TSA im VfL Lüneburg e. V.
Tanz im VfL Lüneburg e. V.
Wir setzen das WordPress‑Plugin „Events‑Manager Stripe“ ein, um im Rahmen der Veranstaltungsverwaltung (Events Manager) Online‑Zahlungen über Stripe zu ermöglichen und zahlungsbezogene Prozessschritte im Buchungs-/Ticketing‑Workflow technisch abzubilden. Die Verarbeitung erfolgt insbesondere für folgende Zwecke:
Abwicklung von Zahlungen für Veranstaltungsbuchungen/Tickets über Stripe (Einleitung, Autorisierung, Bestätigung, Zahlungsabschluss).
Zuordnung und Statussteuerung von Buchungen (z.B. „bezahlt“, „ausstehend“, „fehlgeschlagen“, „storniert“) anhand von Rückmeldungen/Statusereignissen des Zahlungsdienstleisters.
Übermittlung von Zahlungsparametern (z.B. Betrag, Währung, Verwendungszweck, Buchungs-/Bestellreferenz) an Stripe zur Durchführung der Zahlung.
Rückabwicklungen/Erstattungen und Klärung von Zahlungsdifferenzen (sofern im Workflow angeboten und genutzt).
Rechnungswesen und Nachweisführung (Zahlungsabgleich, Transaktionsbelege, interne/gesetzliche Dokumentation).
Betrugsprävention, Missbrauchsabwehr und IT‑Sicherheit im Zahlungs- und Buchungskontext (z.B. Erkennung auffälliger Transaktionsmuster, Schutz der Zahlungsschnittstellen).
Support und Incident‑Handling bei Rückfragen zu Buchungen/Zahlungen und bei technischen Störungen.
Je nach Konfiguration kann die Stripe‑Zahlung per Weiterleitung (Redirect), eingebettetem Checkout oder über Stripe‑Komponenten (z.B. Stripe.js/Elements) erfolgen. In diesen Fällen werden Daten zur Zahlungsabwicklung an Stripe übermittelt bzw. durch Stripe im Rahmen der Zahlungsabwicklung direkt erhoben.
Im Rahmen der Nutzung des Plugins und der Zahlungsabwicklung über Stripe können – abhängig von Buchungsprozess, angebotenen Zahlungsmethoden und technischer Einbindung – insbesondere folgende Datenkategorien verarbeitet werden:
Stammdaten / Kontaktdaten (Buchungsdaten)
Name, Vorname
E‑Mail‑Adresse
ggf. Telefonnummer
ggf. Rechnungsanschrift/Adressdaten, sofern im Buchungsprozess vorgesehen
Buchungs- und Leistungsdaten
Veranstaltungs-/Ticketinformationen (z.B. Event, Datum, Ticketkategorie, Anzahl)
Buchungs-/Bestellnummern, interne Referenzen, Statusinformationen
ggf. Zusatzangaben aus Formularfeldern (z.B. Teilnehmerdaten), sofern diese für die Buchung erhoben werden
Transaktions- und Zahlungsdaten
Betrag, Währung, Zeitstempel, Zahlungsstatus
Stripe‑Transaktions-/Objektkennungen (z.B. Payment‑Intent/Charge‑ID), Referenznummern
ggf. Rückerstattungs-/Stornoinformationen
Zahlungsmitteldaten (typischerweise primär bei Stripe)
je nach Zahlungsmethode (z.B. Karte, SEPA‑Lastschrift, Wallets) werden zahlungsmittelbezogene Daten verarbeitet.
Im Regelfall werden keine vollständigen Karten-/Kontodaten auf unserer Website gespeichert; diese werden typischerweise direkt durch Stripe verarbeitet. Bei uns verbleiben regelmäßig nur maskierte/abgeleitete Informationen (z.B. Zahlungsmethoden‑Typ, Status, ggf. letzte Ziffern/Brand, soweit bereitgestellt).
Technische Daten / Kommunikationsdaten
IP‑Adresse, Geräte-/Browserinformationen, Zeitstempel, Logdaten (z.B. zur Fehleranalyse, Missbrauchsabwehr)
Daten aus serverseitigen Rückmeldungen (z.B. Webhooks), soweit zur Validierung und Statusaktualisierung erforderlich
Optional: Endgeräte-/Trackingdaten
Cookies/ähnliche Technologien und daraus abgeleitete Kennungen, soweit Stripe‑Komponenten eingebunden werden und diese im Rahmen der Zahlungsabwicklung bzw. Fraud‑Prevention entsprechende Technologien einsetzen (einbettungs- und konfigurationsabhängig).
