Datenschutzerklärung

Verantwortlicher und Kontakt

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist die nachstehend genannte Gesellschaft. Einen externen Datenschutzbeauftragten haben wir nicht bestellt, da hierfür keine gesetzliche Pflicht besteht.

Für sämtliche Anliegen zum Datenschutz erreichen Sie uns unter [email protected].

on:Tickets (on:NetworkAgency UG)
Holstenhofweg 54
22043 Hamburg
Deutschland

Telefon: +49 (40) 70 2929 97
E-Mail: [email protected]

Anwendungsbereich und Rollen

Diese Datenschutzerklärung beschreibt, welche personenbezogenen Daten on:Tickets als Plattformbetreiber verarbeitet — insbesondere im Zusammenhang mit dem Besuch der Website ontickets.de, der Erstellung eines Käufer-Kontos, dem Ticketkauf sowie dem Betrieb des Veranstalter-Dashboards.

Vermittler-Modell: on:Tickets ist eine Ticketing-Plattform, über die Veranstalter Tickets für ihre eigenen Events vertreiben. Soweit personenbezogene Daten an den jeweiligen Veranstalter übermittelt werden, damit dieser den Ticketkaufvertrag erfüllen kann, ist der Veranstalter eigenständig Verantwortlicher im Sinne der DSGVO und verfügt über eine eigene Datenschutzerklärung.

Soweit on:Tickets Daten im Auftrag eines Veranstalters verarbeitet (z. B. bei individuell vom Veranstalter ausgelösten Mailings), erfolgt dies auf Grundlage eines Auftragsverarbeitungsvertrags (AVV).

Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung einer funktionsfähigen Plattform sowie unserer Leistungen erforderlich ist oder soweit eine wirksame Einwilligung vorliegt.

Rechtsgrundlagen unserer Verarbeitungen sind insbesondere:

Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (z. B. Cookies, Newsletter); Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung und vorvertragliche Maßnahmen (z. B. Ticketkauf, Konto-Registrierung); Art. 6 Abs. 1 lit. c DSGVO — rechtliche Verpflichtung (z. B. handels- und steuerrechtliche Aufbewahrung); Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse (z. B. IT-Sicherheit, Bot-Schutz, Plattform-Stabilität).

Speicherdauer: Personenbezogene Daten werden gelöscht, sobald sie für den Zweck nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten (insbesondere 6 oder 10 Jahre nach HGB/AO) entgegenstehen.

Bereitstellung der Website und Logfiles

Beim Aufruf von ontickets.de werden automatisch Daten an unsere Server übermittelt, die in Server-Logfiles gespeichert werden: IP-Adresse des anfragenden Geräts (gekürzt, soweit für den Betrieb möglich), Datum und Uhrzeit des Zugriffs, aufgerufene URL und Referrer, HTTP-Statuscode und übertragene Datenmenge, verwendeter Browser, Betriebssystem und Sprachversion.

Zweck: technische Bereitstellung der Website, Abwehr von Angriffen, Stabilität und Fehleranalyse. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Speicherdauer: in der Regel maximal 14 Tage, sofern keine sicherheitsrelevanten Ereignisse längere Speicherung erfordern.

Käufer-Konto und Authentifizierung

Wer ein on:Tickets-Konto anlegt oder Tickets kauft, gibt mindestens folgende Daten an: E-Mail-Adresse, Vor- und Nachname, ggf. Telefonnummer, bei Ticketkauf zusätzlich für die Eventteilnahme erforderliche Angaben (z. B. Adresse, weitere Gastdaten bei personalisierten Tickets).

Anmeldeverfahren: Magic Link — Anmeldung über einen Einmal-Login-Link, der an die hinterlegte E-Mail gesendet wird. Es werden Tokens (gehasht) sowie der Versandzeitpunkt gespeichert. Microsoft Entra SSO (optional) — Single Sign-On über Microsoft-Konten von Veranstalter-Organisationen; verarbeitet werden Name, E-Mail, Tenant-ID. Mehr-Faktor-Authentifizierung (TOTP) — bei Aktivierung wird ein verschlüsseltes TOTP-Secret im Konto hinterlegt.

Zweck: sichere Authentifizierung und Schutz des Kontos vor unbefugtem Zugriff. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (Kontosicherheit).

