Datenschutzerklärung
(Stand: 12.07.2022)
Die CU Entertainment OG, FN 520875 v, Dreierschützengasse 12/Top 2, 8020 Graz (nachfolgend auch kurz "Betreiber" genannt) betreibt mobile Apps für Android und iOS. Der Betreiber entscheidet als Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) über den Zweck und die Mittel der Datenverarbeitung und ist letztlich dafür zuständig, dass die Datenverarbeitung im Einklang mit den gesetzlichen Regeln erfolgt.
I. Präambel
Kunden, die die Plattform von CU nutzen, vertrauen dem Betreiber persönliche Daten an. Persönliche Daten sind jegliche Art von Information, die mit einer natürlichen Person oder einem Unternehmen direkt oder indirekt in Verbindung gebracht werden kann. Dazu zählt u.a. der Name, die Adresse, die E-Mail-Adresse, die Telefonnummer. Zudem können die IP-Adresse oder Informationen über das Nutzungsverhalten als persönliche Daten angesehen werden.
Diese Datenschutzbestimmung ist eine Ergänzung der Allgemeinen Geschäftsbedingungen und gilt für die Nutzung der CU-Services und die Inanspruchnahme der dort oder sonst angebotenen Leistungen. Es gilt die Datenschutzerklärung, die zur Zeit des konkreten Besuchs eines Users bzw. der konkreten Inanspruchnahme von Leistungen in den CU-Services online abrufbar ist.
II. Erfassung und Verarbeitung von Daten
Der Betreiber sammelt Daten im Zusammenhang mit der Registrierung und auch mit der darauffolgenden Nutzung der CU-Services. Auf folgende Arten werden persönliche Daten gesammelt:
1. Daten, die der Betreiber vom User erhält
Wenn der User seinen Account anlegt oder als registrierter User Aktivitäten setzt, dann teilt dieser dem Betreiber Informationen über seine Person mit. Persönliche Daten in dieser Kategorie werden aktiv vom User mitgeteilt, z.B. durch Vervollständigen der Registrierung, durch die Kontaktaufnahme mit dem Support oder durch Feedback, welches der User durch eigens dafür eingerichtete Funktionen gibt.
Um dem User die Registrierung zu erleichtern und die Gefahr von Betrügern und Spammern zu reduzieren, hat der User drei Möglichkeiten zur Registrierung:
a. Die Registrierung mit Facebook Connect:
Hierbei greift der Betreiber auf bestimmte Daten, die im Facebook-Profil des Users gespeichert sind, zu und die der User bei der Registrierung freigibt. Diese Berechtigung kann vom User zu jedem Zeitpunkt bei Facebook widerrufen werden. Auf die Facebook-Login Daten des Users erhält der Betreiber selbstverständlich keinen Zugriff. Der Betreiber haftet nicht und ist nicht verantwortlich für falsche oder unberechtigte Datenübermittlungen durch Facebook.
b. Die Registrierung mit Google Sign in:
Hierbei greift der Betreiber auf bestimmte Daten, die im Google-Profil des Users gespeichert sind, zu und die der User bei der Registrierung freigibt. Diese Berechtigung kann vom User zu jedem Zeitpunkt bei Google widerrufen werden. Auf die Google-Login Daten des Users erhält der Betreiber selbstverständlich keinen Zugriff. Der Betreiber haftet nicht und ist nicht verantwortlich für falsche oder unberechtigte Datenübermittlungen durch Google.
c. Die Registrierung mit E-Mail und SMS-Bestätigung:
Hierbei greift der Betreiber auf die Daten des Users, die er bei der Registrierung angegeben hat, zu. Die vom User angegebenen Profildaten, sprich Name, E-Mail-Adresse und Telefonnummer müssen wahrheitsgemäß und vollständig sein und laufend aktuell gehalten werden.
2. Daten, die bei der Nutzung der CU-Services gesammelt werden
Bei Benutzung der CU-Services und der Durchführung von Aktivitäten übermittelt der User Daten, die vom Betreiber gespeichert werden, um den User zu identifizieren und die reibungslose Erbringung der CU-Services sicherzustellen. Gleichzeitig speichert der Betreiber Informationen, wenn der User den Betreiber kontaktiert, zum Beispiel, wenn der User eine E-Mail an den User Support des Betreibers schickt, um den User zu unterstützen und Fragen zu beantworten. Der Betreiber kann anonymisierte und aggregierte Daten hinsichtlich solcher Anfragen zur Verbesserung der Services verwenden.
