Datenschutzhinweise für Nutzende der KulturPass-App und Registrierte

Auf dieser Seite findest Du Informationen zum Datenschutz für das Registrieren bei kulturpass.de und für die Nutzung des Angebotes von kulturpass.de als registrierte Benutzerinnen und Benutzer und der KulturPass-App. Diese gelten ergänzend zu den allgemeinen Datenschutzhinweisen, die hier abrufbar sind:Allgemeine Datenschutzhinweise

Die ergänzenden Datenschutzhinweise für Kulturanbietende finden sich hier:Datenschutzhinweise für Kulturanbietende

 

Datenschutzrechtliche Hinweise für das Registrieren bei KulturPass und die Nutzung als registrierte Benutzer und Benutzerinnen und für die KulturPass-App

Stand 11.09.2024

Die Beauftragte der Bundesregierung für Kultur und Medien (BKM) nimmt den Schutz Deiner Daten sehr ernst. Aus diesem Grunde haben wir Maßnahmen getroffen, die sicherstellen, dass die Vorschriften über den Datenschutz sowohl von uns als auch von unseren externen Dienstleistern beachtet werden.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt – insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung – identifiziert werden kann.

 

1. Wer ist verantwortlich für die Datenverarbeitung?

Verantwortliche Stelle für die Datenverarbeitung im Zusammenhang mit der Nutzung der KulturPass-App und der KulturPass-Webseite unter kulturpass.de und kulturpass.app ist der/die

Beauftragte/r der Bundesregierung für Kultur und Medien (nachfolgend „BKM“)
Köthener Straße 2
10963 Berlin
Deutschland

Die administrative Realisierung erfolgt weisungsgebunden im Auftrag der BKM durch die

Stiftung Digitale Chancen
Vorstandsvorsitzende Frau Jutta Croll
Chausseestraße 15
10115 Berlin

auf der Grundlage eines Vertrages zur Auftragsverarbeitung.

 

2. Wie kann ich den Datenschutzbeauftragten kontaktieren?

Der/Die Datenschutzbeauftragte kann wie folgt kontaktiert werden:

Beauftragte(r) der Bundesregierung für Kultur und Medien
Behördlicher Datenschutzbeauftragter
Graurheindorfer Straße 198
53117 Bonn
Telefon 0228 99 681 13655
Fax: 0228 99 681 513655
E-Mail: datenschutzbeauftragter@bkm.bund.de

 

3. Welche personenbezogenen Daten werden zu welchen Zwecken erhoben?

3.1 Aufruf der Internetseite

Bei jedem Zugriff auf unsere Webseite verarbeiten wir die folgenden Informationen automatisiert, die vorübergehend in einer Log-Datei gespeichert werden:

  • Name der aufgerufenen Webseite/Datei
  • Datum und Uhrzeit des Seitenaufrufs
  • Meldung über den erfolgreichen Abruf
  • durch Kürzung anonymisierte IP-Adresse des abrufenden Computers bzw. sonstigen Endgerätes (z. B. Tablet-PC oder Smartphone)
  • Browsertyp, die Browserversion, Browser-Sprache und das verwendete Betriebssystem.  

Die Log-Files werden nach 14 Tagen gelöscht. Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 Satz 1 lit. e DSGVO i. V. m. § 3 BDSG.

3.2 Einsatz von Cookies

Bei der Nutzung der KulturPass-App und dem Besuch der KulturPass-Webseite kommen Cookies zum Einsatz. Cookies sind kleine Textdateien, die auf dem Endgerät des Nutzers bzw. der Nutzerin (z. B. PC, Smartphone, Tablet-PC) lokal gespeichert werden. Wir verwenden ausschließlich Cookies, die technisch erforderlich sind, um das Angebot nutzen zu können (§ 25 Abs. 2 Nr. 2 TTDSG). Es werden die folgenden Cookies gesetzt:

Cookie-Name

Beschreibung

Art

Speicherdauer

ROUTE

Session-Cookie zur Navigation innerhalb des KulturPass-Angebotes. Es dient der zuverlässigen Kommunikation zwischen einem Client und dem Backendsystem.

Session

Für die Dauer der Session.

Session ID

(eID Connector)

Session-Cookie zur Ermöglichung der Nutzung von eID. 

Session

Für die Dauer der Session

Session ID (BankID Connector)

Session-Cookie zur Ermöglichung der Identifikation über Sparkassen

Session

Für die Dauer der Session

AuthToken

Auth-Token zur Authentifizierung gegenüber dem System.

Persistent

1 Stunde

auth

Cookie zur Realisierung einer Session im Commerce-Bereich

LocalStorage

unbegrenzt 

gig_canary

Cookie zur Überprüfung, ob der Client die Canary-Version des WebSDK verwendet. Dient dem sicheren Ausrollen von neuen Updates, um einen reibungslosen Betrieb der Anwendung sicherzustellen. 

Persistent

1 Jahr

gig_canary_ver

 

Enthält die Canary-Version des WebSDK. Dient dem sicheren Ausrollen von neuen Updates, um einen reibungslosen Betrieb der Anwendung sicherzustellen.

Persistent

1 Jahr

glt_4_<env>

Anmelde-Token für die Authentifizierung beim Login, um den Anmelde-Tokenwert für die API-Berechtigung zu übergeben.

Session

Für die Dauer der Session.

gig_bootstrap_4_<env>

Wird für die Webanwendung benötigt, um sicherzustellen, dass eine unterstützte SDK-Version verwendet wird.

Persistent

1 Jahr

gltexp_<env>

Cookie für die Umsetzung des Session-Managements

Session

Für die Dauer der Session

anonymous-consents 

Speicherung der Information, ob der Nutzer eine Einwilligung erteilt hat.

LocalStorage

unbegrenzt

gmid

Enthält eine eindeutige ID des Benutzers für die Browserregisterkarte oder die Instanz der mobilen Anwendung des aktuellen Nutzers. Diese ist wichtig für eine Reihe von Sicherheitsfunktionen der Identitätsplattform. 

Persistent

12 Monate 

hasGmid

Cookie zur Sicherstellung der Nutzbarkeit des WebSDK. Je nach Browser/Cookie-Konfiguration wird entweder die Information im Cookie oder im LocalStorage gespeichert.

Persistent

13 Monate

ucid

Enthält eine Computerkennung zur Identifizierung des  

Endpunkts.

Persistent

13 Monate

Kp-cookie-banner-accepted

Speichert die Information, ob der Cookies bestätigt wurde.

Persistent

12 Monate

kp.ios.geolocation.allowed

Beinhaltet die Information, ob eine Einwilligung zur Standortfreigabe erteilt wurde (iOS)

Persistent

unbegrenzt

Rechtsgrundlage für das Setzen und Auslesen der Cookies ist Artikel 6 Abs. 1 lit. e DSGVO, § 3 BDSG.

3.3 Nutzung von KulturPass ohne Registrierung

Du kannst Dir die KulturPass-Webseite ansehen und die KulturPass-App herunterladen und zu Informationszwecken nutzen, ohne Dich registrieren bzw. anmelden zu müssen.

