Auftragsverarbeitung
Zuletzt aktualisiert: 27. April 2026
Diese Vereinbarung zur Auftragsverarbeitung ("Vereinbarung") ist Teil der PaySeats-AGB ("Hauptvertrag") zwischen:
- PaySeats Europe SL ("PaySeats" oder "Auftragsverarbeiter"), einer in Spanien eingetragenen Gesellschaft.
- Dem Veranstalter ("Kunde" oder "Verantwortlicher"), wie im Hauptvertrag definiert.
Diese Vereinbarung gilt, soweit PaySeats personenbezogene Daten im Auftrag des Kunden verarbeitet und soweit die DSGVO oder andere anwendbare Datenschutzgesetze diese Verarbeitung regeln.
1. Definitionen
Begriffe in Großbuchstaben, die hier nicht definiert sind, haben die Bedeutung aus dem Hauptvertrag.
- "Datenschutzgesetze" bezeichnet alle anwendbaren Datenschutz- und Privatsphärenvorschriften, einschließlich DSGVO.
- "Verantwortlicher", "Auftragsverarbeiter", "Betroffene Person", "Personenbezogene Daten", "Datenschutzverletzung" und "Verarbeitung" haben die in der DSGVO festgelegte Bedeutung.
- "Unterauftragsverarbeiter" bezeichnet Dritte, die von PaySeats zur Verarbeitung personenbezogener Daten beauftragt werden.
2. Verarbeitung personenbezogener Daten
2.1. Rollen und Verantwortlichkeiten
Die Parteien erkennen an, dass der Kunde Verantwortlicher und PaySeats Auftragsverarbeiter ist.
2.2. Weisungen des Verantwortlichen
PaySeats verarbeitet personenbezogene Daten nur gemäß den dokumentierten, rechtmäßigen Weisungen des Kunden. Die Bereitstellung des Dienstes gemäß Hauptvertrag gilt als dokumentierte Weisung.
2.3. Details der Verarbeitung
Die Details der Verarbeitung sind in Anhang 1 beschrieben.
3. Vertraulichkeit und Sicherheit
3.1. Vertraulichkeit
PaySeats stellt sicher, dass alle zur Verarbeitung befugten Personen strengen Vertraulichkeitspflichten unterliegen.
3.2. Sicherheitsmaßnahmen
PaySeats implementiert geeignete technische und organisatorische Maßnahmen zum Schutz der Daten. Diese Maßnahmen sind in Anhang 2 beschrieben.
4. Unterauftragsverarbeiter
4.1. Allgemeine Genehmigung
Der Kunde erteilt PaySeats eine allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern.
4.2. Liste und Benachrichtigung
PaySeats führt eine aktuelle Liste der Unterauftragsverarbeiter gemäß Anhang 3 und informiert über geplante Änderungen.
4.3. Haftung
PaySeats verpflichtet Unterauftragsverarbeiter zu gleichwertigen Datenschutzpflichten und haftet für deren Handlungen.
5. Rechte betroffener Personen
PaySeats informiert den Kunden über Anfragen betroffener Personen und unterstützt bei deren Bearbeitung.
6. Meldung von Datenschutzverletzungen
PaySeats informiert den Kunden unverzüglich nach Bekanntwerden einer Datenschutzverletzung.
7. Datenschutz-Folgenabschätzungen
PaySeats unterstützt den Kunden angemessen bei DSFAs und Konsultationen mit Behörden.
8. Löschung oder Rückgabe der Daten
Nach Beendigung des Hauptvertrags wird PaySeats nach Wahl des Kunden alle personenbezogenen Daten löschen oder an den Kunden zurückgeben und bestehende Kopien löschen, sofern nicht das Recht der Union oder eines Mitgliedstaats eine Aufbewahrung der Daten verlangt.
Soweit der Dienst einen minimierten Nachweisbestand für Zahlungsabgleich, buchhalterische oder steuerliche Compliance, Streitfallabwehr, Betrugsprävention, Sicherheit oder rechtliche Aufbewahrungspflichten vorhält, darf PaySeats ausschließlich diesen begrenzten Bestand so lange aufbewahren, bis die jeweilige Aufbewahrungsgrundlage entfällt oder eine rechtmäßige Rückgabe oder Löschung möglich ist.
