Datenschutz-information

Verarbeitungstätigkeit

Online-Services zur Empfehlung von (kulturellen) Veranstaltungen und zum Erwerb von Eintrittskarten für (kulturelle) Veranstaltungen

Verantwortlicher für den Betrieb der Services

Classic Card: Stiftung Oper in Berlin, Am Wriezener Bahnhof 1, 10243 Berlin  
Datenschutzbeauftragter Stiftung Oper in Berlin, Richard-Wagner-Straße 10, 10585 Berlin-Charlottenburg

T: +49 (0)30 343 84 148

 

Verantwortlicher des Veranstaltungsvertrages

Mit dem Erwerb des Tickets entsteht zwischen dem Nutzer und dem Veranstalter ein "Veranstaltungsvertrag", für dessen Erfüllung und Abwicklung alleine der Veranstalter verantwortlich ist. Der Veranstalter wird (als Verantwortlicher) beim Ticketkauf gesondert ausgewiesen. Die Übermittlung der für die Abwicklung des Kaufvertrages notwendigen Daten an den Veranstalter ist zur Erfüllung des Vertragszweckes unbedingt erforderlich.   Bei der Abwicklung der Ticketkaufverträge ist die Ticket Gretchen GmbH („easy-connect“) als Auftragsverarbeiter der Veranstalter tätig.    

Verarbeitete Datenarten

Vom Kunden bekannt gegeben

• Ort des Interesses 
• Name 
• E-Mail-Adresse 
• Geburtsdatum (optional für spezielle Angebote) 
• Zahlungs- und Kreditkartendaten, Gutscheindaten 
• Inhalte von Nachrichten oder Bewertungen des Kunden 
• Ausweiskopien. Die relevanten Metadaten wie Ausweisnummer, Ausweisart, Gültigkeit, Ausstellungsort und -datum, Geburtsdatum werden extrahiert und gespeichert. Danach wird die Ausweiskopie unmittelbar gelöscht.

• IP-Adressen (Logfiles) 
• User-ID, Push-Token, Device-ID, Localization (Spracheinstellung) 
• Verwendeter Webview 
• Verwendetes Gerät 
• Kommunikationsprotokoll 
• Informationen zur Kontonutzung (z.B. Erstelldatum, Anzahl Logins, Datum der letzten Anfrage) 
• Informationen zu den gekauften Tickets 
• Verhaltensdaten des Nutzers (z.B.: Event angesehen, favorisiert, in den Warenkorb gegeben, gekauft, bewertet)
  
  

Zwecke der Datenverarbeitung - Vertragserfüllung oder -vorbereitung

• Abrufbarhaltung von Informationen über (kulturelle) Veranstaltungen 
• Bereitstellung von Services zur Empfehlung von Veranstaltungen auf der Grundlage der Interessen des Nutzers (mit jederzeitiger Opt-out-Möglichkeit) 
• Abrufbarhaltung von Online-Shops der Veranstalter zum Erwerb von Tickets 
• Bereitstellung von Kommunikationskanälen zur Verbreitung der Inhalte und Pflege des Kundenverhältnisses 
• Erfüllung der vertraglichen Verpflichtungen aus dem Servicevertrag zum Verantwortlichen 
• Erfüllung der vertraglichen Verpflichtungen aus dem mit dem Veranstalter abgeschlossenen Kauf- und Veranstaltungsvertrag
  
  

Zwecke der Datenverarbeitung - (überwiegendes) berechtigtes Interesse:

• Verbreitung/Ausspielung von (auch werbenden) Informationen für Services und Veranstaltungen im Wege der Direktwerbung („Marketingzwecke“), soweit gesetzlich zulässig 
• Erhaltung und Erhöhung der Kundenzufriedenheit und der Kundenbindung durch Analyse des Nutzungsverhaltens mit dem Ziel der Verbesserung des Serviceangebotes, dies unter Einsatz von Clevertap und Google Analytics 
• Bereitstellung von (auch werbenden) Newsletter an Kunden mit jederzeitiger Opt-out-Möglichkeit 
• Übermittlung von elektronischen Identifikationsdaten des Nutzers an Drittanbieter, um Inhalte durch Beiträge in sozialen Netzwerken (z.B. YouTube) und anderen Applikationen (z.B. Google Maps) einzubinden.
  
