Datenschutzerklärung
Informationen zur Verarbeitung personenbezogener Daten.
Stand: 5. Mai 2026
1. Verantwortlicher und Kontakt
Was bedeutet das? Für diese Website und die damit verbundenen Datenverarbeitungen ist die Kulisse Ettlingen GmbH verantwortlich.
Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist:
Kulisse Ettlingen GmbH
Am Dickhäuterplatz 16
76275 Ettlingen
Deutschland
Vertreten durch: Yannic Neumann
Telefon: +49 7243 330633
E-Mail: kontakt@public-viewing-ettlingen.de
Website: public-viewing-ettlingen.de
Register: Amtsgericht Mannheim, HRB 753516
USt-ID: DE456057164
Verantwortlich für redaktionelle Inhalte nach § 18 MStV:
Yannic Neumann, Am Dickhäuterplatz 16, 76275 Ettlingen
Veranstaltungsort: Am Dickhäuterplatz 16, 76275 Ettlingen, Vorplatz Kulisse Kino
Veranstaltungszeitraum: 14. Juni 2026 bis 19. Juli 2026
Der Verantwortliche ist die Stelle, die über Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Das folgt aus Art. 4 Nr. 7 DSGVO. (dsgvo-gesetz.de)
2. Datenschutzbeauftragter
Was bedeutet das? Für Datenschutzfragen erreichst du uns direkt unter kontakt@public-viewing-ettlingen.de.
Ein Datenschutzbeauftragter ist nach § 38 Abs. 1 BDSG nicht bestellt, da die Kulisse Ettlingen GmbH in der Regel nicht mehr als 20 Personen mit der ständigen automatisierten Verarbeitung personenbezogener Daten beschäftigt und keine Verarbeitungsvorgänge im Sinne des Art. 35 DSGVO mit Datenschutz-Folgenabschätzungspflicht durchführt. Datenschutzanfragen können jederzeit an die oben genannte Kontaktadresse gerichtet werden.
3. Übersicht der Datenverarbeitungen
Was bedeutet das? Hier siehst du kompakt, welche Daten wir auf der Website und rund um die Veranstaltung verarbeiten.
| Verarbeitung | Daten | Zweck | Rechtsgrundlage |
|---|---|---|---|
| Website-Aufruf / Server-Logs | IP-Adresse, User-Agent, Zeitstempel, angefragte URL | Betrieb, Sicherheit, Missbrauchsabwehr | Art. 6 Abs. 1 lit. f DSGVO |
| Technisch notwendige Cookies | Session-, CSRF-, Auth-/Sicherheitsdaten | Funktion der Website, Buchungsprozess, Login-Schutz | Art. 6 Abs. 1 lit. f DSGVO, § 25 Abs. 2 Nr. 2 TDDDG |
| Ticket-Buchung | E-Mail, Vorname, gebuchtes Spiel, Anzahl Tickets, Bestellbetrag, Zahlungsstatus, Voucher-Codes, IP zum Buchungszeitpunkt | Vertragserfüllung, Ticketbereitstellung, Zahlungsabwicklung | Art. 6 Abs. 1 lit. b/c/f DSGVO |
| Stripe-Zahlung | Zahlungsdaten, E-Mail, Vorname, Betrag, Zahlungsstatus, Token | Zahlungsabwicklung, Betrugsprävention, Zahlungsnachweis | Art. 6 Abs. 1 lit. b/c/f DSGVO |
| Bestätigungsmail | E-Mail-Adresse, Bestelldaten, QR-Code | Versand deiner Tickets | Art. 6 Abs. 1 lit. b DSGVO |
| Magic-Link-Login | E-Mail-Adresse, Token-Hash, Ablaufzeit, Nutzungsstatus | Passwortloser Login in „Mein Bereich“ | Art. 6 Abs. 1 lit. b/f DSGVO |
| QR-Code-Erstellung | 32-Hex-Voucher-Code, QR-SVG | Erstellung und Prüfung des Tickets | Art. 6 Abs. 1 lit. b/f DSGVO |
| Einlasskontrolle | QR-Code/Voucher-Code, Ticketstatus | Prüfung der Zutrittsberechtigung | Art. 6 Abs. 1 lit. b/f DSGVO |
| Foto- und Videoaufnahmen vor Ort | Bild-/Videodaten, ggf. erkennbare Personen | Öffentlichkeitsarbeit, Social Media, Sponsorenkommunikation | Art. 6 Abs. 1 lit. f DSGVO, KUG |
| Kontaktaufnahme per E-Mail oder Telefon | Name, E-Mail, Telefonnummer, Inhalt der Anfrage | Bearbeitung deiner Anfrage | Art. 6 Abs. 1 lit. b/f DSGVO |
| Meta Pixel nach Einwilligung | Seitenaufrufe, Ticket-Funnel-Events, technische Browserdaten, Meta-Cookie-ID | Kampagnenmessung, Retargeting, Custom Audiences, Lookalike Audiences | Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG |
Wir verwenden kein Google Analytics und kein Plausible. Meta Pixel wird ausschließlich nach aktiver Marketing-Einwilligung geladen. Schriftarten werden lokal gehostet. Es findet kein Besucher-Tracking vor Ort, keine WLAN-Logauswertung und keine externe QR-Code-Generierung statt.
