Zwischen

Fair-Bytes GmbH
Auf der Steige 15
71277 Rutesheim, Deutschland
Amtsgericht Stuttgart, HRB 795967
USt-IdNr.: DE370084943
E-Mail: info@fair-bytes.com

– nachfolgend bezeichnet als „Auftragsverarbeiter" –

und

Vertragspartner (Verantwortlicher):

Der jeweilige Kunde (Veranstalter), der im Rahmen der Nutzung der Plattform Fair-Bytes personenbezogene Daten verarbeitet und den Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO durch Zustimmung zu den AGB abgeschlossen hat. Die Identität des Kunden ergibt sich aus dem bei der Registrierung hinterlegten Account bzw. den im Benutzerprofil angegebenen Daten.

– nachfolgend bezeichnet als „Auftraggeber" –

– beide nachfolgend als „die Vertragsparteien" bezeichnet –

Alle Begrifflichkeiten verstehen sich geschlechtsneutral.

wird der folgende Auftragsverarbeitungsvertrag geschlossen:

Präambel und Anwendungsbereich

Diese Vereinbarung konkretisiert die Verpflichtungen der Vertragsparteien zum Datenschutz, die sich ergänzend zum bereits geschlossenen Nutzungsvertrag (nachfolgend: Hauptvertrag) ergeben und Einzelheiten zur Auftragsverarbeitung regeln. Sie findet Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei denen Beschäftigte des Auftragsverarbeiters oder durch den Auftragsverarbeiter Beauftragte personenbezogene Daten (nachfolgend: Daten) des Auftraggebers verarbeiten.

Der Hauptvertrag umfasst die Allgemeinen Geschäftsbedingungen (AGB) der Fair-Bytes GmbH für die Nutzung der Plattform „Fair-Bytes" in der jeweils gültigen Fassung.

1. Gegenstand der Auftragsverarbeitung

(1) Fair-Bytes stellt dem Auftraggeber eine Software-as-a-Service-Lösung (SaaS) zur Verfügung, mit der der Auftraggeber insbesondere Veranstaltungen anlegen und verwalten, Tickets erstellen und verkaufen, Bestellungen verwalten und Teilnehmerlisten führen sowie den Check-in von Teilnehmern per QR-Code-Scan durchführen kann.

(2) Im Rahmen der Erbringung des Service verarbeitet Fair-Bytes personenbezogene Daten der Ticketkäufer und Veranstaltungsteilnehmer im Auftrag des Auftraggebers. Fair-Bytes handelt dabei als Auftragsverarbeiterin im Sinne von Art. 28 DSGVO.

(3) Detailangaben zum Gegenstand der im Auftrag erfolgenden Verarbeitung, die verarbeiteten personenbezogenen Daten, von der Verarbeitung betroffene Personen sowie Art, Umfang und Zweck der Verarbeitung richten sich nach den Vorgaben des Anhangs „Gegenstand der Auftragsverarbeitung".

2. Verantwortlichkeit des Auftraggebers

(1) Der Auftraggeber ist datenschutzrechtlich Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO gegenüber den Ticketkäufern und Veranstaltungsteilnehmern. Er ist im Rahmen dieses Auftragsverarbeitungsvertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze verantwortlich, insbesondere für die Rechtmäßigkeit der Datenverarbeitung sowie für die Rechtmäßigkeit der Beauftragung des Auftragsverarbeiters.

(2) Der Auftraggeber stellt sicher, dass eine ausreichende Rechtsgrundlage (z. B. Einwilligung, Vertragserfüllung) für die Verarbeitung der personenbezogenen Daten besteht.

(3) Der Auftraggeber ist verpflichtet, gegenüber seinen Ticketkäufern eigene AGB, Widerrufs- und Rückerstattungsregelungen sowie alle gesetzlich erforderlichen Informationen (insbesondere Datenschutzhinweise) bereitzustellen.

