Datenschutzerklärung

Diese Datenschutzerklärung enthält Informationen über die Verarbeitung personenbezogener Daten durch den Datenverantwortlichen im Zusammenhang mit dem Betrieb seiner Website, der Erbringung von Dienstleistungen und der Kommunikation mit Nutzern und Partnern. Der Datenverantwortliche stellt sicher, dass die gesamte Verarbeitung personenbezogener Daten in Übereinstimmung mit der Datenschutz-Grundverordnung (DSGVO) und den geltenden nationalen Datenschutzgesetzen erfolgt.

Der Zweck dieses Dokuments besteht darin, Transparenz hinsichtlich der Arten der erhobenen Daten, der Rechtsgrundlagen und Zwecke der Verarbeitung, der zum Schutz personenbezogener Daten getroffenen Maßnahmen und der Rechte der betroffenen Personen zu gewährleisten. Personenbezogene Daten werden rechtmäßig, fair und in einer Weise verarbeitet, die eine angemessene Sicherheit, Vertraulichkeit und Integrität gewährleistet.

Mit dieser Datenschutzerklärung möchte der Verantwortliche alle betroffenen Personen über die wesentlichen Aspekte des Datenschutzes und die Verfahren informieren, die zur Einhaltung der gesetzlichen Verpflichtungen und bewährten Verfahren im Bereich der Datenverwaltung eingerichtet wurden.

Abschnitt I – Verantwortlicher und Kontaktdaten

Art. 1 (1) Diese Website für den Ticketverkauf wird verwaltet und betrieben von.
Name: Parnassus Immersive GmbH

Hauptsitz und Sitz der Gesellschaft: Günthergasse 3 Top 5a 1090 Wien

Korrespondenzadresse: Günthergasse 3 Top 5a 1090 Wien

E-Mail: office@light-of-creation.com
Tel.: +43 1 376 3399

(2) Informationen über die Aufsichtsbehörde für den Schutz personenbezogener Daten
Name: Österreichische Datenschutzbehörde

Adresse: Barichgasse 40–42, 1030 Wien, Österreich

Telefon: +43 1 52 152-0

Website:https://www.dsb.gv.at

E-Mail: dsb@dsb.gv.at

Abschnitt II – Begriffsbestimmungen

Art. 2 Für die Datenschutzerklärung sind die folgenden Begriffe gemäß den jeweiligen Definitionen auszulegen und zu verstehen.

  1. Personenbezogene Daten: Bezieht sich auf alle Informationen, die eine lebende Person direkt oder indirekt identifizieren können. Dazu gehören Angaben wie Name, Wohnadresse, E-Mail-Adresse, Identifikationsnummer, IP-Adresse oder alle Informationen, die die Identität einer bestimmten Person offenlegen könnten.
  2. Website: Dies ist eine einzigartige digitale Plattform, die weltweit über eine einheitliche URL (über Protokolle wie HTTP oder HTTPS) zugänglich ist und unsere Ressourcen hostet, darunter Dateien, Datenbanken, Textinhalte und Bildmaterial zur Förderung unseres Geschäfts.
  3. Verarbeitung: Jede Tätigkeit, die personenbezogene Daten betrifft, sei es manuell oder automatisiert. Dazu können das Erheben, Erfassen, Organisieren, Speichern, Anpassen, Abrufen, Verwenden, Weitergeben oder Löschen von Daten gehören.
  4. Datenverantwortlicher (Administrator): Die Person oder Organisation, die für die Erhebung, Verwaltung und Verarbeitung personenbezogener Daten verantwortlich ist. Dies kann eine Behörde, ein Unternehmen, eine Agentur oder eine Einrichtung sein, die allein oder mit anderen zusammenarbeitet.
  5. Datenschutzerklärungen: Hierbei handelt es sich um Offenlegungen, die Personen darüber informieren, wie ihre Daten verwendet werden. Sie können allgemeiner Natur sein, wie z. B. Hinweise auf unserer Website, oder sich auf bestimmte Verarbeitungsaktivitäten beziehen.
  6. Einwilligung: Eine informierte, spezifische und eindeutige Erklärung der Person, dass sie mit der Verarbeitung ihrer Daten einverstanden ist. Die Einwilligung kann durch eine schriftliche oder mündliche Erklärung oder durch eine eindeutige bestätigende Handlung erteilt werden.
  7. Anonymisierte Daten: Personenbezogene Daten, die so verändert wurden, dass die betroffene Person nicht mehr identifiziert werden kann.
  8. Betroffene Person: Die Person, deren personenbezogene Daten von uns erhoben, gespeichert oder verarbeitet werden. Dies ist die Person, auf die sich die Daten direkt beziehen.
  9. Datenverarbeiter: Jedes Unternehmen oder jede Person, die personenbezogene Daten für uns unter strikter Befolgung unserer Anweisungen verarbeitet. Diese können bei der Datenspeicherung, Analyse oder Kundenbetreuung helfen, verwenden die Daten jedoch nicht für ihre eigenen Zwecke.
  10. Datenspeicherung: Dies ist die Dauer, für die wir Ihre personenbezogenen Daten aufbewahren. Wir speichern Daten nur so lange, wie es zur Erfüllung ihres Zwecks erforderlich ist, sei es zur Erbringung einer Dienstleistung für Sie oder zur Erfüllung gesetzlicher Verpflichtungen. Sobald die Daten nicht mehr benötigt werden, werden sie gelöscht oder anonymisiert.
  11. Sicherheitsmaßnahmen: Wir schützen Ihre Daten vor unbefugtem Zugriff oder Missbrauch. Von sicheren Servern bis hin zur Verschlüsselung verwenden wir branchenübliche Verfahren, um Ihre Daten zu schützen und sicher zu verwahren.
  12. Rechte der betroffenen Personen: Sie haben bestimmte Rechte in Bezug auf Ihre personenbezogenen Daten. Dazu gehört das Recht, zu erfahren, welche Daten wir über Sie gespeichert haben, diese zu korrigieren, wenn sie falsch sind, ihre Löschung zu verlangen und uns aufzufordern, ihre Verwendung in bestimmter Weise einzuschränken oder einzustellen. Wir sind hier, um Ihnen bei der Ausübung dieser Rechte zu helfen.
  13. Grenzüberschreitende Datenübermittlung: Ihre Daten können in anderen Ländern gespeichert oder verarbeitet werden, in denen andere Datenschutzgesetze gelten. In diesem Fall stellen wir sicher, dass Ihre Daten sicher bleiben und genauso sicher behandelt werden wie in Ihrem Land.

Abschnitt III – Grundsätze der Datenverarbeitung

Art. 3 (1) Der Verantwortliche verarbeitet alle personenbezogenen Daten gemäß den Grundregeln der Verordnung (EU) 2016/679 und den Gesetzen des jeweiligen Landes. Diese Regeln gelten für alle Maßnahmen im Zusammenhang mit der Erhebung, Verwendung und Sicherung personenbezogener Daten auf der Ticketplattform.

(2) Der Verantwortliche verarbeitet personenbezogene Daten nur, wenn ein berechtigter rechtlicher Grund vorliegt und in einer Weise, die für die betroffene Person fair ist. Die Informationen darüber, wie und warum Daten verwendet werden, sind in einer leicht verständlichen Weise verfasst. Wenn ein Kunde beispielsweise ein Ticket kauft, teilt ihm der Verantwortliche mit, dass die Informationen benötigt werden, um das Ticket auszudrucken, die Zahlung abzuwickeln und sicherzustellen, dass er Zugang zur Veranstaltung erhält.

(3) Personenbezogene Daten werden für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und anschließend nicht in einer Weise verarbeitet, die diesen Zwecken zuwiderläuft. Beispielsweise werden die Informationen, die Sie beim Kauf eines Tickets angeben, nur zur Bestätigung Ihrer Bestellung, zur Überprüfung Ihrer Zahlung und zur Unterstützung bei Problemen verwendet. Sie werden nicht für andere Marketingzwecke verwendet, es sei denn, Sie erteilen eine separate Einwilligung.

Art. 4 (1) Der Verantwortliche stellt sicher, dass nur die Daten erhoben und verarbeitet werden, die zur Erreichung der angegebenen Ziele erforderlich sind. In der Praxis bedeutet dies, dass für die Ticketlieferung nur die wichtigsten Informationen benötigt werden. Dazu gehören der Name der Person, ihre Kontaktdaten und die Lieferadresse. Es werden keine zusätzlichen Informationen wie Krankenakten oder persönliche Präferenzen abgefragt.

(2) Der Verantwortliche unternimmt alles in seiner Macht Stehende, um sicherzustellen, dass alle gespeicherten personenbezogenen Daten korrekt und aktuell sind. Wenn ein Kunde beispielsweise seine Telefonnummer ändert, wird die alte Nummer ersetzt, damit er keine Benachrichtigungen über fehlgeschlagene Lieferungen erhält.

(3) Sofern gesetzlich nicht anders vorgeschrieben, werden personenbezogene Daten nur so lange gespeichert, wie es zur Erfüllung der Zwecke, für die sie erhoben wurden, erforderlich ist. Nach Ablauf der jeweiligen Aufbewahrungsfrist werden die Daten entweder sicher gelöscht oder anonymisiert. So werden beispielsweise Daten im Zusammenhang mit abgeschlossenen Ticketverkäufen nur für buchhalterische und rechtliche Zwecke aufbewahrt und anschließend gemäß den gesetzlichen Vorschriften gelöscht.

Art. 5 Der Verantwortliche ist für die Einhaltung dieser Grundsätze voll verantwortlich und kann diese Einhaltung durch eine Kombination aus schriftlichen Richtlinien, Mitarbeiterleitfäden und technischen Prüfpfaden nachweisen. Es werden regelmäßig interne Prüfungen durchgeführt, um sicherzustellen, dass die Praktiken im Umgang mit Daten den gesetzlichen und ethischen Verpflichtungen entsprechen.

(2) Die konsequente Anwendung dieser Grundsätze zeigt das Engagement des Verantwortlichen für den Schutz personenbezogener Daten und die Förderung des Vertrauens der betroffenen Personen. Jede Interaktion (z. B. vom Ticketkauf bis zur Kommunikation nach dem Verkauf) soll die Privatsphäre des Einzelnen respektieren und gleichzeitig die höchstmöglichen Datenschutzstandards gewährleisten.

Abschnitt IV – Kategorien personenbezogener Daten, Zwecke und Rechtsgrundlagen

Art. 6 (1) Der Verantwortliche verarbeitet verschiedene Arten von personenbezogenen Daten, die jeweils mit einem bestimmten Zweck, einer Rechtsgrundlage und einer Quelle verknüpft sind. In den folgenden Beschreibungen wird erläutert, wie die einzelnen Datenarten in der Praxis verwendet werden und welche Maßnahmen zum Schutz dieser Verwendung getroffen werden. 