4. Begriffsbestimmungen
Was bedeutet das? Die wichtigsten Datenschutzbegriffe werden hier knapp erklärt.
| Begriff | Bedeutung |
|---|---|
| Personenbezogene Daten | Alle Informationen, mit denen du direkt oder indirekt identifiziert werden kannst, zum Beispiel Name, E-Mail-Adresse, IP-Adresse oder Ticketdaten. |
| Verarbeitung | Jeder Umgang mit personenbezogenen Daten, zum Beispiel Erheben, Speichern, Übermitteln, Auslesen oder Löschen. |
| Verantwortlicher | Die Stelle, die über Zwecke und Mittel der Datenverarbeitung entscheidet. |
| Auftragsverarbeiter | Ein Dienstleister, der personenbezogene Daten in unserem Auftrag verarbeitet. |
| Einwilligung | Freiwillige, informierte und eindeutige Zustimmung zu einer bestimmten Verarbeitung. |
| Empfänger | Stellen, die personenbezogene Daten erhalten, zum Beispiel Zahlungsdienstleister oder Hosting-Anbieter. |
| Drittland | Ein Land außerhalb der EU/des EWR, zum Beispiel die USA. |
Die Begriffe orientieren sich an Art. 4 DSGVO. (dsgvo-gesetz.de)
5. Rechtsgrundlagen
Was bedeutet das? Jede Verarbeitung braucht eine rechtliche Grundlage. Ohne Grundlage verarbeiten wir keine personenbezogenen Daten.
| Rechtsgrundlage | Bedeutung für diese Website |
|---|---|
| Art. 6 Abs. 1 lit. a DSGVO | Verarbeitung nach deiner Einwilligung, soweit im Einzelfall erforderlich. |
| Art. 6 Abs. 1 lit. b DSGVO | Verarbeitung zur Vertragserfüllung, insbesondere Ticketbuchung, Zahlung, QR-Code, Einlass. |
| Art. 6 Abs. 1 lit. c DSGVO | Verarbeitung zur Erfüllung gesetzlicher Pflichten, insbesondere handels- und steuerrechtliche Aufbewahrung. |
| Art. 6 Abs. 1 lit. f DSGVO | Verarbeitung auf Grundlage berechtigter Interessen, insbesondere IT-Sicherheit, Missbrauchsabwehr, Einlasssicherung, Öffentlichkeitsarbeit. |
| § 25 Abs. 2 Nr. 2 TDDDG | Keine Einwilligung für unbedingt erforderliche Cookies und Technologien. |
Art. 6 DSGVO regelt die allgemeinen Rechtsgrundlagen für personenbezogene Daten. § 25 TDDDG regelt zusätzlich das Speichern und Auslesen von Informationen auf deinem Endgerät, unabhängig davon, ob die Informationen personenbezogen sind. Die Datenschutzkonferenz weist ausdrücklich darauf hin, dass § 25 Abs. 1 TDDDG grundsätzlich eine Einwilligung verlangt und die Ausnahmen aus § 25 Abs. 2 TDDDG eng zu prüfen sind. (dsgvo-gesetz.de)
6. Server-Zugriffsdaten und Logs
Was bedeutet das? Beim Aufruf der Website entstehen technische Zugriffsdaten. Diese brauchen wir, damit die Website funktioniert und Angriffe erkannt werden.
Beim Besuch unserer Website werden automatisch Server-Zugriffsdaten verarbeitet:
| Datenkategorie | Zweck | Speicherdauer |
|---|---|---|
| IP-Adresse | Sicherheit, Missbrauchsabwehr, Fehleranalyse | 30 Tage |
| User-Agent | technische Analyse, Angriffserkennung | 30 Tage |
| Zeitstempel | Protokollierung und Nachvollziehbarkeit | 30 Tage |
| aufgerufene URL / Request | Fehleranalyse, Sicherheit | 30 Tage |
| HTTP-Statuscode | Fehleranalyse | 30 Tage |
Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt im sicheren und stabilen Betrieb der Website, der Abwehr von Angriffen, der Fehlerdiagnose und der Verhinderung von Missbrauch.
Die Website wird bei netcup GmbH, Emmy-Noether-Straße 10, 76131 Karlsruhe gehostet. Die aktuelle Anschrift ergibt sich aus dem Impressum von netcup. (netcup.com)
7. Cookies und ähnliche Technologien nach TDDDG
Was bedeutet das? Wir setzen technisch notwendige Cookies und vergleichbare Technologien ein, soweit sie für Website, Ticketprozess, Login oder Sicherheit erforderlich sind. Optionale Marketing-Technologien wie Meta Pixel nutzen wir nur nach deiner aktiven Einwilligung.
