Datenschutzerklärung für EVUSION
Informationen gemäß Art. 13 und 14 DSGVO • Stand: 2. Juli 2026
1. Einleitung und Geltungsbereich
Der Schutz Ihrer personenbezogenen Daten ist für uns ein zentrales Anliegen. Wir verarbeiten Ihre Daten ausschließlich auf Grundlage der gesetzlichen Bestimmungen, insbesondere der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG), des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG) und des Digitale-Dienste-Gesetzes (DDG).
Diese Datenschutzerklärung gilt für die Website evusion.com, alle zugehörigen Subdomains, die EVUSION-Web-Anwendung sowie unsere mobilen Anwendungen für Android und iOS.
2. Verantwortlicher
EVUSION Event Solutions UG (haftungsbeschränkt) Torf 10 59581 Warstein Deutschland
Handelsregister: HRB 16411, Amtsgericht Arnsberg Umsatzsteuer-ID: DE461859185 Geschäftsführer: Alessandro Piras
Kontakt für Datenschutzanfragen: E-Mail: privacy@evusion.com Telefon: +49 155 61494918
3. Datenschutzbeauftragter
Eine gesetzliche Pflicht zur Benennung eines betrieblichen Datenschutzbeauftragten nach Art. 37 DSGVO bzw. § 38 BDSG besteht derzeit nicht. Datenschutzanliegen werden unmittelbar von der Geschäftsführung bearbeitet. Sobald die gesetzlichen Schwellen erreicht werden, benennen wir einen Datenschutzbeauftragten und aktualisieren diese Erklärung.
4. Minderjährige und Einwilligungen nach Art. 8 DSGVO
EVUSION richtet sich nicht an Kinder unter 16 Jahren als eigenständig handelnde Nutzer. Organisieren Schulen, Bildungseinrichtungen oder private Veranstalter Events mit Minderjährigen, liegt die Verantwortung für altersgerechte Information und erforderliche Einwilligungen bei der jeweiligen verantwortlichen Stelle. Für Dienste der Informationsgesellschaft, die unmittelbar einem Kind angeboten werden und auf Einwilligung beruhen, ist nach Art. 8 DSGVO in Verbindung mit § 22a BDSG die Einwilligung des Trägers der elterlichen Verantwortung erforderlich, solange das Kind das 16. Lebensjahr noch nicht vollendet hat. EVUSION unterstützt dies durch getrennte Pflichtfelder, Einwilligungstexte und dokumentierte Zeitpunkte, ersetzt aber keine Prüfung durch die verantwortliche Stelle.
5. Kategorien verarbeiteter Daten
5.1 Automatisch erhobene Daten (Server- und Anwendungs-Logs)
Bei jedem Aufruf werden technisch notwendige Verbindungsdaten verarbeitet:
- IP-Adresse (nach maximal 7 Tagen gekürzt oder durch Hash ersetzt)
- Datum und Uhrzeit des Zugriffs
- aufgerufene Ressource und HTTP-Statuscode
- Referrer-URL
- Browser, Betriebssystem und Spracheinstellung
- übertragene Datenmenge
- Request-ID, Trace-ID, Span-ID und pseudonymisierte Korrelationskennungen für technische Fehleranalyse, Sicherheit, Missbrauchsprävention und Zuordnung von Hintergrundprozessen
5.2 Bei Registrierung und Nutzung
- E-Mail-Adresse, Vor- und Nachname
- Passwort ausschließlich als Argon2-Hash
- optional Profilbild, Telefonnummer, Firma, Anschrift und USt-IdNr.
- erstellte Events, Sessions, Gästelisten und Eventinhalte
- Einwilligungs- und Annahmedokumentation für Rechtstexte
- bei optionalen Assistenzfunktionen: Eingaben und Ergebnisse
- Buchungen, Tickets, Rechnungen und Zahlungsstatus nach Aktivierung der Zahlungsfunktion
- technische Prozess- und Workflow-Metadaten, soweit sie zur Ausführung, Nachvollziehbarkeit und Fehlerbehebung von Bestellungen, Ticket-Erstellung, E-Mail-Versand, Datenexporten, Löschprozessen oder vergleichbaren Plattformprozessen erforderlich sind
5.3 Bei Kontaktaufnahme
Kontaktdaten (E-Mail, ggf. Telefon), Inhalt und Zeitpunkt Ihrer Nachricht sowie zugeordnete Bearbeitungsvermerke.
