Datenschutzinformation für die Festival-Apps der FKP SCORPIO Konzertproduktionen GmbH (in der Fassung vom 2. September 2024)
Diese Datenschutzinformation informiert nach der Datenschutz-Grundverordnung (im Folgenden „DS-GVO“) über die Verarbeitung eurer personenbezogenen Daten bei Nutzung der Festival-Apps der FKP SCORPIO Konzertproduktionen GmbH („FKP Scorpio“, „wir“ oder „uns“).
Teil A Anwendungsbereich, verantwortliche Stelle, Definitionen
1. Anwendungsbereich
1.1. Diese Datenschutzinformation gilt für den Besuch und die Nutzung unserer Apps für die Festivals Hurricane Festival, Southside Festival, Highfield Festival, M’era Luna Festival, Deichbrand Festival und Elbjazz Festival, in denen Informationen über die Festivals zur Verfügung gestellt werden und abgerufen werden können sowie unseren in diesem Zusammenhang erfolgenden Marketingmaßnahmen.
1.2. Diese Datenschutzinformation betrifft nur die Verarbeitung personenbezogener Daten i.S.v. Ziff. 3.4.
2. Verantwortliche Stelle
2.1. Sofern in dieser Datenschutzinformation nicht anders angegeben, ist für die Verarbeitung eurer personenbezogenen Daten verantwortlich:
FKP SCORPIO Konzertproduktionen GmbH
Große Elbstr. 277a
22767 Hamburg
info@fkpscorpio.com
2.2. Unser betrieblicher Datenschutzbeauftragter ist:
Rechtsanwalt Martin Glänzer
Eppendorfer Landstr. 33
20249 Hamburg
datenschutzbeauftragter@fkpscorpio.com
3. Definitionen
Dieser Datenschutzinformation liegen folgende datenschutzrechtliche Begriffe zugrunde, die wir zum leichteren Verständnis definiert haben
3.1. Die DS-GVO ist die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG).
3.2. Empfänger ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung. Empfänger eurer personenbezogenen Daten können, je nach gewählter Zahlungsart beim Ticketkauf etwa Banken sein oder die Post / Versanddienstleister, über die wir euch euer Ticket postalisch zukommen lassen.
3.3. Die FKP-Gruppe umfasst alle nach § 15 AktG mit uns verbundenen Unternehmen.
3.4. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person, d.h. dem Betroffenen, beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Personenbezogene Daten können etwa Name, Kontaktdaten, Nutzerverhalten oder Bankdaten sein.
3.5. Verantwortliche Stelle ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden. Für die in dieser Datenschutzinformation beschriebenen Datenverarbeitungen ist FKP verantwortliche Stelle; teilweise gemeinsam mit dem Betreiber einer Partnerseite (siehe Ziffer 1.2).
3.6. Verarbeitung ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Verarbeitungen kann etwa die Erhebung und Nutzung Ihrer Bestelldaten beim Ticketverkauf sein.
Teil B Zwecke, Rechtsgrundlagen und ggf. Datenkategorien bei Verarbeitung eurer personenbezogenen Daten
1. Bereitstellung der Apps, Hosting und IT-Sicherheit
1.1. Unsere Apps werden extern gehostet. Hierfür ist es notwendig, eure Gerätedaten auf den Servern unseres IT-Dienstleisters zu speichern, um die Funktionsfähigkeit der Apps zu gewährleisten. Unser IT-Dienstleister verwendet zum Hosting Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, 1855 Luxemburg (nachfolgend „AWS“). Weitere Informationen könnt ihr der Datenschutzerklärung von AWS unter aws.amazon.com/de/privacy/ entnehmen.
Unsere Apps nutzen aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte, die ihr uns als App-Betreiber sendet, eine SSL- bzw. TSL-Verschlüsselung. Hierdurch wird verhindert, dass die Daten, die ihr übermittelt, von unbefugten Dritten mitgelesen werden können.