  

Rechtsgrundlage der Datenverarbeitung

1) Vertragserfüllung  

• Abschluss von Ticketkaufverträgen: Im Falle des Erwerbs von Tickets beruht die Datenverarbeitung des Veranstalters auf dem jeweils abgeschlossenen Vertrag und dient diese der Vertragserfüllung  

2) Zusatzservices: Einwilligung. Für einzelne Services (z.B. Newsletter) holt der Verantwortliche ausdrücklich Einwilligungen vom Kunden ein iSd Art 6 Abs 1 lit a DSGVO . Diese Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.

IT Sicherheit: Der Verantwortliche speichert die IP-Adressen von bloßen Besuchern der Website für die Dauer von 7 Tagen, um auf gezielte Angriffe in Form der Überlastung von Servern („Denial of service“-Angriffe) und andere Schädigungen der Systeme abwehren zu können. An dieser Datenverarbeitung zum Zwecke der Aufrechterhaltung der Funktionsfähigkeit seiner online bereitgestellten Dienste hat der Verantwortliche ein überwiegendes berechtigtes Interesse (Erwägungsgrund 49 der DSGVO).

 
Informationsverbreitung/Direktwerbung: Der Verantwortliche verarbeitet die Kundendaten (nicht jedoch solche von Kindern oder besondere Kategorien von personenbezogenen Daten im Sinne des Art 9 DSGVO („sensible Daten“) auch, um diese zu Zwecken der Direktwerbung für (weitere) Angebote des Verantwortlichen zu nutzen. Der Verantwortliche hat an der Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung ein berechtigtes Interesse (Erwägungsgrund 47, letzter Satz der DSGVO). Verarbeitet werden dabei ausschließlich jene Kundendaten, über die der Verantwortliche aus einem Vertragsverhältnis verfügt und für die noch die Speicherfrist läuft. Eine Verlängerung der Speicherfrist erfolgt dadurch nicht. Vorrangiges Ziel der Datenverarbeitung ist die Kundengewinnung. Dabei stützen sich die Verantwortlichen auf ihre konventions- und verfassungsrechtlich geschützte Erwerbsfreiheit und Kommunikationsfreiheit (insb. Art 10 EMRK, der auch Werbemaßnahmen schützt) und auf die Rechte

 

• zur Übermittlung von postalischer Werbung; 
• zur Übermittlung von elektronischer Post nach Einwilligung

 

Bei der Nutzung dieser Daten hält der Verantwortliche die kommunikationsrechtlichen Vorgaben ein.   

 

Retargeting: Facebook nutzt das vom Verantwortlichen in seinen Services gesetzte „Facebook-Pixel“ um am Gerät des Nutzers Cookies abzulegen und bestehende Cookies, andere Identifier abzulesen und das zum Identifier oder Nutzer angelegte Profil anzureichern. Der Verantwortliche hat auf diese von Facebook erhobenen Daten einen Zugriff, nutzt diese aber zur Ausspielung von Werbung an die Zielgruppe der Interessenten am Service des Verantwortlichen.

Zweckänderung

Informationsverbreitung/Werbung: Der Verantwortliche informiert, dass er die personenbezogenen Daten des Kunden auch zu Zwecken der Informationsverbreitung/Direktwerbung und zu Zwecken des Retargeting verarbeitet. Damit will der Verantwortliche über eigene Services und über die Veranstaltungen der Veranstalter informieren und diese bewerben. Zu diesem Zweck werden diese Daten keinem Dritten unter dessen Verantwortung überlassen. Es besteht keine Unvereinbarkeit mit dem Zweck der ursprünglichen Datenerhebung. Der Kunde kann gegen die Verwendung seiner personenbezogenen Daten zu Zwecken der Direktwerbung jederzeit und ohne Angabe von Gründen Widerspruch einlegen.

