Datenschutzerklärung

1. Verantwortlicher und Kontakt

1.1 Name, Anschrift, Kontaktdaten

MysteryErlebnis
Inhaber: Kevin Latta
Im Daubenthal 18
41539 Dormagen, Deutschland
E‑Mail: info@mysteryerlebnis.de · Tel.: 0176 42716630
Website: mysteryerlebnis.de

1.2 Kontakt für Datenschutzanfragen
Für Anfragen zu Ihren Rechten (z. B. Auskunft, Löschung, Widerspruch) erreichen Sie uns unter info@mysteryerlebnis.de oder postalisch an die oben genannte Anschrift. Wir bearbeiten Anfragen grundsätzlich innerhalb von einem Monat.

1.3 Datenschutzbeauftragter
Ein Datenschutzbeauftragter ist derzeit nicht benannt, da die Voraussetzungen nach Art. 37 DSGVO und § 38 BDSG aktuell nicht erfüllt sind (insb. keine öffentliche Stelle, keine Kerntätigkeit mit umfangreicher, regelmäßiger Überwachung oder umfangreicher Verarbeitung besonderer Kategorien, weniger als 20 Personen ständig mit Datenverarbeitung betraut). Wir prüfen die Erforderlichkeit fortlaufend.

1.4 Zuständige Aufsichtsbehörde
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein‑Westfalen (LDI NRW), Kavalleriestraße 2–4, 40213 Düsseldorf · Tel.: 0211 / 38424‑0 · E‑Mail: poststelle@ldi.nrw.de · Web: www.ldi.nrw.de

2. Geltungsbereich dieser Hinweise

Diese Datenschutzhinweise gelten für die Domain mysteryerlebnis.de inkl. Unterseiten, Formular‑Unterseiten, den Checkout zur Bestellung/Einlösung digitaler Gutscheine, das nicht‑öffentliche Admin‑Backend (nur Admins) sowie die E‑Mail‑Kommunikation (inkl. Alias‑/Ticket‑Postfächer).

Nicht umfasst ist die Verarbeitung durch externe Anbieter, die Erlebnisse in eigener Verantwortung durchführen. Für deren Datenverarbeitung gelten die jeweiligen Datenschutzhinweise des Anbieters.

3. Kategorien personenbezogener Daten

Stammdaten: Name, E‑Mail, optional Telefonnummer.

Vertrags-/Bestell-/Abrechnungsdaten: gebuchte Leistungen/Pakete, Terminwünsche, Gutscheinart/-wert, Einlöse-/Buchungsdaten, Status, Beträge/Währung, Rechnungsinhalte, Zahlungsstatus, Transaktionsreferenzen. Kartendaten werden ausschließlich in Stripe-Feldern eingegeben und nicht bei uns gespeichert oder eingesehen.

Kommunikationsdaten: Inhalte aus Formularen/E‑Mails (inkl. Anhänge), interne Zuordnungen, Zeitpunkte, technische Metadaten.

Nutzungs-/Protokolldaten: IP, Zeitstempel, aufgerufene Seiten/Dateien, Referrer, HTTP‑Status, Browser/Device‑Kennungen; im Adminbereich zusätzlich Login‑Ereignisse (erfolgreich/fehlgeschlagen).

Technische Identifikatoren/Cookies: Sitzungskennungen für Public‑ und Admin‑Bereich.

Pseudonymisierte Vorgangsdaten (intern): Für interne System-Benachrichtigungen nutzen wir ausschließlich Ticket-/Anfrage-IDs und technische Kurzangaben (z. B. grobe Region, Budget-Klasse, Datum) ohne Klarnamen oder Kontaktdaten.

Nachweise: Mindestalter, Identitäts-/Eignungsnachweise, soweit für das Erlebnis erforderlich und bereitgestellt.

Partner-/Anbieterdaten: Kontaktdaten/Korrespondenz mit Anbietern/Partnern zur Terminabstimmung/​Durchführung/​Umbuchung/​Reklamation.

4. Zwecke der Verarbeitung und Rechtsgrundlagen

4.1 Vertrag/Abwicklung (Art. 6 Abs. 1 lit. b DSGVO): Anfrageprüfung, Angebot, Terminabstimmung, Zahlung, Gutschein, Einlösung, Buchung, Dokumentation, Rechnungen; erforderliche Mitteilungen an Anbieter.

4.2 Gesetzliche Pflichten (Art. 6 Abs. 1 lit. c DSGVO): Handels-/steuerrechtliche Aufbewahrung, Auskunftsersuchen.

4.3 Sicherheit/Betrugsprävention (Art. 6 Abs. 1 lit. f DSGVO): IT‑Betrieb, Angriffserkennung, Fehleranalyse, Missbrauchs-/Betrugsvermeidung; SCA/3‑D‑Secure im Zahlungsprozess.

4.4 Kommunikation/Support (Art. 6 Abs. 1 lit. b/f DSGVO): Beantwortung von Anfragen, Konkretisierung von Angeboten, Termin‑Koordination, Support.

4.5 Einwilligung (Art. 6 Abs. 1 lit. a DSGVO; § 25 TDDDG (ehemals TTDSG)): für einwilligungsbedürftige Verarbeitungen/Speicherzugriffe. Einwilligungen werden protokolliert (Zeitpunkt, Inhalt, Nachweis der Handlung). Ein Widerruf ist jederzeit über die angegebenen Kontaktwege möglich und wirkt für die Zukunft.

5. Empfänger der Daten

Auftragsverarbeiter (Hosting/Infrastruktur, E‑Mail, Monitoring, IT‑Wartung) – weisungsgebunden nach Art. 28 DSGVO; möglichst in der EU/EWR, sonst mit Garantien (Ziff. 6). Hinweis: PDF/QR‑Erzeugung via DOMPDF ausschließlich auf eigener Infrastruktur.

Zahlungsdienst (Stripe) als eigener Verantwortlicher: Austausch transaktionsbezogener Daten; Kartendaten ausschließlich in Stripe‑Feldern.

Anbieter/Partner (eigene Verantwortliche) zur Durchführung: nur erforderliche Daten (Name, Teilnehmendenzahl, Paket/Termin, Teilnahmevoraussetzungen, Kontakt).

Weitere: Berater/Prüfstellen, Behörden/Gerichte, Banken/Inkasso/Rechtsdienstleister (falls erforderlich), Benachrichtigungsdienste (Telegram) – interne Alerts: ausschließlich pseudonymisierte Systemhinweise (Ticket-/Anfrage-ID, grobe Region, Budget-Klasse, Datum) ohne Klarnamen oder Kontaktdaten; Telegram agiert als eigener Verantwortlicher.

Intern (Need‑to‑know): rollenbasierter Zugriff (z. B. Organisation/Support, Buchhaltung).

6. Datenübermittlungen in Drittländer und Garantien

Mögliche Fälle: Stripe‑Zahlungen/Sicherheitsprüfungen, Abruf von Stripe.js, interne Telegram‑Alerts. Bei Nutzung der internen Telegram-Alerts werden nur pseudonymisierte Alert-Inhalte (Ticket-/Anfrage-ID, grobe Region, Budget-Klasse, Datum) sowie technisch erforderliche Metadaten übermittelt; Klarnamen oder Kontaktdaten versenden wir nicht über Telegram. Es werden keine personenbezogenen Kundendaten an Telegram übermittelt; die Nutzung dient ausschließlich der kurzfristigen internen Alarmierung. Übermittlungen sichern wir – soweit erforderlich – nach Art. 46 DSGVO (SCC) ab und flankieren sie durch TOMs (Zugriffsbegrenzung, Datenminimierung, kurze Löschfristen). Garantien nach Art. 44 ff. DSGVO (EU‑US‑DPF, SCC) zzgl. TOMs (TLS, Zugriff, Datenminimierung, Trennung Admin/Public). Hinweis: Für Übermittlungen an US‑Anbieter (z. B. Stripe) stützen wir uns vorrangig auf das EU‑US Data Privacy Framework (Angemessenheitsbeschluss vom 10.07.2023); ergänzend kommen – soweit erforderlich – Standardvertragsklauseln zum Einsatz. Der Rechtsrahmen wurde 2025 durch das Gericht der Europäischen Union bestätigt (Rs. T‑553/23). Wir prüfen den Zertifizierungsstatus unserer US‑Empfänger (z. B. Stripe unter dem EU‑US Data Privacy Framework) regelmäßig und dokumentiert. Fällt eine Zertifizierung weg oder ändert sich die Rechtslage, stellen wir unverzüglich auf geeignete Garantien (z. B. Standardvertragsklauseln) mit ergänzenden technischen und organisatorischen Maßnahmen um.

7. Verarbeitungsvorgänge im Einzelnen

7.1 Bereitstellung der Website & Server-Logfiles

Beim Aufruf unserer Website werden durch den von uns eingesetzten Hosting-Provider automatisch Server-Logfiles erhoben und gespeichert. Dazu gehören insbesondere IP-Adresse des anfragenden Endgeräts, Datum und Uhrzeit des Zugriffs, aufgerufene URL/Datei, übertragene Datenmenge, HTTP-Statuscode, Referrer-URL sowie Browser- und Geräte-Kennungen. Die Verarbeitung erfolgt zur Sicherstellung von Verfügbarkeit und Funktionsfähigkeit der Website, zur Gewährleistung von IT-Sicherheit (z. B. Abwehr von Angriffen, Fehleranalyse) und zur Rechtsverfolgung im Ereignisfall.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem und störungsfreiem Betrieb).
Empfänger: Hosting-/Infrastruktur-Dienstleister als Auftragsverarbeiter (siehe Ziff. 5).
Speicherdauer: Logfiles werden regelmäßig nach bis zu 30 Tagen gelöscht; eine längere Speicherung erfolgt nur anlassbezogen zur Aufklärung von Sicherheitsvorfällen und wird nach Zweckerreichung gelöscht (vgl. Ziff. 8.2).

