Skip to main content
🗓 Alle Veranstaltungen 📍 Standorte

Kategorien

🎨 Kunst 💼 Business 😂 Comedy 🍕 Essen 🏃 Gesundheit 🎵 Musik Sport 💻 Technologie

Entdecken

🎫 Veranstalter 🛒 Anbieter 🏢 Venues 🤝 Sponsoren 🙋 Staff / Helfer
Rechtszentrum

Datenverarbeitungsvereinbarung

Zuletzt aktualisiert: March 30, 2026

1 Definitionen

Diese Datenverarbeitungsvereinbarung ("DPA") wird zwischen dem Veranstalter ("Verantwortlicher", "Sie") und ChetsApp UG, Betreiber der EventMann-Plattform ("Auftragsverarbeiter", "wir", "uns"), geschlossen. Diese DPA ergänzt die Veranstaltervereinbarung und die Nutzungsbedingungen.

Die folgenden Definitionen gelten in dieser gesamten DPA:

  • Verantwortlicher: Der Veranstalter, der die Zwecke und Mittel der Verarbeitung personenbezogener Daten von Teilnehmern bestimmt. Wenn Sie Veranstaltungen erstellen und Teilnehmerinformationen über EventMann erfassen, sind Sie der Verantwortliche.
  • Auftragsverarbeiter: ChetsApp UG (EventMann), die personenbezogene Daten im Auftrag des Verantwortlichen im Zusammenhang mit der Bereitstellung der EventMann-Plattformdienste verarbeitet.
  • Betroffene Person: Eine identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten verarbeitet werden. Im Kontext von EventMann sind betroffene Personen hauptsächlich Veranstaltungsteilnehmer.
  • Personenbezogene Daten: Alle Informationen, die sich auf eine betroffene Person beziehen, einschließlich Namen, E-Mail-Adressen, Buchungsinformationen und Antworten auf benutzerdefinierte Checkout-Fragen.
  • Verarbeitung: Jeder Vorgang, der mit personenbezogenen Daten durchgeführt wird, einschließlich Erfassung, Speicherung, Abruf, Verwendung, Offenlegung, Kombination, Löschung oder Vernichtung.
  • Unterauftragsverarbeiter: Ein Dritter, der vom Auftragsverarbeiter beauftragt wird, personenbezogene Daten im Auftrag des Verantwortlichen zu verarbeiten.

2 Umfang der Verarbeitung

Diese DPA gilt für alle Verarbeitungen personenbezogener Daten, die ChetsApp UG im Auftrag des Verantwortlichen im Zusammenhang mit der EventMann-Plattform durchführt. Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, es sei denn, die Verarbeitung ist nach EU- oder mitgliedstaatlichem Recht erforderlich.

Die von dieser DPA abgedeckte Verarbeitung umfasst:

  • Speicherung und Verwaltung von Teilnehmerregistrierungs- und Buchungsdaten
  • Verarbeitung von Ticketkäufen und Zahlungstransaktionen (in Verbindung mit Stripe)
  • Versand transaktionaler E-Mails im Auftrag des Verantwortlichen (Buchungsbestätigungen, Ticketzustellung, Veranstaltungs-Updates)
  • Erstellung von Berichten und Analysen auf Basis von Teilnehmer- und Buchungsdaten
  • Ermöglichung von Check-in-Prozessen durch QR-Code-Validierung
  • Speicherung und Bereitstellung von Antworten auf benutzerdefinierte Checkout-Fragen des Verantwortlichen

Der Auftragsverarbeiter verarbeitet personenbezogene Daten nicht für andere Zwecke als die Bereitstellung der EventMann-Plattformdienste wie in dieser DPA und der Veranstaltervereinbarung beschrieben, es sei denn, der Verantwortliche weist dies ausdrücklich an oder es ist nach geltendem Recht erforderlich.

3 Datenkategorien

Die folgenden Kategorien personenbezogener Daten werden im Rahmen dieser DPA verarbeitet:

Teilnehmeridentifikationsdaten:

  • Vollständiger Name
  • E-Mail-Adresse
  • Telefonnummer (falls angegeben oder vom Verantwortlichen verlangt)

Buchungs- und Transaktionsdaten:

  • Buchungsreferenznummern
  • Ticketart und -menge
  • Kaufdatum und -uhrzeit
  • Zahlungsstatus (bestätigt, ausstehend, erstattet)
  • Teilweise Zahlungsinformationen (letzte 4 Ziffern der Karte, Kartenmarke — von Stripe erhalten)

Benutzerdefinierte Datenfelder:

  • Antworten auf benutzerdefinierte Checkout-Fragen des Verantwortlichen (z.B. Ernährungsanforderungen, Firmenname, Barrierefreiheitsbedarf)

Technische Daten:

  • IP-Adresse zum Zeitpunkt der Buchung
  • Browser- und Geräteinformationen
  • QR-Code-Check-in-Zeitstempel

Besondere Datenkategorien: Der Auftragsverarbeiter erfasst oder verarbeitet nicht absichtlich besondere Kategorien personenbezogener Daten (z.B. Gesundheitsdaten, biometrische Daten, religiöse Überzeugungen). Wenn der Verantwortliche benutzerdefinierte Checkout-Fragen konfiguriert, die solche Daten erfragen, ist der Verantwortliche allein für die Sicherstellung einer angemessenen Rechtsgrundlage und geeigneter Schutzmaßnahmen verantwortlich.

