Evoria← Zurück zur Startseite

Stand: Mai 2026 · Veröffentlicht 2026-05-27

Auftragsverarbeitungsvertrag (AVV)

Dieser Vertrag regelt die Verarbeitung personenbezogener Daten im Auftrag des Veranstalters durch Evoria nach Art. 28 DSGVO. Er wird mit der Buchung deines ersten Events automatisch wirksam und ergänzt unsere allgemeinen Nutzungsbedingungen sowie die Datenschutzerklärung.

Vertragsparteien

Dieser Auftragsverarbeitungsvertrag (im Folgenden „AVV") wird geschlossen zwischen:

Auftragsverarbeiter (Anbieter):

Robin Kodera, RTK-Events

Kämpchenstraße 11a

46446 Emmerich am Rhein

Deutschland

E-Mail: info@evoria.cloud

Verantwortlicher (Veranstalter):

der/die buchende Nutzer:in bzw. die buchende Organisation, die über ein Evoria-Konto ein Event anlegt und Module bucht.

Die Parteien werden im Folgenden gemeinsam als „Parteien" oder einzeln als „Partei" bezeichnet. Der Veranstalter ist datenschutzrechtlich Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO, Evoria ist Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO.

1. Gegenstand und Dauer der Verarbeitung

Gegenstand des AVV ist die Bereitstellung der Evoria-Plattform und ihrer Module (EventHub, PartyMode, EventDesk, SnapCloud, optionale Zusatzfunktionen) im Auftrag des Veranstalters zur Durchführung seiner jeweiligen Veranstaltung.

Die Laufzeit beginnt mit der Buchung des ersten Events durch den Veranstalter und endet mit der vollständigen Löschung aller veranstalter-bezogenen Daten. Das umfasst typischerweise:

  • die aktive Eventphase (vor, während und nach dem Event),
  • eine einheitliche Aufbewahrungsfrist von 90 Tagen nach Ende der Veranstaltung für alle verarbeiteten personenbezogenen Daten — Fotos/Videos, Anmelde-/RSVP-Daten (Name, E-Mail, Status), Gästebuch-Einträge und Einstellungen,
  • nach Ablauf dieser Frist die vollständige, automatische Löschung der gesamten Veranstaltung samt aller genannten Daten; ein manuelles Archivieren durch den Veranstalter setzt diese Frist nicht aus.

Der Veranstalter kann jederzeit die vorzeitige Löschung einzelner Daten oder des gesamten Events verlangen.

2. Art und Zweck der Verarbeitung

Evoria verarbeitet personenbezogene Daten ausschließlich zum Zweck des Betriebs der Event-Plattform und der vom Veranstalter gebuchten Module. Dies umfasst insbesondere:

  • Erfassung und Verwaltung von Gast-Anmeldungen (Name, E-Mail, RSVP-Status, Menüwahl, optionale Zusatzangaben),
  • Empfang, Speicherung und Auslieferung von Foto- und Video-Uploads in der Event-Galerie,
  • Verarbeitung von Musikwünschen, Gästebuch-Einträgen, Tisch-Plänen und vergleichbaren Event-Inhalten,
  • Setzen und Auslesen technisch erforderlicher Cookies (Session-, Voting- und Bestätigungs-Token),
  • Versand transaktionaler E-Mails (Bestätigungen, Magic Links, Erinnerungen) im Namen des Veranstalters.

Eine Verarbeitung zu anderen Zwecken — insbesondere zu Marketing- oder Profilbildungs-Zwecken — findet nicht statt.

3. Art der personenbezogenen Daten

  • Identifikationsdaten: Name, ggf. Anrede/Begleitperson, E-Mail-Adresse.
  • Anmelde- und Veranstaltungsdaten: RSVP-Status, Menüwahl, Allergien, Nachrichten an den Veranstalter, Tisch-Zuordnung.
  • Hochgeladene Inhalte: Fotos, Videos, Gästebuch-Beiträge, Musikwünsche, ggf. Foto-Metadaten (Aufnahmezeitpunkt, Dateigröße).
  • Personen, die auf hochgeladenen Bildern abgebildet sind (mittelbar erkennbare Dritte).
  • Technische Daten: Cookie- und Session-Identifier, IP-Adressen in Server-Logs (kurzfristig, zur Sicherheit), Browser-Informationen.

Besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO werden grundsätzlich nicht verarbeitet. Ausnahme Gesichtserkennung: Aktiviert der Veranstalter die optionale KI-Gesichtserkennung in SnapCloud, werden hierbei biometrische Daten zur eindeutigen Identifizierung (Art. 9 Abs. 1 DSGVO) verarbeitet. Diese Verarbeitung erfolgt ausschließlich auf Weisung und Verantwortung des Veranstalters. Der Veranstalter ist allein dafür verantwortlich, vor der Aktivierung die ausdrückliche Einwilligung sämtlicher betroffener Gäste nach Art. 9 Abs. 2 lit. a DSGVO einzuholen, zu dokumentieren und nachzuweisen. Der Auftragsverarbeiter trifft keine eigene Entscheidung über diese Verarbeitung und stellt lediglich die technische Funktion bereit. Der Veranstalter stellt den Auftragsverarbeiter von allen Ansprüchen Dritter und Bußgeldern frei, die aus einer Verletzung dieser Pflicht resultieren.

4. Kategorien betroffener Personen

  • Gäste der Veranstaltung (Eingeladene, Anmeldende, Mit-Anwesende),
  • vom Veranstalter benannte Mit-Organisator:innen,
  • auf Foto-/Video-Uploads erkennbare Dritte.

5. Pflichten des Auftragsverarbeiters

Evoria verpflichtet sich, gemäß Art. 28 Abs. 3 DSGVO:

  • personenbezogene Daten ausschließlich auf dokumentierte Weisung des Veranstalters zu verarbeiten — die Buchung und Konfiguration der Module gilt als Weisung; ergänzende Einzelweisungen können per E-Mail an info@evoria.cloud erfolgen,
  • alle mit der Datenverarbeitung befassten Personen schriftlich oder elektronisch auf Vertraulichkeit zu verpflichten,
  • geeignete technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO umzusetzen (siehe Abschnitt 6),
  • den Veranstalter bei der Erfüllung von Anfragen betroffener Personen (Art. 12-23 DSGVO) und bei datenschutzrechtlichen Pflichten (Art. 32-36 DSGVO) im Rahmen seiner Möglichkeiten zu unterstützen,
  • personenbezogene Daten nach Beendigung der Verarbeitung entweder zu löschen oder zurückzugeben, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht,
  • dem Veranstalter alle erforderlichen Informationen zur Verfügung zu stellen, um die Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten nachweisen zu können.

6. Technisch-organisatorische Maßnahmen (TOM)

Evoria setzt insbesondere folgende Maßnahmen um, um ein dem Risiko angemessenes Schutzniveau sicherzustellen:

  • Transportverschlüsselung: sämtlicher Datenverkehr läuft über HTTPS/TLS,
  • Passwort-Hashing: Veranstalter-Passwörter werden mit bcrypt gehasht (kein Klartext, kein reversibles Verfahren),
  • Gehärtete Uploads: Dateien werden anhand der Magic-Bytes validiert, neu kodiert und EXIF-/Geo-Daten entfernt; nur erwartete Medien-Formate werden akzeptiert,
  • Rate-Limiting für Anmeldung, Passwort-Reset und Magic-Link-Versand zum Schutz vor Brute-Force,
  • Fail-closed Auth: bei Auth-Fehlern wird grundsätzlich verweigert statt durchgelassen; Sub-App-Calls laufen nur server-seitig mit Internal-Secret,
  • Backups: verschlüsselte Datenbank-Backups, regelmäßige Restore-Tests,
  • Update-Disziplin: kontrollierter Server-Update-Prozess mit Maintenance-Overlay und Versionierung,
  • Hosting: die produktiven Daten liegen bei IONOS im Rechenzentrum Hochrhein, Deutschland; Zugriffe sind auf den Anbieter und vom Anbieter benannte Administratoren beschränkt. Verschlüsselte Datenbank-Sicherungen werden zusätzlich bei Cloudflare R2 (EU-Region) abgelegt (siehe Abschnitte 7 und 8).
  • Verschlüsselung der Sicherungen: Datenbank-Backups werden vor dem Upload mit AES-256 verschlüsselt; der Speicheranbieter erhält ausschließlich verschlüsselte Daten.

