Datenschutz-information

der Stiftung Oper in Berlin, Am Wriezener Bahnhof 1, 10243 Berlin  


Das Wichtigste zuerst  

Vor den juristischen Details werden ein paar grundlegende Prinzipien erklärt:   

Wir begrüßen die Europäische Datenschutzverordnung, denn die Privatsphäre ist schützenswert!

Worum es geht:
 
Mit der Classic Card Berlin stellt der Provider (Stiftung Oper in Berlin) dem Nutzer/ Kunden  Services zur Empfehlung von (kulturellen) Veranstaltungen mit einem direkten Kanal, insbesondere in Form von „Apps“ und digitalen Lösungen, zur Verfügung. Neben dem Empfehlungsservice für Nutzer ermöglicht die Classic Card Veranstaltern, Tickets über diese „Apps“ und digitalen Lösungen an den Nutzer zu vertreiben. Zu diesem Zweck hat der Veranstalter den Provider bevollmächtigt, Ticket-Kaufverträge für den Veranstalter abzuschließen. Der Provider vermittelt daher dem Nutzer Tickets ausschließlich im Namen und auf Rechnung des Veranstalters. Der Kaufvertrag über das Ticket kommt ausschließlich zwischen dem Nutzer und dem Veranstalter zustande.
 
Konkret bedeutet dies:
  • Die Classic Card liefert Informationen zu Kulturveranstaltungen in Berlin. 
  • Die Classic Card berechnet Empfehlungen auf Basis des Nutzungsverhaltens zu Veranstaltungen, die von Interesse sein könnten und zeigen diese in der App. Dazu werden auch passende Infos versendet. Wenn diese Zusendungen nicht mehr erwünscht sind, können diese jederzeit unter "Mein Menü" deaktiviert werden. 
  • Wenn Tickets über die App gebucht werden, weiß der jeweilige Kulturbetrieb, dass der Veranstaltungsbesuch geplant ist, um bei Absagen rasch reagieren zu können. 
  • Die Verantwortlichen leben vom und auch für den Ticketverkauf, aber verkaufen niemals die erhaltenen Daten.
Für den Fall, dass kein Kontakt mehr erwünscht ist, wird um eine Mail an info@classiccard.de gebeten oder um Änderung der passenden Einstellungen in der App unter "Mein Menü".

Verarbeitungstätigkeit

Online-Services zur Empfehlung von (kulturellen) Veranstaltungen und zum Erwerb von Eintrittskarten für (kulturelle) Veranstaltungen

Verantwortlicher für den Betrieb der Services

Classic Card: Stiftung Oper in Berlin, Am Wriezener Bahnhof 1, 10243 Berlin  
Datenschutzbeauftragter Stiftung Oper in Berlin, Richard-Wagner-Straße 10, 10585 Berlin-Charlottenburg
T: +49 (0)30 343 84 148
 

Verantwortlicher des Veranstaltungsvertrages

Mit dem Erwerb des Tickets entsteht zwischen dem Nutzer und dem Veranstalter ein "Veranstaltungsvertrag", für dessen Erfüllung und Abwicklung alleine der Veranstalter verantwortlich ist. Der Veranstalter wird (als Verantwortlicher) beim Ticketkauf gesondert ausgewiesen. Die Übermittlung der für die Abwicklung des Kaufvertrages notwendigen Daten an den Veranstalter ist zur Erfüllung des Vertragszweckes unbedingt erforderlich.   Bei der Abwicklung der Ticketkaufverträge ist die Ticket Gretchen GmbH („easy-connect“) als Auftragsverarbeiter der Veranstalter tätig.    

Verarbeitete Datenarten

Vom Kunden bekannt gegeben
  • Ort des Interesses 
  • Name 
  • E-Mail-Adresse 
  • Geburtsdatum (optional für spezielle Angebote) 
  • Zahlungs- und Kreditkartendaten, Gutscheindaten 
  • Inhalte von Nachrichten oder Bewertungen des Kunden 
  • Ausweiskopien. Die relevanten Metadaten wie Ausweisnummer, Ausweisart, Gültigkeit, Ausstellungsort und -datum, Geburtsdatum werden extrahiert und gespeichert. Danach wird die Ausweiskopie unmittelbar gelöscht.
Vom Verantwortlichen zusätzlich erhoben
  • IP-Adressen (Logfiles) 
  • User-ID, Push-Token, Device-ID, Localization (Spracheinstellung) 
  • Verwendeter Webview 
  • Verwendetes Gerät 
  • Kommunikationsprotokoll 
  • Informationen zur Kontonutzung (z.B. Erstelldatum, Anzahl Logins, Datum der letzten Anfrage) 
  • Informationen zu den gekauften Tickets 
  • Verhaltensdaten des Nutzers (z.B.: Event angesehen, favorisiert, in den Warenkorb gegeben, gekauft, bewertet)

