TSA im VfL Lüneburg e. V.
Tanz im VfL Lüneburg e. V.
Wir setzen das WordPress‑Plugin „Events‑Manager PayPal“ ein, um im Rahmen der Veranstaltungsverwaltung (Events Manager) Online‑Zahlungen über PayPal zu ermöglichen und zahlungsbezogene Prozesse im Buchungs-/Ticketing‑Workflow technisch abzuwickeln. Die Verarbeitung erfolgt insbesondere für folgende Zwecke:
Abwicklung von Zahlungen für Veranstaltungsbuchungen/Tickets über PayPal (Einleitung, Autorisierung, Bestätigung).
Zuordnung und Statussteuerung von Buchungen (z.B. „bezahlt“, „ausstehend“, „storniert“) anhand der Rückmeldungen von PayPal.
Erstellung und Übermittlung von Zahlungsanforderungen (z.B. Betrag, Währung, Verwendungszweck, Buchungs-/Bestellreferenz).
Rückabwicklung/Erstattungen und Klärung von Zahlungsdifferenzen (sofern angeboten/genutzt).
Rechnungswesen und Nachweisführung (Transaktionsbelege, Zahlungsabgleich, interne/gesetzliche Dokumentationspflichten).
Betrugsprävention, Missbrauchsabwehr und IT‑Sicherheit im Zahlungs- und Buchungskontext (z.B. Erkennung verdächtiger Zahlungsversuche).
Kundensupport bei Rückfragen zu Zahlungen und Buchungen.
Je nach Konfiguration kann die PayPal‑Zahlung per Weiterleitung (Redirect) oder per Einbettung von PayPal‑Komponenten (z.B. Buttons/Skripte) erfolgen. In beiden Fällen werden Daten zur Zahlungsabwicklung an PayPal übermittelt bzw. von PayPal direkt erhoben.
Im Rahmen der Nutzung des Plugins und der PayPal‑Zahlungsabwicklung können – abhängig von Buchungsprozess, Produkt-/Ticketmodell und Konfiguration – insbesondere folgende Datenkategorien verarbeitet werden:
Stammdaten / Kontaktdaten (Buchungsdaten)
Name, Vorname
E‑Mail‑Adresse
ggf. Telefonnummer
ggf. Rechnungs-/Anschrift (sofern im Buchungsprozess vorgesehen)
Buchungs- und Transaktionsdaten
Veranstaltungs-/Ticketinformationen (z.B. Eventname, Datum, Ticketkategorie, Anzahl)
Buchungs-/Bestellnummern, interne Referenzen
Betrag, Währung, Rabatte/Gutscheine (sofern vorhanden)
Zahlungsstatus (z.B. bezahlt/fehlgeschlagen/storniert), Zeitstempel
PayPal‑spezifische Zahlungsdaten (typischerweise keine vollständigen Kartendaten bei uns)
PayPal‑Transaktions-ID, Payer‑ID, Zahlungsreferenzen
ggf. PayPal‑Account‑Kennungen (z.B. PayPal‑E‑Mail des Zahlers) – soweit von PayPal übermittelt
ggf. Versand-/Lieferdaten, sofern im PayPal‑Flow erfasst und an uns zurückgemeldet (in der Regel bei Ticketing meist nicht erforderlich)
Technische Daten / Kommunikationsdaten
IP‑Adresse und technische Metadaten, die im Rahmen des Website‑ und Zahlungsabrufs anfallen (z.B. Browser-/Geräteinformationen, Zeitstempel)
Daten aus serverseitigen Rückmeldungen (z.B. IPN/Webhook‑Nachrichten), soweit zur Validierung/Statusaktualisierung erforderlich
Optional: Endgeräte-/Trackingdaten
Cookies/ähnliche Technologien und daraus abgeleitete Kennungen, soweit PayPal‑Komponenten eingebunden werden oder PayPal diese im Rahmen des Zahlungsprozesses setzt/ausliest (konfigurations- und einbettungsabhängig).