Bei der Nutzung der CU-Services erfasst der Betreiber Informationen über die User-Aktivität, so etwa welche Services und Seiten innerhalb von CU besucht werden und wie diese verwendet werden. Erfasst werden zudem eine Reihe von Daten, die der Betreiber aufgrund der Nutzung der CU-Services erhält. Darunter fallen:
a. Technische Informationen zum Device und zur Internetverbindung des Users
Durch Server-Logs und andere Tools erfasst der Betreiber Informationen über das Device und die Internet-Verbindung des Users, einschließlich Betriebssystem, Browser-Version, IP-Adressen, Cookies und andere eindeutige Kennungen. Um zu analysieren, wie die Dienste des Betreibers genutzt werden, sind die technischen Informationen in der Regel als aggregierte Daten verarbeitet. Die aggregierten Daten können aber auch mit dem User Account verlinkt werden, um etwa die CU-Services an das vom User benutzten Device anzupassen.
b. Informationen über die Nutzung der CU-Services
Der Betreiber registriert die Aktivitäten des Users, wie beispielsweise An- und Abmelden aus dem Userkonto, oder den Kauf von Produkten und Dienstleistungen innerhalb der CU-Services. Der Betreiber speichert ebenfalls Informationen über die CU-Besuche des Users. Diese Informationen verwendet der Betreiber, unter anderem, um Missbrauch und Betrug vorzubeugen, um die CU-Services zu verbessern und um dem User personalisierte Dienste, Empfehlungen oder Informationen bereitzustellen.
c. Standort Information
Bei der Benutzung von CU stellt der Betreiber den Standort des Users aufgrund der IP Adresse oder der ermittelten Geo-Location fest. Diese Information wird beispielsweise verwendet um Inhalte anzuzeigen und um dem User Anzeigen zu zeigen, die für seinen Standort relevant sind, um die CU-Services zu verbessern, und, um den Standort der eingestellten Kaufanzeigen zu ermitteln und darzustellen. Um einen Rückschluss auf den Standort des Users zu erschweren, wird der Standort des Verkäufers bei eingestellten Angeboten versetzt angezeigt.
d. Cookies und anonymisierte Kennungen
Wenn der User die CU-Services nutzt greift der Betreiber auf unterschiedlichste Technologien zurück, um den User als solchen zu identifizieren. Die CU Website nutzt etwa “Cookies“ um alle Funktionalitäten der CU-Website zu ermöglichen und die Nutzung der Seite zu erleichtern. Cookies ermöglichen es dem User, sich beispielsweise nicht jedes Mal bei Nutzung der CU-Services auf der CU-Website neu einloggen zu müssen. Der Betreiber behält es sich vor, anonymisierte Kennungen auf dem mobilen Device des Users zu speichern, insbesondere da auf diesen keine Cookies verwendet werden können.
3. Informationen aus anderen Quellen
Der Betreiber kann von Zeit zu Zeit Informationen beispielsweise von seinen Partnern, Anzeigennetzwerken und anderen Dritten erhalten, die ihn unterstützen, die Aktivitäten des Users und seine Vorlieben zu verstehen, oder helfen, die CU-Services zu verbessern. Wenn der User etwa seinen User Account über Facebook erstellt, kann der Bertreiber zu der von Facebook erhaltenen Information, Basisinformationen hinzufügen. Weiters kann ein Anzeigenkunde den Betreiber darüber informieren, was passiert, wenn eine Werbeeinschaltung auf der Webseite des Betreibers angeklickt wurde. Dies ermöglicht dem Betreiber die Wirkung der Werbung zu messen den User mit entsprechender Werbung bzw. Inhalten zu versorgen. Üblicherweise werden Analysen dieser Art aggregiert und anonymisiert durchgeführt.