7.2 Cookies und ähnliche Technologien

Wir unterscheiden zwischen technisch erforderlichen und optionalen (Analyse/Personalisierung) Technologien. Standardmäßig sind optionale Cookies deaktiviert; sie werden erst gesetzt, wenn Sie zustimmen (Consent Mode v2 „Basic“). Ohne Zustimmung bleibt Ihr Besuch auf das technisch Nötige beschränkt.
Rechtsgrundlagen: § 25 Abs. 2 Nr. 2 TDDDG (technisch erforderliche Zugriffe), Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Checkout), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem Betrieb) sowie Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG für Analyse-/Marketing-Cookies.

7.2.1 Technisch erforderliche Cookies/Storage

Diese Technologien sind nötig, um unsere Seiten bereitzustellen, Sicherheit zu gewährleisten oder Verträge abzuwickeln. Sie können nicht abgelehnt werden.
Beispiele:
– mystery_public (Session-ID) – Sitzungssteuerung/Schutz · Dauer: Session · Anbieter: MysteryErlebnis
– mystery_admin (Session-ID, Admin) – Auth/CSRF · Dauer: Session · Anbieter: MysteryErlebnis
– wordpress_logged_in_*, wp-settings-* (nur Admins) – Backend-Komfort · Dauer: Session/konfigurationsabhängig · Anbieter: MysteryErlebnis
– __stripe_mid, __stripe_sid, m – Stripe Fraud-/Sicherheitsfunktionen · Dauer: transaktionsbezogen/bis zu 2 Jahre · Anbieter: Stripe
Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG, Art. 6 Abs. 1 lit. b DSGVO; ergänzend Art. 6 Abs. 1 lit. f DSGVO (Sicherheit).

7.2.2 Optionale Cookies/Storage (Analyse & Personalisierung)

Wir setzen optionale Technologien nur nach Ihrer ausdrücklichen Einwilligung ein. Ohne Zustimmung wird weder Google Analytics geladen noch werden Werbe-/Remarketing-Anbieter angesprochen.
Kategorie „Analyse & Performance“: Google Analytics 4 (siehe Abschnitt 7.2.4).
Kategorie „Personalisierte Angebote“: derzeit inaktiv; zukünftige Marketing-/Ads-Integrationen würden erst nach separater Freigabe aktiv.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG. Widerruf jederzeit möglich.

7.2.3 Consent-Management & Opt-out

Beim ersten Besuch zeigt unser selbst gehostetes Consent-Banner (CMP) alle Kategorien an. Ohne Auswahl bleiben Analyse/Personalisierung auf „abgelehnt“. Nach Zustimmung aktualisieren wir den Google Consent Mode v2 (analytics_storage, ad_storage, ad_user_data, ad_personalization). Sie können Ihre Entscheidung jederzeit über den Footer-Link „Cookie-Einstellungen" ändern; bei Widerruf deaktivieren wir optionale Skripte, löschen zugehörige Cookies und setzen den Consent-Status auf „denied“. Protokolle der Einwilligungen (Zeitpunkt, Status, technische Metadaten) speichern wir lokal für 24 Monate zum Nachweis.

7.2.4 Google Analytics 4 (GA4) & Consent Mode

Zweck: Analyse von Nutzungssignalen, User-Flows, Conversion-Performance.
Aktivierung: GA4 wird nur nach Einwilligung geladen (Consent Mode „Basic“ – keine cookielosen Pings ohne Zustimmung).
Verarbeitete Daten: pseudonyme Client-ID, Zeitstempel, URLs, Referrer, Events (z. B. Seitenaufrufe, Conversion), Geräteinformationen (Browsertyp, Sprache, Betriebssystem), IP-Adresse (gekürzt/anonymisiert), Standort auf Länderebene, Consent-Status.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO; § 25 Abs. 1 TDDDG.
Empfänger: Google Ireland Limited (Verantwortlicher für EU); Google LLC (USA) als Unterauftragnehmer. EU-US Data Privacy Framework + Standardvertragsklauseln.
Speicherdauer: GA4-Ereignisse 14 Monate (Standard). Consent-Logs speichern wir lokal (Zeitpunkt, Auswahl).
Widerruf: jederzeit über „Cookie-Einstellungen" oder Browser-Opt-out-Add-on (https://tools.google.com/dlpage/gaoptout). Wir deaktivieren GA4, löschen Cookies und setzen den Consent Mode auf „denied".

7.3 CMS (WordPress) & Admin-Login

Für Inhaltsverwaltung und Administrationszwecke setzen wir WordPress ein. Die Nutzung des Admin-Backends ist ausschließlich befugten Personen vorbehalten. Im Rahmen des Admin-Logins werden zur Sitzungsverwaltung und Absicherung (u. a. CSRF-Schutz) nur administratorbezogene Cookies gesetzt (siehe Ziff. 7.2). Darüber hinaus protokollieren wir im Adminbereich erfolgreiche und fehlgeschlagene Anmeldeereignisse (Zeitpunkt, technische Metadaten) zur Sicherheit und Missbrauchsprävention.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherer und effizienter Administration); für Inhaltebereitstellung zusätzlich Art. 6 Abs. 1 lit. f DSGVO.
Empfänger: Hosting/Infrastruktur (Hostinger International Ltd., Zypern, Datenzentrum: Deutschland/Europa) als Auftragsverarbeiter; keine externen Tracking-Dienste über WordPress aktiviert.
Speicherdauer: Admin-Sessions bis zum Logout/Session-Ende; Login-Protokolle in der Regel bis zu 30 Tage, länger nur anlassbezogen bei Sicherheitsvorfällen.

7.4 Formulare & E-Mail/IMAP (Alias/Tickets)

Über unsere Kontakt-, Angebots- und Partnerformulare sowie per E-Mail können Sie Anfragen an uns richten. Wir verarbeiten die von Ihnen eingegebenen Daten (z. B. Name, E-Mail, Telefonnummer – optional, Angaben zu gewünschter Region/Termin/Personenzahl/Budget/Präferenzen, Freitext) zur Prüfung und Beantwortung Ihrer Anfrage, zur Konkretisierung von Angeboten, zur Terminabstimmung und – bei Vertragsschluss – zur weiteren Vertragsdurchführung (inkl. Rechnungsstellung/Archivierung). Eingehende E-Mails werden in Alias-/Ticket-Postfächern organisiert und dem jeweiligen Vorgang zugeordnet.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen/Vertrag), Art. 6 Abs. 1 lit. f DSGVO (Interessenabwägung für allgemeine Anfragen ohne Vertragsbezug); Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrungspflichten).
Empfänger: Interne Bearbeitung nach dem Need-to-know-Prinzip; E-Mail-/Kommunikationsdienste als Auftragsverarbeiter; Anbieter/Partner (eigene Verantwortliche) nur soweit zur Durchführung erforderlich (siehe Ziff. 5).
Beschenkte/Daten Dritter: Sofern Sie Daten von Dritten (z. B. Beschenkte/Teilnehmende) übermitteln, informieren wir diese gemäß Art. 14 DSGVO über die Verarbeitung; bitte stellen Sie sicher, dass die Angaben richtig sind und die Weitergabe zulässig ist.
Speicherdauer: Vorgangsbezogene Kommunikation bis zum Abschluss des Vorgangs; im Übrigen beträgt die Aufbewahrung für Geschäftsbriefe typischerweise 6 Jahre, für steuerrelevante Unterlagen 10 Jahre (beginnend mit Schluss des Kalenderjahres).

7.5 Interne Benachrichtigungen (Telegram)

Zur internen Vorgangsbearbeitung nutzen wir – sofern aktiviert – einen Benachrichtigungsdienst (Telegram). Es werden ausschließlich pseudonymisierte Systemhinweise (z. B. Ticket-/Anfrage-ID, grobe Region, Budget-Klasse, Datum) ohne Klarnamen oder Kontaktdaten versendet. Zugriff erhalten nur berechtigte interne Stellen (privater Kanal/Gruppe). Für interne Benachrichtigungen übermitteln wir keine personenbezogenen Kundendaten an Telegram, sondern ausschließlich nicht personenbeziehbare Vorgangskennungen und grobe Parameter; eine Verarbeitung von Kundendaten oder Anhängen über Telegram findet nicht statt. Sofern verfügbar, nutzen wir vorrangig EU/EWR‑basierte Benachrichtigungen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an schneller interner Koordination/Alerting).
Empfänger/Rolle: Telegram ist eigener Verantwortlicher für den Messaging-Dienst; etwaige Datenübermittlungen in Drittländer (außerhalb der EU/des EWR) sind möglich und werden – soweit erforderlich – nach Art. 46 DSGVO (SCC) abgesichert; ergänzend setzen wir TOMs (rollenbasierter Zugriff, Datenminimierung, kurze Löschfristen) ein (siehe Ziff. 6).
Eine Ende‑zu‑Ende‑Verschlüsselung kommt in Gruppen/Channels standardmäßig nicht zum Einsatz; daher beschränken wir die Inhalte auf pseudonymisierte Alerts.
Speicherdauer: rein prozessbezogene Kurzspeicherung; automatisierte Löschung spätestens nach 7–14 Tagen (vgl. Ziff. 8.2). Es werden keine Anhänge oder sensiblen Inhalte über Telegram versendet.