  1. Identifikations- und Kontaktdaten 

Beispiele: vollständiger Name, Postanschrift, E-Mail-Adresse, Telefonnummer. 

Zweck: Erfüllung von Ticketbestellungen, Bestätigung der Zahlung und Ausstellung von Quittungen. 

Rechtsgrundlage: Artikel 6 Absatz 1 Buchstabe b DSGVO – Erfüllung eines Vertrags. 

Quelle: direkt von der betroffenen Person bei der Registrierung oder während des Bezahlvorgangs.

  1. Zahlungs- und Transaktionsdaten

Beispiele hierfür sind: Zahlungsart, Transaktions-ID, Rechnungsadresse und die letzten vier Ziffern der Kartennummer (maskiert).

Zweck: Zahlungsabwicklung, Betrugsbekämpfung und Erfüllung finanzieller Compliance-Verpflichtungen.

Rechtsgrundlage: Artikel 6 Absatz 1 Buchstabe b – erforderlich für die Erfüllung eines Vertrags; Artikel 6 Absatz 1 Buchstabe c – zur Erfüllung einer rechtlichen Verpflichtung für Buchhaltungs- und Steuerzwecke.

Quelle: von der betroffenen Person und sicher über lizenzierte Zahlungsabwickler übertragen.

Abhilfemaßnahme: Zahlungsdaten sollten niemals im Klartext gespeichert werden, und es werden nur geprüfte Verarbeiter eingesetzt, die sich an das PCI-DSS-Modell halten.

  1. Technische Daten und Gerätedaten

Beispiele hierfür sind: IP-Adresse, Browsertyp, Betriebssystem, Gerätekennungen, Cookies und Protokolldaten.

Zweck: Aufrechterhaltung der Website-Sicherheit, Wahrung der Systemintegrität und Messung der Website-Leistung.

Rechtsgrundlage: Artikel 6 Absatz 1 Buchstabe f – berechtigtes Interesse an der Sicherung und Optimierung von Online-Diensten. 

Quelle: durch automatische Erfassung vom Gerät der betroffenen Person.

Berechtigtes Interesse: Diese Daten erleichtern die Betrugsbekämpfung sowie System- und Leistungsverbesserungen, ohne dass Personen über das erforderliche Maß hinaus identifiziert werden. 

  1. Marketing- und Kommunikationsoptionen

Beispiele: Anmeldung zum Newsletter, Benachrichtigungen zu Veranstaltungen, Zustimmung zum Erhalt von Marketingmitteilungen und gewünschte Kommunikationssprache.

Zweck: Bereitstellung von Marketinginformationen und maßgeschneiderten Updates auf der Grundlage Ihrer angegebenen Präferenzen.

Rechtsgrundlage: Artikel 6 Absatz 1 Buchstabe a – Einwilligung. 

Quelle: direkt von der betroffenen Person über die Website.

Widerruf: Sie können Ihre Einwilligung jederzeit über den Abmeldelink widerrufen, ohne dass dies Auswirkungen auf Ihre Nutzung des Dienstes hat.

  1. Kundensupport-Daten

Beispiele: Kommunikationsverlauf, eingereichte Beschwerden, Inhalt von Feedback oder Vorschlägen.

Zweck: Beantwortung von Anfragen, Bereitstellung von technischem Support oder Beilegung von Streitigkeiten.

Rechtsgrundlage: Artikel 6 Absatz 1 Buchstabe b – erforderlich für die Erfüllung eines Vertrags; Artikel 6 Absatz 1 Buchstabe f – berechtigtes Interesse an der Verbesserung der Kundenerfahrung. 

Quelle: direkt von der betroffenen Person per E-Mail oder Chat-Kommunikation. 

Abwägungstest: Die Verarbeitung ist erforderlich, um Dienstleistungen effektiv zu erbringen und/oder die Zufriedenheit der Nutzer zu gewährleisten, während diese Verarbeitung dazu beiträgt, die Vertraulichkeit zu wahren, indem der Zugriff auf autorisierte Personen beschränkt und die Aufbewahrung von Daten begrenzt wird.

Abschnitt V – Besondere Kategorien personenbezogener Daten

Art. 7 (1) Der Verantwortliche erhebt oder verarbeitet KEINE besonderen Kategorien personenbezogener Daten im Sinne von Artikel 9 der Verordnung (EU) 2016/679, einschließlich, aber nicht beschränkt auf Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, die Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer Person, Daten über die Gesundheit oder Daten über das Sexualleben oder die sexuelle Orientierung einer Person hervorgehen.

(2) Zur Klarstellung: Beispiele für Daten, die unter besondere Kategorien fallen, sind unter anderem Krankenakten, Impfstatus, Behinderungsdiagnosen, Ergebnisse von Gentests und biometrische Vorlagen, die zur Identifizierung verwendet werden, sowie Aussagen zu religiösen Überzeugungen. Sensible Daten unterliegen strengeren Vorschriften und technischen Anforderungen, wenn ihre Verarbeitung gesetzlich vorgeschrieben ist.

(3) Grundsatz der Nicht-Erhebung. Der Verantwortliche fordert nur Daten an, die für die Ticketausstellung, die Zahlung, die Lieferung und den Kundensupport erforderlich sind. Personenbezogene Daten, die für diese Zwecke nicht erforderlich sind, einschließlich der oben aufgeführten besonderen Kategorien, werden im Rahmen der normalen Verarbeitungstätigkeiten nicht angefordert, gespeichert oder verwendet.

(4) Anfragen von Dritten und Veranstaltern. Wenn ein Veranstaltungsorganisator Informationen anfordert, um besondere Dienstleistungen zu erbringen (z. B. Vorkehrungen für die Barrierefreiheit des Veranstaltungsortes), fordert der Verantwortliche keine detaillierten sensiblen Informationen an und speichert diese auch nicht. Vielmehr verlangt der Verantwortliche vom Veranstaltungsorganisator, dass er alle erforderlichen sensiblen Informationen direkt von der betroffenen Person einholt und dem Verantwortlichen nur eine Bestätigung über angemessene Vorkehrungen übermittelt, ohne sensible, detaillierte Informationen weiterzuleiten. Der Verantwortliche handelt jederzeit, falls erforderlich, nur auf der Grundlage begrenzter, überprüfbarer Informationen und speichert keine sensiblen Informationen.

Art. 8 Für den Fall, dass der Verantwortliche Daten besonderer Kategorien verarbeitet, erfolgt diese Verarbeitung nur, wenn eine bestimmte Rechtsgrundlage gemäß Artikel 9 Absatz 2 DSGVO vorliegt (z. B. ausdrückliche Einwilligung gemäß Art. 9 Absatz 2 Buchstabe a oder, falls zutreffend, ein durch das einschlägige Recht zulässiger Grund von erheblichem öffentlichem Interesse). Jede Verarbeitung unterliegt einer dokumentierten Begründung oder einem zweckgebundenen Umfang und umfasst mindestens die folgenden zusätzlichen Garantien:

  1. Verschlüsselung von gespeicherten und übertragenen Daten mit starken, branchenüblichen Verschlüsselungsalgorithmen;
  2. Strenge rollenbasierte Zugriffskontrollen, die die Sichtbarkeit der Daten auf benannte, autorisierte Mitarbeiter beschränken;          
  3. Aufbewahrungsfrist, die auf das erforderliche Minimum beschränkt ist, und sofortige Löschung nach Ablauf oder Widerruf der Einwilligung; und
  4. Protokollierung und Prüfpfade zur Feststellung von Zugriffs- und Verarbeitungsvorgängen.

Art. 9 (1) Da der Verantwortliche routinemäßig keine sensiblen Datenkategorien erhebt, werden für solche Daten keine allgemeinen Einwilligungsmechanismen verwendet. Sollte jemals eine Verarbeitung auf der Grundlage einer ausdrücklichen Einwilligung erforderlich sein, würde der Verantwortliche eine separate, dokumentierte Einwilligung einholen, die spezifisch, eindeutig und freiwillig erteilt ist, und aufzeichnen, wer wann und zu welchem genauen Zweck seine Einwilligung erteilt hat.

(2) Die betroffenen Personen werden darüber informiert, dass sie sich an den Verantwortlichen wenden können, um zu bestätigen, ob sensible Daten gespeichert sind, gegebenenfalls deren Löschung zu beantragen und alle anderen Rechte gemäß den geltenden Datenschutzgesetzen auszuüben. Die Kontaktdaten und Anweisungen für solche Anfragen sind an anderer Stelle in dieser Richtlinie aufgeführt.

(3) Die Ticketvergabe des Verantwortlichen ist so konzipiert, dass die Erhebung und Speicherung sensibler personenbezogener Daten vermieden wird. Dieser Ansatz verringert das Datenschutzrisiko für die betroffenen Personen und unterstützt die unkomplizierte Einhaltung der Anforderungen von Artikel 9 DSGVO.

Art. 10 (1) Der Verantwortliche führt keine Automatisierung durch, die Entscheidungen mit rechtlichen Folgen für die betroffene Person trifft oder die betroffene Person in anderer Weise erheblich beeinträchtigt, wie in Artikel 22 der Verordnung (EU) 2016/679 dargelegt.

(2) Es werden keine algorithmischen Entscheidungen getroffen, die verbindlichen Charakter haben, wie z. B. die Festlegung des Zugangs zu Veranstaltungen, die Genehmigung von Zahlungen oder die Verarbeitung von Ticketpreisen, die einen Menschen ausschließen. Jede Transaktion und Bestätigung einer Bestellung durchläuft einen Qualitätssicherungsprozess, der von autorisiertem Personal oder integrierten Systemen durchgeführt wird, die feste, nichtdiskriminierende Regeln anwenden.

Art. 11 (1) Der Verantwortliche kann in begrenztem Umfang automatisierte Verarbeitungen im Zusammenhang mit der Profilerstellung für die Erbringung von Dienstleistungen einsetzen. Dazu gehören das Speichern bevorzugter Veranstaltungskategorien, die Werbung für ähnliche Konzerte oder die Identifizierung von Veranstaltungsorten auf der Grundlage früherer Käufe. Diese Verarbeitung beschränkt sich auf die Verbesserung der Benutzererfahrung und hat keine Auswirkungen auf die Rechtsstellung oder den Vertragsstatus.