Die Rechtsgrundlagen hängen vom konkreten Buchungs- und Zahlungsprozess ab. Typischerweise kommen folgende Grundlagen in Betracht:
Art. 6 Abs. 1 lit. b DSGVO (Vertrag / vorvertragliche Maßnahmen)für die Durchführung der Veranstaltungsbuchung und die Abwicklung der Zahlung als integraler Bestandteil der Leistung (Ticketkauf/Teilnahme).
Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung)soweit wir Daten zur Erfüllung gesetzlicher Pflichten verarbeiten müssen (z.B. handels-/steuerrechtliche Dokumentations- und Aufbewahrungspflichten, Nachweisführung im Zahlungsverkehr).
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)für Betrugsprävention, Missbrauchsabwehr, IT‑Sicherheit, Geltendmachung/Ausübung/Verteidigung von Rechtsansprüchen sowie für den ordnungsgemäßen Betrieb und die Qualitätssicherung der Zahlungsprozesse.
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)soweit im konkreten Setup zusätzliche Verarbeitungen erfolgen, die über die Zahlungsabwicklung hinausgehen (z.B. bestimmte optionale Tracking-/Marketingfunktionen oder Einbettungen, die einwilligungsbasiert zu steuern sind).
§ 25 TDDDG (Endgerätezugriff, Deutschland)soweit im Rahmen eingebetteter PayPal‑Komponenten Cookies oder vergleichbare Technologien auf dem Endgerät gespeichert/ausgelesen werden. Ob hierfür eine Einwilligung erforderlich ist, hängt von der technischen Erforderlichkeit und Ausgestaltung im konkreten Setup ab.
Für reine Website‑Besucher ohne Buchung/Bezahlvorgang verarbeitet das Plugin typischerweise keine eigenständigen personenbezogenen Daten über das übliche Maß des Websitebetriebs hinaus.
Sobald eine Person jedoch den Buchungs- und Zahlungsvorgang nutzt (z.B. „Jetzt bezahlen“), werden die zur Zahlungsabwicklung erforderlichen Daten verarbeitet und an PayPal übermittelt bzw. PayPal erhebt diese im eigenen Zahlungsvorgang. Rechtsgrundlage ist dann regelmäßig Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie ergänzend Art. 6 Abs. 1 lit. f DSGVO (Sicherheits-/Betrugspräventionsinteressen). Soweit Endgerätezugriffe (Cookies/ähnliche Technologien) im Zahlungsflow stattfinden, ist zusätzlich § 25 TDDDG zu berücksichtigen.
Soweit die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO gestützt wird, bestehen unsere berechtigten Interessen insbesondere in:
Betrugsprävention und Vermeidung missbräuchlicher Buchungen/Zahlungsversuche,
Sicherstellung der Integrität und Verfügbarkeit der Buchungs- und Zahlungsprozesse,
Reduktion wirtschaftlicher Schäden (Chargebacks, Rücklastschriften, Zahlungsstörungen),
Fehleranalyse und Prozessqualität im Payment‑Workflow,
Beweissicherung sowie Durchsetzung/Verteidigung von Rechtsansprüchen (z.B. bei Zahlungsstreitigkeiten).
Im Kontext des Plugins können personenbezogene Daten an folgende Empfänger/Kategorien gelangen:
PayPal‑Gesellschaften als Zahlungsdienstleister (je nach Kontositz/Region; PayPal verarbeitet Daten regelmäßig auch in eigener Verantwortlichkeit für die Zahlungsdienstleistung und Compliance‑Zwecke).
Banken und Zahlungsverkehrsbeteiligte (z.B. Korrespondenzbanken, Karten-/Clearingstellen), soweit dies im PayPal‑Zahlungsprozess erforderlich ist.
Interne Empfänger (Need‑to‑know): Veranstaltungsmanagement, Buchhaltung/Finance, Support, IT‑Administration.