Die Rechtsgrundlagen richten sich nach dem konkreten Buchungs- und Zahlungsprozess sowie der technischen Ausgestaltung (Redirect vs. eingebettete Zahlung, aktivierte Fraud‑Prevention, eingesetzte Zahlungsmethoden). Typischerweise kommen folgende Rechtsgrundlagen in Betracht:
Art. 6 Abs. 1 lit. b DSGVO (Vertrag / vorvertragliche Maßnahmen)für die Durchführung der Veranstaltungsbuchung und die Abwicklung der Zahlung als integraler Bestandteil der Leistung (Ticketkauf/Teilnahme).
Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung)soweit wir Daten zur Erfüllung gesetzlicher Pflichten verarbeiten müssen (z.B. handels-/steuerrechtliche Dokumentations- und Aufbewahrungspflichten, Nachweisführung im Zahlungsverkehr).
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)für Betrugsprävention, Missbrauchsabwehr, IT‑Sicherheit, Qualitätssteuerung des Zahlungsprozesses sowie die Geltendmachung/Ausübung/Verteidigung von Rechtsansprüchen.
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)soweit im konkreten Setup zusätzliche Verarbeitungen über die Zahlungsabwicklung hinaus aktiviert werden (z.B. bestimmte optionale Tracking-/Marketing‑Funktionen, die nicht erforderlich sind).
§ 25 TDDDG (Endgerätezugriff, Deutschland)soweit Stripe‑Komponenten Cookies oder vergleichbare Technologien auf dem Endgerät speichern/auslesen. Ob hierfür eine Einwilligung erforderlich ist, hängt von der technischen Erforderlichkeit und dem konkreten Einsatz (insb. Fraud‑Prevention vs. Tracking) ab.
§ 26 BDSG (Beschäftigtendaten), ergänzendsoweit im Rahmen interner Admin-/Backoffice‑Prozesse Beschäftigtendaten verarbeitet werden (z.B. Zugriffe auf Buchungs- und Zahlungsübersichten im Arbeitskontext).
Für reine Website‑Besucher ohne Buchungs-/Bezahlvorgang verarbeitet das Plugin typischerweise keine eigenständigen personenbezogenen Daten über das übliche Maß des Websitebetriebs hinaus.
Sobald eine Person den Buchungs- und Zahlungsvorgang nutzt (z.B. „Jetzt bezahlen“), werden die zur Zahlungsabwicklung erforderlichen Daten verarbeitet und an Stripe übermittelt bzw. Stripe erhebt diese im Rahmen der Zahlungsabwicklung. Rechtsgrundlage ist dann regelmäßig Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie ergänzend Art. 6 Abs. 1 lit. f DSGVO (Sicherheits-/Betrugspräventionsinteressen). Soweit Endgerätezugriffe (Cookies/ähnliche Technologien) im Zahlungsflow stattfinden, ist zusätzlich § 25 TDDDG zu berücksichtigen.
Soweit die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO gestützt wird, bestehen unsere berechtigten Interessen insbesondere in:
Betrugsprävention und Reduktion missbräuchlicher Buchungen/Zahlungsversuche (z.B. gestohlene Zahlungsmittel, automatisierte Attacken),
Sicherstellung der Integrität und Verfügbarkeit der Buchungs- und Zahlungssysteme,
Vermeidung wirtschaftlicher Schäden (z.B. Chargebacks, Rücklastschriften, Zahlungsstörungen),
Fehleranalyse und Prozessqualität im Payment‑Workflow,
Beweissicherung sowie Durchsetzung/Verteidigung von Rechtsansprüchen (z.B. bei Zahlungsstreitigkeiten).
Im Kontext des Plugins können personenbezogene Daten an folgende Empfänger/Kategorien gelangen:
Stripe‑Gesellschaften als Zahlungsdienstleister. Stripe verarbeitet Daten zur Durchführung der Zahlung und für eigene Compliance-/Sicherheitszwecke (z.B. Betrugsprävention, regulatorische Anforderungen). Je nach Konstellation kann Stripe insoweit als (mit-)eigenständig Verantwortlicher und/oder als Dienstleister tätig werden.
Banken und Zahlungsverkehrsbeteiligte (z.B. Acquirer, Kartenorganisationen, Clearingstellen, SEPA‑Netzwerke), soweit dies für die Ausführung der gewählten Zahlungsmethode erforderlich ist.