Bewertungen von persönlichen Aspekten des Kunden („Profiling“)

Um dem Kunden im Rahmen des Vertragszwecks passende Empfehlungen abgeben zu können analysiert und bewertet der Verantwortliche das Nutzungs- und Nachfrageverhalten des Kunden. Dieses bewertete Verhalten verwendet der Verantwortliche, um dem Kunden zielgerichtet interessensspezifische Empfehlungen zu übermitteln entsprechend Art 6 Abs 1 lit f DSGVO.

Pflicht zur Bereitstellung von Daten

Den Kunden trifft bei der Nutzung der Services keine Pflicht zur Bereitstellung von Daten. Beim Kaufvorgang sind die für Kaufvorgang erforderlichen Felder wahrheitsgemäß auszufüllen.

Automatisierte Entscheidungsfindung

Der Kunde unterliegt keiner automatisierten Entscheidung, die ihm gegenüber rechtliche Wirkung entfaltet.

Datenquellen

(soweit nicht vom Kunden bekannt gegeben oder vom Verantwortlichen erhoben)  

• E-Mail-Versand "Mailchimp": The Rocket Science Group, LLC, 675 Ponce de Leon Ave NE, Suite 5000, Atlanta, GA 30308 USA Datenarten: IP Standort, bevorzugter E-Mail Client, Quelle der Anmeldung, Kampagnendetails (Empfang, Öffnung, Klick) 
• Facebook-Login: Facebook Inc., 1601 S. California Ave, Palo Alto, CA 94304Facebook-ID und E-Mail-Adresse 
• Datenanalyse und Push-Notification-Versand "Clevertap": Push-Token, Device ID, Verhaltensdaten des Nutzers (z.B.: Event angesehen, Warenkorb, gekauft, bewertet), Device, Betriebssystem, User Agent, Localization 
• Erfassung der Quelle des Downloads: Branch und Appsflyer SDK: Dient zur Erkennung von welcher Quelle ein User die App heruntergeladen hat und ist beispielsweise für das Referral-System und das Deeplinking in die App erforderlich. Zur Erkennung der Downloadquelle werden folgende Merkmale erhoben: iOS Identifier for Advertising (IDFA), iOS Identifier for Vendors (IDFV), Android Advertising ID (GAID), Android ID Branch Cookie ID, IP Address, Application version, Device model, Manufacturer, Operating system, Operating system version, Screen size, Screen resolution, Session start/stop time, Mobile network status (WiFi, etc)Application installed time, Application updated time, Device locale (country and language), Local IP address, Mobile platform, Branch SDK version, Developer ID
  
  

Externe Empfänger von Daten

A) Einbindung von Services von Drittanbietern in die Plattform: Übermittlung von elektronischen Identifikationsdaten, insbesondere IP-Adresse: 

• Instagram LLC, 1601 Willow Rd, Menlo Park CA 94025, USA, https://help.instagram.com/519522125107875 
• Facebook Inc., 1601 S. California Ave, Palo Alto, CA 94304, USA, https://www.facebook.com/policy.php/ 
• Twitter Inc., 795 Folsom Street, Suite 600, San Francisco, CA 94107, USA, https://twitter.com/de/privacy 
• LinkedIn Corporation, 1000 West Maude Avenue, Sunnyvale, CA 94085, USA, https://www.linkedin.com/legal/privacy-policy 
• YouTube LLC, 901 Cherry Avenue, San Bruno, CA 94066, USA https://support.google.com/youtube/answer/7671399?hl=de 
• Vimeo: Google LLC, 1600 Amphitheatre Parkway Mountain View, CA 94043, USA https://privacy.google.com/# 
• Pinterest Europe Ltd, Palmerston House, 2nd Floor, Fenian Street, Dublin 2, Ireland, https://policy.pinterest.com/de/privacy-policy

B) Veranstalter (werden jeweils beim Kaufvorgang angegeben): E-Mail, Vorname, Nachname, Newsletter-Anmeldung für den jeweiligen Veranstalter (separater Opt-In), Angaben zur Bestellung, gegebenenfalls das Geburtsdatum