3.3.1 Standortfreigabe

Beim ersten Aufruf der KulturPass-App und der KulturPass-Webseite wirst Du gefragt, ob Du KulturPass Zugriff auf Deinen Standort gewähren möchtest, um Kulturangebote in Deiner Nähe anzeigen zu lassen. Wenn Du Dich mit dem Erhalt von Push-Mitteilungen (siehe Ziffer 3.3.2) und/oder als registrierte/r Nutzer/in mit dem Erhalt von angebotsbezogenen Informationen per E-Mails einverstanden erklärst (siehe unten Ziffer 3.4.3), nutzen wir die Informationen zum Standort ggf. auch dazu, Dich per E-Mail oder Push-Nachrichten auf Angebote oder Aktionen in Deiner Nähe aufmerksam zu machen.

Du kannst frei entscheiden, ob Du das möchtest und die Standortfreigabe kann jederzeit in den Einstellungen Deines Gerätes deaktiviert werden. Wenn du Standortfreigabe aktivierst, werden Deine Standortinformationen an den Anbieter deines Geräte-Betriebssystems übermittelt, der diese Information dann an die KulturPass-App sendet. Bitte beachte die Datenschutzhinweise und die Nutzungsbedingungen dieses Anbieters.

Alternativ kannst Du die Standortfreigabe auch in Deinen Smartphone-Einstellungen aktivieren und deaktivieren. Wie das funktioniert, kannst Du hier lesen:

Gleichermaßen kannst Du entsprechende Einstellungen in Deinem Web-Browser vornehmen. Wenn Du Deinen Standort nicht freigeben möchtest, kannst Du innerhalb von KulturPass die Suche nach Angeboten auch über die Eingabe einer Postleitzahl eingrenzen.

Datenschutzrechtliche Grundlage ist Art. 6 Abs. 1 S. 1 lit. a, Art. 49 Abs. 1. S. 1 lit. a DSGVO.

3.3.2 Push-Mitteilungen

Du wirst auch danach gefragt, ob Du in den Erhalt sog. Push-Mitteilungen einwilligst, was uns ermöglicht, Dir Nachrichten im Zusammenhang mit dem KulturPass und KulturPass-Angeboten zu senden, die direkt in Deinem Smartphone angezeigt werden. Wir versenden Push-Nachrichten mit Informationen beispielsweise zu Statusänderungen von Reservierungen, Stornos, Erstattungen, Erinnerungen an die Abholung von Produkten, zu Deinem Budget, das Erreichen des Alters für die Zuteilung des Budgets usw. oder technischen Informationen zum KulturPass, Updates, Änderungen der Nutzungsbedingungen usw. Von Zeit zu Zeit versenden wir auch Informationen über besondere KulturPass-Aktionen, Gewinnspiele, besondere Kulturangebote oder -Veranstaltungen usw. und Einladungen zu Umfragen/Feedbacks (zur inhaltlichen und/oder technischen Verbesserung des KulturPass-Angebotes). Soweit Du der Standortfreigabe zugestimmt oder eine Postleitzahl hinterlegt hast, können wir hierbei auch Deinen Ort berücksichtigen, um Dich z. B. über besondere Angebote in Deiner Nähe zu informieren.

Selbstverständlich ist diese Einwilligung freiwillig und Du kannst sie jederzeit durch Deaktivierung der Push-Mitteilungen in den Einstellungen Deines Smartphones widerrufen. Dort kannst Du sie auch wieder aktivieren, wenn Du dies möchtest.

Zur Realisierung der Push-Funktionalität setzen wir eine von Google (Google Ireland Limited) bereitgestellte Schnittstelle (Firebase Cloud Messaging, FCM) ein. Die auf Firebase bezogenen Datenschutzhinweise von Google finden sich hier: firebase.google.com/support/privacy.

Bei Aktivierung von Push-Benachrichtigungen werden Deine IP-Adresse sowie Deine Geräte-ID an Google übermittelt, wobei davon auszugehen ist, dass eine Übermittlung auch an die Google LLC mit Sitz in den USA erfolgt. Die Benachrichtigung selbst erfolgt bei Android-Endgeräten direkt über das FCM, bei iOS-Endgeräten über Server der Apple, Inc. (Apple Push Notification Services).

Bitte beachte: Die USA gewährleisten nach Ansicht des EuGH kein angemessenes Datenschutzniveau, also keinen Datenschutz in dem Maße, wie die Mitgliedsstaaten der EU dies nach dem Unionsrecht gewährleisten. Die nach dem Recht der EU gewährleisteten Rechte werden dort ggf. nur eingeschränkt oder teilweise gar nicht gewährleistet. Insbesondere müssen wir darauf hinweisen, dass US-amerikanische Behörden auf Daten, die von einem US-Unternehmen verarbeitet werden, zugreifen können, ohne dass du über diesen Zugriff informiert wirst und ohne dass du diesbezüglich Rechte in dem Umfang und der Effektivität geltend machen und durchsetzen kannst, wie dies innerhalb der EU möglich ist. Die Google LLC hat sich allerdings dem EU-US Data Privacy Framework (DPF) angeschlossen; nach einem Beschluss der Europäische Kommission bieten Unternehmen, die nach dem DPF zertifiziert sind, ein hinreichendes Datenschutzniveau für den Empfang und die Verarbeitung personenbezogener Daten.

Datenschutzrechtliche Grundlage ist Art. 6 Abs. 1 S. 1 lit. a, Art. 49 Abs. 1. S. 1 lit. a DSGVO.

3.4 Registrierung bei KulturPass

3.4.1 Beschreibung

Um KulturPass zum Reservieren von Kulturangeboten nutzen zu können, ist eine vorherige Registrierung erforderlich. Hierfür musst Du den Nutzungsbedingungen zustimmen, bestätigen, dass Du die Datenschutzhinweise zur Kenntnis genommen hast, der mit der Einrichtung Deines Accounts einhergehenden Datenverarbeitung zustimmen (durch Betätigung von „Einverstanden“) und im dann nachfolgenden Screen einige Daten angeben, nämlich

  • Deine E-Mail-Adresse
  • ein Passwort
  • Deinen Namen (optional)
  • Dein Geburtsdatum (optional)

Für die Registrierung ist die Angabe Deiner E-Mail-Adresse erforderlich. Bitte beachte auch den gesonderten Abschnitt für E-Mails, die wir an diese E-Mail-Adresse senden (unten, Ziffer 3.4.3). Die Angabe Deines Namens und Deines Geburtstages sind optional. Wenn Du Deinen Namen angibst, können wir Dich in dem KulturPass-Angebot und in E-Mails namentlich ansprechen. Wenn Du Dein Geburtsdatum angibst, können wir Dich darüber per E-Mail oder, falls Du Push-Benachrichtigungen erlaubt hast, mittels einer Benachrichtigung informieren und ggf. erinnern, nachdem Du das erforderliche Alter erreicht hast, um Dein Budget zu erhalten.

Bitte beachte: Wenn Du Dich identifizierst (siehe Ziffer 3.5), werden wir aus Deinem Ausweisdokument auch Dein Geburtsdatum auslesen. Sollte dieses von dem Geburtsdatum abweichen, das Du bei der Registrierung angegeben hast, wird letzteres durch Dein richtiges, aus dem Dokument ausgelesenes, Geburtsdatum ersetzt, was Du hiernach nicht mehr ändern kannst.