Zwecke der Datenverarbeitung - Vertragserfüllung oder -vorbereitung

  • Abrufbarhaltung von Informationen über (kulturelle) Veranstaltungen 
  • Bereitstellung von Services zur Empfehlung von Veranstaltungen auf der Grundlage der Interessen des Nutzers (mit jederzeitiger Opt-out-Möglichkeit) 
  • Abrufbarhaltung von Online-Shops der Veranstalter zum Erwerb von Tickets 
  • Bereitstellung von Kommunikationskanälen zur Verbreitung der Inhalte und Pflege des Kundenverhältnisses 
  • Erfüllung der vertraglichen Verpflichtungen aus dem Servicevertrag zum Verantwortlichen 
  • Erfüllung der vertraglichen Verpflichtungen aus dem mit dem Veranstalter abgeschlossenen Kauf- und Veranstaltungsvertrag

Zwecke der Datenverarbeitung - (überwiegendes) berechtigtes Interesse:

  • Verbreitung/Ausspielung von (auch werbenden) Informationen für Services und Veranstaltungen im Wege der Direktwerbung („Marketingzwecke“), soweit gesetzlich zulässig 
  • Erhaltung und Erhöhung der Kundenzufriedenheit und der Kundenbindung durch Analyse des Nutzungsverhaltens mit dem Ziel der Verbesserung des Serviceangebotes, dies unter Einsatz von Clevertap und Google Analytics 
  • Bereitstellung von (auch werbenden) Newsletter an Kunden mit jederzeitiger Opt-out-Möglichkeit 
  • Übermittlung von elektronischen Identifikationsdaten des Nutzers an Drittanbieter, um Inhalte durch Beiträge in sozialen Netzwerken (z.B. YouTube) und anderen Applikationen (z.B. Google Maps) einzubinden.

Rechtsgrundlage der Datenverarbeitung

1) Vertragserfüllung  
  • Online: Die Inanspruchnahme der Online-Services des Verantwortlichen basiert auf einem Vertrag iSd Art 6 Abs 1 lit b DSGVO, durch eine Registrierung entsteht ein Registrierungsverhältnis. 
  • Abschluss von Ticketkaufverträgen: Im Falle des Erwerbs von Tickets beruht die Datenverarbeitung des Veranstalters auf dem jeweils abgeschlossenen Vertrag und dient diese der Vertragserfüllung  
2) Zusatzservices: Einwilligung. Für einzelne Services (z.B. Newsletter) holt der Verantwortliche ausdrücklich Einwilligungen vom Kunden ein iSd Art 6 Abs 1 lit a DSGVO . Diese Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.

3) Überwiegende berechtigte Interessen  

IT Sicherheit: Der Verantwortliche speichert die IP-Adressen von bloßen Besuchern der Website für die Dauer von 7 Tagen, um auf gezielte Angriffe in Form der Überlastung von Servern („Denial of service“-Angriffe) und andere Schädigungen der Systeme abwehren zu können. An dieser Datenverarbeitung zum Zwecke der Aufrechterhaltung der Funktionsfähigkeit seiner online bereitgestellten Dienste hat der Verantwortliche ein überwiegendes berechtigtes Interesse (Erwägungsgrund 49 der DSGVO).
 
Informationsverbreitung/Direktwerbung: Der Verantwortliche verarbeitet die Kundendaten (nicht jedoch solche von Kindern oder besondere Kategorien von personenbezogenen Daten im Sinne des Art 9 DSGVO („sensible Daten“) auch, um diese zu Zwecken der Direktwerbung für (weitere) Angebote des Verantwortlichen zu nutzen. Der Verantwortliche hat an der Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung ein berechtigtes Interesse (Erwägungsgrund 47, letzter Satz der DSGVO). Verarbeitet werden dabei ausschließlich jene Kundendaten, über die der Verantwortliche aus einem Vertragsverhältnis verfügt und für die noch die Speicherfrist läuft. Eine Verlängerung der Speicherfrist erfolgt dadurch nicht. Vorrangiges Ziel der Datenverarbeitung ist die Kundengewinnung. Dabei stützen sich die Verantwortlichen auf ihre konventions- und verfassungsrechtlich geschützte Erwerbsfreiheit und Kommunikationsfreiheit (insb. Art 10 EMRK, der auch Werbemaßnahmen schützt) und auf die Rechte
 
  • zur Übermittlung von postalischer Werbung; 
  • zur Übermittlung von elektronischer Post nach Einwilligung
 
Bei der Nutzung dieser Daten hält der Verantwortliche die kommunikationsrechtlichen Vorgaben ein.   
 