Ticketkauf und Veranstalter-Übermittlung

Beim Kauf eines Tickets verarbeiten wir folgende Daten zur Abwicklung des Vertrags: Bestelldaten (Event, Ticketkategorie, Anzahl, Preis, Service-Gebühr), Käuferdaten (Name, E-Mail, ggf. Adresse, Telefonnummer), bei personalisierten Tickets Gastdaten je Ticket sowie Zahlungsdaten (siehe Abschnitt „Zahlungsabwicklung").

Übermittlung an den Veranstalter: Damit der Veranstalter den Ticketkaufvertrag erfüllen kann (insbesondere Einlass, Kommunikation zum Event, etwaige Rückerstattungen), übermitteln wir die Käufer- und Gastdaten an den jeweiligen Veranstalter. Der Veranstalter ist ab Zugang der Daten ein eigener datenschutzrechtlich Verantwortlicher.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Speicherdauer: für die Dauer des Vertragsverhältnisses sowie für die anschließende handels- und steuerrechtliche Aufbewahrungsfrist (regelmäßig 10 Jahre).

Zahlungsabwicklung

Die Zahlungsabwicklung erfolgt über externe Zahlungsdienstleister. Die zur Zahlungsabwicklung erforderlichen Daten (z. B. Karteninhaber, Kartennummer, IBAN, Zahlungsbetrag) werden direkt an den jeweiligen Zahlungsdienstleister übermittelt und dort verarbeitet. on:Tickets erhält in der Regel nur eine Bestätigung über den Status der Zahlung sowie eine pseudonymisierte Transaktions-ID.

Eingesetzte Zahlungsdienstleister: Stripe Payments Europe, Ltd., Dublin, Irland (Kreditkarte, SEPA, Apple Pay, Google Pay, Stripe Connect — Auszahlung an Veranstalter); PayPal (Europe) S.à r.l. et Cie, S.C.A., Luxemburg (Zahlung per PayPal).

Bei Zahlung per Rechnung, Vorkasse oder SEPA-Lastschrift direkt (B2B / Sammelrechnungen) werden Kontaktdaten und Bankverbindung zur Rechnungsstellung und Verbuchung verarbeitet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufzeichnungspflichten).

E-Mail-Versand (Tickets, Benachrichtigungen, Transaktionsmails)

Wir versenden im Rahmen des Plattformbetriebs Transaktionsmails (Bestellbestätigungen, Tickets, Magic-Link-Logins, Erstattungsbestätigungen, Hinweise des Veranstalters etc.).

Der Versand erfolgt primär über Microsoft Azure Communication Services (ACS Email), hilfsweise über Microsoft Graph API. Anbieter: Microsoft Ireland Operations Ltd., One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland.

Versandstatus (Empfänger, Sender, Zeitstempel, Status, Message-ID) werden in unserem System protokolliert, um Zustellprobleme zu diagnostizieren. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Hosting, CDN und Bot-Schutz

Hosting: Unsere Anwendung wird auf Servern in der Europäischen Union (Deutschland) betrieben.

CDN / Proxy: Vor unseren Servern setzen wir Cloudflare als Reverse Proxy und Content-Delivery-Network ein. Anbieter: Cloudflare Germany GmbH, Rosental 7, c/o Mindspace, 80331 München, sowie Cloudflare Inc., USA. Cloudflare verarbeitet bei jedem Zugriff IP-Adresse, technische Anfragedaten und Header. Verarbeitung erfolgt auf Basis eines AVV; für Übermittlungen in die USA bestehen EU-Standardvertragsklauseln sowie ergänzende Schutzmaßnahmen.

Bildspeicher: Vom Veranstalter hochgeladene Bilder (Event-Header, Logos, Galerien) werden in Cloudflare R2 (S3-kompatibler Objektspeicher) abgelegt. Anbieter ebenfalls Cloudflare.

Bot-Schutz / Captcha: An sicherheitskritischen Stellen (Login, Registrierung) setzen wir Cloudflare Turnstile ein. Turnstile prüft technische Signale des Browsers, um Bots zu erkennen. Es werden keine sichtbaren Captchas eingeblendet und in der Regel keine Cookies gesetzt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit und Plattform-Stabilität).

