Datenschutzhinweis für das Akkreditierungsportal
1. Verantwortliche Stellen
Verantwortlich für die Verarbeitung personenbezogener Daten im Rahmen des Akkreditierungsportals ist:
nürburgring.tv GmbH & Co. KG, Nürburgring Boulevard 2, 53520 Nürburg, Deutschland. Telefon: +49 (0) 26 91 / 302 9961. E-Mail: mail@nuerburgring.tv. Vertretungsberechtigt: Frank Caspers, Geschäftsführer; Nils de Graaf, Geschäftsführer.
Soweit personenbezogene Daten im Rahmen der Akkreditierung an die VLN VV GmbH & Co. KG übermittelt oder mit dieser ausgetauscht werden, erfolgt dies an:
VLN VV GmbH & Co. KG, Otto-Flimm-Straße, 53520 Nürburg, Deutschland. Telefon: +49 2691 4590-700. E-Mail: office@vln.de. Internet: www.nuerburgring-langstrecken-serie.de. Vertreten durch: Mike Jäger. Registereintrag: Amtsgericht Koblenz, HRA 22096. Umsatzsteuer-Identifikationsnummer: DE309488945.
Die nürburgring.tv GmbH & Co. KG und die VLN VV GmbH & Co. KG können je nach Verarbeitungsvorgang eigenständig oder gemeinsam verantwortlich im Sinne der DSGVO sein. Soweit beide Stellen gemeinsam über Zwecke und Mittel einzelner Verarbeitungsvorgänge entscheiden, besteht eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO. Betroffene Personen können ihre Datenschutzrechte gegenüber jeder der beteiligten Stellen geltend machen.
2. Zwecke der Verarbeitung
Die personenbezogenen Daten werden verarbeitet, um Registrierungen und Akkreditierungsanträge entgegenzunehmen, zu prüfen, zu verwalten und durchzuführen.
Die Verarbeitung erfolgt insbesondere zu folgenden Zwecken: Registrierung und Verwaltung von Nutzerkonten, Prüfung der Akkreditierungsberechtigung, Kommunikation mit Antragstellern und akkreditierten Personen, Verwaltung von Akkreditierungen, Tickets, Westen, Lounge-Add-ons, Parkberechtigungen und Übernachtungshinweisen, Ausgabe und Rückgabe von Akkreditierungsunterlagen am Schalter, Dokumentation von Kautionen, Nachweis der Ausgabe und Rückgabe, Prüfung von Presseausweisen, Verwaltung von Rechnungsdaten, interner Workflow-Steuerung, Missbrauchsvermeidung, IT-Sicherheit, Protokollierung sicherheitsrelevanter Vorgänge sowie Versand systembezogener E-Mails.
3. Verarbeitete personenbezogene Daten
Konto- und Antragstellerdaten. Bei der Registrierung werden Vorname, Nachname, E-Mail-Adresse, Passwort, optional Firma und Telefonnummer verarbeitet. Das Passwort wird nicht im Klartext gespeichert, sondern ausschließlich als bcrypt-Hash. Später können über das Profil oder den Antrag weitere Angaben ergänzt werden, insbesondere Anschrift, Straße, Postleitzahl, Stadt, Land sowie Angaben zu einem abweichenden Rechnungsempfänger, einschließlich Firma, Vorname, Nachname, Anschrift und Umsatzsteuer-Identifikationsnummer. Zudem werden technische Konto- und Sicherheitsdaten verarbeitet, insbesondere Sprache, Rolle, Konto-Erstellungsdatum, letzter Login, Anzahl fehlgeschlagener Logins, Sperrzeitpunkt sowie gehashte Passwort-Reset-Token. Soweit eine Zahlungssperre gesetzt wird, werden außerdem Status, Zeitpunkt, Grund und die sperrende Person dokumentiert.
Daten akkreditierter Personen. Der Antragsteller kann im Rahmen eines Antrags auch personenbezogene Daten anderer Personen eingeben. Dies betrifft insbesondere Vorname, Nachname, E-Mail-Adresse, Telefonnummer, Funktion oder Rolle, Westen-Bedarf und Westen-Typ, Ticket-Kategorien, Lounge-Add-on, Angaben zur Übernachtung, Parkberechtigung und Parknotiz, freie Bemerkungen sowie besuchte Veranstaltungen.
Antragsdaten. Im Rahmen des Akkreditierungsantrags werden Lizenztyp, Gebühr, intern sichtbare Provision, Verwendungszweck, URLs, Social-Media-Kanäle, Plattformen und Profil-URLs verarbeitet. Bei Presseakkreditierungen können zusätzlich Medientyp, Presseausweis-Nummer und eine hochgeladene Presseausweis-Datei verarbeitet werden. Diese Datei kann je nach eingereichtem Dokument auch ein Foto enthalten. Außerdem werden Hauptkontakt vor Ort, Telefonnummer des Hauptkontakts, Rechnungsadresse, Workflow-Status, interne Notizen, Ablehnungsgrund und Zeitstempel verarbeitet.