3. Weisungsbefugnis

(1) Der Auftragsverarbeiter darf personenbezogene Daten nur im Rahmen des Hauptvertrages sowie der Weisungen des Auftraggebers verarbeiten und nur insoweit die Verarbeitung im Rahmen des Hauptvertrages erforderlich ist.

(2) Die Weisungen werden anfänglich durch den Hauptvertrag oder diesen Auftragsverarbeitungsvertrag festgelegt und können vom Auftraggeber danach durch Weisungen in Textform (z. B. E-Mail) an den Auftragsverarbeiter geändert, ergänzt oder ersetzt werden.

(3) Mündliche Weisungen können erfolgen, wenn sie aufgrund der Umstände (z. B. Eilbedürftigkeit) geboten sind und sind unverzüglich in Textform zu bestätigen.

(4) Ist der Auftragsverarbeiter aufgrund objektiver Umstände der Ansicht, dass eine Weisung des Auftraggebers gegen geltendes Datenschutzrecht verstößt, wird der Auftragsverarbeiter den Auftraggeber unverzüglich darauf hinweisen und die Ansicht sachlich begründen. In diesem Fall ist der Auftragsverarbeiter berechtigt, die Ausführung der Weisung bis zur ausdrücklichen Bestätigung durch den Auftraggeber auszusetzen und offensichtlich rechtswidrige Weisungen abzulehnen.

(5) Der Auftragsverarbeiter kann durch das Recht der Union oder der Mitgliedstaaten sowie behördliche oder gerichtliche Maßnahmen zur Durchführung von Verarbeitungen oder Mitteilung von Informationen verpflichtet werden. In einem solchen Fall teilt der Auftragsverarbeiter dem Auftraggeber die rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Gesetz oder die Anordnung eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

(6) Der Auftragsverarbeiter hat ihm erteilte Weisungen und deren Umsetzung zu dokumentieren.

(7) Weisungsberechtigter Ansprechpartner auf Seiten des Auftragsverarbeiters ist die Geschäftsführung der Fair-Bytes GmbH, erreichbar unter info@fair-bytes.com.

4. Pflichten des Auftragsverarbeiters

(1) Der Auftragsverarbeiter gewährleistet, dass es den mit der Verarbeitung der Daten befassten Personen untersagt ist, die personenbezogenen Daten außerhalb der Weisung zu verarbeiten. Der Auftragsverarbeiter stellt ferner sicher, dass die zur Verarbeitung der Daten befugten Personen auf Vertraulichkeit und Verschwiegenheit verpflichtet worden sind.

(2) Der Auftragsverarbeiter sorgt dafür, dass die bei ihm zur Verarbeitung eingesetzten Personen im Hinblick auf den Schutz personenbezogener Daten angemessen geschult und sensibilisiert werden.

(3) Der Auftragsverarbeiter wird die innerbetriebliche Organisation in seinem Verantwortungsbereich entsprechend den gesetzlichen Anforderungen gestalten und insbesondere technische und organisatorische Maßnahmen (TOMs) zur angemessenen Sicherung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten des Auftraggebers treffen. Die TOMs sind im Anhang „Technische und organisatorische Maßnahmen" beschrieben und werden mindestens jährlich evaluiert.

(4) Die TOMs dürfen entsprechend dem technischen und rechtlichen Fortschritt weiterentwickelt und durch adäquate Schutzmaßnahmen ersetzt werden, sofern das Sicherheitsniveau nicht unterschritten wird und wesentliche Änderungen dem Auftraggeber mitgeteilt werden.

(5) Die im Rahmen des Auftragsverarbeitungsvertrages überlassenen Daten sowie sämtliche Kopien verbleiben im Eigentum des Auftraggebers und sind durch den Auftragsverarbeiter sorgfältig zu verwahren und vor dem Zugang durch unberechtigte Dritte zu schützen.

(6) Die Einrede eines Zurückbehaltungsrechts wird hinsichtlich der im Auftrag verarbeiteten Daten ausgeschlossen.

