Twickly App Datenschutzerklärung

Stand 2019
für die mobile Anwendung der Mobile Ticket Plattform „twickly“ (nachfolgend „twickly-App“ genannt) der DevBoost GmbH.

## 1. Einleitung

Die twickly-App ist eine für verschiedene Betriebssysteme zum Download bereitstehende mobile Anwendung, welche den Nutzern der App als Plattform für Ticketkäufe im Bereich Kultur und Freizeit dient.

Ziel der twickly-App ist es, Bewohnern und Besuchern einer Stadt einen Überblick über aktuelle Freizeit- und Kultureinrichten (nachfolgend „Einrichtung“ genannt) zu geben sowie den Kauf von mobilen Tickets zu diesen Einrichtungen durchzuführen bzw. zu vermitteln und technisch zu unterstützen.

Die twickly-App informiert seine Nutzer über Einrichtungen auf Basis des Standorts und empfiehlt Einrichtungen auf Basis bereits gesichteter bzw. besuchter Einrichtungen des Nutzers. Die Standort-Nutzungs-Erlaubnis kann der Nutzer direkt nach Installation der App geben oder verweigern.

Weiterführende Informationen zu einer Einrichtung, wie z.B. Öffnungszeiten, Adresse oder angebotene Ticketarten, bekommt der Nutzer auf den Profilseiten der selektierten Einrichtung angezeigt. Die twickly-App erhält die inhaltliche Information von den Einrichtungen und stellt sie dem Nutzer in einer Übersicht zur Verfügung.

Der Nutzer kommt über die Profilseite einer Einrichtung zum Angebot der verfügbaren Produkte/Tickets. Passende Tickets werden vom Nutzer ausgewählt und in den Warenkorb transferiert.

Der Nutzer kommt mit dem Button „Zum Warenkorb“ zu seiner Einkaufsliste und einer Wahlmöglichkeit der Zahlungsart. Nach Bestätigung „Jetzt Kaufen“ wird der Nutzer zu dem eingebundenen Zahlformular des Bezahldienstleisters weitergeleitet. DevBoost selbst agiert nicht als Zahlungsdienstleister.

Nach Eingabe der Zahlungsdaten wird mit dem Bestätigungsbutton im Zahlungsformular der Kauf final und kostenpflichtig sowie rechtsverbindlich bestätigt. Anschließend liegt das erworbene und bezahlte Ticket in einer Ticketübersicht.

Die mobilen Tickets sind nach Kaufabwicklung in der twickly-App gespeichert. Das Kaufdatum wird angezeigt, ebenfalls das Datum bis wann ein Ticket gültig ist und eingelöst werden kann.

Tickets werden im Eingangsbereich der Einrichtungen geprüft und entwertet. Am Einlass benötigt man sein Smartphone, auf dem das Tickets als QR-Code hinterlegt ist. Der QR Code wird mittels einer weiteren Prüf-App, auf einem anderen Gerät, durch die Einrichtung entwertet.

Die twickly-App unterliegt den Vorgaben der europäischen Datenschutzgrundverordnung (DSGVO), den deutschen Datenschutzgesetzen sowie den Vorgaben des Telemediengesetzes (TMG). Die Datenschutzerklärung erläutert den Umgang mit personenbezogenen Daten. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind Die Datenschutzerklärung dient der Information darüber, welche Daten über die twickly-App verarbeitet werden und wie die verantwortliche Stelle den Schutz und die Sicherheit der personenbezogenen Daten gewährleistet.

**Verantwortliche Stelle**

Verantwortliche Stelle ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten (z.B. Namen, E-Mail-Adressen o. Ä.) entscheidet.

Die DevBoost GmbH (nachfolgend DevBoost) betreibt die twickly-App und ist verantwortliche Stelle für die Datenverarbeitung durch und über twickly-App.

DevBoost GmbH
Kaitzer Straße 36
01187 Dresden
Germany
Telefon: +49 351 321 231 22
E-Mail: [twickly(at)devboost.de](mailto:twickly@devboost.de)

Datenschutzbeauftragter:

Der Datenschutzbeauftragte der verantwortlichen Stelle ist:

esb DATA PROTECT Dresden
Goethestraße 17
(Villa Harzer)
01109 Dresden

E-Mail: [datenschutz.dresden(at)kanzlei.de](mailto:datenschutz.dresden@kanzlei.de)
Tel.: +49 (0)351/81651-0
Fax: +49 (0)351/81651-99

An diesen können Sie Fragen rund um den Datenschutz zu twickly-App stellen.

