Datenschutzerklärung für Cita.Events

Stand: 26.04.2026

§ 1 Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Cita.Solutions UG (haftungsbeschränkt) Baubergerstr. 28, 80992 München, Deutschland Handelsregister: Amtsgericht München, HRB 297017 Geschäftsführer: Julian Henkelmann, Thomas Pallauf Umsatzsteuer-Identifikationsnummer gemäß § 27a UStG: DE450297368

E-Mail: info@cita.events

Datenschutzkontakt: datenschutz@cita.events Barrierefreiheit-Kontakt:

barrierefreiheit@cita.events

§ 2 Rechtsgrundlagen der Verarbeitung

Je nach Verarbeitungsvorgang stützen wir uns auf unterschiedliche Rechtsgrundlagen gemäß Art. 6 DSGVO:

1. Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Wenn die Verarbeitung zur Erbringung unserer Leistungen und zur Durchführung des Nutzungsvertrags erforderlich ist (z. B. Einrichtung Ihres Nutzerkontos, Vermittlung von Ticketkäufen und Durchführung von Events). Auch vorvertragliche Anfragen verarbeiten wir hierauf gestützt.
2. Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Soweit wir einer gesetzlichen Pflicht unterliegen, Daten zu verarbeiten, geschieht dies auf dieser Grundlage. Dies kann z. B. bei Identitätsprüfungen von Veranstaltern (zur Erfüllung von Geldwäschevorschriften) oder bei der Bereitstellung eines Meldesystems nach dem Digital Services Act (DSA) der Fall sein. Ebenso bewahren wir bestimmte Geschäfts- und Zahlungsdaten aufgrund handels- und steuerrechtlicher Vorgaben auf.
3. Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Wenn die Verarbeitung zur Wahrung unserer berechtigten Interessen oder derer Dritter erforderlich ist und Ihre entgegenstehenden Interessen nicht überwiegen. Unser berechtigtes Interesse liegt z. B. in der Gewährleistung der IT-Sicherheit und Betrugsprävention, der Optimierung und Weiterentwicklung unseres Angebots sowie in der notwendigen Kommunikation mit unseren Nutzern über Neuerungen der Plattform.
4. Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): In Fällen, in denen wir Sie um vorherige Einwilligung bitten (z. B. für den Erhalt eines optionalen Newsletters oder bei freiwilligen Angaben im Profil), verarbeiten wir die Daten basierend auf dieser Einwilligung. Sie können eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen (siehe Ihre Rechte unter § 7).

§ 3 Ausübung Ihrer Rechte, Speicherdauer und Pseudonymisierung

3.1 Ausübung Ihrer Rechte

Als

primäre Anlaufstelle stellt Cita.Events in Ihrem Nutzerprofil einen „Consent

& Privacy”-Bereich bereit. Dort können Sie – abhängig von Ihrer Rolle und

den verfügbaren Funktionen – u. a. Einwilligungen verwalten, Auszüge/Exporte

anfordern und Löschanfragen stellen. Alternativ können Sie Ihre Anfrage

jederzeit per E-Mail an datenschutz@cita.events senden. Zur Bearbeitung kann

eine Identitätsprüfung erforderlich sein.

Hinweis: Soweit Sie Betroffenenrechte bezüglich Event-/Ticketdaten geltend machen, die der jeweilige Veranstalter als Verantwortlicher verarbeitet, kann Ihre Anfrage – je nach Kontext – an den Veranstalter weitergeleitet werden oder der Veranstalter wird als zuständige Stelle benannt. Cita unterstützt Veranstalter insoweit als Auftragsverarbeiter gemäß AVV.

3.2 Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist, und löschen sie anschließend routinemäßig, sofern keine gesetzlichen Aufbewahrungspflichten einer Löschung entgegenstehen. Gesetzliche Pflichten zur Aufbewahrung bestimmter Daten (z. B. 6 Jahre für geschäftliche Korrespondenz gemäß § 257 HGB oder 10 Jahre für buchungsrelevante Daten gemäß § 147 AO) bleiben unberührt; in solchen Fällen werden die betreffenden Daten bis zum Ablauf der Frist weiterhin gespeichert, jedoch für andere Zwecke gesperrt. Sobald kein berechtigter Zweck für eine weitere Speicherung mehr besteht, werden die Daten gelöscht oder anonymisiert/pseudonymisiert.

Übersicht (nicht abschließend):

3.3 Pseudonymisierung statt Volllöschung („Anonymisierung”)

Soweit eine vollständige Löschung wegen referenzieller Integrität (z. B. Buchungs-/Belegnachweise, gesetzliche Aufbewahrungspflichten) nicht möglich ist, setzen wir eine HMAC-Pseudonymisierung ein: Personenbezogene Klartext-Felder werden durch einen kryptographischen Hash ersetzt, sodass eine Rückführung auf die Person ohne ergänzendes Geheimnis nicht möglich ist; die Verknüpfungen zwischen den Datensätzen bleiben für Buchhaltungs- und Beweisführungszwecke erhalten.

