Datenschutzerklärung
Datenschutzerklärung für Cita.Events
Stand: 07.03.2026
1. Verantwortlicher
Verantwortlich für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Cita.Solutions UG (haftungsbeschränkt)
Baubergerstr. 28, 80992 München, Deutschland
Handelsregister: Amtsgericht München, HRB 297017
Geschäftsführer: Julian Henkelmann, Thomas Pallauf
E-Mail: info@cita.events
Datenschutzkontakt: datenschutz@cita.events
2. Rechtsgrundlagen der Verarbeitung
Je nach Verarbeitungsvorgang stützen wir uns auf unterschiedliche Rechtsgrundlagen gemäß Art. 6 DSGVO:
- Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Wenn die Verarbeitung zur Erbringung unserer Leistungen und zur Durchführung des Nutzungsvertrags erforderlich ist (z. B. Einrichtung Ihres Nutzerkontos, Vermittlung von Ticketkäufen und Durchführung von Events). Auch vorvertragliche Anfragen verarbeiten wir hierauf gestützt.
- Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Soweit wir einer gesetzlichen Pflicht unterliegen, Daten zu verarbeiten, geschieht dies auf dieser Grundlage. Dies kann z. B. bei Identitätsprüfungen von Veranstaltern (zur Erfüllung von Geldwäschevorschriften) oder bei der Bereitstellung eines Meldesystems nach dem Digital Services Act (DSA) der Fall sein. Ebenso bewahren wir bestimmte Geschäfts- und Zahlungsdaten aufgrund handels- und steuerrechtlicher Vorgaben auf.
- Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Wenn die Verarbeitung zur Wahrung unserer berechtigten Interessen oder derer Dritter erforderlich ist und Ihre entgegenstehenden Interessen nicht überwiegen. Unser berechtigtes Interesse liegt z. B. in der Gewährleistung der IT-Sicherheit und Betrugsprävention, der Optimierung und Weiterentwicklung unseres Angebots sowie in der notwendigen Kommunikation mit unseren Nutzern über Neuerungen der Plattform.
- Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): In Fällen, in denen wir Sie um vorherige Einwilligung bitten (z. B. für den Erhalt eines optionalen Newsletters oder bei freiwilligen Angaben im Profil), verarbeiten wir die Daten basierend auf dieser Einwilligung. Sie können eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen (siehe Ihre Rechte unter § 7).
3. Ausübung Ihrer Rechte und Speicherdauer
3.1 Ausübung Ihrer Rechte
Als primäre Anlaufstelle stellt Cita.Events
in Ihrem Nutzerprofil einen „Consent & Privacy“-Bereich bereit. Dort können
Sie – abhängig von Ihrer Rolle und den verfügbaren Funktionen – u. a.
Einwilligungen verwalten, Auszüge/Exporte anfordern und Löschanfragen stellen.
Alternativ können Sie Ihre Anfrage jederzeit per E-Mail an
datenschutz@cita.events senden. Zur Bearbeitung kann eine Identitätsprüfung
erforderlich sein.
Hinweis: Soweit Sie Betroffenenrechte bezüglich Event-/Ticketdaten geltend machen, die der jeweilige Veranstalter als Verantwortlicher verarbeitet, kann Ihre Anfrage – je nach Kontext – an den Veranstalter weitergeleitet werden oder der Veranstalter wird als zuständige Stelle benannt. Cita unterstützt Veranstalter insoweit als Auftragsverarbeiter gemäß AVV.
3.2 Speicherdauer
Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist, und löschen sie anschließend routinemäßig, sofern keine gesetzlichen Aufbewahrungspflichten einer Löschung entgegenstehen. Gesetzliche Pflichten zur Aufbewahrung bestimmter Daten (z. B. 6 Jahre für geschäftliche Korrespondenz gemäß § 257 HGB oder 10 Jahre für buchungsrelevante Daten gemäß § 147 AO) bleiben unberührt; in solchen Fällen werden die betreffenden Daten bis zum Ablauf der Frist weiterhin gespeichert, jedoch für andere Zwecke gesperrt. Sobald kein berechtigter Zweck für eine weitere Speicherung mehr besteht, werden die Daten gelöscht oder anonymisiert.
