Datenschutz & Sicherheit

Sicherheit & Datenschutz

Die Daten Deiner Gäste gehören Dir — und bleiben in Europa. Diese Seite erklärt im ersten Teil verständlich, wie ticketYoo schützt, und liefert im zweiten Teil die belastbaren Details für IT und Datenschutzbeauftragte.

Zu den IT-Details Datenschutzerklärung

Vertrauen, das auf Technik beruht

Datenschutz ist bei ticketYoo kein Add-on, sondern eingebaut.

🇩🇪Hosting in Deutschland
🏅ISO 27001
📋DSGVO-konform
🔒AES-256 & TLS

Daten bleiben in der EU

Speicherung und Verarbeitung ausschließlich in Deutschland — kein standardmäßiger Transfer in Drittländer.

Starke Verschlüsselung

Sensible Daten und Datei-Uploads — inkl. Gäste-Fotos — werden mit AES-256-GCM verschlüsselt; Übertragung per TLS.

AVV online abschließen

Den Auftragsverarbeitungsvertrag nach Art. 28 DSGVO schließt Du direkt in ticketYoo ab — ohne Papierkram.

2FA & Zugriffskontrolle

Zwei-Faktor-Login (TOTP), rollenbasierte Rechte und strikte Mandanten-Isolation zwischen Teams.

Beidseitige Einwilligung

Beim Networking gilt beidseitige Zustimmung, granulare Feldfreigabe und Widerruf pro Scan — Datenschutz by design.

Löschen & Anonymisieren

Regelbasierte Aufbewahrung: vergangene Gäste- und Kontaktdaten werden automatisch anonymisiert oder gelöscht.

Für IT & Datenschutzbeauftragte

Die Details, die Du brauchst

Damit Deine Prüfung schnell geht — offen und ohne Marketing-Nebel.

1. Hosting & Infrastruktur

  • Rechenzentrum in Deutschland; Anwendung und Datenbank (PostgreSQL) werden ausschließlich in der EU betrieben.
  • Transportverschlüsselung durchgängig per TLS/HTTPS; Cookie nur technisch notwendig und mit Secure-Flag.
  • Tägliche, verschlüsselte Backups; Wiederherstellungsprozess dokumentiert.
  • ISO-27001-zertifiziertes Informationssicherheits-Management.

2. Verschlüsselung

  • Datei-Uploads und sensible Felder (inkl. Gäste-Fotos, Unterschriften) verschlüsselt mit AES-256-GCM.
  • Schlüsselableitung über PBKDF2; Secrets (z. B. SMTP-Passwörter, API-Schlüssel) verschlüsselt gespeichert, nie im Klartext ausgegeben.
  • Upload-Härtung: Extension-Whitelist + Magic-Byte-Prüfung; ausführbare/HTML-Dateien werden blockiert (Schutz vor Stored XSS).

3. Zugriff & Authentifizierung

  • Zwei-Faktor-Authentifizierung (TOTP) für Bediener-Konten.
  • Rollenbasierte Berechtigungen, eventspezifische Rollen (nur Check-in, Gästeliste oder volle Bearbeitung).
  • Strikte Mandanten-Isolation zwischen Teams; Cross-Tenant-Zugriff serverseitig ausgeschlossen.
  • Optionales Single Sign-On über Microsoft Entra ID (Azure AD).

4. Betroffenenrechte & Datenminimierung

  • Auskunft & Export: Gastdaten lassen sich strukturiert exportieren (CSV/Excel).
  • Löschung & Anonymisierung: team-konfigurierbare Aufbewahrungsfristen, automatischer Cron, Ausnahmen nach Einwilligung/Schlagwort.
  • Einwilligung: pro Consent dokumentiert, mit optionaler rechtsgültiger Unterschrift (verschlüsselt) bei Anmeldung oder Check-in.
  • Networking/Lead-Scan: beidseitige Einwilligung, granulare Feldfreigabe, Widerruf pro Scan.

5. Sub-Prozessoren (transparent)

Die Kernplattform kommt ohne US-Datentransfer aus. Optionale Funktionen binden weitere Dienste ein — nur wenn Du sie aktivierst:

  • Hosting/Datenbank: Anbieter in Deutschland (EU).
  • E-Mail-Versand: Mailserver-Infrastruktur in der EU (DKIM/SPF); eigener Absender pro Team möglich.
  • Online-Zahlung (optional): Stripe — nur aktiv, wenn Du Online-Zahlungen einschaltest; Zahlungsdaten laufen dann über Stripe.
  • SMS/WhatsApp (optional): über den von Dir gewählten Anbieter, nur bei Aktivierung.
  • Push-Mitteilungen (optional): Apple (APNs, USA) und Google (FCM, USA) — technisch nötig für die Zustellung an iOS-/Android-Geräte, nur bei Nutzung von Push.

Die vollständige, aktuelle Liste der Auftragsverarbeiter ist Teil des AVV.

6. Technische & organisatorische Maßnahmen (TOM)

  • Zutritt/Zugang/Zugriff: Rechenzentrum-Sicherheit, 2FA, rollenbasierte Rechte, Mandanten-Trennung.
  • Eingabe/Weitergabe: TLS, verschlüsselte Speicherung, Protokollierung sicherheitsrelevanter Aktionen.
  • Verfügbarkeit: tägliche verschlüsselte Backups, Rate-Limiting/Quota gegen Missbrauch, Virenscan für Uploads.
  • Belastbarkeit: regelmäßige Penetrationstests und gezielte Härtung der öffentlichen Endpunkte.

Kontakt für Datenschutzfragen

Fragen zur Auftragsverarbeitung oder zum Datenschutz beantwortet unser externer Datenschutzbeauftragter. AVV-Entwurf, TOM-Übersicht und Datenschutzerklärung stellen wir auf Anfrage bereit.

info@dsb-r.de Muster-AVV (PDF) Datenschutzerklärung Kontakt

FAQ

Häufige Datenschutz-Fragen

Wo werden die Daten gespeichert?

Ausschließlich in einem Rechenzentrum in Deutschland und damit innerhalb der EU.

Schließt ihr einen AVV nach Art. 28 DSGVO?

Ja, online direkt in ticketYoo. Auf Anfrage stellen wir den Entwurf vorab zur Prüfung bereit.

Werden Daten in die USA übertragen?

Die Kernplattform nicht. Nur optionale, von Dir aktivierte Dienste (z. B. Online-Zahlung über Stripe) verarbeiten dann eigene Daten — transparent im AVV gelistet.

Wie werden alte Gästedaten gelöscht?

Über team-konfigurierbare Aufbewahrungsfristen: vergangene Gäste- und Kontaktdaten werden automatisch anonymisiert oder gelöscht, mit Ausnahmen nach Einwilligung.

Bekomme ich eine Übersicht der Sub-Prozessoren und TOM?

Ja. Sub-Prozessoren-Liste und technisch-organisatorische Maßnahmen sind Teil des AVV und werden auf Anfrage bereitgestellt.

Datenschutz, dem Du vertrauen kannst