4 Zweck der Verarbeitung

Personenbezogene Daten werden ausschließlich für die folgenden Zwecke verarbeitet:

  • Vertragserfüllung: Verarbeitung von Buchungen, Ausstellung von Tickets, Abwicklung von Zahlungen und Verwaltung der Veranstaltungsteilnahme — alles im Dienste des Vertrags zwischen dem Verantwortlichen (Veranstalter) und der betroffenen Person (Teilnehmer).
  • Kommunikation: Versand transaktionaler E-Mails einschließlich Buchungsbestätigungen, Ticketzustellung, Veranstaltungs-Updates und Absagemitteilungen im Auftrag des Verantwortlichen.
  • Veranstaltungsmanagement: Ermöglichung der Check-in-Funktionalität, Verwaltung von Teilnehmerlisten, Bearbeitung von Rückerstattungsanfragen und Ermöglichung von Ticketübertragungen gemäß der Konfiguration des Verantwortlichen.
  • Berichterstattung: Erstellung aggregierter und individueller Berichte über Ticketverkäufe, Teilnahme, Umsätze und andere Kennzahlen für die Veranstaltungsmanagementzwecke des Verantwortlichen.
  • Plattformbetrieb: Aufrechterhaltung der Sicherheit, Verfügbarkeit und Leistung der EventMann-Plattform, einschließlich Betrugserkennung, Missbrauchsprävention und technischer Fehlerbehebung.

Der Auftragsverarbeiter verwendet personenbezogene Daten nicht für eigene Marketingzwecke, Profiling oder für Zwecke, die nicht mit der Bereitstellung der EventMann-Plattformdienste zusammenhängen. Anonymisierte und aggregierte Daten, die nicht mit einzelnen betroffenen Personen verknüpft werden können, dürfen vom Auftragsverarbeiter zur Plattformverbesserung und statistischen Analyse verwendet werden.

5 Unterauftragsverarbeiter

Der Verantwortliche genehmigt dem Auftragsverarbeiter die Beauftragung der folgenden Unterauftragsverarbeiter für die in dieser DPA beschriebenen Zwecke:

  • Stripe, Inc. — Zahlungsabwicklung, Transaktionsverwaltung und Auszahlungsabwicklung. Stripe verarbeitet Zahlungskartendaten direkt und ist unabhängig PCI-DSS Level 1 zertifiziert. Die Datenverarbeitungsbedingungen von Stripe gelten für deren Handhabung von Zahlungsdaten. Standort: Vereinigte Staaten, mit EU-Datenverarbeitungsfähigkeiten.
  • Hosting-Anbieter: Infrastruktur-Hosting und Datenspeicherung für die EventMann-Plattform. Alle primären Daten werden innerhalb der Europäischen Union (Deutschland) gehostet. Der Hosting-Anbieter verarbeitet personenbezogene Daten ausschließlich zum Zweck der Bereitstellung von Infrastrukturdiensten und ist durch eine Datenverarbeitungsvereinbarung mit ChetsApp UG gebunden.

Der Auftragsverarbeiter informiert den Verantwortlichen vor dem Hinzufügen oder Ersetzen eines Unterauftragsverarbeiters. Der Verantwortliche kann einem neuen Unterauftragsverarbeiter innerhalb von 14 Tagen nach Benachrichtigung widersprechen. Wenn der Verantwortliche widerspricht und die Parteien keine Lösung finden, kann der Verantwortliche die betroffenen Dienste kündigen.

Der Auftragsverarbeiter stellt sicher, dass alle Unterauftragsverarbeiter durch Datenschutzpflichten gebunden sind, die nicht weniger schützend sind als die in dieser DPA festgelegten. Der Auftragsverarbeiter bleibt gegenüber dem Verantwortlichen vollständig für die Handlungen und Unterlassungen seiner Unterauftragsverarbeiter haftbar.