Übersicht (nicht abschließend):
| Datenkategorie | Beispiele | Regel-Speicherdauer | Trigger/Begründung |
| Kontodaten | Registrierung, Profil, Rollen | Bis Kontolöschung + 30 Tage technische Löschfrist; steuerrelevante Daten 6 bzw. 10 Jahre | Vertrag/Nutzung; Nachweis; Missbrauchsprävention; §§ 257 HGB, 147 AO |
| Event-/Ticketdaten | Buchung, Ticket-ID, Check-in | Bis Eventende + Abwicklungsphase (i.d.R. 60 Tage) + ggf. länger bei Streitfällen | Abwicklung/Support; Disputes/Chargebacks; Nachweise |
| Zahlungsdaten | Transaktions-IDs, Zahlungsstatus | 10 Jahre (steuerrechtliche Aufbewahrung gem. § 147 AO) | Steuerrecht; Nachweispflichten |
| Supportdaten | Supporttickets, Kommunikation | Bis Abschluss des Falls + 6 Monate Nachfrist | Dokumentation/Qualität; Nachweis bei Streit |
| Sicherheits-/Systemlogs | Login-/Fehler-/Auditlogs | Rotierend, typischerweise 7–90 Tage | IT-Sicherheit, Fehleranalyse, Missbrauchserkennung |
| Backups | System-Backups | Rollierend, bis zu 30–90 Tage | Disaster-Recovery; technische Wiederherstellung |
| DSA-Meldedaten | Meldungen, Evidenz, Maßnahmen | Bis Abschluss + 12 Monate Nachfrist | Gesetzliche Dokumentationspflicht (DSA) |
4. Datenverarbeitung im Rahmen der Plattformnutzung
4.1 Besuch der Webseite (Server-Logs & Cookies)
Server-Logfiles: Beim rein informatorischen Besuch unserer Website cita.events – also wenn Sie sich nicht einloggen oder aktiv Informationen übermitteln – erheben wir nur die Daten, die Ihr Browser automatisch an unseren Server übermittelt. Diese technischen Zugriffsdaten werden temporär in Logfiles gespeichert. Dazu gehören insbesondere:
- IP-Adresse des anfragenden Geräts,
- Datum und Uhrzeit des Zugriffs,
- aufgerufene Seite/Datei und HTTP-Statuscode,
- übertragene Datenmenge,
- ggf. zuvor besuchte Seite (Referrer-URL),
- verwendeter Browsertyp nebst Version, verwendetes Betriebssystem und Gerätekennung.
Diese Informationen sind für uns technisch erforderlich, um Ihnen die Webseite anzuzeigen und die Stabilität sowie Sicherheit unseres Systems zu gewährleisten. Wir verwenden die Log-Daten insbesondere, um die Website auszuliefern, um Cyberangriffe oder Missbrauch abzuwehren und um diagnostische Fehleranalysen durchzuführen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren, funktionsfähigen Webangebot). Die in den Server-Logs enthaltenen IP-Adressen werden nicht mit anderen Daten zusammengeführt und nur ausgewertet, wenn dies aus Sicherheitsgründen (z. B. Untersuchung von Angriffsversuchen) erforderlich ist. Wir löschen oder anonymisieren diese technischen Protokolle spätestens nach 30 Tagen, sofern keine weitere Aufbewahrung zu Beweiszwecken (z. B. bei Sicherheitsvorfällen) erforderlich ist.
Cookies: Die Speicherung und der Abruf technisch notwendiger Cookies auf Ihrem Endgerät erfolgt auf Grundlage von § 25 Abs. 2 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz). Die damit verbundene Verarbeitung personenbezogener Daten stützen wir auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Unsere Plattform verwendet Cookies ausschließlich in dem Umfang, wie sie technisch notwendig sind, um die grundlegenden Funktionen bereitzustellen. Hierbei handelt es sich vor allem um Session-Cookies bzw. funktionale Cookies, z. B. um Ihren Login-Status aufrechtzuerhalten oder Einstellungen (wie z. B. die gewählte Sprache) zu speichern. Technisch notwendige Cookies enthalten keine personenbezogenen Profile über Ihr Nutzungsverhalten, sondern sorgen lediglich dafür, dass die Webseite und die geschützten Bereiche korrekt funktionieren.
Da wir keine Tracking- oder Werbe-Cookies von Drittanbietern einsetzen, ist derzeit kein Einwilligungs-Banner erforderlich. Sollten wir in Zukunft optionale Analyse- oder Marketing-Cookies nutzen wollen, würden wir hierfür vorab Ihre Einwilligung einholen. Sie haben zudem die Möglichkeit, Cookies generell über Ihre Browser-Einstellungen zu blockieren oder zu löschen; dies kann allerdings die Nutzung einiger Funktionen der Plattform beeinträchtigen.