Du hast in einem nächsten Schritt noch die Möglichkeit, Deine Interessen und Vorlieben sowie eine Postleitzahl zu Deinem Profil zu speichern, anhand derer wir Dir Kulturangebote anzeigen, die Deinen Interessen möglichst entsprechen. Diese Angaben sind freiwillig, und Du kannst sie jederzeit im Profil ändern.

Im Anschluss an den Registrierprozess (nach einem Klick auf „Registrieren“) senden wir Dir eine E-Mail mit einem Link, den Du anklicken musst, um die Richtigkeit der von Dir angegebenen E-Mail-Adresse zu bestätigen. Hiernach kannst Du Dich mit Deiner E-Mail-Adresse und Deinem Passwort in der KulturPass-App oder auf der KulturPass-Webseite anmelden. Solltest Du einmal Dein Passwort vergessen, kannst Du es über „Passwort vergessen“ zurücksetzen.

Wenn Dir Kulturangebote gefallen, kannst Du sie zu Deinem Konto als Favoriten speichern oder auch selbst wieder löschen. Wenn Du Dich mit dem Erhalt von Push-Mitteilungen (siehe Ziffer 3.3.2) und/oder als registrierte/r Nutzer/in mit dem Erhalt von angebotsbezogenen Informationen per E-Mails einverstanden erklärst (siehe unten Ziffer 3.4.3), nutzen wir die Information, welche Favoriten Du gewählt hast, ggf. auch dazu, Dich per E-Mail oder Push-Nachrichten auf Angebote oder Aktionen hinzuweisen, die angesichts Deiner Favoritenwahl wahrscheinlich Deinen Interessen entsprechen.

3.4.2 Einwilligung, Widerruf, weitere Rechtsgrundlagen

Die Eröffnung des Benutzerkontos und die hiermit einhergehende und sich anschließende Datenverarbeitung setzt Deine vorherige Einwilligung voraus.  Die Erteilung der Einwilligung ist freiwillig; es besteht weder eine gesetzliche noch eine vertragliche Pflicht zur Registrierung und somit zur Übermittlung der personenbezogenen Daten. Die Eröffnung eines Accounts ohne Erteilung einer vorherigen Einwilligung ist jedoch nicht möglich, was zur Folge hat, dass Du das Budget nicht erhalten und auch keine Reservierungen über die KulturPass-App vornehmen kannst.

Du kannst die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Du Dein Profil in den Einstellungen löschst. Wir werten die Löschung des Accounts als Widerruf Deiner Einwilligung. Im Falle des Widerrufes per E-Mail an uns wird das Benutzerkonto von uns gelöscht, nachdem wir die Berechtigung zum Widerruf (Inhaberschaft des Accounts) geprüft haben. Ein Widerruf hat auf die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung keinen Einfluss.

Bitte beachte, dass wir auch im Falle des Widerrufs Deiner Einwilligungserklärung auf der Grundlage gesetzlicher Vorschriften berechtigt und ggf. sogar verpflichtet sein können, die bis dahin erhobenen Daten weiter zu verarbeiten. Die Datenverarbeitung für diese Zwecke erfolgt dann nicht mehr auf der Grundlage Deiner Einwilligung, sondern aufgrund einer oder mehrerer gesetzlicher Erlaubnisse. Insbesondere wenn Du Kulturangebote über KulturPass in Anspruch genommen hast, können wir die transaktionsbezogenen Daten (dies sind Informationen, die im Zusammenhang mit der Reservierung und der Inanspruchnahme des reservierten Angebotes anfallen und personenbezogene Daten beinhalten) auch nach dem Widerruf gespeichert halten und verarbeiten, wenn und soweit dies für die Begründung, Durchführung oder Beendigung eines mit Dir geschlossenen Vertrages erforderlich ist oder wir zur Speicherung dieser Daten anderweitig berechtigt oder gesetzlich verpflichtet sind (insbesondere gesetzliche Aufbewahrungspflichten). Ferner speichern wir, falls Du Dich identifiziert hast (siehe Ziffer 3.5), Daten aus Deinem Ausweisdokument auch nach Löschung Deines Kontos zu dem Zweck, Mehrfachregistrierungen, Mehrfachzuteilungen des Budgets und Missbrauch zu verhindern (zu der Speicherdauer siehe Ziffer 4).

Rechtsgrundlage für die Datenverarbeitung zur Einrichtung und Aufrechterhaltung eines Benutzeraccounts ist Artikel 6 Abs. 1 S. 1 lit. a DSGVO sowie ergänzend Art. 6 Abs. 1 S. 1 lit. e DSGVO, § 3 BDSG. Letzteres ist auch Grundlage für eventuelle Informationen bzw. Erinnerungen per E-Mail im Hinblick auf die Möglichkeit der Identifizierung; Push-Benachrichtigungen erfolgen auf der Grundlage Deiner Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO). Die eventuelle weitere Verarbeitung der Daten nach Vertragsabwicklung zur Begründung und Abwicklung von Reservierungen und für die Abrechnung der in Anspruch genommenen Kulturleistung basiert auf Artikel 6 Abs. 1 S. 1 lit. b DSGVO sowie Art. 6 Abs. 1 S. 1 lit. e DSGVO, § 3 BDSG. Die Verarbeitung zur Wahrung gesetzlicher Aufbewahrungsfristen erfolgt auf der Grundlage von Art. 6 Abs. 1 S. 1 lit. c DSGVO. Die Verarbeitung der Daten zur Erkennung und Verhinderung von Mehrfachregistrierungen, Mehrfachzuteilungen und Missbrauch erfolgt auf der Grundlage von Art. 6 Abs. 1 S. 1 lit. e DSGVO, § 3 BDSG. Sofern eine weitere Speicherung und sonstige Verarbeitung zur Geltendmachung von/zur Verteidigung gegen zivilrechtliche Ansprüche erfolgt, basiert dies auf § 24 Abs. 1 Nr. 1 BDSG.

3.4.3 KulturPass-E-Mails

E-Mails, die von uns versendet werden, können Grafiken und Bilder beinhalten, die nicht direkt als Datei in der E-Mail gespeichert sind, sondern von unseren Servern nachgeladen werden. Der hierbei erfolgte Abruf der IP-Adresse ist technisch erforderlich zur Anzeige dieser E-Mails und erfolgt auf der Grundlage von Art. 6 Abs. 1 S. 1 lit. e DSGVO, § 3 BDSG. Ein Tracking über sog. Tracking-Pixel erfolgt nicht.

Wir versenden E-Mails zu unterschiedlichen Zwecken:

Anwendungsbezogene Informationen: Wir versenden E-Mails mit nutzungsbezogenen Informationen. Hierzu zählen z. B. E-Mails im Zusammenhang mit Deiner Registrierung oder Identifizierung sowie in Bezug auf wichtige Informationen zum KulturPass-Projekt oder den KulturPass-Apps, wie z.B. bei der Änderung von Nutzungsbedingungen, Updates oder Änderungen des KulturPass-Angebotes. Hierzu zählen auch Mitteilungen zu Statusänderungen von Reservierungen, Stornos, Erstattungen, Erinnerungen an die Abholung von Produkten, zu Deinem Budget, das Erreichen des Alters für die Zuteilung des Budgets usw. Der Versand derartiger E-Mails erfolgt auf der Grundlage von Art. 6 Abs. 1 S. 1 lit. b DSGVO.

