Datenschutzerklärung

I. Name und Anschrift des Verantwortlichen

II. Datenschutzbeauftragter

Ein Datenschutzbeauftragter ist derzeit nicht benannt, da die gesetzlichen Voraussetzungen nicht erfüllt sind. Bei Fragen zum Datenschutz wenden Sie sich bitte an:

info@wiedenroth-technologies.com

I. Registrierung und Nutzung der SaaS-Plattform

Verarbeitete Daten:

• Vorname, Nachname
• E-Mail-Adresse
• Passwort (verschlüsselt gespeichert)
• Rolle (z. B. Teilnehmerin, Veranstalterin)
• Organisationszugehörigkeit
• Benutzer-ID, IP-Adresse, Logdaten

Zweck: Bereitstellung der SaaS-Plattform, Benutzerverwaltung, Veranstaltungsabwicklung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

Speicherdauer: Vertragslaufzeit + 3 Jahre, darüber hinaus nach gesetzlichen Vorgaben

II. Veranstaltungs- und Teilnehmerdaten

Verarbeitete Daten:

• Veranstaltungsdetails
• Teilnehmerlisten, Anmeldedaten, Anwesenheit
• Zertifikate, Rechnungsdaten, Feedback

Zweck: Organisation und Abwicklung von Veranstaltungen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, Art. 6 Abs. 1 lit. f DSGVO

Speicherdauer: Bis 3 Jahre nach Veranstaltungsende, Abrechnungsdaten bis 10 Jahre

IIa. Besucher- und Verhaltenstracking im Ticketshop und den Ticket Plugins

Im Ticketshop und den Ticket Plugins erfassen wir Daten über das Verhalten von Besuchern, damit unsere Kunden (Veranstalter) erkennen können, wie ihre Kunden (Teilnehmer) mit ihren Events und Veranstaltungen interagieren.

Verarbeitete Daten:

• Page Views (besuchte Seiten, Seitentitel, Seitenpfad)
• Besuchsdauer und Scroll-Tiefe
• User-Actions (Klicks, Formular-Interaktionen, Downloads)
• Browser-Informationen (User-Agent, Sprache, Bildschirmauflösung)
• Referrer (von welcher Seite der Besucher kommt)
• IP-Adresse (anonymisiert, serverseitig erfasst)
• Browser-Fingerprint (optional, zur Identifikation von Geräten und Bot-Erkennung)
• Session-ID (zur Zuordnung mehrerer Seitenaufrufe zu einer Sitzung)
• Visitor-ID (zur anonymisierten Wiedererkennung von Besuchern)

Zweck: Ermöglichung der Analyse für unsere Kunden (Veranstalter), damit diese erkennen können, wie ihre Kunden (Teilnehmer) mit ihren Events und Veranstaltungen interagieren. Zusätzlich dient die Datenerfassung der Verbesserung der Benutzerfreundlichkeit, der Erkennung von Missbrauch und Bots sowie der Optimierung der Veranstaltungspräsentation.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse an der Analyse und Verbesserung der Plattform sowie am Schutz vor Missbrauch)

Speicherort: Die Daten werden ausschließlich auf unseren eigenen Servern bei Hetzner Online GmbH in Deutschland gespeichert.

Anonymisierung: Die erfassten Daten werden anonymisiert gespeichert. IP-Adressen werden anonymisiert verarbeitet. Browser-Fingerprints werden nur zur Bot-Erkennung und Missbrauchsschutz verwendet, nicht zur personenbezogenen Identifikation.

Speicherdauer: Die Daten werden für maximal 2 Jahre gespeichert, sofern keine gesetzlichen Aufbewahrungspflichten eine längere Speicherung erfordern. Anonymisierte statistische Auswertungen können darüber hinaus gespeichert werden.

III. Kontaktaufnahme

Verarbeitete Daten: Angaben aus Kontaktformularen oder E-Mails

Zweck: Kommunikation, Bearbeitung von Anfragen

Rechtsgrundlage: Art. 6 Abs. 1 lit. a und lit. b DSGVO

Speicherdauer: Bis zur abschließenden Bearbeitung, max. 1 Jahr

IV. Anmeldung über OAuth-Provider (Sign in with Apple, Google Sign In)

Sie können sich über externe OAuth-Provider (Apple "Sign in with Apple" und Google "Sign in with Google") bei unserer Plattform anmelden. Die technische Umsetzung erfolgt über eine selbst gehostete Authentifizierungsinfrastruktur auf unseren eigenen Servern bei Hetzner Online GmbH in Deutschland.