## 2. Download der twickly-App

Beim Herunterladen der twickly-App werden die dafür notwendigen Informationen an den App-Store übertragen, also insbesondere Nutzername, E-Mail-Adresse und Kundennummer des Nutzers, Zeitpunkt des Downloads und die individuelle Gerätekennziffer. Auf diese Datenerhebung hat DevBoost jedoch keinen Einfluss und ist nicht dafür verantwortlich. DevBoost verarbeitet diese bereitgestellten Daten, soweit dies für das Herunterladen der twickly-App auf Ihr Smartphone notwendig ist. Sie werden darüber hinaus nicht weiter gespeichert. Beim ersten Öffnen der twickly-App wird ein sogenannter Sicherheits-Token installiert. Dieser Token dient dazu, eine sichere Nutzung der twickly-App zu gewährleisten.

## 3. Verarbeitung der Daten

DevBoost verwendet die personenbezogenen Daten, die der Nutzer mitteilt oder die bei der Nutzung anfallen, ohne gesonderte Einwilligung ausschließlich zur Durchführung des Nutzungsverhältnisses.

### 3.1. Erhebung, Verarbeitung und Nutzung personenbezogener Daten bei informatorischer Nutzung

Bei der bloßen informatorischen Nutzung der twickly-App, also ohne Registrierung oder Erstellung eines Nutzerkontos, erhebt DevBoost keine personenbezogenen Daten, mit Ausnahme der im Folgenden aufgeführten Daten.

DevBoost verarbeitet Daten, die das Smartphone des Nutzers übermittelt. Diese Daten sind:

– IP-Adresse
– Datum und Uhrzeit der Anfrage
– Gerätespezifische Daten (Gerätetyp und Betriebssystemversion)
– Sicherheits-Token (eindeutig pro App-Installation)

Dies ist erforderlich für die Nutzung der twickly-App als solche. Die genannten Daten werden durch uns zu folgenden Zwecken verarbeitet:

– Gewährleistung eines reibungslosen Verbindungsaufbaus zu twickly-App
– Gewährleistung einer komfortablen Nutzung von twickly-App
– Auswertung der Systemsicherheit und -stabilität

Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Wir behalten uns jedoch vor, diese Daten nachträglich zu prüfen, wenn uns konkrete Anhaltspunkte für eine rechtswidrige Nutzung bekannt werden. Die Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 S. 1 lit. f DSGVO. Das berechtigte Interesse folgt aus oben aufgelisteten Zwecken zur Datenerhebung.

DevBoost verarbeitet weiterhin:

– welche Einrichtungsprofile sich der Nutzer angesehen hat
– Standortdaten (GPS Location) – siehe dazu auch Punkt 3.4.

Die Historie der angesehenen Einrichtungsprofile wird verarbeitet, damit dem Nutzer Vorschläge geboten werden, die auf seine vorherigen Besuche zugeschnitten sind. Die Rechtsgrundlagen für die Datenverarbeitung der Standortdaten ist Art. 6 Abs. 1 S. 1 lit. b DSGVO zur Vertragserfüllung bzw. Art. 6 Abs. 1 S. 1 lit. f DSGVO aufgrund eines berechtigten Interesses. Das berechtigte Interesse folgt aus dem Sinn und Zweck der Ticket-App.

Standortdaten werden verarbeitet, damit der Nutzer den sogenannten Location Based Service nutzen kann, mit welchen ihm spezielle Vorschläge geboten werden, die auf den jeweiligen Standort zugeschnitten sind. Die Rechtsgrundlagen für die Datenverarbeitung der Standortdaten ist Art. 6 Abs. 1 S. 1 lit. b DSG zur Vertragserfüllung bzw. Art. 6 Abs. 1 S. 1 lit. f DSGVO aufgrund eines berechtigten Interesses. Das berechtigte Interesse folgt aus dem Sinn und Zweck einer standortbasierten Ticket-App. Die twickly-App verwaltet eine größer werdende Liste von Einrichtungen und bietet dem Nutzer eine sinnvolle Sortierung dieser Einrichtungen in seiner Nähe.

