Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO
EVUSION Event Solutions UG (haftungsbeschränkt)
Stand: 19. Juni 2026
Präambel
Dieser Auftragsverarbeitungsvertrag (nachfolgend "AVV") ergänzt den Hauptvertrag zwischen dem Verantwortlichen (nachfolgend "Auftraggeber") und der EVUSION Event Solutions UG (haftungsbeschränkt), Torf 10, 59581 Warstein (nachfolgend "Auftragsverarbeiter" oder "EVUSION") über die Nutzung der EVUSION-Plattform. Er konkretisiert die Pflichten der Vertragsparteien gemäß Art. 28 DSGVO und ergänzenden Vorgaben des BDSG.
§ 1 Gegenstand, Dauer und Verarbeitungsort
- Gegenstand des AVV ist die Verarbeitung personenbezogener Daten durch EVUSION im Auftrag des Auftraggebers im Rahmen der Bereitstellung der EVUSION-Plattform für Event-Management, Teilnehmer- und Gästemanagement, Kommunikation, Check-in sowie optional aktivierbare Ticketing-, Assistenz- und Zahlungsfunktionen.
- Die Dauer dieses AVV entspricht der Laufzeit des Hauptvertrags. Pflichten aus diesem AVV, die nach Vertragsende fortgelten (insbesondere Vertraulichkeit, Löschung, Rückgabe), bleiben hiervon unberührt.
- Die Verarbeitung erfolgt grundsätzlich in Rechenzentren innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums (EU/EWR). Übermittlungen in Drittländer sind nur unter den Voraussetzungen der Art. 44 ff. DSGVO und insbesondere auf Grundlage der Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914 sowie – soweit anwendbar – des EU-US Data Privacy Framework zulässig.
§ 2 Umfang, Art und Zweck der Verarbeitung; Datenkategorien; Betroffene
2.1 Umfang und Zweck
Umfang und Zweck der Verarbeitung ergeben sich aus dem Hauptvertrag sowie den dort vereinbarten Leistungsbeschreibungen. Sie umfassen insbesondere:
- Event-Erstellung, Sitzplatz-, Gäste- und Teilnehmerverwaltung,
- Versand transaktionaler Nachrichten (E-Mail, ggf. SMS, In-App-Benachrichtigungen),
- Check-in, Zutritts- und Anwesenheitsverwaltung,
- Reporting, Statistik, Support und Plattform-Administration,
- optional aktivierte Assistenzfunktionen sowie Ticketing- und Zahlungsfunktionen.
2.2 Art der Verarbeitung
Erheben, Erfassen, Organisieren, Speichern, Anpassen, Auslesen, Abfragen, Verwenden, Übermitteln, Verknüpfen, Einschränken, Löschen und Vernichten – soweit dies zur Leistungserbringung erforderlich ist.
2.3 Datenkategorien
- Stamm- und Kontaktdaten (Name, E-Mail, Telefon, Anschrift),
- Account- und Login-Daten,
- Event-, Teilnahme-, Anwesenheits- und Kommunikationsdaten,
- Eingaben und maschinell unterstützte Inhalte, soweit der Auftraggeber Assistenzfunktionen aktiviert,
- Protokoll-, Sicherheits- und Nutzungsdaten,
- Buchungs- und Transaktionsdaten bei aktivierten Zahlungsfunktionen,
- in begrenztem Umfang besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO, soweit Betroffene diese freiwillig im Rahmen einer Veranstaltung angeben (z. B. Allergien, Barrierefreiheitsbedarf).
2.4 Betroffene Personen
- Veranstalter und deren Mitarbeitende,
- Teilnehmende, Gäste und Ticketkäufer,
- Dienstleister, Aussteller, Sponsoren und Lieferanten,
- sonstige im Event-Kontext erfasste Kontaktpersonen.
§ 3 Pflichten des Auftragsverarbeiters
EVUSION verpflichtet sich insbesondere zu:
- Verarbeitung ausschließlich auf dokumentierte Weisung des Auftraggebers (Art. 28 Abs. 3 lit. a DSGVO); abweichende gesetzliche Verpflichtungen werden vorab mitgeteilt, soweit dies rechtlich zulässig ist.
- Vertraulichkeit: schriftliche oder elektronisch nachweisbare Verpflichtung aller zur Verarbeitung befugten Personen zur Vertraulichkeit oder Bindung an eine angemessene gesetzliche Verschwiegenheitspflicht.