4.2 Registrierung und Login
Nutzerkonto: Wenn Sie sich auf Cita.Events registrieren (als Teilnehmer oder als Veranstalter), erheben wir verschiedene Stammdaten, die für die Einrichtung und Nutzung Ihres Nutzerkontos erforderlich sind. Zu den Pflichtangaben bei der Registrierung zählen in der Regel Ihr Name, Ihre E-Mail-Adresse sowie ein selbst gewähltes Passwort (wird verschlüsselt gespeichert). Je nach Nutzerrolle und Funktionsumfang können weitere Angaben erforderlich oder optional sein – z. B. Geburtsdatum (oder -jahr) zur Altersverifikation bei bestimmten Events, Anschrift oder Unternehmensname (bei Veranstaltern), Profilinformationen oder Einstellungen. Diese Daten benötigen wir, um Ihnen den Zugang zur Plattform und deren Funktionen zu ermöglichen und um zwischen Ihnen und uns den entsprechenden Nutzungsvertrag zu begründen und zu erfüllen. Ohne Bereitstellung dieser Angaben ist eine Registrierung und Nutzung geschützter Bereiche der Plattform nicht möglich. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Login und Accountnutzung: Beim Login prüft unser System Ihre Zugangsdaten (E-Mail und Passwort). Nach erfolgreicher Anmeldung wird eine Session erstellt, sodass Sie im eingeloggten Bereich agieren können. Zu Sicherheitszwecken speichern wir bei Logins und wichtigen Kontoaktionen ggf. protokollarisch Daten (z. B. Zeitpunkt des Logins, verwendetes Gerät/IP-Adresse), um unberechtigte Zugriffe zu erkennen und Konten vor Missbrauch zu schützen (Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO, berechtigtes Interesse an Sicherheit). In Ihrem Nutzerkonto können Sie Ihre hinterlegten Daten einsehen und verwalten. Bitte behandeln Sie Ihre Zugangsdaten vertraulich und schützen Sie Ihr Passwort vor Dritten. Sie können Ihr Konto jederzeit löschen; in diesem Fall werden wir Ihre personenbezogenen Daten aus dem aktiven System innerhalb von 30 Tagen entfernen, soweit sie nicht für Abrechnungszwecke oder aufgrund gesetzlicher Pflichten weiterhin gespeichert werden müssen (siehe Speicherdauer § 3.2).
4.3 Veranstalter-Onboarding und KYC-Verifikation
Wenn Sie Cita.Events als Veranstalter nutzen möchten, fragen wir im Rahmen des Onboarding-Prozesses zusätzliche Informationen ab, da Veranstalter in der Regel Unternehmer/Vereine sind und kostenpflichtige Events anbieten. Sie müssen zunächst ein normales Benutzerkonto erstellen und können dieses dann zum Veranstalter-Account hochstufen. Dazu sind folgende zusätzliche Daten erforderlich:
- Unternehmens-/Organisationsdaten: Name bzw. Firmierung, Rechtsform, Anschrift, ggf. Handelsregisternummer oder USt-IdNr., Branche und ähnliche Angaben, die Ihr Unternehmen/Ihre Organisation beschreiben.
- Kontaktdaten eines Ansprechpartners: Name einer vertretungsberechtigten Person (z. B. Inhaber oder Geschäftsführer), E-Mail-Adresse und Telefonnummer für Rückfragen.
- Zahlungsempfänger-Informationen: Für die Auszahlung von Ticketgeldern hinterlegen Sie ein Stripe-Connect-Konto. Hierbei werden weitere Angaben zur Person bzw. zum Unternehmen und eine Bankverbindung (IBAN/BIC) benötigt. Diese Daten werden über eine Schnittstelle direkt an unseren Zahlungsdienstleister Stripe übermittelt, der die Auszahlung an Sie abwickelt. Im Zuge dessen führt Stripe eine Know-Your-Customer (KYC)-Prüfung durch, bei der ggf. Identitätsnachweise verlangt werden (z. B. Ausweisdokument, Handelsregisterauszug oder Gewerbeanmeldung).
Unterauftragsverarbeiter (Subprozessoren): Für den Betrieb der Plattform setzt Cita sorgfältig ausgewählte Dienstleister ein (z. B. Hosting/IT-Infrastruktur, Versand von System-E-Mails). Eine jeweils aktuelle Liste der Unterauftragsverarbeiter wird als Register bereitgestellt (z. B. im Kundenkonto bzw. auf Anfrage in Textform). Soweit Dienstleister außerhalb des EWR eingesetzt werden, stellt Cita geeignete Garantien nach Art. 44 ff. DSGVO sicher (z. B. Standardvertragsklauseln).
Die Erhebung und Überprüfung dieser Daten erfolgt, um Ihre Identität und Seriosität als Veranstalter festzustellen und gesetzlichen Anforderungen (insbesondere aus dem Geldwäschegesetz und den Stripe-Vorgaben) gerecht zu werden. Erst nach erfolgreicher Verifizierung können Sie kostenpflichtige Veranstaltungen veröffentlichen und Zahlungen empfangen. Sollte sich an den Angaben etwas ändern oder ein Betrugsverdacht bestehen, kann eine erneute Verifikation erforderlich sein. Cita.Events behält sich vor, Veranstalter-Accounts bis zur abgeschlossenen Überprüfung nur eingeschränkt freizuschalten oder abzulehnen, falls berechtigte Zweifel an der Identität oder Zuverlässigkeit bestehen.
Rechtsgrundlagen: Die Verarbeitung der genannten Veranstalter-Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Durchführung des Vertrags mit dem Veranstalter, der ohne KYC-Prüfung nicht sinnvoll erfüllt werden kann) sowie Art. 6 Abs. 1 lit. c DSGVO (Einhaltung gesetzlicher Vorschriften, z. B. Pflicht zur Identitätsfeststellung nach Finanz- und Geldwäschevorschriften). Zudem liegt ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) von uns und den Teilnehmern vor, nur verifizierten, seriösen Veranstaltern die Plattformnutzung zu gestatten, um Missbrauch und Betrug vorzubeugen.