Retargeting: Facebook nutzt das vom Verantwortlichen in seinen Services gesetzte „Facebook-Pixel“ um am Gerät des Nutzers Cookies abzulegen und bestehende Cookies, andere Identifier abzulesen und das zum Identifier oder Nutzer angelegte Profil anzureichern. Der Verantwortliche hat auf diese von Facebook erhobenen Daten einen Zugriff, nutzt diese aber zur Ausspielung von Werbung an die Zielgruppe der Interessenten am Service des Verantwortlichen.

Zweckänderung

Informationsverbreitung/Werbung: Der Verantwortliche informiert, dass er die personenbezogenen Daten des Kunden auch zu Zwecken der Informationsverbreitung/Direktwerbung und zu Zwecken des Retargeting verarbeitet. Damit will der Verantwortliche über eigene Services und über die Veranstaltungen der Veranstalter informieren und diese bewerben. Zu diesem Zweck werden diese Daten keinem Dritten unter dessen Verantwortung überlassen. Es besteht keine Unvereinbarkeit mit dem Zweck der ursprünglichen Datenerhebung. Der Kunde kann gegen die Verwendung seiner personenbezogenen Daten zu Zwecken der Direktwerbung jederzeit und ohne Angabe von Gründen Widerspruch einlegen.

Bewertungen von persönlichen Aspekten des Kunden („Profiling“)

Um dem Kunden im Rahmen des Vertragszwecks passende Empfehlungen abgeben zu können analysiert und bewertet der Verantwortliche das Nutzungs- und Nachfrageverhalten des Kunden. Dieses bewertete Verhalten verwendet der Verantwortliche, um dem Kunden zielgerichtet interessensspezifische Empfehlungen zu übermitteln entsprechend Art 6 Abs 1 lit f DSGVO.

Pflicht zur Bereitstellung von Daten

Den Kunden trifft bei der Nutzung der Services keine Pflicht zur Bereitstellung von Daten. Beim Kaufvorgang sind die für Kaufvorgang erforderlichen Felder wahrheitsgemäß auszufüllen.

Automatisierte Entscheidungsfindung

Der Kunde unterliegt keiner automatisierten Entscheidung, die ihm gegenüber rechtliche Wirkung entfaltet.

Datenquellen

(soweit nicht vom Kunden bekannt gegeben oder vom Verantwortlichen erhoben)  
  • E-Mail-Versand "Mailchimp": The Rocket Science Group, LLC, 675 Ponce de Leon Ave NE, Suite 5000, Atlanta, GA 30308 USA Datenarten: IP Standort, bevorzugter E-Mail Client, Quelle der Anmeldung, Kampagnendetails (Empfang, Öffnung, Klick) 
  • Facebook-Login: Facebook Inc., 1601 S. California Ave, Palo Alto, CA 94304Facebook-ID und E-Mail-Adresse 
  • Datenanalyse und Push-Notification-Versand "Clevertap": Push-Token, Device ID, Verhaltensdaten des Nutzers (z.B.: Event angesehen, Warenkorb, gekauft, bewertet), Device, Betriebssystem, User Agent, Localization 
  • Erfassung der Quelle des Downloads: Branch und Appsflyer SDK: Dient zur Erkennung von welcher Quelle ein User die App heruntergeladen hat und ist beispielsweise für das Referral-System und das Deeplinking in die App erforderlich. Zur Erkennung der Downloadquelle werden folgende Merkmale erhoben: iOS Identifier for Advertising (IDFA), iOS Identifier for Vendors (IDFV), Android Advertising ID (GAID), Android ID Branch Cookie ID, IP Address, Application version, Device model, Manufacturer, Operating system, Operating system version, Screen size, Screen resolution, Session start/stop time, Mobile network status (WiFi, etc)Application installed time, Application updated time, Device locale (country and language), Local IP address, Mobile platform, Branch SDK version, Developer ID