| Name | Anbieter | Zweck | Speicherdauer | Rechtsgrundlage |
|---|---|---|---|---|
__session | Kulisse Ettlingen GmbH | Session-Verwaltung für Admin, Staff und „Mein Bereich“ | Kunden-Session bis zu 180 Tage, Staff-Session bis zu 8 Stunden | § 25 Abs. 2 Nr. 2 TDDDG, Art. 6 Abs. 1 lit. f DSGVO |
__csrf | Kulisse Ettlingen GmbH | Schutz vor Cross-Site-Request-Forgery | gekoppelt an die jeweilige Session | § 25 Abs. 2 Nr. 2 TDDDG, Art. 6 Abs. 1 lit. f DSGVO |
wm_consent_v1 | Kulisse Ettlingen GmbH | Speicherung deiner Cookie-/Marketing-Auswahl im Browser | bis zur Änderung oder Löschung durch dich | § 25 Abs. 2 Nr. 2 TDDDG, Art. 6 Abs. 1 lit. f DSGVO |
_fbp | Meta Platforms Ireland Limited / Meta Platforms, Inc. | Meta Pixel Marketing-Messung nach Einwilligung | typischerweise bis zu 3 Monate | § 25 Abs. 1 TDDDG, Art. 6 Abs. 1 lit. a DSGVO |
_fbc | Meta Platforms Ireland Limited / Meta Platforms, Inc. | Zuordnung von Meta-Klicks zu späteren Ereignissen nach Einwilligung | typischerweise bis zu 3 Monate | § 25 Abs. 1 TDDDG, Art. 6 Abs. 1 lit. a DSGVO |
Technisch notwendige Cookies sind erforderlich, um von dir ausdrücklich gewünschte Funktionen bereitzustellen und die Website gegen Missbrauch zu schützen.
8. Facebook Pixel / Meta Pixel
Was bedeutet das? Meta Pixel hilft uns zu messen, ob unsere Werbung zu Besuchen, gestarteten Buchungen und Ticketkäufen führt. Der Pixel wird erst geladen, wenn du Marketing aktiv akzeptierst. Ohne diese Einwilligung findet kein Meta-Pixel-Tracking statt.
Anbieter ist Meta Platforms Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland. Technisch können Daten auch an Meta Platforms, Inc. in den USA übertragen werden. Meta gibt an, unter dem EU-US Data Privacy Framework zertifiziert zu sein. Die Zertifizierung kann in der offiziellen Liste geprüft werden: dataprivacyframework.gov/list
Pixel-ID: 777138653455718
8.1 Zwecke
Wir nutzen Meta Pixel nach deiner Einwilligung für:
| Zweck | Beschreibung |
|---|---|
| Conversion-Tracking | Messung, ob Meta-Werbung zu Seitenbesuchen, Checkout-Starts oder Käufen führt |
| Retargeting | erneute Ansprache von Personen, die mit der Website oder Ticketstrecke interagiert haben |
| Custom Audiences | Bildung von Zielgruppen auf Grundlage von Pixel-Ereignissen, soweit Meta dies bereitstellt |
| Lookalike Audiences | Optimierung von Zielgruppen ähnlicher Interessen, soweit Meta dies bereitstellt |
| Kampagnenoptimierung | Verbesserung von Anzeigen und Budgeteinsatz |
8.2 Pixel-Events
Wir nutzen folgende Events:
| Ereignis | Zweck | Übermittelte Inhalte |
|---|---|---|
PageView | Seitenaufrufe nach Einwilligung messen | technische Browserdaten und besuchte Seite |
ViewContent | ausgewähltes Spiel im Ticketflow messen | Spiel-ID und Spielpaarung, keine E-Mail |
InitiateCheckout | gestarteten Checkout messen | Spiel-ID, Betrag, Währung, Anzahl |
Purchase | abgeschlossene Zahlung messen | Bestell-ID als Deduplizierung, Betrag, Währung, Anzahl |
Zusätzlich verarbeitet Meta technisch erforderliche Daten wie IP-Adresse, User-Agent, Geräte- und Browserinformationen, Referrer, Zeitpunkt des Aufrufs und Meta-Cookie-IDs, soweit diese nach deiner Einwilligung gesetzt werden.
Wir übermitteln in V1 keine E-Mail-Adresse, keinen Namen, keine Telefonnummer, keine QR-Codes und keine Getränkebon-Codes an Meta. Advanced Matching ist deaktiviert.
8.3 Cookies und Speicherdauer
Meta kann nach deiner Einwilligung insbesondere folgende Cookies setzen oder auslesen:
| Name | Anbieter | Zweck | Speicherdauer |
|---|---|---|---|
_fbp | Meta Platforms Ireland Limited / Meta Platforms, Inc. | Erkennung von Browsern für Marketing-Messung | typischerweise bis zu 90 Tage |
_fbc | Meta Platforms Ireland Limited / Meta Platforms, Inc. | Zuordnung von Meta-Klicks zu späteren Ereignissen | typischerweise bis zu 90 Tage |
Die weitere Speicherdauer bei Meta richtet sich nach den Datenschutz- und Datenverwendungsregeln von Meta.
8.4 Rechtsgrundlage und Einwilligung
Rechtsgrundlage für das Speichern und Auslesen optionaler Marketing-Cookies ist § 25 Abs. 1 TDDDG. Rechtsgrundlage für die anschließende Verarbeitung personenbezogener Daten ist deine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO.
