Datenschutzerklärung

Stand: 17. April 2026 · Version 2.0

Diese Datenschutzerklärung informiert Sie gemäß Art. 13 und 14 der Datenschutz-Grundverordnung (DSGVO) über die Verarbeitung personenbezogener Daten bei der Nutzung der Web-App ViaCamp unter via.camp.

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO:

Martin Pfeffer
Flughafenstraße 24
12053 Berlin, Deutschland
E-Mail: martin@via.camp

Ein gesetzlich vorgeschriebener Datenschutzbeauftragter ist gemäß § 38 BDSG nicht erforderlich. Für Anfragen zum Datenschutz nutzen Sie bitte die oben genannte E-Mail-Adresse.

2. Begriffsbestimmungen

Diese Datenschutzerklärung verwendet die Begriffe der DSGVO (insbesondere Art. 4). „Personenbezogene Daten" sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

3. Hosting und Infrastruktur

ViaCamp wird auf einem dedizierten Server in einem Rechenzentrum innerhalb der Europäischen Union (Deutschland) betrieben. Infrastruktur-Provider ist Hostinger International Ltd., 61 Lordou Vironos Street, Larnaca 6023, Zypern.

Daten werden in einer PostgreSQL-Datenbank auf demselben Server gespeichert. Es erfolgt keine automatische Datenübertragung an den Provider über das hinaus, was für den Serverbetrieb technisch zwingend erforderlich ist. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Betrieb des Dienstes).

4. Server-Logfiles

Bei jedem Zugriff auf ViaCamp werden vom Web-Server (Nginx) automatisch die folgenden Daten erfasst und in Logdateien gespeichert:

IP-Adresse des zugreifenden Geräts
Datum und Uhrzeit des Zugriffs
Name und URL der abgerufenen Ressource
Übertragene Datenmenge und HTTP-Statuscode
Verwendeter Browser und Betriebssystem (User-Agent)
Referrer-URL (zuvor besuchte Seite)

Zweck: Gewährleistung eines reibungslosen Verbindungsaufbaus, Abwehr von Angriffen, Analyse von Fehlern, Rate Limiting.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Funktionsfähigkeit des Dienstes).
Speicherdauer: 30 Tage, danach automatische Löschung. Eine Zusammenführung dieser Daten mit anderen Datenquellen findet nicht statt.

5. Cookies, Session und lokale Speicherung

5.1 Technisch notwendige Cookies

Zur Authentifizierung nutzt ViaCamp ein serverseitig signiertes Session-Cookie (via express-session). Ohne dieses Cookie ist keine angemeldete Nutzung möglich.

Name	Zweck	Laufzeit
`connect.sid`	Session-Identifikation nach Anmeldung	bis zu 30 Tage

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG (technisch unbedingt erforderlich), Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

5.2 Einwilligungsbasierte Cookies

Beim ersten Besuch erscheint ein Cookie-Banner mit den Optionen „Nur notwendige" oder „Alle akzeptieren". Nur bei Einwilligung werden die Analyse-Cookies (Abschnitt 13) geladen. Ihre Entscheidung wird lokal in localStorage unter dem Schlüssel vc-consent gespeichert und kann jederzeit in den Browser-Einstellungen zurückgesetzt werden.

5.3 Lokale Speicherung (localStorage / sessionStorage)

Folgende Daten werden ausschließlich lokal in Ihrem Browser gespeichert und verlassen diesen nicht:

Theme-Auswahl (Hell / Dunkel): ap-theme
Cookie-Consent-Status: vc-consent
Aktiver App-Tab, Filter- und Heatmap-Einstellungen
Standort-Cache (5 Minuten Gültigkeit) in sessionStorage, nur wenn Sie die Standortabfrage bestätigt haben

Diese Speicherung ist technisch erforderlich für die Funktionalität und nicht rechenschaftspflichtig gegenüber Dritten (§ 25 Abs. 2 Nr. 2 TTDSG).

6. Registrierung und Nutzerkonto

6.1 Registrierung per E-Mail und Passwort

Bei Registrierung mit E-Mail und Passwort verarbeiten wir: E-Mail-Adresse, gewähltes Passwort (gespeichert als gesalzener Scrypt-Hash, niemals im Klartext), Anzeigename.

6.2 Anmeldung per Google OAuth

Alternativ können Sie sich über Ihr Google-Konto anmelden. Dabei werden Sie zu Google weitergeleitet und dort authentifiziert. Nach erfolgreicher Anmeldung übermittelt Google an uns: Google-User-ID, E-Mail-Adresse, Anzeigename, Profilbild-URL. Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Google Datenschutz).