Externe Empfänger von Daten

A) Einbindung von Services von Drittanbietern in die Plattform: Übermittlung von elektronischen Identifikationsdaten, insbesondere IP-Adresse: 

B) Veranstalter (werden jeweils beim Kaufvorgang angegeben): E-Mail, Vorname, Nachname, Newsletter-Anmeldung für den jeweiligen Veranstalter (separater Opt-In), Angaben zur Bestellung, gegebenenfalls das Geburtsdatum

C) Auftragsverarbeiter
  • (Weiter-)Entwicklung & Betrieb der Classic Card Lösungen (App und Website): Technologiepartner „easy-connect“ - Ticket Gretchen GmbH, Mariahilferstraße 109, 1060 Wien, Österreich
Subauftragsverarbeiter
  • Hostprovider - Serverstandort Frankfurt: Amazon Web Services, Inc., 410 Terry Avenue North Seattle WA 98109, United States 
  • Google Analytics (mit "anonymize IP"): Google LLC, 1600 Amphitheatre Parkway Mountain View, CA 94043, USA 
  • E-Mail-Kampagnenversand "Mailchimp": The Rocket Science Group, LLC, 675 Ponce de Leon Ave NE, Suite 5000, Atlanta, GA 30308 USA 
  • Zahlungsdienst: Stripe, 510 Townsend Street, San Francisco, CA 94103, USA Zahlungsgateway für die Abwicklung von Kreditkartenzahlungen und SOFORT - Überweisung. Stripe ist im Rahmen des EU-U.S. - Privacy Shield - Frameworks zertifiziert. Stripe verarbeitet personenbezogene Daten nach Vorgabe der EU-Standardvertragsklauseln.“ 
  • Zahlungsdienst: BS PAYONE GmbH, Lyoner Straße 9, D-60528 Frankfurt/Main Die kritischen Zahlungsdaten (z.B.: Kreditkarteninformationen) werden direkt vom Kunden an den Zahlungsdienst weitergeleitet, ohne dass eine Speicherung der Daten auf den Servern der Ticket Gretchen GmbH erfolgt. Bei Ticket Gretchen werden lediglich pseudonymisierte Daten gespeichert. 
  • Zahlungsdienst: PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxembourg Die Zahlung durch den Kunden erfolgt direkt bei PayPal. Es werden lediglich für die Bestellung relevante Daten abgefragt (Betrag, Status). 
  • Zahlungsdienst: Blue Code International AG, Gartenstrasse 5, 8853 Lachen, Schweiz Verarbeitet Blue Code Zahlungen 
  • Zahlungsdienst – SOFORT Überweisung: Klarna Bank AB (publ), Sveavägen 46, 111 34 Stockholm, Schweden Die Zahlung durch den Kunden erfolgt direkt beim Zahlungsanbieter, es wird dadurch eine Banküberweisung vom Endkunden an Ticket Gretchen ausgelöst. 
  • Ausweiskontrolle für spezielle Angebote (z.B. U27): AriadNEXT, ZAC des Champs Blancs, 1219 Avenue des Champs Blancs, 35510 CESSON SEVIGNE – FRANCE 
  • Datenauswertung Clevertap – Serverstandort EWR: WizRocket Inc., 440 N Wolfe Rd, Sunnyvale, CA 94085, USA. Das Hosting und Verarbeiten der Daten erfolgen ausschließlich innerhalb des EWR in Rechenzentren von Amazon Web Services. Datenauswertung Branch - Serverstandort USA: Branch Metrics Inc. 2443 Ash Street, Palo Alto, Clifornia 94306, USA Datenauswertung: Graf Moser Management GmbH, Mariahilferstraße 109/20, 1060 Wien, Österreich. Das Hosting erfolgt in Rechenzentren in Deutschland. Servermonitoring – Serverstandort USA: Rollbar, 221 Main St. Suite 780, San Francisco, CA 94105, USA 
  • Verarbeitung von IP-Adressen (Konvertierung in Länderinformation): MaxMind, Inc. –14 Spring St., Suite 3, Waltham, MA 02451, US 
Der Verantwortliche behält sich den Einsatz weiterer Auftragsdatenverarbeiter ausdrücklich vor. Diese werden sodann in der auf den Einsatzbeginn folgenden Aktualisierung der Datenschutzinformation ausgewiesen. Diese Datenverarbeitungen der Auftragsdatenverarbeiter finden unter der Verantwortung des Verantwortlichen statt. 