- Umsetzung und Aufrechterhaltung geeigneter technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO (siehe § 7).
- Unterstützung des Auftraggebers bei der Erfüllung von Betroffenenrechten, Datenschutzfolgenabschätzungen (Art. 35, 36 DSGVO) sowie bei Meldungen nach Art. 33 und 34 DSGVO.
- Information des Auftraggebers, wenn eine Weisung nach Auffassung des Auftragsverarbeiters gegen Datenschutzrecht verstößt.
- Bereitstellung aller erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten.
- Benennung eines Ansprechpartners für Datenschutzfragen; ein etwaiger Datenschutzbeauftragter wird auf Anfrage benannt.
§ 4 Pflichten des Auftraggebers
- Der Auftraggeber ist als Verantwortlicher für die Rechtmäßigkeit der Verarbeitung sowie die Wahrung der Rechte der Betroffenen verantwortlich.
- Er erteilt Weisungen grundsätzlich in Textform; mündliche Weisungen werden unverzüglich dokumentiert.
- Er informiert die betroffenen Personen nach Art. 13 und 14 DSGVO und stellt die erforderlichen Rechtsgrundlagen sicher.
- Er benennt einen Ansprechpartner für Datenschutzfragen.
§ 5 Unterauftragsverarbeiter
- Der Auftraggeber erteilt EVUSION eine allgemeine schriftliche Genehmigung zum Einsatz von Unterauftragsverarbeitern im Sinne von Art. 28 Abs. 2 DSGVO. EVUSION informiert den Auftraggeber rechtzeitig über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern; der Auftraggeber kann begründet widersprechen.
- EVUSION verpflichtet die Unterauftragsverarbeiter zu denselben Datenschutzpflichten, die dieser AVV vorsieht.
- Aktuelle Unterauftragsverarbeiter (Stand: 19. Juni 2026):
| Dienstleister | Zweck | Standort | Drittlandbezug |
|---|---|---|---|
| IONOS SE, Montabaur (Rechenzentren Deutschland) | Server-Hosting, Storage, Netzwerk-Infrastruktur | Deutschland | nein |
| IONOS SE | optionale Assistenzfunktionen (Text, Bild) | Deutschland | nein |
| Sendinblue Germany GmbH (Brevo) | transaktionaler und – sofern aktiviert – Marketing-E-Mail-Versand | Deutschland/EU | nein |
- Eigenbetriebene Plattformkomponenten werden auf kontrollierter Infrastruktur betrieben und stellen keine separaten externen Unterauftragsverarbeiter dar. Informationen zu Schutzmaßnahmen und Datenflüssen werden berechtigten Vertragspartnern im Rahmen der Vertrags- und Datenschutzunterlagen bereitgestellt.
- Stripe Payments Europe Ltd. (Irland) ist bei aktivierten Zahlungsfunktionen eigenständig Verantwortlicher im Sinne der DSGVO für die Zahlungsabwicklung und Betrugsprävention. Soweit eine Übermittlung an Stripe Inc. (USA) erfolgt, geschieht dies auf Grundlage der Standardvertragsklauseln und – soweit zertifiziert – des EU-US Data Privacy Framework.
§ 6 Betroffenenrechte
- Anfragen Betroffener sind grundsätzlich gegenüber dem Auftraggeber geltend zu machen.
- EVUSION unterstützt den Auftraggeber durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung der Rechte aus Art. 15 bis 22 DSGVO.
- Wendet sich eine betroffene Person unmittelbar an EVUSION, leitet EVUSION die Anfrage unverzüglich an den Auftraggeber weiter.
§ 7 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
EVUSION setzt insbesondere folgende Maßnahmen um und passt sie an den Stand der Technik an:
- Zutritts- und Zugangskontrolle: Rechenzentren mit Zutrittskontrolle, MFA-geschützte administrative Zugänge, rollen- und attributbasierte Zugriffskontrolle ("least privilege").
- Übertragungs- und Eingabekontrolle: TLS 1.2/1.3-Verschlüsselung in Transit, Eingabevalidierung, vollständige Audit-Logs sicherheitsrelevanter Ereignisse.
- Verfügbarkeits- und Belastbarkeitskontrolle: redundante Infrastruktur, regelmäßige Backups, Monitoring, Rate-Limiting, dokumentierter Incident-Response-Prozess, regelmäßige Tests der Wiederherstellung.
- Vertraulichkeit und Integrität: Festplatten- und Backup-Verschlüsselung im Ruhezustand, Passwort-Hashing nach Stand der Technik, segmentierte Netzwerkstrukturen.