(2) Die zugrunde liegende Logik dieser automatisierten Empfehlungen ist einfach: Die Daten werden auf der Grundlage der grundlegenden Kaufhistorie oder des Surfverhaltens ausgewertet, und dem Nutzer werden relevante Angebote zur Auswahl gestellt. Es werden keine besonderen Datenkategorien verwendet, und die Empfehlungen sind freiwillig.

(3) Die Rechtsgrundlage für diese Art der Profilerstellung ist Artikel 6 Absatz 1 Buchstabe f DSGVO – das berechtigte Interesse des Verantwortlichen, den Nutzern relevante Inhalte zu präsentieren. Die potenziellen Auswirkungen auf die betroffenen Personen sind minimal, da die Maßnahmen des Systems keinen Einfluss auf Preise, Verfügbarkeit oder Rechte haben. Die betroffenen Personen können solche Empfehlungen jederzeit über die Datenschutzeinstellungen oder durch Kontaktaufnahme mit dem Verantwortlichen ignorieren oder ablehnen.

(4) Um Fairness zu gewährleisten, führt der Verantwortliche interne Audits dieser automatisierten Systeme durch, um sicherzustellen, dass sie nicht zu Ungerechtigkeiten oder Voreingenommenheit führen. Die Profiling-Logik stützt sich nicht auf Informationen wie Geschlecht, nationale Herkunft, Religion oder andere geschützte Kategorien. Die für diese Funktionen verwendeten Daten werden nach Möglichkeit pseudonymisiert und unter strengen Zugriffskontrollen getrennt gespeichert.

(5) Die betroffene Person hat das Recht, der Verwendung von Profiling für Marketing- oder Empfehlungszwecke zu widersprechen. Bei Widerspruch deaktiviert der Verantwortliche die unmittelbar damit verbundene automatisierte Verarbeitung für die betroffene Person und bestätigt unverzüglich, dass sie „ausgeschaltet” wurde.

(6)  Derzeit bestätigt der Verantwortliche, dass keine der automatisierten Funktionen innerhalb seines Ticketverkaufs Auswirkungen hat, die unter Artikel 22 DSGVO fallen. Alle automatisierten Funktionen dienen ausschließlich der Benutzerfreundlichkeit und der Verbesserung des Service und unterliegen der menschlichen Aufsicht.

Abschnitt VI – Aufbewahrungsfristen

Art. 12 (1) Der Verantwortliche legt die Dauer der Aufbewahrung jeder Kategorie personenbezogener Daten auf der Grundlage der Merkmale der Informationen und des Zwecks ihrer Erhebung fest. Die Aufbewahrungsfrist entspricht den geltenden gesetzlichen oder vertraglichen Verpflichtungen. Der allgemeine Grundsatz lautet, dass Daten nur so lange gespeichert werden, wie ein legitimer und klarer Zweck besteht.

(2) In der Praxis werden personenbezogene Daten für den Ticketverkauf, Zahlungsvorgänge und Kundeninteraktionen nach einem festgelegten Aufbewahrungsplan bewertet. Für jede Kategorie gibt es entweder eine festgelegte maximale Aufbewahrungsfrist oder, falls dies nicht möglich ist, objektive Kriterien für die Löschung oder Anonymisierung der Daten.

(3) Der Verantwortliche wendet diese Aufbewahrungsfristen einheitlich an, lässt jedoch Abweichungen zu, wenn vertragliche Bestimmungen, Gesetze oder berechtigte Interessen eine längere oder kürzere Aufbewahrung der Daten erfordern.

Art. 13 (1) Identifizierungs- und Kontaktdaten, einschließlich Name, Adresse und E-Mail-Adresse, werden für einen Zeitraum von fünf Jahren ab dem Datum der Kaufabwicklung gespeichert. Dieser Zeitraum entspricht der geltenden Verjährungsfrist für die meisten vertraglichen Ansprüche und der fortgesetzten Bereitstellung von Kundensupport für Fragen oder Rückerstattungsanträge nach dem Kauf.

(2) Zahlungs- und Rechnungsdaten werden gemäß den nationalen Rechnungslegungsvorschriften für die letzten sieben Jahre aufbewahrt. Zahlungsdaten können maskierte Kartenreferenzen und Transaktionskennungen enthalten. Nach sieben Jahren werden die Daten sowohl aus den aktiven Systemen als auch aus den sicheren Archiven gelöscht.

(4) Ticketing-Aufzeichnungen werden nach Ende der Veranstaltung fünf Jahre lang aufbewahrt, einschließlich Bestellbestätigungen, Veranstaltungsdetails und Sendungsverfolgung. Damit soll sichergestellt werden, dass der Verantwortliche die Teilnahme überprüfen oder später auf mögliche Streitigkeiten reagieren kann. 

Art. 14 (1) Marketing- und Kommunikationspräferenzen werden auf der Grundlage der Einwilligung so lange gespeichert, bis die betroffene Person ihre Einwilligung widerruft oder drei Jahre lang keine Aktivität stattgefunden hat. Sobald die Einwilligung widerrufen wird, stellt der Verantwortliche den Versand von Werbematerial ein und speichert nur noch eine anonymisierte Aufzeichnung der betroffenen Person in einer Unterdrückungsliste, um sicherzustellen, dass die betroffene Person nicht erneut kontaktiert wird.

(2) Analytische Identifikatoren und technische Protokolle unterliegen einer wesentlich kürzeren Aufbewahrungsfrist. Sitzungscookies verfallen, sobald der Browser geschlossen wird, während persistente Cookies und Analyse-Identifikatoren nicht länger als vierundzwanzig Monate gespeichert werden. Serverprotokolle werden nach neunzig Tagen gelöscht, es sei denn, eine Untersuchung erfordert ihre Aufbewahrung.

(3) Die Kundenkommunikation wird nach Abschluss des Falls für einen Zeitraum von drei Jahren gespeichert, um Qualitätskontrollen durchzuführen und nachzuweisen, dass die Anfrage angemessen bearbeitet wurde. 

Art. 15 (1) Nach Ablauf der Aufbewahrungsfrist löscht der Verantwortliche die Daten entweder endgültig oder wandelt sie in anonymisierte Daten um, die nicht mehr zu einer betroffenen Person zurückverfolgt werden können. Wann immer dies möglich ist, erfolgt die Löschung automatisch und wird in archivierten Systemen manuell überprüft. 

(2) Unter bestimmten Umständen können Daten, die aufgrund von Steuerprüfungen oder anderen rechtlichen Gründen noch nicht gelöscht werden dürfen, in einen verschlüsselten Archivspeicher mit beschränktem Zugriff übertragen werden, solange der rechtliche Grund besteht. Nach Ablauf des rechtlichen Grundes werden die archivierten Daten unverzüglich gelöscht.

(3) Um die Nachvollziehbarkeit zu gewährleisten, werden alle Löschungen und Anonymisierungsvorgänge im Rahmen des internen Auditprozesses protokolliert und überprüft. 

(4) Aggregierte Daten, die bereits anonymisiert wurden, können unbegrenzt aufbewahrt werden, da sie nicht mehr der Definition von personenbezogenen Daten entsprechen und die Privatsphäre der betroffenen Personen nicht beeinträchtigen können.

Art. 16 (1) Sollte eine betroffene Person vor Ablauf der Standardfrist eine Löschung beantragen, prüft der Verantwortliche, ob rechtliche Gründe vorliegen, die einer sofortigen Löschung entgegenstehen. Kann die Löschung nicht festgestellt werden, sperrt er den Zugriff auf die Daten, und diese Informationen bleiben gesperrt, bis die Löschung gesetzlich zulässig ist.

(2) Wenn eine betroffene Person die Löschung ihrer Daten beantragt, kann sie außerdem verlangen, dass ihr eine Kopie ihrer Daten in einem strukturierten Format zur Verfügung gestellt wird, sofern die Bedingungen für die Datenübertragbarkeit erfüllt sind.

(3) Alle Anträge auf Löschung oder Zugriff werden vom Verantwortlichen intern protokolliert, um die Einhaltung der Vorschriften nachzuweisen und eine erneute Verarbeitung der gelöschten Daten zu verhindern.

Art. 17 (1) Backup-Systeme, die ebenfalls personenbezogene Daten enthalten können, werden ausschließlich zur Unterstützung der Wiederherstellung von Daten im Falle eines technischen Ausfalls oder eines Cybervorfalls aufbewahrt. Alle Backups sind verschlüsselt und werden unabhängig von den operativen Datenbanken gespeichert. Die Aufbewahrungsfrist für eine Sicherungskopie der Datei beträgt in der Regel sechs Monate, danach wird die Datei automatisch überschrieben.

(2) Im Falle von Gerichtsverfahren oder behördlichen Ermittlungen kann der Verantwortliche die Löschung der für den Fall relevanten Datensätze aussetzen, bis eine Frist abgelaufen ist, die zur Erfüllung einer Verpflichtung oder zur Verteidigung eines Anspruchs erforderlich ist.

(3) Sobald diese Angelegenheit geklärt ist, werden die ausgesetzten Datensätze gemäß dem vorgesehenen Zeitrahmen gelöscht und die Unterlagen, die den Grund für die Aussetzung dokumentieren, aufbewahrt. 

Art. 18 (1) Die Aufbewahrungsfristen sind variabel. Der Verantwortliche überprüft die Aufbewahrungsfristen bei jeder Gesetzesänderung oder Änderung der Geschäftsprozesse. Wenn kürzere Fristen den rechtlichen und betrieblichen Zwecken der Speicherung genügen, wird der Aufbewahrungsplan entsprechend geändert.

(2) Weitere Unterlagen zu den Überprüfungen umfassen die Dokumentation der Gründe für die Aufbewahrungsfrist oder Änderungen, die unter die Dokumentationspflichten des Verantwortlichen gemäß Artikel 5 Absatz 2 DSGVO fallen.

(3) Dieser Rahmen ermöglicht es dem Verantwortlichen, nachzuweisen, dass personenbezogene Daten nicht länger als erforderlich gespeichert werden, dass die Verarbeitung der Unterlagen transparent ist und dass ein protokollierter, überprüfbarer Löschungsprozess vorhanden ist.

Abschnitt VII – Rechte der betroffenen Personen

Art. 19 (1) Jede betroffene Person hat gemäß der Verordnung (EU) 2016/679 eine Reihe von Rechten, die zum Schutz personenbezogener Daten und zur Kontrolle der Verwendung ihrer Daten durch die betroffenen Personen dienen. Diese Rechte können einfach und kostenlos ausgeübt werden. Der Verantwortliche beantwortet alle gültigen Anfragen innerhalb eines Monats nach Eingang. In komplexen Fällen oder wenn viele Anfragen gleichzeitig eingehen, kann diese Frist um bis zu zwei weitere Monate verlängert werden, wobei die betroffene Person über den Grund für die Verzögerung informiert wird.