Angebotsbezogene Informationen: Von Zeit zu Zeit versenden wir auch Informationen rund um den KulturPass oder KulturPass-Angebote, die nicht unmittelbar anwendungsbezogen sind. Hierzu zählen z. B. Informationen über besondere KulturPass-Aktionen, Gewinnspiele, besondere Kulturangebote oder -Veranstaltungen sowie Einladungen zu Umfragen/Feedbacks (zur inhaltlichen und/oder technischen Verbesserung des KulturPass-Angebotes) usw. Soweit Du der Standortfreigabe zugestimmt oder eine Postleitzahl hinterlegt hast, können wir hierbei auch Deinen Ort berücksichtigen, um Dich z. B. über besondere Angebote in Deiner Nähe zu informieren. Sofern Du Favoriten gespeichert hast, können wir die Information, welche Favoriten Du gewählt hast, ggf. auch dazu nutzen, Dich per E-Mail oder Push-Nachrichten auf Angebote oder Aktionen hinzuweisen, die angesichts Deiner Favoritenwahl wahrscheinlich Deinen Interessen entsprechen.

Der Versand derartiger angebotsbezogenen Informationen erfolgt auf der Grundlage Deiner vorherigen Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO). Die Erteilung der Einwilligung ist freiwillig; es besteht weder eine gesetzliche noch eine vertragliche Pflicht zu ihrer Erteilung. Du kannst Deine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Du Dich über den Link, der am Ende jeder E-Mail dieser Art wiedergegeben ist, aus dem E-Mail-Verteiler austrägst.

Support- und sonstige Anfragen: Soweit wir Support-Anfragen oder ähnliche Anfragen per E-Mail beantworten, erfolgt die diesbezügliche Datenverarbeitung auf der Grundlage von Art. 6 Abs. 1 S. 1 lit. e DSGVO, § 3 BDSG bzw., soweit sie im Zusammenhang mit dem mit uns geschlossenen oder zu schließenden Nutzungsvertrag stehen, Art. 6 Abs. 1 S. 1 lit. b DSGVO.

 

3.5 Identifikation zum Erhalt Deines Budgets und zum Reservieren

3.5.1 Beschreibung und Zwecke der Datenverarbeitung

Um Dein Budget zu erhalten und die KulturPass-App oder die KulturPass-Webseite zum Reservieren von Kulturangeboten nutzen zu können, musst Du Dich identifizieren. Dies ist erforderlich, weil wir verifizieren müssen, dass Du zum Erhalt des Budgets berechtigt bist. Du bist weder gesetzlich noch vertraglich dazu verpflichtet, Dich in der KulturPass-App zu identifizieren. Bitte beachte aber, dass die Zuteilung Deines Budgets und die Vornahme von Reservierungen eine erfolgreiche Identifizierung voraussetzt.

Die Identifizierung kannst Du gleich nach der Registrierung oder aber auch später über die Einstellungen durchführen. Derzeit bieten wir wahlweise eine Identifizierung per eID oder über teilnehmende Sparkassen an, wenn Du dort über ein aktiviertes Online-Sparkassenkonto verfügst. 

Die Identifizierung und die hiermit einhergehende Datenverarbeitung erfolgt zu den Zwecken, 

  • Dich zweifelsfrei zu identifizieren;

  • zu verifizieren, ob Du für die Zuteilung des Budgets sowie zu der Vornahme der Reservierungen berechtigt bist (Wohnsitz und Alter);

  • die erhobenen Daten zu einer Reservierung und einer erfolgten Inanspruchnahme der reservierten Leistung ordnungsgemäß zu bearbeiten, zu dokumentieren und abzurechnen;

  • Mehrfachregistrierungen bzw. Mehrfachzuteilungen sowie Missbrauchshandlungen zu erkennen und zu verhindern. 

Wenn Du Kulturangebote reservierst, verarbeiten wir überdies Dein Alter in anonymisierter Form gemeinsam mit anderen Merkmalen zu einzelnen Reservierungen (z. B. die Art des reservierten Kulturangebotes) oder (falls übermittelt) die angegebene Postleitzahl oder den Nutzungsort auch für statistische Auswertungen zu dem Zweck, das KulturPass-Angebot weiter zu optimieren und mittels Statistiken über die Nutzung des KulturPass-Angebotes zu informieren. Dies erfolgt ausschließlich anonymisiert; wir erstellen keine Statistiken oder sonstigen Nutzungsprofile zu Deiner Person.

3.5.2 Identifizierung über eID 

Du kannst dich mithilfe eines Personalausweises mit Online-Ausweisfunktion (eID), einem elektronischen Aufenthaltstitel (eAT) oder einer eID-Karte direkt mit Deinem Smartphone identifizieren. Hierfür benötigst Du zusätzlich zu einem der soeben genannten Ausweisdokumente nur ein NFC-fähiges Smartphone und Deine persönliche PIN Deines Ausweisdokuments. Für die Identifizierung über die KulturPass-Webseite benötigst Du die AusweisApp2, die in den App-Stores im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik angeboten wird. Links zu freien Versionen der AusweisApp2 können hier abgerufen werden: https://www.ausweisapp.bund.de/open-source-software

Wir sind auf der Grundlage eines von dem Bundesverwaltungsamt ausgestellten Berechtigungszertifikats dazu berechtigt, Daten im Wege des elektronischen Identitätsnachweises auszulesen. Der letzte Tag der Gültigkeitsdauer des Berechtigungszertifikats wird Dir vor Eingabe Deiner Ausweis-PIN angezeigt. Die für uns zuständige Aufsichtsbehörde ist unten in der Ziffer 11.7 genannt.

Du wirst durch den Identifizierungsprozess geführt und darum gebeten, Deine Einwilligung zum Auslesen der Daten aus einem Ausweisdokument zu erteilen, Dein Ausweisdokument an Dein Smartphone zu halten und Deine persönliche Ausweis-PIN einzugeben. KulturPass stellt über eine von der Bundesdruckerei (Bundesdruckerei Gruppe GmbH, Kommandantenstraße 18, 10969 Berlin, www.bundesdruckerei.de) zur Verfügung gestellte Schnittstelle eine Verbindung zu den Servern der Bundesdruckerei her und übermittelt an diese die zur Identifizierung erforderlichen Daten. Es werden die folgenden Daten Deines Ausweisdokuments ausgelesen und an uns übermittelt: Familienname, Vorname(n), Geburtsdatum und -ort, das Ausweispseudonym, das zu Deinem Dokument gespeichert ist, eine Altersbestätigung, das Ablaufdatum des Ausweises und die Information, ob Du mit einem Wohnsitz in Deutschland gemeldet bist. 