Auftragsverarbeiter: Hosting‑Provider, Managed‑Service‑Provider, IT‑Dienstleister (Wartung/Support), ggf. E‑Mail‑Dienstleister (Buchungs-/Zahlungsbestätigungen), Ticket-/CRM‑Systeme, sofern angebunden.
Externe Empfänger im Anlassfall: Rechtsberater, Steuerberater/Wirtschaftsprüfer, Behörden/Gerichte, Strafverfolgungsbehörden – jeweils nur bei Vorliegen einer Rechtsgrundlage und im erforderlichen Umfang.
Bei der Nutzung von PayPal kann eine Verarbeitung personenbezogener Daten außerhalb des EWR nicht ausgeschlossen werden, insbesondere wenn:
PayPal oder verbundene Unternehmen/Dienstleister Infrastruktur in Drittländern einsetzen,
Support-/Sicherheits-/Compliance‑Prozesse konzernweit organisiert sind,
technische Komponenten (z.B. eingebettete Scripts) Daten an Drittland‑Endpunkte übertragen.
Soweit Drittlandübermittlungen stattfinden, erfolgt dies nach Maßgabe der Art. 44 ff. DSGVO, typischerweise auf Grundlage geeigneter Garantien (z.B. Standardvertragsklauseln) und ggf. ergänzender technischer und organisatorischer Maßnahmen (z.B. Verschlüsselung, Zugriffsbeschränkungen, Datenminimierung). Für die Bewertung ist regelmäßig ein risikobasiertes Transfer‑Assessment (TIA) im Rahmen des Lieferantenmanagements erforderlich.
Wir speichern Zahlungs- und Buchungsdaten nur so lange, wie dies zur Zweckerreichung erforderlich ist:
Buchungs- und Zahlungsstatusdaten (inkl. Transaktionsreferenzen) werden grundsätzlich für die Dauer der Vertragsabwicklung und zur Nachweisführung gespeichert.
Handels- und steuerrechtliche Aufbewahrungspflichten können eine längere Speicherung erforderlich machen (z.B. 6 Jahre bzw. 10 Jahre – abhängig von Dokumentart und Rechtsgrundlage).
Streit- und Incident‑Fälle (z.B. Zahlungsreklamation, Betrugsverdacht, Rückabwicklung): Speicherung bis zur abschließenden Klärung sowie ggf. bis zum Ablauf einschlägiger Verjährungsfristen, soweit zur Rechtsverteidigung erforderlich.
PayPal speichert und verarbeitet Daten im Rahmen eigener Zwecke und Pflichten nach den dortigen Regelungen; darauf haben wir nur begrenzten Einfluss.
Die Bereitstellung personenbezogener Daten ist nicht gesetzlich vorgeschrieben. Sie ist jedoch vertraglich/funktional erforderlich, wenn Sie eine Veranstaltungsbuchung mit PayPal‑Zahlung durchführen möchten:
Ohne die für die Zahlungsabwicklung notwendigen Angaben kann die Zahlung nicht initiiert oder abgeschlossen werden.
Ohne Zahlungsbestätigung kann die Buchung je nach Konfiguration nicht als bezahlt/finalisiert geführt werden.
Sofern alternative Zahlungsarten angeboten werden, können Sie ggf. auf eine andere Zahlungsoption ausweichen.
Im Rahmen unseres Systems kann es zu automatisierten Verarbeitungsschritten kommen, insbesondere:
automatische Statussetzung „bezahlt/ausstehend/fehlgeschlagen“ basierend auf PayPal‑Rückmeldungen,
automatisierte Plausibilitäts-/Validierungsprüfungen (z.B. Abgleich von Betrag/Währung/Referenzen).
Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO (mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung) findet bei uns im Regelfall nicht statt.
Unabhängig davon kann PayPal im Rahmen der Zahlungsdienstleistung automatisierte Risiko- und Betrugsprüfungen einsetzen, die zur Autorisierung oder Ablehnung einer Zahlung führen können. Diese Verarbeitung liegt grundsätzlich in der Verantwortlichkeit von PayPal als Zahlungsdienstleister.