III. Zweck der Datenverarbeitung
Der Betreiber verwendet die Daten des Users für die folgenden Zwecke:
Der Betreiber verarbeitet die Daten, 1) um die CU-Services zu erbringen; 2) um die CU-Services zu verbessern und weiterzuentwickeln; 3) für personalisierte Werbung, Angebote und Empfehlungen an die User; 4) für das Erkennen von Markttrends; 5) zur Verhinderung, Eindämmung und Nachforschung der missbräuchlichen Verwendung der CU-Services.
Im Folgenden sind die Zwecke der Datenverarbeitung im Detail ausgeführt.
1. Erbringung der CU-Services
Für die Nutzung der CU-Services ist es notwendig, dass der Betreiber den aktuellen User Standort ermittelt. Dieser ermöglicht die Anzeige von Veranstaltungen in der Nähe des Users verwendet.
Zusätzlich verwendet der Betreiber andere persönliche Daten um den User Account zu personalisieren und eine gute Usererfahrung zu bieten. Darunter fällt insbesondere die Usererfahrung im Zusammenhang mit der Registrierung, dem Login, dem Kauf und Verkauf von Eintrittskarten für Events und Dienstleistungen.
2. Verbesserung und Weiterentwicklung der CU Services
Der Betreiber verwendet Informationen, um seine Services zu verbessern, zum Beispiel indem er den Registrierungsvorgang, das Log-In oder den Vorgang beim Bezahlen von Premium Services so User-freundlich wie möglich gestaltet. So kann er zum Beispiel jene Schritte aufzeichnen (Screen Views, Klicks), die der User bei der Suche nach einem Produkt durchlaufen ist, um so zu analysieren, ob und inwieweit einzelne Elemente für den User verwirrend sind. Üblicherweise werden Analysen dieser Art aggregiert und anonymisiert durchgeführt, wobei der Betreiber auch individuell zuordenbare Daten nutzen kann, um technischen Support zu bieten oder um besser zu verstehen, wie der einzelne User die CU-Services nutzt.
Weiters bedient sich der Betreiber gewisser Tracking-Tools, um die CU-Services zu verbessern und Fehler zu erkennen und zu analysieren. Hierzu zeichnet der Betreiber sowohl eigenständig wie aber auch durch Drittanbieter (z.B. Google Analytics, crashlytics) das Nutzungsverhalten des Users auf den CU-Services auf.
Mitteilungen zu anstehenden Veränderungen oder Verbesserungen der CU-Services übermittelt der Betreiber dem User gegebenenfalls unter Verwendung seiner E-Mail Adresse oder bei der Verwendung von mobilen Endgeräten via Push-Notifications. Zusätzlich erhält der User in regelmäßigen Abständen den CU-Newsletter. Um sich vom Newsletter abzumelden, kann einfach im Userprofil die Newsletter-Anmeldung deaktiviert werden bzw. direkt auf den entsprechenden Abmeldelink im Newsletter geklickt werden. Push-Notifications können direkt in den Systemeinstellungen des mobilen Endgeräts deaktiviert werden.
3. Personalisierte Inhalte, Angebote und Empfehlungen
Der Betreiber nutzt die zur Verfügung stehende Information, um die CU-Services zu personalisieren und für User relevante Inhalte anzubieten. Der Betreiber behält es sich vor, Inhalte und Empfehlungen auf Basis von Useraktivitäten anzubieten – beispielsweise können Produkte auf Basis der Beliebtheit bei anderen Nutzern empfohlen werden.
Der Betreiber schaltet auf seiner Plattform auch selbst Werbung oder arbeitet zur Werbeschaltung und -optimierung von eigenen und fremden Werbeeinblendungen mit externen Partnern zusammen.
Zum Zweck der Ausspielung von personenbezogenen Daten auf dem Service können Daten wie Geburtstag (sofern durch den User bekanntgegeben), Geschlecht (sofern durch den User bekannt gegeben), ungefähre geographische Position, Sprache, Internet Service Provider, Kategorien von Interessen auch an Werbenetzwerkbetreiber wie Google, Facebook, AppNexus und vergleichbare Anbieter weitergegeben werden.
Sofern für diese Datenweitergabe die Zustimmung des Nutzers erforderlich ist wird diese gesondert eingeholt. In diesem Fall kann diese Zustimmung in den Benutzereinstellungen jederzeit widerrufen werden.