6.3 Anmeldung per Magic Link

Für den passwortlosen Login wird Ihnen ein Einmal-Link an Ihre E-Mail-Adresse gesendet (15 Minuten gültig). Der Token wird serverseitig in der Datenbank gespeichert und nach Einlösung oder Ablauf gelöscht (spätestens nach 30 Tagen).

6.4 Profilinformationen

Freiwillig können Sie im Profil hinterlegen: Anzeigename, Profilbild (Avatar), Fahrzeugtyp, Verbrauchswerte, Reisepräferenzen. Diese Daten werden ausschließlich zur Personalisierung Ihrer Nutzung verwendet und nicht an Dritte weitergegeben. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

7. Kartendienst und Routing

7.1 Kartenkacheln (OpenStreetMap)

Zum Anzeigen der interaktiven Karte lädt Ihr Browser Kartenkacheln direkt von den Servern der OpenStreetMap Foundation (UK). Hierbei wird Ihre IP-Adresse zwangsläufig an OSM übermittelt. Für das Vereinigte Königreich besteht ein Angemessenheitsbeschluss der EU-Kommission (Art. 45 DSGVO). OSM Datenschutzerklärung.

7.2 Label-Overlay (CartoDB)

Für die Beschriftung auf der Heatmap (Städte- und Ländernamen) lädt Ihr Browser eine separate Label-Ebene von basemaps.cartocdn.com. Anbieter: CARTO, 201 Moore Street, Brooklyn, NY 11206, USA. Ihre IP-Adresse wird dabei übertragen. CARTO Privacy Policy.

7.3 Routenberechnung

Die Routenberechnung erfolgt primär auf unserem eigenen Valhalla-Server (Deutschland). Ihre Route (Wegpunkte, Fahrzeugprofil) wird zur Berechnung an unseren Server übertragen, dort verarbeitet und nicht dauerhaft gespeichert.

Als Fallback bei Ausfall von Valhalla wird die Route direkt aus Ihrem Browser an den öffentlichen Dienst router.project-osrm.org (OSRM, Mapbox-Infrastruktur) gesendet. Bei diesem Fallback wird Ihre IP-Adresse an den OSRM-Server übertragen. Project OSRM.

7.4 Standortabfrage

Für bestimmte Funktionen (GPS-Zentrierung der Karte, Tankstellen-Suche, Routenstart) fragt ViaCamp über die Browser-API navigator.geolocation Ihre Position ab. Dies erfolgt nur nach ausdrücklicher Browser-Freigabe. Die Position wird nur clientseitig verwendet, mit einer Gültigkeit von 5 Minuten in sessionStorage zwischengespeichert und nicht an unseren Server übertragen.

8. POI-, Wetter- und Tankstellen-Daten

8.1 POI (Points of Interest)

Daten zu Trinkwasser-, Toiletten-, Supermarkt- und anderen POI-Standorten werden serverseitig über die Overpass-API (overpass-api.de, Deutschland) und eine Fallback-Instanz (overpass.kumi.systems) von unserem Server bezogen. Ihre IP-Adresse wird dabei nicht an Overpass übermittelt. Die Ergebnisse werden 24 Stunden in unserer PostgreSQL-Datenbank zwischengespeichert.

8.2 Wetter

Wetterdaten werden von OpenWeather Ltd (UK) bezogen. Die Abfrage erfolgt ausschließlich serverseitig durch einen zeitgesteuerten Cron-Job. Ihre IP-Adresse wird nicht an OpenWeather übermittelt. OpenWeather Privacy Policy.

8.3 Tankstellen

Tankstellen-Informationen werden über dieselbe serverseitige Overpass-Anbindung geladen und 90 Tage zwischengespeichert. Name, Marke, Öffnungszeiten und Treibstoffarten stammen ausschließlich aus OpenStreetMap (ODbL-Lizenz).

9. Nutzergenerierte Inhalte und Uploads

9.1 Bewertungen und Fotos

Sie können Stellplätze bewerten und Fotos hochladen. Diese Inhalte werden mit Ihrem Anzeigenamen öffentlich sichtbar. Hochgeladene Fotos werden in /uploads/spots/ auf unserem Server gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Bitte beachten Sie die AGB, insbesondere zu Rechten Dritter und untersagten Inhalten.