Einwilligung und Widerruf

Wir lesen Daten aus Deinem Ausweisdokument nur aus, wenn Du Deine Einwilligung hierzu erteilt hast. Die Durchführung der Identifizierung und somit die Erteilung der Einwilligung ist freiwillig; es besteht weder eine gesetzliche noch eine vertragliche Pflicht zur Durchführung dieser Identifizierung. Die Zuteilung des Budgets und die Vornahme von Reservierungen ist jedoch ohne eine Identifizierung nicht möglich. 

Deine Einwilligung erteilst Du, indem Du zu Beginn des Identifizierungsprozesses „Einverstanden“ betätigst. Du kannst Deine Einwilligung widerrufen, indem Du den Identifizierungsprozess abbrichst, bevor Du Deine PIN eingibst. Nach Eingabe der PIN kannst Du die Einwilligung nicht mehr widerrufen, soweit sie sich auf das Auslesen der Daten aus dem Dokument bezieht, weil sie dann bereits ausgelesen wurden. Allerdings kannst Du sie mit Wirkung für die Zukunft widerrufen, soweit sie sich auf die weitere Verarbeitung der ausgelesenen Daten bezieht. Hierfür kannst Du einfach Deinen Account löschen. Wir werten die Löschung des Accounts als Widerruf Deiner Einwilligung. Ein Widerruf hat auf die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung keinen Einfluss. Nach erfolgtem Widerruf kannst Du keine Reservierungen mehr vornehmen.

Bitte beachte, dass wir auch im Falle des Widerrufs Deiner Einwilligungserklärung auf der Grundlage gesetzlicher Vorschriften berechtigt oder sogar verpflichtet sein können, die vorher übermittelten Daten weiter zu verarbeiten. Die Datenverarbeitung für diese Zwecke erfolgt dann nicht mehr auf der Grundlage Deiner Einwilligung, sondern aufgrund einer oder mehrerer gesetzlicher Erlaubnisse. Insbesondere wenn Du Kulturangebote über KulturPass in Anspruch genommen hast, können wir die transaktionsbezogenen Daten (dies sind Informationen, die im Zusammenhang mit der Reservierung und der Inanspruchnahme des reservierten Angebotes anfallen und personenbezogene Daten beinhalten) auch nach dem Widerruf gespeichert halten und verarbeiten, wenn und soweit dies für die Begründung, Durchführung oder Beendigung eines mit Dir geschlossenen Vertrages erforderlich ist oder wir zur Speicherung dieser Daten anderweitig berechtigt oder gesetzlich verpflichtet sind (insbesondere gesetzliche Aufbewahrungspflichten). Ferner speichern wir die aus Deinem Ausweisdokument ausgelesenen Daten auch nach Löschung Deines Kontos zu dem Zweck, Mehrfachregistrierungen, Mehrfachzuteilungen des Budgets und Missbrauch zu verhindern. Zu der Speicherdauer siehe Ziffer 4).

3.5.3 Identifizierung über Sparkassen 

Als Sparkassenkundin bzw. -kunde mit einem aktivierten Online-Sparkassenkonto kannst Du Dich über Deine Sparkasse identifizieren, wenn diese an dem KulturPass-Projekt teilnimmt. In der KulturPass-App kannst Du nach Deiner Sparkasse suchen und herausfinden, ob eine Sparkassen-Identifizierung für Dich möglich ist. 

Ist dies der Fall und wählst Du diese Option, wirst Du innerhalb der KulturPass-App auf eine Login-Seite der Sparkasse weitergeleitet und durch den weiteren Prozess geführt. 

Du musst Dich dort mit Deinem (Sparkassen-) Anmeldenamen und Deiner Sparkassen-PIN einloggen und die Identifizierung mit dem von Dir zuvor festgelegten TAN-Verfahren (PushTAN oder chipTAN) freigeben. Mit Deiner Freigabe der Identifizierung wird Deine Sparkasse die folgenden Daten an uns übermitteln: Dein Vorname, Nachname, Geburtstag und -ort, Wohnsitz (Land) und die Bankleitzahl Deiner Sparkasse. 

Die Datenverarbeitung innerhalb der Online-Sparkassenumgebung erfolgt in datenschutzrechtlicher Verantwortlichkeit Deiner Sparkasse. Bitte beachte auch die Datenschutzhinweise Deiner Sparkasse, die Du in der Online-Sparkassenumgebung vor der Freigabe der Identifizierung einsehen kannst.

Nachdem die Daten von der Sparkasse an uns übermittelt wurden, erfolgt die weitere Datenverarbeitung bei uns und liegt in unserer datenschutzrechtlichen Verantwortlichkeit. 

3.5.4 Rechtsgrundlagen für die Datenverarbeitung

eID: Rechtsgrundlage für das Auslesen der Daten aus dem Ausweisdokument bei eID ist Deine Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO) sowie Art. 6 Abs. 1 S. 1 lit. e DSGVO und § 3 BDSG in Verbindung mit §§ 18, 19 Abs. 5 und 6 PAuswG, §§ 12, 14 eIDKG, § 78 Abs. 5 AufenthG.

Sparkassen-Identifizierung: Rechtsgrundlagen für die Datenverarbeitung der von den Sparkassen übermittelten Daten im Zusammenhang mit der Identifizierung durch uns sind Art. 6 Abs. 1 S. 1 lit. b DSGVO und Art. 6 Abs. 1 S. 1 lit. e DSGVO und § 3 BDSG. Die Rechtsgrundlagen, auf deren Grundlage die Sparkasse personenbezogenen Daten an uns übermittelt, kannst Du in der Online-Sparkassenumgebung einsehen. 

Rechtliche Grundlage für die nachfolgende Datenverarbeitung im Zusammenhang mit der Zuteilung und Inanspruchnahme des Budgets durch die Inanspruchnahme reservierter Kulturangebote und der Nutzung des KulturPass-Angebotes zu diesem Zweck ist Art. 6 Abs. 1 S. 1 lit. e DSGVO und § 3 BDSG, sowie Art. 6 Abs. 1 S. 1 lit. b DSGVO. Die Verarbeitung der Daten zur Erkennung und Verhinderung von Mehrfachregistrierungen, Mehrfachzuteilungen und Missbrauch erfolgt ebenfalls auf der Grundlage von Art. 6 Abs. 1 S. 1 lit. e DSGVO, § 3 BDSG. Die weitere Verarbeitung der Daten nach Vertragsabwicklung zur Wahrung handels- oder steuerrechtlicher Aufbewahrungsfristen erfolgt auf der Grundlage von Art. 6 Abs. 1 S. 1 lit. c DSGVO. Sofern eine weitere Speicherung und sonstige Verarbeitung zur Geltendmachung von/zur Verteidigung gegen zivilrechtliche Ansprüche erfolgt, basiert dies auf § 24 Abs. 1 Nr. 1 BDSG. Die mit der Anonymisierung einhergehende Verarbeitung von Daten zu statistischen Zwecken erfolgt auf der Grundlage von Art. 6 Abs. 1 S. 1 lit. e DSGVO und § 3 BDSG.

