Auftragsverarbeitungsvertrag (AVV)

Vertragsparteien

Dieser Auftragsverarbeitungsvertrag (im Folgenden „AVV") wird geschlossen zwischen:

Die Parteien werden im Folgenden gemeinsam als „Parteien" oder einzeln als „Partei" bezeichnet. Der Veranstalter ist datenschutzrechtlich Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO, Evoria ist Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO.

1. Gegenstand und Dauer der Verarbeitung

Gegenstand des AVV ist die Bereitstellung der Evoria-Plattform und ihrer Module (EventHub, PartyMode, EventDesk, SnapCloud, optionale Zusatzfunktionen) im Auftrag des Veranstalters zur Durchführung seiner jeweiligen Veranstaltung.

Die Laufzeit beginnt mit der Buchung des ersten Events durch den Veranstalter und endet mit der vollständigen Löschung aller veranstalter-bezogenen Daten. Das umfasst typischerweise:

• die aktive Eventphase (vor, während und nach dem Event),
• eine Foto-/Video-Retention von 90 Tagen nach Ende der Veranstaltung,
• eine Aufbewahrung der Anmelde-Daten (Name, E-Mail, RSVP-Status) von bis zu 12 Monaten nach Ende der Veranstaltung — oder bis zur vorherigen Archivierung/Löschung durch den Veranstalter.

Der Veranstalter kann jederzeit die vorzeitige Löschung einzelner Daten oder des gesamten Events verlangen.

2. Art und Zweck der Verarbeitung

Evoria verarbeitet personenbezogene Daten ausschließlich zum Zweck des Betriebs der Event-Plattform und der vom Veranstalter gebuchten Module. Dies umfasst insbesondere:

• Erfassung und Verwaltung von Gast-Anmeldungen (Name, E-Mail, RSVP-Status, Menüwahl, optionale Zusatzangaben),
• Empfang, Speicherung und Auslieferung von Foto- und Video-Uploads in der Event-Galerie,
• Verarbeitung von Musikwünschen, Gästebuch-Einträgen, Tisch-Plänen und vergleichbaren Event-Inhalten,
• Setzen und Auslesen technisch erforderlicher Cookies (Session-, Voting- und Bestätigungs-Token),
• Versand transaktionaler E-Mails (Bestätigungen, Magic Links, Erinnerungen) im Namen des Veranstalters.

Eine Verarbeitung zu anderen Zwecken — insbesondere zu Marketing- oder Profilbildungs-Zwecken — findet nicht statt.

3. Art der personenbezogenen Daten

• Identifikationsdaten: Name, ggf. Anrede/Begleitperson, E-Mail-Adresse.
• Anmelde- und Veranstaltungsdaten: RSVP-Status, Menüwahl, Allergien, Nachrichten an den Veranstalter, Tisch-Zuordnung.
• Hochgeladene Inhalte: Fotos, Videos, Gästebuch-Beiträge, Musikwünsche, ggf. Foto-Metadaten (Aufnahmezeitpunkt, Dateigröße).
• Personen, die auf hochgeladenen Bildern abgebildet sind (mittelbar erkennbare Dritte).
• Technische Daten: Cookie- und Session-Identifier, IP-Adressen in Server-Logs (kurzfristig, zur Sicherheit), Browser-Informationen.

Besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO werden nicht systematisch verarbeitet; der Veranstalter ist dafür verantwortlich, keine solchen Daten ohne Rechtsgrundlage durch Gäste erheben zu lassen.

4. Kategorien betroffener Personen

• Gäste der Veranstaltung (Eingeladene, Anmeldende, Mit-Anwesende),
• vom Veranstalter benannte Mit-Organisator:innen,
• auf Foto-/Video-Uploads erkennbare Dritte.

5. Pflichten des Auftragsverarbeiters

Evoria verpflichtet sich, gemäß Art. 28 Abs. 3 DSGVO:

• personenbezogene Daten ausschließlich auf dokumentierte Weisung des Veranstalters zu verarbeiten — die Buchung und Konfiguration der Module gilt als Weisung; ergänzende Einzelweisungen können per E-Mail an info@evoria.cloud erfolgen,
• alle mit der Datenverarbeitung befassten Personen schriftlich oder elektronisch auf Vertraulichkeit zu verpflichten,
• geeignete technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO umzusetzen (siehe Abschnitt 6),
• den Veranstalter bei der Erfüllung von Anfragen betroffener Personen (Art. 12-23 DSGVO) und bei datenschutzrechtlichen Pflichten (Art. 32-36 DSGVO) im Rahmen seiner Möglichkeiten zu unterstützen,
• personenbezogene Daten nach Beendigung der Verarbeitung entweder zu löschen oder zurückzugeben, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht,
• dem Veranstalter alle erforderlichen Informationen zur Verfügung zu stellen, um die Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten nachweisen zu können.