7.6 Checkout und Zahlung mit Stripe, 3-D-Secure und Radar

Zweck und Ablauf.
Zur Annahme von Zahlungen setzen wir Stripe ein. Im Checkout wird das Stripe Payment Element genutzt. Die Eingabe und Übermittlung von Kartendaten und vergleichbaren Zahlungsdaten erfolgt ausschließlich in Stripe-Feldern, die von Stripe bereitgestellt und gehostet werden. MysteryErlebnis verarbeitet keine vollständigen Kartennummern, keine Prüfnummern und keine Kartenlaufzeiten.

Verarbeitete Daten.
Erforderlich sind Bestell- und Zahlungsmetadaten wie Bestellnummer, Betrag, Währung, Payment-Intent-ID, Zahlungsstatus, Zahlungsart, Zeitstempel, technische Protokolldaten des Endgeräts einschließlich IP-Adresse. Stripe kann zusätzlich gekürzte Kartenangaben bereitstellen, zum Beispiel Kartentyp und die letzten vier Ziffern. Für 3-D-Secure erfolgt eine starke Kundenauthentifizierung über das kartenausgebende Institut. Stripe setzt zur Betrugsprävention sein System Radar ein.

Rollen und Verantwortlichkeit.
Stripe verarbeitet personenbezogene Daten teils als eigenständig Verantwortlicher für Zwecke wie Betrugsprävention, Missbrauchsbekämpfung und gesetzliche Pflichten, und teils als Auftragsverarbeiter für die technische Zahlungsabwicklung im Auftrag von MysteryErlebnis. Die Verantwortung von MysteryErlebnis umfasst insbesondere Vertragsdurchführung, Buchung und Kundenkommunikation.

Rechtsgrundlagen.
Für die Zahlungsabwicklung gilt Artikel 6 Absatz 1 Buchstabe b DSGVO. Für Sicherheit und Betrugsprävention gilt Artikel 6 Absatz 1 Buchstabe f DSGVO. Der Einsatz des Stripe Payment Elements sowie das Laden von Stripe.js auf dem Endgerät ist zur Bereitstellung des vom Nutzer ausdrücklich gewünschten Zahlungsdienstes unbedingt erforderlich und erfolgt auf Grundlage von § 25 Absatz 2 Nummer 2 TDDDG.

Empfänger und Kategorien von Empfängern.
Stripe-Unternehmen, beteiligte Zahlungsdienstleister, kartenausgebende Banken, Kartenorganisationen, gegebenenfalls unsere Steuerberatung sowie mit Buchhaltung beauftragte Dienstleister.

Übermittlungen in Drittländer.
Stripe kann Daten in Staaten außerhalb der EU und des EWR verarbeiten. Für Übermittlungen in die Vereinigten Staaten stützt sich Stripe auf das EU-US Data Privacy Framework. Soweit im Einzelfall erforderlich, werden zusätzlich Standardvertragsklauseln nach Artikel 46 DSGVO eingesetzt und es bestehen angemessene technische und organisatorische Maßnahmen. Beim Laden von Stripe.js von der Domain js.stripe.com wird eine Verbindung zu Stripe hergestellt und es werden technisch notwendige Endgerätedaten an Stripe übermittelt.

Speicherdauer.
MysteryErlebnis speichert nur abrechnungs- und nachweispflichtige Metadaten für die Dauer handels- und steuerrechtlicher Aufbewahrungspflichten, in der Regel zehn Jahre, sowie unterstützende Vertragsdokumentation im gesetzlich erforderlichen Umfang (vgl. Ziff. 8.2, 8.3). Stripe speichert nach eigenen, zweckgebundenen Fristen.

Pflicht zur Bereitstellung.
Die Bereitstellung der genannten Daten ist für den Abschluss und die Durchführung der Zahlung erforderlich. Ohne diese Daten ist eine Zahlung nicht möglich.

Hinweis auf Widerspruchsrecht.
Sie können der Verarbeitung zu Zwecken der Betrugsprävention, soweit sie auf berechtigten Interessen beruht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, widersprechen. Weitere Hinweise zu Rechten finden Sie in Abschnitt Rechte betroffener Personen.

---

7.7 Webhooks zur Zahlungsstatus-Verarbeitung

Zweck und Funktionsweise.
Für die automatisierte Zuordnung und Abwicklung nutzen wir Stripe-Webhooks. Stripe sendet bei definierten Ereignissen sichere Server-Benachrichtigungen an unsere Backend-Schnittstelle. Auf dieser Grundlage werden Bestellstatus aktualisiert, Belege erstellt, Gutscheine freigeschaltet und Erstattungen angestoßen.

Ereignisse.
Typische Ereignisse sind Zahlung erfolgreich, Zahlung fehlgeschlagen, Rückerstattung erfolgt, Streitfall eröffnet oder geschlossen. Die konkreten Ereignisse beschränken sich auf das für die Abwicklung Erforderliche.

Verarbeitete Daten.
Payment-Intent-ID, Ereignistyp, Zahlungsstatus, Betrag, Währung, Zeitstempel, verwendete Zahlungsart, technisch erforderliche Metadaten zur Signaturprüfung und zur Protokollierung.

Rechtsgrundlagen.
Verarbeitung zur Vertragserfüllung nach Artikel 6 Absatz 1 Buchstabe b DSGVO. Protokollierung und Absicherung der Schnittstelle zur Wahrung berechtigter Interessen an Stabilität und IT-Sicherheit nach Artikel 6 Absatz 1 Buchstabe f DSGVO.

Empfänger, Ort der Verarbeitung und Sicherheit.
Die Verarbeitung erfolgt auf unseren Servern im Europäischen Wirtschaftsraum. Zugriff erhalten ausschließlich autorisierte interne Stellen. Jede Webhook-Nachricht wird anhand der von Stripe bereitgestellten Signatur geprüft. Es bestehen Transportverschlüsselung, Härtung der Schnittstelle, Ratenbegrenzung, Fehler- und Zugriffsprotokollierung sowie regelmäßige Löschung von Protokollen.

Speicherdauer und Löschung.
Webhook-Protokolle werden zur Sicherstellung der Nachvollziehbarkeit und zur Abwehr unberechtigter Forderungen für einen kurzen technischen Zeitraum vorgehalten und anschließend gelöscht (vgl. Ziff. 8.2). Abrechnungs- und steuerrechtlich relevante Daten werden entsprechend den gesetzlichen Fristen aufbewahrt, in der Regel zehn Jahre. Reine technische Fehlerprotokolle werden innerhalb von höchstens dreißig Tagen gelöscht.

Pflicht zur Bereitstellung.
Die Webhook-Verarbeitung ist erforderlich, um Zahlungsvorgänge korrekt zuordnen und den Vertrag durchführen zu können. Ohne diese Verarbeitung ist eine zuverlässige Abwicklung nicht möglich.

7.8 Gutscheine und Tickets (PDF/QR-Code, Versand)

Zweck und Ablauf.
Wir stellen Wertgutscheine und Termingutscheine sowie Teilnahme-Tickets elektronisch bereit. Die Erstellung der Dokumente erfolgt serverseitig als PDF mit eindeutigem Code bzw. QR-Code. Der Code verweist auf eine interne Vorgangs-/Gutschein-ID und dient ausschließlich der Einlösung und Missbrauchsprävention. Bereitstellung und Versand erfolgen per E-Mail; optional stellen wir einen zeitlich begrenzten, authentifizierten Download-Link bereit.

Verarbeitete Daten.
Gutschein-/Ticketnummer, Zuordnungs-ID, Einlöse-/Gültigkeitsdaten, Wert/Leistung, Name und E-Mail der Käuferin/des Käufers, ggf. Name und E-Mail der beschenkten Person, Bestell- und Rechnungsreferenzen, Zeitstempel, Protokolldaten bei Versand und Einlösung (Datum, Uhrzeit, IP-Adresse, User-Agent), interne Notizen zur Betrugsprävention (z. B. Sperrvermerke, Re-Issue-Historie).

Rechtsgrundlagen.
Vertragserfüllung und vorvertragliche Maßnahmen nach Artikel 6 Absatz 1 Buchstabe b DSGVO; gesetzliche Aufbewahrungspflichten nach Artikel 6 Absatz 1 Buchstabe c DSGVO; berechtigte Interessen an Sicherheit, Nachweis und Betrugsprävention nach Artikel 6 Absatz 1 Buchstabe f DSGVO. Sofern die E-Mail an eine beschenkte Person versendet wird, erfolgt die Verarbeitung zum Zweck der Erfüllung des vom Käufer veranlassten Schenkungs-/Vertragsverhältnisses sowie auf Grundlage unserer berechtigten Interessen an ordnungsgemäßer Zustellung und Einlösung.

Empfänger und Kategorien von Empfängern.
Interne Stellen (Kundenservice, Abwicklung), Hosting-/Server-Dienstleister, E-Mail-/SMTP-Provider, ggf. Steuerberatung/Buchhaltung zur Abgrenzung von Gutscheinverbindlichkeiten.

Übermittlungen in Drittländer.
Die Verarbeitung erfolgt vorrangig im Europäischen Wirtschaftsraum. Sofern im Einzelfall Dienstleister mit Sitz außerhalb des EWR eingesetzt werden, stellen wir ein angemessenes Schutzniveau durch den EU-Angemessenheitsbeschluss oder Standardvertragsklauseln nach Artikel 46 DSGVO sowie durch technische und organisatorische Maßnahmen sicher.

Speicherdauer.
Gutschein-/Ticketstammdaten und Einlöseprotokolle werden für die Dauer handels- und steuerrechtlicher Aufbewahrungspflichten gespeichert, regelmäßig zehn Jahre ab Schluss des Kalenderjahres der Einlösung bzw. Belegerstellung. Technische Versand-/Zugriffsprotokolle ohne Abrechnungsbezug werden regelmäßig binnen dreißig Tagen gelöscht.

