Eventbrite Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Eventbrite über das Embed Checkout oder das Event-Widget ein, verarbeitet er Webserver-Protokolldaten, Endgeräte-Daten, Browserinformationen, grobe Standortdaten, Nutzer-Inhalte aus dem Bestellformular, Conversion-Ereignisse (Ticketkauf), Cookies und Kaufdaten zum Zweck der Einbindung einer fremden Ticketing-Plattform und der Vertragsanbahnung über den Ticketverkauf. Rechtsgrundlage ist beim Embed regelmäßig die Drittanbieter-Inhalte-Einwilligung, beim eigentlichen Ticketkauf zwischen Veranstalter und Käufer die Vertragsdurchführung. Diese Übersicht zur Eventbrite Datenschutzerklärung ordnet die Datenverarbeitung ein und zeigt, welche Pflichtangaben in die Datenschutzhinweise der eigenen Webseite gehören.

A. Zweck und Funktionsweise von Eventbrite

Eventbrite ist eine Online-Plattform für Event-Ticketing und Veranstaltungsmanagement. Veranstalter legen auf eventbrite.de Events an, definieren Ticketkategorien und Preise und nutzen die Plattform für Verkauf, Bestellverwaltung, Einlasskontrolle und Auswertung. Käufer (Konsumenten) erwerben über Eventbrite Tickets und erhalten diese digital.

Diese Toolseite beschränkt sich auf die Integrations-Funktionen, die ein Webseitenbetreiber direkt in die eigene Webseite einbettet, namentlich das Embed Checkout und das Event-Widget (Event-Listing). Über das Embed Checkout wird der Bestellvorgang per JavaScript-Snippet oder iFrame in eine eigene Seite eingebunden; Besucher können Tickets dann scheinbar auf der Webseite des Veranstalters kaufen, technisch lädt der Browser jedoch Inhalte und Skripte direkt von Eventbrite-Servern. Das Event-Widget zeigt Eventdetails und einen Ticketkauf-Button auf der eigenen Seite an. Andere Funktionen von Eventbrite (z. B. Eventbrite-eigene Listing-Seiten unter eventbrite.de, Marketing-E-Mails von Eventbrite, Eventbrite-Apps, API-Integrationen) sind nicht Gegenstand dieser Seite.

Aus technischer Sicht entspricht die Einbindung damit zwei Konstellationen zugleich: einer Drittanbieter-Inhalte-Einbindung (der Browser kontaktiert Eventbrite-Server beim Aufruf der Seite) und einem Verkaufsvorgang (Ticketkauf zwischen Käufer und Veranstalter, technisch abgewickelt über Eventbrite).

B. Pflichtangaben in der Datenschutzerklärung bei Einsatz von Eventbrite

Die DSGVO fordert über die allgemeinen Angaben hinaus für jedes eingesetzte Tool – also auch für Eventbrite – bestimmte Pflichtinformationen in der Datenschutzerklärung. Im Einzelnen:

• die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• die Rechtsgrundlagen der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• bei einer Verarbeitung auf Grundlage einer Interessenabwägung (Art. 6 Abs. 1 lit. f DSGVO) zusätzlich die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO),
• die Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e DSGVO),
• die Übermittlung in Drittländer außerhalb EU/EWR und die hierfür einschlägige Rechtsgrundlage (Art. 13 Abs. 1 lit. f DSGVO),
• die Speicherdauer bzw. die Kriterien für deren Festlegung (Art. 13 Abs. 2 lit. a DSGVO),
• bei Daten, die nicht direkt beim Betroffenen erhoben werden, zusätzlich die Kategorien personenbezogener Daten (Art. 14 Abs. 1 lit. d DSGVO).

Diese Pflichtangaben werden in den folgenden Abschnitten konkret für Eventbrite Embed Checkout und Event-Widget aufgeschlüsselt.

Es ist allerdings nicht erforderlich, in der Datenschutzerklärung jedes einzelne Tool – also auch Eventbrite – mit eigenem Textbaustein namentlich zu erläutern, auch wenn sich diese Praxis weithin eingebürgert hat. Diese „Textbaustein-pro-Tool"-Methode hat sich als schlechte Manier etabliert: Sie führt zu langen, von Kanzleien vorformulierten Texten, die sich inhaltlich wiederholen und die gesamte Datenschutzerklärung schwer pflegbar machen – im Widerspruch zu Art. 12 Abs. 1 DSGVO, der eine präzise, transparente, verständliche und leicht zugängliche Form verlangt.