5. Technische und organisatorische Maßnahmen

(1) Der Auftragsverarbeiter trifft unter Beachtung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der Betroffenen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

(2) Die bei Vertragsschluss durch den Auftragsverarbeiter implementierten TOMs definieren das geschuldete Minimum des Sicherheitsniveaus und sind im Anhang „Technische und organisatorische Maßnahmen" dokumentiert.

(3) Soweit die getroffenen Sicherheitsmaßnahmen den gesetzlichen Anforderungen nicht oder nicht mehr genügen, benachrichtigt der Auftragsverarbeiter den Auftraggeber unverzüglich.

6. Informationspflichten und Mitwirkungspflichten

(1) Wendet sich eine betroffene Person an den Auftragsverarbeiter und macht ihre Betroffenenrechte geltend (insbesondere Rechte auf Auskunft, Berichtigung oder Löschung), wird der Auftragsverarbeiter die betroffene Person an den Auftraggeber verweisen, sofern eine Zuordnung möglich ist. Der Auftragsverarbeiter leitet den Antrag unverzüglich an den Auftraggeber weiter und unterstützt diesen im Rahmen der Zumutbarkeit.

(2) Der Auftragsverarbeiter hat den Auftraggeber unverzüglich und vollständig zu informieren, wenn er Fehler oder Unregelmäßigkeiten bei der Einhaltung von Bestimmungen dieses Vertrages oder einschlägiger Datenschutzvorschriften feststellt.

(3) Der Auftragsverarbeiter wird den Auftraggeber unverzüglich darüber informieren, wenn eine Aufsichtsbehörde gegenüber dem Auftragsverarbeiter tätig wird und deren Tätigkeit die für den Auftraggeber verarbeiteten Daten betreffen kann.

(4) Der Auftragsverarbeiter stellt dem Auftraggeber Informationen zur Verfügung, die für die Erfüllung gesetzlicher Pflichten notwendig sind (insbesondere Anfragen Betroffener oder Behörden, Rechenschaftspflichten, Datenschutz-Folgenabschätzungen) und unterstützt bei der Einhaltung der in Art. 32–36 DSGVO genannten Pflichten.

7. Maßnahmen bei Verletzung des Datenschutzes

(1) Für den Fall, dass der Auftragsverarbeiter Tatsachen feststellt, welche die Annahme begründen, dass der Schutz der für den Auftraggeber verarbeiteten personenbezogenen Daten im Sinne des Art. 4 Nr. 12 DSGVO verletzt sein könnte, hat der Auftragsverarbeiter den Auftraggeber unverzüglich und vollständig zu informieren, unverzüglich erforderliche Schutzmaßnahmen zu ergreifen und bei der Erfüllung der dem Auftraggeber obliegenden Pflichten zu unterstützen.

(2) Die Information über eine (mögliche) Verletzung des Schutzes personenbezogener Daten hat unverzüglich, grundsätzlich innerhalb von 24 Stunden ab Kenntniserlangung zu erfolgen.

(3) Die Meldung des Auftragsverarbeiters muss entsprechend Art. 33 Abs. 3 DSGVO mindestens die folgenden Angaben beinhalten:

• eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der betroffenen Kategorien von Daten und der ungefähren Zahl der betroffenen Personen;
• den Namen und die Kontaktdaten einer Anlaufstelle für weitere Informationen;
• eine Beschreibung der wahrscheinlichen Folgen der Verletzung;
• eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und zur Abmilderung möglicher nachteiliger Auswirkungen.

(4) Ebenfalls unverzüglich mitzuteilen sind erhebliche Störungen bei der Auftragserledigung sowie Verstöße des Auftragsverarbeiters oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen.

8. Überprüfungen und Inspektionen

(1) Der Auftraggeber hat das Recht, die Einhaltung der gesetzlichen Vorgaben und der Regelungen dieses Vertrages, insbesondere der TOMs, beim Auftragsverarbeiter jederzeit im erforderlichen Umfang selbst oder durch Dritte zu kontrollieren.