Fehlerüberwachung und Performance-Monitoring (Sentry)

Zur Sicherstellung des stabilen und fehlerfreien Betriebs dieser Plattform setzen wir den Dienst Sentry ein. Sentry ermöglicht es uns, technische Fehler automatisch zu erkennen, zu analysieren und zu beheben.

Anbieter: Functional Software, Inc., 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA. Europäischer Vertreter: Sentry Software Netherlands B.V., Keizersgracht 391A, 1016 EJ Amsterdam, Niederlande.

Verarbeitete Daten:

• Anonymisierte IP-Adresse (letztes Oktett wird vor Übermittlung auf „0“ gesetzt)
• Aufgerufene URL, HTTP-Methode und Statuscode
• Fehlermeldung, Stacktrace und betroffene Komponente
• Browser- und Betriebssysteminformationen, Gerätetyp
• Anonymisierte Session-Informationen (Fehlerrate je Softwareversion)
• Server-seitig: Performance-Daten betroffener Funktionen (ohne personenbezogene Inhalte)

Wenn du über den „Fehler melden“-Button auf einer Fehlerseite freiwillig einen Fehlerbericht absendest, werden zusätzlich deine eingegebenen Informationen (Fehlerbeschreibung sowie optional Name und E-Mail-Adresse) übermittelt.

Zweck: Erkennung, Analyse und Behebung technischer Fehler; Sicherstellung der Stabilität, Sicherheit und Performance der Plattform.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Unser berechtigtes Interesse besteht in der Aufrechterhaltung eines technisch stabilen, sicheren und funktionsfähigen Dienstes. Die IP-Anonymisierung vor der Übermittlung stellt sicher, dass keine direkte Identifizierung von Nutzern möglich ist.

Datenübermittlung: Verarbeitung über den europäischen Sentry-Endpunkt; Speicherung in Deutschland und den USA auf Basis von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Mit Sentry wurde ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO abgeschlossen.

Speicherdauer: Fehlerereignisse werden für 90 Tage gespeichert und danach automatisch gelöscht.

Widerspruch: Du kannst der Verarbeitung gemäß Art. 21 DSGVO widersprechen. Bitte wende dich an: [email protected]. Die Übermittlung kann außerdem durch Deaktivierung von JavaScript im Browser unterbunden werden.

Weitere Informationen: sentry.io/privacy

Web-Analytics — Google Tag Manager / Google Analytics

Wir nutzen — sofern Sie zugestimmt haben — den Google Tag Manager sowie Google Analytics der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland, zur Analyse der Plattform-Nutzung.

Dabei werden Cookies und ähnliche Technologien gesetzt, die unter anderem folgende Informationen verarbeiten: anonymisierte IP-Adresse, Geräte- und Browserinformationen, Seitenaufrufe, Verweildauer, Herkunft des Zugriffs.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung via Cookie-Banner) i. V. m. § 25 Abs. 1 TDDDG. Sie können Ihre Einwilligung jederzeit über den Link „Cookie-Einstellungen" im Footer mit Wirkung für die Zukunft widerrufen. Bei der Nutzung von Google-Diensten kann es zu Übermittlungen in die USA kommen. Google ist nach dem EU-US Data Privacy Framework zertifiziert.

Cookies und ähnliche Technologien

Wir setzen Cookies und vergleichbare Technologien (z. B. Local Storage) in folgenden Kategorien ein:

Technisch notwendige Cookies (z. B. Session-Cookie, CSRF-Token, Theme-Auswahl) — Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG sowie Art. 6 Abs. 1 lit. b/f DSGVO. Keine Einwilligung erforderlich.

Analyse-Cookies (Google Analytics, siehe oben) — nur mit Einwilligung. Marketing-Cookies — derzeit nicht im Einsatz; sollten sie ergänzt werden, werden sie ausschließlich nach vorheriger Einwilligung gesetzt.

Eine detaillierte Auflistung sowie die Möglichkeit zum Widerruf finden Sie im Cookie-Banner beim ersten Besuch sowie jederzeit über den Link „Cookie-Einstellungen" im Footer.