Du kannst die Einwilligung jederzeit über „Cookie-Einstellungen“ im Footer oder auf dieser Datenschutzseite widerrufen. Der Widerruf wirkt für die Zukunft. Nach einem Widerruf laden wir den Meta Pixel nicht weiter und versuchen die first-party Meta-Cookies _fbp und _fbc im Browser zu löschen.
Zusätzlich kannst du deine Meta-Anzeigeneinstellungen direkt bei Meta verwalten: facebook.com/ads/preferences
8.5 Gemeinsame Verantwortlichkeit mit Meta
Für bestimmte Verarbeitungen im Zusammenhang mit Meta Business Tools besteht eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO zwischen der Kulisse Ettlingen GmbH und Meta Platforms Ireland Limited. Maßgeblich ist das Meta Controller Addendum / Joint Controller Addendum:
facebook.com/legal/controller_addendum
Meta übernimmt nach diesem Addendum bestimmte Informationspflichten und die Bearbeitung bestimmter Rechteanfragen für die von Meta verantworteten Verarbeitungsschritte. Du kannst deine Rechte aber auch jederzeit gegenüber uns geltend machen.
8.6 Drittlandtransfer USA
Meta kann Daten in die USA übertragen. Grundlage ist nach Angaben von Meta insbesondere die Zertifizierung unter dem EU-US Data Privacy Framework nach Art. 45 DSGVO. Soweit erforderlich, nutzt Meta weitere Transfermechanismen, insbesondere Standardvertragsklauseln. Weitere Informationen findest du in der Meta-Datenschutzerklärung:
9. Ticket-Buchung und Zahlungsabwicklung mit Stripe
Was bedeutet das? Wenn du Tickets buchst, verarbeiten wir deine Bestelldaten und nutzen Stripe für die Zahlung.
Die Ticket-Buchung erfolgt über Stripe Embedded Checkout.
Zahlungsdienstleister:
Stripe Payments Europe, Limited
Irland
Stripe verarbeitet bei Zahlungen unter anderem Transaktionsdaten. Dazu können nach der Stripe-Datenschutzrichtlinie Name, E-Mail-Adresse, Zahlungsart, Betrag, Zahlungsstatus, Händlerdaten, Datum der Zahlung und Informationen zum gekauften Produkt gehören. (stripe.com)
9.1 An Stripe übermittelte Daten
| Daten | Zweck |
|---|---|
| E-Mail-Adresse | Zahlungs- und Buchungszuordnung |
| Vorname | Checkout / Zahlungsabwicklung |
| Bestellbetrag | Zahlung |
| Zahlungsstatus | Buchungsabschluss und Nachweis |
| Zahlungsmethoden-Token | technische Zahlungsabwicklung |
| ggf. Betrugs-/Risikodaten | Missbrauchs- und Betrugsprävention |
Wir speichern keine vollständigen Kreditkartendaten auf unseren eigenen Servern.
9.2 Rechtsgrundlagen
| Verarbeitung | Rechtsgrundlage |
|---|---|
| Durchführung der Zahlung | Art. 6 Abs. 1 lit. b DSGVO |
| Speicherung steuerlich relevanter Zahlungsdaten | Art. 6 Abs. 1 lit. c DSGVO |
| Betrugsprävention und Sicherheit | Art. 6 Abs. 1 lit. f DSGVO |
| gesetzliche Compliance bei Stripe | eigene Rechtsgrundlagen von Stripe |
9.3 Rolle von Stripe
Stripe kann je nach Verarbeitung als Auftragsverarbeiter und als eigener Verantwortlicher handeln. Im Stripe-DPA heißt es ausdrücklich, dass Stripe sowohl als Data Processor als auch als Data Controller tätig sein kann. Für Stripe-Konten außerhalb Amerikas wird das DPA mit Stripe Payments Europe, Limited abgeschlossen. (stripe.com)
Mit Stripe besteht ein Data Processing Agreement. Stripe stellt nach eigenen Angaben ein DPA bereit, das Bestandteil des Stripe Services Agreement ist. (stripe.com)
9.4 Drittlandtransfer
Stripe kann personenbezogene Daten in die USA übertragen, insbesondere an Stripe, LLC. Das Stripe-DPA beschreibt Cross-Border Data Transfers an Stripe, LLC in den USA und an Stripe-Affiliates sowie Unterauftragsverarbeiter in anderen Ländern. (stripe.com)
Stripe, LLC gibt an, nach dem EU-U.S. Data Privacy Framework zertifiziert zu sein. Zusätzlich verweist Stripe auf Data Transfer Addendum und weitere Transfermechanismen, darunter Standardvertragsklauseln. (stripe.com)
10. E-Mail-Versand
Was bedeutet das? Wir senden dir Buchungsbestätigungen, QR-Codes und Magic-Links per E-Mail.
Mail-Versand-Provider: eigener SMTP-Server
Ein zusätzlicher externer Mail-Versanddienstleister ist nach den vorliegenden Angaben nicht eingebunden.