(2) Der Auftragsverarbeiter hat den Auftraggeber bei den Kontrollen im erforderlichen Rahmen zu unterstützen (z. B. durch Bereitstellung von Informationen und Gewährung von Zugangsrechten).

(3) Vor-Ort-Kontrollen erfolgen innerhalb üblicher Geschäftszeiten und sind vom Auftraggeber mit einer Frist von mindestens 14 Tagen anzumelden. In dringenden Fällen kann eine kürzere Frist gewählt werden.

(4) Die Kontrollen sind auf den erforderlichen Rahmen beschränkt und müssen auf Betriebs- und Geschäftsgeheimnisse des Auftragsverarbeiters sowie den Schutz personenbezogener Daten Dritter Rücksicht nehmen.

(5) Statt Vor-Ort-Kontrollen darf der Auftragsverarbeiter den Auftraggeber auf eine gleichwertige Kontrolle durch unabhängige Dritte, Einhaltung genehmigter Verhaltensregeln (Art. 40 DSGVO) oder geeignete Datenschutz- oder IT-Sicherheitszertifizierungen gem. Art. 42 DSGVO verweisen, sofern dies dem Auftraggeber zumutbar ist.

(6) Der Auftraggeber übt sein Kontrollrecht grundsätzlich nicht häufiger als alle 12 Monate aus, es sei denn, ein konkreter Anlass macht häufigere Kontrollen erforderlich.

(7) Der Auftragsverarbeiter führt im angemessenen Umfang den regelmäßigen Nachweis der Erfüllung seiner Pflichten, insbesondere der vollständigen Umsetzung der vereinbarten TOMs. Der Nachweis ist dem Auftraggeber auf Anforderung zu überlassen.

(8) Überschreitet der mit der Duldung und Mitwirkung bei Kontrollen einhergehende Aufwand für den Auftragsverarbeiter einen angemessenen Rahmen, hat der Auftraggeber dem Auftragsverarbeiter den entstehenden Mehraufwand zu einem Stundensatz von 90 € (netto) zu vergüten. Dies gilt nicht, soweit die Kontrolle durch ein Verschulden des Auftragsverarbeiters veranlasst wurde (insbesondere bei Datenschutzvorfällen).

9. Unterauftragsverhältnisse

(1) Der Auftraggeber erklärt sich damit einverstanden, dass der Auftragsverarbeiter im Rahmen der Auftragsverarbeitung Unterauftragsverarbeiter einsetzen darf. Der Auftragsverarbeiter informiert den Auftraggeber mit einer Vorfrist von mindestens 14 Werktagen über neue Unterauftragsverarbeiter und gibt dem Auftraggeber die Möglichkeit, Einspruch gegen den Einsatz zu erheben.

(2) Erhebt der Auftraggeber keinen Einspruch innerhalb der Vorfrist, darf der Unterauftragsverarbeiter eingesetzt werden. Der Auftraggeber macht von seinem Einspruchsrecht nur unter Beachtung der Grundsätze von Treu und Glauben sowie der Angemessenheit Gebrauch.

(3) Nimmt der Auftragsverarbeiter die Dienste eines Unterauftragsverarbeiters in Anspruch, muss er dem Unterauftragsverarbeiter dieselben Datenschutzpflichten auferlegen, die in diesem Vertrag vereinbart sind (insbesondere im Hinblick auf Weisungen, TOMs, Informationen und Kontrollen).

(4) Der Auftragsverarbeiter wählt Unterauftragsverarbeiter unter besonderer Berücksichtigung der Eignung und Zuverlässigkeit sorgfältig aus und überprüft die Einhaltung der Pflichten mindestens alle 12 Monate.

(5) Die Rechte des Auftraggebers müssen auch gegenüber den Unterauftragsverarbeitern wirksam ausgeübt werden können.

