Auftragsverarbeitungsvereinbarung (AVV)

1.1

Gegenstand dieser Vereinbarung ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter zur Erfüllung der vertraglich geschuldeten Leistungen, insbesondere im Bereich Software as a Service (SaaS), Hosting und Support im Rahmen der Plattform "Orbance".

1.2

Die Dauer der Verarbeitung entspricht der Laufzeit des zugrunde liegenden Vertragsverhältnisses zwischen den Parteien.

2.1

Die Verarbeitung umfasst insbesondere das Erfassen, Speichern, Ändern, Übermitteln, Sperren, Löschen und Auswerten personenbezogener Daten im Rahmen der Nutzung der SaaS-Plattform "Orbance".

2.2

Zweck ist die technische Bereitstellung der Plattform, einschließlich Veranstaltungsmanagement, Teilnehmerkommunikation, Abrechnung, Nutzerverwaltung und IT-Support.

3.1

Die Art der personenbezogenen Daten ergibt sich aus der Nutzung durch den Verantwortlichen. Dazu zählen insbesondere:

• Stammdaten (z. B. Name, E-Mail, Organisation)
• Veranstaltungs- und Nutzungsdaten
• Abrechnungsdaten

3.2

Betroffen sind je nach Nutzung z. B.:

• Mitarbeiter des Verantwortlichen
• Veranstaltungsteilnehmer
• Externe Nutzer (z. B. Empfänger von Zertifikaten)

4.1

Der Verantwortliche bleibt im Sinne von Art. 4 Nr. 7 DSGVO für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich.

4.2

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Änderungen oder Ergänzungen der Weisung sind in Textform mitzuteilen.

4.3

Eine Verarbeitung außerhalb der EU/des EWR erfolgt nicht, sofern keine gesetzliche Pflicht oder ausdrückliche Weisung besteht. Hosting erfolgt ausschließlich bei der Hetzner Online GmbH in Deutschland.

5.1

Der Auftragsverarbeiter stellt sicher, dass nur zur Verarbeitung befugte Personen Zugang zu personenbezogenen Daten erhalten und diese zur Vertraulichkeit verpflichtet sind.

5.2

Er trifft geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO.

5.3

Er unterstützt den Verantwortlichen bei:

• der Wahrung von Betroffenenrechten
• der Meldung und Bewertung von Datenschutzvorfällen
• der Durchführung von Datenschutz-Folgenabschätzungen

5.4

Nach Ende des Vertrags löscht oder übergibt der Auftragsverarbeiter die Daten nach Wahl des Verantwortlichen.

5.5

Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich bei Datenschutzverletzungen.

6.1

Der Verantwortliche ist verpflichtet, personenbezogene Daten ausschließlich im Einklang mit geltendem Datenschutzrecht zu verarbeiten und bei Nutzung der Plattform wahrheitsgemäße, vollständige Daten bereitzustellen.

6.2

Der Verantwortliche benennt eine Kontaktperson für Datenschutzanliegen.

6.3 Ticketshop und Endkunden

Nutzt der Verantwortliche Ticketshops oder Ticket-Plugins, ist er gegenüber Ticketkäuferinnen und Ticketkäufern allein Verantwortlicher im Sinne der DSGVO. Er stellt sicher, dass Impressum, Datenschutzerklärung und AGB im Ticketshop vollständig, aktuell und rechtskonform sind und dass Verarbeitungen (einschließlich Tracking, Zahlungen und Ticketbereitstellung) auf einer gültigen Rechtsgrundlage beruhen.

6.4 E-Mail-Versand (SMTP)

Hinterlegt der Verantwortliche eine eigene SMTP-Konfiguration, ist er allein dafür verantwortlich, dass Server, Absenderangaben und Inhalte der über Orbance versendeten E-Mails rechtmäßig sind und über die erforderlichen Einwilligungen verfügen. Er stellt sicher, dass die Nutzung des SMTP-Servers zulässig ist und keine Rechte Dritter verletzt werden.

6.5 Zahlungsabwicklung

Verbindet der Verantwortliche Zahlungsdienstleister (z. B. Stripe Connect, PayPal), ist er für die rechtmäßige Einrichtung und Nutzung seiner Konten sowie für die datenschutzkonforme Information der Endkunden verantwortlich.

7.1

Der Auftragsverarbeiter setzt folgende Subunternehmer ein (Stand: Juni 2026):

• Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen — Hosting, Datenbank, interner PDF-Dienst
• Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland — Zahlungsabwicklung (inkl. Stripe Connect, Karten, SEPA, Klarna, PayPal über Stripe, Apple Pay, Google Pay u. a.)
• PayPal (Europe) S.à r.l. et Cie, S.C.A., 22–24 Boulevard Royal, L-2449 Luxemburg — Zahlungsabwicklung über PayPal Commerce Platform
• Apple Inc., One Apple Park Way, Cupertino, CA 95014, USA — Apple Maps (MapKit JS), Apple Wallet / Apple Push Notification Service (APNS); Übermittlung unter EU-US Data Privacy Framework
• Cloudflare, Inc. / Cloudflare Germany GmbH, Rosental 7, 80331 München — Turnstile (Bot-Schutz), CDN/WAF und Missbrauchsschutz; Übermittlung unter EU-US Data Privacy Framework
• Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland — Google Wallet

E-Mail-Versand erfolgt über vom Auftragsverarbeiter betriebenes SMTP bzw. optional über vom Veranstalter konfigurierte SMTP-Server des Veranstalters (kein zusätzlicher Subunternehmer, sofern der Veranstalter eigene Server nutzt).

7.2

Weitere Subunternehmer dürfen nur unter Information des Verantwortlichen und unter Einhaltung der Art. 28 ff. DSGVO eingesetzt werden.

8.1

Der Verantwortliche hat das Recht, die Einhaltung dieser Vereinbarung zu überprüfen. Der Auftragsverarbeiter stellt dazu auf Anfrage alle erforderlichen Informationen bereit.

8.2

Auf Wunsch kann eine Vor-Ort-Kontrolle erfolgen, sofern datenschutzrechtlich erforderlich und mit angemessener Vorankündigung.

9.1

Diese Vereinbarung gilt als integraler Bestandteil der AGB. Bei Widersprüchen geht diese AVV den übrigen Vertragsbedingungen vor.

9.2

Gerichtsstand ist Hildesheim. Es gilt deutsches Recht.

9.3

Sollte eine Bestimmung dieser Vereinbarung ganz oder teilweise unwirksam sein, bleibt die Gültigkeit der übrigen Bestimmungen unberührt.