Datenschutzerklärung

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website ist:

Janis Jankewitz
Einzelunternehmen, Geschäftsbezeichnung: webelier
Weinstraße Nord 52a
67487 Maikammer
E-Mail: janis@webelier.de

2. Hosting (Vercel)

Diese Website wird auf der Infrastruktur von Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA, gehostet. Beim Aufruf der Seite werden technisch notwendige Verbindungsdaten an Vercel übermittelt (IP-Adresse, Datum/Uhrzeit, abgerufene Ressource, User-Agent). Diese werden für maximal 30 Tage in Server-Logs gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Betrieb der Website).

Datenschutzerklärung Vercel: vercel.com/legal/privacy-policy

3. Standortdaten

Wenn du auf der Karte „Standort freigeben“ klickst, fragt dein Browser über die HTML5-Geolocation-API deinen Standort ab. Dein Standort wird ausschließlich lokal in deinem Browser verarbeitet und nicht an unsere Server übertragen. Wir verwenden ihn nur, um die Karte auf deine Position zu zentrieren. Du kannst die Standortfreigabe jederzeit in deinen Browser-Einstellungen widerrufen.

4. Karten (Apple MapKit JS)

Die Karten-Darstellung erfolgt über Apple MapKit JS, ein Dienst der Apple Distribution International Ltd., Hollyhill Industrial Estate, Hollyhill, Cork, Irland. Beim Laden der Kartenkacheln wird deine IP-Adresse an Apple übermittelt. Apple verarbeitet diese Daten gemäß der eigenen Datenschutzrichtlinie. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

Datenschutzerklärung Apple: apple.com/legal/privacy

5. Toiletten-Daten (OpenStreetMap)

Die angezeigten Toiletten-Locations stammen aus OpenStreetMap. Die Daten werden bei uns einmalig importiert und in einer Datenbank vorgehalten — beim Anzeigen der Karte werden keine Anfragen an OpenStreetMap-Server gesendet. Lizenz der Daten: Open Database License (ODbL), openstreetmap.org/copyright.

6. Datenbank (Supabase)

Toiletten-Daten und User-Beiträge werden bei Supabase Inc. gespeichert (EU-Region, Frankfurt am Main). Beim Abruf von Toiletten-Standorten via /api/toilets werden ausschließlich technisch notwendige Verbindungsdaten verarbeitet — keine personenbezogenen Daten.

User-Beiträge (Submit / Review / Report)

Wenn du eine Toilette einreichst, eine Bewertung abgibst oder ein Problem meldest, speichern wir folgende Daten:

• Den von dir eingegebenen Inhalt (z.B. Standort, Name, Bewertung, Kommentar)
• Eine gehashte Form deiner IP-Adresse mit täglich rotierendem Salt — als Spam- und Missbrauchsschutz. Aus dem Hash kann deine IP nicht rekonstruiert werden.
• Deinen User-Agent (Browser-Kennung) zur Spam-Abwehr
• Optional: deine E-Mail-Adresse (bei Submissions, nur falls du sie freiwillig eingibst — z.B. für Rückfragen)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz unserer Datenbank vor Spam und an qualitativ hochwertigen Toiletten-Daten).

Datenschutzerklärung Supabase: supabase.com/privacy

7. Werbung (Google AdSense)

Wir nutzen Google AdSense, einen Dienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (zusammen mit Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA — gemeinsam „Google“). AdSense liefert Werbeanzeigen aus, die zur Finanzierung des kostenlosen Angebots beitragen.

Datenminimierung — nur auf /map

AdSense lädt ausschließlich auf der Karten-Seite /map. Auf allen anderen Seiten — Startseite, Trinkgeld, Einreichung, rechtliche Seiten, Admin — wird kein AdSense-Skript geladen, kein Werbe-Cookie gesetzt und keine Verbindung zu Google-Werbeservern aufgebaut. Beim Verlassen von /map wird das Skript wieder aus der Seite entfernt.