Sachgerechter ist ein themenorientierter, hybrider Ansatz: Verarbeitungen werden übergreifend nach Themen (Serverbetrieb, Drittanbieter-Inhalte, Verkauf/Ticketing, Tracking …) beschrieben; die konkreten Dienstleister – darunter Eventbrite – werden lediglich in einem Empfänger-Anhang aufgelistet. Genau diesen Ansatz verfolgt der matterius-Generator.

C. Anbieter von Eventbrite

Anbieter und Betreiber der Plattform ist nach den öffentlich zugänglichen Angaben Eventbrite, Inc., 95 Third Street, 2nd Floor, San Francisco, California 94103, USA.

Für Nutzer im Europäischen Wirtschaftsraum und in der Schweiz ist nach Angaben von Eventbrite die Eventbrite Operations (IE) Limited, mit Sitz in Cork, Irland, als EU-Vertreterin gemäß Art. 27 DSGVO benannt. Für das Vereinigte Königreich tritt die Eventbrite UK Limited mit Sitz in Bristol auf. Welche dieser Gesellschaften für den jeweiligen Webseitenbetreiber Vertragspartner ist, ergibt sich aus den Eventbrite-Nutzungsbedingungen und ist im Einzelfall zu prüfen.

Da die Muttergesellschaft in den USA sitzt, kommt es regelmäßig zu Datentransfers in die USA. Eventbrite, Inc. ist nach den eigenen Angaben unter dem EU-US Data Privacy Framework (DPF) zertifiziert; die Zertifizierung umfasst auch das UK Extension und das Swiss-US DPF. Der aktuelle Status lässt sich unter https://www.dataprivacyframework.gov/s/participant-search nachschlagen.

• Datenschutzhinweise: https://www.eventbrite.com/help/en-us/articles/460838/eventbrite-privacy-policy/
• Cookie Statement: über die Datenschutzhinweise verlinkt
• DPF Notice: https://www.eventbrite.com/help/en-us/articles/415689/data-privacy-framework/
• Data Processing Addendum (DPA) für Veranstalter: https://www.eventbrite.com/help/en-us/articles/429030/data-processing-addendum-for-organizers/
• Embed-Checkout-Dokumentation: https://www.eventbrite.com/platform/docs/embedded-checkout

D. Datenverarbeitung durch Eventbrite – Ablauf in Schritten

E. Erhobene Daten beim Einsatz von Eventbrite

Beim Einsatz von Eventbrite Embed Checkout und Event-Widget werden nach den öffentlich zugänglichen Angaben des Anbieters typischerweise folgende Daten verarbeitet: IP-Adresse des Besuchers, Datum und Uhrzeit, Referrer-URL, User-Agent (Browser, Betriebssystem, Gerät), grober Standort (auf Basis der IP), in Eventbrite-Cookies gespeicherte Kennungen, Eingaben im Bestellformular (Name, E-Mail, ggf. Anschrift, ggf. veranstalterspezifische Zusatzfelder), Zahlungsdaten (Kartendaten werden im Regelfall direkt vom Zahlungsdienstleister verarbeitet), das Conversion-Ereignis „Ticketkauf" mit Bestellinhalt, Preis und Bestellnummer sowie Bestätigungs-E-Mail-Versanddaten.

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: Daten, die der Eventbrite-Server beim Aufruf einer eingebetteten Komponente erhält, insb. IP-Adresse, Datum, Uhrzeit, URL des angefragten Inhalts, Referrer, Browser-, Betriebssystem- und Geräteinformationen sowie technische Metadaten der Antwort.
• Endgeräte-Daten: Angaben zum Endgerät des Besuchers, z. B. Gerätetyp, Betriebssystem, Bildschirmauflösung und Touch-Unterstützung.
• Browserinformationen: Browsername und -version sowie ggf. installierte Erweiterungen.
• Grobe Standortdaten: Anhand der IP-Adresse ermittelter Standort auf Stadt- oder Gemeindeebene.
• Nutzer-Inhalte: Vom Käufer im Eventbrite-Bestellformular eingegebene Inhalte, insbesondere Name, E-Mail-Adresse, ggf. Anschrift und Antworten auf veranstalterindividuelle Bestellfragen.
• Conversion-Ereignisse: Der erfolgreiche Ticketkauf (inkl. Bestellung, Bestellnummer, gekauften Tickettypen, Bestellwert) als Conversion-Signal für den Veranstalter.
• Kaufdaten: Name, ggf. Organisationszugehörigkeit, Kontaktdaten, Anschrift, Bestelldaten (gekaufte Tickets, Preise) und – über den Zahlungsdienstleister – Zahlungsinformationen.