Verarbeitete Daten:

• E-Mail-Adresse (vom OAuth-Provider bereitgestellt)
• Name (optional, falls vom Provider bereitgestellt)
• Provider-ID (zur Verknüpfung des Accounts)
• Authentifizierungstoken (temporär, für die Anmeldung)

Zweck: Vereinfachte Anmeldung und Registrierung, Authentifizierung, Verknüpfung des Accounts mit dem OAuth-Provider

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Nutzung des OAuth-Providers), Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Speicherort: Alle Daten werden ausschließlich auf unseren eigenen Servern bei Hetzner Online GmbH in Deutschland gespeichert. Die Authentifizierung erfolgt direkt über den jeweiligen OAuth-Provider (Apple oder Google), die Datenübertragung beschränkt sich auf die Authentifizierung selbst.

Datenübertragung:

• Apple: Während der Authentifizierung werden Daten an Apple Inc., One Apple Park Way, Cupertino, CA 95014, USA übertragen. Apple ist unter dem EU-US Data Privacy Framework zertifiziert. Nach erfolgreicher Authentifizierung werden die Daten auf unseren Servern in Deutschland gespeichert.
• Google: Während der Authentifizierung werden Daten an Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland übertragen. Nach erfolgreicher Authentifizierung werden die Daten auf unseren Servern in Deutschland gespeichert.

Datensicherheit: Die Authentifizierung erfolgt direkt über den jeweiligen OAuth-Provider. Wir erhalten nur die vom Provider freigegebenen Daten. Die vollständige Authentifizierung wird durch den Provider durchgeführt. Alle erhaltenen Daten werden anschließend auf unseren eigenen Servern in Deutschland gespeichert.

Speicherdauer: Die verknüpften OAuth-Provider-Informationen werden gespeichert, solange der Account aktiv ist. Sie können die Verknüpfung jederzeit in den Account-Einstellungen einsehen.

Widerruf: Sie können die Verknüpfung mit einem OAuth-Provider jederzeit durch Änderung Ihrer Anmeldedaten beenden. Die Daten des OAuth-Providers werden weiterhin für die Authentifizierung verwendet, solange Sie sich mit diesem Provider anmelden.

Weitere Informationen finden Sie in den Datenschutzerklärungen der Anbieter:

• Apple: https://www.apple.com/de/privacy/
• Google: https://policies.google.com/privacy

V. Missbrauchsschutz und Sicherheit (Cloudflare)

Zum Schutz vor Missbrauch, automatisierten Angriffen und Spam setzen wir Dienste von Cloudflare ein, insbesondere Cloudflare Turnstile zur Bot-Erkennung bei Anmeldung, Registrierung und anderen sensiblen Formularen. Ergänzend können Netzwerkschutz-Funktionen von Cloudflare (z. B. CDN, WAF) den Datenverkehr vor der Weiterleitung an unsere Server filtern.

Anbieter:

• Cloudflare, Inc., 101 Townsend St., San Francisco, CA 94107, USA
• Cloudflare Germany GmbH, Rosental 7, 80331 München (EU-Ansprechpartner)

Verarbeitete Daten:

• IP-Adresse (z. B. über CF-Connecting-IP)
• User-Agent, Browser- und Geräteinformationen
• Turnstile-Challenge-Token und Interaktionsdaten zur Unterscheidung von Menschen und Bots
• Technische Verbindungs- und Sicherheitsmetadaten (z. B. TLS-Fingerprints, Request-Header)
• Zeitpunkt und Ergebnis der Sicherheitsprüfung

Zweck: Schutz vor Missbrauch, Brute-Force-Angriffen, automatisiertem Spam und DDoS; Gewährleistung der Sicherheit und Verfügbarkeit der Plattform

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse an der Sicherheit der Plattform)

Datenübertragung: Daten können an Cloudflare in den USA übermittelt werden. Cloudflare ist unter dem EU-US Data Privacy Framework zertifiziert und nutzt Standardvertragsklauseln.

Speicherort: Die Validierung erfolgt bei Cloudflare; bei uns werden nur das Prüfergebnis und ggf. kurzzeitige Sicherheitsprotokolle verarbeitet (Hosting bei Hetzner in Deutschland).

Speicherdauer: Cloudflare speichert Daten gemäß eigener Datenschutzrichtlinie, in der Regel nur für die Dauer der Sicherheitsprüfung bzw. kurzfristig zur Angriffsabwehr. Unsere Sicherheitsprotokolle werden nach Zweckerfüllung gelöscht, spätestens nach 30 Tagen.