6 Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter implementiert die folgenden technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten gemäß Artikel 32 der DSGVO:

Technische Maßnahmen:

  • Verschlüsselung bei der Übertragung mittels TLS 1.3 für alle Datenkommunikationen
  • Verschlüsselung im Ruhezustand für Datenbanken mit personenbezogenen Daten
  • Sichere Passwort-Hashierung mittels bcrypt mit angemessenen Kostenfaktoren
  • Rollenbasierte Zugriffskontrolle (RBAC) mit granularen Berechtigungen zur Begrenzung des Zugriffs auf personenbezogene Daten
  • Rate Limiting und Brute-Force-Schutz bei Authentifizierungsendpunkten
  • Automatisiertes Schwachstellen-Scanning und Abhängigkeitsaktualisierungen
  • Regelmäßige Sicherheitspatches und Systemaktualisierungen

Organisatorische Maßnahmen:

  • Der Zugriff auf personenbezogene Daten ist auf autorisiertes Personal nach dem Need-to-Know-Prinzip beschränkt
  • Alle Mitarbeiter mit Zugang zu personenbezogenen Daten sind zur Vertraulichkeit verpflichtet
  • Audit-Protokollierung aller Zugriffe auf und Änderungen personenbezogener Daten
  • Verfahren zur Reaktion auf Sicherheitsvorfälle und Datenschutzverletzungen
  • Regelmäßige Überprüfung und Prüfung der Sicherheitsmaßnahmen
  • Datenschutz-Folgenabschätzungen für risikoreiche Verarbeitungsaktivitäten

Diese Maßnahmen werden regelmäßig überprüft und aktualisiert, um Änderungen in Technologie, Bedrohungen und regulatorischen Anforderungen widerzuspiegeln. Der Verantwortliche kann jederzeit Informationen zu spezifischen Sicherheitsmaßnahmen anfordern.

7 Rechte der betroffenen Personen

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten zur Beantwortung von Anfragen betroffener Personen gemäß Artikel 15-22 der DSGVO, einschließlich:

  • Auskunftsrecht (Art. 15): Der Auftragsverarbeiter stellt dem Verantwortlichen die Möglichkeit zur Verfügung, Teilnehmerdaten in einem strukturierten, gängigen, maschinenlesbaren Format zu exportieren.
  • Recht auf Berichtigung (Art. 16): Der Auftragsverarbeiter ermöglicht es dem Verantwortlichen, ungenaue personenbezogene Daten über die Teilnehmerverwaltungsfunktionen der Plattform zu korrigieren.
  • Recht auf Löschung (Art. 17): Auf Anfrage des Verantwortlichen löscht der Auftragsverarbeiter personenbezogene Daten bestimmter betroffener Personen, außer wenn die Aufbewahrung gesetzlich vorgeschrieben ist (z.B. Finanzunterlagen gemäß deutschem Handelsrecht).
  • Recht auf Einschränkung (Art. 18): Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einschränkung der Verarbeitung personenbezogener Daten, wenn die betroffene Person die Richtigkeit bestreitet oder der Verarbeitung widerspricht.
  • Recht auf Datenübertragbarkeit (Art. 20): Der Auftragsverarbeiter stellt Datenexportfunktionalität in CSV- und JSON-Formaten bereit, um die Übertragbarkeit zu ermöglichen.
  • Widerspruchsrecht (Art. 21): Der Verantwortliche ist für die Behandlung von Widersprüchen gegen die Verarbeitung und die entsprechende Anweisung des Auftragsverarbeiters verantwortlich.

Wenn der Auftragsverarbeiter eine Anfrage direkt von einer betroffenen Person erhält, benachrichtigt der Auftragsverarbeiter umgehend den Verantwortlichen und antwortet nicht direkt auf die Anfrage, es sei denn, er ist vom Verantwortlichen autorisiert oder gesetzlich dazu verpflichtet.

8 Benachrichtigung bei Datenschutzverletzungen

Im Falle einer Verletzung des Schutzes personenbezogener Daten benachrichtigt der Auftragsverarbeiter den Verantwortlichen unverzüglich und in jedem Fall innerhalb von 72 Stunden nach Kenntnisnahme der Verletzung. Dieser Zeitrahmen entspricht der Pflicht des Verantwortlichen, die Aufsichtsbehörde gemäß Artikel 33 der DSGVO zu benachrichtigen.