(2) Der Verantwortliche nimmt seine Verpflichtung, die Ausübung dieser Rechte zu erleichtern, ernst. Es wurden mehrere zugängliche Kanäle für die Einreichung von Anfragen eingerichtet, und es gibt angemessene Überprüfungsverfahren, um die Identität des Antragstellers zu bestätigen, bevor personenbezogene Daten freigegeben oder Änderungen an Datensätzen vorgenommen werden.

(3) Die Ausübung eines der unten beschriebenen Rechte hat keinen Einfluss auf den Zugang zu den über die Plattform angebotenen Kernleistungen des Ticketkaufs. Der Verantwortliche wird Personen, die sich für die Ausübung ihrer gesetzlichen Rechte entscheiden, niemals benachteiligen oder diskriminieren.

Art. 20 (1) Die betroffene Person hat das Recht, vom Verantwortlichen eine Bestätigung darüber zu erhalten, ob sie betreffende personenbezogene Daten verarbeitet werden. Dieses Recht ermöglicht es Personen, zu erfahren, ob ihre Daten vom Verantwortlichen gespeichert und verwendet werden.

(2) Werden personenbezogene Daten verarbeitet, hat die betroffene Person das Recht, auf diese Daten zuzugreifen und Informationen zu erhalten über:

  1. die Zwecke, für die die Daten verarbeitet werden;
  2. die Kategorien der betreffenden personenbezogenen Daten;
  3. die Empfänger oder Kategorien von Empfängern, denen die Daten offengelegt wurden oder werden;
  4. die voraussichtliche Dauer der Speicherung der Daten oder die Kriterien zur Festlegung dieser Dauer;
  5. das Bestehen weiterer Rechte wie das Recht auf Berichtigung, Löschung, Einschränkung oder Widerspruch;
  6. Das Recht, eine Beschwerde bei der Kommission für den Schutz personenbezogener Daten einzureichen;
  7. Wenn die Daten nicht direkt von der betroffenen Person erhoben wurden, alle verfügbaren Informationen über ihre Quelle;
  8. Das Vorhandensein einer automatisierten Entscheidungsfindung, einschließlich Profiling, und aussagekräftige Informationen über die zugrunde liegende Logik.

(3) Eine Kopie der personenbezogenen Daten, die verarbeitet werden, wird kostenlos zur Verfügung gestellt. Für weitere Kopien, die von derselben betroffenen Person angefordert werden, kann der Verantwortliche eine angemessene Gebühr auf der Grundlage der Verwaltungskosten erheben.

(4) Der Verantwortliche kann zusätzliche Informationen anfordern, um die Identität des Antragstellers zu überprüfen, insbesondere wenn der Antrag über eine andere E-Mail-Adresse gestellt wird, die nicht in der Datenbank enthalten ist. Dieser Überprüfungsschritt schützt vor der unbefugten Weitergabe personenbezogener Daten an Dritte.

Art. 21 (1) Die betroffene Person hat das Recht, vom Verantwortlichen unverzüglich die Berichtigung unrichtiger personenbezogener Daten zu verlangen. Dieses Recht gewährleistet, dass die Aufzeichnungen korrekt und aktuell bleiben.

(2) Der Verantwortliche teilt jede Berichtigung jedem Empfänger mit, dem die personenbezogenen Daten offengelegt wurden, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Auf Antrag wird die betroffene Person über diese Empfänger informiert.

Art. 22 (1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass personenbezogene Daten unverzüglich gelöscht werden. Dieses Recht wird manchmal als „Recht auf Vergessenwerden” bezeichnet. Der Verantwortliche ist verpflichtet, personenbezogene Daten zu löschen, wenn einer der folgenden Gründe zutrifft:

  1. Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder anderweitig verarbeitet wurden, nicht mehr erforderlich;
  2. Die betroffene Person widerruft ihre Einwilligung, auf der die Verarbeitung beruht, und es gibt keine andere Rechtsgrundlage für die Verarbeitung;
  3. Die betroffene Person wendet sich gegen die Verarbeitung aufgrund berechtigter Interessen, und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor;
  4. Die betroffene Person widerspricht der Verarbeitung zu Direktmarketingzwecken;
  5. Die personenbezogenen Daten wurden unrechtmäßig verarbeitet;
  6. Die personenbezogenen Daten müssen zur Erfüllung einer rechtlichen Verpflichtung nach österreichischem oder europäischem Recht gelöscht werden.

(2) Das Recht auf Löschung gilt nicht, soweit die Verarbeitung erforderlich ist für:

  1. die Erfüllung einer rechtlichen Verpflichtung, die eine Verarbeitung nach EU- oder österreichischem Recht erfordert;
  2. die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen;
  3. Archivierungszwecke im öffentlichen Interesse, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke, wenn die Löschung die Erreichung dieser Ziele wahrscheinlich unmöglich machen oder ernsthaft beeinträchtigen würde.

(3) Vor der Bearbeitung eines Löschungsantrags kann der Verantwortliche die betroffene Person auffordern, ihre Identität und den Umfang der Löschung zu bestätigen, um eine versehentliche oder betrügerische Löschung von Daten anderer Personen zu verhindern.

(4) Nach erfolgreicher Löschung teilt der Verantwortliche der betroffenen Person schriftlich mit, dass die angeforderten Daten gelöscht wurden, und informiert alle Dritten, denen die Daten offengelegt wurden, es sei denn, eine solche Benachrichtigung ist unmöglich oder mit unverhältnismäßigem Aufwand verbunden.

Art. 23 (1) Die betroffene Person hat das Recht, vom Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:

  1. Die Richtigkeit der personenbezogenen Daten wird von der betroffenen Person bestritten, und zwar für einen Zeitraum, der es dem Verantwortlichen ermöglicht, die Richtigkeit der Daten zu überprüfen;
  2. Die Verarbeitung ist unrechtmäßig, und die betroffene Person lehnt die Löschung der Daten ab und verlangt stattdessen die Einschränkung ihrer Nutzung;
  3. Der Verantwortliche benötigt die personenbezogenen Daten für die Zwecke der Verarbeitung nicht mehr, sie werden jedoch von der betroffenen Person zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt;
  4. Die betroffene Person hat der Verarbeitung aufgrund berechtigter Interessen widersprochen, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.

(2) Wurde die Verarbeitung gemäß Absatz 1 eingeschränkt, dürfen diese personenbezogenen Daten – von ihrer Speicherung abgesehen – nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses verarbeitet werden.

Art. 24 (1) Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie dem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Darüber hinaus hat die betroffene Person das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen zu übermitteln, sofern

  1. die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht und
  2. die Verarbeitung mithilfe automatisierter Verfahren erfolgt.

(2) Bei der Ausübung des Rechts auf Datenübertragbarkeit hat die betroffene Person das Recht, die personenbezogenen Daten direkt von einem Verantwortlichen an einen anderen übertragen zu lassen, sofern dies technisch machbar ist.

(3) Die im Rahmen dieses Rechts bereitgestellten Daten umfassen nur personenbezogene Daten, die die betroffene Person aktiv bereitgestellt hat oder die durch die Nutzung des Dienstes beobachtet wurden. Das Recht erstreckt sich nicht auf abgeleitete oder abgeleitete Daten, die vom Verantwortlichen durch Analysen oder Algorithmen erstellt wurden.

(4) Für die Datenübertragbarkeit werden in der Regel die folgenden Formate verwendet:

  1. CSV (Comma-Separated Values) für tabellarische Daten wie Kaufhistorie;
  2. JSON (JavaScript Object Notation) für strukturierte Daten, die leicht in andere Systeme importiert werden können;
  3. XML (Extensible Markup Language) auf ausdrücklichen Wunsch;
  4. Das PDF-Format kann als menschenlesbare Ergänzung angeboten werden, gilt jedoch nicht als maschinenlesbar für Zwecke der Portabilität.

(6) Der Verantwortliche stellt die angeforderten Daten innerhalb eines Monats nach Eingang der Anfrage zur Verfügung. Bei großen Datensätzen oder komplexen Extraktionsprozessen kann diese Frist nach vorheriger Benachrichtigung der betroffenen Person um zwei weitere Monate verlängert werden.

Art. 25 (1) Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung personenbezogener Daten, die auf berechtigten Interessen oder der Wahrnehmung einer Aufgabe im öffentlichen Interesse beruht, Widerspruch einzulegen. Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

(2) Werden personenbezogene Daten für Direktmarketingzwecke verarbeitet, hat die betroffene Person das Recht, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten für solche Marketingzwecke Widerspruch einzulegen. Dieses Recht ist absolut, und der Verantwortliche muss die Verarbeitung für diese Zwecke unverzüglich nach Erhalt eines Widerspruchs einstellen.

(3) Bei Widerspruch gegen die Verarbeitung aufgrund berechtigter Interessen prüft der Verantwortliche den Antrag innerhalb eines Monats und unterrichtet die betroffene Person über das Ergebnis. Wird dem Widerspruch stattgegeben, wird die Verarbeitung eingestellt. Liegen zwingende berechtigte Gründe vor, die den Widerspruch überwiegen, erläutert der Verantwortliche diese Gründe ausführlich.

(4) Werden Daten direkt bei der betroffenen Person erhoben, wird sie spätestens zum Zeitpunkt der ersten Kommunikation ausdrücklich auf ihr Widerspruchsrecht hingewiesen, und zwar klar und deutlich und getrennt von anderen Informationen.

Art. 26 (1) Die betroffene Person hat das Recht, nicht einer Entscheidung unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruht und ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Dieses Recht schützt Personen vor potenziell schädlichen Entscheidungen, die ohne menschliches Zutun getroffen werden.

(2) Das Verbot in Absatz 1 gilt nicht, wenn die Entscheidung

  1. für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist;
  2. durch das Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt und das geeignete Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person vorsieht, zugelassen ist;
  3. auf der ausdrücklichen Einwilligung der betroffenen Person beruht.

(3) In Fällen, in denen eine automatisierte Entscheidungsfindung auf der Grundlage einer ausdrücklichen Einwilligung oder einer vertraglichen Notwendigkeit erfolgt, trifft der Verantwortliche geeignete Maßnahmen, um die Rechte der betroffenen Person zu wahren, darunter mindestens das Recht, menschliches Eingreifen zu erwirken, ihren Standpunkt darzulegen und die Entscheidung anzufechten.

Art. 27 (1) Beruht die Verarbeitung auf einer Einwilligung, hat die betroffene Person das Recht, die Einwilligung jederzeit zu widerrufen. Der Widerruf der Einwilligung hat keinen Einfluss auf die Rechtmäßigkeit der Verarbeitung auf der Grundlage der Einwilligung vor deren Widerruf.