Wichtige Klarstellung: Eine Anonymisierungs- bzw. Löschungs-Anfrage nach Art. 17 DSGVO entzieht Ihnen nicht das Recht aus einem zuvor geschlossenen Ticketkaufvertrag. Bereits gebuchte Tickets bleiben gültig, und Sie können die jeweilige Veranstaltung wie geplant besuchen, sofern sie noch stattfindet.

§ 4 Datenverarbeitung im Rahmen der Plattformnutzung

4.1 Besuch der Webseite (Server-Logs & Cookies)

Server-Logfiles: Beim rein informatorischen Besuch unserer Website cita.events – also wenn Sie sich nicht einloggen oder aktiv Informationen übermitteln – erheben wir nur die Daten, die Ihr Browser automatisch an unseren Server übermittelt. Diese technischen Zugriffsdaten werden temporär in Logfiles gespeichert. Dazu gehören insbesondere:

1. IP-Adresse des anfragenden Geräts,
2. Datum und Uhrzeit des Zugriffs,
3. aufgerufene Seite/Datei und HTTP-Statuscode,
4. übertragene Datenmenge,
5. ggf. zuvor besuchte Seite (Referrer-URL),
6. verwendeter Browsertyp nebst Version, verwendetes Betriebssystem und Gerätekennung.

Diese Informationen sind für uns technisch erforderlich, um Ihnen die Webseite anzuzeigen und die Stabilität sowie Sicherheit unseres Systems zu gewährleisten. Wir verwenden die Log-Daten insbesondere, um die Website auszuliefern, um Cyberangriffe oder Missbrauch abzuwehren und um diagnostische Fehleranalysen durchzuführen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren, funktionsfähigen Webangebot). Die in den Server-Logs enthaltenen IP-Adressen werden nicht mit anderen Daten zusammengeführt und nur ausgewertet, wenn dies aus Sicherheitsgründen (z. B. Untersuchung von Angriffsversuchen) erforderlich ist. Wir löschen oder anonymisieren diese technischen Protokolle spätestens nach 30 Tagen, sofern keine weitere Aufbewahrung zu Beweiszwecken (z. B. bei Sicherheitsvorfällen) erforderlich ist.

Cookies: Die Speicherung und der Abruf technisch notwendiger Cookies auf Ihrem Endgerät erfolgt auf Grundlage von § 25 Abs. 2 TDDDG. Die damit verbundene Verarbeitung personenbezogener Daten stützen wir auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Unsere Plattform verwendet Cookies ausschließlich in dem Umfang, wie sie technisch notwendig sind, um die grundlegenden Funktionen bereitzustellen. Hierbei handelt es sich vor allem um Session-Cookies bzw. funktionale Cookies, z. B. um Ihren Login-Status aufrechtzuerhalten oder Einstellungen (wie z. B. die gewählte Sprache) zu speichern. Technisch notwendige Cookies enthalten keine personenbezogenen Profile über Ihr Nutzungsverhalten, sondern sorgen lediglich dafür, dass die Webseite und die geschützten Bereiche korrekt funktionieren.

Bot-Protection-Cookies: Soweit auf der Plattform Bot-Protection-Mechanismen aktiviert sind (Cloudflare Turnstile, hCaptcha oder – bei entsprechender Setting-Auswahl des Veranstalters – Google reCAPTCHA), können diese technisch notwendige Cookies oder Browser-Fingerprints zur Missbrauchsverhinderung verwenden. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO sowie § 25 Abs. 2 TDDDG; Empfänger siehe § 5.

Über aktuell eingesetzte Cookies informiert ergänzend unsere Cookie-Richtlinie (cita.events/cookies). Da wir keine Tracking- oder Werbe-Cookies von Drittanbietern einsetzen, ist derzeit kein Einwilligungs-Banner erforderlich. Sollten wir in Zukunft optionale Analyse- oder Marketing-Cookies nutzen wollen, würden wir hierfür vorab Ihre Einwilligung einholen.

4.2 Registrierung und Login

Nutzerkonto: Wenn Sie sich auf Cita.Events registrieren (als Teilnehmer oder als Veranstalter), erheben wir verschiedene Stammdaten, die für die Einrichtung und Nutzung Ihres Nutzerkontos erforderlich sind. Zu den Pflichtangaben bei der Registrierung zählen in der Regel Ihr Name, Ihre E-Mail-Adresse sowie ein selbst gewähltes Passwort (wird verschlüsselt gespeichert). Je nach Nutzerrolle und Funktionsumfang können weitere Angaben erforderlich oder optional sein – z. B. Geburtsdatum (oder -jahr) zur Altersverifikation bei bestimmten Events, Anschrift oder Unternehmensname (bei Veranstaltern), Profilinformationen oder Einstellungen. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Login und Accountnutzung: Beim Login prüft unser System Ihre Zugangsdaten. Nach erfolgreicher Anmeldung wird eine Session erstellt. Zu Sicherheitszwecken speichern wir bei Logins und wichtigen Kontoaktionen ggf. protokollarisch Daten (z. B. Zeitpunkt des Logins, verwendetes Gerät/IP-Adresse), um unberechtigte Zugriffe zu erkennen und Konten vor Missbrauch zu schützen (Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO, berechtigtes Interesse an Sicherheit). Sie können Ihr Konto jederzeit löschen; in diesem Fall werden wir Ihre personenbezogenen Daten aus dem aktiven System innerhalb von 30 Tagen entfernen, soweit sie nicht für Abrechnungszwecke oder aufgrund gesetzlicher Pflichten weiterhin gespeichert werden müssen (siehe Speicherdauer § 3.2).