10.1 Verarbeitete Daten
| Daten | Zweck |
|---|---|
| E-Mail-Adresse | Versand von Buchungsbestätigung, QR-Code und Magic-Link |
| Bestellnummer | Zuordnung der Buchung |
| gebuchtes Spiel | Ticketinhalt |
| Anzahl Tickets | Ticketinhalt |
| QR-Code / Voucher-Code | Einlassberechtigung |
| Versandzeitpunkt | Nachweis und Fehleranalyse |
| Mailserver-Logs | Zustellung, Sicherheit, Missbrauchsabwehr |
10.2 Rechtsgrundlagen
| Verarbeitung | Rechtsgrundlage |
|---|---|
| Versand der Buchungsbestätigung | Art. 6 Abs. 1 lit. b DSGVO |
| Versand des Magic-Links | Art. 6 Abs. 1 lit. b/f DSGVO |
| Mailserver-Logs | Art. 6 Abs. 1 lit. f DSGVO |
| steuerlich relevante Bestelldokumentation | Art. 6 Abs. 1 lit. c DSGVO |
Speicherdauer Mailserver-Logs: bis zu 90 Tage, soweit keine gesetzlichen Nachweis- oder Sicherheitsinteressen eine längere Aufbewahrung erfordern.
11. Magic-Link-Login
Was bedeutet das? Du loggst dich ohne Passwort ein. Der Zugang funktioniert über einen einmaligen Link per E-Mail.
Wenn du den Login für „Mein Bereich“ anforderst, erstellen wir einen Magic-Link-Token.
| Schritt | Verarbeitung |
|---|---|
| Anforderung | Eingabe deiner E-Mail-Adresse |
| Token-Erstellung | Generierung eines einmaligen Tokens |
| Speicherung | Speicherung nur als Token-Hash in der Datenbank |
| Versand | Versand des Links per E-Mail |
| Ablauf | Token läuft nach 15 Minuten ab |
| Verbrauch | Token wird nach Nutzung ungültig |
Der Klartext-Token wird nicht dauerhaft gespeichert. In der Datenbank liegt nur der Hash. Dadurch kann ein Datenbankeinblick den Magic-Link nicht ohne Weiteres rekonstruieren.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit der Login zur Nutzung deines Ticketbereichs erforderlich ist. Zusätzlich stützen wir Sicherheitsmaßnahmen auf Art. 6 Abs. 1 lit. f DSGVO.
12. Bestelldaten, QR-Codes und Aufbewahrung
Was bedeutet das? Deine Ticket- und Zahlungsdaten speichern wir, solange sie für die Veranstaltung, den Einlass und gesetzliche Pflichten benötigt werden.
Wir speichern folgende Bestelldaten in Postgres auf unserem Server:
| Daten | Zweck |
|---|---|
| Bestellnummer | eindeutige Zuordnung |
| E-Mail-Adresse | Buchungs- und Ticketversand |
| gebuchtes Spiel | Ticketinhalt |
| Anzahl Tickets | Vertragserfüllung |
| Voucher-Codes | Einlassberechtigung |
| Zahlungsstatus | Abschluss und Nachweis |
| IP-Adresse zum Buchungszeitpunkt | Missbrauchsabwehr, Nachweis |
| Zeitstempel | Nachvollziehbarkeit |
| QR-Code / deterministischer SVG-Code | Ticketdarstellung |
Die QR-Codes werden serverseitig aus einem 32-Hex-Voucher-Code erzeugt. Es wird kein externer QR-Code-Dienst eingesetzt.
12.1 Aufbewahrung
Die Aufbewahrung richtet sich nach vertraglichen, handelsrechtlichen und steuerrechtlichen Pflichten. Die frühere pauschale Formulierung „10 Jahre nach § 147 AO“ ist 2026 zu ungenau: Nach aktueller Fassung nennt § 147 AO für bestimmte Unterlagen 10 Jahre, für Buchungsbelege aber 8 Jahre; § 257 HGB enthält ebenfalls Fristen von 10 und 8 Jahren je nach Unterlagentyp. (gesetze-im-internet.de)
| Datenkategorie | Speicherdauer |
|---|---|
| reine Ticketdaten ohne steuerliche Relevanz | bis zur Abwicklung der Veranstaltung und Nachbearbeitung, danach Löschung oder Anonymisierung |
| steuerlich oder handelsrechtlich relevante Bestelldaten | je nach Unterlagentyp 8 bis 10 Jahre |
| Rechnungs- und Zahlungsnachweise | gesetzliche Aufbewahrungsfrist nach AO/HGB/UStG, regelmäßig bis zu 8 oder 10 Jahre |
| Backup-Kopien | bis zu 90 Tage, soweit keine längere gesetzliche Aufbewahrung oder Fehleranalyse erforderlich ist |
| Voucher-Code / Einlassstatus | bis zur Abwicklung der Veranstaltung, soweit nicht als Nachweis erforderlich |
Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO für die Vertragserfüllung, Art. 6 Abs. 1 lit. c DSGVO für gesetzliche Aufbewahrungspflichten und Art. 6 Abs. 1 lit. f DSGVO für Missbrauchsabwehr und Nachweisführung.