(6) Die zum Zeitpunkt des Abschlusses dieses Vertrages bestehenden Unterauftragsverhältnisse sind im Anhang „Unterauftragsverarbeiter" aufgeführt und gelten als genehmigt.

10. Räumlicher Bereich der Auftragsverarbeitung

(1) Die Verarbeitung der personenbezogenen Daten erfolgt grundsätzlich in Rechenzentren innerhalb der Bundesrepublik Deutschland.

(2) Eine Verarbeitung in Drittstaaten darf nur erfolgen, sofern die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind, insbesondere auf Grundlage von Angemessenheitsbeschlüssen der EU-Kommission (z. B. EU-US Data Privacy Framework) oder Standardvertragsklauseln.

(3) Soweit Unterauftragsverarbeiter Daten in Drittländer übermitteln können, sind die jeweiligen Übermittlungsgrundlagen im Anhang „Unterauftragsverarbeiter" dokumentiert.

11. Pflichten des Auftraggebers

(1) Der Auftraggeber hat den Auftragsverarbeiter unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen, Weisungen oder Verarbeitungsprozessen Fehler oder Unregelmäßigkeiten im Hinblick auf datenschutzrechtliche Bestimmungen feststellt.

(2) Der Auftraggeber benennt einen weisungsberechtigten Ansprechpartner und teilt Änderungen unverzüglich mit.

(3) Im Falle einer Inanspruchnahme des Auftragsverarbeiters durch betroffene Personen, Dritte oder Behörden hinsichtlich der Verarbeitung personenbezogener Daten im Rahmen dieses Vertrages verpflichtet sich der Auftraggeber, den Auftragsverarbeiter bei der Abwehr des Anspruches im Rahmen seiner Möglichkeiten zu unterstützen.

12. Haftung

Es finden die Haftungsregelungen und -beschränkungen des Hauptvertrages (AGB) Anwendung.

13. Laufzeit, Vertragsende und Datenlöschung

(1) Dieser Auftragsverarbeitungsvertrag wird mit Zustimmung zu den AGB wirksam.

(2) Laufzeit und Ende dieses Vertrages richten sich nach der Laufzeit und dem Ende des Hauptvertrages.

(3) Nach Beendigung des Hauptvertrages hat der Auftraggeber die Möglichkeit, seine Daten über die bereitgestellten Exportfunktionen (z. B. CSV-Export, PDF-Export von Berichten) zu sichern. Der Auftragsverarbeiter stellt die Exportfunktionen nach Vertragsende für einen Zeitraum von 30 Tagen zur Verfügung.

(4) Nach Ablauf der Exportfrist werden sämtliche personenbezogenen Daten des Auftraggebers gelöscht, sofern nicht gesetzliche Aufbewahrungspflichten einer Löschung entgegenstehen (insbesondere steuer- und handelsrechtliche Aufbewahrungsfristen von 6 bzw. 10 Jahren). In diesem Fall wird die Verarbeitung der betroffenen Daten eingeschränkt und die Daten nach Ablauf der jeweiligen Aufbewahrungsfrist gelöscht.

(5) Die Löschung hat datenschutzgerecht und so zu erfolgen, dass eine Wiederherstellung auch von Restinformationen mit vertretbarem Aufwand nicht mehr möglich ist.

(6) Die sich aus diesem Vertrag ergebenden Pflichten zum Schutz vertraulicher Informationen gelten auch nach Ende des Vertrages fort, solange der Auftragsverarbeiter personenbezogene Daten des Auftraggebers verarbeitet.

(7) Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, sind mindestens drei Jahre über das Vertragsende hinaus aufzubewahren.

14. Schlussbestimmungen

(1) Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts (CISG).

(2) Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist – soweit gesetzlich zulässig – Stuttgart.

(3) Änderungen sowie Ergänzungen dieses Vertrages bedürfen mindestens der Textform.

(4) Bei etwaigen Widersprüchen gehen Regelungen dieses Auftragsverarbeitungsvertrages zum Datenschutz den Regelungen des Hauptvertrages vor.