Interne Empfänger

  • Systemadministrator
  • Fachabteilung – Marketing und Vertrieb
  • Geschäftsführung

Drittstaatstransfer

Folgende Daten werden im Zuge der Datenverarbeitung an Staaten außerhalb der EU übermittelt:
  • Google (EUStandardvertragsklauseln) Land: USA Datenarten- Google Analytics: anonymisierte IP-Adresse, Websitetitel, browserspezifische Informationen, Informationen über die Websitenutzung Datenarten- Google Maps: elektronische Identifikationsdaten 
  • Mailchimp (EU-Standardvertragsklauseln) Land: USA Datenarten: E-Mail-Adresse, Name, Usertyp 
  • Branch Metrics (EU-StandardvertragsklauselnLand: USA Datenarten- Webseite: IP-Adresse, angeklicketer Download-Link, User Agent, Referrer, Cookie, Telefonnummer bei Verwendung des „Text-Me-The-App“ Features auf der Webseite. Datenarten- App SDK: iOS Identifier for Advertising (IDFA), iOS Identifier for Vendors (IDFV), Android Advertising ID (GAID), Android ID, Branch Cookie ID, IP Address, Application version, Device model, Manufacturer, Operating system, Operating system version, Screen size, Screen resolution, Session start/stop time, Mobile network status (WiFi etc.), Application installed time, Application updated time, Device locale (country and language), Local IP address, Mobile platform, Branch SDK version, Developer ID 
  • Rollbar (EU-Standardvertragsklauseln) Land: USA Datenarten: Im Fehlerfall wird die Ticket Gretchen User ID und Metainformationen zum Fehler (z.B.: betroffene Vorstellung, Fehlermeldung, etc.) gespeichert. Die Daten werden nach 7 Tagen wieder automatisch gelöscht. 
  • Facebook SDK (EU-Standardvertragsklauseln Land: USA Datenarten: Explizite Events – Informationen aus Events, die verfolgt werden. Z.B.: Event ansehen, Warenkorb, Kauf. Implizierte Events – Informationen aus Events, die implizit protokolliert werden, wenn ein Werbetreibender andere Funktionen des Facebook-SDK nutzt, wie z. B. die Integration mit Facebook Login oder dem „Gefällt mir”-Button. Automatisch protokollierte Events – Grundlegende Interaktionen in der App (z. B. App-Installationen, App-Starts) und Systemereignisse (z. B. Laden des SDK, SDK-Performance), die automatisch aufgezeichnet werden. Entwickler können die automatische Protokollierung deaktivieren und explizite Events stattdessen manuell protokollieren (Anleitung hier für iOS und Android). Facebook-App-ID – Eine eindeutige, von Facebook vergebene ID der Webseite und der mobilen App des Werbetreibenden. Mobile Werbe-ID – die iOS IDFA oder Android Werbe-ID. Metadaten aus der Anforderung – Typ und Version des mobilen Betriebssystems, SDK-Version, App-Name, App-Version, Opt-out-Einstellung des Geräts, Nutzeragenten-String und Client-IP-Adresse. Das SDK erfasst zudem folgende Geräte-Kennzahlen: Zeitzone, Betriebssystem des Geräts, Gerätemodell, Anbieter, Bildschirmgröße, Prozessorkerne, Gesamtspeicherplatz, freier Speicherplatz.