4.3 Veranstalter-Onboarding, KYC-Verifikation und Auszahlungssteuerung

Wenn Sie Cita.Events als Veranstalter nutzen möchten, fragen wir im Rahmen des Onboarding-Prozesses zusätzliche Informationen ab. Sie müssen zunächst ein normales Benutzerkonto erstellen und können dieses dann zum Veranstalter-Account hochstufen. Dazu sind folgende zusätzliche Daten erforderlich:

1. Unternehmens-/Organisationsdaten: Name bzw. Firmierung, Rechtsform, Anschrift, ggf. Handelsregisternummer oder USt-IdNr., Branche und ähnliche Angaben.
2. Kontaktdaten eines Ansprechpartners: Name einer vertretungsberechtigten Person, E-Mail-Adresse und Telefonnummer für Rückfragen.
3. Zahlungsempfänger-Informationen: Für die Auszahlung von Ticketgeldern hinterlegen Sie ein Stripe-Connect-Konto (Stripe Standard Account mit Hosted Onboarding). Hierbei werden weitere Angaben zur Person bzw. zum Unternehmen und eine Bankverbindung (IBAN/BIC) benötigt. Diese Daten werden direkt im von Stripe bereitgestellten Onboarding-Flow erhoben.

Stripe-Identity / KYC. Im Zuge des Onboardings führt Stripe Identity eine Know-Your-Customer-Prüfung durch, bei der ggf. Identitätsnachweise verlangt werden (z. B. Ausweisdokument, Handelsregisterauszug oder Gewerbeanmeldung) sowie ein Liveness-Check durchgeführt wird. Diese KYC-Daten werden direkt von Stripe als eigenständigem Verantwortlichen erhoben und geprüft. Cita erhält in der Regel nur den Verifikations-Status (erfolgreich / fehlgeschlagen / ausstehend), nicht die zugrundeliegenden Klartext-Dokumente.

Auszahlungs- und Hold-Steuerung. Im Rahmen unserer Risiko-Steuerung setzen wir den Auszahlungsplan, Verzögerungsfristen, prozentuale Auszahlungssperren und – im Hochrisikofall – vollständige Auszahlungsstopps („Payout Holds”) gegenüber dem Stripe-Connect-Konto des Veranstalters ein. Die hierfür erforderlichen Daten (z. B. Hold-Status, Risiko-Einstufung, Hold-Dauer, Begründungen, Audit-Daten) werden auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Risiko- und Betrugsmanagement sowie an einer ordnungsgemäßen Beziehung zum Zahlungsdienstleister) verarbeitet. Die Risiko-Einstufung erfolgt ausschließlich anhand deterministischer Regeln und Schwellwerte; eine ML-basierte Profilbildung im Sinne des Art. 4 Nr. 4 DSGVO findet nicht statt. Speicherdauer siehe § 3.2.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertrag mit dem Veranstalter, der ohne KYC-Prüfung und Auszahlungssteuerung nicht erfüllbar ist), Art. 6 Abs. 1 lit. c DSGVO (Pflicht zur Identitätsfeststellung nach Finanz- und Geldwäschevorschriften) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Missbrauchs- und Betrugsprävention).

Hinweis Auftragsverarbeitung. Im Verhältnis zu den Teilnehmenden gilt der jeweilige Veranstalter als eigenständig Verantwortlicher für die Datenverarbeitung rund um sein Event (Ticketkaufvertrag zwischen Veranstalter und Teilnehmer). Cita.Events agiert insoweit als Auftragsverarbeiter für den Veranstalter. Mit jedem Veranstalter schließen wir dazu einen Vertrag zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO ab (siehe Plattformvereinbarung Anhang B).

4.4 Ticketbuchung durch Teilnehmende (inkl. Zahlungsabwicklung)

Wenn Sie als Teilnehmender über Cita.Events ein Ticket für eine Veranstaltung buchen, verarbeiten wir die für die Buchung erforderlichen personenbezogenen Daten und übermitteln sie an den Veranstalter des Events sowie an den Zahlungsdienstleister:

1. Teilnehmer-Stammdaten: Ihr Name und Ihre E-Mail-Adresse (damit der Veranstalter Sie identifizieren und kontaktieren kann).
2. Altersangabe: Sofern für das Event relevant (z. B. Altersbeschränkung), Ihr Geburtsdatum oder -jahr zur Altersüberprüfung.
3. Buchungs- und Ticketdaten: Informationen zur gebuchten Veranstaltung (Event-ID, Ticketkategorie, Anzahl Tickets) und ein eindeutiger Teilnehmer- bzw. Ticketcode (z. B. QR-Code), Ticket-Status (gebucht, bezahlt, storniert, eingecheckt etc.).
4. Zahlungsdaten: Zahlungsdaten geben Sie direkt in ein Stripe-Zahlungsformular ein, das in unsere Seite integriert ist. Diese Zahlungsdaten werden nicht von Cita.Events gespeichert, sondern ausschließlich von Stripe erhoben und verarbeitet. Wir erhalten von Stripe lediglich Informationen zum Zahlungsstatus und eine eindeutige Zahlungs-ID.

