🔒 Rechtliches

DATEN­SCHUTZ

Informationen zur Verarbeitung deiner Daten

Datenschutzerklärung · byomar Plattform
Stand: 17. Mai 2026 · v1.0

Kurzfassung: Wir verarbeiten deine Daten, soweit du Tickets bestellst oder unsere Website nutzt. Die Zahlung läuft direkt über Stripe an den jeweiligen Veranstalter (z. B. Abschlussjahrgang) — byomar erhält nur die für den Plattformbetrieb nötigen Daten. Google Analytics laden wir nur, wenn du im Cookie-Banner zustimmst. Deine Rechte (Auskunft, Löschung, Widerspruch) kannst du jederzeit ausüben.

§ 1 Verantwortliche Stellen

Die Website abi-lio.de und das darüber abgewickelte Ticketing werden gemeinsam, jedoch mit klar getrennten Verantwortungsbereichen, betrieben:

Verantwortlich für Plattform & Ticketing (im Sinne Art. 4 Nr. 7 DSGVO):

Omar Abu Tuaima (byomar)
c/o Online-Impressum.de #5025
Europaring 90
53757 Sankt Augustin
E-Mail: rechtliches@byomar.art
Telefon: +49 152 23365851

Verantwortlich für die Veranstaltung selbst (Einlasskontrolle vor Ort, Foto/Video, Programm):

Der Veranstalter des jeweiligen Abiballs (siehe Impressum).

Soweit es um die Verarbeitung im Zusammenhang mit der Bestellung, der Plattform und dem Mailversand geht, sind wir (byomar) Verantwortlicher. Für Daten, die im Rahmen der Veranstaltung selbst verarbeitet werden (z. B. Foto-/Video-Aufnahmen, Einlasskontrolle vor Ort), ist der jeweilige Veranstalter Verantwortlicher.

§ 2 Welche Daten wir verarbeiten und wofür

(a) Beim Aufruf der Website (Server-Logs)

Beim bloßen Aufruf werden automatisch technische Daten verarbeitet:

  • IP-Adresse (gekürzt/anonymisiert nach kurzer Frist)
  • Datum, Uhrzeit und Dauer des Zugriffs
  • aufgerufene URL, HTTP-Statuscode, übertragene Datenmenge
  • Referer, User-Agent (Browser, Betriebssystem)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Bereitstellung, Stabilität und Sicherheit der Website).
Speicherdauer: in der Regel 14 Tage, längstens 30 Tage, danach automatische Löschung; bei sicherheitsrelevanten Ereignissen länger.

(b) Bei einer Ticket-Bestellung

Für die Bestellabwicklung verarbeiten wir:

  • Vor- und Nachname der bestellenden Person
  • E-Mail-Adresse
  • ggf. Namen der Ticket-Inhaber (für personalisierte Tickets / Einlasskontrolle)
  • Bestellinhalt, Bestellzeitpunkt, Bestellnummer, Ticket-IDs / QR-Codes
  • technische Verarbeitungsdaten (Stripe Session-IDs, Webhook-Events)

Zahlungsdaten (Kreditkartennummer, IBAN, PayPal-Konto etc.) werden ausschließlich von unserem Zahlungsdienstleister Stripe verarbeitet — wir erhalten und speichern diese nicht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (Erfüllung steuer- und handelsrechtlicher Aufbewahrungspflichten, §§ 147 AO, 257 HGB).
Speicherdauer: Bestelldaten 10 Jahre (steuerrechtliche Aufbewahrung), danach Löschung. Reine Versanddaten (z. B. QR-Codes) werden nach Veranstaltungsende ohne steuerrelevanten Bezug innerhalb von 6 Monaten gelöscht.

(c) Bei Kontaktaufnahme per E-Mail

Wenn du uns per E-Mail kontaktierst, verarbeiten wir deine Absender-Adresse und den Inhalt der Nachricht zur Beantwortung. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Anfragenbearbeitung). Speicherdauer: bis zur abschließenden Bearbeitung, längstens 6 Monate, sofern keine längere gesetzliche Aufbewahrung greift.

§ 3 Cookies und vergleichbare Technologien

Wir setzen ausschließlich Cookies und vergleichbare Speicherzugriffe ein, die entweder technisch notwendig sind oder für die du im Cookie-Banner aktiv zugestimmt hast.