Pflicht zur Bereitstellung.
Für die Ausstellung und Zustellung sind die genannten Stammdaten erforderlich. Ohne diese Daten können Gutscheine/Tickets nicht bereitgestellt oder eingelöst werden.

---

7.9 Rechnungen und Buchhaltung

Zweck und Ablauf.
Wir erstellen für Zahlungen ordnungsgemäße Belege/Rechnungen und führen eine regelkonforme Buchhaltung. Hierzu werden Kunden- und Vorgangsdaten mit Zahlungsinformationen abgeglichen, Buchungssätze gebildet und Belege revisionssicher archiviert; bei Bedarf erfolgt die steuerliche Auswertung durch unsere Steuerberatung.

Verarbeitete Daten.
Rechnungs-/Belegnummern, Datum, Leistungsbeschreibung, Beträge und Währung, Zahlungsstatus und Zahlungsart, Referenzen zu Bestellung/Gutschein/Payment-Intent, Rechnungs- und ggf. Lieferadresse, Name/Firma, Kontaktdaten, Zeitstempel, revisionsrelevante Protokolle zur Nachvollziehbarkeit.

Rechtsgrundlagen.
Erfüllung rechtlicher Pflichten nach Artikel 6 Absatz 1 Buchstabe c DSGVO i. V. m. handels- und steuerrechtlichen Vorgaben (insb. §§ 238, 257 HGB; §§ 146, 147 AO; § 14 UStG). Soweit erforderlich, Wahrung berechtigter Interessen nach Artikel 6 Absatz 1 Buchstabe f DSGVO, insbesondere an Nachweis, Durchsetzung und Abwehr von Ansprüchen.

Empfänger und Kategorien von Empfängern.
Steuerberatung, ggf. Buchhaltungs-/Rechnungssoftwareanbieter, Hosting-/Server-Dienstleister, Zahlungsdienstleister (Abgleich von Zahlungsstatus), zuständige Behörden im Rahmen gesetzlicher Auskunfts- und Prüfpflichten.

Übermittlungen in Drittländer.
Die Verarbeitung erfolgt grundsätzlich im EWR. Sofern im Einzelfall Buchhaltungs-/Rechnungsdienste oder verbundene Supportleistungen außerhalb des EWR genutzt werden, sichern wir das Schutzniveau über EU-Angemessenheitsbeschlüsse oder Standardvertragsklauseln nach Artikel 46 DSGVO und geeignete technische und organisatorische Maßnahmen ab.

Speicherdauer.
Rechnungen, Buchungsbelege und steuerlich relevante Unterlagen werden für zehn Jahre aufbewahrt. Geschäftsbriefe und sonstige kaufmännische Korrespondenz werden für sechs Jahre aufbewahrt. Darüber hinaus bewahren wir Daten bis zum Ablauf einschlägiger Verjährungsfristen auf, soweit dies zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Pflicht zur Bereitstellung.
Die Angabe rechnungs- und steuerrelevanter Daten ist gesetzlich vorgeschrieben. Ohne diese Daten ist die Vertragserfüllung und Belegerteilung nicht möglich.

7.10 Technische und organisatorische Maßnahmen zur Sicherheit der Verarbeitung

Grundsatz und Schutzziele.
Wir schützen personenbezogene Daten nach dem Stand der Technik. Maßgeblich sind Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme. Die Maßnahmen werden risikobasiert festgelegt und regelmäßig überprüft. Rechtsgrundlage ist Artikel 32 DSGVO sowie Artikel 25 DSGVO für Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen.

Netzwerk- und Transportsicherheit.
Alle öffentlichen Endpunkte sind per TLS verschlüsselt. Wir erzwingen HSTS, nutzen aktuelle Cipher mit Perfect Forward Secrecy und prüfen Zertifikate automatisiert. Eingehender und ausgehender Traffic wird gefiltert und auf Anomalien überwacht. Administrativer Zugriff erfolgt ausschließlich über gesicherte Verbindungen.

Anwendungssicherheit und Session-Schutz.
Input-Validierung, Output-Encoding und strikte Fehlerbehandlung sind umgesetzt. Wir verwenden eine Content Security Policy mit Nonce, verbieten Inline-Skripte ohne Freigabe und beschränken externe Quellen auf das Erforderliche. Stripe.js ist als einzige externe Laufzeit-Ressource freigegeben, Quelle js.stripe.com. Cross-Site-Request-Forgery wird mit Einmal-Tokens verhindert. Sitzungen werden nach Anmeldung und bei Rechtemodell-Änderungen rotiert. Cookies für Logins sind mit Secure, HttpOnly und SameSite Strict gesetzt. Rate-Limiting und Sperrmechanismen schützen vor Brute-Force-Angriffen.

Identitäten, Rechte und Zugriff.
Zugriffe folgen dem Need-to-know-Prinzip. Rollen und Berechtigungen sind fein granuliert. Administrative Konten sind mit starker Zwei-Faktor-Authentisierung geschützt. Passwörter werden ausschließlich als kryptografische Hashwerte gespeichert, zum Beispiel mit Argon2id oder bcrypt. Rechte werden regelmäßig geprüft und bei Rollenwechseln unverzüglich angepasst. Zugriffe werden nachvollziehbar protokolliert.

Systemhärtung und Patch-Management.
Server und Anwendungen werden regelmäßig aktualisiert. Nicht benötigte Dienste sind deaktiviert. Abhängigkeiten werden überwacht und sicherheitskritische Updates zeitnah eingespielt. Konfigurationen werden versioniert und nach dem Vier-Augen-Prinzip freigegeben.

Datenminimierung und Speicherbegrenzung.
Wir verarbeiten nur Daten, die zur jeweiligen Zweckbindung erforderlich sind. Standardmäßig sind Felder, Features und Aufbewahrungsfristen auf das notwendige Maß reduziert. Personenbezogene Daten in Tests und Entwicklung werden nicht genutzt. Für Analysen und Qualitätssicherung kommen nach Möglichkeit Pseudonyme oder synthetische Daten zum Einsatz.

Verschlüsselung und Geheimnismanagement.
Daten werden bei Übertragung verschlüsselt und auf Servern mit aktuellen Verfahren geschützt. Vertrauliche Konfigurationswerte und Schlüssel werden getrennt von der Anwendung gespeichert und der Zugriff wird protokolliert und beschränkt. Exportfunktionen sind nur für berechtigte Stellen freigeschaltet.

Backups und Wiederherstellung.
Es bestehen regelmäßige, verschlüsselte Datensicherungen. Backups werden im EWR gespeichert, vor unbefugtem Zugriff geschützt und nach festgelegten Zyklen überschrieben. Wiederherstellungen werden periodisch getestet und dokumentiert, um die Verfügbarkeit und Integrität sicherzustellen.

Protokollierung und Monitoring.
Sicherheits- und Zugriffsvorgänge werden ereignisbezogen protokolliert. Protokolle enthalten nur die erforderlichen Metadaten und werden getrennt von Produktivdaten gespeichert. Technische Logs werden regelmäßig rotiert und spätestens nach dreißig Tagen gelöscht, sofern keine längere Aufbewahrung zur Beweissicherung erforderlich ist. Es besteht ein technisches Monitoring mit Alarmierung bei sicherheitsrelevanten Ereignissen.

WordPress- und Admin-Bereiche.
Der Zugriff auf Verwaltungsoberflächen ist auf berechtigte Personen beschränkt und zusätzlich abgesichert. Standardpfade sind gehärtet, Login-Versuche begrenzt und Plug-ins werden nur nach Prüfung eingesetzt. Technische Cookies im Admin-Bereich sind ausschließlich erforderlich.

Lieferketten- und Auftragsverarbeiter-Kontrollen.
Mit Dienstleistern bestehen Verträge zur Auftragsverarbeitung. Sicherheitsanforderungen, Unterauftragsverhältnisse und Übermittlungen in Drittländer sind vertraglich geregelt. Wir prüfen Eignung, TOMs und Garantien der Anbieter und dokumentieren die Ergebnisse.

Endgeräte- und E-Mail-Sicherheit.
Unternehmensgeräte sind verschlüsselt, mit Bildschirmsperre und aktueller Schutzsoftware versehen. Zugriffe auf Verwaltungsoberflächen von externen Netzen werden zusätzlich abgesichert. E-Mail-Transport ist verschlüsselt. Anhänge aus unbekannten Quellen werden vor Öffnung geprüft.

Vorfallmanagement und Meldungen.
Es existiert ein Verfahren zur Erkennung, Bewertung und Behandlung von Datenschutz- und Sicherheitsvorfällen. Meldepflichtige Verletzungen des Schutzes personenbezogener Daten werden der zuständigen Aufsichtsbehörde innerhalb von zweiundsiebzig Stunden gemeldet. Betroffene werden informiert, wenn die gesetzlichen Voraussetzungen vorliegen. Vorfälle und Maßnahmen werden dokumentiert.

Wirksamkeitskontrolle und Verbesserung.
Die Eignung der Maßnahmen wird regelmäßig überprüft. Änderungen an Risiko, Technik und Geschäftsprozessen führen zu einer Aktualisierung. Ergebnisse aus Tests, Audits und Vorfällen fließen in die Weiterentwicklung der Maßnahmen ein.

---

7.11 Externe Ressourcen/CDNs (Fonts, Skripte, Stripe.js)

Zweck und Umfang.
Zur Bereitstellung der Website setzen wir grundsätzlich lokal gehostete Ressourcen ein. Externe Laufzeit-Ressource ist ausschließlich Stripe.js für den Zahlungsprozess. Weitere Schriftarten, Frameworks und Bibliotheken (z. B. Google Fonts, Alpine.js) werden lokal bereitgestellt. Es sind keine externen Tracking- oder Marketing-Dienste eingebunden.

