Datenschutzerklärung Ticketing Hospitality (Aftersales Plattform)
Datenschutzerklärung gemäß Art. 12 ff. Datenschutzgrundverordnung (DSGVO) im Bereich Ticketing Hospitality (After Sales Plattform)
I. Allgemeines zur Datenverarbeitung
Der Schutz Ihrer persönlichen Daten ist uns sehr wichtig. Wir verarbeiten Ihre Daten in erster Linie, um funktionsfähige, komfortable Verkaufswege und sichere Besuche unserer Spiele zu gewährleisten. Aus diesem Grund möchten wir Sie im Folgenden ausführlich über die Erhebung, Verarbeitung und Nutzung anonymer und personenbezogener Daten im Rahmen unserer After Sales Plattform informieren.
Die Bereitstellung und Nutzung der Plattform betreiben wir in Kooperation mit Spotfive. Dahingehend haben wir einen Vertrag über die Verarbeitung personenbezogener Daten in gemeinsamer Verantwortlichkeit der Parteien gemäß Art. 26 DSGVO geschlossen. Dabei ist Borussia Dortmund GmbH & Co. KGaA Verantwortliche für den Spielbetrieb und damit das Angebot der Eintrittskarten (verantwortliche 1) und SPORTFIVE Germany GmbH für die Bereitstellung und den Betrieb der Plattform, sowie für den Onlinevertrieb für Business Kunden (Verantwortliche 2).
Die After Sales Plattform dient zur Bereitstellung und Verwaltung von VIP Tickets. Zur Nutzung der Plattform ist ein User/Login (account.bvb.de) notwendig. Die Hospitality App als Bestandteil der After Sales Plattform kann zudem auch ohne Login als „Gast“ verwendet werden. Unabhängig von den speziellen Informationen hier, finden Sie die allgemeine Datenschutzerklärung des Konzerns unter https://www.bvb.de/de/de/allgemein/datenschutz.html. Der grundsätzliche Umgang mit Newsletter, technischer Datenschutz & Social Media oder sonstigem IT-Kontakt wird unter https://www.bvb.de/de/de/allgemein/datenschutz.html#tabs-d116613840-item-2221a3657a-tab ausführlich dargestellt und es erfolgen Hinweise bei jeder Kontaktaufnahme.
II. Name und Anschrift der Verantwortlichen
Die Verantwortliche im Sinne der europäischen Datenschutz-Grundverordnung ist die
Verantwortliche 1
Borussia Dortmund GmbH & Co. KGaA (fortan: BVB)
Rheinlanddamm 207-209
44137 Dortmund
Deutschland
Tel.: 02 31 - 90 20 0
E-Mail: [email protected]
Website: www.bvb.de
Verantwortliche 2
SPORTFIVE Germany GmbH
Barcastraße 5,
22087 Hamburg
E-Mail: [email protected]
Website: www.sportfive.com
III. Kontaktdaten des Datenschutzbeauftragten
Sie erreichen den Datenschutzbeauftragten unter:
Rechtsanwalt Ulf Haumann LL.M.
c/o Borussia Dortmund GmbH & Co. KGaA
Rheinlanddamm 207-209
44137 Dortmund
Deutschland
Tel.: 02 31 - 90 20 0
E-Mail: [email protected]
Website: www.bvb.de
IV. Konkretes zu Ihren Daten
1. Art der Daten
Wir erheben und nutzen mit der After Sales Plattform folgende personenbezogene Daten, die an unseren Datenserver, der diese in sog. Logfiles speichert, übermittelt werden.
• Verwendetes Betriebssystem
• Version der App
• Gewählte Sprache in der App
• Geräte Bezeichnung
• Push Nachrichten Aktivierung
• Annahme der Datenschutzbestimmung
• Datum der Annahme der Datenschutzbestimmung
2. Zweck der Datenverarbeitung
Erhoben und verwendet werden Ihre personenbezogenen Daten grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Plattform sowie unserer Inhalte und Leistungen erforderlich ist. Die Registrierung der Zugriffe erfolgt aus Gründen der Datensicherheit und um die Stabilität und die Betriebssicherheit unseres Systems zu gewährleisten und gegen mögliche Angriffe von außen zu schützen. Außerdem werden die Daten zur Optimierung des Angebotes statistisch ausgewertet. Anhand der protokollierten Daten kann nicht nachvollzogen werden, auf welche Inhalte Sie zugegriffen oder welche Dateien Sie abgerufen haben. Die vorübergehende Erhebung der Daten ist erforderlich, um eine Auslieferung der Inhalte an die Endgeräte zu ermöglichen und deren Wiedergabe zu gewährleisten. Eine Zusammenführung dieser Daten mit anderen Datenquellen findet nicht statt.