(2) Die Einwilligung muss ebenso einfach widerrufen werden können wie sie erteilt wurde. Dieser Grundsatz stellt sicher, dass Personen nicht durch aufwändige Verfahren davon abgehalten werden, die Kontrolle über ihre Daten auszuüben.

(3) Der Verantwortliche bearbeitet Widerrufsanträge unverzüglich nach Erhalt. Bei E-Mail-Marketing werden Abmeldeanträge in der Regel innerhalb von 48 Stunden bearbeitet. Bei anderen Arten des Widerrufs der Einwilligung wird die Verarbeitung innerhalb von fünf Werktagen eingestellt.

(4) Nach dem Widerruf der Einwilligung wird der Verantwortliche:

  1. die auf dieser Einwilligung beruhende Verarbeitung unverzüglich einstellen;
  2. eine Bestätigung an die betroffene Person senden, dass der Widerruf bearbeitet wurde;
  3. die Daten nur dann weiter zu verarbeiten, wenn eine andere Rechtsgrundlage vorliegt (z. B. vertragliche Notwendigkeit oder gesetzliche Verpflichtung);
  4. Daten löschen, die ausschließlich auf der Grundlage der widerrufenen Einwilligung erhoben wurden, es sei denn, eine Aufbewahrung ist gesetzlich vorgeschrieben.

(5) Der Widerruf der Einwilligung hat keinen Einfluss auf den Zugang zu den Kerndiensten der Plattform. So hindert beispielsweise der Widerruf der Einwilligung zum Erhalt von Marketing-E-Mails die betroffene Person nicht daran, Tickets zu kaufen oder für die Auftragsabwicklung erforderliche Transaktionsmitteilungen zu erhalten.

Art. 28 (1) Alle in diesem Abschnitt beschriebenen Rechte können kostenlos ausgeübt werden. Der Verantwortliche erhebt keine Gebühren für die Bearbeitung berechtigter Anträge auf Zugang, Berichtigung, Löschung, Einschränkung, Übertragung oder Widerspruch gegen die Verarbeitung personenbezogener Daten.

(2) Sind Anträge einer betroffenen Person jedoch offensichtlich unbegründet oder übermäßig, insbesondere aufgrund ihres wiederholten Charakters, kann der Verantwortliche entweder

  1. eine angemessene Gebühr unter Berücksichtigung der Verwaltungskosten für die Bereitstellung der Informationen oder die Durchführung der angeforderten Maßnahmen erheben oder
  2. die Bearbeitung der Anfrage ablehnen.

(3) Die Beweislast dafür, dass ein Antrag offensichtlich unbegründet oder übertrieben ist, liegt beim Verantwortlichen.

(4) Der Verantwortliche kann zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person, die den Antrag stellt, erforderlich sind. Diese Maßnahme schützt personenbezogene Daten vor der Weitergabe an unbefugte Personen und stellt sicher, dass Änderungen nur von der berechtigten betroffenen Person vorgenommen werden.

Art. 29 (1) Wird ein Antrag abgelehnt, teilt der Verantwortliche der betroffenen Person die Gründe für die Ablehnung und die Möglichkeit mit, eine Beschwerde bei der Kommission für den Schutz personenbezogener Daten einzureichen und Rechtsmittel einzulegen.

(2) Der Verantwortliche gibt klare Erklärungen für etwaige Einschränkungen oder Ablehnungen unter Angabe der spezifischen geltenden Rechtsvorschriften. Transparenz in solchen Situationen erhält das Vertrauen auch dann aufrecht, wenn einem Antrag nicht vollständig stattgegeben werden kann.

Art. 30 (1) Der Verantwortliche hat interne Verfahren eingerichtet, um alle Anträge auf Ausübung der Rechte der betroffenen Person zu verfolgen und eine zeitnahe Beantwortung und ordnungsgemäße Dokumentation sicherzustellen. Diese Verfahren umfassen:

  1. Ein spezielles Postfach (office@light-of-creation.com ), das täglich überprüft wird;
  2. Ein Ticketingsystem, das jeder Anfrage eine eindeutige Referenznummer zuweist;
  3. Eine automatische Bestätigung, die innerhalb von 48 Stunden nach Eingang an die betroffene Person gesendet wird;
  4. Regelmäßige Schulungen für Mitarbeiter, die Anfragen zu Rechten bearbeiten, um eine einheitliche und rechtmäßige Behandlung sicherzustellen;
  5. Eskalationsprotokolle für komplexe Fälle oder Streitigkeiten.

(2) Der Verantwortliche bewahrt alle Anträge auf Ausübung von Rechten und die entsprechenden Antworten für einen Zeitraum von drei Jahren auf, um die Rechenschaftspflicht zu erfüllen und die Einhaltung der Datenschutzverpflichtungen nachzuweisen.

Abschnitt VIII – Datenempfänger und Weitergabe an Dritte

Art. 31 (1) Der Verantwortliche stellt personenbezogene Daten nur dann Dritten zur Verfügung, wenn diese Dritten diese Informationen zur Erfüllung der in Abschnitt IV beschriebenen Zwecke der Verarbeitung benötigen und wenn eine Rechtsgrundlage für eine solche Weitergabe besteht. Der Verantwortliche gewährleistet, dass alle Empfänger personenbezogener Daten qualifizierte Auftragsverarbeiter sind und ausreichende Garantien bieten, dass sie geeignete technische und organisatorische Maßnahmen zum Schutz dieser personenbezogenen Daten getroffen haben.

(2) Die Beziehungen zu Auftragsverarbeitern werden durch schriftliche Vereinbarungen (Auftragsverarbeitungsverträge) formalisiert, die die Empfänger zur Einhaltung der Verordnung (EU) 2016/679 verpflichten und sie dazu verpflichten, nur die vom Verantwortlichen dokumentierten Informationen zu verarbeiten.

(3) Derzeit geht der Verantwortliche keine Vereinbarungen über die gemeinsame Verantwortlichkeit gemäß Artikel 26 der DSGVO ein. Sollte in Zukunft eine gemeinsame Verantwortlichkeit in Betracht gezogen werden, werden die Informationen in dieser Richtlinie aktualisiert, um die Identität der gemeinsam Verantwortlichen, die Kontaktinformationen und die Schlüsselverteilung der Verantwortlichkeiten gemäß Artikel 26 sowie die Angabe, welcher gemeinsam Verantwortliche zur Ausübung der Rechte kontaktiert werden kann, bereitzustellen.

Art. 32 (1) Die folgenden Arten von Empfängern verarbeiten personenbezogene Daten im Auftrag des Verantwortlichen, um den Vertrag gemäß Artikel 6 Absatz 1 Buchstabe b der DSGVO zu erfüllen.

  1. Zahlungsdienstleister: Diese Empfänger erhalten die Daten, die zur Verarbeitung und Authentifizierung von Finanztransaktionen beim Kauf von Tickets erforderlich sind. Bei den übermittelten Daten handelt es sich in der Regel um den Namen und die E-Mail-Adresse der betroffenen Person, den Betrag der Transaktion und die Angaben zur verwendeten Zahlungsmethode. Zahlungsdienstleister agieren als unabhängige Verantwortliche für die Zahlungsabwicklung und Betrugsbekämpfung im Rahmen ihrer eigenen gesetzlichen Verpflichtungen in Verbindung mit der Einwilligung nach Aufklärung. Der Verantwortliche speichert keine vollständigen Zahlungskartendaten; diese werden direkt von PCI-zertifizierten Zahlungsdienstleistern gemäß ihren eigenen Vertraulichkeitsvereinbarungen mit Kunden erfasst und verarbeitet.
  2. Hosting- und IT-Infrastrukturanbieter: Technische Dienstleister hosten die Server und Datenbanken der Plattform und gewährleisten die kontinuierliche Verfügbarkeit und Leistungsfähigkeit des Systems. Diese Anbieter haben Zugriff auf alle auf der Plattform gespeicherten Datenkategorien, darunter unter anderem Kontaktdaten, Kaufhistorie und technische Daten wie IP-Adressen und Sitzungsprotokolle. Diese Anbieter fungieren als Datenverarbeiter, die den Anweisungen des Verantwortlichen folgen und vertraglich verpflichtet sind, branchenübliche Maßnahmen zum Schutz der Daten zu ergreifen, darunter unter anderem Verschlüsselung, Zugriffskontrollen und regelmäßige Sicherheitsaudits.

(2) Der Verantwortliche führt regelmäßige Bewertungen aller Auftragsverarbeitungsvereinbarungen durch, um deren fortlaufende Einhaltung der Datenschutzverpflichtungen und angemessene Sicherheitsvorkehrungen sicherzustellen.

Art. 33 (1) Die folgenden Empfänger führen die Verarbeitung personenbezogener Daten zum Zweck der Unterstützung des Verantwortlichen bei der Erfüllung seiner gesetzlichen Verpflichtungen gemäß Artikel 6 Absatz 1 Buchstabe c der DSGVO durch: 

  1. Anbieter von Buchhaltungs- und Rechnungsführungsdienstleistungen: Externe Buchhaltungsunternehmen erhalten personenbezogene Daten aus Rechnungen und Transaktionsaufzeichnungen, darunter Namen, Adressen und Informationen zu den finanziellen Details des Verantwortlichen. Diese Verarbeitung ist erforderlich, damit der Verantwortliche seinen gesetzlichen Verpflichtungen im Zusammenhang mit Steuer- und Rechnungslegungsgesetzen gemäß österreichischem Recht nachkommen kann, das vorschreibt, dass Finanzunterlagen für bestimmte Zeiträume gemäß den Steuer- und Rechnungslegungspflichten aufzubewahren sind. Buchhaltungsdienstleister agieren in ihrer Eigenschaft als Auftragsverarbeiter und unterliegen dabei der beruflichen Schweigepflicht sowie den vertraglich festgelegten Datenschutzanforderungen. 
  2. Anbieter von Rechtsberatungsdienstleistungen: Anwaltskanzleien oder Rechtsberater können personenbezogene Daten wie Namen, Kontaktdaten, Briefe und Transaktionsaktivitäten erhalten, wenn der Verantwortliche rechtliche Beratung in Bezug auf die Einhaltung von Rechtsvorschriften, vertragliche Streitigkeiten oder die rechtliche Begründung, Ausübung oder Verteidigung eines Rechtsanspruchs benötigt. Rechtsberater unterliegen der beruflichen Schweigepflicht und dürfen daher Daten nur auf der Grundlage der dokumentierten Anweisungen des Verantwortlichen verarbeiten.
  3. Staatliche Behörden und Aufsichtsbehörden: Der Verantwortliche gibt personenbezogene Daten an staatliche Behörden, einschließlich der Kommission für den Schutz personenbezogener Daten, der nationalen Steuerbehörde oder der Justiz, nur in dem Umfang weiter, wie dies nach geltendem Recht und den geltenden Verfahren erforderlich ist, um die Einhaltung der Vorschriften zu gewährleisten. Die Weitergabe erfolgt im Rahmen der geltenden Gesetze und nur insoweit, als dies für die Ausübung der gesetzlichen Befugnisse der öffentlichen Stelle erforderlich ist.

