Datenschutz

Datenschutzerklärung

gemäß Art. 13 und 14 DSGVO – Stand: Mai 2026

1. Einleitung

Der Schutz Ihrer personenbezogenen Daten ist uns ein zentrales Anliegen. In dieser Datenschutzerklärung informieren wir Sie gemäß Art. 13 und 14 der Datenschutz-Grundverordnung (DSGVO) darüber, welche Daten wir erheben, zu welchen Zwecken wir sie verarbeiten und welche Rechte Sie uns gegenüber haben.

Diese Erklärung gilt für alle Dienste von TicketX einschließlich des Veranstalter-Dashboards, des Gäste-Portals sowie der öffentlichen Ticket-Checkouts auf Veranstalterdomains.

2. Verantwortlicher

Unternehmen
LECZ Event & Media (Einzelunternehmen)
Inhaber
Leo Czastrau
Anschrift
Amtsstraße 22, 44575 Castrop-Rauxel, Deutschland
E-Mail
support@ticketx.shop
Telefon
+49 (0) 1522 1056800

3. Datenschutzbeauftragter

Als Einzelunternehmen mit weniger als 20 ständig mit der automatisierten Datenverarbeitung beschäftigten Personen sind wir gemäß § 38 Abs. 1 BDSG nicht zur Benennung eines Datenschutzbeauftragten verpflichtet. Bei datenschutzrechtlichen Fragen oder der Wahrnehmung Ihrer Rechte wenden Sie sich bitte direkt an den oben genannten Verantwortlichen.

4. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten auf folgenden Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. a DSGVO – Einwilligung (z. B. für Analytics-Cookies)
  • Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung oder vorvertragliche Maßnahmen (z. B. Registrierung, Ticketkauf)
  • Art. 6 Abs. 1 lit. c DSGVO – Erfüllung rechtlicher Verpflichtungen (z. B. steuerliche Aufbewahrungspflichten)
  • Art. 6 Abs. 1 lit. f DSGVO – Berechtigte Interessen (z. B. IT-Sicherheit, Missbrauchsprävention, Serverprotokolle)

5. Hosting (STRATO AG)

Alle Dienste von TicketX werden auf Servern der STRATO AG, Pascalstraße 10, 10587 Berlin, Deutschland, betrieben. Die Server stehen ausschließlich in Deutschland; personenbezogene Daten verlassen dabei nicht den Europäischen Wirtschaftsraum.

Mit STRATO AG besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. STRATO verarbeitet in unserem Auftrag Verbindungsprotokolle, IP-Adressen und technische Metadaten, die beim Betrieb von Webservern und Datenbanken anfallen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am zuverlässigen und sicheren Betrieb der Plattform).

6. Verschlüsselung und technische Sicherheit

Alle Verbindungen zu TicketX sind durch TLS/SSL verschlüsselt (erkennbar am Schloss-Symbol in der Adressleiste Ihres Browsers). Passwörter werden ausschließlich als bcrypt-Hash gespeichert. Zahlungsdaten (Kartennummern) werden nie auf unseren Servern gespeichert, sondern direkt und verschlüsselt an unseren Zahlungsdienstleister übermittelt.

Für interne Kommunikation und API-Zugriffe werden Zugriffstoken eingesetzt, die zeitlich begrenzt sind und nach Ablauf automatisch invalidiert werden.

7. Cookies und ähnliche Technologien

Wir setzen folgende Kategorien von Cookies ein:

Technisch notwendige Cookies (keine Einwilligung erforderlich):

  • Session-Cookie (PHPSESSID): Hält Ihre Anmeldesitzung aufrecht. Wird beim Schließen des Browsers gelöscht.
  • CSRF-Token: Schützt Formularübertragungen vor Cross-Site-Request-Forgery-Angriffen. Session-gebunden.
  • Login-Cookie: Ermöglicht die „Angemeldet bleiben"-Funktion für einen definierten Zeitraum.

Analytics-Cookies (Einwilligung erforderlich, Art. 6 Abs. 1 lit. a DSGVO):

  • Das Cookie-Banner bietet eine optionale Einwilligung für Analyse-Cookies. Derzeit ist kein Analysetool aktiv. Sobald wir ein Analysetool einsetzen, aktualisieren wir diesen Abschnitt und benennen den Anbieter sowie die Speicherdauer.

Sie können Ihre Cookie-Einstellungen jederzeit über das Cookie-Banner anpassen oder über die Einstellungen Ihres Browsers verwalten.

8. Analyse-Tools

Derzeit setzen wir kein Analysetool ein. Das Cookie-Banner ermöglicht eine spätere, einwilligungsbasierte Einbindung. Sobald ein Analysetool aktiv geschaltet wird, werden Anbieter, Zweck, Transfermechanismus und Speicherdauer hier dokumentiert.