Weitere Informationen: Cloudflare Datenschutz · Turnstile Datenschutz

VI. Anmeldung per Magic Link und E-Mail-OTP

Zur Anmeldung und Registrierung können Sie einen einmaligen Anmeldelink (Magic Link) oder einen Einmalcode (OTP) per E-Mail anfordern, statt ein Passwort zu verwenden.

Verarbeitete Daten:

• E-Mail-Adresse
• Zeitpunkt der Anfrage und Nutzung des Links bzw. Codes
• IP-Adresse und technische Metadaten der Anfrage (zur Missbrauchsprävention)

Zweck: Passwortlose Anmeldung, Verifizierung der E-Mail-Adresse, Kontosicherheit

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bzw. vorvertragliche Maßnahmen)

Speicherdauer: Magic Links und OTP-Codes sind nur kurzzeitig gültig (typischerweise wenige Minuten) und werden danach ungültig. Protokolldaten zu Anmeldeversuchen werden gemäß unseren Sicherheitsrichtlinien gelöscht.

VII. Zwei-Faktor-Authentifizierung (MFA)

Optional können Sie Ihr Konto durch eine Zwei-Faktor-Authentifizierung (TOTP, z. B. über eine Authenticator-App) zusätzlich absichern.

Verarbeitete Daten:

• MFA-Status (aktiviert/deaktiviert)
• Gehashte MFA-Secrets und Wiederherstellungscodes (keine Klartextspeicherung)
• Zeitpunkt der MFA-Einrichtung und -Nutzung

Zweck: Erhöhung der Kontosicherheit, Schutz vor unbefugtem Zugriff

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse an der Sicherheit von Nutzerkonten); bei freiwilliger Aktivierung zusätzlich Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

Speicherdauer: Solange MFA für Ihr Konto aktiv ist; nach Deaktivierung werden die zugehörigen MFA-Daten gelöscht.

VIII. Warteliste

Für ausverkaufte oder noch nicht freigegebene Veranstaltungen können Sie sich auf eine Warteliste eintragen lassen.

Verarbeitete Daten:

• Name, E-Mail-Adresse
• Gewünschte Ticketanzahl und Veranstaltungsbezug
• Zeitpunkt der Anmeldung und Benachrichtigungsstatus

Zweck: Verwaltung von Wartelistenplätzen, Benachrichtigung bei Verfügbarkeit von Tickets

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Durchführung vorvertraglicher Maßnahmen auf Ihre Anfrage)

Speicherdauer: Bis zur Buchung, Abmeldung von der Warteliste oder Ende der jeweiligen Veranstaltung; längstens gemäß den Aufbewahrungsfristen des Veranstalters.

IX. Organisations- und Teameinladungen

Veranstalter können Mitarbeitende per E-Mail in ihre Organisation einladen und Rollen zuweisen.

Verarbeitete Daten:

• E-Mail-Adresse der eingeladenen Person
• Name (sofern angegeben), zugewiesene Rolle und Organisation
• Einladungsstatus, Zeitpunkt des Versands und der Annahme
• Einladungstoken (zeitlich begrenzt gültig)

Zweck: Einrichtung und Verwaltung von Teamzugängen innerhalb von Organisationen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung mit dem Veranstalter); für Empfänger ohne bestehendes Konto Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der effizienten Teamverwaltung)

Speicherdauer: Bis zur Annahme oder Widerruf der Einladung; nach Annahme werden die Daten in der Nutzer- und Organisationsverwaltung fortgeführt.

X. Medien-Uploads

Veranstalter und Nutzer können Bilder und andere Medien hochladen (z. B. Profilbilder, Logos, Veranstaltungsfotos, Ticket-Designs).

Verarbeitete Daten:

• Hochgeladene Dateien (Bilder, ggf. Metadaten wie Auflösung oder EXIF, sofern in der Datei enthalten)
• Dateiname, Upload-Zeitpunkt, Zuordnung zu Organisation oder Veranstaltung
• IP-Adresse und Nutzer-ID des Uploads (Protokollierung)

Zweck: Bereitstellung von Veranstaltungs- und Markeninhalten, Personalisierung von Tickets und Shop-Auftritten

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Speicherdauer: Solange die zugehörige Organisation, Veranstaltung oder das Nutzerprofil besteht; Löschung auf Anfrage des Veranstalters oder bei Kontolöschung.