Art. 34 (1) Die folgenden Empfänger stehen im Zusammenhang mit den berechtigten Interessen des Verantwortlichen gemäß Artikel 6 Absatz 1 Buchstabe f der DSGVO:

  1. Anbieter von Customer-Relationship-Management-Plattformen (CRM): Einige Softwareunternehmen bieten CRM-Softwarelösungen an, die ihnen den Zugriff auf begrenzte Informationen wie Kontaktdaten, Kaufhistorie und Interaktionsberichte mit Kunden ermöglichen, um diese Kundenbeziehungen effizienter zu verwalten, sicherzustellen, dass Bestellungen korrekt versandt werden, und um sicherzustellen, dass der Service auf organisatorischer Ebene bei der Pflege von Informationen über die Kunden effizient funktioniert. Die berechtigten Interessen beziehen sich auf die Pflege organisierter Kundendaten und die effiziente Förderung eines reaktionsschnellen Service. Die CRM-Dienstleister agieren als Datenverarbeiter mit eingeschränkten Zugriffsrechten und dürfen personenbezogene Daten nicht für eigene Zwecke verwenden.
  2. Analyse- und Leistungsüberwachungsdienste: Der Verantwortliche verwendet Analysetools, um die Nutzung der Plattform zu überwachen und technische Probleme oder Schwierigkeiten für mögliche Verbesserungen zu identifizieren. Diese Analysetools erfassen technische Daten wie IP-Adressen, Browsertypen, Seitenaufrufe und Nutzerwege. Das berechtigte Interesse des Verantwortlichen besteht darin, sicherzustellen, dass die Plattform ordnungsgemäß funktioniert, sicher ist und den Nutzern ein optimales Erlebnis bietet. Diese Dienstleister agieren als Datenverarbeiter und verarbeiten die Daten, soweit möglich, in pseudonymisierter Form.

(2) In Bezug auf die gesamte Verarbeitung der personenbezogenen Daten der betroffenen Personen auf der Grundlage berechtigter Interessen hat der Verantwortliche eine Abwägungsprüfung durchgeführt und festgestellt, dass die Interessen des Verantwortlichen nicht die Interessen und Grundrechte und Grundfreiheiten der betroffenen Personen überwiegen. Es gibt Schutzmaßnahmen wie vertragliche Verpflichtungen, technische Beschränkungen der Datenoffenlegung und eine klare Benachrichtigung der betroffenen Personen über die Verarbeitung ihrer Daten im Zusammenhang mit diesen Interessen.

Art. 35 (1) Die folgenden Empfänger können personenbezogene Daten auf der Grundlage der ausdrücklichen Einwilligung der betroffenen Person gemäß Artikel 6 Absatz 1 Buchstabe a der DSGVO verarbeiten:

  1. Marketing- und E-Mail-Kommunikationsplattformen: Wenn eine betroffene Person dem Erhalt eines Newsletters, von Werbeangeboten oder Veranstaltungshinweisen zustimmt, werden ihre E-Mail-Adresse und ihr Name an einen bestimmten E-Mail-Marketing- und Kommunikationsanbieter weitergegeben. Die Aufgabe des E-Mail-Marketing- und Kommunikationsdienstleisters besteht im Versand, der Nachverfolgung und der Verwaltung von Marketingmitteilungen. Die Einwilligung kann jederzeit über den Abmeldelink in jeder versendeten Marketing-E-Mail widerrufen werden. Dies führt zu einer sofortigen Einstellung der Weitergabe von Daten für Marketingzwecke, ohne dass eine erneute Einwilligung erforderlich ist.

(2) Ohne vorherige ausdrückliche Zustimmung werden keine Daten an Marketing- oder Werbepartner oder Dritte weitergegeben. Der Verantwortliche verkauft oder vermietet keine personenbezogenen Daten an Dritte zur Verwendung für unabhängige Marketing- oder Werbezwecke.

Art. 36 (1) Alle Datenverarbeiter und Empfänger sind gegenüber dem Verantwortlichen vertraglich verpflichtet:

  1. personenbezogene Daten nur auf dokumentierte Anweisung des Verantwortlichen zu verarbeiten;
  2. Personen, die zur Verarbeitung personenbezogener Daten befugt sind, zur Vertraulichkeit zu verpflichten;
  3. die erforderlichen technischen und organisatorischen Sicherheitsmaßnahmen zu ergreifen; 
  4. den Verantwortlichen bei der Beantwortung von Anfragen der betroffenen Personen zu unterstützen;
  5. Nach Abschluss der Dienstleistungen alle personenbezogenen Daten zu löschen oder zurückzugeben, sofern keine Aufbewahrungspflicht besteht;
  6. Dem Verantwortlichen und seinen benannten Prüfern alle Informationen zur Verfügung stellen, die zur Nachweisführung und Prüfung erforderlich sind;
  7. Den Verantwortlichen unverzüglich über alle Sicherheitsvorfälle oder Datenschutzverletzungen usw. informieren.

(2) Der Verantwortliche führt vor der Beauftragung eines Auftragsverarbeiters eine Due-Diligence-Prüfung jedes potenziellen Auftragsverarbeiters durch und überprüft dessen technische Fähigkeiten, etablierte Sicherheits- und Datenschutzpraktiken und -verfahren, Compliance-Bilanz und Vertragsbedingungen.

Art. 37 (1) Betroffene Personen haben das Recht, Auskunft über die konkreten Empfänger zu verlangen, an die ihre personenbezogenen Daten weitergegeben wurden. Der Datenverantwortliche wird diese Anfragen gemäß dem in Abschnitt VIII dargelegten Verfahren zum Auskunftsrecht beantworten. 

(2) Befindet sich der Empfänger außerhalb des Europäischen Wirtschaftsraums, gelten zusätzliche Schutzmaßnahmen. Siehe Abschnitt IX bezüglich internationaler Übermittlungen.

Abschnitt IX – Internationale Übermittlungen

Art. 38 (1) Der Verantwortliche ist bestrebt, personenbezogene Daten nur innerhalb des Gebiets der Europäischen Union und des Europäischen Wirtschaftsraums zu verarbeiten, wo gemäß der Verordnung (EU) 2016/679 ein einheitlicher Datenschutz gewährleistet ist. Dieser Ansatz verringert einige Risiken des grenzüberschreitenden Datenverkehrs und sorgt für eine einheitlichere Regelung.

(2) Dennoch verfügen einige der vom Verantwortlichen beauftragten technischen Dienstleister über Einrichtungen oder Betriebe in Ländern außerhalb des EWR. Wenn Übermittlungen stattfinden, trifft der Verantwortliche Vorkehrungen, um das Datenschutzniveau und die Durchsetzung der Rechte der betroffenen Personen nicht zu beeinträchtigen.

(3) Übermittlungen in Drittländer erfolgen nur auf der Grundlage einer der in Kapitel V der DSGVO definierten Rechtsgrundlagen und nach Prüfung der Rechtslage und der praktischen Umsetzung im Empfängerland.

Art. 39 (1) Die folgenden Drittländer oder Regionen können personenbezogene Daten im Zusammenhang mit den in dieser Richtlinie beschriebenen Diensten erhalten:

  1. Vereinigte Staaten von Amerika: Einige der vom Verantwortlichen genutzten Softwareplattformen, Cloud-Infrastrukturen und Hosting-Anbieter haben ihre Server oder Einrichtungen zur Verarbeitung personenbezogener Daten in den USA. Zu den Daten, die in die USA übertragen werden können, gehören Kontaktinformationen, Kaufhistorie, technische Protokolle und benutzergenerierte Inhalte, die die Cloud-gehosteten Plattformen benötigen, um für den Benutzer zu funktionieren. 
  2. Vereinigtes Königreich: Nach dem Austritt aus der Europäischen Union unterliegen Übermittlungen in das Vereinigte Königreich nun der Angemessenheitsentscheidung der Europäischen Kommission, die bestätigt, dass das Vereinigte Königreich ein ausreichendes Datenschutzniveau bietet. Ein in Großbritannien ansässiger Dienstleister kann Mitteilungen im Zusammenhang mit dem Kundensupport und technischen Daten verarbeiten. 
  3. Andere Rechtsordnungen: Wenn der Verantwortliche weitere Dienstleister in anderen Drittländern oder Rechtsordnungen beauftragt, wird diese Richtlinie entsprechend geändert und auf der Grundlage der neuen Übermittlungsorte und der eingesetzten Mechanismen und Schutzmaßnahmen bekannt gegeben. 

(2) Die oben aufgeführten Länder können sich ändern, wenn der Verantwortliche Dienstleister bewertet und auswählt. Die betroffenen Personen werden über wesentliche Änderungen, die sich auf internationale Übermittlungen auswirken, durch Aktualisierungen dieser Richtlinie informiert.

Art. 40 (1) Bei Übermittlungen in Länder, für die keine Angemessenheitsentscheidung der Europäischen Kommission vorliegt, stützt sich der Verantwortliche auf die folgenden rechtlichen Mechanismen - Standardvertragsklauseln (SCCs): Der Verantwortliche hat am 4. Juni 2021 die Standardvertragsklauseln der Europäischen Kommission (Durchführungsbeschluss 2021/914 der Kommission) mit allen Datenverarbeitern in Drittländern vereinbart. Standardvertragsklauseln (SCCs) sind rechtsverbindliche Verträge, die den Empfänger der personenbezogenen Daten verpflichten, diese Daten gemäß europäischem Recht zu schützen, und den betroffenen Personen durchsetzbare Rechte einräumen.

(2) Der Verantwortliche wendet außerdem technische, organisatorische und/oder vertragliche Zusatzmaßnahmen an, um auf die im Rahmen der Transfer-Folgenabschätzungen identifizierten Risiken zu reagieren, insbesondere auf die Überlegungen, die der Gerichtshof in Schrems II (Rechtssache C-311/18) angestellt hat.

(3) Der Verantwortliche stützt sich nicht auf Mechanismen, die für ungültig erklärt wurden oder nicht mehr angemessen sind, wie beispielsweise das EU-US-Datenschutzschild.