### 3.2. Erhebung, Verarbeitung und Nutzung personenbezogener Daten bei Registrierung und Durchführung von Ticketkäufen

Neben der rein informatorischen Nutzung der twickly-App bietet DevBoost an, sich ein Nutzerprofil zu erstellen und sich für einen Ticketkauf bei einer Einrichtung auf der twickly-App zu registrieren. Dazu muss der Nutzer weitere persönliche Daten angeben, die DevBoost zur Erbringung der jeweiligen Leistung nutzt.
Im Zuge der Erstellung eines Nutzerprofils werden folgende Angaben vom Nutzer erfasst:

– E-Mail-Adresse
– Vorname
– Nachname
– Sprache

Die zu erfassenden Angaben können sich ändern, da die twickly-App ein dynamisches Produkt ist und den Bedürfnissen der Nutzer als auch Einrichtungen permanent angepasst wird. Der erfasste Name dient der Ansprache und dient mitsamt der hinterlegten E-Mail-Adresse der möglichen Identifizierung und einer Kommunikation. Im Falle eines Verlustes des Telefons können Tickets an die zugeordnete E-Mail-Adresse übersandt werden.
Bei einem Ticketkauf werden von DevBoost folgende Daten zur Leistungserbringung erhoben, verarbeitet und gespeichert:

– Name und Vorname Käufer (falls ein Nutzerprofil angelegt wurde oder nur personalisierte Tickets verkauft werden)
– Kaufdatum
– Kaufpreis
– Tickettyp
– Anzahl Tickets pro Tickettyp
– Verwendetes Bezahlverfahren (Kreditkarte o.ä.)
– Zustand des Bezahlvorgangs (bezahlt, Zahlung ausstehend etc.)
– Zuordnung zur Einrichtung für die das Ticket gekauft wurde

Die Abwicklung der Transaktion erfolgt über in die twickly-App eingebundene externen Bezahldienstleister. Die Zahlungsdaten werden nicht von DevBoost erhoben oder verarbeitet, sondern die Verarbeitung der Zahlungsdaten erfolgt direkt bei den Zahlungsanbietern. Zwischen DevBoost und den Zahlungsanbietern werden technische Daten (so zum Beispiel eine Transaktions-ID) zur Validierung der Käufe ausgetauscht. Diese Daten werden gelöscht, wenn sie keine steuerrechtlichen oder sonstigen gesetzlichen Aufbewahrungspflichten unterliegen. Folgende Bezahldienstleister können im Moment genutzt werden:

– [PayPal](https://www.paypal.com/de/webapps/mpp/ua/privacy-full)
– [PayDirekt](https://www.paydirekt.de/agb/index.html)
– [Stripe](https://stripe.com/de/privacy)
– [GiroSolutions](https://www.girosolution.de/e-government/girocheckout/)

Erweiternd zu den unter 3.1 aufgeführten Daten, welche DevBoost bei Nutzung der twickly-App erhebt und verarbeitet, werden nunmehr die Einrichtungen gespeichert, für welche der Nutzer Tickets gekauft hat (Kaufhistorie). Die Datenerfassung dient der Bereitstellung von Empfehlungen für Einrichtungen nach unterschiedlichen Kriterien (räumliche Nähe, Interessen etc.).

Die Rechtsgrundlagen für die Datenverarbeitung dieser Daten ist Art. 6 Abs. 1 S. 1 lit. b DSG zur Vertragserfüllung bzw. Art. 6 Abs. 1 S. 1 lit. f DSGVO aufgrund eines berechtigten Interesses. Das berechtigte Interesse ergibt sich aus der typischen Nutzung der twickly-App.

### 3.3. Zur Erhebung der Standortdaten (GPS Location):

Das Angebot von DevBoost umfasst auch sogenannte Location Based Services, mit welchen dem Nutzer spezielle Angebote dargestellt werden, die auf den jeweiligen Standort zugeschnitten sind. Um diese Funktionen der twickly-App bieten zu können, erhebt DevBoost Standortdaten mittels GPS des Mobiltelefons.

Der Nutzer erteilt DevBoost in der erstmaligen Einrichtung der twickly-App seine Einwilligung in die Nutzung der Standortdaten.

Wenn die Standorterhebung aktiv ist, wird der Standort bei Erlaubnis nur bei Aufruf der Übersichtsseite aller Einrichtungen übertragen. Der Nutzer entscheidet zu Beginn der Nutzung der twickly-App, ob er seinen Standort übertragen möchte oder nicht. Er kann dies in den Geräteeinstellungen seines Mobiltelefons jederzeit aktivieren bzw. deaktivieren.

