Hinweise zur Auftragsverarbeitung (AVV / DPA)

Rollen bei der Auftragsverarbeitung

Der jeweilige Event-Organisator entscheidet über Zweck und Inhalt der Verarbeitung von Gästedaten, Adressen, Menüangaben, RSVP, Zahlungen, Tischplänen und Einladungen. Er ist für diese Eventdaten in der Regel Verantwortlicher.

Der Plattformbetreiber Ecker Remy, 4 rue de la Paix, L-8020 Strassen, Luxemburg, stellt Konveniat technisch bereit und verarbeitet Eventdaten im Rahmen der Plattformnutzung für den Organisator.

Gegenstand und Dauer

Gegenstand ist der Betrieb einer Webapp zur privaten Eventorganisation einschließlich Kontaktverwaltung, Import, RSVP per QR, Adresssammlung, Einladungsversand, Menüs, Zahlungen, Tischplan, Druckansichten, Exporten und Backups. Die Verarbeitung dauert so lange, wie der Organisator sein Konto und seine Events nutzt. Gelöschte Kontakte, Events und Konten werden in der laufenden Datenbank und im lokalen Storage entfernt; technische Backups und Protokolle können bis zum Ablauf gesetzlicher oder technischer Sicherungsfristen bestehen.

Arten von Daten

  • Kontaktdaten und Adressen
  • Kommunikationsdaten wie E-Mail-Adresse und Telefonnummer
  • Event-, RSVP-, Menü-, Zahlungs-, Rückzahlungs- und Tischplandaten
  • Einladungs-, Flyer-, QR-, Import-, Export- und Backupdaten
  • Audit-, Sicherheits- und technische Protokolldaten

Betroffene Personen

Betroffen sein können Organisatoren, eingeladene Personen, Begleitpersonen, Teammitglieder und Personen, die über Kontakt- oder Adressformulare Daten übermitteln.

Technische und organisatorische Maßnahmen

  • Mandantentrennung pro Konto und Event
  • rollenbasierte Zugriffe und Betreiberbereich ohne Einsicht in personenbezogene Eventkontakte
  • Passwortschutz, 2FA und Passkeys
  • verschlüsselte Speicherung sensibler Inhalte, soweit durch die Anwendung vorgesehen
  • geschützter Storage für Dateien statt öffentlicher Ablage
  • Audit-Logs für sicherheitsrelevante Aktionen
  • Backup-, Import- und Exportfunktionen für kontrollierte Datenübergabe

Unterauftragnehmer und Dienstleister

Hosting, Datenbank und geschützter Storage liegen beim Hostinganbieter der jeweiligen Installation. Der E-Mail-Versand erfolgt über den im Betreiberbereich hinterlegten SMTP-Anbieter oder über ein eigenes SMTP-Profil des jeweiligen Nutzers. Der konkrete Hoster, Mailanbieter und Serverstandort sollten in der Betreiberkonfiguration bzw. in den Rechtstexten der produktiven Installation benannt werden, sobald sie feststehen.

AVV-Abschluss

Diese Seite beschreibt die Rollen und technischen Schutzmaßnahmen. Sie ist keine unterschriebene Einzelvereinbarung. Organisatoren können für ihre Nutzung einen konkreten AVV/DPA per E-Mail an konveniat@pt.lu anfragen. Ein späterer PDF-Download im Benutzerkonto kann ergänzend bereitgestellt werden.

Unterstützung und Löschung

Konveniat stellt Funktionen für Auskunft, Export, Berichtigung, Löschung, Backup und Import bereit. Event-Organisatoren bleiben dafür verantwortlich, Anfragen betroffener Personen inhaltlich zu prüfen und notwendige Maßnahmen innerhalb ihrer Events auszuführen.

Beim Löschen eines Kontakts wird dieser Kontakt aus der laufenden Datenbank entfernt. Beim Löschen eines Events werden zugehörige Eventdaten, RSVP-Daten, Adresssammlungen, Menüs, Tischplandaten, Exportverweise und lokale Eventdateien wie Bilder, Flyer und Motive entfernt. Beim Löschen eines Nutzerkontos werden die dem Konto zugeordneten Events, globalen Kontakte, Sicherheitseinträge, SMTP-Profile, Passkeys/API-Keys und lokalen Eventdateien entfernt.

Technische Backups und notwendige Protokolle können bis zum Ablauf gesetzlicher oder technischer Sicherungsfristen fortbestehen und werden danach überschrieben oder gelöscht. Mail-Logs werden datensparsam geführt und enthalten keine Klartext-E-Mail-Adressen.