Art. 41 (1) Vor der Übermittlung in ein Drittland nutzt der Verantwortliche das Verfahren der Folgenabschätzung für die Übermittlung, um den Rechtsrahmen des Empfängerlandes zu prüfen und festzustellen, ob in der Praxis ein angemessener Schutz besteht. Bei der Bewertung werden folgende Aspekte berücksichtigt:

  1. die Rechtsvorschriften, die den Zugang von Behörden, Nachrichtendiensten und Strafverfolgungsbehörden zu personenbezogenen Daten regeln, die in dieses Land übermittelt werden;
  2. den Umfang wirksamer Rechtsbehelfe für betroffene Personen im Falle eines unrechtmäßigen Zugriffs oder einer unrechtmäßigen Verarbeitung;
  3. die praktische Anwendung und Durchsetzung dieser Gesetze auf der Grundlage dokumentierter Fälle, Berichten von Aufsichtsbehörden und Berichten unabhängiger Sachverständiger;
  4. die Wirksamkeit vertraglicher und technischer Maßnahmen zur Verhinderung oder Minderung des unbefugten Zugriffs durch staatliche Behörden.

(2) In Bezug auf Übermittlungen in die Vereinigten Staaten hat der Verantwortliche die Auswirkungen der US-Überwachungsgesetze, einschließlich Abschnitt 702 des Foreign Intelligence Surveillance Act und der Executive Order 12333, speziell bewertet und festgestellt, dass die ergänzenden Maßnahmen ausreichen, um einen im Wesentlichen gleichwertigen Schutz zu gewährleisten.

(3) Der Verantwortliche überprüft und aktualisiert die Übermittlungsfolgenabschätzungen mindestens zweimal pro Jahr oder unverzüglich, wenn im Empfängerland Rechtsvorschriften erlassen werden, die sich auf die Datenschutzgarantien auswirken können. Die Unterlagen zu den Abschätzungen werden zu Dokumentationszwecken aufbewahrt und der Aufsichtsbehörde auf deren Anfrage hin zur Verfügung gestellt.

Abschnitt XI – Sicherheitsmaßnahmen

Art. 42 (1) Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen für ein dem Risiko angemessenes Sicherheitsniveau, das angemessene Garantien gegen unbefugte oder unrechtmäßige Verarbeitung und gegen zufälligen Verlust, Zerstörung oder Beschädigung bietet.

(2) Der Sicherheitsansatz besteht darin, die Risiken für die Rechte und Freiheiten der betroffenen Personen unter Berücksichtigung der Art, des Umfangs, des Kontexts und des Zwecks der Verarbeitung sowie der Wahrscheinlichkeit und Schwere potenzieller Risiken ständig zu bewerten. 

(3) Die Sicherheitsmaßnahmen werden regelmäßig überprüft und bei Bedarf verbessert, wobei technologische Entwicklungen, neue Bedrohungen sowie die aus Sicherheitsvorfällen gewonnenen Erkenntnisse berücksichtigt werden. Darüber hinaus stellt der Verantwortliche angemessene Ressourcen zur Aufrechterhaltung und Verbesserung der Datenschutzfähigkeiten bereit.

Art. 43 (1) Der Verantwortliche wendet die folgenden technischen Sicherheitsmaßnahmen an:

  1. Verschlüsselung: Alle zwischen den Geräten der betroffenen Personen und der Plattform übertragenen Daten werden durch SSL/TLS-Protokolle geschützt, wodurch sichere Kommunikationskanäle gewährleistet sind. Sensible personenbezogene Daten, die in Datenbanken gespeichert sind, werden mit branchenüblichen Algorithmen verschlüsselt, um sie für Unbefugte unlesbar zu machen.
  2. Sensible personenbezogene Daten in Datenbanken werden mit branchenüblichen Verschlüsselungsalgorithmen verschlüsselt, um die Wahrscheinlichkeit auszuschließen, dass sie für Unbefugte lesbar werden.
  3. Zugriffskontrollen: Der Zugriff auf personenbezogene Daten wird durch persönliche Benutzeranmeldedaten in Form von Benutzernamen und sicheren Passwörtern eingeschränkt. Es gibt Authentifizierungsprozesse, um die Identität von Personen zu bestätigen, die versuchen, auf Systeme mit personenbezogenen Daten zuzugreifen. Der Zugriff wird nach dem Prinzip der geringsten Privilegien gewährt, was bedeutet, dass Mitarbeiter nur Zugriff auf Daten erhalten, die sie zur Erfüllung ihrer Aufgaben benötigen.
  4. Systemintegrität und -verfügbarkeit: Der Verantwortliche verwendet Firewalls, Intrusion-Detection-Systeme und Anti-Malware-Software, um Schutz vor externen Angriffen und unbefugtem Zugriff zu bieten. Regelmäßige Updates der Computersoftware und Sicherheitsupdates/Patches werden zeitnah für bekannte Schwachstellen durchgeführt.
  5. Sicherung und Wiederherstellung: Es werden regelmäßig automatisierte Sicherungsverfahren durchgeführt, um sicherzustellen, dass personenbezogene Daten im Falle eines Systemausfalls, einer Datenbeschädigung oder eines Sicherheitsangriffs rechtzeitig gesichert werden können. 

Artikel 44 (1) Der Verantwortliche hat die folgenden organisatorischen Sicherheitsmaßnahmen getroffen:

  1. Zugriffsminimierung: Die Mitarbeiter erhalten nur Zugriff auf personenbezogene Daten, die für die Ausübung ihrer beruflichen Tätigkeit erforderlich sind. Beispielsweise können Kundendienstmitarbeiter Kontaktinformationen und die Bestellhistorie einsehen, die sich auf die Verwaltung der Kundenanforderungen beschränken; sie haben keinen Zugriff auf Finanzsysteme und können Zahlungsinformationen nicht vollständig identifizieren.
  2. Schulung und Sensibilisierung: Alle Mitarbeiter, die auf personenbezogene Daten zugreifen, werden zu den Themen DSGVO, Datenschutzrichtlinien und -verfahren der Organisation, einschließlich Sicherheitsverfahren, sowie zu ihren Verantwortlichkeiten als Mitarbeiter der Organisation geschult. Diese Schulung findet jährlich statt und wird aktualisiert, sobald sich wesentliche Änderungen an den Prozessen oder Gesetzen ergeben. Neue Mitarbeiter erhalten bei ihrer Einstellung und vor dem Zugriff auf Systeme, die personenbezogene Daten enthalten, eine Datenschutzschulung. 
  3. Vertraulichkeit: Jeder Mitarbeiter, Auftragnehmer oder Dienstleister, der Zugang zu personenbezogenen Daten hat, muss eine Vertraulichkeitsvereinbarung unterzeichnen, die die Weitergabe oder anderweitige Verwendung dieser Daten untersagt. Diese Vertraulichkeitsverpflichtungen gelten auch über das Beschäftigungsverhältnis oder das Vertragsverhältnis mit der Organisation hinaus. 

Art. 45 (1) Zu den Methoden zur Sicherheitsprüfung und -bewertung gehören:

  1. Regelmäßige interne Audits zur Sicherstellung der Einhaltung von Sicherheitsrichtlinien und zur Identifizierung potenzieller Schwachstellen in Prozessen oder Systemen;
  2. Regelmäßige Penetrationstests, die von qualifizierten Fachleuten durchgeführt werden, um Angriffsszenarien zu simulieren und die Wirksamkeit von Abwehrmaßnahmen zu bewerten;
  3. Schwachstellenscans, um technische Schwachstellen in Software und Infrastruktur aufzudecken, die von böswilligen Akteuren ausgenutzt werden könnten;
  4. Überprüfung von Zugriffsprotokollen und Systemaktivitäten, um Muster ungewöhnlicher Aktivitäten zu identifizieren, die auf Sicherheitsvorfälle oder Verstöße gegen Richtlinien hinweisen könnten.

(2) Die Ergebnisse der Sicherheitsbewertung werden umgehend analysiert und Korrekturmaßnahmen entsprechend der Schwere des Risikos priorisiert. Der Controller überwacht die Abhilfemaßnahmen und verfolgt die Bemühungen zur Minderung der Schwachstellen innerhalb eines angemessenen Zeitrahmens. 

Abschnitt XII – Sicherheitsverletzungen

Art. 46 (1) Der Verantwortliche hat Verfahren zur Erkennung, Meldung und Reaktion auf Verletzungen des Schutzes personenbezogener Daten festgelegt. Die Verfahren stellen sicher, dass Verletzungen schnell eingedämmt, die Auswirkungen ordnungsgemäß bewertet und, falls erforderlich, die Aufsichtsbehörde und die betroffenen Personen benachrichtigt werden.

(2) Im Falle einer Datenschutzverletzung prüft der Verantwortliche, ob die Verletzung wahrscheinlich ein Risiko für die Rechte und Freiheiten von Personen darstellt. 

(3) Wenn die Verletzung wahrscheinlich zu einer Gefährdung der Rechte und Freiheiten einer Person führt, benachrichtigt der Verantwortliche, sofern es nicht unwahrscheinlich ist, dass die Verletzung eine Gefahr für die Rechte und Freiheiten von Personen darstellt, die Kommission für den Schutz personenbezogener Daten innerhalb von 72 Stunden nach Bekanntwerden der Verletzung. Wenn die Benachrichtigung nicht innerhalb von 72 Stunden erfolgen kann, legt der Verantwortliche eine Erklärung für die Verzögerung bei der Meldung der Verletzung vor.

(4) Wenn die Verletzung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten einer Person darstellt, muss der Verantwortliche die betroffenen Personen unverzüglich, in der Regel innerhalb von 48 bis 72 Stunden, benachrichtigen. Die Benachrichtigung der betroffenen Personen muss Folgendes enthalten:

  1. eine klare Beschreibung der Art der Verletzung und des Zeitpunkts ihres Auftretens;
  2. die Kategorien und die ungefähre Anzahl der betroffenen betroffenen Personen und Datensätze;
  3. die wahrscheinlichen Folgen der Verletzung;
  4. die vom Verantwortlichen getroffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und zur Minderung ihrer Auswirkungen;

(5) Der Verantwortliche führt ein Verzeichnis aller Datenschutzverletzungen, in dem die Fakten, Auswirkungen und ergriffenen Abhilfemaßnahmen dokumentiert sind. Dieses Verzeichnis steht der Aufsichtsbehörde zur Einsichtnahme zur Verfügung und dient als Teil der Nachweisdokumentation.