3. Registrierung und Bestandsdaten
Bei der Nutzung der After Sales Plattform, werden Daten an unseren Datenserver übertragen, dort verarbeitet und – abhängig vom jeweiligen Dienst – in Ihrem Benutzerkonto gespeichert.
4. Nutzerkonto und Profilfoto
Zur Generierung eines Nutzerkontos und zur Verwaltung der individuellen Nutzereinstellungen Verarbeiten wir die folgenden Daten:
• Eindeutige Nutzererkennung (UUID)
• Passwort (verschlüsselt)
• Anrede, Vorname, Nachname
• E-Mail-Adresse
• Geburtsdatum
• Telefonnummer
• Postanschrift
• Zahlungs- und Rechnungsdaten
Die Verarbeitung erfolgt zur Bereitstellung der Funktionen des Benutzerkontos und ist für den sicheren Login und die Speicherung der Einstellungen erforderlich (Art. 6 Abs. 1 lit b) DSGVO). Weitere Daten zur Person des Nutzers z.B. Firma, Adresse, Telefonnummer, Profilfoto können durch die Nutzer optional angegeben werden und jederzeit wieder gelöscht werden. Die Verarbeitung erfolgt insofern auf Grundlage einer Einwilligung (Art. 6 Abs. 1 lit. a) DSGVO).
5. Branchenbuch und digitale Visitenkarte
Nutzer die als Ansprechpartner eines Partnerunternehmens geführt sind, haben die Möglichkeit, sich mit ihren Kontaktdaten freiwillig in das digitale Branchenbuch einzutragen. Dort sind diese Kontaktdaten für registrierte Nutzer im jeweiligen Unternehmenseintrag sichtbar. Die Verarbeitung erfolgt insofern auf Grundlage einer Einwilligung (Art. 6 Abs. 1 lit. a) DSGVO). Die Einwilligung kann der Nutzer jederzeit in seinen Profil-Einstellungen widerrufen, indem er seine Kontaktdaten wieder aus dem Branchenbuch austrägt.
6. Ticketverwaltung
a) BVB Business Kunden
Als Erwerber von digitalen Hospitality Tickets können Nutzer in der After Sales Plattform die Ticketverwaltung nutzen und u.a. digitale Tickets und Parkscheine für Heimspiele des BVB selbst beanspruchen oder Dritten zur Verfügung stellen. Dabei werden die folgenden Daten des jeweiligen Ticketinhabers verarbeitet:
• Vor- und Nachname oder Pseudonym
• Block, Reihe, Sitzplatz
• E-Mail-Adresse
• Protokollierung des Zutritts zum Stadion
Die Verarbeitung der Daten erfolgt zur Erfüllung des durch das Ticket verkörperten Besuchsrecht unter Geltung der ATGB und Stadionordnung des BVB und zum Versand des digitalen Tickets per E-Mail an den Ticketinhaber (Art. 6 Abs. 1 lit. b) DSGVO).
b) Sonderfall personalisierte Tickets
Auf Grund von besonderen Auflagen durch den Gesetzgeber, den ausrichtenden Verband oder die zuständigen Behörden kann es erforderlich sein, dass Tickets ausschließlich personalisiert ausgegeben werden und weitere Daten zum Ticketinhaber erhoben werden müssen (z.B. Namen und Kontaktdaten zur Nachverfolgung im Rahmen des Infektionsschutzes). Die Erhebung und Speicherung der Daten erfolgt dann auf Grundlage und unter den Voraussetzungen der jeweiligen verbandsrechtlichen oder öffentlich-rechtlichen Pflicht der der BVB unterliegt (Art. 6 Abs. 1 lit. b) oder c) DSGVO).
7. Einladungen
Über die Ticketverwaltung können Sie als Nutzer mit von ihnen erworbenen Tickets Dritte zu Heimspielen des BVB einladen und ihnen ein digitales Ticket zur Verfügung stellen. Der Gast erhält eine E-Mail und kann die Einladung annehmen oder ablehnen. Die Verarbeitung der Daten des Gastes erfolgt insoweit im berechtigten Interesse des BVB und des jeweiligen Business-Kunden, Einladungen über das digitale Ticketing versenden und Gästen digitale Tickets anbieten zu können (Art. 6 Abs. 1 lit. f) DSGVO). Lehnt der Gast die Einladung ab, kann er der Möglichkeit zukünftige Einladungen zu erhalten widersprechen. Nimmt der Gast die Einladung an erfolgt die weitere Verarbeitung seiner Daten zum Zweck der Vertragserfüllung (Art. 6 Abs. 1 lit. b) DSGVO).