KategorieZweckSpeicherortLebensdauer
Cookie-Einstellung (cc_consent) Speichern deiner Cookie-Entscheidung — notwendig nach DSGVO/TTDSG localStorage bis zu 12 Monate / bis du sie zurücksetzt
Stripe-Session Zahlungsabwicklung; gesetzt durch checkout.stripe.com während der Bezahlung Cookies / Stripe-Domain Session bis 1 Jahr (Stripe-Antifraud)
Supabase-Auth (nur Admin/Login-Bereiche) angemeldete Sitzung für Admin/Org-Funktionen localStorage bis Logout
Google Analytics (_ga, _ga_*) Nur nach deiner Zustimmung: Reichweitenmessung mit IP-Anonymisierung Cookies bis 24 Monate

Rechtsgrundlage: Für notwendige Cookies § 25 Abs. 2 TTDSG (technische Notwendigkeit) i. V. m. Art. 6 Abs. 1 lit. f DSGVO. Für Analyse-Cookies § 25 Abs. 1 TTDSG i. V. m. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Du kannst deine Cookie-Einstellungen jederzeit ändern oder widerrufen:

🍪 Cookie-Einstellungen öffnen

§ 4 Auftragsverarbeiter und Empfänger

Zur Bereitstellung der Plattform setzen wir folgende Dienstleister ein, mit denen jeweils Auftragsverarbeitungs­verträge nach Art. 28 DSGVO geschlossen wurden:

Supabase (Datenbank, Auth, Edge Functions)

Anbieter: Supabase, Inc., 970 Toa Payoh North #07-04, Singapore 318992.
Hosting für unsere Instanz: EU (Frankfurt, eu-central-1).
Verarbeitet werden: Bestelldaten, Ticket-Daten, Konfigurations- und Inhaltsdaten. Datenschutz: supabase.com/privacy.

Stripe (Zahlungsabwicklung)

Anbieter: Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland (für Europa).
Verarbeitet werden: Zahlungsdaten (Kartendaten, IBAN, PayPal etc.), Beträge, technische Transaktions-IDs. Für US-Datenübermittlungen stützt sich Stripe auf das EU-US Data Privacy Framework und/oder Standardvertragsklauseln (Art. 46 DSGVO).
Datenschutz: stripe.com/de/privacy.

Da wir Stripe Connect Direct Charge einsetzen, fließen Zahlungen direkt auf das Stripe-Konto des Veranstalters. byomar erhält daraus lediglich eine Servicegebühr (Application Fee). Der Veranstalter ist insoweit eigenständiger Empfänger der Daten, die er zur Abwicklung der Zahlung benötigt.

Hosting / Mailversand

Die Website wird in einem deutschen Rechenzentrum (Plesk-Hosting / Server in Deutschland) gehostet. Transaktionale E-Mails (Bestellbestätigung, Ticket-Versand) werden über einen E-Mail-Versandservice mit Serverstandort EU versendet.

Google Analytics 4 — nur mit Einwilligung

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Eine Übermittlung in die USA an Google LLC ist möglich; sie erfolgt auf Grundlage des EU-US Data Privacy Framework und/oder Standardvertragsklauseln.
Wir haben IP-Anonymisierung aktiviert. Google Analytics wird erst geladen, nachdem du im Cookie-Banner zugestimmt hast. Du kannst deine Einwilligung jederzeit über den Button oben in §3 widerrufen.
Weitere Informationen: policies.google.com/privacy.

Veranstalter

Für die Durchführung der Veranstaltung erhält der jeweilige Veranstalter über die Plattform die für ihn relevanten Bestelldaten (Käufername, E-Mail, Ticket-Anzahl, Namen der Ticket-Inhaber). Er ist insoweit eigenständiger Verantwortlicher.

§ 5 Datenübermittlung in Drittländer

Soweit Daten an Empfänger in einem Drittland (außerhalb der EU/EWR) übermittelt werden — insbesondere bei Stripe und Google Analytics — geschieht dies auf Grundlage eines Angemessenheitsbeschlusses (z. B. EU-US Data Privacy Framework) oder geeigneter Garantien gemäß Art. 46 DSGVO (Standardvertragsklauseln). Eine Kopie kann auf Anfrage zur Verfügung gestellt werden.

