See Tickets verpflichtet sich zum Schutz der Daten ihrer Kunden, Abonnenten, Mitarbeiter und anderer natürlicher Personen.
Das vorliegende Dokument dient folgenden Zwecken:
- Festlegung von Verfahren zur Regelung der Verwaltung dieser personenbezogenen Daten
- Nachweis des Engagements von See Tickets in Bezug auf den Schutz personenbezogener Daten
- Begrenzung des Risikos einer Verletzung des Schutzes personenbezogener Daten
- Einhaltung der geltenden Gesetze und Vorschriften (insbesondere des Datenschutzgesetzes und der Datenschutzgrundverordnung (DSGVO))
Diese Richtlinie wird mindestens einmal jährlich von Data Protection Manager, aktualisiert.
Personenbezogene Daten | Bezeichnet alle Informationen, die sich direkt oder indirekt auf eine identifizierte oder identifizierbare natürliche Person beziehen |
Besondere Kategorien personenbezogener Daten | Bezeichnet Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, genetische Daten, biometrische Daten, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person |
Betroffene Person | Bezeichnet eine natürliche Person, die durch die personenbezogenen Daten identifiziert oder identifizierbar ist |
Verarbeitung | Bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten (wie das Erheben, das Erfassen, die Speicherung, die Veränderung, das Abfragen, die Offenlegung, den Abgleich, das Löschen oder die Vernichtung usw.) |
Datenverantwortlicher | Bezeichnet die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen die Mittel und die Zwecke der Verarbeitung bestimmt |
Auftragsverarbeiter | Bezeichnet die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten verarbeitet, unabhängig davon, ob es sich um einen Dritten handelt oder nicht |
Empfänger | Bezeichnet die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, an die personenbezogene Daten weitergegeben werden, unabhängig davon, ob es sich um einen Dritten handelt oder nicht |
Dritte | Sind andere natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen als die betroffene Person, der Datenverantwortliche, der Auftragsverarbeiter oder die zur Verarbeitung der personenbezogenen Daten berechtigten Personen |
Einwilligung | Bezeichnet eine eindeutige bestätigende Handlung, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist |
Verletzung des Schutzes personenbezogener Daten | Bezeichnet eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden |
Aufsichtsbehörde | Ist eine von einem Mitgliedstaat gemäß Artikel 51 DSGVO eingerichtete unabhängige staatliche Stelle |
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz | Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. |
Grundsatz der Zweckbindung | Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden. |
Datenminimierung | Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. |
Richtigkeit | Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden. |
Speicherbegrenzung | Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. |
Datensicherheit | Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen. |
Rechenschaftspflicht | Der Datenverantwortliche ist für die Einhaltung der Datenschutzgrundsätze verantwortlich und muss deren Einhaltung nachweisen können. |
Der Datenschutzbeauftragte Russell Morris ist für die Kontrolle des Unternehmens in Bezug auf den Datenschutz verantwortlich. Bei datenschutzrechtlichen Fragen kann er unter privacy@seetickets.com kontaktiert werden.
Bei Fragen zu Ihren Ticketbestellungen wenden Sie sich bitte an unseren Kundendienst unter https://www.seetickets.com/customerservice
Verzeichnis von Verarbeitungstätigkeiten - See Tickets führt gemäß Artikel 30 DSGVO ein Verzeichnis ihrer Verarbeitungstätigkeiten. Das Verzeichnis wird der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt.
Datenschutz-Folgeabschätzung (PIA) - Bei Verarbeitungsvorgängen, die aufgrund ihrer Art, ihres Umfangs, ihrer Umstände und ihrer Zwecke wahrscheinlich ein erhöhtes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen, insbesondere solche, bei denen neue Technologien eingesetzt werden, führt See Tickets vor der Verarbeitung eine Analyse der erwarteten Folgen der Verarbeitung der personenbezogenen Daten durch. Ein PIA-Modell wurde im Excel-Format erstellt.