Hinweis Auftragsverarbeitung: Im Verhältnis zu den Teilnehmern gilt der jeweilige Veranstalter als eigenständig Verantwortlicher für die Datenverarbeitung rund um sein Event (Ticketkaufvertrag zwischen Veranstalter und Teilnehmer). Cita.Events agiert insoweit als Auftragsverarbeiter für den Veranstalter, wenn wir Teilnehmerdaten im Rahmen der Ticketbuchung, Zahlung und Veranstaltungsdurchführung in seinem Auftrag verarbeiten. Mit jedem Veranstalter schließen wir dazu einen Vertrag zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO ab, der den rechtskonformen Umgang mit Teilnehmerdaten sicherstellt. (Weitere Details dazu finden Veranstalter in den Plattformvereinbarung, Anhang B.)
4.4 Ticketbuchung durch Teilnehmer (inkl. Zahlungsabwicklung)
Wenn Sie als Teilnehmer über Cita.Events ein Ticket für eine Veranstaltung buchen, verarbeiten wir Ihre dafür erforderlichen personenbezogenen Daten und übermitteln sie an den Veranstalter des Events sowie an den Zahlungsdienstleister:
- Teilnehmer-Stammdaten: Ihr Name und Ihre E-Mail-Adresse (damit der Veranstalter Sie identifizieren und kontaktieren kann, z. B. für Event-Updates oder bei Änderungen).
- Altersangabe: Sofern für das Event relevant (z. B. Altersbeschränkung), Ihr Geburtsdatum oder -jahr zur Altersüberprüfung.
- Buchungs- und Ticketdaten: Informationen zur gebuchten Veranstaltung (Event-ID, Ticketkategorie, Anzahl Tickets) und ein eindeutiger Teilnehmer- bzw. Ticketcode. Dieser Code (z. B. in Form eines QR-Codes auf dem Ticket) dient der Verifikation beim Check-in am Veranstaltungsort. Zudem wird der aktuelle Ticket-Status verwaltet (gebucht, bezahlt, storniert, eingecheckt etc.), der dem Veranstalter in unserem System angezeigt wird.
- Zahlungsdaten: Für den Kaufabschluss werden Sie aufgefordert, Zahlungsinformationen einzugeben (z. B. Kreditkartendaten oder andere vom Veranstalter angebotene Zahlungsmittel). Die Zahlungsabwicklung erfolgt über Stripe – wir binden Stripe als externen Zahlungsdienstleister ein. Ihre Zahlungsdaten (z. B. Kartennummer, Gültigkeit, Prüfziffer oder Kontodaten) geben Sie dabei direkt in ein Stripe-Zahlungsformular ein, das in unsere Seite integriert ist. Diese Zahlungsdaten werden nicht von Cita.Events gespeichert, sondern von Stripe erhoben und verarbeitet. Wir erhalten von Stripe anschließend lediglich Informationen über den Zahlungsstatus (erfolgreich, fehlgeschlagen etc.) und eine eindeutige Zahlungs-ID, um die Buchung zuordnen zu können.
Die genannten Datenverarbeitungen erfolgen ausschließlich zum Zweck der Durchführung der Ticketbuchung und Veranstaltungsabwicklung. Wir übermitteln dem jeweiligen Veranstalter die notwendigen Teilnehmerdaten (Name, E-Mail, Alter und Buchungsdetails), damit dieser das Event organisieren, den Einlass verwalten (Check-in) und ggf. mit Ihnen in Kontakt treten kann. Cita.Events speichert Ihre Buchungsdaten zudem, um dem Veranstalter und Ihnen im Nutzerkonto einen Überblick über aktuelle und vergangene Tickets zu bieten.
Rechtsgrundlagen: Die Verarbeitung Ihrer Teilnehmerdaten für Ticketbuchungen erfolgt auf Basis von Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Ticketkaufvertrags, dessen Vermittlung über unsere Plattform erfolgt). Ohne diese Daten ist eine Ticketbestellung nicht möglich. Die Weitergabe an den Veranstalter ist integraler Vertragsbestandteil, da der Ticketkaufvertrag zwischen Ihnen und dem Veranstalter zustande kommt und dieser Ihre Daten zur Durchführung des Events benötigt. Die Zahlungsdatenverarbeitung durch Stripe erfolgt in erster Linie auf Basis des Vertrags zwischen Ihnen und Stripe bzw. dem Veranstalter und Stripe; wir binden Stripe ein, um die vertragliche Zahlungsverpflichtung zu erfüllen. Soweit wir Zahlungsinformationen erhalten (z. B. Transaktions-ID), verarbeiten wir diese auf Grundlage von Art. 6 Abs. 1 lit. b (Zahlungsabwicklung) und lit. f DSGVO (unser berechtigtes Interesse an einer reibungslosen Zahlungsabwicklung und Betrugsprävention).