Eingesetzte Ressourcen und Datenkategorien.
– Stripe.js (js.stripe.com): Aufbau des Payment Elements, starke Kundenauthentifizierung (3-D-Secure), Betrugsprävention. Dabei fallen technisch erforderliche Endgeräte-/Verbindungsdaten an (z. B. IP-Adresse, Zeitstempel, User-Agent, Referrer) sowie zahlungsbezogene Metadaten (z. B. Payment-Intent-ID, Betrag, Währung).
– Lokal gehostete Ressourcen (z. B. Fonts, Alpine.js): Abruf ohne Übermittlung an Dritte; es entstehen nur serverseitige Standard-Logdaten (vgl. Hosting/Logfiles).

Rechtsgrundlagen.
– Bereitstellung der Website und lokal ausgelieferter Inhalte: Artikel 6 Absatz 1 Buchstabe f DSGVO (berechtigtes Interesse an sicherem, performantem Betrieb).
– Stripe.js: für den ausdrücklich gewünschten Zahlungsdienst unbedingt erforderlich im Sinne von § 25 Absatz 2 Nummer 2 TDDDG; Verarbeitung der Zahlungsabwicklung auf Grundlage von Artikel 6 Absatz 1 Buchstabe b DSGVO, Sicherheits-/Betrugspräventionsfunktionen auf Grundlage von Artikel 6 Absatz 1 Buchstabe f DSGVO.

Empfänger und Verantwortlichkeiten.
– Stripe: teils eigenständig Verantwortlicher (z. B. Betrugsprävention, gesetzliche Pflichten), teils Auftragsverarbeiter für die technische Zahlungsabwicklung.
– Keine weiteren Dritten für Laufzeit-Ressourcen. Hosting/SMTP sind separat in diesen Hinweisen benannt.

Übermittlungen in Drittländer.
Beim Laden von Stripe.js wird eine Verbindung zu Stripe hergestellt; Stripe kann Daten auch außerhalb der EU/des EWR verarbeiten. Für Übermittlungen in die USA stützt sich Stripe auf das EU-US Data Privacy Framework; soweit im Einzelfall erforderlich, werden Standardvertragsklauseln nach Artikel 46 DSGVO eingesetzt und angemessene technische und organisatorische Maßnahmen getroffen.

Cookies und Speichertechnologien.
Für Stripe können technisch erforderliche Cookies oder gleichwertige Technologien (z. B. zur Sitzungsverwaltung/3-D-Secure) gesetzt werden. Marketing-/Analyse-Cookies werden nicht eingesetzt. Details zu Namen, Zweck und Laufzeit erforderlicher Cookies/Storage finden Sie im Abschnitt „Cookies und ähnliche Technologien".

Speicherdauer.
Bei Abruf lokaler Inhalte werden nur kurzzeitige Server-Logdaten verarbeitet und gemäß den dort genannten Fristen gelöscht. Daten bei Stripe richtet sich nach deren zweckgebundenen Aufbewahrungsfristen; MysteryErlebnis speichert nur die für Abwicklung und Nachweis erforderlichen Metadaten gemäß den Aufbewahrungsfristen in Abschnitt „Rechnungen und Buchhaltung".

Pflicht zur Bereitstellung und Folgen der Nichtbereitstellung.
Die Nutzung von Stripe.js ist für Online-Zahlungen erforderlich. Wenn Sie das Laden externer Skripte unterbinden, ist der Checkout nicht nutzbar; eine Buchung kann dann nur über alternative, von uns angebotene Wege erfolgen.

Widerspruchshinweis.
Soweit die Verarbeitung auf berechtigten Interessen beruht (z. B. Sicherheits-/Betrugspräventionsfunktionen), können Sie aus Gründen, die sich aus Ihrer besonderen Situation ergeben, Widerspruch einlegen. Weitere Informationen zu Ihren Rechten finden Sie im Abschnitt „Rechte der betroffenen Personen".

7.12 Chat/Chatbot auf der Website (lokal, ohne Drittanbieter)

Zweck und Funktionsweise.
Wir stellen auf der Website einen Chat/Chatbot zur Verfügung, der Besucherinnen und Besucher bei Fragen zu Auswahl, Buchung und Gutscheinen unterstützt. Die Anwendung läuft als Frontend-Script auf unserer Website. Es werden keine externen Chat- oder KI-Dienste eingebunden und keine Inhalte zu Dritten übertragen. Sofern Sie Nachrichten lediglich in der Oberfläche eingeben und nicht absenden, verbleiben diese ausschließlich in Ihrem Browser.

Verarbeitete Daten.
Eingegebene Chat-Nachrichten, ggf. von Ihnen freiwillig mitgeteilte Angaben (z. B. gewünschte Region, Zeitraum, Personenanzahl), technische Nutzungsdaten des Endgeräts (Zeitstempel, aufgerufene Seite/Session-Bezug) und – nur bei tatsächlicher Übermittlung an uns – Kontaktangaben (z. B. Name, E-Mail), wenn Sie diese in einer Formularübergabe bereitstellen. Für die Stabilität können anonyme Fehler-/Ereignisprotokolle erfasst werden.

Rechtsgrundlagen.
Bereitstellung und Nutzung des Chats zur Beantwortung von Anfragen und zur Vorbereitung/Anbahnung von Verträgen erfolgen auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO. Soweit die Nutzung zur allgemeinen Unterstützung, IT-Sicherheit und Bedienbarkeit dient, stützen wir die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Kommunikation und stabiler Bereitstellung). Endgerätezugriffe zur rein technischen Sitzungsverwaltung sind unbedingt erforderlich und damit nach § 25 Abs. 2 Nr. 2 TDDDG zulässig.

Empfänger und Verantwortlichkeiten.
Es findet keine Übermittlung an externe Chat-/KI-Anbieter statt. Empfänger sind ausschließlich interne, autorisierte Stellen sowie unser Hosting-/Server-Dienstleister. Eine Weitergabe zu Werbe- oder Profilingzwecken erfolgt nicht.

Cookies und Speichertechnologien.
Für die Bedienung kann eine kurzlebige Sitzungskennung oder ein UI-bezogener Eintrag im Session-/Local-Storage des Browsers angelegt werden (z. B. zur Wiederherstellung des Chat-Verlaufs während der Sitzung). Diese Speicherung ist funktional erforderlich und fällt unter § 25 Abs. 2 Nr. 2 TDDDG. Es werden keine Marketing-/Analyse-Cookies gesetzt. Details zu erforderlichen Cookies/Storage sind im Abschnitt „Cookies und ähnliche Technologien" beschrieben.

Speicherdauer und Löschung.
Ohne Absenden verbleiben Inhalte ausschließlich in Ihrem Browser und werden beim Schließen der Sitzung oder nach Ihren Browsereinstellungen gelöscht. Senden Sie eine Nachricht an uns (z. B. Übergabe als Kontaktanfrage), verarbeiten wir diese nach den Fristen für Kommunikation und Geschäftsbriefe: auftrags-/geschäftsbezogene Korrespondenz 6 Jahre, sonstige Support-Anfragen bis zu 3 Jahre, jeweils ab Abschluss des Vorgangs, sofern keine längeren gesetzlichen Aufbewahrungs- oder Verjährungsfristen bestehen.

Pflicht zur Bereitstellung.
Die Nutzung des Chats ist freiwillig. Wenn Sie den Chat nicht verwenden oder Endgerätezugriffe technisch unterbinden, können Sie uns über die im Impressum/Kontakt angegebenen Wege erreichen; die Funktionalität des Chats steht dann nicht zur Verfügung.

Sicherheit.
Transportverschlüsselung (TLS), strikte Zugriffskontrollen, Protokollierung sicherheitsrelevanter Ereignisse, Härtung der Schnittstellen und regelmäßige Löschung technischer Logs sind umgesetzt. Inhalte werden nur dann serverseitig gespeichert, wenn Sie diese absenden.

Keine automatisierten Einzelentscheidungen.
Es finden keine ausschließlich automatisierten Entscheidungen mit Rechtswirkung oder ähnlich erheblicher Beeinträchtigung statt. Der Chat dient der Informationsbereitstellung und Unterstützung.

---

7.13 Social-Media-Auftritte (Instagram, Facebook/Meta, TikTok u. a.)

Zweck und Verantwortlichkeiten.
Wir unterhalten öffentlich zugängliche Profile auf ausgewählten Social-Media-Plattformen, um Informationen bereitzustellen, mit Interessenten und Kunden zu kommunizieren und Reichweiten-/Zielgruppenstatistiken zu erhalten. Für die Datenverarbeitung auf der jeweiligen Plattform ist primär der Plattformbetreiber eigenständig verantwortlich. Soweit wir die Seiten als „Seitenbetreiber" führen und aggregierte Nutzungsstatistiken („Insights") erhalten, sind wir gemeinsam Verantwortliche mit Meta Platforms im Sinne von Artikel 26 DSGVO; die wesentlichen Inhalte der Vereinbarung (Page Insights Controller Addendum) stellt Meta bereit; abrufbar unter Page Insights Controller Addendum. Für LinkedIn‑Unternehmensseiten gilt eine vergleichbare gemeinsame Verantwortlichkeit; die wesentlichen Inhalte stellt LinkedIn im „Page Insights Joint Controller Addendum" bereit: LinkedIn Page Insights Joint Controller Addendum.