Als Datenverantwortlicher
Für alle Datenverarbeitungsvorgänge, an denen Dritte beteiligt sind, schließt See Tickets Verträge mit den Auftragsverarbeitern ab, die mindestens die in Artikel 28 DSGVO genannten Anforderungen enthalten. Die Verträge enthalten weiterhin Anweisungen, die vom Auftragsverarbeiter zu befolgen sind, sowie Bestimmungen zur Anzeige von Verstößen, zur Durchführung von Datenschutzüberprüfungen, zu den Verantwortlichkeiten und zu den Pflichten des Auftragsverarbeiters nach Vertragsende.
Als Auftragsverarbeiter
Soweit See Tickets der Auftragsverarbeiter ist, handelt See Tickets ausschließlich nach den vom Datenverantwortlichen vorgegebenen Anweisungen und
- überprüft, ob die Anweisungen keine Verletzung der geltenden Gesetze und Vorschriften darstellen und
- bewahrt eine Kopie der Anweisungen auf
Wird ein Auftragsverarbeiter von See Tickets beauftragt, muss ein verbindlicher Vertrag zwischen See Tickets und dem Auftragsverarbeiter abgeschlossen werden.
See Tickets implementiert die im Rahmen der Gesetze und geltenden Verordnungen vorgeschriebenen Verfahren, einschließlich der Führung eines Verzeichnisses der Datenverarbeitungstätigkeiten.
Machbarkeitsnachweis („Proof of Concept”, POC)
Die „Proof of Concept”-Tests sollten ebenfalls auf gesetzlicher Grundlage erfolgen, um zumindest die Anweisungen und Maßnahmen zu bestätigen, die ergriffen werden, wenn der POC nicht durchgeführt wird (insbesondere die Verfahren zum Datenaustausch und zur Datenvernichtung, falls der POC nicht durchgeführt wird).
Die betroffenen Personen haben bestimmte Rechte in Bezug auf ihre personenbezogenen Daten:
- Das Auskunftsrecht
- Das Recht auf Berichtigung
- Das Recht auf Löschung („Recht auf Vergessenwerden”)
- Das Recht auf Einschränkung der Verarbeitung
- Das Recht auf Datenübertragbarkeit - Das Recht, Widerspruch gegen die Verarbeitung einzulegen
- Das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden
See Tickets hat ein Vorgehen zur Verwaltung von Anträgen betroffener Personen (einschließlich auf Ausübung ihrer Rechte) festgelegt. Diese Vorgehensweise ist nachstehend aufgeführt:
1. Schritt: Der Kunde stellt einen Antrag auf Auskunftserteilung.
2. Schritt: See Tickets übermittelt dem Kunden eine verschlüsselte Zip-Datei mit allen Daten, die See Tickets, die Auftragsverarbeiter von See Tickets und sonstige mit See Tickets verbundene Auftragsverarbeiter über die betroffene Person gespeichert haben.
3. Schritt: Wenn der Kunde wünscht, dass diese Daten gelöscht werden, werden See Tickets, die Auftragsverarbeiter von See Tickets und sonstige mit See Tickets verbundene Auftragsverarbeiter die Daten der betroffenen Person löschen.
4. Schritt: Der betroffenen Person wird die Löschung der Daten per E-Mail bestätigt.
See Tickets wird für die Kaufabwicklung die folgenden Daten erfassen:
• Name
• Postanschrift
• E-Mail-Adresse
• Telefonnummer
• IP-Adresse
Minderjährige - Für die Wirksamkeit von Einwilligungen sieht die DSGVO eine Altersgrenze von 16 Jahren vor. Die Mitgliedstaaten können eine niedrigere Altersgrenze vorsehen, die jedoch nicht unter dem vollendeten dreizehnten Lebensjahr liegen darf.
Für die Verarbeitung personenbezogener Daten von Minderjährigen gibt es besondere Bestimmungen, insbesondere hinsichtlich der Einwilligung.