Bei Auswahl verzögerter Zahlungsmethoden (Klarna, SEPA, Card-3DS-Pending; vgl. AGB § 4.8) verarbeiten wir zusätzlich den Settlement-Status und die Klarna-Sub-Variante zur korrekten Zuordnung der Zahlung.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b

DSGVO (Erfüllung des Ticketkaufvertrags, dessen Vermittlung über unsere

Plattform erfolgt) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an

einer reibungslosen Zahlungsabwicklung und Betrugsprävention). Stripe

verarbeitet Zahlungsdaten teilweise eigenverantwortlich (insbesondere für KYC,

Compliance, Betrugserkennung); siehe https://stripe.com/de/privacy.

4.5 Kommunikation, Support und E-Mail-Versand

Support- und Kontaktanfragen: Wenn Sie mit uns in Kontakt treten – etwa per E-Mail an unseren Support oder über ein Kontaktformular – verarbeiten wir die von Ihnen mitgeteilten Daten (Name, E-Mail-Adresse, Inhalt der Anfrage und evtl. weitere freiwillige Angaben) ausschließlich zur Bearbeitung und Beantwortung Ihrer Anfrage. Rechtsgrundlage ist je nach Kontext Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung/vorvertragliche Maßnahmen) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Nach Abschluss löschen wir Ihre Anfrage, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

Transaktions-E-Mails: Im Rahmen der Plattformnutzung versenden wir transaktionale E-Mails (z. B. Bestätigungs-Mails nach einer Ticketbuchung, Zahlungsbelege, Benachrichtigungen bei wichtigen Änderungen, sicherheitsrelevante Hinweise). Der Versand erfolgt ohne gesonderte Einwilligung auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO und/oder Art. 6 Abs. 1 lit. f DSGVO.

Newsletter und Werbung: Wir versenden keine Newsletter oder Werbe-E-Mails, sofern Sie nicht ausdrücklich zugestimmt haben (Art. 6 Abs. 1 lit. a DSGVO). Eine erteilte Einwilligung können Sie jederzeit widerrufen (Abmeldelink in jeder Newsletter-Mail; Konto-Einstellungen).

E-Mail-Dienstleister. Für den Versand von E-Mails (Transaktionsmails sowie ggf. Newsletter) setzen wir aktuell OVH Cloud als SMTP-Provider ein (Infrastruktur in Frankreich, EWR-intern). OVH verarbeitet die E-Mail-Adressen und Inhalte ausschließlich zum Zweck des Versands in unserem Auftrag; wir haben hierzu einen Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen.

Hinweis zur Versionshistorie: In früheren Fassungen war zusätzlich die STRATO AG als SMTP-Versanddienst gelistet. Diese ist nicht mehr aktiv im Einsatz; etwaige bei STRATO verbliebene historische Versanddaten werden nach den gesetzlichen Aufbewahrungs- und Löschpflichten behandelt.

4.6 Meldesystem für Rechtsverstöße (Notice-&-Action nach DSA) und Schutzrechtsmeldungen

Meldestelle:

Mutmaßlich rechtswidrige Inhalte/Events können Sie per E-Mail an

datenschutz@cita.events melden (Betreff: „DSA-Meldung”). Sofern verfügbar,

können Meldungen auch direkt über eine Meldefunktion innerhalb der Plattform

(z. B. auf Event-Seiten) eingereicht werden.

Unsere Plattform unterliegt den Vorschriften des Digital Services Act (DSA), da Nutzer eigene Inhalte einstellen (z. B. Veranstaltungsbeschreibungen). Gemäß Art. 16 DSA stellen wir ein Meldesystem bereit. Bei Eingang einer Meldung verarbeiten wir die darin enthaltenen personenbezogenen Daten wie folgt:

1. Inhalt der Meldung: Beschreibung des beanstandeten Inhalts, Begründung der Rechtswidrigkeit, Standort des Inhalts (URL/Event-ID). Verwendung ausschließlich zur Sachverhaltsprüfung, zur Ergreifung geeigneter Maßnahmen und zur Erfüllung gesetzlicher Dokumentationspflichten.
2. Daten der meldenden Person: Name, E-Mail-Adresse (anonyme Meldung möglich, sofern eine Prüfung dennoch möglich ist). Identitätsdaten werden vertraulich behandelt und nur intern zur Bearbeitung verwendet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO i.V.m. Art. 16 DSA sowie ergänzend Art. 6 Abs. 1 lit. f DSGVO (Interesse an einer rechtmäßigen Plattform). Speicherdauer: bis Abschluss der Bearbeitung + 12 Monate Nachfrist (vgl. § 3.2).

Bei schwerwiegenden Verstößen können wir gesetzlich verpflichtet sein, Strafverfolgungsbehörden zu informieren oder mit ihnen zusammenzuarbeiten (vgl. AGB § 4.4).