Gemeinsame Verantwortlichkeit mit Meta (Pages/Instagram).
Für Seiten-Insights bestimmen wir mit Meta Zwecke und Mittel der Verarbeitung gemeinsam. Meta übernimmt die primäre Verantwortung für die Erfüllung von Betroffenenrechten und Informationspflichten sowie für die Sicherheit der Verarbeitung auf der Plattform. Anfragen zu Insights und zur Ausübung Ihrer Rechte können Sie gegenüber Meta und gegenüber uns geltend machen; wir leiten eingehende Anliegen, die die Meta-Sphäre betreffen, an Meta weiter. Wir erhalten nur aggregierte, anonymisierte Statistiken (z. B. Reichweite, Interaktionen, Demografie-Cluster) ohne Zugriff auf Einzelprofile hinter den Aggregaten.

Verarbeitete Daten und Quellen.
Je nach Nutzung verarbeiten wir bzw. der Plattformbetreiber: Profildaten/öffentliche Angaben, Inhalte und Metadaten Ihrer Beiträge/Kommentare/Nachrichten, Interaktionsdaten (Likes, Shares, Follows), Reichweiten-/Nutzungsstatistiken, Geräte-/Verbindungs- und Protokolldaten (z. B. IP-Adresse, Zeitstempel, User-Agent), sowie – bei Direktkommunikation – die von Ihnen übermittelten Kontakt- und Vertragsinformationen (z. B. Name, E-Mail, Auftragsreferenzen).

Rechtsgrundlagen.
• Öffentlichkeitsarbeit, Kommunikation, Community-Management, Monitoring und Abwehr von Rechtsverletzungen: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Außendarstellung, Information und sicherem Betrieb).
• Beantwortung konkreter Anfragen, Angebot/Vertrag/Support: Art. 6 Abs. 1 lit. b DSGVO.
• Plattformseitige Endgerätezugriffe/Tracking-Technologien erfolgen in eigener Verantwortung des jeweiligen Anbieters; wir setzen auf unseren Profilen keine eigenen Drittanbieter-Tracker ein.

Empfänger und Übermittlungen in Drittländer.
Empfänger sind die jeweiligen Plattformbetreiber und deren verbundene Unternehmen; zudem von uns beauftragte interne Stellen (Kommunikation/Support) und – bei Rechtsstreitigkeiten – Rechtsbeistand/Behörden. Plattformbetreiber können Daten außerhalb der EU/des EWR verarbeiten. Diese Übermittlungen erfolgen nach Maßgabe der Anbieter (z. B. auf Grundlage eines Angemessenheitsbeschlusses oder Standardvertragsklauseln) und mit ergänzenden technischen und organisatorischen Maßnahmen.

Direktkommunikation über Nachrichten/Kommentare.
Wenn Sie uns per Direktnachricht oder Kommentar kontaktieren, verarbeiten wir Ihre Inhalte zur Bearbeitung Ihres Anliegens und, falls erforderlich, zur Dokumentation von Geschäftsvorgängen. Für auftrags-/geschäftsbezogene Korrespondenz gelten die in diesen Hinweisen genannten Aufbewahrungsfristen (insb. 6 Jahre für Geschäftsbriefe; ansonsten bis zu 3 Jahre bei Supportvorgängen), sofern keine längeren gesetzlichen Pflichten/Verjährungsfristen bestehen.

Speicherdauer.
Inhalte auf der Plattform unterliegen den Lösch- und Speicherregeln des jeweiligen Anbieters. Eigene Kopien/Nachweise speichern wir nur, soweit dies für Kommunikation, Rechtsdurchsetzung oder Nachweis erforderlich ist (Fristen siehe Abschnitt „Rechnungen und Buchhaltung" bzw. „Speicherdauer und Löschung").

Wahrnehmung Ihrer Rechte.
Sie haben gegenüber uns und gegenüber dem Plattformbetreiber die Rechte aus der DSGVO (u. a. Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch nach Art. 21, Datenübertragbarkeit). Für Auskünfte zu Seiten-Insights und zu plattforminternen Verarbeitungen ist Meta Ihr primärer Ansprechpartner; wir unterstützen Sie bei der Weiterleitung und Bearbeitung.

Hinweise der Anbieter.
Weitere Informationen, einschließlich der jeweils gültigen Datenschutzhinweise, Cookie-/Tracking-Einstellungen, Rechtsgrundlagen und Kontaktmöglichkeiten der Datenschutzbeauftragten, finden Sie direkt bei den jeweiligen Plattformen. Unsere konkret verlinkten Profile sind auf der Website genannt; diese Hinweise gelten für alle dort aufgeführten Social-Media-Auftritte.

8. Speicherdauer und Löschfristen

8.1 Grundsätze.
Wir speichern personenbezogene Daten nur solange, wie es für die jeweiligen Zwecke erforderlich ist oder wie wir gesetzlich dazu verpflichtet sind. Abweichende oder speziellere Fristen, die in Ziff. 7.x genannt sind (z. B. Server-Logs, Admin-Login-Protokolle, Webhooks, Telegram-Alerts, Stripe/Checkout), gelten vorrangig; diese Ziffer 8 bündelt die allgemeinen Regeln.

8.2 Konkrete Fristen (Auswahl der wichtigsten Kategorien).

• Vertrags-, Bestell-, Gutschein-/Ticket- und Abrechnungsdaten (inkl. Einlöse-/Gültigkeitsdaten, Zahlungsstatus, Belege): 10 Jahre ab Schluss des Kalenderjahres, in dem der Beleg entstanden ist (gesetzliche Aufbewahrung nach §§ 147 AO, 257 HGB).
• Geschäftsbriefe/vertragsbezogene Korrespondenz (Angebote, Auftragsabwicklung, Rechnungsabstimmung): 6 Jahre (§ 257 HGB).
• Allgemeine Anfragen/Support ohne Geschäftsbrief-Charakter: bis Abschluss des Vorgangs und bis zu 3 Jahre zur Beweissicherung (regelmäßige Verjährung, §§ 195, 199 BGB), sofern keine längeren gesetzlichen Pflichten bestehen.
• Technische Protokolle/Logs (Webserver, Admin-Login, Sicherheits-/Fehler-/Zugriffs-/Webhook-Protokolle): bis zu 30 Tage, längere Speicherung nur anlassbezogen zur Aufklärung von Sicherheits-/Systemereignissen; anschließende Löschung.
• Interne Benachrichtigungen (Telegram-Alerts): Kurzspeicherung 7–14 Tage, ausschließlich pseudonymisierte Hinweise (keine Klarnamen/Kontaktdaten).
• Chat auf der Website (lokal, ohne Drittanbieter): Inhalte verbleiben ohne Absenden ausschließlich im Browser (Sitzung); bei Übermittlung gelten die Fristen für Kommunikation/Geschäftsbriefe.
• Cookies/Session- und Local-/Session-Storage (nur technisch erforderlich): Session bzw. wie in Ziff. 7.2 im Einzelnen beschrieben (keine Statistik/Marketing).

8.3 Anspruchsdurchsetzung und Verteidigung.
Soweit erforderlich, bewahren wir Daten bis zum Ablauf einschlägiger Verjährungsfristen auf (in der Regel 3 Jahre; in besonderen Fällen bis zu 10 bzw. 30 Jahre), um Rechtsansprüche geltend zu machen, auszuüben oder zu verteidigen.

8.4 Löschung/Anonymisierung und Backups.
Nach Fristablauf werden Daten gelöscht oder anonymisiert. Sofern eine unmittelbare Löschung aus technischen Gründen (z. B. rotierende verschlüsselte Backups) nicht möglich ist, werden Daten gesperrt und erst mit dem nächsten Überschreibzyklus endgültig entfernt; ein produktiver Zugriff findet nicht statt.

8.5 Verantwortlichkeiten Dritter.
Für Auftragsverarbeiter und sonstige Empfänger gelten ergänzend deren zweckgebundene Lösch-/Aufbewahrungsregeln; wir wählen Dienstleister mit angemessenen technischen und organisatorischen Maßnahmen und löschen unsere Kopien nach den vorstehenden Grundsätzen.

9. Pflicht zur Bereitstellung personenbezogener Daten

9.1 Vertraglich/technisch erforderliche Angaben.
Für Anfrage, Angebot, Buchung/Checkout und die Bereitstellung von Gutscheinen/Tickets sind bestimmte Daten erforderlich. Dazu gehören insbesondere:

• Anfrage/Angebot: Name, E‑Mail‑Adresse, gewünschte Region/Datum/Zeitraum, Personenanzahl, Präferenzen (nur ohne besondere Kategorien), Budget‑Rahmen.
• Checkout/Bezahlung über Stripe: Zahlungsbetrag, Währung, Zahlungsstatus/Payment‑Intent‑ID; Kartendaten werden ausschließlich bei Stripe verarbeitet.
• Gutscheine/Tickets/Rechnungen: Name, E‑Mail (Versand der PDF/QR‑Codes), ggf. Postanschrift für Rechnungsangaben.

Ohne diese Informationen kann kein Vertrag angebahnt, geschlossen oder erfüllt werden (Art. 6 Abs. 1 lit. b DSGVO).

9.2 Gesetzliche Pflichten.
Bestimmte Angaben sind zur Erfüllung rechtlicher Aufbewahrungs‑ und Nachweispflichten erforderlich (z. B. handels‑/steuerrechtliche Belege; Art. 6 Abs. 1 lit. c DSGVO). Werden diese nicht bereitgestellt, ist eine ordnungsgemäße Abwicklung nicht möglich.

9.3 Folgen der Nichtbereitstellung.
Werden vertraglich oder gesetzlich erforderliche Daten nicht bereitgestellt, können Anfragen nicht beantwortet, Zahlungen nicht verarbeitet und Gutscheine/Tickets nicht ausgestellt werden. Ein Zugriff auf technisch notwendige Funktionen (z. B. Session‑Cookies für Login/Checkout) ist ohne die dafür erforderlichen Endgerätezugriffe nicht nutzbar.