Rechtsgrundlage - Um personenbezogene Daten verarbeiten zu können, ist es notwendig, die damit verbundene rechtliche Grundlage für die Verarbeitung zu ermitteln. See Tickets beruft sich auf vier rechtliche Grundlagen:
- Einwilligung der betroffenen Person
- Erfüllung eines Vertrags mit der betroffenen Person oder Durchführung von vorvertraglichen Maßnahmen
- Erfüllung einer rechtlichen Verpflichtung
- Berechtigtes Interesse des Datenverantwortlichen
Die beiden anderen in der DSGVO beschriebenen rechtlichen Grundlagen sind auf See Tickets nicht anwendbar.
Einwilligung - Für die Verwaltung der Einwilligungen zur Verarbeitung der Daten einer betroffenen Person für Marketingzwecke wurde ein besonderes Verfahren festgelegt. Die Einwilligung erfolgt mit einem Häkchen in einem Feld auf der Checkout-Seite. Hinweis: Die Empfänger erhalten Marketingmaterialien von See Tickets ausschließlich per E-Mail.
Datenminimierung - Zum Zeitpunkt der Datenerhebung erhebt See Tickets nur die Daten, die für den/die Zweck(e) der Verarbeitung unbedingt erforderlich sind. Im Falle einer Änderung der Verarbeitung überprüft See Tickets, ob die gesammelten Daten für den aktualisierten Prozess noch relevant sind.
Dateneingabe in Freitextfeldern - Die Verwendung von Freitextfeldern birgt Risiken für den Datenschutz, da diese Felder (typischerweise Anmerkungen oder Kommentare) unangemessene Kommentare oder personenbezogene Daten enthalten können.
Medien - Bei der Datenverarbeitung werden verschiedene Medien verwendet (und damit unterschiedliche Speicherorte für die verarbeiteten personenbezogenen Daten). Um den ordnungsgemäßen Schutz der Daten zu gewährleisten und das Risiko einer Verletzung des Schutzes personenbezogener Daten zu begrenzen, ist es unerlässlich, alle Medien zu identifizieren.
Vertraulichkeit der Daten - Bei personenbezogenen Daten sind auch die allgemein geltenden Vertraulichkeitsvorschriften zu beachten. Der Zugriff auf personenbezogene Daten muss auf einer „need to know”-Basis (Kenntnis nur bei Bedarf) erfolgen, kombiniert mit einem Zugriffsmanagement für Anwendungen. Unterlagen in Papierform, die sensible personenbezogene Daten enthalten, müssen in verschlossenen Schränken aufbewahrt werden.
Nicht produktionsbezogene Umgebungen - Unabhängig davon, ob sich die Daten in einer Produktions- oder einer Vorproduktionsumgebung befinden, müssen sie auf die gleiche Weise geschützt werden, da das Risiko für die betroffenen Personen im Falle einer Datenschutzverletzung, unabhängig von der Quelle, dasselbe ist. Nach Möglichkeit sollten personenbezogene Daten nicht in Vorproduktionsumgebungen gespeichert werden, sondern, wenn möglich, in anonymisierten Datenbanken.
Empfänger - Jede natürliche oder juristische Person mit Zugang zu personenbezogenen Daten gilt als Empfänger (unabhängig davon, ob es sich um eine betriebsinterne Person innerhalb der Organisation oder um eine externe Person handelt, die als Datenverantwortlicher fungiert). See Tickets gibt personenbezogene Daten nur an die Empfänger weiter, die zur Erfüllung des/der angegebenen Verarbeitungszwecke(s) erforderlich sind.
Internationale Datenübermittlung - Eine Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, ist nur zulässig, wenn geeignete Garantien bestehen oder andere spezifische Ausnahmen gelten. Die Vorschriften für die Datenübermittlung gelten sowohl für interne Übermittlungen innerhalb von Vivendi als auch für externe Übermittlungen.
Aufbewahrungsfristen - See Tickets hat die Aufbewahrungsfristen für jede Kategorie von personenbezogenen Daten entsprechend den Zwecken der Verarbeitung festgelegt. See Tickets speichert Ihre Daten für 15 Jahre.