Die Übermittlung an AWS sowie die Verwendung der Verschlüsselung erfolgen auf Grundlage von Art. 6 Abs. 1 S. 1 lit. f DS-GVO und unseres berechtigten Interesses am sicheren Betrieb und der Funktionalität der Apps.
1.2. Zur Bereitstellung der Apps benötigen wir außerdem eure Standortdaten, die uns und euch die Nutzung des Lageplans ermöglichen. Rechtsgrundlage ist unser berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DS-GVO, eure Einwilligung im Sinne des Art. 6 Abs. 1 lit. a DS-GVO und § 25 Abs. 1 TDDDG und – sofern ein Vertrag geschlossen wurde – die Erfüllung unserer vertraglichen Verpflichtungen (Art. 6 Abs. 1 lit. b DS-GVO).
2. Analysedaten
2.1. Um ggf. Fehler in unseren Apps zu untersuchen und unsere App zu verbessern, sind wir auf anonymisierte Absturzberichte angewiesen. Hierzu nutzen wir Firebase Chrashlytics, einen Dienst von Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA, „Google“). Die erzeugten Informationen über die Benutzung (App-Version, Typ und Version des verwendeten Geräts, Version des Betriebssystems, Datum und Uhrzeit der Verwendung, App-Abstürze, Updates, sowie die bei der Nutzung verwendete IP-Adresse) werden an einen Server von Google in den USA übertragen und dort gespeichert.
Für die relevanten Datenübertragungen in die USA beruft sich Google Firebase auf die Standardvertragsklauseln der EU-Kommission. Details hierzu findet ihr hier: https://firebase.google.com/support/privacy
Mehr Informationen zu Google Firebase und Datenschutz findet ihr hier: firebase.google.com/terms/data-processing-terms; https://firebase.google.com/terms/; https://firebase.google.com/support/privacy/.
Die Rechtsgrundlage für die Nutzung und Auswertung der Daten ist ein berechtigtes Interesse an einem performanten Betrieb der App im Sinne von Art. 6 Abs. 1 lit. f DSGVO.
2.2. Sofern ihr die Push-Funktion aktiviert habt, um euch über sicherheitsrelevante Ereignisse zu informieren und Informationen rund um das Festival zu erhalten, wird das Firebase Cloud Messaging hinzugezogen, das notwendig ist, um Push-Nachrichten an Apple- und Android Geräte zu versenden. Es handelt sich auch bei dieser Technologie um einen Firebase-Dienst von Google. Dabei wird, nach deiner ausdrücklichen Einwilligung, deine IP-Adresse an Server von Google übermittelt.
Für die relevanten Datenübertragungen in die USA beruft sich Google Firebase auf die Standardvertragsklauseln der EU-Kommission. Details hierzu findet ihr hier: firebase.google.com/support/privacy Mehr Informationen zu Google Firebase und Datenschutz findet ihr hier: firebase.google.com/terms/data-processing-terms; firebase.google.com/terms/; https://firebase.google.com/support/privacy/.
2.3. Wir nutzen auch Funktionen des Web- und App-Analysedienstes Google Analytics über die Firebase. Anbieter ist die Google Ireland Limited („Google Ireland“), Gordon House, Barrow Street, Dublin 4, Irland.
Google Analytics 4 ermöglicht es dem Appbetreiber, das Verhalten der Nutzer zu analysieren. Hierbei erhalten wir Reports zu Nutzungsdaten, wie z.B. Aufrufe, Verweildauer, verwendete Betriebssysteme und Herkunft des Nutzers. Diese Daten werden in einer User-ID zusammengefasst und dem jeweiligen Endgerät des Nutzers zugeordnet. Des Weiteren können wir mit Google Analytics u.a. Klicks aufzeichnen. Ferner verwendet Google Analytics verschiedene Modellierungsansätze, um die erfassten Datensätze zu ergänzen und setzt Machine-Learning-Technologien bei der Datenanalyse ein.
Google Analytics verwendet Technologien, die die Wiedererkennung des Nutzers zum Zwecke der Analyse des Nutzerverhaltens ermöglichen (z. B. Cookies, Token oder Device-Fingerprinting).
