Datenschutzerklärung
gemäß Verordnung (EU) 2016/679 (DSGVO) und Decreto Legislativo 30 giugno 2003, n. 196 (Codice Privacy)
Stand: März 2026
1. Verantwortlicher
Verantwortlicher für die Datenverarbeitung im Sinne von Art. 4 Abs. 7 DSGVO ist:
STIPME[Organisation]
[Adresse]
E-Mail: info@stipme.net
Website: https://stipme.net
(Nachfolgend „Verantwortlicher", „wir" oder „uns" genannt.)
2. Geltungsbereich
Diese Datenschutzerklärung gilt für die Nutzung der Webplattform STIPME (erreichbar unter stipme.net) sowie für alle damit verbundenen Dienstleistungen. STIPME ist eine Software-as-a-Service-Plattform (SaaS) für die Reservierungs- und Buchungsverwaltung von Amateurtheatergruppen und Heimatbühnen.
Die Plattform richtet sich an Organisationen (Veranstalter) im deutschsprachigen Raum, insbesondere in Südtirol (Italien), Österreich und Deutschland, sowie an deren Endkunden (Besucher/Buchende).
3. Rechtsgrundlagen der Verarbeitung
Wir verarbeiten personenbezogene Daten ausschließlich auf Grundlage der folgenden Rechtsgrundlagen:
| Rechtsgrundlage | Beschreibung |
|---|---|
| Art. 6 Abs. 1 lit. a DSGVO | Einwilligung – z. B. bei der Anmeldung zum Newsletter oder dem Setzen nicht notwendiger Cookies |
| Art. 6 Abs. 1 lit. b DSGVO | Vertragserfüllung – Verarbeitung zur Durchführung von Buchungen, Reservierungen und zur Bereitstellung der Plattform |
| Art. 6 Abs. 1 lit. c DSGVO | Rechtliche Verpflichtung – z. B. steuerrechtliche Aufbewahrungspflichten |
| Art. 6 Abs. 1 lit. f DSGVO | Berechtigtes Interesse – z. B. Gewährleistung der IT-Sicherheit, Missbrauchsprävention, Analyse zur Verbesserung der Plattform |
4. Art der erhobenen personenbezogenen Daten
4.1 Daten der Veranstalter (Organisationen)
Bei der Registrierung und Nutzung der Plattform als Veranstalter werden folgende Daten verarbeitet:
- Organisationsname
- Kontaktperson (Name)
- E-Mail-Adresse
- Zugangsdaten (verschlüsseltes Passwort)
- Produktions- und Veranstaltungsdaten
- Aktivierungscodes und Zahlungsstatus
4.2 Daten der Buchenden (Besucher)
Bei der Durchführung einer Buchung werden folgende Daten erhoben:
- Vorname und Nachname
- Mobiltelefonnummer
- Buchungsdetails (gewählte Vorstellung, Anzahl Plätze, Preiskategorie)
- Buchungsreferenznummer (Format: BK-XXXXXXXX)
- Buchungsstatus (bestätigt, storniert, ausstehend)
Hinweis: Es werden bewusst keine E-Mail-Adressen der Buchenden erhoben. Die Kommunikation mit Besuchern erfolgt ausschließlich über die hinterlegte Mobiltelefonnummer im Rahmen der Plattform.
4.3 Technische Daten (Server-Logs)
Bei jedem Zugriff auf die Plattform werden automatisch folgende technische Daten erfasst:
- IP-Adresse (anonymisiert oder pseudonymisiert)
- Datum und Uhrzeit des Zugriffs
- Aufgerufene Seite bzw. Funktion
- Browsertyp und -version
- Betriebssystem
- Referrer-URL
Diese Daten werden auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO zur Gewährleistung der IT-Sicherheit und zur Fehlerbehebung verarbeitet.
