Auftragsverarbeitung (AVV)

Vereinbarung über die Auftragsverarbeitung (AVV)

zwischen dem jeweiligen Veranstalter als Verantwortlichem im Sinne von Art. 4 Nr. 7 DSGVO (nachfolgend „Auftraggeber“) und LECZ Event & Media, Amtsstraße 22, 44575 Castrop-Rauxel, Deutschland, vertreten durch Leo Czastrau, als Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO (nachfolgend „Auftragnehmer“).

Diese AVV ergänzt die vertraglichen Hauptleistungen von StageAPP. Im Fall von Widersprüchen zwischen Hauptvertrag und AVV gehen die Regelungen dieser AVV im Hinblick auf den Datenschutz vor.

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers zur Bereitstellung der Plattform StageAPP einschließlich Event-Management, Ticketing, Check-in, Kommunikation, Reporting und technischer Zahlungsabwicklung.

(2) Die Verarbeitung erfolgt ausschließlich auf dokumentierte Weisung des Auftraggebers, soweit nicht eine Verarbeitung durch Unionsrecht oder das Recht der Mitgliedstaaten vorgeschrieben ist.

(3) Diese AVV gilt für die Dauer der Nutzung von StageAPP durch den Auftraggeber sowie für etwaige gesetzliche Aufbewahrungszeiträume.

§ 2 Art und Zweck der Verarbeitung

(1) Art der Verarbeitung umfasst insbesondere Erheben, Erfassen, Organisieren, Speichern, Anpassen, Auslesen, Abfragen, Übermitteln, Abgleichen, Einschränken, Löschen und Vernichten personenbezogener Daten.

(2) Zwecke der Verarbeitung sind insbesondere:

• Anlage und Verwaltung von Veranstaltungsdaten und Ticketkontingenten,
• Abwicklung von Ticketbestellungen und Versand digitaler Ticketnachweise,
• Durchführung und Dokumentation von Einlass- und Check-in-Prozessen,
• Unterstützung von Rückabwicklungen, Support und Missbrauchsprävention,
• Bereitstellung von Statistiken, Exporten und API-Schnittstellen.

§ 3 Kategorien betroffener Personen und Daten

(1) Betroffene Personengruppen können insbesondere sein:

• Endkunden/Ticketkäufer,
• Teilnehmer und eingelassene Gäste,
• Ansprechpartner und Mitarbeitende des Auftraggebers,
• weitere vom Auftraggeber im Rahmen der Plattformnutzung angelegte Kontakte.

(2) Kategorien verarbeiteter Daten können insbesondere sein:

• Stammdaten (z. B. Name, E-Mail-Adresse, Telefonnummer),
• Transaktions- und Bestelldaten (z. B. Tickettyp, Bestellnummer, Zahlstatus),
• Event- und Check-in-Daten (z. B. Ticketcode, Scanzeitpunkt, Einlassstatus),
• Kommunikationsdaten und Supportinformationen,
• technische Metadaten (z. B. IP-Adresse, Geräte- und Protokolldaten), soweit zur Sicherheit und Bereitstellung erforderlich.

(3) Besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO sollen grundsätzlich nicht verarbeitet werden, es sei denn, der Auftraggeber veranlasst dies rechtmäßig und informiert den Auftragnehmer vorab ausdrücklich.

§ 4 Pflichten und Rechte des Auftraggebers

(1) Der Auftraggeber ist für die Rechtmäßigkeit der Datenverarbeitung, insbesondere für das Vorliegen einer Rechtsgrundlage gemäß Art. 6 DSGVO, die Erfüllung von Informationspflichten und die Wahrung der Betroffenenrechte verantwortlich.

(2) Der Auftraggeber hat Weisungen rechtzeitig, eindeutig und mindestens in Textform zu erteilen. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.

(3) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei datenschutzrechtlichen Prüfungen feststellt.

§ 5 Pflichten des Auftragnehmers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der Weisungen des Auftraggebers und der vertraglichen Vereinbarungen.

(2) Der Auftragnehmer gewährleistet, dass sich zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(3) Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn eine Weisung nach seiner Auffassung gegen datenschutzrechtliche Vorschriften verstößt.

(4) Der Auftragnehmer unterstützt den Auftraggeber nach Maßgabe von Art. 28 Abs. 3 lit. e und f DSGVO bei der Wahrnehmung von Betroffenenrechten, Datenschutz-Folgenabschätzungen und behördlichen Anfragen, soweit dies unter Berücksichtigung der Art der Verarbeitung möglich ist.

§ 6 Technische und organisatorische Maßnahmen (TOM)

(1) Der Auftragnehmer trifft geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

(2) Die Maßnahmen umfassen insbesondere Regelungen zu:

• Zugangs- und Zugriffskontrolle,
• Weitergabe-, Eingabe- und Verfügbarkeitskontrolle,
• Trennung von Daten nach Mandanten und Zwecken,
• Wiederherstellbarkeit, Resilienz und regelmäßigen Sicherheitsupdates.

