Datenverarbeitungsvereinbarung

Datenverarbeitungsvereinbarung (DPA) nach Art. 28 DSGVO / Art. 9 revDSG

Zwischen
Beyond Tickets AG, Maschinengasse 12, 6330 Cham, Schweiz („Auftragsverarbeiter“)
und dem jeweiligen Veranstalter („Verantwortlicher“) – gemeinsam „Parteien“.

1. Gegenstand, Dauer, Art & Zweck

Der Auftragsverarbeiter erbringt Ticketing-/Event-Softwareleistungen und verarbeitet dabei Personendaten der Ticketkäufer:innen und Kontakte im Auftrag des Verantwortlichen. Die Verarbeitung beginnt mit Vertragsschluss und endet mit Beendigung der Nutzung der Beyond-Tickets-Dienste. Zwecke u. a.: Ticketverkauf & Einlass, Abrechnung, Transaktionsmails, Support, Analytics, Betrugsprävention, optionale Marketingkommunikation des Verantwortlichen.

2. Kategorien betroffener Personen & Daten

Betroffene: Ticketkäufer:innen, Begleitpersonen, Promoter, Mitarbeitende des Verantwortlichen (Admin/Support).
Daten: Identitäts-/Kontakt-Daten (Name, E-Mail, Tel., Adresse), transaktionsbezogene Daten (Tickets, Zahlungen*), Einlassdaten (Scan-Zeitpunkte), technische Daten (IP, Device-/Log-Daten), Einwilligungs-/Opt-in-Nachweise. *Zahlungsdaten werden primär durch den PSP verarbeitet; Beyond Tickets erhält Status-/Referenzdaten.

3. Weisungen & Verantwortlichkeit

Verarbeitung ausschliesslich auf dokumentierte Weisung des Verantwortlichen (inkl. Übermittlung an Dritte). Der Auftragsverarbeiter informiert, wenn eine Weisung mutmasslich rechtswidrig ist. Zweck und Mittel bestimmt der Verantwortliche.

4. Vertraulichkeit & Personal

Der Auftragsverarbeiter verpflichtet Mitarbeitende und sonstige zur Verarbeitung befugte Personen schriftlich auf Vertraulichkeit; die Pflicht wirkt über das Vertragsende hinaus.

5. Technische und organisatorische Massnahmen (TOMs)

Der Auftragsverarbeiter implementiert angemessene TOMs gem. Art. 32 DSGVO, u. a.: TLS-Verschlüsselung, Verschlüsselung ruhender Daten (Cloud-Speicher), rollenbasierte Zugriffssteuerung, Least-Privilege, 2FA, Protokollierung/Zugriffslogs, regelmäßige Backups & Restore-Tests, Secure SDLC, Schwachstellen-Management, Mitarbeiter-Schulung. Nachweise werden auf Anfrage bereitgestellt.

6. Unterauftragsverarbeiter

Der Verantwortliche erteilt eine allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern (z. B. Hosting/CDN, E-Mail-Versand, Support-Tools), wie in der Datenschutzerklärung aufgeführt (https://beyond-tickets.com/privacy). Neuerungen/Änderungen teilt der Auftragsverarbeiter mind. 30 Tage vorab mit; der Verantwortliche kann aus wichtigem Grund widersprechen. Der Auftragsverarbeiter verpflichtet Sub-Prozessoren mit gleichwertigen Pflichten (Art. 28 Abs. 4 DSGVO).

7. Drittlandübermittlungen

Bei Übermittlungen in Drittländer stellt der Auftragsverarbeiter geeignete Garantien sicher (insb. EU-Standardvertragsklauseln inkl. ergänzender Massnahmen). Die Schweizer Angemessenheit ersetzt EU-Garantien nicht.

8. Unterstützungspflichten

Der Auftragsverarbeiter unterstützt den Verantwortlichen angemessen bei Betroffenenrechten (Art. 12–23 DSGVO), Datenschutz-Folgenabschätzungen (Art. 35) und Vorabkonsultationen (Art. 36) sowie bei Anfragen von Aufsichtsbehörden.

9. Meldung von Datenschutzverletzungen

Verletzungen des Schutzes personenbezogener Daten werden dem Verantwortlichen unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntniserlangung gemeldet, inkl. der nach Art. 33 DSGVO erforderlichen Informationen.

10. Nachweise & Audits

Der Auftragsverarbeiter stellt angemessene Nachweise bereit und ermöglicht Audits nach angemessener Vorankündigung, zu üblichen Geschäftszeiten, unter Wahrung von Vertraulichkeit und Verhältnismässigkeit.

11. Löschung & Rückgabe

Nach Vertragsende oder auf Weisung löscht oder gibt der Auftragsverarbeiter sämtliche Personendaten innerhalb von 30 Tagen zurück, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen; Kopien werden sicher gelöscht.

12. Haftung, Rechtswahl, Rangfolge

Die Haftung richtet sich nach den AGB. Es gilt Schweizer Recht, soweit zwingendes EU-Datenschutzrecht nicht entgegensteht.