5. Zwecke der Datenverarbeitung
Wir verarbeiten personenbezogene Daten für folgende Zwecke:
- Bereitstellung und Betrieb der Reservierungsplattform (Vertragserfüllung)
- Verwaltung von Buchungen, Reservierungen und Sitzplätzen
- Kommunikation mit Veranstaltern und Buchenden (z. B. Buchungsbestätigungen per E-Mail)
- Abrechnung der Produktionsgebühren (€ 69,90 brutto pro Produktion)
- Gewährleistung der IT-Sicherheit und Missbrauchsprävention (Rate Limiting)
- Erfüllung gesetzlicher Aufbewahrungspflichten
- Verbesserung und Weiterentwicklung der Plattform
6. Auftragsverarbeiter und Drittanbieter
Zur Erbringung unserer Dienste setzen wir folgende Auftragsverarbeiter gemäß Art. 28 DSGVO ein:
| Dienstleister | Zweck | Datenart | Serverstandort |
|---|---|---|---|
| Supabase Inc. | Datenbank und Authentifizierung | Alle Plattformdaten | Frankfurt, EU |
| Vercel Inc. | Webhosting und Bereitstellung | Technische Zugriffsdaten | EU (Edge Network) |
| Twilio SendGrid | Transaktions-E-Mails (Buchungsbestätigungen) | E-Mail-Adressen, Nachrichteninhalte | USA (Standardvertragsklauseln) |
| Upstash | Rate Limiting (Missbrauchsschutz) | IP-basierte Zähler (anonymisiert) | EU |
6.1 Drittlandtransfer
Soweit Auftragsverarbeiter ihren Sitz außerhalb des Europäischen Wirtschaftsraums (EWR) haben, stellen wir sicher, dass ein angemessenes Datenschutzniveau gewährleistet ist. Dies geschieht insbesondere durch:
- EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO)
- Angemessenheitsbeschluss der EU-Kommission (Art. 45 DSGVO), sofern vorhanden
- Zusätzliche technische und organisatorische Maßnahmen
Für den Transfer in die USA wird das EU-US Data Privacy Framework herangezogen, soweit der Empfänger zertifiziert ist, ergänzt durch Standardvertragsklauseln.
7. Cookies und lokale Speicherung
Die Plattform verwendet ausschließlich technisch notwendige Cookies sowie localStorage für folgende Zwecke:
- Sitzungsverwaltung und Authentifizierung (Supabase Auth)
- Speicherung der Cookie-Banner-Einwilligung
- Zwischenspeicherung von Formularstatus
Es werden keine Tracking-Cookies, Analyse-Cookies oder Cookies von Drittanbietern zu Werbezwecken eingesetzt. Ein Cookie-Banner informiert beim ersten Besuch über die Verwendung technisch notwendiger Cookies.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer funktionsfähigen Plattform) sowie § 122 des italienischen Codice Privacy (D.Lgs. 196/2003) in Verbindung mit den Leitlinien des Garante per la protezione dei dati personali.
8. Speicherdauer
Wir speichern personenbezogene Daten nur solange, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:
| Datenkategorie | Speicherdauer | Grundlage |
|---|---|---|
| Veranstalter-Kontodaten | Dauer der Geschäftsbeziehung + 10 Jahre | Steuerrechtliche Aufbewahrung (Art. 2220 Codice Civile) |
| Buchungsdaten | 5 Jahre nach der Veranstaltung | Vertragsdokumentation, gesetzliche Pflichten |
| Kontaktdaten Buchender | Dauer der aktiven Buchung | Vertragserfüllung (Art. 6 Abs. 1 lit. b) |
| Server-Logs | 30 Tage | IT-Sicherheit (Art. 6 Abs. 1 lit. f) |
| Rechnungs-/Zahlungsdaten | 10 Jahre | Italienische Steuergesetzgebung (D.P.R. 600/1973) |
9. Rechte der betroffenen Personen
Gemäß der DSGVO und dem italienischen Codice Privacy stehen Ihnen folgende Rechte zu:
9.1 Auskunftsrecht (Art. 15 DSGVO)
Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob personenbezogene Daten verarbeitet werden, und gegebenenfalls Auskunft über diese Daten zu erhalten.
9.2 Recht auf Berichtigung (Art. 16 DSGVO)
Sie haben das Recht, die Berichtigung unrichtiger personenbezogener Daten und die Vervollständigung unvollständiger Daten zu verlangen.
