Dieses Dokument wird versioniert ausgeliefert. Die nachfolgenden Abschnitte sind für eine bessere Lesbarkeit gegliedert, ohne die semantische Dokumentstruktur zu verändern.
Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO
EVUSION Event Solutions UG (haftungsbeschränkt)
Stand: April 2026
Präambel
Dieser Auftragsverarbeitungsvertrag ergänzt den Hauptvertrag über die Nutzung der EVUSION-Plattform. Er konkretisiert die datenschutzrechtlichen Pflichten zwischen dem Verantwortlichen und EVUSION als Auftragsverarbeiter gemäß Art. 28 DSGVO.
§ 1 Gegenstand und Dauer
- Gegenstand ist die Verarbeitung personenbezogener Daten im Rahmen der Bereitstellung der EVUSION-Plattform für Event-Management, Teilnehmerverwaltung, Kommunikation und künftig aktivierbare Ticketing- und Zahlungsfunktionen.
- Die Laufzeit richtet sich nach dem Hauptvertrag.
- Eine Verarbeitung erfolgt grundsätzlich innerhalb der EU/des EWR; Drittlandübermittlungen erfolgen nur unter den Voraussetzungen der Art. 44 ff. DSGVO.
§ 2 Umfang, Art und Zweck der Verarbeitung
Verarbeitungszwecke
- Event-Erstellung und Event-Verwaltung
- Teilnehmerregistrierung und Gästemanagement
- Kommunikation mit Teilnehmern
- Check-in und Zugangskontrolle
- Reporting, Statistik und Support
Datenkategorien
- Stammdaten und Kontaktdaten
- Account- und Login-Daten
- Event-, Teilnahme- und Kommunikationsdaten
- Protokoll- und Nutzungsdaten
- Buchungs- und Transaktionsdaten bei aktivierten Zahlungsfunktionen
Betroffene Personen
- Veranstalter und deren Mitarbeitende
- Teilnehmer und Ticketkäufer
- Dienstleister und Lieferanten
- sonstige Kontaktpersonen im Event-Kontext
§ 3 Pflichten des Auftragsverarbeiters
- Verarbeitung ausschließlich auf dokumentierte Weisung
- Verpflichtung aller befugten Personen auf Vertraulichkeit
- Umsetzung geeigneter technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO
- Unterstützung bei Betroffenenrechten, Datenschutzverletzungen und Datenschutz-Folgenabschätzungen
- Nachweis- und Auskunftspflichten gegenüber dem Verantwortlichen
§ 4 Pflichten des Verantwortlichen
- Verantwortlichkeit für Rechtmäßigkeit und Transparenz der Verarbeitung
- rechtzeitige und dokumentierte Weisungen
- Benennung eines Ansprechpartners für Datenschutzfragen
- Information der betroffenen Personen nach Art. 13 und 14 DSGVO
§ 5 Unterauftragsverarbeiter
Der Verantwortliche genehmigt den Einsatz folgender Unterauftragsverarbeiter:
| Dienstleister | Zweck | Standort |
|---|---|---|
| IONOS SE | Server-Hosting und Infrastruktur | Deutschland |
| Brevo (Sendinblue GmbH) | E-Mail-Versand | Deutschland/EU |
| IONOS SE (AI Model Hub) | KI-gestützte Assistenzfunktionen | Deutschland |
Folgende Dienste werden eigenverantwortlich oder self-hosted betrieben und sind keine klassischen Unterauftragsverarbeiter im Sinne dieser Anlage:
- Stripe als eigenständig Verantwortlicher für Zahlungsabwicklung bei aktivierten Zahlungsfunktionen
- self-hosted Keycloak, PostgreSQL, MinIO, Valkey/Redis, Gotenberg, Temporal und Meilisearch auf eigener Infrastruktur in Deutschland
§ 6 Betroffenenrechte
- Betroffenenrechte sind grundsätzlich gegenüber dem Verantwortlichen geltend zu machen
- EVUSION unterstützt mit technischen und organisatorischen Maßnahmen
- direkt eingehende Betroffenenanfragen werden unverzüglich weitergeleitet
§ 7 Technische und organisatorische Maßnahmen
EVUSION setzt insbesondere folgende Maßnahmen um:
- rollenbasierte Zugriffskontrolle und minimale Rechte
- TLS-gesicherte Übertragung
- Audit-Logging und Eingabevalidierung
- verschlüsselte Speicherung sensibler Daten und sicheres Passwort-Hashing
- regelmäßige Backups, Monitoring, Rate-Limiting und Incident-Response-Prozesse
- regelmäßige Sicherheitsprüfungen und dokumentierte Datenschutzprozesse
§ 8 Kontrollrechte
- Der Verantwortliche kann Nachweise und Informationen zur Einhaltung anfordern
- Vor-Ort-Inspektionen erfolgen nur mit angemessener Vorankündigung und unter Wahrung betrieblicher Sicherheitsinteressen
- EVUSION kann Nachweise auch durch Berichte, Testate oder Audit-Auszüge unabhängiger Dritter erbringen
§ 9 Datenschutzverletzungen
- Meldung relevanter Datenschutzverletzungen unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden
- Unterstützung bei Meldungen nach Art. 33 und 34 DSGVO
- Dokumentation, Eindämmung und Nachbereitung des Vorfalls
§ 10 Löschung und Rückgabe
- Nach Vertragsende kann der Verantwortliche innerhalb einer Übergangsfrist einen Datenexport anfordern
- anschließend erfolgt Löschung, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen
- gesperrte Daten werden nach Ablauf gesetzlicher Fristen gelöscht
§ 11 Haftung
- Die Haftung richtet sich nach Art. 82 DSGVO und den Regelungen des Hauptvertrags
- EVUSION haftet insbesondere bei Verstößen gegen speziell an den Auftragsverarbeiter gerichtete DSGVO-Pflichten oder bei Verarbeitung entgegen rechtmäßiger Weisungen
§ 12 Schlussbestimmungen
- Änderungen und Ergänzungen bedürfen der Text- oder Schriftform entsprechend dem Hauptvertrag
- Bei Widersprüchen gehen die Regelungen dieses AVV für datenschutzbezogene Pflichten vor
- Es gilt deutsches Recht
Kontakt
Fragen zur Auftragsverarbeitung richten Sie bitte an kontakt@evusion.com.