Die Benachrichtigung über die Verletzung umfasst, soweit verfügbar:

  • Eine Beschreibung der Art der Verletzung, einschließlich der Kategorien und der ungefähren Anzahl der betroffenen Personen und Datensätze
  • Name und Kontaktdaten der Datenschutz-Kontaktstelle des Auftragsverarbeiters
  • Eine Beschreibung der wahrscheinlichen Folgen der Verletzung
  • Eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und zur Minderung ihrer Auswirkungen

Der Auftragsverarbeiter arbeitet vollständig mit dem Verantwortlichen bei der Untersuchung und Behebung der Verletzung zusammen, einschließlich:

  • Bereitstellung zusätzlicher Informationen, sobald sie verfügbar werden
  • Sofortige Maßnahmen zur Eindämmung der Verletzung und zur Verhinderung weiterer unbefugter Zugriffe
  • Unterstützung des Verantwortlichen bei Benachrichtigungen an betroffene Personen, sofern gemäß Artikel 34 der DSGVO erforderlich
  • Sicherung von Beweismitteln und Protokollen, die für die Untersuchung der Verletzung relevant sind

Der Auftragsverarbeiter dokumentiert alle Verletzungen des Schutzes personenbezogener Daten, einschließlich der Fakten, Auswirkungen und ergriffenen Abhilfemaßnahmen, unabhängig davon, ob eine Benachrichtigung der Aufsichtsbehörde erforderlich ist.

9 Datenlöschung & Rückgabe

Nach Beendigung der Veranstaltervereinbarung oder auf schriftliche Anfrage des Verantwortlichen wird der Auftragsverarbeiter:

  • Daten zurückgeben: Dem Verantwortlichen einen vollständigen Export aller in seinem Auftrag verarbeiteten personenbezogenen Daten in einem strukturierten, gängigen, maschinenlesbaren Format (CSV oder JSON) bereitstellen.
  • Daten löschen: Alle personenbezogenen Daten innerhalb von 30 Tagen nach Eingang der Rückgabeanfrage oder nach Beendigung der Vereinbarung aus den Systemen des Auftragsverarbeiters löschen, je nachdem, was zuerst eintritt.
  • Löschung bestätigen: Auf Anfrage des Verantwortlichen eine schriftliche Bestätigung der Datenlöschung bereitstellen.

Ausnahmen von der Löschung: Der Auftragsverarbeiter kann personenbezogene Daten über die Löschfrist hinaus aufbewahren, wenn dies nach geltendem Recht erforderlich ist, einschließlich:

  • Finanzielle Transaktionsunterlagen gemäß deutschem Handelsrecht (HGB §257) — Aufbewahrung bis zu 10 Jahre
  • Steuerrelevante Unterlagen gemäß Abgabenordnung (AO §147) — Aufbewahrung bis zu 10 Jahre
  • Daten, die für die Begründung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich sind

Wenn Daten aufgrund einer gesetzlichen Pflicht aufbewahrt werden, werden sie von der weiteren Verarbeitung ausgeschlossen und mit angemessenen Sicherheitsmaßnahmen geschützt. Der Auftragsverarbeiter informiert den Verantwortlichen über alle gesetzlichen Aufbewahrungspflichten, die eine vollständige Löschung verhindern.

Sicherungskopien, die personenbezogene Daten enthalten, werden durch den normalen Backup-Rotationszyklus überschrieben, der 90 Tage nicht überschreitet.

10 Anwendbares Recht

Diese Datenverarbeitungsvereinbarung unterliegt den Bestimmungen der EU-Datenschutz-Grundverordnung (Verordnung (EU) 2016/679), insbesondere Artikel 28, der die Anforderungen an Datenverarbeitungsvereinbarungen zwischen Verantwortlichen und Auftragsverarbeitern festlegt.

Soweit die DSGVO eine bestimmte Frage nicht regelt, unterliegt diese DPA dem Recht der Bundesrepublik Deutschland, einschließlich des Bundesdatenschutzgesetzes (BDSG). Streitigkeiten aus dieser DPA unterliegen der ausschließlichen Zuständigkeit der Gerichte in München, Deutschland.

Wenn eine Bestimmung dieser DPA für ungültig oder undurchsetzbar befunden wird, bleiben die übrigen Bestimmungen in vollem Umfang in Kraft. Die ungültige Bestimmung wird durch eine gültige Bestimmung ersetzt, die den ursprünglichen Zweck so weit wie möglich erreicht.

Diese DPA tritt mit dem Datum in Kraft, an dem der Verantwortliche ein Veranstalterkonto auf EventMann erstellt, und gilt für die Dauer der Veranstaltervereinbarung zuzüglich etwaiger geltender Datenaufbewahrungsfristen. Diese DPA kann vom Auftragsverarbeiter mit 30-tägiger Vorankündigung an den Verantwortlichen geändert werden. Die fortgesetzte Nutzung der Plattform nach Ablauf der Frist gilt als Zustimmung zu den geänderten Bedingungen.

ChetsApp UG
Pecserstr 55, 70736 Fellbach, Deutschland

Admin-Bereich

Admin

Wir verwenden Cookies

Wir verwenden Cookies und ähnliche Technologien, um Inhalte zu personalisieren, den Datenverkehr zu analysieren und Ihre Erfahrung zu verbessern. Sie können alle akzeptieren, nicht wesentliche ablehnen oder Ihre Einstellungen anpassen.