Daneben kommen Cookies zum Einsatz, die Eventbrite zur Bereitstellung des Checkouts, zur Sitzungsverwaltung sowie nach eigenen Angaben für Reichweitenmessung und Marketing nutzen kann.

F. Nutzungszwecke beim Einsatz von Eventbrite

Der Webseitenbetreiber nutzt Eventbrite typischerweise, um Veranstaltungen zu vermarkten und Tickets über die eigene Webseite verkaufen zu können, ohne ein eigenes Ticketing-System zu betreiben. Der eigentliche Ticketkauf ist Teil der Vertragsanbahnung und -durchführung zwischen Veranstalter und Käufer; daneben dient Eventbrite der Funktionsbereitstellung des eingebetteten Inhalts.

Die typischerweise verfolgten Zwecke lassen sich in folgende standardisierte Nutzungszweck-Klassen einordnen:

• Funktionsbereitstellung: Anzeige des Event-Widgets bzw. des Embed Checkouts, Darstellung der Ticketkategorien, technische Abwicklung des Bestellprozesses einschließlich Fehlererkennung und Fehlervermeidung.
• Vertragsdurchführung: Vorbereitung und Abwicklung des Ticketverkaufs zwischen dem Veranstalter und dem Käufer, einschließlich Erstellung der Bestellung, Zahlungsabwicklung über den Zahlungsdienstleister, Versand der Tickets und Bestätigungs-E-Mails sowie Einlasskontrolle.
• Sicherheit und Missbrauchsschutz: Erkennung und Abwehr betrügerischer Bestellungen, Bot-Abwehr und Schutz des Bestellprozesses.
• Erfüllung von Aufbewahrungspflichten: Aufbewahrung der Bestelldaten zur Einhaltung handels- und steuerrechtlicher Vorschriften (§ 257 HGB, § 147 AO).
• Kommunikation: Versand der Ticketbestätigung sowie etwaiger Veranstalter-Mitteilungen an Käufer (z. B. Änderungen, Hinweise zum Event).
• Allgemeines Marketing: Auswertung von Verkaufszahlen und Kampagnen-Performance auf aggregierter Ebene durch den Veranstalter über die Eventbrite-Berichte.

G. Rechtsgrundlagen für Eventbrite

Eventbrite Embed Checkout und Event-Widget fallen primär in zwei Tool-Kategorien zugleich: Drittanbieter-Inhalte (für die technische Einbettung) und Verkauf/Ticketing (für den Ticketkauf). Daraus folgt eine gestufte Rechtsgrundlagen-Beurteilung.

Für die Einbindung des Eventbrite-Skripts/iFrames kommt regelmäßig eine Drittanbieter-Inhalte-Einwilligung in Betracht (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG, soweit Cookies oder vergleichbare Technologien zum Einsatz kommen). Da die Einbettung Drittserver-Requests an Eventbrite auslöst und Cookies gesetzt werden können, wird regelmäßig eine Einholung über das Consent-Banner empfohlen. Alternativ kann – in restriktiv ausgestalteten Fallkonstellationen ohne Tracking-Komponente – ein berechtigtes Interesse an Effizienz und Funktionsbereitstellung (Art. 6 Abs. 1 lit. f DSGVO) erwogen werden; diese Einordnung ist umstritten.

Für den eigentlichen Ticketkauf zwischen Käufer und Veranstalter ist Rechtsgrundlage typischerweise die Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO). Für die Aufbewahrung der Bestelldaten kommt eine rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) aus § 257 HGB bzw. § 147 AO in Betracht. Für Sicherheit und Missbrauchsschutz können sich der Veranstalter und Eventbrite zusätzlich auf berechtigte Interessen an Missbrauchsschutz und Sicherheit (Art. 6 Abs. 1 lit. f DSGVO) berufen.