Interne Empfänger (Need‑to‑know): Veranstaltungsmanagement, Buchhaltung/Finance, Support, IT‑Administration.
Auftragsverarbeiter: Hosting‑Provider, Managed‑Service‑Provider, IT‑Dienstleister (Wartung/Support), ggf. E‑Mail‑Dienstleister (Buchungs-/Zahlungsbestätigungen), Ticket-/CRM‑Systeme, sofern angebunden.
Externe Empfänger im Anlassfall: Rechtsberater, Steuerberater/Wirtschaftsprüfer, Behörden/Gerichte, Strafverfolgungsbehörden – jeweils nur bei Vorliegen einer Rechtsgrundlage und im erforderlichen Umfang.
Bei der Nutzung von Stripe kann eine Verarbeitung personenbezogener Daten außerhalb des EWR nicht ausgeschlossen werden, insbesondere wenn:
Stripe oder verbundene Unternehmen/Dienstleister Infrastruktur in Drittländern einsetzen,
Support-/Sicherheits-/Compliance‑Prozesse konzernweit organisiert sind,
technische Komponenten (z.B. eingebettete Checkout‑/JS‑Komponenten) Daten an Drittland‑Endpunkte übertragen.
Soweit Drittlandübermittlungen stattfinden, erfolgt dies nach Maßgabe der Art. 44 ff. DSGVO, insbesondere auf Grundlage geeigneter Garantien (z.B. Standardvertragsklauseln) und ggf. ergänzender technischer und organisatorischer Maßnahmen (z.B. Verschlüsselung, Zugriffsbeschränkungen, Datenminimierung). Für die Bewertung ist regelmäßig ein risikobasiertes Transfer‑Assessment (TIA) im Rahmen des Lieferantenmanagements erforderlich.
Wir speichern Zahlungs- und Buchungsdaten nur so lange, wie dies zur Zweckerreichung erforderlich ist:
Buchungs- und Zahlungsstatusdaten (inkl. Transaktionsreferenzen) werden grundsätzlich für die Dauer der Vertragsabwicklung sowie zur Nachweisführung gespeichert.
Handels- und steuerrechtliche Aufbewahrungspflichten können eine längere Speicherung erforderlich machen (z.B. mehrjährige Aufbewahrung je nach Dokumentart nach HGB/AO).
Streit- und Incident‑Fälle (z.B. Zahlungsreklamation, Betrugsverdacht, Rückabwicklung): Speicherung bis zur abschließenden Klärung sowie ggf. bis zum Ablauf einschlägiger Verjährungsfristen, soweit zur Rechtsverteidigung erforderlich.
Stripe speichert und verarbeitet Daten im Rahmen eigener Zwecke und Pflichten nach den dortigen Regelungen; darauf haben wir nur begrenzten Einfluss.
Die Bereitstellung personenbezogener Daten ist nicht gesetzlich vorgeschrieben. Sie ist jedoch vertraglich/funktional erforderlich, wenn Sie eine Veranstaltungsbuchung mit Stripe‑Zahlung durchführen möchten:
Ohne die für die Zahlungsabwicklung notwendigen Angaben kann die Zahlung nicht initiiert oder abgeschlossen werden.
Ohne Zahlungsbestätigung kann die Buchung je nach Konfiguration nicht als bezahlt/finalisiert geführt werden.
Sofern alternative Zahlungsarten angeboten werden, können Sie ggf. auf eine andere Zahlungsoption ausweichen.
Im Rahmen unseres Systems kann es zu automatisierten Verarbeitungsschritten kommen, insbesondere:
automatische Statussetzung „bezahlt/ausstehend/fehlgeschlagen“ basierend auf Stripe‑Rückmeldungen/Events,
automatisierte Plausibilitäts-/Validierungsprüfungen (z.B. Abgleich von Betrag/Währung/Referenzen),
ggf. automatische technische Abweisungen bei erkennbaren Missbrauchsmustern im Buchungsprozess.
Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO (mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung) findet bei uns im Regelfall nicht statt.
Unabhängig davon kann Stripe im Rahmen der Zahlungsdienstleistung automatisierte Risiko- und Betrugsprüfungen einsetzen, die zur Autorisierung, zusätzlichen Authentifizierungsschritten oder Ablehnung einer Zahlung führen können. Diese Verarbeitung liegt grundsätzlich im Verantwortungsbereich von Stripe als Zahlungsdienstleister.