9.4 Freiwillige Angaben.
Alle nicht als Pflichtfeld gekennzeichneten Informationen sind freiwillig. Das Nichtausfüllen führt zu keinen Nachteilen, außer dass gewünschte Personalisierungen/Präzisierungen ggf. nicht berücksichtigt werden können.

9.5 Teilnahmevoraussetzungen beim Anbieter (getrennte Verantwortlichkeit).
Für die Durchführung vor Ort kann der jeweilige Anbieter nach eigenen Bedingungen Nachweise verlangen (z. B. Mindestalter, ggf. Sichtprüfung von Eignung). Diese Anforderungen betreffen die Teilnahme und liegen in der Verantwortung des Anbieters. Wir speichern solche Nachweise nicht; Einzelheiten ergeben sich aus den Hinweisen des Anbieters.

10. Rechte der betroffenen Personen

10.1 Ihre Rechte.
Sie haben – jeweils nach Maßgabe der gesetzlichen Voraussetzungen – folgende Rechte:

• Auskunft über die von uns verarbeiteten personenbezogenen Daten (Art. 15 DSGVO),
• Berichtigung unrichtiger und Vervollständigung unvollständiger Daten (Art. 16 DSGVO),
• Löschung („Recht auf Vergessenwerden", Art. 17 DSGVO),
• Einschränkung der Verarbeitung (Art. 18 DSGVO),
• Datenübertragbarkeit (Art. 20 DSGVO),
• Widerspruch gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) gestützt sind (Art. 21 DSGVO),
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO),
• Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO).

10.2 Widerspruchsrecht nach Art. 21 DSGVO.
Sie können aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen die Verarbeitung Ihrer Daten einlegen, soweit wir diese auf Art. 6 Abs. 1 lit. f DSGVO stützen. Wir verarbeiten die personenbezogenen Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Hinweis: Direktmarketing setzen wir derzeit nicht ein; sollte dies künftig erfolgen, haben Sie ein jederzeitiges Widerspruchsrecht gegen Verarbeitung zu Zwecken der Direktwerbung.

10.3 Widerruf von Einwilligungen.
Soweit eine Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der Verarbeitung bis zum Widerruf bleibt unberührt.

10.4 Ausübung der Rechte, Identitätsprüfung, Vertretung.
Sie können Ihre Rechte formlos per E‑Mail an info@mysteryerlebnis.de oder postalisch an die im Impressum/unter Ziff. 1 genannte Anschrift geltend machen. Zur Verhinderung von Missbrauch sind wir berechtigt, bei Zweifeln an der Identität zusätzliche Informationen anzufordern (Art. 12 Abs. 6 DSGVO). Rechte können auch durch Bevollmächtigte (z. B. Rechtsanwälte) unter geeigneter Vollmachtsvorlage ausgeübt werden.

10.5 Fristen, Form der Antwort und Kosten.
Wir antworten grundsätzlich innerhalb eines Monats ab Eingang Ihres Antrags (Art. 12 Abs. 3 DSGVO). Die Frist kann – abhängig von Komplexität und Anzahl der Anträge – um bis zu zwei weitere Monate verlängert werden; darüber informieren wir Sie rechtzeitig. Die Ausübung Ihrer Rechte ist kostenfrei. Bei offensichtlich unbegründeten oder exzessiven Anträgen können wir eine angemessene Gebühr verlangen oder die Bearbeitung ablehnen (Art. 12 Abs. 5 DSGVO). Auskünfte werden – soweit von Ihnen nicht anders gewünscht – in einem gängigen elektronischen Format erteilt; eine Kopie der verarbeiteten Daten stellen wir unentgeltlich zur Verfügung (Art. 15 Abs. 3 DSGVO).

10.6 Grenzen der Rechte.
Rechte können eingeschränkt sein, soweit gesetzliche Aufbewahrungspflichten entgegenstehen, überwiegende Interessen Dritter berührt würden oder gesetzliche Ausnahmetatbestände (z. B. Art. 17 Abs. 3 DSGVO, §§ 34, 35 BDSG) greifen. In solchen Fällen informieren wir Sie über die Gründe.

10.7 Hinweise zu gemeinsam oder getrennt Verantwortlichen.
Kartendaten und automatisierte Betrugspräventionsprüfungen (z. B. Stripe Radar) werden durch Stripe als (Mit‑/Eigen‑)Verantwortlichen verarbeitet. Anfragen zu Kartendaten oder zu Radar‑Bewertungen können Sie auch direkt an Stripe richten; wir unterstützen Sie dabei gerne und leiten Anfragen, soweit erforderlich, weiter. Für vor‑Ort‑Nachweise/Teilnahmevoraussetzungen ist der jeweilige Anbieter verantwortlich (siehe Ziff. 9.5).

10.8 Beschwerderecht bei einer Aufsichtsbehörde.
Sie haben das Recht, Beschwerde bei jeder Datenschutz‑Aufsichtsbehörde einzulegen, insbesondere an Ihrem Wohnort, Ihrem Arbeitsplatz oder am Ort des mutmaßlichen Verstoßes (Art. 77 DSGVO). Für uns ist in der Regel zuständig:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein‑Westfalen (LDI NRW), Kavalleriestraße 2–4, 40213 Düsseldorf, Deutschland.

11. Minderjährige/Kinderschutz

11.1 Keine Ausrichtung an Kinder.
Unser Angebot richtet sich an volljährige Personen. Wir verarbeiten Daten von Kindern nicht wissentlich. Sollte uns trotz dessen personenbezogene Daten von Kindern bekannt werden, löschen wir diese unverzüglich bzw. holen – sofern ausnahmsweise erforderlich – die Zustimmung der Erziehungsberechtigten ein.

11.2 Einwilligungen von Minderjährigen (Art. 8 DSGVO).
Soweit eine Verarbeitung auf Einwilligung beruht, gilt: Ist die betroffene Person unter 16 Jahre alt, ist die Einwilligung nur wirksam, wenn sie durch die/den Erziehungsberechtigten erteilt oder genehmigt wurde. Wir können in solchen Fällen eine angemessene Verifikation verlangen.

11.3 Teilnahmevoraussetzungen vor Ort (getrennte Verantwortlichkeit).
Für den Nachweis von Mindestalter/Eignung bei der Durchführung des Erlebnisses ist der jeweilige Anbieter verantwortlich (vgl. Ziff. 9.5). Etwaige Alterskontrollen erfolgen dort; wir speichern keine Ausweiskopien und führen keine darüber hinausgehende Bewertung oder Profilbildung durch.

11.4 Meldestelle und Löschung.
Erziehungsberechtigte können uns jederzeit unter info@mysteryerlebnis.de kontaktieren, wenn sie annehmen, dass uns Daten eines Kindes vorliegen. Wir prüfen solche Hinweise umgehend und löschen betreffende Daten, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

12. Automatisierte Entscheidungsfindung und Profiling

12.1 Keine automatisierten Entscheidungen durch uns.
Wir treffen keine Entscheidungen, die ausschließlich auf einer automatisierten Verarbeitung beruhen und die rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen (Art. 22 DSGVO). Wir erstellen keine Marketing‑Profile und führen kein verhaltensbasiertes Tracking durch.

12.2 Stripe Radar (Betrugsprävention) – automatisierte Risikobewertung.
Im Rahmen des Checkouts nutzt unser Zahlungsdienstleister Stripe eine automatisierte Risikobewertung ("Stripe Radar") zur Betrugsprävention. Dabei werden transaktionsbezogene Merkmale (z. B. Betrag, Währung, Gerät/Browser, IP/Region, Karten‑/Issuer‑Antworten, Historie technischer Merkmale) zu einem Risikowert verarbeitet. Ergebnis können z. B. sein:
– SCA/3‑D‑Secure‑Anforderung (zusätzliche Authentifizierung),
– Zurückweisung einer Zahlung durch Stripe bzw. den kartenausgebenden Zahlungsdienst.
Kartendaten werden ausschließlich bei Stripe verarbeitet (vgl. Ziff. 7.6). Wir erhalten von Stripe keine vollständigen Kartendaten, sondern nur Status‑/Metadaten (z. B. Payment‑Intent‑ID, Ergebnis der Authentifizierung, Risiko‑Flags).

12.3 Verantwortlichkeiten und Rechtsgrundlagen.
– Wir verarbeiten die für den Zahlvorgang erforderlichen Metadaten (z. B. Zahlungsstatus, PI‑ID) zur Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO) und zur Betrugsprävention (Art. 6 Abs. 1 lit. f DSGVO; unser berechtigtes Interesse: Schutz vor Zahlungsausfällen/Missbrauch).
– Stripe agiert hinsichtlich Karten‑/Risikodaten als (Mit‑/Eigen‑)Verantwortlicher. Stripe stützt die Betrugsprävention regelmäßig auf berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) sowie ggf. gesetzliche Pflichten (z. B. Geldwäscheprävention). Details ergeben sich aus den Hinweisen von Stripe (vgl. Ziff. 7.6 „Empfänger/Drittländer").

12.4 Keine ausschließliche Automatisierung mit erheblicher Wirkung durch uns.
Ob eine Zahlung endgültig autorisiert/abgelehnt wird, hängt regelmäßig von Stripe und dem kartenausgebenden Zahlungsdienst ab. Wir treffen keine ausschließlich automatisierten Einzelentscheidungen mit rechtlicher/vergleichbarer Wirkung. Soweit unser System auf Radar‑Signale reagiert (z. B. SCA verpflichtend), handelt es sich um Sicherheitsmaßnahmen zur ordnungsgemäßen Abwicklung.