9. Audits
PaySeats stellt Informationen zur Verfügung und ermöglicht Prüfungen unter angemessener Frist und Vertraulichkeit.
10. Allgemeine Bestimmungen
10.1. Vorrang
Bei Konflikten zwischen dieser Vereinbarung und dem Hauptvertrag hat diese Vereinbarung für Datenschutzfragen Vorrang.
10.2. Anwendbares Recht
Diese Vereinbarung unterliegt spanischem Recht.
Anhang 1: Einzelheiten der Verarbeitung
A. Gegenstand und Dauer der Verarbeitung
Gegenstand: PaySeats verarbeitet personenbezogene Daten, um die Plattform und zugehörige Services für den Kunden bereitzustellen, wie im Hauptvertrag beschrieben.
Dauer: Die Verarbeitung erfolgt für die Laufzeit des Hauptvertrags sowie gesetzliche Aufbewahrungsfristen.
B. Art und Zweck der Verarbeitung
- Bereitstellung von Tools zur Veröffentlichung und Verwaltung von Events, Kursen, einmaligen Zugängen, Buchungen, Mitgliedschaften, Pass- oder Guthabenpaketen, kundenseitigen Seiten, Domain- oder Redirect-Einstellungen, gehosteten Postfächern, Promotionscode-Abläufen und Vor-Ort-Terminalabläufen.
- Abwicklung von Bestellungen, Registrierungen, Gast-Checkouts, Abonnements, Pass-/Guthaben-Datensätzen, Promotionscode- oder Rabatt-Einlösungen, Nachweisen zu einmaligen Zugängen, Buchungs- oder Reservierungsnachweisen sowie Kassen- oder Vor-Ort-Verkaufsabläufen im Auftrag des Kunden.
- Verwaltung von Teilnehmer-, Kunden-, CRM-Profil-, Transaktions-, Terminalgeräte- und Operator-Sitzungsdaten im Zusammenhang mit den Leistungen des Kunden, einschließlich Segmenten, Follow-up-Aufgaben, Kundenkonversationen, Kampagnenabläufen, Kommunikationseinstellungen, Sperrsteuerungen und Warteschlangen für Datenschutzanfragen.
- Verwaltung von Domain-Registrierungskontakten, DNS- oder Redirect-Einträgen, SSL-Lebenszyklusdaten, Provisionierung gehosteter Postfächer, Postfachstatus- oder Quotenwerten, Catch-all-Routing und damit verbundenen Anbieter-Referenzdaten, die vom Kunden angefordert werden.
- Ermöglichung transaktionaler Kommunikation, Support-Abläufe, vom Veranstalter ausgelöster Kundennachrichten, Änderungen an Einwilligungen oder Kommunikationssperren, Datenschutzrechte-Abläufe sowie Gerätewiederherstellung oder Operator-Authentifizierungsabläufe.
- Betrugsprävention, Schutz des Dienstes und Behebung operativer Störungen.
C. Arten personenbezogener Daten
Daten des Kunden und seiner Kundinnen und Kunden können Namen, E-Mail-Adressen, Telefonnummern oder Rechnungsangaben, soweit angegeben, Domain-Registrierungskontakte (einschließlich Registranten-, Admin- oder Technik-Kontaktdaten), DNS-, Redirect- oder SSL-Lebenszykluskonfigurationen, Adressen gehosteter Postfächer, Local-Part-Kennungen, Postfachstatus-, Quoten- oder Catch-all-Einstellungen, vom Kunden für Provisionierung oder Passwortaktualisierungen übermittelte Postfach-Zugangsdaten, Daten zu einmaligen Zugängen, Buchungen oder Reservierungen, Abonnements, Pass-/Guthabenpaketen, Promotionscode-Einlösungen, Zahlungsstatus, Teilnahme, Ticket-Scan und Check-in, Metadaten von Terminalgeräten (z. B. Gerätebezeichnung, Plattform, Modell, App-/OS-Version, Status, Berechtigungen, Freigabe- und Last-Seen-Daten), Operator-Identifikatoren und Sitzungsdaten, Support-Nachrichten und Anhänge, CRM-Notizen, Tags, Segmentzugehörigkeiten, Follow-up-Aufgaben, mit einem Kunden verknüpfte Versand- oder Leistungsdatensätze von Kampagnen, Kommunikationspräferenz- oder Sperrprotokolle sowie Datenschutzanfragen des Kunden und vom Kunden konfigurierte benutzerdefinierte Felder oder Notizen umfassen. Karten- und Bankkontodaten werden vom Zahlungspartner verarbeitet und nicht von PaySeats gespeichert, abgesehen von begrenzten Status- oder Referenzdaten, die für den Betrieb des Dienstes erforderlich sind.