XI. Öffentliches Help-Center und Support-Tickets

Auf unserem öffentlichen Help-Center (help.orbance.com) können Sie Hilfeartikel einsehen. Als Gast oder angemeldeter Nutzer können Sie Support-Anfragen (Tickets) erstellen.

Verarbeitete Daten:

• Name, E-Mail-Adresse, Betreff und Nachrichtentext
• Organisationsbezug (sofern aus dem Kontext erkennbar oder angegeben)
• Ticket-Status, Kommunikationsverlauf, Zeitstempel
• IP-Adresse und technische Zugriffsdaten beim Aufruf des Help-Centers

Zweck: Bearbeitung von Support-Anfragen, Verbesserung unserer Hilfe-Inhalte, Kundenservice

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bzw. vorvertragliche Anfragen); Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizientem Support)

Speicherdauer: Support-Tickets und zugehörige Kommunikation werden für die Bearbeitung und Nachverfolgung gespeichert und nach Abschluss der Anfrage bzw. gemäß internen Aufbewahrungsfristen (in der Regel bis zu 3 Jahre) gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

XII. Cookies und Einwilligungen

Wir verwenden Cookies und vergleichbare Technologien, um die Plattform technisch bereitzustellen, Ihre Einstellungen zu speichern und – sofern Sie zustimmen – optionale Funktionen zu aktivieren. Beim ersten Besuch können Sie über ein Cookie-Banner Ihre Präferenzen festlegen.

Verarbeitete Daten:

• Technisch notwendige Cookies (z. B. Session-Cookies für die Anmeldung, Spracheinstellung NEXT_LOCALE)
• Cookie-Einwilligungsstatus (welche Kategorien Sie akzeptiert oder abgelehnt haben)
• Optionale Cookies nur nach Ihrer Einwilligung (z. B. für erweiterte Funktionen oder Analyse, sofern aktiviert)

Zweck: Bereitstellung und Sicherheit der Plattform, Speicherung von Sprach- und Darstellungseinstellungen, Einhaltung Ihrer Cookie-Präferenzen

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (technisch notwendige Cookies); Art. 6 Abs. 1 lit. a DSGVO bzw. § 25 Abs. 1 TDDDG (optionale Cookies nur mit Einwilligung)

Speicherdauer: Session-Cookies bis zum Schließen des Browsers; persistente Einstellungs- und Einwilligungscookies gemäß der im Banner angegebenen Laufzeit (in der Regel bis zu 12 Monate, danach erneute Abfrage).

I. Webhosting durch Hetzner Online GmbH

Unsere SaaS-Plattform app.orbance.com wird durch Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen gehostet.

Verarbeitete Daten:

• IP-Adresse (anonymisiert)
• Zugriffszeitpunkt, Browser, Betriebssystem, Referrer

Zweck: Bereitstellung der SaaS-Plattform, Sicherheit

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO

Speicherdauer: Max. 7 Tage

II. Kundendaten-Hosting bei Hetzner Online GmbH

Alle Kundendaten der SaaS-Plattform "Orbance" werden ausschließlich bei Hetzner Online GmbH in Deutschland gehostet und verarbeitet.

Serverstandort: Deutschland (verschiedene Rechenzentren)

Zweck: Betrieb der SaaS-Plattform, Nutzerverwaltung, Speicherung von Veranstaltungsdaten

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, Art. 28 DSGVO

Datensicherheit: Verschlüsselte Übertragung, Zugriffskontrolle, Auftragsverarbeitung vereinbart

III. Zahlungsabwicklung durch Stripe (inkl. Stripe Connect)

Für Online-Zahlungen im Ticket-Shop, Abonnements der SaaS-Plattform und Plattformgebühren verwenden wir den Zahlungsdienstleister Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland (nachfolgend „Stripe“). Veranstalter können über Stripe Connect ihr Stripe-Konto mit Orbance verknüpfen; Zahlungen von Endkunden werden dann über das Stripe-Konto des Veranstalters abgewickelt, während Orbance technisch als Plattform fungiert.