8. Ticketanfragen, Allgemeine Anfragen
Als Nutzer haben Sie die Möglichkeit, über die Plattform Ticketanfragen oder sonstige Anfragen zu einzelnen Heimspielen an den BVB zu senden. Dabei werden Ihre Kontaktdaten (Name und E-Mail-Adresse, ggf. Telefonnummer) sowie der Inhalt der Anfrage (Anzahl der gewünschten Tickets und Nachricht) an die zuständigen Vertriebsmitarbeiter des BVB übermittelt, um die Anfrage zu bearbeiten (Art. 6 Abs. 1 lit. b) DSGVO).
V. Rechtsgrundlage (über die bereits im Einzelnen geschilderten hinaus)
1.Vertrag
Die Erfassung der Daten zur Bereitstellung und deren Speicherung ist für den Betrieb des Angebots zwingend erforderlich, dient damit unserer Vertragserfüllung und ist deshalb gemäß Art. 6 Abs. 1 UAbs. 1 lit b) DSGVO rechtmäßig.
2.Berechtigtes Interesse
Darüber hinaus können wir Nutzungsdaten auch zur statistischen Auswertung, zu Fehleranalysen sowie zur Gewährleistung der Sicherheit und Stabilität der Plattform auf Grundlage einer Interessenabwägung verwenden. Dies erfolgt zur Gewährleistung und Verbesserung der Stabilität und Funktionalität der Plattform und die Entdeckung und Verhinderung von Missbrauchsfällen und Angriffen zur Gewährleistung der Sicherheit unserer weiteren Systeme. Dahingehend haben wir ein berechtigtes Interesse, alle dazu nötigen Informationen zu verarbeiten und sind deshalb gemäß Art.6 Abs. 1 UAbs. 1 lit. f) DSGVO dazu berechtigt, sofern nicht Ihre Interessen an einer Geheimhaltung der Daten überwiegen. Grundsätzlich gehen Sicherheitsaspekte allerdings vor. Wir werden Sie im Rahmen unserer Direktwerbung über Angebote, Neuigkeiten, Spiele etc. informieren. Dies ist wegen unseres berechtigten Interesses gemäß Art.6 Abs. 1 UAbs. 1 lit. f) DSGVO ebenfalls rechtmäßig.
3.Einwilligung
Die Weitergabe Ihrer Daten zu Werbezwecken erfolgt gemäß Art. 6 Abs. 1 UAbs. 1 lit a) DSGVO nur mit Ihrer ausdrücklichen Einwilligung, die Sie jederzeit durch eine formlose Mitteilung an die oben genannte verantwortliche Stelle mit Wirkung für die Zukunft widerrufen können.
VI. Datensicherheit
Nach Maßgabe der gesetzlichen Vorgaben des Art. 32 DSGVO haben wir geeignete technische und organisatorische Maßnahmen getroffen, um ein dem Risiko angemessenes Schutzniveau für die im Rahmen der Nutzung der After Sales Plattform verarbeiteten personenbezogenen Daten zu gewährleisten. Dazu gehören u.a.:
• Kürzung von IP-Adressen: Sofern IP-Adressen im Rahmen der Nutzung der After Sales Plattformverarbeitet werden und die Verarbeitung einer vollständigen IP-Adresse nicht erforderlich ist, wird die IP-Adresse durch die Entfernung des letzten Zahlenpaares, bzw. -tripletts gekürzt. Damit wird die nachträgliche Identifizierung des Nutzers über die IP-Adresse verhindert.
• Verschlüsselung: Sowohl auf dem Endgerät als auch auf unseren Servern sind alle personenbezogenen Daten verschlüsselt gespeichert. Die Übermittlung von Daten zwischen dem Endgerät des Nutzers und unseren Servern erfolgt ebenfalls verschlüsselt.
Zudem werden – soweit nach den anwendbaren Datenschutzgesetzen erforderlich – weitere Schutzmaßnahmen (z.B. Verschlüsselung und zusätzliche vertragliche Regelungen) ergriffen, um ein angemessenes Schutzniveau für Ihre personenbezogenen Daten zu gewährleisten. Die verwendeten EU-Standardvertragsklauseln können Sie über die URL https://eurlex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32010D0087 abrufen.