13. Einlasskontrolle vor Ort
Was bedeutet das? Am Eingang wird dein QR-Code geprüft, damit nur gültige Tickets eingelassen werden.
Beim Einlass wird der QR-Code gescannt und intern gegen unsere Datenbank geprüft. Es wird kein externer Scan-Dienst verwendet.
| Daten | Zweck |
|---|---|
| QR-Code / Voucher-Code | Prüfung der Gültigkeit |
| Ticketstatus | verhindert doppelte Nutzung |
| gebuchtes Spiel | Zuordnung zur Veranstaltung |
| Scan-Zeitpunkt | Missbrauchsabwehr / Nachweis |
| Ergebnis der Prüfung | Einlassentscheidung |
Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, weil die Prüfung zur Vertragserfüllung erforderlich ist. Zusätzlich besteht ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO, Missbrauch, Mehrfachnutzung und Fälschungen zu verhindern.
Speicherdauer Scan-Logs: bis zur vollständigen Veranstaltungsabwicklung und Nachbearbeitung, soweit keine längeren Nachweisinteressen bestehen.
14. Foto- und Videoaufnahmen vor Ort
Was bedeutet das? Bei einigen Spielen können Foto- und Videoaufnahmen entstehen, auf denen du erkennbar bist.
Bei einzelnen Spielen erstellen wir Stimmungsaufnahmen für Öffentlichkeitsarbeit, Social Media, Sponsorenkommunikation und Dokumentation der Veranstaltung. Dabei können Besucher erkennbar sein.
14.1 Zwecke
| Zweck | Beschreibung |
|---|---|
| Öffentlichkeitsarbeit | Darstellung der Veranstaltung |
| Social Media | Beiträge auf eigenen Kanälen |
| Sponsorenkommunikation | Nachweis und Dokumentation gegenüber Sponsoren |
| Presse / Rückblick | Berichterstattung und Archivierung |
14.2 Rechtsgrundlagen
Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Dokumentation und Bewerbung der Veranstaltung.
Für die Veröffentlichung von Bildnissen berücksichtigen wir zusätzlich die Vorgaben des Kunsturhebergesetzes, insbesondere §§ 22, 23 KUG. Bei gezielten Einzelportraits, Interviews oder gestellten Aufnahmen holen wir gesonderte Einwilligungen ein, soweit erforderlich.
14.3 Widerspruch
Du kannst der Verarbeitung aus Gründen, die sich aus deiner besonderen Situation ergeben, widersprechen:
kontakt@public-viewing-ettlingen.de
Am Eingang und auf dem Veranstaltungsgelände werden Hinweise auf Foto- und Videoaufnahmen angebracht. Der Widerspruch kann bei Übersichts- und Stimmungsaufnahmen nicht immer verhindern, dass du zufällig im Hintergrund erfasst wirst. Wir berücksichtigen Widersprüche aber bei Auswahl, Veröffentlichung und Löschung von Material, soweit rechtlich und technisch möglich.
15. Empfänger und Auftragsverarbeiter
Was bedeutet das? Wir geben Daten nur an Stellen weiter, die für Betrieb, Zahlung, Versand, Sicherheit oder gesetzliche Pflichten erforderlich sind.
| Empfänger / Dienstleister | Anschrift | Rolle | Zweck | Drittlandtransfer | Vertrag / Status |
|---|---|---|---|---|---|
| netcup GmbH | Emmy-Noether-Straße 10, 76131 Karlsruhe, Deutschland | Auftragsverarbeiter | Hosting, Serverbetrieb | nein, soweit Serverstandort EU/Deutschland | AVV |
| Stripe Payments Europe, Limited | Irland | Auftragsverarbeiter und teils eigener Verantwortlicher | Zahlungsabwicklung | möglich in die USA, insbesondere Stripe, LLC | Stripe DPA / Data Transfer Addendum |
| Stripe, LLC | USA | verbundene Stripe-Gesellschaft | Zahlungsabwicklung, Betrugsprävention, Compliance | USA | DPF / SCC je nach Transfermechanismus |
| Meta Platforms Ireland Limited | 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland | gemeinsam Verantwortlicher nach Art. 26 DSGVO für Meta Business Tools | Meta Pixel Marketing-Messung nach Einwilligung | möglich in die USA, insbesondere Meta Platforms, Inc. | Meta Controller Addendum / Joint Controller Addendum |
| Meta Platforms, Inc. | USA | verbundene Meta-Gesellschaft | Betrieb und Auswertung der Meta Business Tools | USA | DPF / SCC je nach Transfermechanismus |
| eigener SMTP-Server | Deutschland/EU, soweit über die aktuelle Hosting-Infrastruktur betrieben | intern / ggf. über Hoster | Versand von E-Mails | nein, soweit EU/Deutschland | kein externer Mail-Provider |
| Steuerberater / Behörden | soweit erforderlich | eigenständige Empfänger | steuerliche Pflichten | regelmäßig nein | gesetzliche Grundlage / Mandat |
Netcup nennt als aktuelle Anschrift Emmy-Noether-Straße 10, 76131 Karlsruhe. (netcup.com)
Stripe beschreibt im DPA seine Rollen als Processor und Controller sowie internationale Transfers an Stripe, LLC und Affiliates. (stripe.com)
Meta beschreibt Meta Pixel als Teil der Meta Business Tools und erhält dabei unter anderem HTTP-Header, Pixel-spezifische Daten, Klickdaten und optionale Event-Daten, soweit diese übermittelt werden.