Schutzrechtsmeldungen Dritter. Soweit Dritte Verletzungen von Urheber-, Marken-, Persönlichkeits- oder sonstigen Schutzrechten gemäß AGB § 10.6 melden, verarbeiten wir die in der Meldung enthaltenen personenbezogenen Daten (insbesondere Name und Kontaktdaten des Meldenden bzw. seines Vertreters, Beschreibung des Schutzrechts und des beanstandeten Inhalts sowie ggf. übermittelte Nachweise) zum Zweck der Sachverhaltsprüfung, der Benachrichtigung des betroffenen Veranstalters oder Nutzers und der Dokumentation der ergriffenen Maßnahmen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer rechtmäßigen Plattform und an der Vermeidung der eigenen Inanspruchnahme aus Schutzrechten Dritter), ergänzend Art. 6 Abs. 1 lit. c DSGVO. Daten der meldenden Person werden gegenüber dem Veranstalter nur weitergegeben, soweit dies zur Sachverhaltsklärung oder Verteidigung gegen die Meldung erforderlich ist und gesetzliche Vorgaben dem nicht entgegenstehen. Speicherdauer: vgl. § 3.2 (Zeile „DSA-Meldedaten / Schutzrechtsmeldungen”).

4.7 Mahn-, Inkasso- und Forderungsmanagement

Soweit Forderungen aus dem Vertragsverhältnis mit einem Veranstalter offen bleiben (z. B. fällige Plan-Entgelte, weiterbelastete Beträge des Zahlungsdienstleisters, Bearbeitungs- oder Verschiebegebühren), verarbeiten wir die hierfür erforderlichen Daten zur Geltendmachung, Durchsetzung und Dokumentation der Forderung. Hierzu zählen Stamm- und Kontaktdaten des Veranstalters, Rechnungs- und Zahlungsdaten, Inhalt und Zeitpunkt des Schriftwechsels, Mahn- und Erinnerungshistorie sowie etwaige Vorgänge des Zahlungsdienstleisters (Chargebacks, Refunds, Rückbuchungen).

Empfänger können – nach Erforderlichkeit – sein: externe Inkassodienstleister, Rechtsanwälte, Gerichte, Aufsichts-/Finanzbehörden sowie der eingebundene Zahlungsdienstleister Stripe. Mit Inkassodienstleistern und Rechtsanwälten schließen wir, soweit datenschutzrechtlich erforderlich, Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO; teilweise agieren diese als eigenständig Verantwortliche im Rahmen ihrer berufsrechtlichen Pflichten.

Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Vertrags und Geltendmachung vertraglicher Ansprüche), Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrungspflichten) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Durchsetzung berechtigter Forderungen, Vermeidung von Zahlungsausfällen sowie an einem ordnungsgemäßen Forderungsmanagement). Speicherdauer: siehe § 3.2.

4.8 Einlass-Entscheidungen bei Pending-Zahlungen (Force-Checkin)

Beim Einlass zu einer Veranstaltung kann der Fall eintreten, dass die Zahlung des Teilnehmenden noch nicht endgültig abgewickelt ist (z. B. Klarna-Pay-Later/-Financing, SEPA-Lastschrift, Card-3DS-Pending). Ein autorisierter Operator des Veranstalters trifft in solchen Fällen eine individuelle Einlass-Entscheidung („Door-Decision”). Cita unterstützt diese Entscheidung technisch durch eine Risiko-Indikation an den Operator.

Verarbeitete Datenkategorien:

1. Anzahl bisheriger Buchungen, No-Shows, Refunds, Disputes des Teilnehmenden;
2. Aktueller Zahlungsstatus und -methode;
3. Operator-Begründung der Entscheidung (mind. 10 Zeichen, PII-validiert);
4. Risiko-Klassifikation (deterministische Stufen);
5. ggf. Vier-Augen-Bestätigung ab Ticketwerten von 100,00 €;
6. Zeitstempel und Operator-Zuordnung.

Charakter der Verarbeitung. Die Risiko-Indikation an den Operator basiert ausschließlich auf deterministischen Regeln und Schwellwerten (insbesondere Klarna-Sub-Variante, SEPA-Settlement-Erwartung, deterministische Aggregation der Reg-Historie). Es findet kein Machine Learning und keine Profilbildung im Sinne des Art. 4 Nr. 4 DSGVO statt. Die finale Entscheidung trifft stets der Operator als Mensch; eine vollautomatisierte Einzelfallentscheidung im Sinne des Art. 22 Abs. 1 DSGVO findet nicht statt.

Recht auf Überprüfung (entsprechend Art. 22 Abs. 3 DSGVO). Teilnehmende können einer Door-Decision widersprechen und eine Überprüfung verlangen. Frist: innerhalb von 14 Tagen nach dem Vorfall.

Adresse: datenschutz@cita.events. Cita prüft den Fall manuell und teilt das

Ergebnis innerhalb von 14 Werktagen schriftlich mit.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Veranstaltungsbetrieb und Zahlungssicherheit). Im Falle der Verarbeitung im Auftrag des Veranstalters greift zusätzlich die Auftragsverarbeitung (Art. 28 DSGVO).