Je nach Konfiguration des Veranstalters stehen im Ticket-Shop u. a. folgende Zahlungsmethoden über Stripe zur Verfügung (nicht jede Methode ist für jeden Veranstalter oder jedes Land verfügbar):

• Kredit- und Debitkarten
• Apple Pay und Google Pay (über Stripe Checkout)
• PayPal (über Stripe)
• Klarna (Kauf auf Rechnung / Ratenzahlung, je nach Angebot)
• SEPA-Lastschrift
• iDEAL, EPS, Bancontact, Revolut Pay, Amazon Pay

Verarbeitete Daten:

• Zahlungsinformationen (z. B. Kartennummer, IBAN – ausschließlich bei Stripe, nicht auf unseren Servern)
• Name, E-Mail-Adresse, Rechnungs- und Lieferadresse
• Transaktionsdaten (Betrag, Währung, Datum, Status, gewählte Zahlungsmethode)
• Stripe-Kunden- und Connect-Kontokennungen (IDs, kein Vollzugriff auf Zahlungsmittel)
• IP-Adresse, Geräteinformationen, Betrugspräventionsdaten

Zweck: Abwicklung von Ticketkäufen, SaaS-Abonnements und Plattformgebühren; Auszahlungen an Veranstalter über Stripe Connect; Betrugsprävention

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); bei Stripe Connect zusätzlich Art. 28 DSGVO (Auftragsverarbeitung zugunsten des Veranstalters)

Datensicherheit: Stripe ist PCI-DSS zertifiziert. Vollständige Zahlungsdaten (z. B. Kartennummern) werden nicht auf unseren Servern gespeichert.

Datenübertragung: Daten werden an Stripe in Irland (EU) übertragen; bei bestimmten Zahlungsmethoden können weitere Stripe-Partner (z. B. Klarna, PayPal) eingebunden sein.

Speicherdauer: Stripe speichert die Daten gemäß eigener Datenschutzbestimmungen. Bei uns gespeicherte Buchungs- und Rechnungsdaten unterliegen gesetzlichen Aufbewahrungspflichten (bis zu 10 Jahre).

Weitere Informationen: https://stripe.com/de/privacy

IV. Zahlungsabwicklung durch PayPal (Partnerdienst)

Alternativ oder ergänzend zu Stripe können Veranstalter ihr PayPal Business-Konto über die PayPal Commerce Platform (Powered by PayPal) mit Orbance verknüpfen. Endkunden können dann im Ticket-Shop per PayPal bezahlen; die Zahlung erfolgt direkt über PayPal an den Veranstalter.

Verarbeitete Daten:

• PayPal-Kontokennungen des Veranstalters (Merchant-ID, Verbindungsstatus)
• Transaktions- und Bestellreferenzen (Betrag, Status, Zeitpunkt)
• Name und E-Mail-Adresse des Käufers (soweit von PayPal an uns übermittelt)
• IP-Adresse und technische Metadaten der Checkout-Sitzung

Zweck: Abwicklung von Ticketzahlungen über PayPal; Einzug der Orbance-Plattformgebühr im Checkout

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); Art. 28 DSGVO (Auftragsverarbeitung zugunsten des Veranstalters)

Datenübertragung: Daten werden an PayPal (Europe) S.à r.l. et Cie, S.C.A., 22–24 Boulevard Royal, L-2449 Luxemburg, übertragen.

Speicherdauer: Verbindungs- und Transaktionsreferenzen bei uns gemäß gesetzlicher Aufbewahrungspflichten; Zahlungsdaten bei PayPal gemäß PayPal-Datenschutz.

Weitere Informationen: https://www.paypal.com/de/webapps/mpp/ua/privacy-full

V. Karten- und Standortdienste durch Apple Maps

Für die Anzeige von Karten und Standortdiensten verwenden wir Apple Maps (MapKit JS), einen Dienst von Apple Inc., One Apple Park Way, Cupertino, CA 95014, USA.

Verarbeitete Daten:

• Suchanfragen nach Adressen und Orten (anonymisiert mit zufälligen Identifikatoren, nicht mit Apple ID verknüpft)
• Ungefähre Standortdaten (über IP-Adresse zur Bestimmung der ungefähren Position, anonymisiert)
• Kartendaten und Geodaten

Zweck: Bereitstellung von Karten- und Standortdiensten, Anzeige von Veranstaltungsorten, Routenplanung

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse an der Bereitstellung von Standortdiensten)

Datenschutz: Apple Maps ist datenschutzfreundlich konzipiert. Die erfassten Daten werden anonymisiert verarbeitet und sind nicht mit Ihrer Apple ID oder anderen persönlichen Identifikatoren verknüpft. Suchanfragen werden mit zufälligen Identifikatoren verknüpft, die regelmäßig zurückgesetzt werden. Standortdaten werden nach 24 Stunden "gefuzzt" (unschärfer gemacht) und Apple speichert keine Suchhistorie.