(5) Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Die unwirksamen Bestimmungen werden durch eine Regelung ersetzt, die dem wirtschaftlichen Zweck der unwirksamen Regelung am nächsten kommt.

(6) Dieser Auftragsverarbeitungsvertrag ist Bestandteil des Hauptvertrages und wird mit dessen Abschluss wirksam.

Anhang 1: Gegenstand der Auftragsverarbeitung

Die folgenden Angaben bestimmen den Gegenstand der durch diesen Auftragsverarbeitungsvertrag geregelten Verarbeitung.

Zwecke der Auftragsverarbeitung

Personenbezogene Daten werden zu den folgenden Zwecken verarbeitet:

1. Bereitstellung der SaaS-Plattform Fair-Bytes für den Veranstalter
2. Abwicklung des Ticketverkaufs im Auftrag des Veranstalters
3. Zahlungsabwicklung über den Zahlungsdienstleister Stripe
4. Versand von Bestätigungs-E-Mails mit Tickets an Ticketkäufer
5. Ermöglichung des Check-ins von Veranstaltungsteilnehmern per QR-Code
6. Bereitstellung von Berichten und Exportfunktionen für den Veranstalter

Arten und Kategorien von Daten

Daten der Ticketkäufer:

• Anrede, Vorname, Nachname
• Adresse (Straße, PLZ, Ort, Land)
• E-Mail-Adresse
• Zahlungsdaten (werden über Stripe verarbeitet und nicht von Fair-Bytes gespeichert)
• Bestelldaten (Ticketart, Menge, Bestellzeitpunkt, Bestellnummer)

Daten des Veranstalters (Authentifizierung):

• E-Mail-Adresse
• Name, Nickname
• Passwort
• Registrierungsdatum
• Datum des letzten Logins
• Anzahl der Logins
• Letzte bekannte IP-Adresse

Kategorien der betroffenen Personen

1. Ticketkäufer/Endkunden des Veranstalters
2. Veranstaltungsteilnehmer (beim Check-in)
3. Besucher der Ticketshop-Webseiten (Subdomains unter fair-bytes.com)
4. Ansprechpartner und Nutzer des Veranstalters (Authentifizierung und Kontoverwaltung)

Quellen der verarbeiteten Daten

1. Direkte Erhebung bei den betroffenen Personen (Eingabe im Ticketshop)
2. Erhebung im Rahmen der Nutzung der Plattform (technische Protokolldaten)
3. Übermittlung durch den Zahlungsdienstleister Stripe (Bestätigung von Zahlungen)

Anhang 2: Unterauftragsverarbeiter

Der Auftragsverarbeiter setzt die folgenden Unterauftragsverarbeiter ein:

Stripe

Zweck: Zahlungsabwicklung zwischen Ticketkäufer und Veranstalter im Rahmen von Stripe Connect. Stripe verarbeitet Zahlungsdaten der Ticketkäufer. Fair-Bytes speichert keine Zahlungsdaten.

Dienstanbieter: Stripe Technology Company Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland

Datenschutzerklärung: https://stripe.com/de/privacy

Drittlandübermittlung: Stripe kann Daten in die USA übertragen. Die Übermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework.

AVV: Data Processing Agreement mit Stripe vorhanden.

Hetzner Online GmbH

Zweck: Hosting der Anwendungsinfrastruktur (Webserver, Datenbank, Applikationsserver). Alle Daten werden in Rechenzentren in Deutschland verarbeitet und gespeichert.

Dienstanbieter: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland

Serverstandorte: Falkenstein und Nürnberg, Deutschland

Drittlandübermittlung: Keine. Alle Daten verbleiben in Deutschland.

AVV: Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO vorhanden.

Microsoft Corporation (Azure)

Zweck: (a) Versand transaktionaler E-Mails an Veranstalter und Ticketkäufer über Azure Communication Services (z. B. Registrierungsbestätigungen, Rechnungen, Ticket-E-Mails). (b) Speicherung von Mediendaten (Veranstaltungsbilder, Logos, Videos, generierte Ticket-PDFs) in Azure Blob Storage.