Hinweise: Der Veranstalter kann die genannten Teilnehmerdaten über sein Cita.Events-Account einsehen und für die Organisation des Events verwenden. Er ist verpflichtet, diese Daten zweckgebunden und im Einklang mit den Datenschutzgesetzen zu nutzen (siehe AV-Vertrag unter § 4.3). Beachten Sie, dass der Veranstalter ggf. eigene Informationspflichten Ihnen gegenüber hat, z. B. durch eine eigene Datenschutzerklärung für Teilnehmer seines Events. Bei Fragen dazu können Sie sich an den jeweiligen Veranstalter wenden.
Stripe wird als Payment-Provider
eigenverantwortlich tätig, insbesondere was die Verarbeitung von Zahlungsdaten
und die Durchführung von Identitätsprüfungen (Kartenprüfung, Betrugserkennung)
angeht. Weitere Informationen finden Sie in der Datenschutzerklärung von Stripe
unter https://stripe.com/de/privacy. Wir selbst speichern keine vollständigen
Zahlungsdaten wie Kreditkartennummern in unseren Systemen.
4.5 Kommunikation und Support (E-Mails, Anfragen)
Support- und Kontaktanfragen: Wenn Sie mit uns in Kontakt treten – etwa per E-Mail an unseren Support oder über ein Kontaktformular – verarbeiten wir die von Ihnen mitgeteilten Daten (Name, E-Mail-Adresse, Inhalt der Anfrage und evtl. weitere freiwillige Angaben) ausschließlich zu dem Zweck, Ihre Anliegen zu bearbeiten und zu beantworten. Je nach Kontext erfolgt dies auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung/vorvertragliche Maßnahmen) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung Ihrer Anfrage). Wir nutzen die Daten nur intern zur Bearbeitung Ihrer Anfrage und geben sie nicht ohne Ihre Zustimmung an Dritte weiter. Nachdem Ihr Anliegen abschließend geklärt ist, löschen wir Ihre Anfrage sowie die damit verbundenen personenbezogenen Daten wieder, sofern keine gesetzlichen Aufbewahrungspflichten bestehen (z. B. müssen geschäftliche E-Mail-Korrespondenzen ggf. für 6 Jahre archiviert werden).
Transaktions-E-Mails: Im Rahmen der Plattformnutzung ist es erforderlich, dass wir Sie über bestimmte Vorgänge per E-Mail informieren. Dazu zählen z. B. Bestätigungs-Mails nach einer Ticketbuchung, Zahlungsbelege, Benachrichtigungen bei wichtigen Änderungen (etwa Eventabsagen oder Updates der AGB/Datenschutzerklärung) oder sicherheitsrelevante Hinweise (z. B. bei ungewöhnlichen Kontoaktivitäten). Der Versand solcher transaktionalen E-Mails erfolgt ohne gesonderte Einwilligung auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und/oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Diese E-Mails enthalten keine Werbung, sondern nur sachliche Informationen im Kontext Ihrer Nutzung.
Newsletter und Werbung: Wir versenden keine Newsletter oder Werbe-E-Mails, sofern Sie nicht ausdrücklich zugestimmt haben. Sie werden von uns also nur dann Marketing- oder Newsletter-E-Mails erhalten, wenn Sie uns dafür eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO erteilt haben (etwa durch aktive Anmeldung zu einem Newsletter). Selbstverständlich können Sie eine erteilte Einwilligung jederzeit widerrufen: In jeder optionalen Newsletter-Mail findet sich ein Abmeldelink, und in Ihren Konto-Einstellungen können Sie den Erhalt freiwilliger Benachrichtigungen abschalten.
E-Mail-Dienstleister: Für den Versand von E-Mails (Transaktionsmails sowie ggf. Newsletter) setzen wir externe Dienstleister ein. Aktuell nutzen wir hierfür die STRATO AG (SMTP-Versand) sowie OVH Cloud (ergänzende Infrastruktur). Diese verarbeiten in unserem Auftrag die E-Mail-Adressen und Inhalte zum Zweck des Versands. Mit den Dienstleistern bestehen Verträge zur Auftragsverarbeitung; sie dürfen die Daten nicht für eigene Zwecke nutzen und sind an die EU-Datenschutzstandards gebunden. Beide Dienstleister betreiben ihre Infrastruktur innerhalb des EWR (Deutschland bzw. Frankreich).
4.6 Meldesystem für Rechtsverstöße (Notice-&-Action nach DSA)
Meldestelle: Rechtsverstöße oder
rechtswidrige Inhalte/Events können Sie per E-Mail an datenschutz@cita.events
melden (Betreff: „DSA-Meldung“). Sofern verfügbar, können Meldungen auch direkt
über eine Meldefunktion innerhalb der Plattform (z. B. auf Event-Seiten)
eingereicht werden.