16. Speicherdauern
Was bedeutet das? Wir speichern Daten nicht unbegrenzt. Maßgeblich sind Zweck, gesetzliche Pflichten und technische Sicherheitsanforderungen.
| Datenkategorie | Speicherdauer |
|---|---|
| Server-Zugriffslogs | 30 Tage |
| Anwendungslogs | 30 Tage |
| Session-/CSRF-Daten | Kunden-Session bis zu 180 Tage, Staff-Session bis zu 8 Stunden |
| Ticket-Bestelldaten | bis zur vollständigen Abwicklung, soweit erforderlich länger wegen Nachweis- und Aufbewahrungspflichten |
| steuerlich relevante Zahlungs-/Bestelldaten | je nach Unterlagentyp 8 bis 10 Jahre |
| Magic-Link-Token-Hash | Ablauf nach 15 Minuten, nach Verbrauch ungültig |
| E-Mail-Versandlogs | bis zu 90 Tage, soweit keine längeren Nachweisinteressen bestehen |
| QR-/Voucher-Codes | bis Veranstaltungsabwicklung, soweit erforderlich länger als Nachweis |
| Scan-/Einlasslogs | bis zur vollständigen Veranstaltungsabwicklung und Nachbearbeitung |
| Backups | bis zu 90 Tage, soweit keine längere Aufbewahrung erforderlich ist |
| Foto-/Videoaufnahmen | solange der Veröffentlichungs- oder Dokumentationszweck besteht; bei berechtigtem Widerspruch Löschung oder Unkenntlichmachung, soweit möglich |
| Kontaktanfragen | bis zur abschließenden Bearbeitung, danach nach gesetzlichen Verjährungs- oder Aufbewahrungsfristen |
| Meta-Pixel-Consent | bis zur Änderung oder Löschung deiner Browser-Einstellung |
| Meta-Pixel-Cookies | nach Angaben von Meta bzw. Browsereinstellung, typischerweise bis zu 3 Monate |
Nach Ablauf der Speicherdauer löschen oder anonymisieren wir personenbezogene Daten, soweit keine gesetzlichen Pflichten, Verjährungsfristen oder berechtigten Nachweisinteressen entgegenstehen.
17. Drittlandtransfer
Was bedeutet das? Einige Dienstleister können Daten in die USA übertragen. Dafür braucht es eine zulässige Transfergrundlage.
| Empfänger | Drittland | Transfergrundlage |
|---|---|---|
| Stripe, LLC | USA | EU-U.S. Data Privacy Framework, Data Transfer Addendum, ggf. Standardvertragsklauseln |
| Meta Platforms, Inc. | USA | EU-U.S. Data Privacy Framework, ggf. Standardvertragsklauseln und weitere Meta-Transfermechanismen |
| netcup | kein Drittland nach vorliegenden Angaben | Serverstandort Deutschland/EU |
| eigener SMTP-Server | kein Drittland nach vorliegenden Angaben | Serverstandort Deutschland/EU |
Die Europäische Kommission hat am 10. Juli 2023 den Angemessenheitsbeschluss für das EU-U.S. Data Privacy Framework angenommen. Die Übermittlung ist aber nur für Organisationen gedeckt, die aktiv in der offiziellen DPF-Liste geführt werden. (bfdi.bund.de)
Stripe, LLC gibt eine Zertifizierung nach dem EU-U.S. Data Privacy Framework an.
Meta Platforms, Inc. gibt ebenfalls eine Zertifizierung nach dem EU-U.S. Data Privacy Framework an.
18. Betroffenenrechte
Was bedeutet das? Du hast Rechte an deinen Daten. Du kannst Auskunft, Berichtigung, Löschung und weitere Maßnahmen verlangen.
Du hast nach der DSGVO insbesondere folgende Rechte:
| Recht | Rechtsgrundlage | Inhalt |
|---|---|---|
| Auskunft | Art. 15 DSGVO | Du kannst Auskunft verlangen, ob und welche Daten wir über dich verarbeiten. |
| Berichtigung | Art. 16 DSGVO | Du kannst unrichtige Daten korrigieren lassen. |
| Löschung | Art. 17 DSGVO | Du kannst Löschung verlangen, soweit keine Aufbewahrungspflicht entgegensteht. |
| Einschränkung | Art. 18 DSGVO | Du kannst verlangen, dass Daten nur eingeschränkt verarbeitet werden. |
| Datenübertragbarkeit | Art. 20 DSGVO | Du kannst bestimmte Daten in einem übertragbaren Format erhalten. |
| Widerspruch | Art. 21 DSGVO | Du kannst Verarbeitungen widersprechen, die auf berechtigten Interessen beruhen. |
| Widerruf | Art. 7 Abs. 3 DSGVO | Du kannst Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen. |
| Beschwerde | Art. 77 DSGVO | Du kannst dich bei einer Datenschutzaufsichtsbehörde beschweren. |
Die DSGVO enthält diese Rechte in Kapitel 3; Art. 77 DSGVO regelt ausdrücklich das Beschwerderecht bei einer Aufsichtsbehörde. (dsgvo-gesetz.de)
18.1 Kontakt für Rechteausübung
Sende deine Anfrage an:
kontakt@public-viewing-ettlingen.de
Zur Bearbeitung können wir eine Identitätsprüfung verlangen, wenn wir dich sonst nicht sicher zuordnen können.