Die von Google Ireland erfassten Informationen über die Benutzung dieser App werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Bei Google Analytics 4 ist die Anonymisierung von IP-Adressen standardmäßig aktiviert. Aufgrund der IP-Anonymisierung werden eure IP-Adressen von Google gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google Ireland in den USA übertragen und dort gekürzt. Die im Rahmen von Google Analytics von übermittelte IP-Adresse wird nach Aussagen des Anbieters nicht mit anderen Daten von Google zusammengeführt.
Die genannten Daten zur Analyse des Nutzerverhaltens mittels Google Analytics 4 für Firebase werden automatisch nach 14 Monaten gelöscht.
Die Nutzung dieses Dienstes erfolgt auf Grundlage eurer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG. Die Einwilligung ist jederzeit widerrufbar.
Die Datenübertragung in die USA wird auf die Standardvertragsklauseln der EU-Kommission gestützt. Details findest du hier:
https://privacy.google.com/businesses/controllerterms/mccs/.
Google verfügt auch über eine Zertifizierung nach dem „EU-US Data Privacy Framework“ (DPF), einem Übereinkommen zwischen der Europäischen Union und den USA, das die Einhaltung europäischer Datenschutzstandards bei Datenverarbeitungen in den USA gewährleisten soll. Jedes nach dem DPF zertifizierte Unternehmen verpflichtet sich, diese Datenschutzstandards einzuhalten. Weitere Informationen hierzu erhaltet ihr unter: https://www.dataprivacyframework.gov/participant/5780.
3. Standortdaten
Wenn ihr für ausgewählte Funktionen eine Standortbestimmung mittels der Ortungsfunktion eures Smartphones durchführt, können wir z.B. automatisch Informationen zu Bühnen, dem Food Angebot oder Awareness Points geben. Damit ihr euch bei unseren Festivals besser lokalisieren kannst, haben wir dazu Mapbox eingebunden. Anbieter ist Mapbox, Inc. 740 15th Street NW, 5th Floor, Washington, District of Columbia 20005, USA (nachfolgende „Mapbox“). Mit Hilfe dieses Dienstes können wir Kartenmaterial auf unserer Website einbinden.
Zur Nutzung der Funktionen von Mapbox ist es notwendig, eure IP-Adresse, Session ID und Geodaten zu speichern. Diese Informationen werden anonymisiert und verschlüsselt an einen Server von Amazon Web Services in den USA übertragen und dort gespeichert. Dies stellt seitens des Anbieters ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO dar.
Weitere Details kannst du der Datenschutzerklärung des Anbieters unter https://www.mapbox.com/legal/privacy entnehmen.
Das Unternehmen verfügt über eine Zertifizierung nach dem „EU-US Data Privacy Framework“ (DPF), die ein ähnliches Datenschutzniveau wie das der EU garantieren soll und von der EU als angemessen eingeordnet wurde.
4. Einsatz von Cookies
Bei der Nutzung unserer Apps werden Cookies auf eurem Endgerät gespeichert. Cookies sind kleine Textdateien, die in dem Gerätespeicher abgelegt und der jeweiligen App zugeordnet gespeichert werden. Mithilfe der Cookies werden der Stelle, die den Cookie setzt, bestimmte Informationen zufließen, die ggf. personenbezogene Daten enthalten. Durch die Nutzung von Cookies werden unsere Apps nutzerfreundlicher und effektiver gestaltet. Cookies können keine Programme ausführen oder Viren auf eure Endgeräte übertragen.
Teil C Aufbewahrung und Löschung eurer personenbezogenen Daten
Wir speichern eure personenbezogenen Daten solange und soweit, wie es für den jeweiligen Zweck (Teil B), für die sie verarbeitet werden, erforderlich ist.
Sobald die Daten für die in Teil B genannten Zwecke nicht mehr erforderlich sind, bewahren wir eure personenbezogenen Daten für die Zeit auf, in der ihr Ansprüche gegen uns oder wir gegen euch geltend machen können (gesetzliche Verjährungsfrist i.d.R. von drei Jahren, beginnend mit Ende des Jahres der Anspruchsentstehung; z.B. zum Jahresende der Tickettransaktion).