Dienstanbieter: Microsoft Corporation, One Microsoft Way, Redmond, WA 98052, USA (EU-Vertragspartner: Microsoft Ireland Operations Limited)

Rechenzentrumsstandort: Germany West Central (Frankfurt am Main) für beide Dienste

Drittlandübermittlung: Eine Datenübermittlung in die USA kann im Rahmen von Support- und Wartungszugriffen durch Microsoft nicht ausgeschlossen werden. Die Übermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework und der Standardvertragsklauseln der EU-Kommission.

AVV: Data Processing Agreement mit Microsoft vorhanden.

Okta, Inc. (Auth0)

Zweck: Authentifizierung und Identitätsverwaltung der Veranstalter-Nutzer (Login, Registrierung, Passwortverwaltung). Auth0 verarbeitet keine Daten von Ticketkäufern.

Dienstanbieter: Okta, Inc., 100 First Street, San Francisco, CA 94105, USA

Rechenzentrumsstandort: EU (Auth0 EU-Tenant)

Datenschutzerklärung: https://auth0.com/privacy

Drittlandübermittlung: Der Auth0-Tenant wird in der EU betrieben. Eine Datenübermittlung in die USA kann im Rahmen von Support- und Wartungszugriffen durch Okta nicht ausgeschlossen werden. Die Übermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework und der Standardvertragsklauseln der EU-Kommission.

AVV: Data Processing Addendum (DPA) mit Okta vorhanden (Bestandteil des Master Subscription Agreement).

Anhang 3: Technische und organisatorische Maßnahmen (TOMs)

Es wird für die konkrete Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten der Betroffenen angemessenes Schutzniveau gewährleistet.

Organisatorische Maßnahmen

1. Es ist ein angemessenes Datenschutzkonzept implementiert und wird fortlaufend umgesetzt.
2. Sämtliche mit der Datenverarbeitung befassten Personen (Gesellschafter) sind auf Vertraulichkeit und Verschwiegenheit verpflichtet.
3. Die Entwicklung von Software erfolgt unter Berücksichtigung des Prinzips des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Privacy by Design / Privacy by Default).
4. Es werden dedizierte Umgebungen für Entwicklung (DEV), Staging und Produktion (PROD) betrieben. Produktiv- und Testdaten werden streng getrennt.
5. Softwareänderungen werden über ein Versionskontrollsystem (Git/GitHub) verwaltet und durchlaufen automatisierte und manuelle Tests sowie Code Reviews bevor sie in die Produktivumgebung übernommen werden.
6. Fair-Bytes setzt derzeit keine Cookies zu Tracking- oder Analysezwecken ein. Auf den Ticketshop-Seiten werden ausschließlich technisch notwendige Cookies verwendet (z. B. Warenkorb-Session).
7. Eingesetzte Software und Hardware wird stets auf dem aktuell verfügbaren Stand gehalten und Softwareaktualisierungen werden zeitnah ausgeführt.
8. Standardsoftware und Updates werden nur aus vertrauenswürdigen Quellen bezogen.
9. Es besteht ein Konzept zur unverzüglichen Reaktion auf Gefährdungen und Verletzungen des Schutzes personenbezogener Daten (Meldung innerhalb von 24 Stunden).

Zutrittskontrolle

1. Es werden keine eigenen Datenverarbeitungsanlagen in Geschäftsräumlichkeiten unterhalten. Die Daten werden ausschließlich bei externen Server-Anbietern (Hetzner, Microsoft Azure) gespeichert.
2. Die Rechenzentren der Unterauftragsverarbeiter verfügen über angemessene physische Sicherheitsmaßnahmen (Zutrittskontrollsysteme, Videoüberwachung, Sicherheitspersonal).