9.2 Profilbild

Ein optionales Profilbild wird beim Upload serverseitig auf 256×256 Pixel skaliert, als WebP konvertiert und in /uploads/avatars/ abgelegt. Alte Avatare werden beim Überschreiben gelöscht.

9.3 Stellplatz-Vorschläge

Sie können neue Stellplätze vorschlagen oder bestehende bearbeiten. Die Vorschläge werden vor Veröffentlichung von uns geprüft. Dabei verarbeiten wir die von Ihnen angegebenen Daten (Name, Koordinaten, Beschreibung, Fotos) sowie Ihre Nutzer-ID zur Zuordnung.

9.4 Trips und Checklisten

Von Ihnen erstellte Trips (Routen, Stellplatzlisten) und Checklisten werden in unserer Datenbank gespeichert und sind standardmäßig nur für Sie sichtbar. Wenn Sie einen Trip über einen öffentlichen Share-Link teilen, ist dieser Trip ohne Login für Inhaber des Links abrufbar.

10. Transaktions-E-Mails und Kontaktaufnahme

10.1 Login-E-Mails (Magic Link)

Magic-Link-E-Mails werden ausschließlich transaktional über einen externen SMTP-Server versendet. Der SMTP-Provider ist derzeit Namecheap Inc. (USA) — die Zustellung erfolgt über premium269-4.web-hosting.com aus unserem @celox.io-Postfach. Beim Versand werden Ihre E-Mail-Adresse und der Einmal-Token an den SMTP-Server übertragen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Für die Datenübermittlung in die USA stützen wir uns auf das EU-U.S. Data Privacy Framework und Standardvertragsklauseln nach Art. 46 DSGVO.

10.2 Manuelle Kontaktaufnahme

Wenn Sie uns per E-Mail kontaktieren, verarbeiten wir die in Ihrer Nachricht enthaltenen Daten (Name, Absenderadresse, Inhalt) zur Bearbeitung Ihrer Anfrage. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung) bzw. Art. 6 Abs. 1 lit. b DSGVO bei Vertragsbezug.

10.3 B2B-Anfragen

Anfragen über die B2B-Seite (/b2b) erfolgen per mailto:-Link und landen in Ihrem lokalen Mail-Client. Es gibt kein Webformular auf dem Server.

10.4 Direktansprache von Campingplatz-Betreibern (B2B-Kaltakquise)

Betreiber von Campingplätzen, deren Platz in unserem öffentlichen Verzeichnis gelistet ist, sprechen wir vereinzelt per E-Mail an, um über unser Leistungsangebot (Website-Erstellung, ViaCamp-Eintrag) zu informieren. Die verarbeiteten Daten (geschäftlicher Kontaktname, geschäftliche E-Mail-Adresse, Platz-Name, Website-URL) stammen aus öffentlich zugänglichen Quellen (Impressum der Platz-Website, OpenStreetMap) oder wurden von uns aus dem Impressum der Betreiber-Website automatisiert extrahiert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an direkter Geschäftsanbahnung im B2B-Umfeld mit klarem thematischem Bezug zur geschäftlichen Tätigkeit des Empfängers). Der Erstkontakt erfolgt einmalig; eine Fortsetzung erfolgt nur, wenn der Empfänger Interesse zurückmeldet.

Widerspruch: Sie können der Verarbeitung Ihrer Daten für Direktakquise jederzeit widersprechen — formlos per Antwortmail an martin@via.camp mit dem Wort „keine Werbung". Wir löschen dann Ihre Kontaktdaten aus unserer Lead-Datenbank und kontaktieren Sie nicht erneut (Art. 21 DSGVO).

Speicherdauer: Kontaktdaten in unserer B2B-Lead-Datenbank werden gelöscht, sobald (a) ein Widerspruch erfolgt, (b) der Platz aus dem öffentlichen Verzeichnis entfernt wird oder (c) nach 24 Monaten ohne Reaktion.

10.5 Eingebundene Bilder von Betreiber-Websites

Um Stellplätze visuell besser identifizierbar zu machen, binden wir bei einem Teil der gelisteten Plätze Bilder ein, die von uns automatisiert über strukturierte Daten (Open Graph og:image, Twitter Cards twitter:image, schema.org image-Property von Campground/LodgingBusiness) aus den öffentlich zugänglichen Websites der Betreiber erfasst und auf unseren Servern gespiegelt werden. Diese Tags sind explizit dafür vorgesehen, dass externe Plattformen das jeweilige Vorschau-Bild beim Verlinken anzeigen.

Die Quelle des jeweiligen Bildes ist im Spot-Detail-Modal in der Detail-Ansicht jedes Bildes als „Quelle: …" einsehbar.