9. Google Maps / Places API

Im Rahmen der Veranstalter-Registrierung kann die Google Places Autocomplete API genutzt werden, um die Eingabe der Venue-Adresse zu erleichtern. Das Script wird nicht automatisch geladen, sondern erst dann, wenn Sie aktiv die Club-Suche im Registrierungsformular verwenden. Es besteht keine Pflicht zur Nutzung; die Adresse kann auch manuell eingegeben werden.

Anbieter
Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Konzernmutter: Google LLC, USA)
Zweck
Adressautovervollständigung bei der Standortangabe auf ausdrücklichen Nutzerwunsch
Übermittelte Daten
Suchanfrage (Adressfragment), IP-Adresse, ggf. Geräte-/Browserinformationen
Rechtsgrundlage
Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) in Verbindung mit aktiver Nutzungsentscheidung
Drittlandübermittlung
Absicherung durch EU-US Data Privacy Framework (DPF) und EU-Standardvertragsklauseln

Datenschutzerklärung Google: policies.google.com/privacy

10. Veranstalter-Accounts und Registrierung

Veranstalter können ein kostenloses Konto bei TicketX anlegen. Im Rahmen der Registrierung und Kontonutzung verarbeiten wir folgende Daten:

  • Name und Vorname des Ansprechpartners
  • E-Mail-Adresse und (gehashtes) Passwort
  • Name, Adresse, Telefonnummer und Beschreibung der Venue/des Unternehmens
  • Logo und weitere optionale Profilinformationen
  • Umsatzsteuer-ID / Steuernummer (für Rechnungsstellung)
  • Zeitstempel der Registrierung, DSGVO-Einwilligung inkl. IP-Adresse

Zur Unterstützung des Registrierungsprozesses werden optional folgende externe Dienste aufgerufen, sofern Sie die entsprechenden Suchfunktionen nutzen:

  • OpenAI Ireland Ltd. / OpenAI LLC (USA) – KI-gestützte Domain-Analyse zur Vorausfüllung von Kontodaten. Transfer über EU-Standardvertragsklauseln.
  • Brandfetch Inc. (USA) – Automatisierte Logo-Extraktion anhand der Unternehmenswebsite. Transfer über EU-Standardvertragsklauseln.
  • OpenCorporates Ltd. (GB) – Unternehmens-Suche zur Vorausfüllung von Firmendaten.
  • EU-VIES-Schnittstelle (Europäische Kommission, EU) – Prüfung der USt-IdNr. gemäß Art. 6 Abs. 1 lit. c DSGVO (steuerrechtliche Pflicht).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO für vertragsnotwendige Daten; Art. 6 Abs. 1 lit. a DSGVO für optionale Angaben sowie die Einwilligungsspeicherung.

Speicherdauer: Für die Dauer der Vertragsbeziehung zuzüglich gesetzlicher Aufbewahrungsfristen (i. d. R. 10 Jahre gemäß § 147 AO / § 257 HGB für steuerrelevante Daten). Nach Löschung des Accounts werden nicht steuerrelevante Daten innerhalb von 30 Tagen gelöscht.

11. Gäste-Accounts (Ticketkäufer)

Ticketkäufer können über das Gäste-Portal (ticketx.shop/guest) ein Konto anlegen, um ihre Bestellungen einzusehen und Tickets erneut abzurufen. Folgende Daten werden verarbeitet:

  • E-Mail-Adresse und (gehashtes) Passwort
  • Optional: Name und Profilinformationen
  • Bestellhistorie und verknüpfte Tickets

Ein Gäste-Konto ist für den Ticketkauf nicht zwingend erforderlich. Ohne Konto werden lediglich die für die Bestellabwicklung notwendigen Daten gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung) sowie Art. 6 Abs. 1 lit. a DSGVO (Einwilligung bei optionaler Kontoanlage).

Speicherdauer: Bis zur Löschung des Accounts durch den Nutzer oder nach 3 Jahren Inaktivität; steuerrelevante Bestelldaten entsprechend gesetzlichen Aufbewahrungsfristen.

12. Ticketbestellungen und Bestelldaten

Bei der Abwicklung von Ticketbestellungen verarbeiten wir folgende Daten der Käufer:

  • Name und E-Mail-Adresse (für Ticketzustellung und Einlasskontrolle)
  • Bestellnummer, Tickettyp und Bestellmenge
  • Zahlungsstatus und Transaktionsreferenz (kein Zugriff auf Bankdaten oder Kartendaten)
  • Eindeutiger QR-Code je Ticket sowie Scan-Status und Scanzeitpunkt
  • IP-Adresse und Zeitstempel des Bestellvorgangs

Bestelldaten werden an den jeweiligen Veranstalter weitergegeben, soweit dies für die Durchführung der Veranstaltung (Einlasskontrolle, Kommunikation) erforderlich ist. Der Veranstalter ist insoweit eigenständig Verantwortlicher im Sinne der DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrungspflichten).

