zwischen
EventSync UG (haftungsbeschränkt)
Dresdner Str. 12, 69181 Leimen, Deutschland
Handelsregister: HRB 751208 – Amtsgericht Mannheim
USt-IdNr.: DE368176249
vertreten durch Moritz Biedenbach
(im Folgenden „EventSync“ oder „Auftragsverarbeiter“)
und
dem Nutzer der Plattform EventSync.io
(im Folgenden „Nutzer“)
gemeinsam „Parteien“ genannt.
1. EventSync stellt dem Nutzer eine cloudbasierte Softwareplattform bereit, mit der Veranstaltungen, Teilnehmer- und Ticketdaten digital organisiert, verwaltet und ausgewertet werden können.
2. Die Verarbeitung personenbezogener Daten erfolgt ausschließlich im Auftrag und nach dokumentierten Weisungen des Nutzers gemäß Art. 28 DSGVO.
3. Der Nutzer bleibt Verantwortlicher im Sinne der DSGVO. EventSync handelt ausschließlich als Auftragsverarbeiter.
4. Dieser Vertrag ist Bestandteil der AGB von EventSync und gilt für die Dauer der aktiven Nutzung der Plattform. Er endet automatisch mit der Löschung des Nutzerkontos.
5. Bei Widersprüchen zwischen diesem Vertrag und den AGB gehen die Regelungen dieses Vertrags für Datenschutzfragen vor.
1. Verarbeitungsvorgänge: Speicherung und Verwaltung von Teilnehmer- und Ticketdaten, Versand automatisierter E-Mails (z. B. Bestätigungen), technische Protokollierung (Log- und IP-Daten).
2. Zweck: Erfüllung der vom Nutzer über die Plattform bereitgestellten Veranstaltungs- und Ticketdienstleistungen.
3. EventSync hat keinen Zugriff auf vollständige Karten- oder Kontodaten; diese werden ausschließlich vom jeweiligen Zahlungsdienstleister (z. B. Stripe) verarbeitet. PCI-DSS-Pflichten liegen beim PSP.
4. Verarbeitung erfolgt grundsätzlich innerhalb der EU/EWR; Drittlandübermittlungen nur nach § 9.
1. EventSync verarbeitet Daten nur nach dokumentierten Weisungen des Nutzers.
2. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.
3. Erkennt EventSync, dass eine Weisung rechtswidrig ist, weist es den Nutzer hierauf hin und darf die Ausführung verweigern.
Alle mit der Verarbeitung betrauten Personen sind verpflichtet, personenbezogene Daten vertraulich zu behandeln und entsprechend geschult sowie auf das Datengeheimnis verpflichtet.
1. EventSync setzt geeignete Maßnahmen gemäß Art. 32 DSGVO um.
2. Die aktuellen TOMs sind in Anhang 1 beschrieben.
3. Zugriff auf Systeme erfolgt nach dem Prinzip „Least Privilege“.
4. Notfall- und Wiederherstellungspläne werden regelmäßig getestet und protokolliert.
EventSync informiert den Nutzer unverzüglich, spätestens innerhalb von 24 Stunden, über Verletzungen des Schutzes personenbezogener Daten. Die Meldung enthält Art des Vorfalls, betroffene Daten, Folgen und Maßnahmen.
EventSync unterstützt den Nutzer bei Datensicherheitsmaßnahmen, Meldungen an Behörden und Betroffene sowie bei Datenschutz-Folgenabschätzungen und Konsultationen (Art. 32–36 DSGVO).
1. Der Nutzer bearbeitet Anfragen betroffener Personen eigenständig.
2. EventSync unterstützt den Nutzer technisch und stellt Informationen und Protokolle bereit, die für Meldungen nach Art. 33 und 34 DSGVO erforderlich sind.
1. EventSync darf Subauftragsverarbeiter nur nach vorheriger Information des Nutzers einsetzen. Aktuelle Liste: https://eventsync.io/subprocessors.
2. Der Nutzer kann innerhalb von 14 Tagen nach Benachrichtigung widersprechen. EventSync kann eine zumutbare Alternative anbieten; ist das nicht möglich, können beide Parteien den betroffenen Vertragsteil außerordentlich kündigen.
3. EventSync verpflichtet alle Subauftragsverarbeiter vertraglich zur Einhaltung dieses Vertrags.
4. Bei Übermittlungen in Drittländer werden geeignete Garantien nach Art. 44 ff. DSGVO verwendet (Standardvertragsklauseln („SCCs“) einschließlich künftiger Fassungen, Angemessenheitsbeschlüsse oder Binding Corporate Rules).
1. Der Nutzer kann die Einhaltung dieses Vertrags prüfen.
2. EventSync stellt geeignete Nachweise zur Verfügung (Auditberichte, TOM-Doku, Zertifikate).
3. Prüfungen dürfen maximal einmal jährlich und mit angemessenem Vorlauf erfolgen; Kosten trägt der Nutzer bei außergewöhnlichem Aufwand.
4. Zugriffe im Rahmen von Support oder Wartung erfolgen ausschließlich zweckgebunden, minimal und werden protokolliert.
EventSync informiert den Nutzer vor einer offiziellen Datenherausgabe, soweit rechtlich zulässig, und übermittelt nur die erforderlichen Informationen.
Alle personenbezogenen Daten bleiben im Eigentum des Nutzers. EventSync hat kein Zurückbehaltungsrecht und verarbeitet die Daten ausschließlich zur Vertragserfüllung.
1. Nach Vertragsende oder auf Weisung löscht oder gibt EventSync alle personenbezogenen Daten zurück, sofern keine gesetzliche Aufbewahrungspflicht besteht.
2. Produktive Daten werden innerhalb von 7 Tagen, Backups innerhalb von 30 Tagen gelöscht.
3. EventSync dokumentiert die Löschung und stellt auf Anfrage eine Löschbestätigung bereit.
1. EventSync haftet für Verstöße gegen die DSGVO oder diesen Vertrag nach Art. 82 DSGVO.
2. Für Pflichtverletzungen von Subauftragsverarbeitern haftet EventSync wie für eigene.
3. Der Nutzer bleibt Hauptverantwortlicher für die Rechtmäßigkeit der Verarbeitung; EventSync haftet nur für eigene Pflichtverletzungen.
Für zusätzliche Unterstützungs- oder Auditleistungen kann EventSync eine angemessene Vergütung nach tatsächlichem Aufwand verlangen.
1. Änderungen oder Ergänzungen dieses Vertrags bedürfen der Textform.
2. Sollte eine Bestimmung unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
3. Es gilt deutsches Recht; Gerichtsstand ist Mannheim.
4. Der Vertrag kann elektronisch geschlossen werden (z. B. durch Zustimmung bei Registrierung oder im Nutzerkonto).
Eine aktuelle Liste aller Subauftragsverarbeiter findest du auf unserer Subprocessors-Seite.