## 4. Kategorien von Empfängern der personenbezogenen Daten

Die personenbezogenen Daten des Nutzers werden durch DevBoost verarbeitet. Im Rahmen Datenverarbeitung kann mit externen Dienstleistern zusammengearbeitet werden. Dies erfolgt in der Regel auf Basis einer sogenannten Auftragsverarbeitung, bei der wir für die Datenverarbeitung verantwortlich bleiben. Wir prüfen jeden dieser Dienstleister vorher auf die von ihm zum Datenschutz und zur Datensicherheit getroffenen Maßnahmen und stellen so die gesetzlich vorgesehenen vertraglichen Regelungen zum Schutz der personenbezogenen Daten sicher.

Derzeit erhalten die folgenden Kategorien von Empfängern personenbezogene Daten von uns:

– von uns genutzte Hosting-Dienstleister
– eingebundene Zahlungsdienstleister
– E-Mail Versanddienstleister

Im Fall der städtischen Museen Dresdens (namentlich „Stadtmuseum Dresden“, „Städtische Galerie Dresden“, „Technische Sammlungen Dresden“, „Kunsthaus Dresden“, „Leonhardi-Museum“, „Carl-Maria-von-Weber-Museum“, „Kraszewski-Museum“, „Kügelgenhaus“, „Palitzsch-Museum“, „Schillerhäuschen“) dient twickly-App als Vermittlungsportal zwischen Nutzer und Einrichtung. Der Vertrag über die vermittelte Leistung wird in diesem Fall direkt zwischen Nutzer und Einrichtung abgeschlossen. Daher übermitteln wir Daten an die jeweiligen Einrichtungen bzw. den Anbieter, wenn dies zur Erfüllung der eigenen Geschäftszwecke (also insbesondere zur Erbringung der von DevBoost geschuldeten Leistungen) erforderlich ist.

## 5. Nutzung von Analysediensten

DevBoost nutzt die Analyse-Tools „Crashlytics“ und „Google Analytics for Firebase“ des Dienstes Firebase der Firma Google (nachfolgend: “ Firebase „).
Beide Tools nutzen Installation UUIDs zur Identifikation der App-Instanz. Weiterhin nutzt Firebase Teile der IP Adresse zur Feststellung der Geoinformationen des Nutzers. Firebase bewahrt diese nur vorübergehend auf.
Firebase liefert DevBoost in Echtzeit Auswertungen über Systemcrashs und erleichtert so die Wartung und Verbesserung der twickly-App. Es werden eine Installation UUID, die Clicks und technische Gerätedaten zur Analyse des Fehlers übermittelt.

Weitere Informationen zum Datenschutz bei Firebase sind in deren Datenschutzerklärung zu finden: <https://firebase.google.com/support/privacy/>

Im Wesentlichen erfolgen das Tracking und die damit verbundene Analyse des Nutzerverhaltens zur Erbringung unserer vertraglichen Verpflichtungen, insbesondere zur Behebung von Abstürzen, Fehlern und zur Verbesserung des Produkts. Rechtsgrundlage für diese Verarbeitung personenbezogener Daten ist Art. 6 I lit. b) bzw. Art. 6 I lit. f) DSGVO.

## 6. Übermittlung in ein Drittland

Datenübermittlung an Drittländer finden statt, jedoch ausschließlich unter Einhaltung der gesetzlich geregelten Zulässigkeitsvoraussetzungen. Die Datenübermittlung erfolgt in die folgenden Länder unter Berücksichtigung der jeweiligen gesetzlichen Zulässigkeitsvoraussetzungen:

– USA (EU-US Privacy Shield Abkommen)

Die Datenübermittlung in die USA erfolgt nur hinsichtlich der Analysedienste (siehe Punkt 5).

## 7. Übermittlung personenbezogener Daten an Dritte und Speicherung von IP-Adressen

DevBoost leitet personenbezogenen Daten der Nutzer nicht an Dritte zu anderen als den im Folgenden aufgeführten Zwecken weiter:

– Sie haben nach Art. 6 Abs. 1 S. 1 lit. a DSGVO eine ausdrückliche Einwilligung dazu erteilt,
– die Weitergabe nach Art. 6 Abs. 1 S. 1 lit. f DSGVO zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist und kein Grund zur Annahme besteht, dass Sie ein überwiegendes schutzwürdiges Interesse an der Nichtweitergabe Ihrer Daten haben,
– die Weitergabe nach Art. 6 Abs. 1 S. 1 lit. f DSGVO im Interesse an der Benutzerfreundlichkeit der twickly-App und an der Verbesserung unseres Angebotes ist und kein Grund zur Annahme besteht, dass Sie ein überwiegendes schutzwürdiges Interesse an der Nichtweitergabe Ihrer Daten haben,
– für den Fall, dass für die Weitergabe nach Art. 6 Abs. 1 S. 1 lit. c DSGVO eine gesetzliche Verpflichtung besteht, sowie
– dies gesetzlich zulässig und nach Art. 6 Abs. 1 S. 1 lit. b DSGVO für die Abwicklung von Vertragsverhältnissen mit Ihnen erforderlich ist.