6. Technisch-organisatorische Maßnahmen (TOM)

Evoria setzt insbesondere folgende Maßnahmen um, um ein dem Risiko angemessenes Schutzniveau sicherzustellen:

• Transportverschlüsselung: sämtlicher Datenverkehr läuft über HTTPS/TLS,
• Passwort-Hashing: Veranstalter-Passwörter werden mit bcrypt gehasht (kein Klartext, kein reversibles Verfahren),
• Gehärtete Uploads: Dateien werden anhand der Magic-Bytes validiert, neu kodiert und EXIF-/Geo-Daten entfernt; nur erwartete Medien-Formate werden akzeptiert,
• Rate-Limiting für Anmeldung, Passwort-Reset und Magic-Link-Versand zum Schutz vor Brute-Force,
• Fail-closed Auth: bei Auth-Fehlern wird grundsätzlich verweigert statt durchgelassen; Sub-App-Calls laufen nur server-seitig mit Internal-Secret,
• Backups: verschlüsselte Datenbank-Backups, regelmäßige Restore-Tests,
• Update-Disziplin: kontrollierter Server-Update-Prozess mit Maintenance-Overlay und Versionierung,
• Hosting: die produktiven Daten liegen bei IONOS im Rechenzentrum Hochrhein, Deutschland; Zugriffe sind auf den Anbieter und vom Anbieter benannte Administratoren beschränkt. Verschlüsselte Datenbank-Sicherungen werden zusätzlich bei Cloudflare R2 (EU-Region) abgelegt (siehe Abschnitte 7 und 8).
• Verschlüsselung der Sicherungen: Datenbank-Backups werden vor dem Upload mit AES-256 verschlüsselt; der Speicheranbieter erhält ausschließlich verschlüsselte Daten.

Eine detaillierte TOM-Dokumentation wird dem Veranstalter auf Anfrage als gesondertes Dokument zur Verfügung gestellt.

7. Unterauftragsverarbeiter

Der Veranstalter stimmt der Einbindung folgender Unterauftragsverarbeiter zu:

• IONOS SE (Elgendorfer Str. 57, 56410 Montabaur, DE) — Hosting, Datenbank, Storage und SMTP-Versand.
• Stripe Payments Europe, Ltd. (Dublin, IE) — Zahlungsabwicklung der Buchung, sobald der Stripe-Checkout aktiviert ist. Bis dahin findet keine Übermittlung an Stripe statt.
• Cloudflare, Inc. (San Francisco, USA; EU-Vertretung Cloudflare Germany GmbH, München) — Speicherung der verschlüsselten Datenbank-Sicherungen (Objektspeicher „R2", EU-Region) sowie Bot- und Spam-Schutz („Turnstile"). Die Sicherungen werden bereits vor der Übertragung mit AES-256 verschlüsselt; Cloudflare erhält ausschließlich verschlüsselte Daten ohne Zugriff auf die Inhalte.
• Spotify AB (Stockholm, SE) — Wiedergabe von Musikwünschen über das Spotify-Web-Playback-SDK, wenn der DJ-/PartyMode aktiviert ist.
• Resend, Inc. bzw. der jeweils konfigurierte SMTP-Anbieter — Versand transaktionaler E-Mails, falls Resend statt des IONOS-SMTP verwendet wird.

Mit allen Unterauftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO bzw. den jeweils anwendbaren Standardvertragsklauseln. Über einen Wechsel oder die Hinzunahme eines weiteren Unterauftragsverarbeiters informiert Evoria mit einer Frist von 30 Tagen vorab per E-Mail. Der Veranstalter kann innerhalb dieser Frist Einspruch erheben; lässt sich der Einspruch nicht ausräumen, steht ihm ein Sonderkündigungsrecht zu.

8. Drittlandübermittlung

Die Kern-Verarbeitung (Hosting, Datenbank, Storage, E-Mail-Versand) findet in Deutschland (IONOS Hochrhein) statt. Eine Übermittlung in Drittländer beschränkt sich auf die nachfolgend genannten Dienste.