Speicherdauer: Rechnungsrelevante Daten werden gemäß § 147 AO 10 Jahre aufbewahrt. Scan- und Einlassdaten werden nach 12 Monaten nach der Veranstaltung gelöscht.

13. Zahlungsabwicklung über Stripe

Die Zahlungsabwicklung für Ticketkäufe erfolgt über den Zahlungsdienstleister Stripe. Karteninformationen werden ausschließlich direkt und verschlüsselt an Stripe übermittelt – wir speichern oder verarbeiten keine Zahlungskarteninformationen auf unseren Servern.

Anbieter
Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin D02 H210, Irland
Konzernmutter
Stripe, Inc., 510 Townsend Street, San Francisco, CA 94103, USA
Zweck
Technische Abwicklung von Kartenzahlungen, SEPA-Lastschriften, iDEAL und weiteren Zahlungsmethoden
Übermittelte Daten
Name, E-Mail, Rechnungsadresse, Bestellbetrag, Transaktionsreferenz; Zahlungskarteninformationen werden direkt durch Stripe erhoben
Rechtsgrundlage
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Drittlandübermittlung
Daten können an Stripe Inc. in den USA übermittelt werden. Absicherung durch das EU-US Data Privacy Framework (DPF); Stripe Inc. ist zertifiziert.

Datenschutzerklärung Stripe: stripe.com/de/privacy

14. Transaktionsmails und E-Mail-Kommunikation

Wir versenden automatisierte E-Mails für folgende Zwecke:

  • Bestellbestätigung und Ticketzustellung nach erfolgreichem Kauf
  • E-Mail-Adressverifizierung bei der Registrierung
  • Passwortzurücksetzung auf Anfrage
  • Systemnachrichten an Veranstalter (z. B. neue Bestellungen, Auszahlungshinweise)

Für den technischen Versand setzen wir einen E-Mail-Dienstleister ein, mit dem ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abgeschlossen wurde. Der Dienstleister erhält ausschließlich die für den Versand erforderliche E-Mail-Adresse und den Nachrichteninhalt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); für Veranstalter-Benachrichtigungen zusätzlich Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

Speicherdauer: E-Mail-Protokolldaten werden nach 30 Tagen beim Dienstleister gelöscht.

15. Server- und Zugriffsprotokolle

Beim Aufruf von TicketX-Seiten werden durch den Webserver automatisch folgende Daten in Protokolldateien erfasst:

  • IP-Adresse des anfragenden Geräts
  • Datum und Uhrzeit des Abrufs
  • URL der aufgerufenen Seite
  • Übertragenes Datenvolumen und HTTP-Statuscode
  • Browser, Betriebssystem und Referrer-URL (sofern vom Browser übermittelt)

Diese Daten dienen ausschließlich dem Betrieb, der Fehlerbehebung und der Sicherheit der Plattform. Eine Zusammenführung mit anderen Datenquellen findet nicht statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und stabilem Betrieb).

Speicherdauer: Serverprotokolle werden nach maximal 7 Tagen automatisch gelöscht, sofern sie nicht zur Aufklärung eines konkreten Sicherheitsvorfalls benötigt werden.

16. Kontaktaufnahme

Wenn Sie uns per E-Mail kontaktieren, verarbeiten wir Ihre E-Mail-Adresse, den Nachrichteninhalt sowie Datum und Uhrzeit der Anfrage. Die Daten werden ausschließlich zur Bearbeitung Ihrer Anfrage verwendet und nicht an Dritte weitergegeben.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO bei vertragsbezogenen Anfragen; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Kommunikation) bei allgemeinen Anfragen.

Speicherdauer: Anfragen werden nach vollständiger Bearbeitung und Ablauf etwaiger gesetzlicher Aufbewahrungsfristen gelöscht, in der Regel nach 3 Jahren.

17. Launch-Benachrichtigung (Warteliste)

Auf unserer Ankündigungsseite besteht die Möglichkeit, Ihre E-Mail-Adresse zu hinterlassen, um über den Start von TicketX informiert zu werden. Dies erfordert Ihre ausdrückliche Einwilligung.

Verarbeitete Daten: E-Mail-Adresse, Zeitstempel der Anmeldung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Einwilligung kann jederzeit durch formlose Nachricht an support@ticketx.shop widerrufen werden.

Speicherdauer: Bis zum Widerruf oder bis zum Versand der einmaligen Launch-Benachrichtigung.