(3) Der Auftragnehmer darf die TOM weiterentwickeln, sofern das Sicherheitsniveau nicht hinter das vereinbarte Schutzniveau zurückfällt.

§ 7 Unterauftragsverhältnisse

(1) Der Auftraggeber erteilt eine allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern im Sinne von Art. 28 Abs. 2 DSGVO, soweit diese für den Betrieb von StageAPP erforderlich sind.

(2) Der Auftragnehmer wird Unterauftragsverarbeiter sorgfältig auswählen und vertraglich entsprechend Art. 28 DSGVO verpflichten.

(3) Der Auftragnehmer informiert den Auftraggeber über wesentliche Änderungen bei Unterauftragsverarbeitern. Der Auftraggeber kann aus wichtigem datenschutzrechtlichem Grund in angemessener Frist widersprechen.

(4) Eine aktuelle Übersicht der eingesetzten Unterauftragsverarbeiter wird auf Anfrage in Textform bereitgestellt.

§ 8 Drittlandübermittlungen

(1) Eine Übermittlung personenbezogener Daten in Drittländer erfolgt nur unter Einhaltung der Voraussetzungen der Art. 44 ff. DSGVO.

(2) Soweit erforderlich, stützt sich der Auftragnehmer auf geeignete Garantien, insbesondere EU-Standardvertragsklauseln und ergänzende Schutzmaßnahmen.

§ 9 Meldung von Datenschutzverletzungen

(1) Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten im Sinne von Art. 33 DSGVO, soweit Daten des Auftraggebers betroffen sind.

(2) Die Meldung enthält, soweit möglich, Art und Umfang des Vorfalls, betroffene Datenkategorien, mögliche Folgen sowie bereits ergriffene oder vorgeschlagene Abhilfemaßnahmen.

§ 10 Unterstützung bei Betroffenenrechten

(1) Der Auftragnehmer unterstützt den Auftraggeber bei der Beantwortung von Anträgen betroffener Personen auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit oder Widerspruch, soweit dies im Einflussbereich des Auftragnehmers liegt.

(2) Gehen beim Auftragnehmer Anfragen betroffener Personen ein, die erkennbar den Auftraggeber betreffen, leitet der Auftragnehmer diese unverzüglich an den Auftraggeber weiter.

§ 11 Kontrollrechte und Nachweise

(1) Der Auftraggeber ist berechtigt, die Einhaltung dieser AVV und der gesetzlichen Datenschutzvorgaben in angemessenem Umfang zu kontrollieren oder durch zur Verschwiegenheit verpflichtete Prüfer kontrollieren zu lassen.

(2) Kontrollen erfolgen grundsätzlich nach angemessener Vorankündigung, während üblicher Geschäftszeiten und ohne unverhältnismäßige Beeinträchtigung des Geschäftsbetriebs des Auftragnehmers.

(3) Der Auftragnehmer kann den Nachweis der Einhaltung vorrangig durch geeignete Unterlagen, Erklärungen, Zertifizierungen oder Prüfberichte erbringen.

§ 12 Rückgabe und Löschung von Daten

(1) Nach Beendigung der Hauptleistung verarbeitet der Auftragnehmer personenbezogene Daten nur noch, soweit dies zur Erfüllung gesetzlicher Aufbewahrungspflichten erforderlich ist.

(2) Im Übrigen werden personenbezogene Daten nach Wahl des Auftraggebers zurückgegeben oder datenschutzgerecht gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

(3) Dokumentationen, die dem Nachweis der ordnungsgemäßen Verarbeitung dienen, kann der Auftragnehmer gemäß den gesetzlichen Fristen aufbewahren.

§ 13 Haftung

(1) Die Parteien haften gegenüber betroffenen Personen nach Maßgabe von Art. 82 DSGVO.

(2) Im Innenverhältnis haften die Parteien entsprechend ihrem Verantwortungs- und Verursachungsanteil. Ergänzend gelten die Haftungsregelungen des Hauptvertrages.

§ 14 Schlussbestimmungen

(1) Änderungen und Ergänzungen dieser AVV bedürfen der Textform, sofern nicht gesetzlich eine strengere Form vorgeschrieben ist.

(2) Sollten einzelne Bestimmungen dieser AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(3) Im Übrigen gelten die Vereinbarungen aus Hauptvertrag und AGB, soweit sie dieser AVV nicht widersprechen.

Kontakt

LECZ Event & Media
Leo Czastrau
Amtsstraße 22, 44575 Castrop-Rauxel
E-Mail: billing@stageapp.io

Diese AVV ist online abrufbar unter stageapp.io/avv.php.