VII. Datenübermittlung
Grundsätzlich werden Ihre Daten nicht übermittelt. In besonderen Fällen (z.B. zur Durchsetzung eines bundesweiten Stadionverbotes) ist dies allerdings erforderlich und in unseren AGB vertraglich geregelt. Eine Weitergabe personenbezogener Daten an Dritte erfolgt nur, soweit dies für die Vertragsabwicklung, insbesondere zur Bereitstellung der Dienste, notwendig ist. Wir nutzen zur Bereitstellung der Plattform Dienstleister aus dem Bereich IT-Dienstleistungen und Hosting sowie unseren Vermarkter, der SPORTFIVE Germany GmbH, Barcastraße 5 22087 Hamburg. Mit diesen Dienstleistern haben wir Vereinbarungen über die Verarbeitung von Daten in unserem Auftrag gemäß den Vorschriften der DSGVO geschlossen. Das Hosting der für den Betrieb der Plattform erforderlichen Server erfolgt durch: COMbridge IT Consulting GmbH. Darüber hinaus übermitteln wir Daten an weitere Dienstleister (z.B. Softwareunternehmen, Vertriebsdienstleister etc.) auf der Grundlage von Auftragsverarbeitungsverträgen gem. Art. 28 DSGVO.
Drittlandübermittlung der personenbezogenen Daten: Wir übermitteln zum Zwecke der oben genannten Datenverarbeitungen Ihre personenbezogenen Daten auch an Empfänger und ggf. Auftragsverarbeiter, die Ihren Sitz außerhalb der EU/EWR haben. Zur Gewährleistung eines angemessenen Schutzniveaus für Ihre personenbezogenen Daten schließt der BVB mit diesen Empfängern EU-Standardvertragsklauseln ab.
VIII. Speicherdauer
Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Dies ist für die Speicherung der Daten in Logfiles nach spätestens sieben Tagen der Fall. Eine darüberhinausgehende Speicherung bei unseren technischen Dienstleistern ist unter anderem zu statistischen Zwecken möglich. In diesem Fall wird die IP-Adresse gelöscht oder verfremdet, sodass eine Zuordnung des aufrufenden Geräts nicht mehr möglich ist. Im Übrigen dürfen wir Ihre personenbezogenen Daten erst löschen, wenn wir sie nicht mehr zur Erfüllung unserer vertraglichen und/oder gesetzlichen Pflichten brauchen. Rechnungsdaten dürfen z.B. erst nach Ablauf von 10 Jahren gelöscht werden.
IX. Ihre Rechte
Als betroffene Person haben Sie grundsätzlich
• das Recht auf Auskunft über Ihre verarbeitenden Daten nach Art. 15 DSGVO,
• das Recht auf Berichtigung Ihrer Daten nach Art. 16 DSGVO, sofern wir unrichtige Angaben zu Ihrer Person verarbeiten
• das Recht auf Löschung Ihrer Daten nach Art. 17 DSGVO, sofern wir die Daten nicht mehr benötigen und keine gesetzlichen Aufbewahrungszwecke dagegenstehen
• das Recht auf Einschränkung der Verarbeitung Ihrer Daten nach Art. 18 DSGVO, falls und solange Ihre Einwände gegen die Datenverarbeitung noch nicht geklärt wurden sowie
• das Recht auf Widerspruch gegen die Verarbeitung Ihrer Daten nach Art. 21 DSGVO, wenn wir Ihre Daten im Rahmen unseres überwiegenden Interesses verarbeiten. Das können Sie im Falle der Direktwerbung ohne Angabe von Gründen. Im Übrigen können Sie der Datenverarbeitung erfolgreich widersprechen, wenn in Ihrem Fall unseren und öffentlichen Interessen überragende persönliche Interessen Ihrerseits der Datenverarbeitung entgegenstehen.
Daneben haben Sie das Recht • auf Beschwerde bei der Aufsichtsbehörde (Art. 77 DSGVO), also der Landesbeauftragten für Informationsfreiheit und Datenschutz (LDI) (https://www.ldi.nrw.de/).
All diesen Rechten kommen wir stets nach. Sofern Sie dazu nähere Auskünfte wünschen, stellen wir Ihnen diese gern bereit. Dazu wenden Sie sich bitte an unseren oben genannten Datenschutzbeauftragten.
Den vollständigen Text der DSGVO finden Sie unter https://dsgvo-gesetz.de/ .