4. Erkennen von Markttrends
Der Betreiber analysiert Daten, um Trends besser zu verstehen und die CU-Services entsprechend anzupassen, zu verbessern und weiterzuentwickeln. Die Trendanalyse kann entweder vom Betreiber direkt durchgeführt werden oder von Dritten, die im Auftrag des Betreibers Daten aufbereiten. Die Zusammenarbeit mit Dritten zur Aufbereitung von Daten erfolgt auf Basis von Auftragsdatenverarbeitungsvereinbarungen unter strenger Berücksichtigung der Vertraulichkeit und Integrität.
5. Verhinderung, Eindämmung und Nachforschung der missbräuchlichen Verwendung der CU-Services
CU verwendet Informationen, um verschiedenste Formen des Missbrauches der CU-Services zu verhindern, wie beispielsweise betrügerische Aktivitäten, Denial of Service Attacken, Spamming, unautorisierten Zugriff oder andere Aktivitäten, die gegen unsere AGB verstoßen oder von Gesetzes wegen verboten sind.
IV. Rechtsgrundlage der Datenverarbeitung
Sofern der Betreiber personenbezogene Daten von Usern verarbeitet, erfolgt dies zur Vertragserfüllung durch den Betreiber beziehungsweise ist dies zur Wahrung der überwiegenden berechtigten Interessen des Betreibers erforderlich.
Eine darüberhinausgehende Datenverarbeitung findet nur nach ausdrücklicher Zustimmung durch den User oder auf Grund gesetzlicher Regelungen statt.
V. Nutzung der Daten durch Dritte
Bei allen Diensten, die Social Networking Funktionen wie den Facebook-Like Button oder den Google +1 Button verwenden, ist zu beachten, dass Facebook und andere Anbieter der sozialen Netzwerke Daten über den User sammeln können, auch wenn dieser auf einer Seite nicht registriert ist oder dem Datenaustausch zugestimmt hat. Durch die Verwendung von populären Funktionen wie z.B. den Facebook “Like-Button“ oder den Google “+1 Button“ können die Anbieter dieser Funktionen Rückschlüsse über Seitenbesuche und Internetnutzungsverhalten des jeweiligen Users ziehen. Genauere Informationen dazu findet man in den jeweiligen Nutzungs- und Datenschutzrichtlinien der jeweiligen Anbieter. (u.a.http://www.google.at/intl/de/policies/privacy/, http://www.facebook.com/policy.php)
Eine derartige Datenerhebung kann der Nutzer unterbinden indem er sich vor der Nutzung der Services des Betreibers aus den jeweiligen Sozialen Netzwerken ausloggt.
VI. Weitergabe der Daten
Der Betreiber wird keine personenbezogenen Daten in anderer Weise teilen, verkaufen, übertragen oder anderweitig offenlegen als es in dieser Datenschutzbestimmung beschrieben ist, es sei denn der Betreiber wird von Gesetzes wegen dazu aufgefordert oder der User hat eine ausdrückliche Zustimmung gegeben.
Die obigen Ausführungen schließen es jedoch nicht aus, dass der Betreiber auf Dienstleister zurückgreift, die die Daten für den Betreiber auf Basis einer entsprechenden Auftragsdatenverarbeitervereinbarung verarbeiten. Dienstleister, denen personenbezogene Daten zur Verarbeitung überlassen werden dürfen die Daten nur für jene Zwecke aufbereiten, die in dieser Datenschutzbestimmung festgelegt sind und die mit dem jeweiligen Dienstleister ausdrücklich vereinbart wurden.
Eine Weitergabe personenbezogener Daten ist nur aus den folgenden Gründen möglich:
1. Übermittlung personenbezogener Daten an Dritte
Der Betreiber kann personenbezogene Daten an die Polizei oder an andere Behörden weitergeben, wenn der Verdacht auf ungesetzliches Verhalten in Verbindung mit der Nutzung der CU-Services besteht und wenn ein entsprechender Gerichtsbeschluss oder eine entsprechende verwaltungsbehördliche Anordnung vorliegt. Eine Weitergabe der personenbezogenen Daten an sonstige Dritte ist dann möglich, wenn diese ein überwiegendes rechtliches Interesse an der Feststellung der Identität eines Nutzers und eines bestimmten rechtswidrigen Sachverhalts nachweisen können und überdies glaubhaft machen, dass die Kenntnis dieser Information eine wesentliche Voraussetzung für die Rechtsverfolgung bildet.