Unsere Plattform unterliegt den Vorschriften des Digital Services Act (DSA), da Nutzer eigene Inhalte einstellen (z. B. Veranstaltungsbeschreibungen). Gemäß Art. 16 DSA stellen wir ein Meldesystem bereit, über das Sie uns rechtswidrige Inhalte oder Verstöße gegen unsere Richtlinien melden können (sog. „Notice-and-Action“-Verfahren). Wenn Sie von dieser Möglichkeit Gebrauch machen und uns eine Meldung zu einem bestimmten Inhalt oder Nutzer zukommen lassen, verarbeiten wir die darin enthaltenen personenbezogenen Daten wie folgt:
- Inhalt der Meldung: Wir speichern die Angaben, die Sie im Meldeformular machen, insbesondere die Beschreibung des beanstandeten Inhalts und die Begründung, warum Sie diesen für rechtswidrig halten, sowie Informationen zum Standort des Inhalts (z. B. genaue URL oder Event-ID). Wir verwenden diese Angaben ausschließlich, um den gemeldeten Sachverhalt zu prüfen, geeignete Maßnahmen zu ergreifen und um unseren gesetzlichen Dokumentationspflichten nachzukommen.
- Daten der meldenden Person: Sie können im Rahmen der Meldung – müssen aber nicht – Ihren Namen und Ihre E-Mail-Adresse angeben. Wenn Sie Ihre Kontaktdaten angeben, können wir Sie über das Ergebnis der Meldungsprüfung informieren oder Rückfragen stellen. Sofern Sie keine Kontaktdaten nennen, können Sie auch anonym melden. Geben Sie jedoch freiwillig Ihre Identität preis, behandeln wir diese Information vertraulich und nutzen sie nur intern zur Bearbeitung des Falls.
Die Verarbeitung dieser Meldedaten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit Art. 16 DSA, da wir gesetzlich verpflichtet sind, ein solches Meldesystem zu betreiben und eingehende Meldungen zu bearbeiten. Ggf. stützen wir uns zusätzlich auf Art. 6 Abs. 1 lit. f DSGVO, da wir ein berechtigtes Interesse daran haben, unsere Plattform frei von rechtswidrigen Inhalten zu halten. Wir bewahren die Meldungen und zugehörigen Daten so lange auf, wie es zur Bearbeitung und zur Nachweisführung über die erfolgten Maßnahmen erforderlich ist.
Bitte beachten Sie, dass wir bei bestimmten schwerwiegenden Verstößen gesetzlich verpflichtet sein können, Strafverfolgungsbehörden zu informieren oder mit ihnen zusammenzuarbeiten (vgl. AGB § 4.4). In solchen Fällen kann es notwendig sein, die Inhalte der Meldung sowie relevante personenbezogene Daten an die zuständigen Behörden weiterzugeben. Dies erfolgt jedoch nur im Rahmen der gesetzlichen Vorgaben und unter Wahrung Ihrer Rechte.
5. Empfänger von Daten und Kategorien von Empfängern
Ihre personenbezogenen Daten werden grundsätzlich nicht an Dritte verkauft oder unkontrolliert weitergegeben. Wir übermitteln Daten nur, wenn dies zur Erfüllung unserer Dienste notwendig ist, Sie eingewilligt haben oder wir aufgrund einer gesetzlichen Bestimmung bzw. behördlichen Anordnung dazu verpflichtet sind. Im Folgenden nennen wir die wichtigsten Empfänger bzw. Kategorien von Empfängern:
- Veranstalter: Wenn Sie an einem Event teilnehmen, erhält der jeweilige Veranstalter des Events die unter § 4.4 genannten Teilnehmerdaten (Name, Kontakt, Altersangabe, Ticketinfo). Dies ist notwendig, damit der Veranstalter das Event durchführen kann (Vertrag zwischen Teilnehmer und Veranstalter). Der Veranstalter ist für diese empfangenen Daten eigener Verantwortlicher und verwendet sie ausschließlich für den vorgesehenen Zweck (Durchführung der Veranstaltung). Mit allen Veranstaltern haben wir einen Auftragsverarbeitungsvertrag geschlossen, der u. a. sicherstellt, dass Teilnehmerdaten vertraulich behandelt und nicht zu fremden Zwecken genutzt werden.
- Zahlungsdienstleister (Stripe):
- Zur Abwicklung von Zahlungen für Ticketkäufe binden wir Stripe, Inc. (Stripe
- Payments Europe Ltd. für EU-Nutzer) ein. Stripe erhält die für die Zahlung
- notwendigen Daten (z. B. Zahlungsbetrag, Währung, ggf. Ihre E-Mail sowie
- die von Ihnen eingegebenen Zahlungsinformationen). Stripe verarbeitet diese
- Daten zur Durchführung der Transaktion und ggf. zur Betrugsvorbeugung unter
- Einhaltung eigener regulatorischer Pflichten. Stripe kann in diesem
- Zusammenhang auch als eigenständiger Verantwortlicher agieren (insbesondere für
- die Erfüllung von Compliance-Vorschriften wie KYC oder zur Betrugserkennung).