Welche Daten verarbeitet werden

Sobald du auf /map bist und der Werbung zugestimmt hast, verarbeitet Google folgende Daten:

• Deine IP-Adresse (Google kürzt bzw. anonymisiert sie für Werbezwecke teilweise)
• User-Agent (Browser, Betriebssystem, Sprache)
• Bildschirm- und Viewport-Größe, Zeitzone
• Referrer-URL und URL der aktuellen Seite (also der Pfad /map)
• Cookie-IDs und vergleichbare Geräte-Kennungen (siehe unten)
• Interaktion mit Anzeigen (Sichtbarkeit, Klicks, Scroll-Tiefe)

Cookies und ähnliche Technologien

Google setzt im Rahmen von AdSense unterschiedliche Cookies auf doubleclick.net, google.com und auf der Domain dieser Website. Die konkreten Namen und Laufzeiten ändern sich laufend; aktuell sind unter anderem folgende Cookies möglich:

• __gads, __gpi, __eoi — Frequency-Capping, Betrugsprävention, Anzeigenauswahl (Laufzeit i.d.R. bis 13 Monate)
• IDE, NID, DSID — Personalisierung, Geräte-Kennung über Google-Dienste hinweg (Laufzeit zwischen 2 Wochen und 24 Monaten)
• FCNEC, TESTCOOKIESENABLED, test_cookie — Speicherung deiner Einwilligung und Cookie-Funktionsprüfung

Eine vollständige und tagesaktuelle Übersicht aller AdSense-Cookies findest du bei Google selbst: business.safety.google/adscookies.

Rechtsgrundlage

Wir trennen zwei rechtliche Ebenen:

• Setzen und Auslesen von Cookies bzw. vergleichbaren Technologien (§ 25 TDDDG): Sämtliche nicht „unbedingt erforderlichen“ Speicher­zugriffe auf deinem Gerät — also auch Frequency-Capping-, Personalisierungs-, Betrugs­präventions- und Reporting-Cookies — erfolgen nur mit deiner Einwilligung. Diese holen wir über die Google CMP ein.
• Nachgelagerte personenbezogene Verarbeitung (DSGVO):
  • Personalisierte Werbung: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
  • Nicht-personalisierte Werbung (NPA) sowie zwingend nötige Schutz­zwecke wie Betrugs- und Missbrauchs­abwehr und aggregiertes Reporting: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz und an der Finanzierung des Angebots)

Einwilligung über die Google CMP (IAB TCF)

Für die Einwilligungsverwaltung nutzen wir die von Google bereitgestellte und nach IAB Transparency & Consent Framework (TCF) v2.2 / v2.3 zertifizierte Consent Management Platform („Google CMP“). Beim ersten Aufruf von /map erscheint ein Banner mit drei gleichwertigen Optionen:

• Einwilligen — Google und die im TCF gelisteten Werbepartner dürfen personalisierte Werbung ausspielen
• Nicht einwilligen — nur kontextbezogene Werbung, keine Werbe-Cookies
• Optionen verwalten — granulare Auswahl von Zwecken und Werbepartnern nach IAB TCF

Deine Wahl wird als sogenannter TC-String (Transparency & Consent String) gespeichert und an teilnehmende Werbepartner übergeben. Der TC-String ist nach Auffassung des Europäischen Gerichtshofs ein personenbezogenes Datum (EuGH, Urteil vom 07.03.2024, C-604/22). IAB Europe ist insoweit Mit-Verantwortlicher für die Erzeugung des TC-Strings.

Davon getrennt nutzen wir den Google Consent Mode v2: deine Einwilligung wird Google in den Signalen ad_storage, ad_user_data und ad_personalization mitgeteilt — diese steuern, ob Werbe-Cookies gesetzt und Daten zu Werbezwecken weitergegeben werden dürfen.