 

3.6 Vornahme von Reservierungen und Inanspruchnahme von Kulturangeboten

Wenn Du ein Kulturangebot reservierst, wird ein Code generiert, entweder in Form eines QR-Codes oder eines alphanumerischen Codes. Diesen Code kannst Du dann dazu verwenden, einen Betrag aus Deinem Budget bei dem jeweiligen Kulturanbieter einzusetzen. Bitte beachte, dass Du über die KulturPass-App und die KulturPass-Webseite selbst keine Kauf- oder sonstige Verträge mit den Kulturananbietern abschließen kannst. Der Vertragsschluss erfolgt außerhalb des KulturPass-Angebotes – je nach Angebot entweder vor Ort bei dem Kulturanbieter oder online im Online-Angebot des Kulturanbieters – direkt zwischen Dir und dem jeweiligen Anbieter. Die BKM ist an diesem Vertragsschluss nicht beteiligt.

Die Reservierung und die hiermit im Zusammenhang stehenden Informationen, wie z. B. die Codes, das Reservierungsdatum, das reservierte Angebot usw., werden von uns zu Deinem Account gespeichert. An die Kulturanbieter, deren Angebote Du reservierst und deren Namen und Anschrift Du auf der jeweiligen Reservierungsseite sehen kannst, übermitteln wir ausschließlich Informationen zu der Reservierung und dem reservierten Angebot (z. B. Auftragsnummer, Art und Preis, ggf. Informationen zur Zuzahlung, Datum und die Zeit der Reservierung usw.). Dein Name oder andere aus Deinem Ausweisdokument ausgelesenen Daten werden an die Kulturanbieter nicht von uns übermittelt. Ebenso wenig übermitteln wir Deine E-Mail-Adresse. Beachte aber bitte, dass Du unter Umständen – je nach Angebot, das Du in Anspruch nehmen möchtest – den Kulturanbietern bestimmte personenbezogene Daten zur Verfügung stellen musst, um das Angebot in Anspruch nehmen zu können und Dich der Kulturanbieter bei Übergabe des Angebotes um die Vorlage eines Ausweisdokuments bitten kann. An dieser Datenerhebung sind wir nicht beteiligt. Die Daten, die im Zusammenhang mit der Reservierung und der Inanspruchnahme des re-servierten Angebotes anfallen, nennen wir „transaktionsbezogene Daten“.

Nach Inanspruchnahme des Angebotes wird der Kulturanbieter uns zu der Vorgangs-ID (Auftragsnummer) die Information übermitteln, dass und wann die Leistung in Anspruch genommen wurde, damit wir den Vorgang ordnungsgemäß dokumentieren und die Leistung zwischen uns und dem Kulturanbieter abrechnen können und um den aus dem Budget verbrauchten Betrag zu erfassen. Diese werden als transaktionsbezogene Daten von uns zu Deinem Benutzerkonto gespeichert.

Rechtsgrundlagen für die vorstehend beschriebene transaktionsbezogene Datenverarbeitung sind Art. 6 Abs. 1 S. 1 lit. e DSGVO, § 3 BDSG sowie Art. 6 Abs. 1 S. 1 lit. b DSGVO. Die weitere Verarbeitung der Daten nach Inanspruchnahme des Angebots des Kulturanbieters zur Wahrung handels- oder steuerrechtlicher Aufbewahrungsfristen erfolgt auf der Grundlage von Art. 6 Abs. 1 S. 1 lit. c DSGVO. Sofern eine weitere Speicherung und sonstige Verarbeitung zur Geltendmachung von/zur Verteidigung gegen zivilrechtliche Ansprüche erfolgt, basiert dies auf § 24 Abs. 1 Nr. 1 BDSG.

Die Kulturanbieter, bei denen Du ein Kulturangebot reserviert hast, können Dich zu reservierungs- bzw. transaktionsbezogenen Aspekten im Einzelfall per E-Mail kontaktieren. Eine Kontaktaufnahme mit Dir über das KulturPass-System zu anderen Zwecken ist den Kulturanbietern vertraglich untersagt. Die Kontaktaufnahme erfolgt direkt über das KulturPass-System; Deine E-Mail-Adresse geben wir den Kulturanbietern nicht bekannt.

Wir nutzen die Information zu Deiner Reservierung in anonymisierter Form gemeinsam mit anderen Merkmalen, wie Dein Alter oder (falls übermittelt) die angegebene Postleitzahl oder den Nutzungsort, auch für statistische Auswertungen zu dem Zweck, das KulturPass-Angebot weiter zu optimieren und mittels Statistiken über die Nutzung des KulturPass-Angebotes zu informieren. Dies erfolgt ausschließlich anonymisiert. Die mit der Anonymisierung einhergehende Verarbeitung von Daten zu statistischen Zwecken erfolgt auf der Grundlage von Art. 6 Abs. 1 S. 1 lit. e DSGVO und § 3 BDSG. Wenn Du Dich mit dem Erhalt von anwendungsbezogenen Informationen per E-Mail einverstanden erklärt hast (siehe oben Ziffer 3.4.3), nutzen wir die Reservierungsinformationen ggf. auch, um Dich über Angebote zu informieren, die inhaltlich zu Deinen bisherigen Reservierungen passen. Dasselbe gilt für entsprechende Pushnachrichten, falls Du Ihnen zugestimmt hast (siehe oben, Ziffer 3.3.2). Auch dies erfolgt auf der Grundlage von Art. 6 Abs. 1 S. 1 lit. e DSGVO und § 3 BDSG.

 

4. Wie lange werden meine Daten gespeichert?

Generell werden die personenbezogenen Daten gelöscht, sobald ihre Verarbeitung für die Zwecke, für die sie erhoben wurden, nicht mehr erforderlich sind. Du kannst Deinen Account jederzeit selbst löschen. Spätestens mit Vollendung Deines 21. Lebensjahres wird er automatisch gelöscht.

Im Übrigen gilt Folgendes:

  • Wenn Du Dich registriert, aber nicht identifiziert und somit kein Budget erhalten hast, werden Deine personenbezogenen Daten gelöscht, sobald Dein Account gelöscht wurde.
  • Wenn Du ein Budget erhalten, aber nicht benutzt hast, werden Deine personenbezogenen Daten spätestens ein Jahr nach dem Ablauf der Zeit, innerhalb derer Du das Budget in Anspruch nehmen kannst (= 24 Monate nach Zuteilung des Budgets) gelöscht.
  • Wenn Du ein Budget erhalten und in Anspruch genommen hast, werden wir die transaktionsbezogenen Daten, die auch personenbezogene Daten beinhalten, für die Dauer von einem Jahr, berechnet ab dem Ende Deiner Berechtigung zur Benutzung des Budgets (= 24 Monate nach Zuteilung), speichern; die sich anschließende Archivierung erfolgt pseudonymisiert für die Dauer von sechs Jahren.

 

5. Kontaktformular und Bearbeitung von Anfragen (Helpdesk), Friendly Captcha

Du kannst uns bei Fragen, Anregungen, Wünschen oder Problemen über ein Kontaktformular auf der Webseite oder per E-Mail kontaktieren. Bei der Nutzung des Kontaktformulars bitten wir um Angabe Deines Namens und Deiner E-Mail-Adresse. Die von Dir übermittelten personenbezogenen Daten werden von uns verarbeitet, um Dein Anliegen zu bearbeiten.