- Weitere Informationen zum Datenschutz bei Stripe finden Sie unter
- https://stripe.com/de/privacy.
- Hosting- und IT-Dienstleister: Die technische Infrastruktur der Plattform wird durch externe Hosting-Provider bereitgestellt (Frappe Cloud, Frankfurt a. M.; OVH Cloud, Frankreich). Diese verarbeiten personenbezogene Daten in unserem Auftrag und nach unseren Weisungen. Alle derartigen Dienstleister wurden sorgfältig ausgewählt und vertraglich als Auftragsverarbeiter nach Art. 28 DSGVO verpflichtet.
- E-Mail-Service: Für den Versand von E-Mails an unsere Nutzer bedienen wir uns der STRATO AG (SMTP-Versand) sowie OVH Cloud (ergänzende Infrastruktur). Diese erhalten die notwendigen Daten (E-Mail-Adressen, Namen, E-Mail-Inhalte) und versenden die Nachrichten in unserem Auftrag. Auch hier liegt eine Auftragsverarbeitung vor; die Dienstleister sind vertraglich auf Datenschutz und Datensicherheit verpflichtet. Beide Dienstleister betreiben ihre Infrastruktur innerhalb des EWR.
- Weitere Empfänger in Einzelfällen: In bestimmten Situationen kann eine Weitergabe an zusätzliche Empfänger erforderlich sein, z. B. an Behörden oder Gerichte, wenn wir dazu gesetzlich verpflichtet sind (etwa im Rahmen von Ermittlungen oder Steuerprüfungen), oder an Rechtsberater/Inkassodienstleister, falls dies zur Durchsetzung unserer Forderungen oder zur Verteidigung unserer Rechte notwendig wird. In all diesen Fällen achten wir streng darauf, dass die Weitergabe nur im gesetzlich zulässigen Rahmen erfolgt und die Vertraulichkeit Ihrer Daten gewahrt bleibt.
Wir setzen grundsätzlich keine externen Tracking- oder Werbenetzwerke ein, die Zugriff auf Ihre Daten erhalten könnten. Sollten wir in Zukunft weitere Dienstleister hinzuziehen oder Partner integrieren, werden wir unsere Datenschutzerklärung entsprechend ergänzen und Sie informieren.
6. Datenübermittlung in Drittländer
Eine Übermittlung personenbezogener Daten außerhalb der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR) findet nur statt, soweit dies zur Erfüllung unserer Leistungen erforderlich ist oder Sie eingewilligt haben und die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind. Konkret bedeutet dies:
Unser Zahlungsanbieter Stripe, Inc. (USA) kann von den USA aus auf Daten zugreifen. Für solche Fälle stellen wir sicher, dass beim Empfänger ein angemessenes Datenschutzniveau gewährleistet ist. Dies geschieht durch den Angemessenheitsbeschluss der EU-Kommission (EU‑US Data Privacy Framework, dem Stripe beigetreten ist) sowie durch den Abschluss von EU-Standardvertragsklauseln (SCCs) als Fallback. Zusätzlich prüfen wir, ob weitere Schutzmaßnahmen erforderlich sind, und überwachen regelmäßig, dass unsere Dienstleister die Datenschutzvorgaben einhalten.
Die übrigen von uns eingesetzten Dienstleister (Frappe Cloud, STRATO AG, OVH Cloud) betreiben ihre Infrastruktur innerhalb des EWR (Deutschland bzw. Frankreich). Eine Übermittlung in Drittländer findet insoweit nicht statt.
Sie können bei uns eine Kopie der vereinbarten Garantien (etwa Standardvertragsklauseln) anfordern, sofern wir Ihre Daten tatsächlich in ein Drittland übertragen. Wenden Sie sich hierzu gern an unseren Datenschutz-Kontakt.
7. Rechte der betroffenen Personen
Als betroffene Person im Sinne der DSGVO stehen Ihnen verschiedene Rechte zu, die Sie uns gegenüber geltend machen können. Im Einzelnen haben Sie das Recht:
- Auskunft (Art. 15 DSGVO): Sie können Auskunft darüber verlangen, welche personenbezogenen Daten wir von Ihnen gespeichert haben und wie diese verarbeitet werden. Dies umfasst auch weitere Informationen wie die Verarbeitungszwecke, die Kategorien der Daten, die Empfänger und die geplante Speicherdauer.
- Berichtigung (Art. 16 DSGVO): Sie haben das Recht, unverzüglich die Berichtigung falscher oder unvollständiger personenbezogener Daten zu verlangen.
- Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer personenbezogenen Daten verlangen, sofern die gesetzlichen Voraussetzungen erfüllt sind. Beachten Sie, dass das Löschungsrecht Einschränkungen unterliegt (z. B. wenn wir zur Aufbewahrung verpflichtet sind).
