Rechtliches

Auftragsverarbeitungsvertrag

gemäß Art. 28 DSGVO  ·  Stand: Mai 2026  ·  Menox GmbH, Vorster Straße 9, 47906 Kempen

Dieser Auftragsverarbeitungsvertrag (AVV) wird zwischen der Menox GmbH (Vorster Straße 9, 47906 Kempen) als Auftragnehmer und dem jeweiligen Veranstalter-Kunden als Auftraggeber geschlossen. Er wird durch die Nutzung der venuvo-Plattform und Akzeptanz der AGB automatisch Bestandteil des Vertrages.

Art. 1 – Gegenstand und Dauer der Auftragsverarbeitung

(1) Gegenstand der Auftragsverarbeitung ist die Bereitstellung und der Betrieb der venuvo-Ticketsystem-Plattform im Auftrag des Auftraggebers. Im Rahmen dieser Leistung verarbeitet der Auftragnehmer personenbezogene Daten von Ticketkäufern des Auftraggebers.

(2) Die Auftragsverarbeitung beginnt mit der Nutzungsaufnahme und endet mit Beendigung des Hauptvertrages sowie vollständiger Datenlöschung oder Rückgabe.

Art. 2 – Art und Zweck der Datenverarbeitung

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erfüllung der vertraglich vereinbarten Leistungen:

  • Verkauf und Ausgabe von Tickets (Onlineshop-Betrieb)
  • Versand von Tickets und Bestellbestätigungen per E-Mail
  • QR-Code-Generierung und Einlassverwaltung
  • Zahlungsabwicklung über den Zahlungsdienstleister Mollie
  • Bereitstellung von Käufer-Daten für den Auftraggeber (CSV-Export, Dashboard)
  • Technischer Support und Systembetrieb

(2) Eine Verarbeitung zu eigenen Zwecken des Auftragnehmers findet nicht statt.

Art. 3 – Kategorien betroffener Personen und Datenkategorien

Betroffene Personen: Ticketkäufer und Eventbesucher der Veranstaltungen des Auftraggebers.

Verarbeitete Datenkategorien:

  • Stammdaten: Vor- und Nachname, E-Mail-Adresse
  • Bestelldaten: Tickettyp, Ticketanzahl, Kaufdatum, Bestellnummer
  • Zahlungsdaten: Zahlungsstatus (kein Zugriff auf Bankdaten; diese verbleiben bei Mollie)
  • Technische Daten: IP-Adresse (Kaufzeitpunkt), Browser-Typ
  • Einlassdaten: QR-Code-Scan-Zeitstempel, Einlassstatus

Art. 4 – Rechte und Pflichten des Auftraggebers

(1) Der Auftraggeber ist allein verantwortlicher für die Rechtmäßigkeit der Datenverarbeitung gegenüber den betroffenen Personen (Ticketkäufern). Er stellt sicher, dass eine geeignete Rechtsgrundlage für die Verarbeitung besteht.

(2) Der Auftraggeber erteilt Weisungen zur Datenverarbeitung ausschließlich gegenüber dem Auftragnehmer. Weisungen gegenüber Mitarbeitern des Auftragnehmers sind nicht gestattet.

(3) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er bei einer Überprüfung Fehler oder Unregelmäßigkeiten in den Datenschutzbestimmungen feststellt.

Art. 5 – Pflichten des Auftragnehmers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, es sei denn, er ist nach EU- oder Mitgliedstaatenrecht zur Verarbeitung verpflichtet.

(2) Der Auftragnehmer gewährleistet, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind.

(3) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung von Anfragen betroffener Personen (Auskunft, Löschung, etc.) im Rahmen des technisch Möglichen.

(4) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn eine Weisung nach seiner Auffassung gegen DSGVO oder sonstige Datenschutzvorschriften verstößt.

(5) Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

Art. 6 – Technische und organisatorische Maßnahmen (TOM)

Der Auftragnehmer trifft geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zum Schutz der verarbeiteten Daten, insbesondere:

  • Verschlüsselung: TLS/HTTPS für alle Datenübertragungen; verschlüsselte Datenbankpasswörter; bcrypt-Hashing von Passwörtern
  • Zugriffskontrolle: Rollenbasiertes Berechtigungssystem; Zwei-Faktor-Authentifizierung für Admin-Zugänge
  • Verfügbarkeit: Redundante Server-Infrastruktur; regelmäßige Datensicherungen
  • Integrität: Audit-Logs für sicherheitsrelevante Aktionen; Schutz vor SQL-Injection und XSS
  • Pseudonymisierung: QR-Codes enthalten keine im Klartext lesbaren personenbezogenen Daten
  • Physische Sicherheit: Serverstandort in einem zertifizierten Rechenzentrum in Deutschland

Art. 7 – Einsatz von Subunternehmern (Unterauftragsverarbeitern)

(1) Der Auftragnehmer darf folgende Unterauftragsverarbeiter einsetzen:

Dienstleister Zweck Standort
Mollie B.V. Zahlungsabwicklung EU (Niederlande)
STRATO AG, Berlin Server-Hosting, Datenbankbetrieb Deutschland
STRATO AG, Berlin Transaktionsmails (Ticketversand) Deutschland

(2) Der Auftragnehmer informiert den Auftraggeber über geplante Änderungen hinsichtlich der Hinzuziehung neuer Unterauftragsverarbeiter mit einer Ankündigungsfrist von 30 Tagen. Der Auftraggeber hat das Recht, innerhalb dieser Frist Widerspruch einzulegen.

Art. 8 – Datenpannen und Meldepflichten

(1) Bei Verletzungen des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DSGVO) informiert der Auftragnehmer den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden.

(2) Die Meldung enthält zumindest: Art der Verletzung, betroffene Kategorien und Anzahl betroffener Personen, voraussichtliche Folgen, getroffene oder geplante Maßnahmen.

(3) Die Pflicht zur Meldung an die zuständige Aufsichtsbehörde (§ 33 DSGVO) obliegt dem Auftraggeber als Verantwortlichem.

Art. 9 – Löschung und Rückgabe von Daten

(1) Nach Beendigung des Hauptvertrages stellt der Auftragnehmer dem Auftraggeber für 30 Tage einen Datenexport (CSV) aller personenbezogenen Daten zur Verfügung.

(2) Nach Ablauf der 30-tägigen Frist werden alle personenbezogenen Daten des Auftraggebers und seiner Ticketkäufer unwiderruflich gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

(3) Der Auftragnehmer bestätigt die erfolgte Löschung auf Anfrage schriftlich.

Art. 10 – Kontakt Datenschutz

Bei datenschutzrechtlichen Fragen wenden Sie sich an:

Menox GmbH – Datenschutz
Vorster Straße 9, 47906 Kempen
E-Mail: info@medialab-nrw.de
Tel.: 0800 503 9100

Stand: Mai 2026  ·  Impressum  ·  Datenschutz  ·  AGB

Beratung Kostenlos starten