18.2 Beschwerde bei der Aufsichtsbehörde
Zuständige Datenschutzaufsichtsbehörde für uns ist:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Heilbronner Straße 35
70191 Stuttgart
Postanschrift:
Postfach 10 29 32
70025 Stuttgart
Telefon: 0711 / 615541-0
E-Mail: poststelle@lfdi.bwl.de
Webseite: baden-wuerttemberg.datenschutz.de
Der LfDI Baden-Württemberg nennt seit dem 22.12.2025 die neue Hausanschrift Heilbronner Straße 35, 70191 Stuttgart, und bittet datenverarbeitende Stellen, diese Adresse in Datenschutzhinweisen anzupassen. (baden-wuerttemberg.datenschutz.de)
19. Widerruf von Einwilligungen
Was bedeutet das? Alles, was auf deiner Einwilligung beruht, kannst du jederzeit für die Zukunft stoppen.
Du kannst jede Einwilligung jederzeit widerrufen. Das gilt insbesondere für:
| Einwilligung | Widerrufsmöglichkeit |
|---|---|
| ggf. Foto-/Video-Einwilligungen bei Einzelaufnahmen | per E-Mail an kontakt@public-viewing-ettlingen.de |
| Marketing-Einwilligung für Meta Pixel | über „Cookie-Einstellungen“ im Footer oder auf dieser Datenschutzseite |
| ggf. weitere Einwilligungen | über den jeweils angegebenen Kanal |
Der Widerruf berührt nicht die Rechtmäßigkeit der Verarbeitung bis zum Widerruf. Art. 7 Abs. 3 DSGVO verlangt außerdem, dass der Widerruf so einfach möglich sein muss wie die Erteilung der Einwilligung. (dsgvo-gesetz.de)
20. Automatisierte Entscheidungsfindung
Was bedeutet das? Wir treffen keine rechtlich erheblichen Entscheidungen über dich allein durch einen Algorithmus.
Wir nutzen keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO.
Stripe kann zur Betrugsprävention eigene Risiko- und Sicherheitsprüfungen einsetzen. Stripe beschreibt in seiner Datenschutzdokumentation Verarbeitungen zur Betrugsprävention und Risikominderung. (stripe.com)
21. Verschlüsselung und Sicherheit
Was bedeutet das? Deine Daten werden bei der Übertragung verschlüsselt und technisch geschützt.
Die Website wird über HTTPS betrieben. Die TLS-Terminierung erfolgt über einen Caddy-Reverse-Proxy mit nachgelagertem Nginx-Edge-Cache. Es wird TLS 1.2 oder höher verwendet. Zertifikate werden über Let’s Encrypt bereitgestellt.
Wir setzen insbesondere folgende technische und organisatorische Maßnahmen ein:
| Maßnahme | Zweck |
|---|---|
| HTTPS / TLS | Schutz der Datenübertragung |
| Caddy-Reverse-Proxy | sichere TLS-Terminierung |
| Nginx-Edge-Cache | Auslieferung und Caching nachgelagerter Website-Inhalte |
| Postgres serverintern | keine externe Datenbankplattform |
| Token-Hashing beim Magic-Link | Schutz vor Token-Missbrauch |
| CSRF-Schutz | Schutz vor manipulierten Anfragen |
| Server-Logs mit begrenzter Speicherdauer | Sicherheitsanalyse ohne unbegrenzte Speicherung |
| Zugriffsbeschränkung | Schutz der Systeme und Daten |
| QR-Code serverseitig | keine externe QR-Code-Übertragung |
22. Aktualisierung dieser Datenschutzerklärung
Was bedeutet das? Wenn sich Technik, Dienstleister oder Zwecke ändern, muss diese Erklärung angepasst werden.
Diese Datenschutzerklärung gilt ab dem oben genannten Stand-Datum. Wir aktualisieren sie, wenn sich relevante Verarbeitungen ändern, insbesondere bei:
| Änderung | Folge |
|---|---|
| Wechsel des Hosters | Anpassung Hosting-Abschnitt und Auftragsverarbeiter |
| Wechsel des Mail-Providers | Anpassung E-Mail-Versand, AVV, Drittlandtransfer |
| Änderung der Stripe-Integration | Anpassung Zahlungsabschnitt |
| Änderung der Speicherdauern | Anpassung der Tabellen |