12.5 Ihre Rechte im Zusammenhang mit automatisierten Bewertungen.
Soweit eine Entscheidung auf automatisierter Verarbeitung beruht, können Sie – im gesetzlichen Rahmen – eine menschliche Überprüfung verlangen, Ihren Standpunkt darlegen und die Entscheidung anfechten (Art. 22 Abs. 3 DSGVO). Wenden Sie sich hierzu an info@mysteryerlebnis.de; bei karten‑/risikobezogenen Prüfungen können Sie sich auch direkt an Stripe wenden. Wir unterstützen Sie auf Wunsch bei der Weiterleitung.

12.6 Datenminimierung und Speicherdauer.
Wir speichern lediglich die für Abrechnung, Nachweis und Rechtsdurchsetzung erforderlichen Zahlungs‑Metadaten (z. B. PI‑ID, Auth‑Ergebnis, Risiko‑Flag), nicht jedoch vollständige Kartendaten. Es gelten die Fristen nach Ziff. 8 (insb. handels‑/steuerrechtliche Aufbewahrung); rein technische Logs werden kurzfristig vorgehalten (vgl. Ziff. 7.1, 7.7 und 8).

13. Quellen der Daten

13.1 Direkterhebung bei Ihnen.
Wir erhalten Daten unmittelbar von Ihnen, wenn Sie unsere Formulare nutzen (Anfrage, Kontakt, Gutschein/Einlösung), den Checkout durchführen oder mit uns per E‑Mail kommunizieren. Hierzu zählen insbesondere: Stammdaten (Name, E‑Mail, ggf. Telefon), anfrage-/vertragsbezogene Inhalte (Region/Datum/Zeitraum, Personenanzahl, Präferenzen ohne besondere Kategorien), sowie Rechnungsangaben für Belege.

13.2 Automatisch erhobene technische Daten.
Beim Aufruf und Betrieb der Website/Anwendung fallen Server‑Logfiles (z. B. IP‑Adresse, Datum/Uhrzeit, angeforderte URL, Referrer, HTTP‑Status, User‑Agent) und Anwendungs-/Sicherheitslogs (z. B. Admin‑Login‑Protokolle, Fehler‑/Webhook‑Ereignisse) an. Außerdem setzen wir technisch erforderliche Cookies/Storage ein (vgl. Ziff. 7.2). Eine Reichweitenmessung/Marketing‑Profilbildung findet nicht statt.

13.3 Daten von Dritten/Dienstleistern.
– Stripe (Zahlungsabwicklung): Zahlungsstatus, Payment‑Intent‑ID, Ergebnisse der starken Kundenauthentifizierung (SCA) sowie betrugspräventionsbezogene Metadaten (z. B. Risiko‑Flags). Keine vollständigen Kartendaten.
– E‑Mail-/Versand‑Infrastruktur: Zustell‑/Fehlercodes und technische Header (z. B. Zeitstempel, Message‑ID) zur Sicherstellung der Zustellung.
– Telegram‑Benachrichtigungen (intern): Pseudonymisierte Alert‑Metadaten (Zeitstempel, interne Ticket‑/Bestellreferenz), ohne Klarnamen/Kontaktdaten.
– Social‑Media‑Plattformen: Nachrichten/Kommentare (inkl. Profilname) sowie von der Plattform bereitgestellte aggregierte Page‑Insights‑Daten; hierzu besteht eine gemeinsame Verantwortlichkeit mit dem Plattformanbieter (vgl. Ziff. 7.13).

13.4 Anbieter/Partner (Durchführung vor Ort).
Von externen Anbietern erhalten wir buchungsrelevante Informationen (z. B. Verfügbarkeiten, Terminbestätigungen, Durchführungsort/-zeit, interne Buchungs-/Teilnehmer‑IDs). Gesundheitsdaten werden von uns nicht gespeichert; Alters‑/Eignungsnachweise erfolgen ggf. nur als Sichtprüfung beim Anbieter (vgl. Ziff. 9.5 und 11.3).

13.5 Keine weiteren Quellen.
Wir beziehen keine Daten von Datenhändlern, führen keine systematische Recherche aus öffentlichen Registern durch und erstellen keine verhaltensbasierten Profile aus Drittquellen.

13.6 Aktualisierung und Datenabgleich.
Soweit erforderlich, gleichen wir Daten zur Zweckerfüllung ab (z. B. Zahlungsstatus ↔ Buchungsstatus) und berichtigen/aktualisieren sie. Bei widersprüchlichen Angaben kontaktieren wir Sie zur Klärung.

14. Rechtsdurchsetzung und Abwehr von Ansprüchen

14.1 Zweck und Rechtsgrundlage.
Wir verarbeiten personenbezogene Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (z. B. bei Zahlungs-/Leistungsstörungen, Chargebacks, Gewährleistungs- oder Haftungsfällen). Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen: Anspruchsdurchsetzung, Betrugs- und Missbrauchsabwehr, Beweissicherung). Soweit gesetzliche Pflichten bestehen (z. B. Auskünfte an Behörden/Gerichte), stützen wir die Verarbeitung auf Art. 6 Abs. 1 lit. c DSGVO.

14.2 Datenkategorien und Quellen.
Hierfür nutzen wir nur die erforderlichen Informationen, insbesondere:
– Stamm- und Vertragsdaten (z. B. Name, E-Mail, Anfrage-/Buchungs-/Gutschein-/Ticketangaben, Rechnungsdaten),
– Zahlungs-/Dispute-Metadaten aus dem Checkout (z. B. Zahlungsstatus, Payment-Intent-ID, Ergebnis SCA/3-D-Secure, Chargeback-Unterlagen) – keine vollständigen Kartendaten,
– Kommunikationsdaten (Korrespondenz per Formular/E-Mail),
– technische Protokolle/Logs (z. B. Zugriffs-/Fehler-/Webhook-Protokolle).
Quellen sind Sie selbst, unsere Systeme sowie beteiligte Dienstleister (insb. Zahlungsdienstleister) und – soweit erforderlich – Anbieter der vor Ort erbrachten Leistung (z. B. Terminbestätigungen, Durchführungsnachweise).

14.3 Empfänger.
Erforderlichenfalls übermitteln wir Daten an Rechtsbeistände, Gerichte, Behörden (z. B. Strafverfolgungs-/Aufsichtsbehörden), Versicherer, Schlichtungs-/Streitbeilegungsstellen, Zahlungsdienstleister (z. B. im Rahmen von Disputes/Chargebacks) sowie Inkassodienstleister. Eine Weitergabe erfolgt nur zweckgebunden und im erforderlichen Umfang.

14.4 Speicherdauer und Löschung.
Wir speichern Daten für die oben genannten Zwecke bis zum Ablauf einschlägiger Verjährungsfristen (regelmäßig 3 Jahre, in Sonderfällen bis zu 10 bzw. 30 Jahre) und löschen sie anschließend; es gelten ergänzend die Fristen nach Ziff. 8 (insb. handels-/steuerrechtliche Aufbewahrung). Bei laufenden Verfahren oder einer sogenannten Litigation Hold wird die Löschung bis zum Abschluss des Verfahrens ausgesetzt.

14.5 Widerspruchsrecht.
Soweit die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO beruht, können Sie Widerspruch nach Art. 21 DSGVO einlegen. Wir verarbeiten die Daten dann nicht mehr, es sei denn, wir weisen zwingende schutzwürdige Gründe nach oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (siehe auch Ziff. 10.2).

14.6 Getrennte Verantwortlichkeit der Anbieter.
Ansprüche, die die Durchführung vor Ort betreffen, richten sich regelmäßig gegen den jeweiligen Anbieter als eigenen Verantwortlichen. Wir unterstützen bei der Koordination und Beweissicherung, verarbeiten aber nur die hierfür erforderlichen Informationen (vgl. Ziff. 9.5).

15. Änderungen dieser Datenschutzhinweise

15.1 Anlass für Aktualisierungen.
Wir passen diese Hinweise an, wenn sich Zwecke, Rechtsgrundlagen, Empfänger/Dienstleister, Datenkategorien, technische Verfahren oder die Rechtslage/aufsichtsbehördliche Vorgaben ändern, sowie bei organisatorischen Anpassungen (z. B. neue Funktionen im Checkout/Gutschein‑System).

15.2 Form und Zeitpunkt der Information.
Die jeweils aktuelle Fassung veröffentlichen wir auf dieser Seite. Wesentliche Änderungen (insb. neue Zwecke, neue Empfängerkategorien, zusätzliche Drittlandübermittlungen oder die Einführung nicht erforderlicher Cookies/Technologien) werden vor Wirksamwerden deutlich kenntlich gemacht; soweit gesetzlich erforderlich, holen wir Einwilligungen neu ein.

15.3 Versionierung und Archiv.
Jede Fassung erhält eine Versionskennung und den „Stand" (Datum). Vorversionen werden archiviert. Bei laufenden Vertragsverhältnissen stellen wir inhaltliche Kernänderungen in geeigneter Weise dar.

15.4 Wirksamkeit gegenüber bestehenden Datenverarbeitungen.
Änderungen gelten ab Veröffentlichung bzw. ab dem angegebenen Wirksamkeitsdatum. Für bereits erhobene Daten wenden wir neue Regelungen nur an, soweit rechtlich zulässig; andernfalls bitten wir – wo erforderlich – um (erneute) Einwilligung.

15.5 Kontakt.
Fragen zu Änderungen beantworten wir unter info@mysteryerlebnis.de; Rechte können Sie wie in Ziff. 10 beschrieben ausüben.

16. Stand und Versionierung

Stand: 03.10.2025 · Version 1.1