.faer.app/de/dpa.
(5) Rechtsgrundlage (aus Sicht des Besuchers): Art. 6 Abs. 1 lit. a DSGVO (Einwilligung gegenüber dem Aussteller).
(6) Speicherdauer: Die Speicherdauer der Lead-Daten im System des Ausstellers bestimmt der Aussteller eigenverantwortlich. Im Fall eines Widerrufs werden die Lead-Daten gemäß §15 Abs. 4 aus den für den Aussteller abrufbaren Live-Leads entfernt.
(1) Die Erhebung und Verarbeitung von Lead-Daten durch den Aussteller erfolgt ausschließlich auf Grundlage einer ausdrücklichen, aktiv erteilten Einwilligung des Besuchers (Art. 6 Abs. 1 lit. a, Art. 7 DSGVO). Vorausgewählte Einwilligungen werden nicht verwendet.
(2) Für Nachweiszwecke nach Art. 7 Abs. 1 DSGVO protokollieren wir zu jeder Einwilligung in einem Einwilligungs-Protokoll die folgenden Angaben:
(3) Widerruf: Besucher können eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, ohne dass die Rechtmäßigkeit der vor dem Widerruf erfolgten Verarbeitung berührt wird. Der Widerruf ist ebenso einfach möglich wie die Erteilung (Art. 7 Abs. 3 DSGVO). Widerrufsmöglichkeiten sind:
hello@faer.app(4) Mit Wirksamwerden eines Widerrufs wird die betreffende Lead-Datenzeile aus den für den Aussteller abrufbaren Live-Leads entfernt. Der Widerruf selbst sowie die ursprünglich erteilte Einwilligung verbleiben im Einwilligungs-Protokoll und werden dort zu Nachweiszwecken weiter dokumentiert.
(5) Rechtsgrundlage für die Vorhaltung des Einwilligungs-Protokolls: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Nachweispflicht nach Art. 7 Abs. 1 DSGVO) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem auditfähigen Nachweis).
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um geänderten rechtlichen Anforderungen oder Änderungen unserer Dienste Rechnung zu tragen. Die jeweils aktuelle Version ist unter der dieser Datenschutzerklärung zugewiesenen URL abrufbar. Das Datum der letzten Aktualisierung ist am Beginn dieser Erklärung vermerkt. Bei wesentlichen Änderungen werden wir Sie zusätzlich in geeigneter Weise informieren (z. B. per E-Mail an registrierte Nutzer).
Diese Datenschutzerklärung wird in deutscher und englischer Sprache bereitgestellt. Rechtsverbindlich ist ausschließlich die deutsche Fassung. Die englische Fassung dient ausschließlich der Information; im Fall von Abweichungen oder Auslegungsunterschieden zwischen den Sprachfassungen hat die deutsche Fassung Vorrang.
Stand: 2026-04-27