4.9 Door Decision Log

Operator-Entscheidungen am Einlass werden in einem nicht-veränderlichen Audit-Trail („Door Decision Log”) dokumentiert. Speicherort: DocType Door Decision Log (Append-Only). Felder: Event, Registration, Entscheidung (allow/deny), Operator-Begründung, Operator-Identität, Risiko-Klassifikation, Zahlungsmethode-Snapshot, Settlement-ETA-Snapshot, ggf. Vier-Augen-Bestätigung, Zeitstempel.

Speicherdauer: 5 Jahre nach Eventende. Nach Ablauf wird die Operator-Begründung pseudonymisiert; der strukturelle Eintrag bleibt erhalten. Operator-Identitäten können nach Personalwechsel anonymisiert werden, der Eintrag bleibt erhalten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Nachweis der Operator-Entscheidung, Audit-Anforderung) und – im Auftrag des Veranstalters – Art. 28 DSGVO.

Eine ergänzende Datenschutz-Folgenabschätzung (DPIA) zum Force-Checkin liegt intern vor und kann auf begründete Anfrage zusammenfassend bereitgestellt werden.

4.10 Technische und organisatorische Maßnahmen (TOM Art. 32 DSGVO)

Wir setzen technische und organisatorische Maßnahmen ein, um die Sicherheit der Verarbeitung zu gewährleisten. Eine zusammenfassende Übersicht (nicht abschließend):

1. Rollen- und Rechtekonzept (Least-Privilege), Multi-Tenant-Isolation auf Application-Layer.
2. PII-Redaction in Logs (≥ 25 Regex-Patterns, u. a. Email, Telefon, IBAN, BIC, Stripe-IDs).
3. FAIL-CLOSED-Pattern bei Konfigurations-/Settings-Fehlern.
4. HMAC-Pseudonymisierung als Löschungs-Konzept (vgl. § 3.3).
5. Existence-Oracle-Schutz durch 404-statt-403-Pattern (kein Cross-Tenant-Information-Leak).
6. Verschlüsselte Übertragung (TLS) für Web/API; kontrollierte API-Keys/Tokens.
7. Append-Only-Audit-Logs: Refund Audit Log (10 Jahre), Privacy Audit Log (unbegrenzt-pseudonymisiert), Door Decision Log (5 Jahre nach Event), Cita-Absorb-Audit (10 Jahre), Cita Admin Note (vorgangsbezogen). Diese Logs sind auf Datenebene nicht editierbar.
8. Idempotenz bei Webhooks und Zahlungsoperationen, Stripe-Event-Log Dedupe.
9. Internes Monitoring über Prometheus mit Token-Authentifizierung; kein externer Prometheus-Scraper.
10. Externes Heartbeat-Monitoring über BetterStack als Dead-Man’s-Switch (Verarbeitung von Heartbeat-Tokens und Pass/Fail-Status, keine User-PII).
11. Backups mit definierten Intervallen und Wiederherstellungsprozessen; rollierende Aufbewahrung (vgl. § 3.2).
12. Verpflichtung zur Vertraulichkeit für alle Mitarbeitenden mit Zugriff; Patch-/Update-Management.

§ 5 Empfänger von Daten und Kategorien von Empfängern

Ihre personenbezogenen Daten werden grundsätzlich nicht an Dritte verkauft oder unkontrolliert weitergegeben. Wir übermitteln Daten nur, wenn dies zur Erfüllung unserer Dienste notwendig ist, Sie eingewilligt haben oder wir aufgrund einer gesetzlichen Bestimmung bzw. behördlichen Anordnung dazu verpflichtet sind. Im Folgenden nennen wir die wichtigsten Empfänger bzw. Kategorien von Empfängern:

1. Veranstalter: Wenn Sie an einem Event teilnehmen, erhält der jeweilige Veranstalter die unter § 4.4 genannten Teilnehmerdaten zur Durchführung des Events. Der Veranstalter ist insoweit eigener Verantwortlicher.
2. Stripe (Zahlungsdienstleister): Stripe Payments Europe
3. Ltd. (Dublin, IE) / Stripe, Inc. (USA). Im Modell „Stripe Connect
4. Standard Account mit Hosted Onboarding” erhält Stripe die für die Zahlung
5. notwendigen Daten und verarbeitet diese teilweise eigenverantwortlich (KYC,
6. Compliance, Betrugserkennung). Datenübertragung in die USA erfolgt unter EU-US
7. Data Privacy Framework und SCC als Fallback. Datenschutz:
8. https://stripe.com/de/privacy.
9. Stripe Identity: Stripe Payments Europe Ltd. erhebt für die Veranstalter-KYC eigenverantwortlich Identitätsdokumente und Liveness-Daten. Cita erhält nur den Verifikationsstatus.
10. Apple Push Notification Service (APNS): Apple Distribution International Ltd. (Irland). Push-Notifications zu Apple-Wallet-Pass-Updates; verarbeitet Device-Token, Pass-Type-ID, Update-Trigger (keine User-PII im Klartext).
11. Hosting- und IT-Infrastruktur: Frappe Cloud (Frappe Technologies Pvt. Ltd., Frankfurt a. M.; Konzern-Strukturen mit Indien-Bezug, abgesichert über SCC), OVH Cloud (OVH SAS, Frankreich, EWR-intern). Auftragsverarbeitung gemäß Art. 28 DSGVO.
12. E-Mail-Versand (SMTP): OVH Cloud (Frankreich, EWR-intern) als alleiniger Provider für Transaktionsmails und – bei Einwilligung – Marketing-Mails.
13. Heartbeat-Monitoring: BetterStack (gewählte EU-Region), Auftragsverarbeitung; verarbeitet Heartbeat-Token und Pass/Fail-Status, keine User-PII.
14. Bot-Protection: Cloudflare, Inc. (Cloudflare Turnstile, USA), Intuition Machines, Inc. (hCaptcha, USA), Google Ireland Ltd. / Google LLC (Google reCAPTCHA, conditional je nach Setting-Auswahl, IE/USA). Verarbeiten IP-Adresse, Browser-Fingerprint und ggf. Behavior-Telemetrie. Datenübertragung in die USA erfolgt unter EU-US Data Privacy Framework und SCC als Fallback.
15. Inkasso- und Forderungsdienstleister, Rechtsberater: Im Fall offener Forderungen aus dem Vertragsverhältnis mit einem Veranstalter; Auftragsverarbeitung gemäß Art. 28 DSGVO bzw. eigenverantwortliche Verarbeitung im Rahmen berufsrechtlicher Pflichten. Eine aktuelle Liste der eingesetzten Dienstleister kann beim Datenschutzkontakt angefordert werden.
16. Behörden/Gerichte: Bei gesetzlicher Pflicht (z. B. im Rahmen von Ermittlungen oder Steuerprüfungen).