5.4 Bei elektronischen Widerrufserklärungen
Wenn Sie die elektronische Widerrufsfunktion nutzen, verarbeiten wir die für den Widerruf erforderlichen Angaben: Name, E-Mail-Adresse bzw. elektronisches Kommunikationsmittel, Angaben zur Identifizierung des betroffenen Vertrags, Zeitpunkt des Eingangs sowie den Bearbeitungs- und Bestätigungsstatus. Die Verarbeitung dient der Entgegennahme, Zuordnung, Bestätigung und rechtlichen Dokumentation Ihrer Widerrufserklärung.
5.5 Cookies und vergleichbare Technologien
Details zu eingesetzten Cookies, lokalen Speichern und Einwilligungen finden Sie in unserer Cookie-Richtlinie. Der Zugriff auf Endeinrichtungen erfolgt ausschließlich nach den Vorgaben des § 25 TDDDG.
6. Zwecke der Verarbeitung
- Vertragserfüllung: Bereitstellung der Plattform, Event-Management, Gäste- und Ticket-Verwaltung
- Kommunikation: Beantwortung von Anfragen, Versand von Service-Benachrichtigungen zu Ihren Events
- Widerrufs- und Vertragsprozesse: Entgegennahme, Bestätigung, Zuordnung und Bearbeitung elektronischer Widerrufserklärungen
- Sicherheit: Schutz vor Missbrauch, Betrug, DDoS und Bot-Verkehr, Gewährleistung der IT-Sicherheit
- Betrieb und Observability: Fehleranalyse, Performance- und Verfügbarkeitsüberwachung, technische Nachvollziehbarkeit von Requests, Hintergrundprozessen und Zahlungs-/Ticketing-Flows über pseudonymisierte Request-, Trace- und Workflow-Kennungen
- Optimierung: aggregierte oder anonymisierte Auswertungen zur Verbesserung von Plattform und Performance
- Assistenzfunktionen: auf Anforderung Erstellung von Event-Texten, Strukturvorschlägen, Farbpaletten und Event-Bildern
- Rechtliche Pflichten: Steuer-, Handels- und buchhalterische Aufbewahrungspflichten
- Direktwerbung und Newsletter: ausschließlich mit ausdrücklicher Einwilligung
7. Rechtsgrundlagen
- Art. 6 Abs. 1 lit. a DSGVO – Einwilligung (Newsletter, Marketing, optionale Cookies, optionale Assistenzfunktionen)
- Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung und vorvertragliche Maßnahmen
- Art. 6 Abs. 1 lit. c DSGVO – rechtliche Verpflichtungen (HGB, AO, GoBD)
- Art. 6 Abs. 1 lit. f DSGVO – berechtigte Interessen an IT-Sicherheit, Betrugsprävention und produktbezogener Reichweitenanalyse
- § 25 Abs. 2 TDDDG – Zugriff auf Endeinrichtungen, soweit unbedingt erforderlich
- § 25 Abs. 1 TDDDG – Einwilligung für sonstige Zugriffe auf Endeinrichtungen
8. Empfänger und Auftragsverarbeiter
Wir geben personenbezogene Daten nur an die folgenden Kategorien von Empfängern weiter, soweit dies für die genannten Zwecke erforderlich oder gesetzlich vorgeschrieben ist:
- Hosting-Provider (IONOS SE, Deutschland)
- E-Mail-Versanddienst (Brevo / Sendinblue Germany GmbH, Deutschland)
- Zahlungsdienstleister (Stripe Payments Europe Ltd., Irland; aktiviert nach Freischaltung der Zahlungsfunktion)
- Cloud-Infrastrukturdienstleister für optionale Assistenzfunktionen (Verarbeitung nach Anbieterangaben in Deutschland)
- Behörden, Gerichte und Aufsichtsstellen bei gesetzlicher Verpflichtung
Soweit wir externe Dienstleister als Auftragsverarbeiter einsetzen, erfolgt dies ausschließlich auf Basis von Verträgen nach Art. 28 DSGVO. Empfänger, die als eigenständige Verantwortliche handeln (wie z. B. Zahlungsdienstleister), verarbeiten Daten auf Grundlage eigener rechtlicher Verpflichtungen. Eine vollständige Übersicht der Subprozessoren stellen wir Auftraggebern im Rahmen des Auftragsverarbeitungsvertrags zur Verfügung.