18. Login-Sicherheitsbenachrichtigungen

Bei jedem neuen Login in ein Veranstalter-Dashboard oder Gäste-Konto wird automatisch eine Sicherheitsbenachrichtigung per E-Mail versandt. Diese enthält:

  • Zeitpunkt des Logins
  • IP-Adresse des anfragenden Geräts
  • Plattform und Gerätekategorie (aus dem User-Agent-String)

Falls Sie die TicketX iOS-App nutzen und Push-Benachrichtigungen aktiviert haben, wird zusätzlich eine Push-Nachricht über den Apple Push Notification Service (Apple Inc., USA) versandt. Dabei wird der gerätespezifische Push-Token an Apple übermittelt. Absicherung über EU-Standardvertragsklauseln.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz des Nutzerkontos).

Speicherdauer: Login-Protokolle werden nicht dauerhaft gespeichert; Push-Tokens bleiben bis zur Geräteabmeldung oder Deaktivierung gespeichert.

19. Weitergabe personenbezogener Daten an Dritte

Wir geben personenbezogene Daten nur in folgenden Fällen weiter:

  • Auftragsverarbeiter: STRATO AG (Hosting), Stripe Payments Europe Ltd. (Zahlungsabwicklung), E-Mail-Dienstleister (Transaktionsmails), Google Ireland Ltd. / Google LLC (Maps API, auf Anfrage), OpenAI Ireland Ltd. / OpenAI LLC (Registrierungs-Hilfsfunktionen), Brandfetch Inc. (Logo-Extraktion), Apple Inc. (Push-Benachrichtigungen). Mit allen Dienstleistern bestehen AVV oder gleichwertige Vereinbarungen gemäß Art. 28 DSGVO.
  • Veranstalter: Bestelldaten (Name, E-Mail, Tickettyp) werden an den jeweiligen Veranstalter übermittelt, damit dieser die Einlasskontrolle durchführen und seinen Informationspflichten nachkommen kann. Der Veranstalter ist für diese Verarbeitung eigenständig verantwortlich.
  • Behörden: Wenn wir gesetzlich dazu verpflichtet sind oder zur Abwehr von Straftaten.

Eine Weitergabe zu Werbezwecken oder ein Verkauf Ihrer Daten an Dritte findet nicht statt.

18. Speicherdauer

Personenbezogene Daten werden gelöscht, sobald der Zweck der Verarbeitung entfällt und keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Im Überblick:

  • Serverprotokolle: max. 7 Tage
  • E-Mail-Versandprotokolle: 30 Tage
  • Scan- und Einlassdaten: 12 Monate nach Veranstaltung
  • Gäste-Account-Daten: bis Löschung durch Nutzer oder nach 3 Jahren Inaktivität
  • Steuer-/Rechnungsdaten: 10 Jahre gemäß § 147 AO / § 257 HGB
  • Analytics-Daten: derzeit kein Analysetool aktiv

19. Rechte der betroffenen Personen

Sie haben gegenüber uns folgende Rechte in Bezug auf Ihre personenbezogenen Daten:

  • Auskunft (Art. 15 DSGVO): Sie haben das Recht, eine Bestätigung darüber zu erhalten, ob und welche personenbezogenen Daten wir über Sie verarbeiten.
  • Berichtigung (Art. 16 DSGVO): Sie können die unverzügliche Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.
  • Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können unter bestimmten Voraussetzungen verlangen, dass wir die Verarbeitung Ihrer Daten einschränken.
  • Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre Daten in einem maschinenlesbaren Format zu erhalten und ggf. an einen anderen Verantwortlichen übertragen zu lassen.
  • Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO jederzeit widersprechen, wenn Sie dafür Gründe haben, die sich aus Ihrer besonderen Situation ergeben.
  • Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO): Erteilte Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen (z. B. für Analytics-Cookies über das Cookie-Banner).

Zur Geltendmachung Ihrer Rechte wenden Sie sich bitte an: support@ticketx.shop. Wir bearbeiten Ihr Anliegen in der Regel innerhalb von 30 Tagen.

20. Beschwerderecht bei der Aufsichtsbehörde

Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Kavalleriestraße 2–4
40213 Düsseldorf
Telefon: 0211 / 38424-0
E-Mail: poststelle@ldi.nrw.de
Website: www.ldi.nrw.de

Dies lässt Ihr Recht unberührt, zunächst Kontakt mit uns aufzunehmen.

21. Aktualität und Änderungen

Diese Datenschutzerklärung hat den Stand Mai 2026. Durch die Weiterentwicklung unserer Plattform und Dienste oder aufgrund geänderter gesetzlicher Anforderungen kann es erforderlich sein, diese Erklärung anzupassen. Die jeweils aktuelle Version ist unter ticketx.shop/datenschutz.php abrufbar. Wir empfehlen, diese Seite regelmäßig zu besuchen.

Zurück zur Startseite