2. Auftragsdatenverarbeiter
Der Betreiber zieht für seine Tätigkeit auch Dienstleister (Auftragsdatenverarbeiter im Sinne der DSGVO) heran, insbesondere zur Ausspielung von Werbung, zur Analyse des Userverhaltens und zur Einbindung von Diensten Dritter. Mit solchen Dienstleistern werden Auftragsdatenverabeiterverträge gemäß Art 28 DSGVO geschlossen.
3. Die Überlassung von personenbezogenen Daten in ein Nicht-EU oder Nicht-EWR-Land
Der Betreiber wird personenbezogene Daten des Users nur dann an Empfänger in einem Land außerhalb der EU oder des EWR übermitteln, wenn, ein Beschluss der EU-Kommission über angemessenen Datenschutz für dieses Land vorliegt, oder mit diesen Empfängern die EU-Standardvertragsklauseln abgeschlossen sind und die Übermittlung auf Grund dieser Standardvertragsklauseln rechtlich zulässig ist. In allen anderen Fällen erfolgt eine Übermittlung in das EU-Ausland nur mit Zustimmung des Users.
4. Bezahlung mit dem Zahlungsanbieter Stripe
Stripe ist eine Zahlungslösung eines Drittanbieters, die es möglich macht, Kredit- und Debitkartenzahlungen zu verarbeiten.
VII. Cookies
Die CU-Website nutzt “Cookies” um alle Funktionalitäten der CU-Website zu ermöglichen und die Nutzung der Seite zu erleichtern. “Cookies” sind kleine Textdateien, die es dem Betreiber ermöglichen auf dem PC des Users spezifische Informationen zu speichern, während er die Website des Betreibers besucht.
Darüber hinaus können Drittanbieter Cookies setzen auf die der Betreiber keinen Einfluss hat.
Der User kann das Speichern von Cookies deaktivieren, auf bestimmte Websites beschränken oder seine Browser so einstellen, dass er über Cookies benachrichtigt wird. Er kann Cookies auch jederzeit von der Festplatte seines PCs löschen. In diesen Fällen muss mit einer eingeschränkten Darstellung der Seite und mit einer eingeschränkten Benutzerführung gerechnet werden.
VIII. Rechte des Users
1. Auskunftsrecht
Der User hat das Recht, Auskunft darüber zu erhalten, ob und welche personenbezogenen Daten der Betreiber über den User verarbeitet und Kopien dieser Daten zu erhalten.
2. Recht auf Berichtigung, Einschränkung und Löschung
Der User hat das Recht, Berichtigung, Ergänzung, Einschränkung oder das Löschen personenbezogener Daten zu beantragen.
3. Widerrufsrecht
Der User ist berechtigt unter bestimmten Umständen der Verarbeitung der personenbezogenen Daten zu widersprechen und eine allenfalls zuvor gegeben Einwilligung zu widerrufen.
4. Datenübertragbarkeit
Der User hat das Recht die Datenübertragbarkeit der Registrierungsdaten zu verlangen.
5. Beschwerderecht
Der User ist berechtigt sich bei der zuständigen Datenschutzbehörde (www.dsb.gv.at) zu beschweren. (www.dsb.gv.at).
IX. Dauer der Speicherung
Der Betreiber speichert personenbezogenen Daten nicht länger als es für die Erfüllung der oben genannten Zwecke notwendig ist. Die persönlichen Daten von Usern werden regelmäßig gelöscht oder anonymisiert, wenn sie für die genannten Zwecke nicht mehr relevant sind. Der Betreiber speichert etwa personenbezogene Daten so lange der Account des Users nicht gelöscht wurde oder der User keine Widerrufserklärung gemäß Punkt VIII. ausgesprochen hat bzw. solange die Daten zur Erbringung der CU-Services erforderlich sind bzw. es keine wie immer geartete gesetzliche Einschränkung gibt.