Verantwortlichkeit

Bei der Einbindung von AdSense und der Google CMP auf /map sind wir und Google für die folgenden Verarbeitungs­schritte gemeinsam Verantwortliche im Sinne von Art. 26 DSGVO:

• das Auslösen des Cookie- bzw. Speicherzugriffs auf deinem Gerät
• das Erheben und Übermitteln der oben genannten Daten an Google
• das Erzeugen und Übermitteln des TC-Strings

Wir kümmern uns dabei um die Einbindung, die Einwilligungs­erhebung über die Google CMP und die Information nach Art. 13 DSGVO; Google stellt die technische Infrastruktur, die Banner-Logik und die CMP bereit. Für die nachgelagerte Werbe­auslieferung, Profilbildung und Werbe­optimierung ist Google eigenständig Verantwortlicher — entsprechende Anfragen richtest du bitte direkt an Google. Die wesentlichen Inhalte der Vereinbarung mit Google sind in den Google Controller-Controller-Datenschutz­bedingungen öffentlich einsehbar.

Betroffenenrechte (Auskunft, Berichtigung, Löschung, Widerspruch etc.) kannst du nach Art. 26 Abs. 3 DSGVO gegenüber uns und gegenüber Google geltend machen.

Widerruf und Änderung deiner Wahl

Du kannst deine Einwilligung jederzeit widerrufen oder ändern — auf /map findest du dafür einen sichtbaren Link „Cookie-Einstellungen ändern“, der das Einwilligungs-Banner erneut öffnet. Zusätzlich kannst du deine Werbe-Einstellungen direkt bei Google verwalten: myadcenter.google.com. Bereits gesetzte Cookies bleiben bis zu ihrem Ablauf bestehen, du kannst sie aber jederzeit in deinem Browser löschen.

Datenübermittlung in die USA

Google verarbeitet einen Teil der Daten in den USA. Die Übermittlung ist nach dem EU-U.S. Data Privacy Framework sowie über EU-Standardvertragsklauseln abgesichert. Einzelheiten dazu findest du in § 13 — Drittlandtransfer (USA).

Weiterführende Informationen

• Datenschutzerklärung Google
• Wie Google Daten von Partner-Websites nutzt
• Google CMP — Anforderungen für EWR/UK/CH
• IAB Europe Transparency & Consent Framework

8. Reichweitenmessung (Pirsch Analytics)

Wir nutzen Pirsch, einen Webanalyse-Dienst der Pirsch Analytics GmbH, Lobachstraße 1, 28215 Bremen, Deutschland. Pirsch ist ein cookieloser, EU-DSGVO-konformer Dienst mit Servern ausschließlich in Deutschland. Es werden keine Cookies und kein Browser-Fingerprinting eingesetzt — eine Einwilligung über einen Cookie-Banner ist deshalb für diesen Dienst nicht erforderlich.

Was wird gemessen?

• Aufgerufene Seite, HTTP-Referrer, Geräte- und Browsertyp, grobe Geo-Region (Land/Bundesland)
• Aktionen auf der Seite (z.B. Toilette eingereicht, Bewertung abgegeben, Problem gemeldet, Trinkgeld-Klick)
• Kein Personen­bezug: Pirsch hasht deine IP-Adresse zusammen mit einem täglich rotierenden Salt, um wiederkehrende Besucher zu erkennen, ohne sie identifizieren zu können. Der Hash wird nicht gespeichert, lediglich kurzzeitig im Arbeitsspeicher gehalten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer datenschutzfreundlichen Reichweitenmessung ohne Tracking).

Datenschutzerklärung Pirsch: pirsch.io/privacy

9. Trinkgeld-Zahlungen (Stripe)

Auf der Seite /trinkgeld kannst du uns freiwillig ein Trinkgeld dalassen. Die Zahlungs­abwicklung erfolgt über Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland. Wir nutzen Stripe Payment Links — beim Klick auf einen Trinkgeld-Button wirst du auf eine Checkout-Seite von Stripe weitergeleitet (checkout.stripe.com).