9. Drittlandübermittlungen
Eine Verarbeitung erfolgt grundsätzlich innerhalb der EU bzw. des EWR. Soweit einzelne Dienste eine Datenübermittlung in Drittländer erfordern, stützen wir uns auf:
- einen Angemessenheitsbeschluss der EU-Kommission (z. B. EU-US Data Privacy Framework für zertifizierte US-Empfänger), Art. 45 DSGVO
- EU-Standardvertragsklauseln nach Durchführungsbeschluss (EU) 2021/914 in Verbindung mit ergänzenden Maßnahmen, Art. 46 DSGVO
- Ihre ausdrückliche Einwilligung in begründeten Einzelfällen, Art. 49 Abs. 1 lit. a DSGVO
Die Stripe-Datenübermittlung erfolgt erst nach Aktivierung der Zahlungsfunktion. Stripe ist nach dem EU-US Data Privacy Framework zertifiziert.
10. Speicherdauer
Wir speichern Ihre Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Anschließend werden die Daten gelöscht oder so weit anonymisiert, dass ein Personenbezug nicht wiederherstellbar ist.
| Datenart | Speicherdauer |
|---|---|
| Account-Stammdaten | bis zur Löschung des Accounts |
| Server- und Access-Logs (IP) | maximal 30 Tage, IP nach 7 Tagen anonymisiert |
| Operative Logs, Traces, Metrik-Labels und Request-Korrelationsdaten | 30 Tage rollierend; soweit möglich pseudonymisiert, ohne Roh-User-IDs, Roh-IP-Adressen oder vollständige User-Agent-Strings in normalen Anwendungslogs |
| Error- und Sicherheits-Logs | 30 Tage rollierend; sicherheits- oder auditrelevante Nachweise getrennt gemäß Audit-/Legal-Hold-Regeln |
| Event-Daten (Metadaten, Inhalte, Sessions, Gästelisten) | 3 Jahre nach Event-Ende (§ 195 BGB) |
| Automatisch erzeugte Bilder | bis zur Löschung durch Sie oder mit dem zugeordneten Event bzw. Account |
| Eingaben und technische Protokolle optionaler Assistenzfunktionen | kurzfristig zur Fehleranalyse, Sicherheit und Quotensteuerung; keine Nutzung für Modelltraining |
| Buchungsbelege, Tickets, Rechnungen | 8 Jahre (§ 257 HGB, § 147 AO, § 14b UStG); Bücher/Jahresabschlüsse bleiben 10-Jahres-Unterlagen |
| Elektronische Widerrufserklärungen | 3 Jahre nach Abschluss der Bearbeitung bzw. länger, soweit handels- oder steuerrechtliche Nachweise betroffen sind |
| Check-in-Logs | 90 Tage |
| Audit-Logs | 3 Jahre (Compliance) |
| Support-Anfragen | 2 Jahre nach Abschluss |
| Newsletter-Einwilligung | bis zum Widerruf zzgl. 3 Jahre zur Nachweisführung |
| Chat- und Networking-Nachrichten | 90 Tage |
| Authentifizierungsdaten | bis zur Löschung des Accounts; Sessions 30 Tage |
| Consent-Nachweise | bis zum Widerruf zzgl. Verjährungsfristen |
Backup-Kopien und WAL-/Objekt-Storage-Sicherungen werden ausschließlich für Wiederherstellungszwecke verarbeitet und innerhalb der dokumentierten Backup-Zyklen sowie konfigurierten Object-Lock-Fristen überschrieben oder gelöscht; sie werden nicht für neue Verarbeitungszwecke verwendet.