Widerspruch / Bilder-Entfernung: Wenn Sie als Betreiber, Fotograf oder Rechteinhaber die Entfernung eines bei uns angezeigten Bildes wünschen, gibt es zwei Wege:

Direkt in der App: Im jeweiligen Spot-Detail das Bild öffnen und auf den Button „⚠️ Melden" klicken. Das Bild wird sofort ausgeblendet.
Per E-Mail: Formlos an martin@via.camp mit Hinweis auf den betreffenden Spot (URL oder Spot-ID). Wir entfernen das Bild dann manuell innerhalb von in der Regel 48 Stunden, in jedem Fall unverzüglich.

Wenn ein Betreiber den Spot über unser Operator-Verifizierungs-Verfahren (Spot-Claim) übernimmt, werden die zuvor aus seiner Website eingebundenen Bilder automatisch von unseren Servern gelöscht. Der Betreiber kann anschließend selbst eigene Bilder hochladen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an aussagekräftiger Darstellung gelisteter Plätze auf Basis öffentlich für genau diesen Zweck bereitgestellter Daten/Tags). Im Konfliktfall mit überwiegenden Rechten Dritter erfolgt unverzügliche Entfernung; Schadensersatzansprüche sind durch das niedrigschwellige Notice-and-Takedown-Verfahren zu mindern bzw. zu vermeiden.

11. Push-Benachrichtigungen

Nur nach ausdrücklicher Einwilligung via Browser-Prompt können Sie Push-Benachrichtigungen abonnieren. Technisch nutzen wir den Web-Push-Standard mit VAPID-Schlüsseln. Die Zustellung erfolgt über den jeweiligen Push-Service Ihres Browsers (Google für Chrome, Mozilla für Firefox, Apple für Safari). Der Push-Endpoint und das Public-Key-Material werden in unserer Datenbank mit Ihrem Account verknüpft.

Sie können die Benachrichtigungen jederzeit über die Browser-Einstellungen oder den Abmelden-Button widerrufen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

12. Drittanbieter und Schriften

12.1 Google Fonts

Wir laden die Schriften Inter und Fraunces von fonts.googleapis.com und fonts.gstatic.com (Google Ireland Limited, Google LLC, USA). Beim Aufruf unserer Seiten wird Ihre IP-Adresse an Google übermittelt; laut Google werden keine Cookies gesetzt und keine Log-Daten dauerhaft gespeichert. Google Fonts Privacy FAQ.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einheitlicher Typografie und schneller Auslieferung). Sie können das Nachladen durch Browser-Einstellungen (z.B. uBlock Origin) blockieren.

12.2 CDN-Bibliotheken (unpkg.com)

Folgende Open-Source-Bibliotheken werden von unpkg.com (betrieben von Cloudflare Inc., USA) geladen: Leaflet, Leaflet.markercluster. Beim Nachladen wird Ihre IP-Adresse an unpkg/Cloudflare übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Performance und einheitlicher Bezug der JavaScript-Module).

12.3 Keine weiteren Social-Media-Einbindungen

Es werden keine Social-Media-Plugins (Facebook, Twitter, Instagram, LinkedIn, TikTok) geladen. Es gibt keine eingebetteten YouTube-Videos, keine externen Trackingpixel, keine Werbeanzeigen.

13. Webanalyse (Google Analytics 4)

Nur mit Ihrer Einwilligung über den Cookie-Banner setzen wir Google Analytics 4 (Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland) ein. Zweck: anonymisierte Analyse der Seitennutzung zur Verbesserung des Dienstes.

Hierbei werden folgende Daten verarbeitet:

Anonymisierte IP-Adresse (anonymize_ip aktiv — IP wird innerhalb der EU gekürzt)
Browser, Betriebssystem, Spracheinstellung, Geräteart
Besuchte Seiten, Verweildauer, Klickpfade

Es werden Cookies der Domain www.googletagmanager.com und www.google-analytics.com gesetzt. Google kann diese Daten innerhalb der USA verarbeiten. Die Datenübermittlung erfolgt auf Basis des EU-U.S. Data Privacy Framework; Google ist zertifiziert.

Widerruf: Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie Ihre Browser-Cookies löschen oder das vc-consent aus dem localStorage entfernen. Beim nächsten Besuch wird der Cookie-Banner erneut angezeigt. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TTDSG.