Auftritte in Social-Media-Kanälen

Der Verantwortliche informiert, dass er zu Zwecken der Werbung und der Kommunikation mit den Kunden in Social-Media-Kanälen eigenständige Onlineauftritte abrufbar hält. Bei diesen Onlineauftritten können die Daten des Kunden außerhalb der Europäischen Union verarbeitet werden, wodurch ein erhöhtes Risiko auf Verletzung des Datenschutzes besteht. Die Betreiber der Social-Media-Kanäle haben sich, soweit sie in den USA ansässig sind, größtenteils den EU-Standardvertragsklauseln unterstellt. Diese Onlineauftritte werden in der technischen Umgebung des jeweiligen Social-Media-Betreibers abrufbar gehalten. Die Social-Media-Betreiber nutzen den Besuch des Onlineauftritts durch den Kunden sodann für eigene Zwecke, insbesondere um (interessensbasierte) Werbung auszuspielen. Die Social-Media-Betreiber nutzen den Besuch, um „Cookies“ am Endgerät des Kunden abzulegen, bereits vorhandene Cookies/Identifier auszulesen, aus dem Nutzungsverhalten auf Interessen des Kunden zu schließen und damit das zum Kunden oder Identifier angelegte Nutzungsprofil anzureichern. Ziel ist dabei die Ausspielung von interessensbasierter Werbung an den Kunden, die auch auf später besuchten Websites dritter Anbieter erfolgen kann. Die Verarbeitung der personenbezogenen Daten des Kunden erfolgt aufgrund der überwiegenden berechtigten Interessen des Verantwortlichen an den Werbemaßnahmen und der Kundenkommunikation, die durch die Erwerbsfreiheit (Art 6 StGG, Art 12 GG) und Kommunikationsfreiheit (ins. Art 10 EMRK, der auch Werbemaßnahmen schützt) konventions- und verfassungsrechtlich geschützt ist. Sind die Kunden Nutzer der Social-Media-Kanäle, so kann die Datenverarbeitung auch durch die Einwilligung des Kunden abgedeckt sein. Der Verantwortliche informiert, dass sie auf die Daten des Kunden keinerlei Zugriff hat. Der Verantwortliche empfiehlt daher dem Kunden, sich im Falle der Geltendmachung seiner Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und Datenübertragbarkeit direkt an den jeweiligen Social-Media-Kanal zu wenden.
 
Die Nutzer von Social-Media-Kanälen können auch selbst im Bereich ihrer Privacy-Einstellungen Änderungen vornehmen. Der Verantwortliche unterstützt den Kunden dabei, sollte das erforderlich sein. Weitergehende Informationen findet der Kunde unter:  
 

Speicherdauer

Rechtsgrundlage Vertragsbeziehung: Die Daten werden vom Verantwortlichen auf Grund der oben genannten Rechtsgrundlage grundsätzlich bis 40 Monate nach Vertragsbeendigung (= 36 Monate mögliche vertragliche Schadenersatzansprüche + max. 4 Monate Zustelldauer einer Klage) personenbezogen verarbeitet und danach (jedenfalls der Personenbezug) gelöscht. Soweit eine gesetzliche Verpflichtung zur Aufbewahrung von Daten besteht, erfolgt eine personenbezogene Datenverarbeitung von abrechnungsrelevanten Daten jedenfalls noch bis zum Ende der gesetzlichen Aufbewahrungspflicht (derzeit grundsätzlich 10 Jahre nach dem Ende des Geschäftsjahres des Anfalls). 

Rechte des Betroffenen

  • Art 15 DSGVO "Auskunft" Der Kunde hat das Recht, Auskunft darüber zu verlangen, ob und in welchem Umfang personenbezogene Daten von ihm verarbeitet werden. 
  • Art 16 DSGVO "Berichtigung" Der Kunde hat das Recht, unverzüglich die Berichtigung unrichtiger personenbezogener Daten oder deren Vervollständigung zu verlangen. 
  • Art 17 DSGVO "Löschung" Der Kunde hat das Recht, zu verlangen, dass die personenbezogenen Daten unverzüglich gelöscht werden, sofern die in Art 17 Abs 1 DSGVO genannten Gründe erfüllt sind. 
  • Art 18 DSGVO "Einschränkung" Der Kunde hat das Recht, zu verlangen, dass die Verarbeitung der personenbezogenen Daten eingeschränkt wird, sofern die in Art 18 Abs 1 DSGVO genannten Gründe erfüllt sind. 
  • Art 21 DSGVO "Widerspruch" Der Kunde hat das Recht, gegen die Verarbeitung seiner personenbezogenen Daten auf der Grundlage des überwiegenden berechtigten Interesses Widerspruch einzulegen. 
  • Art 20 DSGVO "Datenübertragbarkeit" Der Kunde hat das Recht, seine bekannt gegebenen personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.

Beschwerderecht

Art 77 DSGVO § 24 DSG Jeder Kunde hat das Recht auf Beschwerde bei der Aufsichtsbehörde, wenn er der Ansicht ist, dass die Verarbeitung der ihn betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.

Aufsichtsbehörde

Classic Card: Berliner Datenschutzbehörde, Berliner Beauftragte für Datenschutz und Informationssicherheit, Friedrichstraße 219, 10969 Berlin, mailbox@datenschutz-berlin.de