Darüber hinaus speichern wir eure personenbezogenen Daten solange und soweit wir hierzu gesetzlich verpflichtet sind. Entsprechende Nachweis- und Aufbewahrungspflichten ergeben sich unter anderem aus dem Handelsgesetz und der Abgabenordnung (z.B. § 257 HGB; § 147 AO). Die Aufbewahrungspflichten betragen hiernach bis zu zehn Jahren.
Teil D Kategorien von Empfängern personenbezogener Daten
Bei Bereitstellung, Durchführung und Management unserer Produkte und Services übermitteln wir eure personenbezogenen Daten ggf. im Rahmen eines konzerninternen, arbeitsteiligen Prozesses an Unternehmen innerhalb der FKP-Gruppe. Die Übermittlung erfolgt aufgrund unseres berechtigten Interesses, interne Verwaltungstätigkeiten effizient und arbeitsteilig durchzuführen, zur Betrugsprävention, um die Sicherheit unserer Kundenkonten zu gewährleisten, und unsere Produkte und Services zu verbessern, auf Grundlage von Art. 6 Abs. 1 S. 1 lit. f) DS-GVO.
Eure personenbezogenen Daten werden an Dienstleister übermittelt, die die Plattformen, Datenbanken und Tools für unsere Produkte und Services bereitstellen, Analysen zum Benutzerverhalten auf unseren Webseiten erstellen, Marketingkampagnen ausspielen und die eure personenbezogenen Daten im Rahmen des Ticketkaufs für uns im Auftrag verarbeiten. Die Übermittlung eurer personenbezogenen Daten erfolgt zum Zweck der Vertragsdurchführung mit euch auf Grundlage von Art. 6 Abs. 1 S. 1 lit. b) DS-GVO, aufgrund unseres berechtigten Interesses, unsere Produkte zu verbessern und zu bewerben, auf Grundlage von Art. 6 Abs. 1 S. 1 lit. f) DS-GVO, und, sofern ihr uns eure Einwilligung für die Verarbeitung eurer personenbezogenen Daten gegeben haben, auf Grundlage eurer Einwilligung i.S.d. Art. 6 Abs. 1 S. 1 lit. a) DS-GVO.
Darüber hinaus übermitteln wir eure personenbezogenen Daten nur und insoweit eine gesetzliche Verpflichtung unsererseits zur Weitergabe besteht. Die Übermittlung erfolgt auf Grundlage von Art. 6 Abs. 1 S. 1 lit. c) DS-GVO (z.B. an die Polizeibehörden im Rahmen von Strafermittlungen oder an die Datenschutzaufsichtsbehörden).
Teil E Berechtigte Interessen an der Datenverarbeitung und Widerspruch
Wir verarbeiten eure personenbezogenen Daten i.S.v. Teil B aufgrund unserer berechtigten Interessen, insbesondere die IT-Sicherheit gewährleisten, Analysen und Marketingmaßnahmen durchzuführen, euch über unsere Produkte und Services zu informieren, die Reichweite unserer Produkte und Marketingmaßnahmen zu erhöhen, unsere rechtlichen Interessen (ggf. auch gerichtlich) wahrzunehmen, durchzusetzen und zu verteidigen und um die interne Verwaltung effizient und arbeitsteilig durchzuführen.
Soweit wir eure personenbezogenen Daten auf Grundlage dieser berechtigten Interessen (Art. 6 Abs. 1 S. 1 lit. f) DS-GVO) verarbeiten, habt ihr das Recht, aus Gründen, die sich aus eurer besonderen Situation ergeben, jederzeit gegen die Verarbeitung eurer personenbezogenen Daten Widerspruch einzulegen. Wir werden eure Daten dann für diese(n) Zweck(e) nicht mehr verarbeiten, sofern nicht unsere schutzwürdigen Interessen überwiegen oder die Verarbeitung der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient. Unbeschadet dessen könnt ihr bei Direktwerbung (etwa Newsletter) jederzeit ohne Angabe von Gründen der Verarbeitung eurer personenbezogenen Daten widersprechen. Bitte richtet eure Anfrage per E-Mail an datenschutz@fkpscorpio.com oder schriftlich an FKP SCORPIO Konzertproduktionen GmbH, Große Elbstraße 277, 22767 Hamburg.