- Auftragskontrolle: dokumentierte Auswahl- und Überprüfungsverfahren für Unterauftragsverarbeiter, vertragliche Verpflichtung, regelmäßige Überprüfung.
- Datenschutzmanagement: dokumentierte Datenschutzprozesse, Schulungen, regelmäßige Audits, Verfahren zur Reaktion auf Anfragen von Aufsichtsbehörden.
Die Maßnahmen sind in einem TOM-Dokument detailliert beschrieben und werden auf Anfrage des Auftraggebers zur Verfügung gestellt.
§ 8 Kontrollrechte
- Der Auftraggeber kann die Einhaltung der Pflichten durch geeignete Nachweise, insbesondere durch Vorlage des aktuellen TOM-Dokuments sowie ggf. durch Zertifikate oder Prüfberichte unabhängiger Dritter, überprüfen.
- Soweit dies nicht ausreichend ist, kann der Auftraggeber nach angemessener Vorankündigung (in der Regel mindestens 30 Tage) und während üblicher Geschäftszeiten eine Vor-Ort-Kontrolle durchführen. Die Kontrolle hat die betrieblichen Abläufe und Sicherheitsinteressen von EVUSION zu wahren.
- Die Kosten einer Vor-Ort-Kontrolle trägt der Auftraggeber, sofern die Kontrolle nicht durch einen begründeten Verdacht auf einen Verstoß durch EVUSION veranlasst ist.
§ 9 Datenschutzverletzungen
- EVUSION meldet Datenschutzverletzungen im Sinne von Art. 4 Nr. 12 DSGVO, die personenbezogene Daten des Auftraggebers betreffen, unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden, an den Auftraggeber.
- Die Meldung enthält mindestens die Informationen nach Art. 33 Abs. 3 DSGVO, soweit verfügbar.
- EVUSION unterstützt den Auftraggeber bei der Erfüllung seiner Meldepflichten gegenüber Aufsichtsbehörden (Art. 33 DSGVO) und Betroffenen (Art. 34 DSGVO) sowie bei der Dokumentation, Eindämmung und Aufarbeitung des Vorfalls.
§ 10 Löschung und Rückgabe
- Nach Beendigung des Hauptvertrags löscht EVUSION sämtliche personenbezogenen Daten des Auftraggebers nach Wahl des Auftraggebers oder gibt sie zurück, sofern und soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
- Der Auftraggeber kann innerhalb einer angemessenen Frist (in der Regel 30 Tage) einen strukturierten Export der Daten in einem gängigen, maschinenlesbaren Format anfordern.
- Anschließend werden die Daten gemäß einem dokumentierten Löschkonzept gelöscht. Backup- und Object-Lock-Sicherungen werden ausschließlich für Wiederherstellung und Nachweiszwecke vorgehalten und gemäß dokumentiertem Backup-Zyklus sowie konfigurierten Object-Lock-Fristen überschrieben oder gelöscht; bis dahin werden die Daten gegen weitere Verarbeitung gesperrt.
- Daten, die aufgrund handels- oder steuerrechtlicher Pflichten weiter aufbewahrt werden müssen, werden bis zum Ablauf der gesetzlichen Fristen ausschließlich zu Aufbewahrungszwecken eingeschränkt verarbeitet.
§ 11 Haftung
- Die Haftung der Parteien richtet sich nach Art. 82 DSGVO und den ergänzenden Regelungen des Hauptvertrags.
- EVUSION haftet nach Art. 82 Abs. 2 Satz 2 DSGVO insbesondere bei Verstößen gegen speziell an Auftragsverarbeiter gerichtete Pflichten der DSGVO oder bei Verarbeitung entgegen rechtmäßiger Weisungen des Auftraggebers.
§ 12 Schlussbestimmungen
- Änderungen und Ergänzungen dieses AVV bedürfen der Textform und sind als solche zu kennzeichnen.
- Bei Widersprüchen zwischen diesem AVV und den Regelungen des Hauptvertrags gehen die Regelungen dieses AVV in datenschutzrechtlicher Hinsicht vor.
- Sollten einzelne Bestimmungen unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
- Es gilt deutsches Recht. Gerichtsstand ist – soweit gesetzlich zulässig – Arnsberg.
Kontakt
Fragen zur Auftragsverarbeitung richten Sie bitte an privacy@evusion.com oder an die im Impressum genannten Adressen.
Stand: 19. Juni 2026