Stripe arbeitet im europäischen Raum mit Stripe Payments Europe, Ltd. (Irland); sofern Daten an die US-Muttergesellschaft Stripe, Inc. übermittelt werden, geschieht das auf Grundlage der EU-Standardvertragsklauseln (Module 2/3, Beschluss 2021/914) sowie ergänzender Maßnahmen.

Cloudflare, Inc. (USA) wird als Objektspeicher für die Datenbank-Sicherungen (R2, EU-Region) sowie für den Bot-Schutz (Turnstile) eingesetzt. Die Sicherungen sind vor der Übertragung mit AES-256 verschlüsselt, sodass Cloudflare ausschließlich verschlüsselte Daten erhält. Für etwaige Zugriffe gelten die EU-Standardvertragsklauseln (Beschluss 2021/914).

9. Rechte betroffener Personen

Wendet sich eine betroffene Person mit einem Antrag nach Art. 12-23 DSGVO direkt an Evoria, leitet Evoria den Antrag unverzüglich an den Veranstalter weiter und unterstützt ihn bei der Bearbeitung. Eigene Auskünfte erteilt Evoria nur, soweit dies gesetzlich vorgeschrieben oder vom Veranstalter ausdrücklich angewiesen ist.

10. Meldung von Datenschutzverletzungen

Evoria meldet dem Veranstalter eine ihm bekannt gewordene Verletzung des Schutzes personenbezogener Daten (Art. 33 DSGVO) unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntnisnahme. Die Meldung enthält:

• eine Beschreibung der Art der Verletzung,
• die betroffenen Kategorien und Anzahl der Personen/Datensätze,
• die wahrscheinlichen Folgen und
• die ergriffenen oder vorgeschlagenen Abhilfemaßnahmen.

Die Meldung an die zuständige Aufsichtsbehörde obliegt dem Veranstalter; Evoria unterstützt nach Kräften.

11. Audit-Recht

Der Veranstalter ist berechtigt, die Einhaltung dieses AVV durch Evoria zu überprüfen. Vorrangig stellt Evoria dazu schriftliche Auditberichte (z. B. dokumentierte TOM, Logs, Sicherheits-Konzept) bereit. Reicht das nicht aus, kann der Veranstalter — mit einer angemessenen Vorlauffrist von 14 Tagen, während der üblichen Geschäftszeiten und ohne Beeinträchtigung des laufenden Betriebs — vor Ort prüfen oder einen unabhängigen Dritten beauftragen. Kosten eigener Audits trägt der Veranstalter; entstehen Evoria durch Audits unangemessene Aufwendungen, können diese in Rechnung gestellt werden.

12. Löschung und Rückgabe nach Vertragsende

• Foto-/Video-Inhalte werden 90 Tage nach Ende der Veranstaltung automatisch gelöscht — sofern der Veranstalter sie nicht vorher heruntergeladen oder archiviert hat.
• Anmelde- und RSVP-Daten werden mit der Archivierung des Events durch den Veranstalter gelöscht, spätestens nach 12 Monaten.
• Vorzeitige Löschung einzelner oder sämtlicher Daten kann der Veranstalter jederzeit per E-Mail oder über die Event-Verwaltung verlangen.
• Backups werden im üblichen Rotationszyklus überschrieben; auf Anfrage werden gelöschte Daten auch aus aktiven Backup-Standorten entfernt, soweit technisch möglich.

13. Haftung

Die Haftung der Parteien richtet sich nach Art. 82 DSGVO sowie den ergänzenden Regelungen des deutschen Rechts. Im Innenverhältnis haftet jede Partei für Schäden, die durch ihre eigene Pflichtverletzung verursacht wurden; bei gemeinsamer Verantwortlichkeit erfolgt der interne Ausgleich nach Maßgabe der jeweiligen Verursachungsbeiträge. Im Übrigen gelten die Haftungsregelungen der allgemeinen Nutzungsbedingungen von Evoria.

14. Schlussbestimmungen

Es gilt deutsches Recht unter Ausschluss des UN-Kaufrechts. Sollten einzelne Bestimmungen dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt; an die Stelle der unwirksamen Regelung tritt diejenige gesetzlich zulässige Regelung, die dem wirtschaftlichen Zweck am nächsten kommt.

Ergänzend zu diesem AVV gilt unsere Datenschutzerklärung, in der die Verarbeitung im Detail beschrieben ist.