Empfänger / Auftragsverarbeiter im Überblick

Folgende Auftragsverarbeiter und Empfänger sind im Plattformbetrieb eingebunden:

Stripe Payments Europe, Ltd. (Irland) — Zahlungsabwicklung, Auszahlung an Veranstalter (Connect) — Art. 6 Abs. 1 lit. b DSGVO.

PayPal (Europe) S.à r.l. (Luxemburg) — Zahlung per PayPal — Art. 6 Abs. 1 lit. b DSGVO.

Microsoft Ireland Operations Ltd. (Azure ACS / Graph, Irland) — Transaktionaler E-Mail-Versand — Art. 6 Abs. 1 lit. b DSGVO.

Microsoft Ireland Operations Ltd. (Entra ID, Irland) — Optionale SSO-Anmeldung für Veranstalter — Art. 6 Abs. 1 lit. b DSGVO.

Cloudflare Germany GmbH / Cloudflare Inc. (DE / USA) — CDN, Proxy, Turnstile-Bot-Schutz — Art. 6 Abs. 1 lit. f DSGVO.

Cloudflare (R2, EU) — Bildspeicher (Eventbilder) — Art. 6 Abs. 1 lit. b/f DSGVO.

Google Ireland Ltd. (Tag Manager / Analytics, Irland) — Web-Analytics (nur mit Einwilligung) — Art. 6 Abs. 1 lit. a DSGVO.

Jeweiliger Veranstalter des gebuchten Events (EU/EWR) — Eigene Verantwortung — Eventdurchführung — Art. 6 Abs. 1 lit. b DSGVO.

Hosting-Provider (Plesk / Server in DE) — Technische Bereitstellung — Art. 6 Abs. 1 lit. f DSGVO.

DeepL SE (Köln, Deutschland) — Maschinelle Übersetzung von Event-Titeln und Beschreibungen ins Englische — Art. 6 Abs. 1 lit. f DSGVO. Kein Drittland-Transfer. DPA: deepl.safebase.us (abgeschlossen 2026-06-05).

Google Ireland Ltd. (Dublin, Irland) — Maschinelle Übersetzung (Fallback) — Art. 6 Abs. 1 lit. f DSGVO. EU/EWR; SCC + EU-US-DPF. DPA: Google Cloud CDPA (akzeptiert 2026-06-05).

OpenAI Ireland Ltd. (Dublin, Irland) — KI-gestützte Textgenerierung für Event-Beschreibungen (nur im Organizer-Dashboard, kein Endkundenzugang) — Art. 6 Abs. 1 lit. f DSGVO. SCC + EU-US-DPF. DPA: OpenAI Data Processing Addendum (unterzeichnet 2026-06-05).

Sofern Empfänger in Drittländern sitzen, erfolgt die Übermittlung auf Basis von EU-Standardvertragsklauseln und ergänzenden Schutzmaßnahmen bzw. — soweit anwendbar — Angemessenheitsbeschlüssen (z. B. EU-US Data Privacy Framework).

Ihre Rechte als betroffene Person

Sie haben jederzeit das Recht, Auskunft über die zu Ihrer Person gespeicherten Daten zu verlangen (Art. 15 DSGVO), die Berichtigung unrichtiger Daten zu verlangen (Art. 16 DSGVO), die Löschung Ihrer Daten zu verlangen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen (Art. 17 DSGVO), die Einschränkung der Verarbeitung zu verlangen (Art. 18 DSGVO), die Übertragung Ihrer Daten in einem strukturierten Format zu verlangen (Art. 20 DSGVO), der Verarbeitung aus Gründen Ihrer besonderen Situation zu widersprechen (Art. 21 DSGVO), eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen (Art. 7 Abs. 3 DSGVO), sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO).

Für uns zuständig ist der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit. Zur Ausübung Ihrer Rechte genügt eine formlose E-Mail an [email protected].

Automatisierte Entscheidungen / Profiling

Eine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO findet auf on:Tickets nicht statt. Wir bilden auch keine Persönlichkeits- oder Scoring-Profile.

Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung wird angepasst, sobald sich Änderungen an den Verarbeitungen oder gesetzliche Anforderungen ergeben. Die jeweils aktuelle Fassung ist unter ontickets.de/legal/datenschutz abrufbar.