Hierbei nutzen wir zur Erfassung und Bearbeitung von Anfragen per Kontaktformular oder E-Mail ein Ticketsystem, das von der Zammad GmbH, Marienstraße 18, 10117 Berlin auf der Grundlage eines Vertrages zur Auftragsverarbeitung zur Verfügung gestellt wird. Zu einzelnen Anfragen werden jeweils Tickets erstellt, zu der die nachfolgende Kommunikation zum Zwecke der Bearbeitung gespeichert werden. Dies erlaubt uns, die Anfragen möglichst schnell und effizient zu beantworten bzw. zu bearbeiten. Die im Zusammenhang mit der Nutzung des Kontaktformulars anfallenden personenbezogenen Daten werden gelöscht, wenn die Speicherung nicht mehr erforderlich ist oder, soweit gesetzliche Aufbewahrungspflichten bestehen, ihre Verarbeitung eingeschränkt, es sei denn, eine weitere Verarbeitung ist gesetzlich geboten oder erlaubt.

Die Verarbeitung der personenbezogenen Daten bei Deiner Kontaktaufnahme mit uns erfolgt primär auf der Grundlage von Art. 6 Abs. 1 S. 1 lit. e DSGVO, § 3 BDSG. Die Verarbeitung der übermittelten Daten kann jedoch auch, in Abhängigkeit des Inhalts Deiner Nachricht, nach weiteren Rechtsgrundlagen erlaubt oder geboten sein oder werden, wie z. B. Art. 6 Abs. 1 S. 1 lit. c DSGVO, Art. 6 Abs. 1 S. 1 lit. b DSGVO (Erfüllung eines Vertrags bzw. Durchführung vorvertraglicher Maßnahmen) oder § 24 Abs. 1 Nr. 1 BDSG (Geltendmachung von/Verteidigung gegen zivilrechtlichen/r Ansprüchen).

Zur Verhinderung missbräuchlicher Nutzung des Kontaktformulars durch sog. Bots setzen wir das datenschutzfreundliche Tool Friendly Captcha ein, das von der Friendly Captcha GmbH, Am Anger 3-5, 82237 Woerthsee, Deutschland angeboten wird. Um sicherzustellen, dass das Formular durch einen Menschen statt durch einen Bot benutzt wird, sendet das Tool eine Aufgabe („Puzzle“) an das Endgerät, die im Hintergrund von diesem gelöst wird. Die IP-Adresse wird über ein One-Way-Hashing-Verfahren anonymisiert und hiernach gelöscht. Ferner werden die folgenden Daten verarbeitet:

  • die Request-Header-Daten (Browser, Betriebssystem, Herkunft/Referrer)
  • das Puzzle selbst, das Informationen über das Konto und den Website-Schlüssel enthält, auf den sich das Puzzle bezieht, und die übermittelte Lösung
  • die Version des eingebundenen Friendly Captcha Widgets.
  • ein Zeitstempel
  • Anzahl der Anfragen zu einem Hash-Wert (Zähler)

Diese Datenverarbeitung ist erforderlich, um ein Kontaktformular anzubieten und hierbei einen Missbrauch durch Bots soweit es geht auszuschließen. Die Verarbeitung personenbezogener Daten erfolgt auf der Grundlage von Art. 6 Abs. 1 S. 1 lit. e DSGVO, § 3 BDSG.

 

6. Registrierung zu Webinaren

Von Zeit zu Zeit bieten wir Webinare an, zu denen Du Dich registrieren kannst. Durchgeführt werden die Webinare unter Verwendung des Webkonferenzsystems Tools BigBlueButton, das für uns auf Servern der werk21 GmbH, Krausnickstraße 3, 10115 Berlin auf der Grundlage eines Vertrages zur Auftragsverarbeitung gehostet wird.

Die Teilnahme an den Webinaren setzt eine vorherige Registrierung unter Angabe Deiner E-Mail-Adresse voraus, an die wir Dir nach der Registrierung den Link zu dem Webinar übersenden. Diese Datenverarbeitung sowie die weitere Verarbeitung Ihrer personenbezogenen Daten zur Ermöglichung der Teilnahme an dem Webinar erfolgt auf der Grundlage von Art. 6 Abs. 1 S. 1 lit. b DSGVO sowie ergänzend auf Art. 6 Abs. 1 S. 1 lit. e DSGVO, § 3 BDSG. Deine E-Mail-Adresse wird unmittelbar am Tag nach Durchführung des Webinars, zu dem Du Dich registriert hast, gelöscht, es sei denn, sie ist auch zu Deinem KulturPass-Account gespeichert (in diesem Falle gilt Ziffer 4). 

 

7. Durchführungen von Umfragen/Feedbacks

Von Zeit zu Zeit laden wir dazu ein, an Umfragen teilzunehmen bzw. ein Feedback abzugeben. Derartige Umfragen/Feedbackmöglichkeiten dienen dazu, das Kulturpass-Projekt inhaltlich und/oder technisch zu verbessen. Die Teilnahme ist stets freiwillig und erfolgt grundsätzlich anonym, d. h. wir werden Deine Antworten nicht zu Deinem Konto speichern und haben auch sonst nicht die Möglichkeit, Antworten Deiner Person zuzuordnen. Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. e DSGVO, § 3 BDSG.

Lediglich in bestimmten Situationen laden wir dazu ein, an nicht-anonymen Befragungen teilzunehmen. In derartigen Fällen werden wir ausdrücklich auf den Umstand hinweisen, dass sie in nicht-anonymer Weise erfolgen. Die Teilnahme erfolgt dann auf der Grundlage einer ausdrücklichen Einwilligung (Rechtsgrundlage: Art. 6 Abs. 1 S. 1 lit. a DSGVO). Diese Einwilligung ist freiwillig und kann jederzeit mit Wirkung für die Zukunft widerrufen werden.

 

8. An wen werden meine personenbezogenen Daten übermittelt?

8.1 Stiftung Digitale Chancen

Die technische Realisierung des KulturPass-Projektes der BKM und die administrative Umsetzung erfolgt in Zusammenarbeit mit der

Stiftung Digitale Chancen
Vorstandsvorsitzende Frau Jutta Croll
Chausseestraße 15
10115 Berlin

(nachfolgend „Stiftung“ genannt). Die Stiftung Digitale Chancen erhebt und verarbeitet die personenbezogenen Daten streng zweck- und weisungsgebunden im Auftrag der BKM auf der Grundlage eines Vertrages zur Auftragsverarbeitung und wickelt die Reservierungen und Abrechnungen mit den Kulturanbietern für die BKM in ihrem Auftrag ab.  