C) Auftragsverarbeiter

• (Weiter-)Entwicklung & Betrieb der Classic Card Lösungen (App und Website): Technologiepartner „easy-connect“ - Ticket Gretchen GmbH, Mariahilferstraße 109, 1060 Wien, Österreich

Subauftragsverarbeiter: 

• Hostprovider - Serverstandort Frankfurt: Amazon Web Services, Inc., 410 Terry Avenue North Seattle WA 98109, United States 
• Google Analytics (mit "anonymize IP"): Google LLC, 1600 Amphitheatre Parkway Mountain View, CA 94043, USA 
• E-Mail-Kampagnenversand "Mailchimp": The Rocket Science Group, LLC, 675 Ponce de Leon Ave NE, Suite 5000, Atlanta, GA 30308 USA 
• Zahlungsdienst: Stripe, 510 Townsend Street, San Francisco, CA 94103, USA Zahlungsgateway für die Abwicklung von Kreditkartenzahlungen und SOFORT - Überweisung. Stripe ist im Rahmen des EU-U.S. - Privacy Shield - Frameworks zertifiziert. Stripe verarbeitet personenbezogene Daten nach Vorgabe der EU-Standardvertragsklauseln.“ 
• Zahlungsdienst: BS PAYONE GmbH, Lyoner Straße 9, D-60528 Frankfurt/Main Die kritischen Zahlungsdaten (z.B.: Kreditkarteninformationen) werden direkt vom Kunden an den Zahlungsdienst weitergeleitet, ohne dass eine Speicherung der Daten auf den Servern der Ticket Gretchen GmbH erfolgt. Bei Ticket Gretchen werden lediglich pseudonymisierte Daten gespeichert. 
• Zahlungsdienst: PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxembourg Die Zahlung durch den Kunden erfolgt direkt bei PayPal. Es werden lediglich für die Bestellung relevante Daten abgefragt (Betrag, Status). 
• Zahlungsdienst: Blue Code International AG, Gartenstrasse 5, 8853 Lachen, Schweiz Verarbeitet Blue Code Zahlungen 
• Zahlungsdienst – SOFORT Überweisung: Klarna Bank AB (publ), Sveavägen 46, 111 34 Stockholm, Schweden Die Zahlung durch den Kunden erfolgt direkt beim Zahlungsanbieter, es wird dadurch eine Banküberweisung vom Endkunden an Ticket Gretchen ausgelöst. 
• Ausweiskontrolle für spezielle Angebote (z.B. U27): AriadNEXT, ZAC des Champs Blancs, 1219 Avenue des Champs Blancs, 35510 CESSON SEVIGNE – FRANCE 
• Datenauswertung Clevertap – Serverstandort EWR: WizRocket Inc., 440 N Wolfe Rd, Sunnyvale, CA 94085, USA. Das Hosting und Verarbeiten der Daten erfolgen ausschließlich innerhalb des EWR in Rechenzentren von Amazon Web Services. Datenauswertung Branch - Serverstandort USA: Branch Metrics Inc. 2443 Ash Street, Palo Alto, Clifornia 94306, USA Datenauswertung: Graf Moser Management GmbH, Mariahilferstraße 109/20, 1060 Wien, Österreich. Das Hosting erfolgt in Rechenzentren in Deutschland. Servermonitoring – Serverstandort USA: Rollbar, 221 Main St. Suite 780, San Francisco, CA 94105, USA 
• Verarbeitung von IP-Adressen (Konvertierung in Länderinformation): MaxMind, Inc. –14 Spring St., Suite 3, Waltham, MA 02451, US 

Der Verantwortliche behält sich den Einsatz weiterer Auftragsdatenverarbeiter ausdrücklich vor. Diese werden sodann in der auf den Einsatzbeginn folgenden Aktualisierung der Datenschutzinformation ausgewiesen. Diese Datenverarbeitungen der Auftragsdatenverarbeiter finden unter der Verantwortung des Verantwortlichen statt.