Eine detaillierte TOM-Dokumentation wird dem Veranstalter auf Anfrage als gesondertes Dokument zur Verfügung gestellt.

7. Unterauftragsverarbeiter

Der Veranstalter stimmt der Einbindung folgender Unterauftragsverarbeiter zu:

  • IONOS SE (Elgendorfer Str. 57, 56410 Montabaur, DE) — Hosting, Datenbank, Storage und SMTP-Versand.
  • Stripe Payments Europe, Ltd. (Dublin, IE) — Zahlungsabwicklung der Modul-Buchungen sowie des bezahlten Ticket-Verkaufs der Veranstalter (Stripe Connect, „Direct Charges"). Soweit Stripe die eigentliche Zahlungsabwicklung als eigenständiger Verantwortlicher erbringt, ist dies in der Datenschutzerklärung (Abschnitt „Zahlungsabwicklung") gesondert beschrieben; im Übrigen erfolgt die Verarbeitung auf Grundlage DSGVO-konformer Garantien (EU-Standardvertragsklauseln bei Drittlandtransfer).
  • Cloudflare, Inc. (San Francisco, USA; EU-Vertretung Cloudflare Germany GmbH, München) — Speicherung der verschlüsselten Datenbank-Sicherungen (Objektspeicher „R2", EU-Region) sowie Bot- und Spam-Schutz („Turnstile"). Die Sicherungen werden bereits vor der Übertragung mit AES-256 verschlüsselt; Cloudflare erhält ausschließlich verschlüsselte Daten ohne Zugriff auf die Inhalte.
  • Spotify AB (Stockholm, SE) — Wiedergabe von Musikwünschen über das Spotify-Web-Playback-SDK, wenn der DJ-/PartyMode aktiviert ist.

Mit allen Unterauftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO bzw. den jeweils anwendbaren Standardvertragsklauseln. Über einen Wechsel oder die Hinzunahme eines weiteren Unterauftragsverarbeiters informiert Evoria mit einer Frist von 30 Tagen vorab per E-Mail. Der Veranstalter kann innerhalb dieser Frist Einspruch erheben; lässt sich der Einspruch nicht ausräumen, steht ihm ein Sonderkündigungsrecht zu.

8. Drittlandübermittlung

Die Kern-Verarbeitung (Hosting, Datenbank, Storage, E-Mail-Versand) findet in Deutschland (IONOS Hochrhein) statt. Eine Übermittlung in Drittländer beschränkt sich auf die nachfolgend genannten Dienste.

Stripe arbeitet im europäischen Raum mit Stripe Payments Europe, Ltd. (Irland); sofern Daten an die US-Muttergesellschaft Stripe, Inc. übermittelt werden, geschieht das auf Grundlage der EU-Standardvertragsklauseln (Module 2/3, Beschluss 2021/914) sowie ergänzender Maßnahmen.

Cloudflare, Inc. (USA) wird als Objektspeicher für die Datenbank-Sicherungen (R2, EU-Region) sowie für den Bot-Schutz (Turnstile) eingesetzt. Die Sicherungen sind vor der Übertragung mit AES-256 verschlüsselt, sodass Cloudflare ausschließlich verschlüsselte Daten erhält. Für etwaige Zugriffe gelten die EU-Standardvertragsklauseln (Beschluss 2021/914).