Zugangskontrolle

1. Sämtliche Datenverarbeitungsanlagen sind passwortgeschützt.
2. Die Übertragung sämtlicher Daten erfolgt ausschließlich TLS-verschlüsselt.
3. Für den Zugang zu Admin-Panels wird eine Zwei-Faktor-Authentifizierung (2FA) eingesetzt.
4. Es gilt eine verbindliche Passwort-Policy: Mindestens 12 Zeichen, bestehend aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen. Eine Wiederverwendung der letzten Passwörter ist nicht zulässig.
5. Zugangsdaten werden gelöscht oder deaktiviert, wenn Personen ihre Berechtigung verlieren.
6. Die Anwendungsinfrastruktur wird in einem Kubernetes-Cluster betrieben. Ein API-Gateway begrenzt die Anzahl der zulässigen Anfragen pro Zeiteinheit (Rate Limiting), um Überlastungsangriffe und missbräuchliche Zugriffe zu unterbinden.
7. Der Zugang zu den Hetzner-Servern erfolgt ausschließlich per SSH-Key-Authentifizierung und ist zusätzlich auf eine IP-Whitelist beschränkt. Der Zugang zu Azure-Diensten (mit Ausnahme des öffentlich zugänglichen Blob Storage für Mediendaten) ist ebenfalls auf eine IP-Whitelist beschränkt.

Interne Zugriffskontrolle und Eingabekontrolle

1. Der Zugriff auf personenbezogene Daten ist auf explizit autorisierte Personen beschränkt und nach dem Erforderlichkeitsprinzip geregelt.
2. Für die Plattform besteht ein Rechte- und Rollenkonzept, das den Zugriff für Veranstalter auf deren eigene Daten beschränkt.
3. Zugriffe auf die Azure-Datenbank und Azure-Dienste werden über das Azure Activity Log automatisch protokolliert. Die Protokolle werden mindestens 90 Tage aufbewahrt.
4. Die personenbezogenen Daten der verschiedenen Veranstalter werden logisch getrennt verarbeitet und vor unberechtigtem Zugriff geschützt.

Verschlüsselung und Übertragungssicherheit

1. Die Übermittlung und Verarbeitung personenbezogener Daten über die Plattform erfolgt geschützt mittels TLS-Verschlüsselung.
2. E-Mails werden während der Übertragung verschlüsselt.
3. Daten in Azure Blob Storage (einschließlich Datenbankbackups und Mediendaten) werden serverseitig mit AES-256 verschlüsselt (Verschlüsselung at rest).

Sicherung der Verfügbarkeit

1. Die Verarbeitung erfolgt auf Serversystemen, die einem regelmäßigen Patch-Management unterliegen.
2. Die Anwendungsinfrastruktur wird in einem Kubernetes-Cluster betrieben. Core-Komponenten des Clusters werden automatisch und wöchentlich außerhalb der Standardnutzungszeiten gepatcht. Eigene Services werden über automatisierte CI/CD-Pipelines aktualisiert.
3. Automatisierte Backups werden regelmäßig durchgeführt.
4. Automatisierte Backups der Nutzerdaten werden alle 30 Minuten erstellt und für 60 Tage aufbewahrt. Die Wiederherstellbarkeit der Backups wird regelmäßig durch Restore-Tests überprüft.
5. Die Rechenzentren der Unterauftragsverarbeiter (Hetzner, Microsoft Azure) verfügen über unterbrechungsfreie Stromversorgung (USV), Brandschutzanlagen und physische Sicherheitsmaßnahmen.

Auftragskontrolle und Trennungskontrolle

1. Die personenbezogenen Daten der verschiedenen Veranstalter (Auftraggeber) werden logisch getrennt verarbeitet (Mandantentrennung).
2. Produktiv- und Testdaten werden streng getrennt in unterschiedlichen Umgebungen (DEV, Staging, PROD) verarbeitet.
3. Unterauftragsverarbeiter werden sorgfältig ausgewählt und deren Datenschutzmaßnahmen regelmäßig überprüft.