Operative Telemetrie ist nicht anonym, solange eine Zuordnung über technische Kennungen möglich bleibt. EVUSION setzt deshalb Datenminimierung, Pseudonymisierung und kurze Aufbewahrung ein. Audit-Logs, Rechnungs-/Zahlungsnachweise, Sicherheitsvorfälle und rechtliche Nachweise können getrennt länger aufbewahrt werden, soweit dies gesetzlich erforderlich ist oder berechtigte Rechtsverteidigungs-, Sicherheits- oder Compliance-Interessen bestehen.
11. Ihre Rechte als betroffene Person
Sie haben gegenüber EVUSION folgende Rechte:
- Auskunft (Art. 15 DSGVO): Informationen über die zu Ihrer Person verarbeiteten Daten
- Berichtigung (Art. 16 DSGVO): Korrektur unrichtiger oder unvollständiger Daten
- Löschung (Art. 17 DSGVO): „Recht auf Vergessenwerden", soweit keine Aufbewahrungspflicht entgegensteht
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO): Export Ihrer Daten in einem strukturierten, maschinenlesbaren Format
- Widerspruch (Art. 21 DSGVO): insbesondere gegen Verarbeitungen auf Grundlage berechtigter Interessen sowie jederzeit gegen Direktwerbung
- Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
- Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)
Die Rechte können Sie formlos per E-Mail an privacy@evusion.com oder über die Selbstbedienungsfunktionen in Ihren Kontoeinstellungen geltend machen. Wir antworten innerhalb der gesetzlichen Frist von einem Monat (Art. 12 Abs. 3 DSGVO).
Datenexporte und Löschläufe berücksichtigen, soweit einschlägig, auch technische Korrelationskennungen, dokumentierte Aufbewahrungsausnahmen und den Bearbeitungsstatus. Operative Telemetrie wird im Regelfall nicht einzeln in historischen Logsystemen mutiert, sondern durch kurze Aufbewahrungsfristen, Pseudonymisierung und dokumentierte Lösch- und Wiederherstellungsregeln begrenzt. Gesetzlich oder sicherheitsbezogen erforderliche Nachweise bleiben davon unberührt.
Zuständige Aufsichtsbehörde
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) Kavalleriestraße 2–4 40213 Düsseldorf Telefon: +49 211 38424-0 E-Mail: poststelle@ldi.nrw.de www.ldi.nrw.de
12. Keine automatisierte Entscheidung im Einzelfall
Eine ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhende Entscheidung im Sinne des Art. 22 DSGVO findet bei EVUSION nicht statt. Optionale Assistenzfunktionen erzeugen Vorschläge, die Sie eigenverantwortlich prüfen und freigeben.
13. Hinweise zu optionalen Assistenzfunktionen
EVUSION bietet optionale Assistenzfunktionen an, insbesondere zur Erstellung von Event-Beschreibungen, Strukturvorschlägen, Farbpaletten und Event-Bildern. Eingaben und Ausgaben werden nicht zum Training von Modellen verwendet. Die Verarbeitung läuft über einen europäischen Cloud-Infrastrukturdienstleister und erfolgt nach Anbieterangaben in Deutschland.
14. Eingesetzte Dienste und Anbieter
14.1 Hosting und Infrastruktur – IONOS
IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Deutschland (Sitz der Gesellschaft). Verarbeitung in ISO 27001 zertifizierten Rechenzentren in Deutschland (u. a. Karlsruhe, Frankfurt, Berlin).
14.2 Zahlungsabwicklung – Stripe (nach Aktivierung)
Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Dublin 2, Irland. Stripe ist eigenständig Verantwortlicher nach DSGVO und PCI DSS Level 1 zertifiziert. Übermittlungen in die USA erfolgen auf Grundlage des EU-US Data Privacy Frameworks sowie EU-Standardvertragsklauseln. Datenschutzhinweise: stripe.com/de/privacy.
14.3 Authentifizierung
Die Authentifizierung wird auf kontrollierter Infrastruktur in Deutschland betrieben. Authentifizierungsdaten verlassen unsere Systeme nicht.