9. Rechte betroffener Personen

Wendet sich eine betroffene Person mit einem Antrag nach Art. 12-23 DSGVO direkt an Evoria, leitet Evoria den Antrag unverzüglich an den Veranstalter weiter und unterstützt ihn bei der Bearbeitung. Eigene Auskünfte erteilt Evoria nur, soweit dies gesetzlich vorgeschrieben oder vom Veranstalter ausdrücklich angewiesen ist.

10. Meldung von Datenschutzverletzungen

Evoria meldet dem Veranstalter eine ihm bekannt gewordene Verletzung des Schutzes personenbezogener Daten (Art. 33 DSGVO) unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntnisnahme. Die Meldung enthält:

  • eine Beschreibung der Art der Verletzung,
  • die betroffenen Kategorien und Anzahl der Personen/Datensätze,
  • die wahrscheinlichen Folgen und
  • die ergriffenen oder vorgeschlagenen Abhilfemaßnahmen.

Die Meldung an die zuständige Aufsichtsbehörde obliegt dem Veranstalter; Evoria unterstützt nach Kräften.

11. Audit-Recht

Der Veranstalter ist berechtigt, die Einhaltung dieses AVV durch Evoria zu überprüfen. Vorrangig stellt Evoria dazu schriftliche Auditberichte (z. B. dokumentierte TOM, Logs, Sicherheits-Konzept) bereit. Reicht das nicht aus, kann der Veranstalter — mit einer angemessenen Vorlauffrist von 14 Tagen, während der üblichen Geschäftszeiten und ohne Beeinträchtigung des laufenden Betriebs — vor Ort prüfen oder einen unabhängigen Dritten beauftragen. Kosten eigener Audits trägt der Veranstalter; entstehen Evoria durch Audits unangemessene Aufwendungen, können diese in Rechnung gestellt werden.

12. Löschung und Rückgabe nach Vertragsende

  • Die gesamte Veranstaltung mit allen personenbezogenen Daten — Fotos/Videos, Anmelde-/RSVP-Daten, Gästebuch-Einträge und Einstellungen — wird spätestens 90 Tage nach Ende der Veranstaltung automatisch und unwiderruflich gelöscht.
  • Ein manuelles Archivieren durch den Veranstalter blendet das Event nur aus und setzt diese Frist nicht aus — auch archivierte Events werden spätestens nach 90 Tagen gelöscht.
  • Vorzeitige Löschung einzelner oder sämtlicher Daten kann der Veranstalter jederzeit per E-Mail oder über die Event-Verwaltung verlangen.
  • Backups werden im üblichen Rotationszyklus überschrieben; auf Anfrage werden gelöschte Daten auch aus aktiven Backup-Standorten entfernt, soweit technisch möglich.

13. Haftung

Die Haftung der Parteien richtet sich nach Art. 82 DSGVO sowie den ergänzenden Regelungen des deutschen Rechts. Im Innenverhältnis haftet jede Partei für Schäden, die durch ihre eigene Pflichtverletzung verursacht wurden; bei gemeinsamer Verantwortlichkeit erfolgt der interne Ausgleich nach Maßgabe der jeweiligen Verursachungsbeiträge. Im Übrigen gelten die Haftungsregelungen der allgemeinen Nutzungsbedingungen von Evoria.

14. Schlussbestimmungen

Es gilt deutsches Recht unter Ausschluss des UN-Kaufrechts. Sollten einzelne Bestimmungen dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt; an die Stelle der unwirksamen Regelung tritt diejenige gesetzlich zulässige Regelung, die dem wirtschaftlichen Zweck am nächsten kommt.

Ergänzend zu diesem AVV gilt unsere Datenschutzerklärung, in der die Verarbeitung im Detail beschrieben ist.

Stand: Mai 2026 · Impressum · Datenschutz · Cookie-Hinweise

Auftragsverarbeitungsvertrag (AVV) – Evoria