Wenn ihr der Datenverarbeitung nach Ziffer 2 widersprecht, verarbeiten wir eure in diesem Zusammenhang erhobenen personenbezogenen Daten zur Beantwortung eurer Anfrage. Die Verarbeitung eurer personenbezogenen Daten erfolgt zur Erfüllung einer rechtlichen Verpflichtung auf Grundlage von Art. 6 Abs. 1 S. 1 lit. c) DS-GVO.
Teil F Einwilligung und Widerruf eurer Einwilligung
Sofern ihr uns eine Einwilligung für die Verarbeitung eurer personenbezogenen Daten erteilt habt, könnt ihr sie jederzeit widerrufen. Der Widerruf eurer Einwilligung wirkt für die Zukunft. Die Rechtmäßigkeit der Verarbeitung eurer personenbezogenen Daten bis zum Zeitpunkt des Widerrufs bleibt unberührt. Richtet euren Widerruf bitte per E-Mail an datenschutz@fkpscorpio.com oder schriftlich an FKP SCORPIO Konzertproduktionen GmbH, Große Elbstraße 277, 22767 Hamburg.
Sofern ihr eure Einwilligung widerruft, verarbeiten wir eure in diesem Zusammenhang erhobenen personenbezogenen Daten zur Beantwortung eurer Anfrage. Die Verarbeitung eurer personenbezogenen Daten erfolgt zur Erfüllung einer rechtlichen Verpflichtung auf Grundlage von Art. 6 Abs. 1 S. 1 lit. c) DS-GVO.
Teil G Eure Rechte
Ihr könnt jederzeit von uns nach Maßgabe der DS-GVO verlangen, dass wir
• euch Auskunft über die euch betreffenden personenbezogenen Daten, die wir verarbeiten, erteilen (Art. 15 DS-GVO),
• personenbezogene Daten, die euch betreffen und unrichtig sind, berichtigen (Art. 16 DS-GVO), und/oder
• eure bei uns gespeicherten personenbezogenen Daten löschen (Art. 17 DS-GVO), sperren (Art. 18 DS-GVO) und/oder herausgeben (Art. 20 DS-GVO).
Bitte richtet eure Anfrage per E-Mail an datenschutz@fkpscorpio.com oder schriftlich an FKP SCORPIO Konzertproduktionen GmbH, Große Elbstraße 277, 22767 Hamburg.
Wenn ihr uns gegenüber Rechte geltend macht, verarbeiten wir eure in diesem Zusammenhang erhobenen personenbezogenen Daten zur Beantwortung eurer Anfrage. Die Verarbeitung eurer personenbezogenen Daten erfolgt zur Erfüllung einer rechtlichen Verpflichtung auf Grundlage von Art. 6 Abs. 1 S. 1 lit. c) DS-GVO.
Unbeschadet der in diesem Teil G genannten Rechte könnt ihr bei einer Aufsichtsbehörde für Datenschutz Beschwerde einreichen, wenn ihr der Ansicht seid, dass die Verarbeitung der euch betreffenden personenbezogenen Daten durch FKP gegen die DS-GVO verstößt (Art. 77 DS-GVO).
Teil H Sonstiges
Es gelten die Bestimmungen dieser Datenschutzinformation einschließlich der Cookie-Information der FKP SCORPIO Konzertproduktionen GmbH in ihrer zum Zeitpunkt der Nutzung der Apps gültigen Fassung.
Wir behalten uns vor, den Inhalt der Datenschutzinformationen zu ergänzen und zu ändern. Die aktualisierte Datenschutzinformation gilt ab dem Zeitpunkt, in dem sie in der jeweils genutzten App veröffentlicht wurde.
Stand: 2. September 2024