D. Kategorien betroffener Personen
Veranstalter und ihr autorisiertes Personal, einschließlich Terminal-Operatoren oder anderem Vor-Ort-Personal; Teilnehmende, Schüler, Mitglieder, Käufer, Gäste und andere Personen, deren Daten der Kunde in den Dienst einstellt; sowie Personen, die den Kunden oder PaySeats über Dienstabläufe kontaktieren.
Anhang 2: Technische und organisatorische Sicherheitsmaßnahmen
PaySeats setzt mindestens die folgenden Sicherheitsmaßnahmen ein:
- Zugriffskontrolle: Starke Passwortrichtlinien, rollenbasierte Zugriffskontrollen, zusätzliche Authentifizierung für privilegierte Zugriffe soweit einschlägig sowie das Prinzip der minimalen Rechte.
- Verschlüsselung: Verschlüsselung von Daten bei der Übertragung (TLS/SSL) sowie Einsatz verschlüsselter Speicher oder providerseitiger Schutzmaßnahmen für gespeicherte Daten, soweit unterstützt.
- Systemresilienz: Infrastruktur bei Cloud-Anbietern mit hoher Verfügbarkeit, Redundanz und Notfallplänen.
- Netzwerksicherheit: Verwaltete Netzwerkschutzmaßnahmen, Protokollierung und eingeschränkter administrativer Zugriff zum Schutz der Infrastruktur.
- Incident-Management: Reaktionspläne zur schnellen Erkennung, Behandlung und Meldung von Datenschutzvorfällen.
- Schulungen: Regelmäßige Schulungen zu Sicherheit und Datenschutz für Mitarbeitende mit Zugriff.
- Sichere Entwicklung: SDLC-Praktiken zur Minimierung von Schwachstellen in Anwendungen.
Anhang 3: Liste der Unterauftragsverarbeiter
Der Kunde autorisiert PaySeats, die nachfolgend aufgeführten Arten von Unterauftragsverarbeitern zur Erbringung des Services einzusetzen. Eine aktuelle Liste aller Unterauftragsverarbeiter wird unter payseats.com/subprocessors geführt.
| Servicekategorie | Zweck | Primärer Standort |
|---|---|---|
| Cloud-Infrastruktur | Hosting der Plattform und Datenbanken | EU / USA (je nach Datenstandort) |
| Zahlungsabwicklung | Sichere Abwicklung von Kartentransaktionen und Auszahlungen | Global |
| Monitoring & Fehlerprotokollierung | Infrastruktur-Monitoring, Telemetrie und Aufnahme von Fehlerprotokollen | EU / USA |
| KI-Produkthilfe | Erzeugung von PaySeats-Pulse-Produkthilfeantworten über den aktivierten KI-Anbieter | USA / Global (anbieterabhängig) |
| CRM-Sync & Event-Dispatch | Versand von Kund:innen-CRM-Sync- oder Event-Payloads, wenn externer CRM-Sync aktiviert ist | USA / Global |
| E-Mail-Versand (Transaktional) | Versand transaktionaler Emails (Tickets, Bestätigungen, Betriebsmitteilungen) | USA / EU |
| Domain-Registrierung & Hosted Email | Domain-Registrierung, DNS- oder E-Mail-Routing sowie Provisionierung oder Verwaltung gehosteter Postfächer | Kanada / USA |
| E-Mail-Versand (Marketing) | Opt-in-Marketing und Launch-Kommunikation per API | UK / EU / USA (kontoabhängig) |