Archivierung personenbezogener Daten - Werden die Daten nicht mehr in der Produktion verarbeitet, werden sie für die Dauer der Aufbewahrungsfrist archiviert. Der Zugriff auf diese Archive ist eingeschränkt, zudem bestehen zusätzliche Sicherheitsmaßnahmen zum Schutz der archivierten Daten.
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen See Tickets und der bzw. die Auftragsverarbeiter geeignete Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Es gibt verschiedene Kategorien von Sicherheitsmaßnahmen, die zum Schutz der personenbezogenen Daten ergriffen werden können:
Physische Sicherheitsmaßnahmen - Zu den physischen Sicherheitsmaßnahmen gehören physische Zugangskontrollen, die Verwendung bestimmter Materialien, Maßnahmen gegen Risiken im Zusammenhang mit Wasser, Feuer usw.
Logische Sicherheitsmaßnahmen - Zum Schutz der Daten in Informationssystemen werden logische Sicherheitsmaßnahmen eingesetzt, wie etwa Verschlüsselung, Pseudonymisierung, Rückverfolgbarkeit, logische Zugriffskontrollen, Einstellungen, dedizierte Netzwerke usw.
Organisatorische Maßnahmen - Zusätzlich müssen organisatorische Maßnahmen ergriffen werden, wie etwa eine geeignete Governance, Richtlinien und Verfahren, eine Projektmethodik, Überwachung durch Berichte und Dashboards usw.
Protokolle - Es ist wichtig, Protokolle zu führen, um über Änderungen oder Entwicklungen stets informiert zu sein. Zudem müssen Kontrollen durchgeführt werden, um sicherzustellen, dass die bestehenden Sicherheitsmaßnahmen gut funktionieren.
Schulung für Mitarbeiter in Schlüsselpositionen - See Tickets hat die Personen identifiziert, die im Rahmen ihrer beruflichen Tätigkeit eine große Menge an personenbezogenen Daten oder besondere Kategorien personenbezogener Daten (im Sinne von Artikel 9 DSGVO) verarbeiten müssen. Diese Personen werden vom Datenschutzbeauftragten (DSB) entsprechend geschult.
Sensibilisierung aller Mitarbeiter - See Tickets veranstaltet eine jährliche Sensibilisierungskampagne, um alle Mitarbeiter an die Regeln und Grundsätze des Schutzes personenbezogener Daten zu erinnern.
Ansprechpartner - See Tickets hat einen Ansprechpartner benannt, der die Fragen der Mitarbeiter zum Schutz personenbezogener Daten beantwortet: Russell Morris, Datenschutzbeauftragter.
Kontrollen - See Tickets hat Kontrollen implementiert, um sicherzustellen, dass die gesetzlichen Verpflichtungen zum Datenschutz eingehalten werden. Die Kontrollen müssen dokumentiert und die Ergebnisse protokolliert werden.
Meldung von Verletzungen des Schutzes personenbezogener Daten - Im Falle einer Verletzung des Schutzes personenbezogener Daten bewertet See Tickets das Risiko für die betroffenen Personen und informiert, soweit ein Risiko besteht, innerhalb von 72 Stunden die zuständige Aufsichtsbehörde. Wenn die Risikobewertung ein hohes Risiko für die betroffenen Personen ergibt, teilt See Tickets den betroffenen Personen die Verletzung des Schutzes personenbezogener Daten mit. Für das Management von Sicherheitsvorfällen wurde ein besonderes Verfahren festgelegt.
Überwachung und Dokumentation von Datenschutzverletzungen - See Tickets führt ein Verzeichnis der Datenschutzverletzungen. Im Falle einer Verletzung des Schutzes personenbezogener Daten wird See Tickets die Ursache analysieren und Empfehlungen zur Bewältigung des Risikos bzw. der Risiken abgeben. Diese Empfehlungen werden umgesetzt, um das Risiko eines wiederholten Vorfalls zu begrenzen.