Hinweise:

1. Sentry (Backend-Error-Tracking) ist im Code aktuell nicht aktiviert und damit kein Empfänger Ihrer Daten. Eine spätere Aktivierung würde mit Aktualisierung dieser Datenschutzerklärung kommuniziert.
2. Prometheus-Metriken werden ausschließlich intern mit Token-Authentifizierung verarbeitet und nicht an externe Dritte übermittelt; siehe § 4.10.
3. Wir setzen grundsätzlich keine externen Tracking- oder Werbenetzwerke und keine Web-Analytics-Anbieter (z. B. Google Analytics, Matomo, Plausible, PostHog) ein.

5.1 Self-Hosted-Schriftarten. Sämtliche auf der Plattform eingesetzten Schriftarten (z. B. Inter, DM Sans, DM Mono, Poppins, Roboto, Open Sans, Montserrat, Raleway, Plus Jakarta Sans, Outfit, Lato, JetBrains Mono, Space Grotesk, Source Sans Pro, Archivo Black, Fraunces, Playfair Display, Nunito) werden ausschließlich Self-Hosted im WOFF2-Format direkt von unseren Servern ausgeliefert. Eine Verbindung zu externen Schrift-Providern (z. B. Google Fonts) findet nicht statt; Ihre IP-Adresse wird nicht an Drittanbieter zwecks Schrift-Auslieferung übermittelt.

§ 6 Datenübermittlung in Drittländer

Eine Übermittlung personenbezogener Daten außerhalb der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR) findet nur statt, soweit dies zur Erfüllung unserer Leistungen erforderlich ist oder Sie eingewilligt haben und die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind. Konkret:

1. Stripe, Inc. (USA) — Zahlungsabwicklung kann von den USA aus erfolgen. Wir stützen uns auf den Angemessenheitsbeschluss der EU-Kommission (EU-US Data Privacy Framework), dem Stripe beigetreten ist, sowie auf EU-Standardvertragsklauseln (SCC) als Fallback.
2. Cloudflare, Inc. (USA) — Bot-Protection mittels Cloudflare Turnstile. EU-US Data Privacy Framework + SCC als Fallback.
3. Intuition Machines, Inc. (USA) — Bot-Protection mittels hCaptcha. EU-US Data Privacy Framework + SCC als Fallback.
4. Google LLC (USA) — Bot-Protection mittels Google reCAPTCHA, conditional abhängig von der Setting-Auswahl des Veranstalters. EU-US Data Privacy Framework + SCC als Fallback.
5. Apple Distribution International Ltd. (Irland) — APNS ist EU/EEA-intern; Konzern-Transfers innerhalb der Apple-Gruppe sind über SCC abgesichert.
6. Frappe Cloud (Frappe Technologies Pvt. Ltd., Indien-Konzern, EWR-Hosting Frankfurt a. M.) — Hosting erfolgt im EWR; etwaige Konzern-Transfers nach Indien sind über SCC abgesichert.
7. BetterStack (EU-Region) — Heartbeat-Monitoring erfolgt in der gewählten EU-Region; ein Drittland-Transfer findet nicht statt.

OVH Cloud betreibt seine Infrastruktur innerhalb des EWR (Frankreich); eine Übermittlung in Drittländer findet insoweit nicht statt.

Sie können bei uns eine Kopie der vereinbarten Garantien (etwa Standardvertragsklauseln) sowie etwaiger Transfer-Impact-Assessments anfordern, sofern wir Ihre Daten tatsächlich in ein Drittland übertragen. Wenden Sie sich hierzu gern an unseren Datenschutz-Kontakt.

