Datenschutzerklärung

Stand: März 2026

1. Verantwortlicher

Martin Pfeffer, Flughafenstraße 24, 12053 Berlin, Deutschland
E-Mail: support@celox.io
Datenschutzbeauftragter: Martin Pfeffer (gleiche Kontaktdaten)

2. Übersicht der Verarbeitungen

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung unseres Dienstes erforderlich ist. Die Verarbeitung erfolgt auf Grundlage der DSGVO (Datenschutz-Grundverordnung) sowie des BDSG und TTDSG.

3. Erhobene Daten

3.1 Registrierung und Anmeldung

Google OAuth: Bei Anmeldung über Google erhalten wir: Name, E-Mail-Adresse, Profilbild, Google-User-ID. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Magic Link: Bei Anmeldung per E-Mail speichern wir die E-Mail-Adresse und senden einen Einmal-Link. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

3.2 Nutzungsdaten

• Checklisten: Ihre persönlichen Packlisten werden in unserer Datenbank gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
• Favoriten, besuchte Spots, Trips: Werden Ihrem Account zugeordnet gespeichert.
• Bewertungen und Fotos: Von Ihnen erstellte Inhalte sind für andere Nutzer sichtbar und werden mit Ihrem Anzeigenamen veröffentlicht.
• Standortdaten: Bei Nutzung der Kartensuche wird Ihre Position (mit Ihrer Zustimmung) abgefragt, aber nicht dauerhaft gespeichert.

3.3 Technische Daten

Beim Zugriff auf unsere App werden automatisch folgende Daten erhoben: IP-Adresse, Browsertyp, Betriebssystem, Referrer-URL, Zeitpunkt des Zugriffs. Diese Daten werden in Server-Logfiles gespeichert und nach 30 Tagen gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Betrieb).

4. Cookies und lokale Speicherung

Session-Cookie: Für die Anmeldung wird ein technisch notwendiger Session-Cookie gesetzt (30 Tage Gültigkeit). Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG (technisch erforderlich).

localStorage: Wir speichern Ihre Theme-Einstellung (hell/dunkel), den aktiven Tab und POI-Layer-Präferenzen lokal in Ihrem Browser. Diese Daten verlassen Ihren Browser nicht.

Google Analytics: Mit Ihrer Einwilligung (Cookie-Banner) setzen wir Google Analytics 4 (Google Ireland Limited) ein. Dabei werden Cookies gesetzt, die eine Analyse der Benutzung der Website ermöglichen. Die erzeugten Informationen werden in der Regel an einen Server von Google in den USA übertragen. Wir nutzen die IP-Anonymisierung (anonymize_ip), sodass Ihre IP-Adresse innerhalb der EU gekürzt wird. Google ist unter dem EU-US Data Privacy Framework zertifiziert. Sie können Ihre Einwilligung jederzeit über den Cookie-Banner (erneut aufrufbar über die Datenschutz-Seite) widerrufen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), § 25 Abs. 1 TTDSG.

5. Drittanbieter-Dienste

5.1 Google OAuth (Authentifizierung)

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Bei der Anmeldung über Google wird Ihre IP-Adresse an Google übermittelt. Google ist unter dem EU-US Data Privacy Framework zertifiziert. Datenschutzerklärung von Google.

5.2 OpenStreetMap (Kartendaten)

Kartenkacheln werden von Servern der OpenStreetMap Foundation (UK) geladen. Dabei wird Ihre IP-Adresse übermittelt. Für das Vereinigte Königreich besteht ein Angemessenheitsbeschluss der EU. OSM Datenschutzrichtlinie.

5.3 OpenWeather (Wetterdaten)

Anbieter: OpenWeather Ltd, UK. Wetterdaten werden serverseitig abgefragt — Ihre IP-Adresse wird nicht direkt an OpenWeather übermittelt. OpenWeather Datenschutzrichtlinie.

5.4 Overpass API (POI-Daten)

Für POI-Layer werden Daten von der Overpass API (betrieben von OSM-Infrastruktur, Deutschland) abgefragt. Die Abfrage erfolgt serverseitig.

6. E-Mail-Versand

Für Magic-Link-E-Mails nutzen wir einen SMTP-Server (premium269-4.web-hosting.com). Es werden ausschließlich transaktionale E-Mails versendet (Login-Links). Kein Newsletter ohne gesonderte Einwilligung.

7. Speicherdauer

• Account-Daten: Bis zur Löschung des Accounts.
• Nutzergenerierte Inhalte: Bewertungen und Fotos werden bei Account-Löschung ebenfalls gelöscht.
• Magic Links: Ablauf nach 15 Minuten, Löschung nach 30 Tagen.
• Server-Logfiles: 30 Tage.
• Wetterdaten: 90 Tage (anonymisiert, nicht personenbezogen).

8. Ihre Rechte

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch (Art. 21 DSGVO) — Sie haben das Recht, jederzeit gegen die Verarbeitung Ihrer Daten, die auf Art. 6 Abs. 1 lit. f DSGVO beruht, Widerspruch einzulegen.
• Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) — jederzeit mit Wirkung für die Zukunft.

Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter support@celox.io.

9. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Behörde ist:

Berliner Beauftragte für Datenschutz und Informationsfreiheit
Friedrichstr. 219, 10969 Berlin
www.datenschutz-berlin.de

10. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein: SSL/TLS-Verschlüsselung, PostgreSQL-Datenbank mit Zugangskontrolle, regelmäßige Updates, Rate Limiting, sichere Session-Verwaltung.

11. Änderungen

Wir behalten uns vor, diese Datenschutzerklärung anzupassen. Die aktuelle Version ist stets unter /legal/datenschutz.html abrufbar.