Auf shitmap.run selbst werden keine Stripe-Cookies gesetzt — Stripe-eigene Cookies werden erst auf der Stripe-Checkout-Seite aktiv. Wir erhalten von Stripe nur die Information, dass eine Zahlung erfolgreich war (zum Anzeigen unserer Danke-Seite). Deine Zahlungs- und Rechnungsdaten bekommen wir nicht zu sehen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrags­erfüllung beim freiwilligen Trinkgeld).

Datenschutzerklärung Stripe: stripe.com/privacy

10. Cookies und lokale Speicherung

Wir verwenden lokale Speicherung (localStorage) für Einstellungen wie den ausgewählten Kartenstil. Dies sind technisch notwendige Daten und erfordern keine Einwilligung. Die Verwaltung deiner Werbe-Cookies-Einwilligung erfolgt über die Google CMP (siehe Abschnitt 7).

11. Deine Rechte

Nach DSGVO hast du folgende Rechte gegenüber uns als Verantwortlichem:

• Recht auf Auskunft (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Recht auf Widerspruch (Art. 21 DSGVO)
• Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Anfragen richte bitte per E-Mail an: janis@webelier.de

12. Beschwerderecht

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn du der Ansicht bist, dass die Verarbeitung deiner personenbezogenen Daten gegen die DSGVO verstößt. Zuständig ist die Aufsichtsbehörde des Bundeslandes, in dem der Verantwortliche seinen Sitz hat.

13. Drittlandtransfer (USA)

Mehrere der von uns eingesetzten Dienste verarbeiten Daten teilweise oder vollständig in den USA. Dieser Abschnitt fasst die USA-Transfers konsolidiert zusammen — ergänzend zu den jeweiligen Einzelabschnitten weiter oben.

Welche Dienste übertragen Daten in die USA?

• Google AdSense (Google LLC, USA) — nur auf /map: IP-Adresse, User-Agent, Cookie-IDs, Werbeinteraktion. Siehe § 7.
• Vercel (Vercel Inc., USA) — Hosting der Website: IP-Adresse, Verbindungsdaten, Server-Logs. Siehe § 2.
• Apple MapKit JS (Apple Inc., USA) — beim Laden der Kartenkacheln: IP-Adresse, Geräte- und Verbindungsdaten. Siehe § 4.

Pirsch Analytics (Server in Deutschland) und Supabase (Server in der EU, Frankfurt am Main) übermitteln keine Daten in die USA. Bei Stripe findet ein etwaiger USA-Transfer erst auf der Stripe-Checkout-Seite (checkout.stripe.com) statt — dafür ist Stripe eigenständig verantwortlich.

Rechtsgrundlagen für die Übermittlung

Übermittlungen in die USA erfolgen auf Grundlage des EU-U.S. Data Privacy Framework (DPF — Durchführungs­beschluss (EU) 2023/1795 der Europäischen Kommission vom 10.07.2023). Eine erste Klage gegen den Beschluss wurde vom Gericht der Europäischen Union am 03.09.2025 abgewiesen (T-553/23, Latombe ./. Kommission); über mögliche weitere Rechtsmittel ist noch nicht abschließend entschieden. Google LLC, Vercel Inc. und Apple Inc. sind aktiv im DPF gelistet. Ergänzend kommen EU-Standardvertragsklauseln (SCC) zur Anwendung, die unabhängig vom DPF Bestand haben.

Die DPF-Liste kannst du jederzeit selbst einsehen: dataprivacyframework.gov/list.

Restrisiken

Trotz DPF und Standardvertragsklauseln bestehen bei Übermittlungen in die USA Restrisiken — insbesondere bezüglich möglicher Zugriffe staatlicher Stellen auf Grundlage US-amerikanischer Überwachungsgesetze. Wir wählen unsere Anbieter nach Datenschutz- und Sicherheitskriterien aus und beschränken die Datenweitergabe, wo immer möglich (z.B. AdSense ausschließlich auf /map, cookielose Reichweitenmessung über Pirsch, EU-Hosting der Datenbank).