§ 7 Rechte der betroffenen Personen

Als betroffene Person im Sinne der DSGVO stehen Ihnen verschiedene Rechte zu:

1. Auskunft (Art. 15 DSGVO): Sie können Auskunft über die Sie betreffenden personenbezogenen Daten und deren Verarbeitung verlangen.
2. Berichtigung (Art. 16 DSGVO): Sie haben das Recht auf unverzügliche Berichtigung falscher oder unvollständiger Daten.
3. Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer personenbezogenen Daten verlangen, sofern die gesetzlichen Voraussetzungen erfüllt sind. Beachten Sie, dass das Löschungsrecht Einschränkungen unterliegt (z. B. wenn wir zur Aufbewahrung verpflichtet sind oder vertragliche Vereinbarungen wie ein gebuchtes Ticket bestehen). In diesen Fällen setzen wir die HMAC-Pseudonymisierung gemäß § 3.3 ein.
4. Einschränkung der Verarbeitung (Art. 18 DSGVO): Unter bestimmten Voraussetzungen können Sie verlangen, dass wir die Verarbeitung Ihrer Daten nur noch eingeschränkt fortführen.
5. Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, die Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
6. Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO): Sie können eine einmal erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.
7. Widerspruchsrecht (Art. 21 DSGVO): Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen die Verarbeitung Ihrer Daten einzulegen, sofern wir diese auf ein berechtigtes Interesse stützen. Der Verarbeitung Ihrer Daten für Direktwerbung können Sie jederzeit ohne Angabe von Gründen widersprechen.
8. Recht auf Überprüfung von Door-Decisions (entsprechend Art. 22 Abs. 3 DSGVO): Sie können eine Operator-Entscheidung am Einlass überprüfen lassen. Frist und Verfahren siehe § 4.8.
9. Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO): Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. In Bayern ist z. B. das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) zuständig.

Ausübung Ihrer Rechte: Wenden Sie sich per E-Mail an

datenschutz@cita.events oder postalisch (Adresse siehe § 1). Bitte geben Sie

ausreichend Informationen an, die uns eine Zuordnung Ihrer Person ermöglichen.

Wir werden Ihr Anliegen umgehend prüfen und entsprechend den gesetzlichen

Vorgaben beantworten. Für die Beantwortung Ihrer Anfrage entstehen Ihnen keine

Kosten.

§ 8 Pflicht zur Bereitstellung von Daten und Folgen der Nichtbereitstellung

Die Bereitstellung Ihrer personenbezogenen Daten ist teilweise gesetzlich oder vertraglich vorgeschrieben und in anderen Fällen für einen Vertragsabschluss erforderlich. Wir informieren Sie im Rahmen der Datenerhebung jeweils, welche Angaben verpflichtend und welche freiwillig sind (Pflichtfelder sind in unseren Online-Formularen in der Regel gekennzeichnet).

1. Für Teilnehmende: Für Registrierung und Buchung sind Name, E-Mail-Adresse, Login-Daten und Zahlungsinformationen erforderlich. Ohne diese Daten können wir den Nutzungsvertrag nicht schließen oder erfüllen.
2. Für Veranstalter: Für die Veranstalter-Funktionalität sind wahrheitsgemäße Angaben zu Person/Firma sowie die Teilnahme an der KYC/KYB-Verifizierung über Stripe Identity erforderlich. Ohne diese Daten und Verifizierung können wir Ihnen keinen Veranstalter-Account zur Verfügung stellen bzw. müssen bestimmte Funktionen (insbesondere das Verkaufen kostenpflichtiger Tickets und Auszahlungen) sperren.

§ 9 Stand dieser Erklärung und Änderungen

Diese Datenschutzerklärung hat den Stand April 2026 (v2026.05). Wir behalten uns vor, den Inhalt dieser Erklärung bei Bedarf anzupassen, etwa bei Weiterentwicklungen der Plattform, Einführung neuer Funktionen oder geänderter Rechtslage. Die jeweils aktuelle Datenschutzerklärung kann jederzeit auf unserer Website unter cita.events/datenschutz abgerufen werden. Wesentliche Änderungen (z. B. hinsichtlich der Zwecke der Verarbeitung oder der Empfänger Ihrer Daten) werden wir Ihnen zudem – soweit möglich – per E-Mail oder beim nächsten Login deutlich mitteilen.

§ 10 Open-Source-Komponenten und Drittsoftware-Hinweise

Die Plattform Cita Events bindet Open-Source-Komponenten unter den Lizenzen MIT, Apache 2.0, BSD-2/BSD-3, ISC, MPL-2.0 und SIL OFL 1.1 ein. Eine vollständige, versionierte Übersicht finden Sie in den Drittsoftware-Hinweisen der Plattform sowie unter cita.events/open-source. Schriftarten werden ausschließlich Self-Hosted ausgeliefert (vgl. § 5.1). Icons stammen aus den Projekten Lucide (ISC-Lizenz) und Heroicons (MIT, Refactoring UI Inc.). Diese Open-Source-Lizenzen verleihen kein Nutzungsrecht an der Cita-Events-Plattform-Software selbst; diese unterliegt der Cita-Events-EULA.

Bei Fragen oder Anliegen zum Datenschutz können Sie sich jederzeit unter den oben angegebenen Kontaktdaten an uns wenden.

Version: v2026.05