Abschnitt XIII – Cookies und Tracking-Technologien

Art. 49 (1) Der Verantwortliche verwendet Cookies und andere ähnliche Tracking-Technologien, um die Benutzererfahrung beim Besuch der Plattform zu verbessern, die Nutzung durch Besucher zu analysieren und die angezeigten Inhalte individuell anzupassen. Cookies sind kleine Textdateien, die beim Surfen auf der Website auf dem Gerät der betroffenen Person abgelegt werden und es unserem System ermöglichen, das Gerät bei Ihrer Rückkehr auf die Website wiederzuerkennen und die vom Benutzer ausgewählten Funktions- oder Designoptionen zu speichern.

(2) Andere Tracking-Technologien, die den individuellen Browser oder das Gerät identifizieren können, sind Tracking-Pixel, lokale Speicherobjekte und andere digitale Marker mit einem ähnlichen Zweck wie Cookies.

(3) Ein vollständiges und regelmäßig aktualisiertes Verzeichnis aller verwendeten Tracking-Tools wird in Entwicklungsbereichen öffentlich zugänglich gemacht, einschließlich Informationen über den Ersteller, die Lebensdauer und die spezifischen Verwendungszwecke. Jedes Cookie, einschließlich seines Namens, seiner Kategorie und seines Ablaufdatums sowie der spezifischen gesammelten Daten, ist auch in der Cookie-Richtlinie zu finden.

Artikel 50 (1) Bevor die betroffenen Personen die Funktionen der Plattform nutzen, erscheint ein Cookie-Einwilligungsbanner, das die betroffenen Personen über die Verwendung verschiedener Arten von Tracking-Technologien informiert und ihnen mitteilt, dass sie die Möglichkeit haben, allen Tracking-Technologien, die nicht unbedingt erforderlich sind, zuzustimmen oder diese abzulehnen.

(2) Die betroffenen Personen können aus den folgenden Einwilligungsoptionen wählen:

  1. „Alle akzeptieren“ bedeutet die Zustimmung zur Verwendung aller Cookie-Kategorien;
  2. „Alle ablehnen“ oder „Nur wesentliche“ bedeutet die Ablehnung aller Tracking-Technologien mit Ausnahme derjenigen, die für den grundlegenden Betrieb der Plattform unbedingt erforderlich sind; oder
  3. Die Schaltfläche „Einstellungen anpassen“ leitet zu einem Informations-Einstellungscenter weiter, in dem eine detailliertere Auswahl nach Kategorien möglich ist.

(3) Die von den betroffenen Personen erteilte Zustimmung zur Verwendung von Cookies ist für einen Zeitraum von 12 Monaten gültig. Nach Ablauf dieser Frist werden die betroffenen Personen bei ihrer Rückkehr auf die Plattform aufgefordert, ihre Einstellungen zu erneuern. 

(4) Die betroffenen Personen können ihre Cookie-Einstellungen jederzeit ändern über:

  1. Cookie-Einstellungscenter, indem sie auf einen Link mit der Bezeichnung „Cookie-Einstellungen“ oder ähnlichem klicken, der auf jeder Seite der Plattform deutlich sichtbar ist;
  2. die Browsereinstellungen auf ihrem Gerät, die eine vollständige Deaktivierung oder Löschung von Cookies ermöglichen, was jedoch die Funktionalität von Websites beeinträchtigen kann.

Art. 52 (1) Der Verantwortliche ist berechtigt, Drittanbieter zu nutzen, die ihre eigenen Cookies und/oder ähnliche Tracking-Mechanismen auf der Plattform einsetzen können. Zu diesen Dritten können Dienstleister gehören, die Analysen, Werbenetzwerke und Social-Media-Anwendungen anbieten, die das Teilen oder Integrieren von Inhalten ermöglichen.

(2) Wenn Daten über diese Kanäle außerhalb des Europäischen Wirtschaftsraums übertragen wurden, setzt der Verantwortliche rechtliche Mechanismen und zusätzliche Sicherheitsvorkehrungen für solche Übertragungen ein, wie in Abschnitt IX dieser Richtlinie beschrieben.

(3) Links zu den Datenschutzrichtlinien führender Drittanbieter von Cookies sind im Cookie-Einstellungscenter sowie in der umfassenden Cookie-Richtlinie verfügbar, sodass sich die betroffenen Personen darüber informieren können, wie diese externen Parteien mit den durch ihre jeweiligen Technologien gesammelten Informationen umgehen.

Abschnitt XIV – Aktualisierungen der Datenschutzrichtlinie

Art. 53 (1) Der Verantwortliche behält sich das Recht vor, diese Datenschutzrichtlinie einseitig zu ändern oder zu ergänzen, wenn dies aufgrund von Änderungen der geltenden Gesetze, der Einführung neuer Technologien oder Dienste, der Verbesserung der Datenschutzpraktiken oder Änderungen in der Art und Weise der Verarbeitung personenbezogener Daten erforderlich ist.

(2) Die Unterklassen der Änderung der Richtlinie dienen dazu, sicherzustellen, dass die Aktivitäten des Verantwortlichen weiterhin mit der Verordnung (EU) 2016/679 sowie den geltenden nationalen Datenschutzgesetzen konform sind. Jede Version der Richtlinie muss ein Datum des Inkrafttretens enthalten, das am Ende der Richtlinien angegeben ist.

Art. 54 (1) Der Verantwortliche ergreift geeignete Maßnahmen, um die betroffenen Personen über wesentliche Änderungen dieser Datenschutzrichtlinie zu informieren. Wesentliche Änderungen sind Änderungen, die sich auf die Rechte der betroffenen Personen auswirken oder auswirken könnten, Änderungen der Zwecke oder Rechtsgrundlagen der Verarbeitung, Änderungen der Datenkategorien, Hinzufügen von Empfängern und/oder Änderungen der Aufbewahrungsfristen. 

(2) Bei jeder wesentlichen Änderung benachrichtigt der Verantwortliche die betroffenen Personen mit einer Bestätigung über:

  1. Eine E-Mail, die an die registrierte E-Mail-Adresse gesendet wird und in der angegeben wird, dass die Person kontaktiert wird, weil die Datenschutzerklärung einer wesentlichen Änderung unterzogen wurde. Der Betreff der E-Mail enthält einen Hinweis auf diese Änderung.
  2. Eine Banner-Benachrichtigung an einer gut sichtbaren Stelle auf der Startseite der Plattform

(3) In Fällen, in denen Änderungen eine neue Einwilligung vor der Verarbeitung erfordern (einschließlich der Hinzufügung neuer Marketingzwecke oder der Durchführung von Profiling, das zuvor nicht offengelegt wurde), wird der Verantwortliche die betroffenen Personen mittels eines eindeutigen Opt-in-Mechanismus ausdrücklich um eine neue Einwilligung bitten. Die Verarbeitung zu solchen Zwecken erfolgt nur nach ausdrücklicher Einwilligung.

Art. 55 (1) Änderungen treten an dem Tag in Kraft, an dem sie von der Plattform veröffentlicht werden, sofern in den Änderungen kein späterer Zeitpunkt angegeben ist.

(2) Die weitere Nutzung der Plattform nach Bekanntgabe der Änderungen gilt als Zustimmung zu den Änderungen, es sei denn, für eine bestimmte Verarbeitungstätigkeit ist ausdrücklich eine neue Einwilligung erforderlich.

(3) Betroffene Personen, die mit wesentlichen Änderungen nicht einverstanden sind, haben die Möglichkeit, eine der folgenden Optionen zu wählen: Widerspruch gegen die neue Verarbeitungstätigkeit, Widerruf der Einwilligung, Antrag auf Löschung der Daten und/oder Einstellung der Nutzung der Dienste der Plattform.

Abschnitt XV – Schlussbestimmungen

Art. 56 (1) Diese Datenschutzerklärung tritt am 27.10.2025 in Kraft und ersetzt alle früheren Versionen.

(2) Diese Erklärung gilt in Verbindung mit den Nutzungsbedingungen der Plattform als Teil der Nutzungsbedingungen der Plattform. Im Falle eines Widerspruchs zwischen den Bestimmungen dieser Erklärung und den Nutzungsbedingungen hinsichtlich des Schutzes personenbezogener Daten gelten die Bestimmungen dieser Erklärung.

(3) Diese Erklärung gilt für alle personenbezogenen Daten, die von der Plattform zur Nutzung erhoben und verarbeitet werden, unabhängig davon, ob sie vor oder nach dem Inkrafttreten dieser Erklärung erhoben und verarbeitet wurden.

Art. 57 (1) Dieses Dokument unterliegt den Gesetzen Bulgariens und dem geltenden Recht der Europäischen Union, insbesondere der Verordnung (EU) 2016/679, und entspricht diesen.

(2) Alle Streitigkeiten, die sich aus dieser Richtlinie ergeben, werden durch Verhandlungen zwischen den Parteien beigelegt. Wenn die Verhandlungen zu keiner Einigung führen, werden wir alle Streitigkeiten dem zuständigen österreichischen Gericht vorlegen, das für den Sitz des Verantwortlichen zuständig ist.

(3) Sollte eine Bestimmung dieser Richtlinie von einem zuständigen Gericht oder einer zuständigen Behörde für ungültig oder nicht durchsetzbar befunden werden, hat diese Entscheidung keinen Einfluss auf die Gültigkeit oder Anwendbarkeit der übrigen Bestimmungen. Die ungültige oder nicht durchsetzbare Bestimmung wird durch eine gültige oder durchsetzbare Bestimmung ersetzt, die dem Zweck dieser Richtlinie in Bezug auf die ursprüngliche Bestimmung am nächsten kommt. 

Art. 58 (1) Bei der Auslegung der Bestimmungen dieser Richtlinie werden der Zweck der Bestimmung, die gewöhnliche Bedeutung der verwendeten Wörter und Ausdrücke sowie der Kontext aller Bestimmungen dieser Richtlinie berücksichtigt. 

(2) Der Verantwortliche verpflichtet sich zu einem hohen Standard beim Schutz personenbezogener Daten und zu einer kontinuierlichen Verbesserung der Praktiken und Prozesse im Einklang mit den besten Standards im Bereich des Datenschutzes. Es werden regelmäßige Überprüfungen durchgeführt, um sicherzustellen, dass die technischen und organisatorischen Maßnahmen in Bezug auf die identifizierten Risiken ausreichend wirksam und verhältnismäßig sind. 

(3) Der Verantwortliche begrüßt Rückmeldungen von betroffenen Personen zu dieser Richtlinie und zu Datenschutzpraktiken. Fragen, Bedenken oder Vorschläge können an die E-Mail-Adresse des Verantwortlichen gesendet werden und werden umgehend und offen beantwortet.