- Einschränkung der Verarbeitung (Art. 18 DSGVO): Unter bestimmten Voraussetzungen können Sie verlangen, dass wir die Verarbeitung Ihrer Daten nur noch eingeschränkt fortführen.
- Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, die Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Auf Wunsch – und sofern technisch machbar – können wir diese Daten auch direkt einem anderen Verantwortlichen übertragen.
- Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO): Sie können eine einmal erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der Verarbeitung bis zum Zeitpunkt des Widerrufs.
Widerspruchsrecht (Art. 21 DSGVO): Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten einzulegen, sofern wir diese auf ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) stützen. Legen Sie Widerspruch ein, werden wir die Verarbeitung Ihrer Daten einstellen, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die Ihre Interessen überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Der Verarbeitung Ihrer Daten für Direktwerbung können Sie jederzeit ohne Angabe von Gründen widersprechen; in dem Fall werden wir Ihre Daten nicht mehr für Werbezwecke nutzen.
- Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO): Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, steht Ihnen das Recht zu, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. In Bayern ist z. B. das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) zuständig.
Ausübung Ihrer Rechte: Sie können Ihre oben
genannten Rechte jederzeit formlos gegenüber uns geltend machen. Am einfachsten
wenden Sie sich per E-Mail an datenschutz@cita.events mit Ihrem Anliegen.
Alternativ können Sie uns auch postalisch (Adresse siehe oben) kontaktieren.
Bitte geben Sie hierbei ausreichend Informationen an, die uns eine Zuordnung
Ihrer Person ermöglichen (z. B. Ihren Namen, die verwendete E-Mail-Adresse
und falls vorhanden eine Kundennummer), damit wir Ihre Anfrage bearbeiten können.
Wir werden Ihr Anliegen dann umgehend prüfen und entsprechend den gesetzlichen
Vorgaben beantworten. Für die Beantwortung Ihrer Anfrage entstehen Ihnen keine
Kosten.
8. Pflicht zur Bereitstellung von Daten und Folgen der Nichtbereitstellung
Die Bereitstellung Ihrer personenbezogenen Daten ist teilweise gesetzlich oder vertraglich vorgeschrieben und in anderen Fällen für einen Vertragsabschluss erforderlich. Wir informieren Sie im Rahmen der Datenerhebung jeweils, welche Angaben verpflichtend und welche freiwillig sind (Pflichtfelder sind in unseren Online-Formularen in der Regel gekennzeichnet).
- Für Teilnehmer: Wenn Sie die Leistungen von Cita.Events als Teilnehmer in Anspruch nehmen möchten (z. B. Registrierung eines Kontos, Buchung von Tickets), müssen Sie diejenigen Basisdaten angeben, die für die Bereitstellung der Plattform und die Abwicklung der Ticketkäufe unabdingbar sind – etwa Name, E-Mail-Adresse, Login-Daten sowie Zahlungsinformationen bei Käufen. Ohne diese Daten können wir den Nutzungsvertrag nicht schließen oder erfüllen; eine Registrierung oder Ticketbuchung ist dann nicht möglich.
- Für Veranstalter: Wenn Sie als Veranstalter Events über Cita.Events anbieten wollen, sind Sie vertraglich verpflichtet, wahrheitsgemäße Angaben zu Ihrer Person bzw. Firma zu machen. Insbesondere müssen Sie die im Registrierungsprozess abgefragten Kontaktdaten und Unternehmensinformationen vollständig bereitstellen und an der Identitätsverifizierung (KYC) teilnehmen. Sollten Sie die erforderlichen Daten nicht bereitstellen oder die KYC-Prüfung verweigern, können wir Ihnen keinen Veranstalter-Account zur Verfügung stellen bzw. müssen bestimmte Funktionen (insbesondere das Verkaufen kostenpflichtiger Tickets und Auszahlungen) sperren.
Zusammengefasst: Für die Nutzung unserer Plattform ist die Bereitstellung bestimmter personenbezogener Daten unerlässlich. Wenn Sie diese Daten nicht angeben möchten, können Sie die entsprechenden Dienste nicht nutzen.
9. Stand dieser Erklärung und Änderungen
Diese Datenschutzerklärung hat den Stand März 2026. Wir behalten uns vor, den Inhalt dieser Erklärung bei Bedarf anzupassen, etwa bei Weiterentwicklungen der Plattform, Einführung neuer Funktionen oder geänderter Rechtslage. Die jeweils aktuelle Datenschutzerklärung kann jederzeit auf unserer Website unter cita.events/datenschutz abgerufen werden. Wesentliche Änderungen (z. B. hinsichtlich der Zwecke der Verarbeitung oder der Empfänger Ihrer Daten) werden wir Ihnen zudem – soweit möglich – per E-Mail oder beim nächsten Login deutlich mitteilen. Bitte informieren Sie sich gelegentlich über den aktuellen Stand dieser Erklärung.
Bei Fragen oder Anliegen zum Datenschutz können Sie sich jederzeit unter den oben angegebenen Kontaktdaten an uns wenden.
Version: v2026.03