Auftragsverarbeitungsvertrag (AVV)

1.1 Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten im Rahmen der Nutzung der TikFlow-Plattform zur Erstellung, Verwaltung und zum Verkauf von Tickets sowie zur Durchführung von Einlass- und Zugangskontrollen.

1.2 Die Verarbeitung erfolgt für die Dauer des Nutzungsvertrags zwischen TikFlow und dem Veranstalter. Nach Beendigung gelten die Regelungen zur Löschung und Rückgabe (Artikel 10).

5.1 TikFlow verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Veranstalters, es sei denn, TikFlow ist durch Unionsrecht oder das Recht eines Mitgliedstaats zu einer anderen Verarbeitung verpflichtet.

5.2 Weisungen können in Textform (E-Mail, Dashboard-Einstellungen, Ticket) erteilt werden. Die Nutzung der Plattform-Funktionen gemäß Dokumentation gilt als Weisung.

5.3 TikFlow informiert den Veranstalter unverzüglich, wenn eine Weisung nach Auffassung von TikFlow gegen datenschutzrechtliche Vorschriften verstößt.

6.1 TikFlow stellt sicher, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

6.2 Die Vertraulichkeitspflicht besteht auch nach Beendigung des Vertragsverhältnisses fort.

7.1 TikFlow setzt geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO um, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu gehören insbesondere:

• Verschlüsselung personenbezogener Daten bei Übertragung (TLS) und ggf. at rest
• Zugriffs- und Berechtigungskontrollen (Rollen-/Rechtemanagement)
• Mandantentrennung zwischen Veranstaltern
• Protokollierung sicherheitsrelevanter Ereignisse
• Regelmäßige Datensicherung (Backups) und Wiederherstellungskonzepte
• Härtung und Monitoring der Systeme
• Schulung und Sensibilisierung der Mitarbeiter*innen

7.2 TikFlow überprüft die TOM regelmäßig und passt sie bei Bedarf dem Stand der Technik an.

8.1 Der Veranstalter erteilt TikFlow die allgemeine Genehmigung, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) hinzuzuziehen.

8.2 Eine aktuelle Liste der Unterauftragsverarbeiter ist abrufbar unter: tikflow.de/rechtliches/unterauftragsverarbeiter

8.3 TikFlow informiert den Veranstalter über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern mit einer Frist von mindestens 14 Tagen vor Inkrafttreten per E-Mail oder Dashboard-Benachrichtigung.

8.4 Der Veranstalter kann der Änderung innerhalb von 14 Tagen aus wichtigem Grund widersprechen. Ein wichtiger Grund liegt insbesondere vor, wenn der neue Unterauftragsverarbeiter kein angemessenes Datenschutzniveau gewährleistet. Erfolgt kein Widerspruch, gilt die Änderung als genehmigt.

8.5 TikFlow stellt sicher, dass mit jedem Unterauftragsverarbeiter ein Vertrag geschlossen wird, der diesem dieselben Datenschutzpflichten auferlegt wie dieser AVV.

9.1 Betroffenenrechte (Art. 12–22 DSGVO)

TikFlow unterstützt den Veranstalter durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung von Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch). Soweit möglich, stellt TikFlow entsprechende Self-Service-Funktionen im Dashboard bereit.

9.2 Meldung von Datenschutzverletzungen (Art. 33, 34 DSGVO)

TikFlow unterrichtet den Veranstalter unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Kenntnisnahme, über eine Verletzung des Schutzes personenbezogener Daten. Die Meldung enthält alle verfügbaren Informationen gemäß Art. 33 Abs. 3 DSGVO.

9.3 Datenschutz-Folgenabschätzung (Art. 35, 36 DSGVO)

TikFlow unterstützt den Veranstalter bei der Durchführung einer Datenschutz-Folgenabschätzung und ggf. bei der vorherigen Konsultation der Aufsichtsbehörde, soweit dies für die vom Veranstalter durchgeführte Verarbeitung erforderlich ist.

10.1 Nach Beendigung des Nutzungsvertrags löscht TikFlow alle personenbezogenen Daten, die im Auftrag des Veranstalters verarbeitet wurden, oder gibt sie auf Wunsch zurück (z. B. per Datenexport), sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

10.2 Gesetzliche Aufbewahrungspflichten (z. B. steuer- oder handelsrechtlich) bleiben unberührt. Nach Ablauf der Aufbewahrungspflicht werden auch diese Daten gelöscht.

10.3 TikFlow bestätigt dem Veranstalter auf Anfrage die vollständige Löschung der Daten.

11.1 TikFlow stellt dem Veranstalter alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

11.2 TikFlow ermöglicht Überprüfungen – einschließlich Inspektionen –, die vom Veranstalter oder einem von diesem beauftragten Prüfer durchgeführt werden, und trägt zu diesen bei. Überprüfungen sind mit angemessener Frist (mindestens 14 Tage) anzukündigen und dürfen den Geschäftsbetrieb nicht unverhältnismäßig beeinträchtigen.

11.3 Die Kosten einer Überprüfung trägt der Veranstalter, es sei denn, die Überprüfung ergibt einen wesentlichen Verstoß durch TikFlow.

12.1 Dieser AVV ist Bestandteil des Nutzungsvertrags (B2B-Nutzungsbedingungen). Bei Widersprüchen gehen die Regelungen dieses AVV in datenschutzrechtlichen Fragen vor.

12.2 Änderungen und Ergänzungen dieses AVV bedürfen der Textform.

12.3 Es gilt deutsches Recht. Gerichtsstand ist – soweit zulässig – Freiburg im Breisgau.

12.4 Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.