§ 6 Deine Rechte

Du hast — soweit die gesetzlichen Voraussetzungen vorliegen — folgende Rechte:

  • Auskunft über die zu deiner Person verarbeiteten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung („Recht auf Vergessenwerden", Art. 17 DSGVO), soweit keine gesetzlichen Aufbewahrungs­pflichten entgegenstehen
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit in einem strukturierten, gängigen, maschinenlesbaren Format (Art. 20 DSGVO)
  • Widerspruch gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. f DSGVO beruhen (Art. 21 DSGVO)
  • Widerruf einer Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO) — z. B. für Google Analytics jederzeit über den Cookie-Settings-Button in § 3
  • Beschwerde bei einer Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO). Zuständig für byomar ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Kavalleriestr. 2-4, 40213 Düsseldorf, www.ldi.nrw.de.

Bitte richte Anfragen zur Ausübung deiner Rechte an: rechtliches@byomar.art. Wir werden uns bemühen, innerhalb eines Monats zu antworten.

§ 7 Pflicht zur Bereitstellung

Die Bereitstellung deiner personenbezogenen Daten ist gesetzlich oder vertraglich nicht vorgeschrieben. Für den Abschluss einer Ticket-Bestellung benötigen wir jedoch zumindest Name und E-Mail-Adresse — ohne diese Angaben können wir die Bestellung nicht abwickeln und dir kein Ticket zustellen.

§ 7a Ausweis-Upload zur Identitätsprüfung (Stripe-KYC)

Wenn du als Veranstalter ein Stripe-Connect-Konto bei uns einrichtest, sind wir gesetzlich verpflichtet, deine Identität zu prüfen (Geldwäschegesetz § 10 GwG, Zahlungsdiensteaufsichts- gesetz § 17 ZAG, Art. 12–14 EU-Geldwäscherichtlinie). Dazu fordern wir ein Foto deines Ausweisdokuments (Personalausweis, Reisepass oder Aufenthaltstitel) über einen sicheren Self-Service-Link an.

Was passiert mit dem Bild:

  • Die Übertragung erfolgt TLS-verschlüsselt (HTTPS).
  • Das Bild wird an unseren Zahlungsdienstleister Stripe Payments Europe, Ltd. (Dublin, Irland) übermittelt, der die eigentliche Identitätsprüfung durchführt. Stripe kann das Bild zur Prüfung in die USA übermitteln (Drittlandtransfer, abgesichert durch EU-Standardvertragsklauseln + DPA).
  • Zusätzlich speichern wir eine Kopie AES-256-GCM-verschlüsselt auf unserem Server in Deutschland — der Entschlüsselungs-Schlüssel liegt in einer geschützten Server-Konfiguration und nicht in der Datenbank.
  • Auf dem Bild wird automatisch eine Texterkennung (OCR) durchgeführt, um die ausgelesenen Daten (Name, Geburtsdatum, Dokumentennummer, Ablaufdatum) mit den von dir bei der Anmeldung angegebenen Daten abzugleichen. Es findet keine automatisierte Entscheidung statt — die Freigabe trifft ein Mensch.
  • Die lokal verschlüsselte Kopie wird spätestens nach 30 Tagen automatisch gelöscht, sobald die Identitätsprüfung bei Stripe abgeschlossen ist. Bis dahin dient sie als Beleg für eine etwaige Nachprüfung (GwG-Aufzeichnungspflicht).
  • Jeder Zugriff auf das verschlüsselte Bild durch Mitarbeiter wird in einem getrennten Audit-Log mit Zeitstempel, IP und Anlass protokolliert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (Erfüllung einer rechtlichen Verpflichtung) i. V. m. § 10 GwG. Ohne die Bereitstellung können wir kein Konto für dich einrichten und keine Auszahlung vornehmen.

§ 8 Automatisierte Entscheidungen / Profiling

Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO findet nicht statt. Stripe nutzt zur Betrugsprävention algorithmische Verfahren, die jedoch keine Letztentscheidung über deine Bestellung treffen, sondern lediglich Risikohinweise liefern.

§ 9 Datensicherheit

Die Übertragung der Daten zwischen deinem Gerät und unseren Servern ist über TLS (HTTPS) verschlüsselt. Die Datenbanken werden in der EU gehostet und vor unbefugtem Zugriff geschützt. Zahlungsdaten verlassen nie unsere Plattform-Server — sie werden direkt von Stripe verarbeitet.

§ 10 Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich rechtliche Rahmenbedingungen oder Funktionen der Plattform ändern. Die jeweils aktuelle Version ist auf dieser Seite abrufbar. Für deine bereits abgeschlossene Bestellung gilt die Fassung, die zum Zeitpunkt der Bestellung galt.

Stand: 19. Mai 2026 · Version 1.1