8.2 Technische Dienstleister

Für die technische Realisierung und Aufrechterhaltung des KulturPass-Projektes setzen wir technische Dienstleister ein, die im Rahmen ihrer Tätigkeit Zugriff auf personenbezogene Daten erhalten könnten. Dies betrifft insbesondere Web-/Serverhoster, Systemadministratoren und andere IT-Dienstleister. Diese Dienstleister, mit denen Verträge zur Auftragsverarbeitung geschlossen wurden, sind sorgfältig ausgewählt und verpflichtet, die datenschutzrechtlichen Anforderungen zu erfüllen. Die Dienstleister verarbeiten die Daten ausschließlich auf unsere Weisung hin und sind vertraglich zur Einhaltung der datenschutzrechtlichen Vorgaben verpflichtet. Zu diesen eingesetzten Dienstleistern zählt insbesondere das Unternehmen SAP (www.sap.de), welches das KulturPass-Projekt technisch realisiert. Datenschutzhinweise von SAP finden sich hier: https://www.sap.com/germany/about/trust-center/data-privacy.html

 

9. Ort der Datenverarbeitung

Die im Zusammenhang mit der Nutzung des KulturPass erhobenen personenbezogenen Daten werden auf Servern innerhalb der EU/des EWR gehostet. Technische Dienstleister der BKM, mit denen Verträge zur Auftragsverarbeitung bestehen, sind in Support-/Wartungsfällen dazu berechtigt, Unterauftragnehmer außerhalb der EU/des EWR, unter Einhaltung der datenschutzrechtlichen Vorgaben für eine derartige Datenübermittlung, einzubeziehen. Sofern es sich bei diesen Empfängern um solche mit Sitz in Drittländern handelt, in Bezug derer die Europäische Kommission nicht ausdrücklich das Bestehen eines angemessenen Datenschutzniveaus beschlossen hat, existieren mit den Empfängern Standarddatenschutzklauseln gem. Art. 46 Abs. 2 lit. c DSGVO.

 

10. Wer ist verantwortlich für die Datenverarbeitung bei den Kulturanbietenden?

Eine etwaige Verarbeitung Deiner personenbezogenen Daten durch Kulturanbieter, deren Angebot Du unter Verwendung Deines Budgets in Anspruch nimmst, erfolgt in alleiniger Verantwortung der jeweiligen Kulturanbieter. Wenn Du z. B. bei einer Online-Bestellung auf der Internetseite eines Kulturanbieters Daten zu Deiner Person eingibst, erfolgt die Datenverarbeitung in alleiniger Verantwortung des jeweiligen Kulturanbieters als verantwortliche Stelle, auch wenn Du den von uns erhaltenen Code benutzt. Wir sind für die Datenverarbeitung der Kulturanbieter nicht verantwortlich und übermitteln auch keine Daten, anhand derer Dich die Kulturanbieter identifizieren könnten.

 

11. Welche Rechte stehen mir zu?

11.1

Eine von Dir abgegebene datenschutzrechtliche Einwilligungserklärung kannst Du jederzeit mit Wirkung für die Zukunft widerrufen. Einzelheiten hierzu findest Du oben im Zusammenhang mit den konkreten Beschreibungen der Einwilligungserklärungen.

11.2

Du hast das Recht, von uns eine Bestätigung darüber zu verlangen, ob wir Dich betreffende personenbezogene Daten verarbeiten, soweit das Recht nicht aufgrund gesetzlicher Vorschriften (insbesondere § 34 BDSG) ausgeschlossen ist. Steht Dir dieses Recht zu, hast Du weiterhin ein Recht auf Auskunft über diese personenbezogenen Daten in dem gesetzlichen Umfang (Art. 15 DSGVO i. V. m. § 34 BDSG). Auch steht Dir das Recht zu, Auskunft darüber zu verlangen, ob die Dich betreffenden personenbezogenen Daten in ein Drittland oder an eine internationale Organisation übermittelt werden. In diesem Zusammenhang kannst Du verlangen, über die geeigneten Garantien gem. Art. 46 DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden.

11.3

Du hast ferner das Recht, die Berichtigung Dich betreffender unrichtiger personenbezogener Daten und ggf. – unter Berücksichtigung der Zwecke der Verarbeitung – die Vervollständigung unvollständiger personenbezogener Daten, auch mittels einer ergänzenden Erklärung, zu verlangen (Artikel 16 DSGVO).

11.4

In den in Artikel 17 Abs. 1 lit. a bis f DSGVO genannten Fällen steht Dir überdies ein Recht auf Löschung der personenbezogenen Daten zu, sofern keine Ausnahme gemäß Artikel 17 Abs. 3 DSGVO gegeben ist, sowie in den Fällen des Artikel 18 Abs. 1 DSGVO ein Recht auf Einschränkung der Verarbeitung.

11.5

In den Fällen des Artikel 20 Abs. 1 besteht im Übrigen ein Recht auf Datenübertragung und das Recht, Daten einem anderen Verantwortlichen behinderungsfrei zu übermitteln.

11.6

Du kannst jederzeit mit unserem Datenschutzbeauftragten (siehe Ziffer 2) in Verbindung treten und ihn für datenschutzrechtlichen Fragen rund um die Nutzung unseres Angebotes zu Rate ziehen .

11.7 

Dir steht ferner ein Recht auf Beschwerde bei der Aufsichtsbehörde zu, wenn Du der Ansicht bist, dass die Verarbeitung der Dich betreffenden personenbezogenen Daten gegen die DSGVO verstößt. Zuständige Aufsichtsbehörde ist der/die:

Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)
Graurheindorfer Str. 153
53117 Bonn
Telefon: +49 (0)228 997799-0
E-Mail: poststelle@bfdi.bund.de 

11.8 Widerspruchsrecht

Soweit wir Deine personenbezogenen Daten auf der Grundlage von Art. 6 Abs. 1 S. 1 lit. e DSGVO (Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse) verarbeiten, steht Dir ein Widerspruchsrecht zu. Du kannst dieser Datenverarbeitung aus Gründen, die sich aus Deiner besonderen Situation ergeben, widersprechen. Wir werden die personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Deine Interessen, Rechte und Freiheiten überwiegen, oder wenn die Verarbeitung der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient.

 

12. Findet eine automatisierte Entscheidungsfindung / Profiling statt?

Nein. Es erfolgt keine automatische Entscheidungsfindung und kein Profiling.

 

13. Bin ich dazu verpflichtet, personenbezogene Daten zur Verfügung zu stellen?

Du bist nicht verpflichtet, das KulturPass-Angebot zu nutzen und auch nicht, Dich zu registrieren und zu identifizieren. Es besteht weder eine gesetzliche noch eine vertragliche Pflicht, uns im Zusammenhang mit dem KulturPass-Projekt personenbezogene Daten zur Verfügung zu stellen. Möchtest Du aber ein Budget im Rahmen des KulturPass-Projektes erhalten und nutzen, setzt dies eine Registrierung unter Angabe personenbezogener Daten und eine Identifizierung voraus; eine Inanspruchnahme des Budgets ohne Übermittlung personenbezogener Daten ist nicht möglich.

Diese datenschutzrechtlichen Hinweise können zur Anpassung an geänderte Umstände, insbesondere zur Anpassung an Änderungen der gesetzlichen Vorgaben, der behördlichen Praxis oder der Rechtsprechung jederzeit in Zukunft geändert werden. Den jeweils aktuellen Stand findest Du auf unserer Homepage im Bereich „Datenschutz“ bzw. in der KulturPass-App in den Einstellungen.