Die IP-Adressen der Benutzer werden zu Sicherheits- und Überwachungszwecken für 7 Tage aufgezeichnet. Damit soll ein Missbrauch des Dienstes verhindert werden. Eine solche Speicherung dient der Bekämpfung von Fakeprofilen und ist eine vorbeugende Maßnahme gegen zukünftige Straftaten und für eine mögliche Verfolgbarkeit von über den Dienst begangenen Straftaten.

Die Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 S. 1 lit. f DSGVO. Unser berechtigtes Interesse folgt aus dem Schutz vor Missbrauch und der möglichen Nachverfolgung von schädigenden Handlungen über twickly-App.

## 8. Datenlöschung

Mit der Löschung des Profils im Bereich Einstellungen (siehe § 7 (1) AGB) werden alle erhobenen Daten zu 3.2. gelöscht bzw. anonymisiert, so dass ein Personenbezug entfällt. Davon ausgenommen bleiben Daten, die aufgrund gesetzlicher Vorschriften oder zur Vertragsabwicklung vorgehalten werden müssen.

## 9. Ausdrückliche Einwilligung, berechtigtes Interesse und Widerspruchsrecht

Der Nutzer erklärt bei erstmaliger Einrichtung der twickly-App seine Einwilligung zur jeweiligen Datenverarbeitung. Er muss dabei diese durch Bestätigung in einem dafür vorgesehenen Feld ausdrücklich erklären. Diese Einwilligung wird ebenso wie der gesamte Vorgang der Erstellung eines Nutzerkontos von DevBoost protokolliert.

Soweit der Nutzer eine Einwilligung erteilt, kann er diese jederzeit mit Wirkung für die Zukunft widerrufen. Dies kann erfolgen durch Löschung des Nutzerkontos, an den angegebenen Stellen in der twickly-App, per E-Mail oder Brief.

**Sofern Ihre personenbezogenen Daten auf Grundlage von berechtigten Interessen gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO verarbeitet werden, haben Sie das Recht, gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten einzulegen, soweit dafür Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben oder sich der Widerspruch gegen Direktwerbung richtet. Im letzteren Fall haben Sie ein generelles Widerspruchsrecht, das ohne Angabe einer besonderen Situation von uns umgesetzt wird.**

Der Widerspruch ist zu richten an:

BRIEF: DevBoost GmbH, Kaitzer Str. 36, 01187 Dresden, Deutschland
E-MAIL: twickly@devboost.de

## 10. Betroffenenrechte

Sie haben das Recht:

– gemäß Art. 15 DSGVO Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu verlangen;
– gemäß Art. 16 DSGVO unverzüglich die Berichtigung unrichtiger oder Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen;
– gemäß Art. 17 DSGVO die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen;
– gemäß Art. 18 DSGVO die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen;
– gemäß Art. 20 DSGVO Ihre personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesebaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen;
– gemäß Art. 7 Abs. 3 DSGVO Ihre einmal erteilte Einwilligung jederzeit gegenüber uns zu widerrufen. Dies hat zur Folge, dass wir die Datenverarbeitung, die auf dieser Einwilligung beruhte, für die Zukunft nicht mehr fortführen dürfen und
– gemäß Art. 77 DSGVO sich bei einer Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten nicht rechtmäßig erfolgt. In der Regel können Sie sich hierfür an die Aufsichtsbehörde Ihres üblichen Aufenthaltsortes oder Arbeitsplatzes oder unseres Geschäftssitzes wenden.

## 11. Datensicherheit

Wir unterhalten aktuelle technische Maßnahmen zur Gewährleistung der Datensicherheit, insbesondere zum Schutz Ihrer personenbezogenen Daten vor Gefahren bei Datenübertragungen sowie vor Kenntniserlangung durch Dritte. Diese werden dem aktuellen Stand der Technik entsprechend jeweils angepasst.