9.3 Recht auf Löschung (Art. 17 DSGVO)
Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
9.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen, beispielsweise wenn die Richtigkeit der Daten bestritten wird.
9.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Sie haben das Recht, die Sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
9.6 Widerspruchsrecht (Art. 21 DSGVO)
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen die Verarbeitung Ihrer Daten Widerspruch einzulegen, sofern die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO beruht.
9.7 Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)
Soweit die Verarbeitung auf einer Einwilligung beruht, haben Sie das Recht, diese jederzeit zu widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.
9.8 Beschwerderecht bei der Aufsichtsbehörde
Sie haben das Recht, eine Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde einzureichen:
Garante per la protezione dei dati personaliPiazza Venezia, 11 – 00187 Roma
E-Mail: protocollo@gpdp.it
PEC: protocollo@pec.gpdp.it
Website: www.garanteprivacy.it
Alternativ können Sie sich auch an die für Ihren Wohnsitz zuständige Aufsichtsbehörde wenden.
10. Datensicherheit
Wir treffen angemessene technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu gehören insbesondere:
- Verschlüsselung der Datenübertragung mittels TLS/HTTPS
- Zugriffskontrolle durch Row-Level Security (RLS) auf Datenbankebene
- Verschlüsselte Speicherung von Passwörtern (bcrypt-Hashing)
- Rate Limiting zum Schutz vor Brute-Force-Angriffen
- Regelmäßige Sicherheitsprüfungen und Updates
- Nicht erratbare Buchungsreferenzen (BK-Format)
- Strikte Trennung der Mandantendaten (Multi-Tenancy)
11. Daten von Minderjährigen
Die Plattform richtet sich primär an erwachsene Nutzer. Buchungen für Minderjährige (unter 16 Jahren gemäß Art. 8 DSGVO bzw. unter 14 Jahren gemäß Art. 2-quinquies D.Lgs. 196/2003) dürfen nur durch einen Erziehungsberechtigten vorgenommen werden.
12. Automatisierte Entscheidungsfindung
Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO statt.
13. Verhältnis zu den Veranstaltern
Im Verhältnis zwischen STIPME und den Veranstaltern (Organisationen) handelt STIPME als Auftragsverarbeiter gemäß Art. 28 DSGVO. Die Veranstalter sind die Verantwortlichen für die über die Plattform erhobenen personenbezogenen Daten ihrer Buchenden.
Die Verarbeitung erfolgt auf Grundlage eines Auftragsverarbeitungsvertrags (AVV), der die Art und den Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festlegt.
14. E-Mail-Kommunikation
Transaktions-E-Mails (z. B. Buchungsbestätigungen, Stornierungsbestätigungen) werden über den Dienst SendGrid (Twilio Inc.) versendet. Der Versand erfolgt ausschließlich über die Absenderadresse info@stipme.net.
Es werden keine Werbe-E-Mails oder Newsletter ohne ausdrückliche Einwilligung des Empfängers versendet.
15. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen unserer Dienstleistungen anzupassen. Die jeweils aktuelle Fassung ist unter stipme.net/datenschutz verfügbar. Wesentliche Änderungen werden den registrierten Nutzern per E-Mail mitgeteilt.
16. Kontakt
Für Fragen zum Datenschutz, zur Ausübung Ihrer Betroffenenrechte oder für Beschwerden wenden Sie sich bitte an:
E-Mail: info@stipme.netWir werden Ihre Anfrage innerhalb der gesetzlich vorgesehenen Frist von einem Monat bearbeiten (Art. 12 Abs. 3 DSGVO).
17. Anwendbares Recht und Gerichtsstand
Es gilt italienisches Recht. Für Streitigkeiten im Zusammenhang mit dieser Datenschutzerklärung ist, soweit gesetzlich zulässig, der Gerichtsstand Bozen (Bolzano) vereinbart.
Unbeschadet dessen besteht das Recht der betroffenen Personen, sich an die gemäß Art. 77 DSGVO zuständige Aufsichtsbehörde oder an das zuständige Gericht ihres Wohnsitzes zu wenden.
STIPME – Reservierungsplattform für Amateurtheater
stipme.net | info@stipme.net | Stand: März 2026