H. Besonderheiten und Hinweise zu Eventbrite

• Rolle des Anbieters – Mischkonstellation: Nach den Angaben von Eventbrite tritt der Anbieter im Hinblick auf die im Auftrag des Veranstalters verarbeiteten Bestelldaten als Auftragsverarbeiter (Art. 28 DSGVO) auf; für eigene Verarbeitungen rund um die Plattform (z. B. eigenes Marketing, Eventbrite-Konten, plattformübergreifende Statistik) handelt Eventbrite als eigenständig Verantwortlicher. Die genaue Abgrenzung ist im Einzelfall – insbesondere anhand des Eventbrite-DPA und der Eventbrite-Datenschutzerklärung – zu prüfen.
• AVV/DPA: Eventbrite stellt ein Data Processing Addendum für Veranstalter zur Verfügung. Es ist über das Eventbrite-Hilfecenter abrufbar und enthält die Standardvertragsklauseln für Drittlandtransfers: https://www.eventbrite.com/help/en-us/articles/429030/data-processing-addendum-for-organizers/
• Drittlandtransfer / DPF: Eventbrite, Inc. ist nach eigenen Angaben unter dem EU-US Data Privacy Framework zertifiziert. Status prüfen unter https://www.dataprivacyframework.gov/s/participant-search. Ergänzend kommen EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO zur Anwendung, wo Subprozessoren in Drittländern eingesetzt werden.
• Subprozessoren: Eventbrite gibt an, Hosting-, Zahlungs-, E-Mail- und Supportdienstleister einzusetzen. Eine konsolidierte Subprozessorenliste ist nicht öffentlich verlinkt; sie kann ggf. über privacy@eventbrite.com angefordert werden.
• Zahlungsdienstleister: Kartenzahlungen werden regelmäßig direkt von einem Zahlungsdienstleister abgewickelt, der hierfür als eigenständig Verantwortlicher tätig wird.
• Eventbrite-Cookies: Im Rahmen des Embed Checkout setzt Eventbrite Cookies. Der Webseitenbetreiber sollte diese im Consent-Banner als Drittanbieter-Inhalte-/Marketing-Cookies abbilden, damit eine Einwilligung nach § 25 Abs. 1 TDDDG sauber eingeholt wird.
• Einstellungen für den Webseitenbetreiber: Im Eventbrite-Backend lassen sich Felder im Bestellformular auf das datenschutzrechtlich Erforderliche beschränken (Datenminimierung, Art. 5 Abs. 1 lit. c DSGVO). Marketing-Einwilligungen für E-Mail-Werbung des Veranstalters sind separat über entsprechende Einwilligungsfelder einzuholen.
• Opt-Out für Endnutzer: Eventbrite stellt unter den eigenen Datenschutzhinweisen Tools für Auskunft, Berichtigung und Löschung bereit. Cookies können über den Browser bzw. das Consent-Banner verwaltet werden.

I. FAQ zu Eventbrite und Datenschutz

J. Fazit zu Eventbrite und Call-to-Action

Eventbrite Embed Checkout und Event-Widget sind technisch eine Mischung aus Drittanbieter-Inhalt und Verkaufsvorgang: Die eingebetteten Komponenten lösen Verbindungen zu Eventbrite-Servern in den USA aus, setzen Cookies und übermitteln im Bestellprozess Name, E-Mail-Adresse, Anschrift und Zahlungsinformationen des Käufers. Datenschutzrechtlich relevant sind insbesondere die Drittanbieter-Inhalte-Einwilligung beim Embed, die Vertragsdurchführung beim Ticketkauf, die Drittlandsübermittlung in die USA (gestützt auf DPF und SCC) sowie die typische Mischkonstellation aus Auftragsverarbeitung und eigener Verantwortlichkeit von Eventbrite, Inc.

Für den Webseitenbetreiber ist es meist wenig sinnvoll, für Eventbrite oder jedes andere eingesetzte Tool einen eigenen Textbaustein in die Datenschutzerklärung aufzunehmen. Solche Textbaustein-Sammlungen werden lang, unübersichtlich und schwer pflegbar; sie widersprechen dem Transparenzgebot des Art. 12 Abs. 1 DSGVO, das eine präzise, verständliche und leicht zugängliche Form verlangt.

Empfehlenswert ist stattdessen ein strukturierter, themenorientierter Ansatz: Verarbeitungen werden nach Themenblöcken (Serverbetrieb, Drittanbieter-Inhalte, Verkauf/Ticketing, Tracking …) übergreifend erläutert; konkrete Dienstleister wie Eventbrite werden lediglich im Anhang Empfänger mit Kategorie, Sitzland und Rolle gelistet. Diese Methodik nutzt der matterius-Generator und führt zu einer kürzeren, pflegbareren und für Besucher tatsächlich lesbaren Datenschutzerklärung.

K. Kurator dieser Seite

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com