14.4 E-Mail-Versand – Brevo
Sendinblue Germany GmbH, Köpenicker Str. 126, 10179 Berlin, Deutschland (Marke „Brevo“). Transaktionale E-Mails (z. B. Bestätigungen, Passwort-Reset, Widerrufsbestätigungen) und – mit Einwilligung – Marketing-Newsletter. Datenschutzhinweise: brevo.com/de/legal/privacypolicy.
14.5 Assistenzfunktionen – europäischer Cloud-Infrastrukturdienstleister
Bei Nutzung optionaler Assistenzfunktionen werden Eingaben und Ausgaben an einen europäischen Cloud-Infrastrukturdienstleister als Auftragsverarbeiter übermittelt. Die Verarbeitung erfolgt nach Anbieterangaben in deutschen Rechenzentren. Eingaben und Ausgaben werden nach Anbieterangaben nicht zum Modelltraining verwendet.
14.6 Karten und Adresssuche
Optional eingebundene Kartendienste (OpenStreetMap, Photon API) werden erst nach Ihrer Interaktion oder Einwilligung geladen. Bei Aufruf können IP-Adressen an die Betreiber übermittelt werden.
14.7 Eigenbetriebene Plattformkomponenten
Datenbank-, Speicher-, Such-, Dokument- und Workflow-Komponenten laufen auf kontrollierter Infrastruktur in Deutschland. Informationen zu Schutzmaßnahmen, Betriebsstand und Datenflüssen stellen wir berechtigten Vertragspartnern und Aufsichtsbehörden im erforderlichen Umfang bereit.
14.8 Observability, Monitoring und Hintergrundprozesse
EVUSION betreibt eigene Observability-Komponenten für Logs, Metriken und Traces auf kontrollierter Infrastruktur in Deutschland. Dabei werden technische Ereignisse aus Web, API, Zahlungs-/Webhook-Flows, Workflow-Orchestrierung und Worker-Aktivitäten über Request-IDs, Trace-IDs, Span-IDs und pseudonymisierte Subjekt-/Organisationskennungen korreliert. Normale Anwendungslogs sollen keine Roh-User-IDs, Roh-IP-Adressen, vollständigen User-Agent-Strings, Secrets, Zahlungsdaten oder Ticket-QR-Geheimnisse enthalten. Externe Zahlungsdienstleister wie Stripe können eigene Referenz- und Ereignis-IDs verarbeiten; deren Verarbeitung richtet sich ergänzend nach Abschnitt 14.2.
15. Datensicherheit
Wir setzen umfangreiche technische und organisatorische Maßnahmen nach Art. 32 DSGVO um, insbesondere:
- TLS 1.2/1.3-Verschlüsselung für alle Datenübertragungen
- Argon2id-Hashing für Passwörter und Verschlüsselung sensibler Felder im Ruhezustand
- rollenbasierte Zugriffskontrolle nach dem Prinzip der minimalen Rechte
- automatisierte Sicherheitsscans, Dependency Scanning und Code-Reviews
- regelmäßige verschlüsselte Backups und dokumentierte Wiederanlauftests
- strukturiertes Audit-Logging, Alarmierung und Incident-Response-Prozess
- Schulung des Teams zu Datenschutz und IT-Sicherheit
16. Newsletter und Direktwerbung
Newsletter werden nur nach Anmeldung im Double-Opt-in-Verfahren versandt. Sie können den Empfang jederzeit über den Abmeldelink in jeder Nachricht oder per E-Mail an privacy@evusion.com widerrufen. Bestandskunden können in den engen Grenzen des § 7 Abs. 3 UWG ähnliche Produkte beworben werden; eine Widerspruchsmöglichkeit besteht jederzeit und kostenfrei.
17. Änderungen dieser Datenschutzerklärung
Wir aktualisieren diese Datenschutzerklärung bei Änderungen unserer Dienste oder der Rechtslage. Die jeweils aktuelle Fassung steht unter evusion.com/legal/privacy bereit. Bei wesentlichen Änderungen informieren wir registrierte Nutzer mindestens 14 Tage vor Inkrafttreten per E-Mail oder über die Plattform.
18. Kontakt
Bei Fragen zum Datenschutz wenden Sie sich an privacy@evusion.com.
Stand: 2. Juli 2026