14. Datenübermittlung in Drittländer

Eine Übermittlung Ihrer personenbezogenen Daten in Drittländer (außerhalb EU/EWR) kann erfolgen bei:

Google OAuth, Google Fonts, Google Analytics → USA (Google LLC)
CartoDB Label-Tiles → USA (CARTO)
unpkg.com Bibliotheken → USA (Cloudflare)
SMTP-Versand → USA (Namecheap)
OSRM-Fallback → global verteilte Infrastruktur

Grundlage ist der Angemessenheitsbeschluss der EU-Kommission im Rahmen des EU-U.S. Data Privacy Frameworks oder Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.

15. Speicherdauer

Kategorie	Dauer
Nutzerkonto (E-Mail, Passwort-Hash, Profildaten)	bis zur Löschung des Accounts
Nutzergenerierte Inhalte (Bewertungen, Fotos, Trips)	bis zur Löschung des Accounts bzw. Inhaltslöschung
Magic-Link-Token	15 Minuten gültig, endgültige Löschung nach 30 Tagen
Server-Logfiles (Nginx)	30 Tage, danach automatische Löschung
Wetterdaten (Gitterpunkte, nicht personenbezogen)	90 Tage (Cache)
POI- und Tankstellen-Cache	24 Stunden bzw. 90 Tage
Website-Audit-Daten (nur B2B-Lead-Management, kein Nutzerbezug)	bis Widerruf bzw. Projektabschluss
Handelsrechtlich relevante Daten (bei Premium-Zahlungen, künftig)	gesetzliche Aufbewahrungsfristen (bis zu 10 Jahre, § 147 AO / § 257 HGB)

16. Ihre Rechte

Ihnen stehen nach der DSGVO die folgenden Rechte zu:

Auskunft über Ihre verarbeiteten Daten (Art. 15 DSGVO)
Berichtigung unrichtiger Daten (Art. 16 DSGVO)
Löschung („Recht auf Vergessenwerden", Art. 17 DSGVO)
Einschränkung der Verarbeitung (Art. 18 DSGVO)
Datenübertragbarkeit in einem strukturierten Format (Art. 20 DSGVO)
Widerspruch gegen die Verarbeitung (Art. 21 DSGVO) — insbesondere gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. f DSGVO beruhen
Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO) — jederzeit mit Wirkung für die Zukunft

Zur Ausübung Ihrer Rechte genügt eine formlose Nachricht an martin@via.camp. Die Bearbeitung erfolgt kostenlos innerhalb eines Monats (Art. 12 Abs. 3 DSGVO).

Account-Löschung: Die einfachste Form der „Datenlöschung" ist die Löschung Ihres Accounts per E-Mail an martin@via.camp. Dabei werden alle Ihre personenbezogenen Daten, Checklisten, Trips, Bewertungen und Fotos unwiderruflich entfernt. Öffentliche, anonyme Spot-Edits bleiben ggf. im Versions-Historie-System erhalten, sind aber nicht mehr mit Ihnen verknüpft.

17. Beschwerderecht

Unbeschadet anderer verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe steht Ihnen ein Beschwerderecht bei einer Aufsichtsbehörde zu (Art. 77 DSGVO). Für uns zuständig ist:

Berliner Beauftragte für Datenschutz und Informationsfreiheit
Friedrichstr. 219, 10969 Berlin
Telefon: +49 30 13889-0
www.datenschutz-berlin.de

18. Automatisierte Entscheidungsfindung

Eine ausschließlich auf einer automatisierten Verarbeitung beruhende Entscheidung einschließlich Profiling (Art. 22 DSGVO) findet nicht statt.

19. Datensicherheit

Wir setzen dem Stand der Technik entsprechende technische und organisatorische Maßnahmen ein:

TLS 1.2/1.3-Verschlüsselung für alle Verbindungen (Let's-Encrypt-Zertifikate)
Passwort-Speicherung ausschließlich als gesalzener Scrypt-Hash
Rate Limiting zur Abwehr von Brute-Force- und DoS-Angriffen
Prepared Statements in der PostgreSQL-Datenbank gegen SQL-Injection
Rollensystem mit Privilege-Separation (free / operator / premium / admin)
Regelmäßige Sicherheits-Updates des Serverbetriebssystems
Zugangs- und Zugriffskontrolle zur Datenbank (Firewall, Port-Bindung auf localhost)

20. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung an geänderte Rechtslagen oder bei Änderungen des Dienstes anzupassen. Die jeweils aktuelle Version ist unter via.camp/legal/datenschutz.html abrufbar. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail oder In-App-Benachrichtigung.