Datenübertragung: Daten werden an Apple Inc. in den USA übertragen. Apple ist unter dem EU-US Data Privacy Framework zertifiziert. Apple sammelt oder speichert keine personenbezogenen Daten im Zusammenhang mit der Maps-Nutzung über MapKit JS.

Speicherdauer: Apple speichert keine Suchhistorie. Die anonymisierten Daten werden gemäß den Datenschutzbestimmungen von Apple verarbeitet.

Weitere Informationen finden Sie in der Datenschutzerklärung von Apple: https://www.apple.com/de/privacy/

VI. Apple Wallet und Google Wallet (E-Ticket-Pässe)

Ticketinhaber können E-Tickets als digitale Pässe in Apple Wallet bzw. Google Wallet speichern. Dafür werden passende Wallet-Daten erzeugt und an die jeweiligen Wallet-Dienste übermittelt.

Verarbeitete Daten:

• Name des Ticketinhabers, Veranstaltungsname, Datum, Ort, Sitzplatz-/Ticketinformationen
• Ticket- bzw. Buchungsreferenz, Barcode oder QR-Code-Daten
• Gerätekennungen für Push-Benachrichtigungen zu Pass-Updates (Apple Push Notification Service, APNS)
• Technische Metadaten zur Pass-Erzeugung und -Aktualisierung

Zweck: Bereitstellung digitaler Wallet-Tickets, Aktualisierung von Pass-Inhalten (z. B. bei Änderungen), verbesserte Nutzererfahrung am Veranstaltungstag

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Bereitstellung des gebuchten Tickets)

Datenübertragung: Apple Wallet: Apple Inc., One Apple Park Way, Cupertino, CA 95014, USA (EU-US Data Privacy Framework); Google Wallet: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

Speicherdauer: Passdaten bei uns solange die Buchung besteht; Wallet-Daten auf dem Endgerät und bei Apple/Google gemäß deren Richtlinien.

Weitere Informationen: Apple Datenschutz · Google Datenschutz

VII. E-Mail-Versand (SMTP)

Für transaktionale E-Mails (z. B. Buchungsbestätigungen, Tickets, Magic Links, Einladungen, Wartelisten-Benachrichtigungen, Support-Antworten) erfolgt der Versand über SMTP – entweder über von uns betriebenen E-Mail-Dienst oder über vom Veranstalter optional hinterlegte SMTP-Server. Der technische Versand kann im Auftrag des Veranstalters über dessen Konfiguration erfolgen; rechtlich Verantwortlicher für Absender, Inhalt und Rechtsgrundlage der Nachrichten bleibt der jeweilige Veranstalter bzw. unsere Plattform-Kundin bzw. unser Plattform-Kunde, soweit er die Inhalte bestimmt.

Verarbeitete Daten:

• E-Mail-Adresse des Empfängers, Absendername und -adresse
• Betreff und Inhalt der Nachricht (inkl. personalisierter Ticket- oder Buchungsdaten)
• Versandzeitpunkt, Zustellstatus und technische SMTP-Protokolldaten
• Bei Kunden-SMTP: vom Veranstalter hinterlegte Server-Zugangsdaten (verschlüsselt gespeichert); der Veranstalter ist für die Rechtmäßigkeit der SMTP-Nutzung verantwortlich

Zweck: Zustellung vertragsrelevanter und servicebezogener Mitteilungen im Auftrag des Veranstalters bzw. zur Plattformnutzung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); bei Marketing-E-Mails Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), sofern zutreffend

Speicherdauer: Versandprotokolle für einen begrenzten Zeitraum zur Fehleranalyse; Inhalte transaktionaler E-Mails nicht dauerhaft bei uns gespeichert, sofern nicht aus rechtlichen Gründen erforderlich.

VIII. PDF-Erzeugung (interner Dienst)

Zur Erstellung von Ticket-PDFs, Belegen oder anderen Dokumenten nutzen wir einen internen PDF-Erzeugungsdienst, der auf unserer Infrastruktur bei Hetzner betrieben wird.

Verarbeitete Daten:

• In den PDF übernommene Buchungs- und Ticketdaten (Name, Veranstaltung, Preis, QR-Code)
• Organisations- und Layoutinformationen (Logo, Texte)
• Technische Anfragemetadaten (Zeitpunkt, interne Job-ID)

Zweck: Bereitstellung druckbarer und archivierbarer Ticket- und Belegdokumente

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Speicherdauer: PDFs werden für den Download bereitgestellt und nicht dauerhaft auf dem PDF-Dienst vorgehalten; gespeicherte Buchungsdaten unterliegen unseren regulären Aufbewahrungsfristen.