Ausgabe und Rückgabe am Schalter. Bei Ausgabe und Rückgabe von Akkreditierungsunterlagen werden Unterschriften als SVG-Bilddatei mit Zeitstempel verarbeitet. Zusätzlich wird dokumentiert, ob ein Ausweis geprüft wurde und ob ein Haftungsverzicht unterschrieben wurde. Es wird dabei kein Ausweisinhalt im Portal gespeichert, sondern nur der Prüfstatus. Weiterhin können Kautionsbetrag, Erstattungsstatus, Erstattungszeitpunkt, erstattende Person sowie Notizen des Schalter-Mitarbeiters verarbeitet werden.
Protokoll- und Logdaten. Zur Sicherheit, Nachvollziehbarkeit und Fehleranalyse werden Protokolldaten verarbeitet. Dazu gehören insbesondere Nutzer-ID, Aktion, IP-Adresse, User-Agent, technische Detailinformationen im JSON-Format und Zeitstempel. Beim E-Mail-Versand werden Empfänger-Adresse, Betreff, Versandstatus, Fehlermeldungen und Message-ID protokolliert. E-Mail-Inhalte werden bewusst nicht im E-Mail-Log gespeichert.
4. Keine besonderen Kategorien personenbezogener Daten
Im Akkreditierungsportal werden nach der derzeitigen Ausgestaltung keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO verarbeitet. Es werden insbesondere keine Gesundheitsdaten, keine biometrischen Daten zur eindeutigen Identifizierung und keine Daten zu politischen Meinungen, religiösen Überzeugungen oder Gewerkschaftszugehörigkeit erhoben. Die gespeicherte Unterschrift ist personenbezogen und besonders schutzbedürftig, wird jedoch nicht zur biometrischen Identifikation verwendet.
5. Rechtsgrundlagen der Verarbeitung
Die Verarbeitung erfolgt, soweit sie für die Registrierung, Antragstellung, Prüfung und Durchführung der Akkreditierung erforderlich ist, auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO. Soweit die Verarbeitung zur Wahrung berechtigter Interessen erforderlich ist, erfolgt sie auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Berechtigte Interessen sind insbesondere die sichere, geordnete und nachvollziehbare Durchführung des Akkreditierungsverfahrens, die Prüfung von Zugangsberechtigungen, die Vermeidung von Missbrauch, die IT-Sicherheit, die Dokumentation von Ausgabe und Rückgabe sowie die interne Nachweisführung. Soweit gesetzliche Pflichten bestehen, erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO. Soweit für einzelne Verarbeitungsvorgänge eine Einwilligung eingeholt wird, erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO. Eine Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.
Die Informationspflichten gegenüber betroffenen Personen ergeben sich insbesondere aus Art. 13 DSGVO, wenn Daten direkt bei der betroffenen Person erhoben werden, und aus Art. 14 DSGVO, wenn Daten nicht bei der betroffenen Person selbst erhoben werden, etwa wenn ein Antragsteller Daten weiterer akkreditierter Personen eingibt.
6. Daten anderer Personen
Wenn Antragsteller personenbezogene Daten weiterer Personen eingeben, zum Beispiel von Teammitgliedern, Mitarbeitenden, Fotografen, Redakteuren oder sonstigen akkreditierten Personen, müssen sie sicherstellen, dass diese Personen über die Verarbeitung ihrer Daten informiert sind.
Der Antragsteller bestätigt mit Absenden des Antrags, dass er berechtigt ist, die angegebenen Daten der weiteren Personen für Zwecke der Akkreditierung zu übermitteln, und dass diese Personen über diesen Datenschutzhinweis informiert wurden oder informiert werden. Dies ist wichtig, weil in diesen Fällen personenbezogene Daten nicht direkt bei der betroffenen Person, sondern über den Antragsteller erhoben werden. Für solche Fälle sieht Art. 14 DSGVO besondere Informationspflichten vor.
7. Empfänger und Datenaustausch
Personenbezogene Daten können, soweit für die Akkreditierung erforderlich, zwischen der nürburgring.tv GmbH & Co. KG und der VLN VV GmbH & Co. KG ausgetauscht werden. Der Datenaustausch erfolgt insbesondere zur Prüfung der Akkreditierungsberechtigung, zur Verwaltung des Antrags, zur Veranstaltungsorganisation, zur Ausgabe und Rückgabe von Akkreditierungsunterlagen, zur Zutritts- und Sicherheitsverwaltung, zur Kommunikation mit Antragstellern und akkreditierten Personen sowie zur Dokumentation von Entscheidungen und Vorgängen.
Darüber hinaus können Daten, soweit erforderlich, folgenden Empfängern zugänglich gemacht werden: Veranstalter, Organisationspersonal, Akkreditierungsstellen, Schalterpersonal, Sicherheits- und Zutrittskontrollstellen, IT-Dienstleister, Hosting-Dienstleister, E-Mail-Dienstleister sowie Behörden oder öffentliche Stellen, soweit eine gesetzliche Verpflichtung besteht.
8. Hosting und technische Dienstleister
Das Akkreditierungsportal wird in Deutschland bei Hetzner gehostet. Im Rahmen des Hostings können technische Daten und personenbezogene Daten verarbeitet werden, insbesondere IP-Adressen, Server-Logdaten, Zugriffsdaten sowie die im Portal gespeicherten Akkreditierungsdaten.
Der E-Mail-Versand erfolgt über DomainFactory / Hosted Exchange mit dem Absender tv@vln.de. Dabei werden die für den Versand erforderlichen E-Mail-Daten verarbeitet, insbesondere Empfängeradresse, Betreff, Versandstatus, Fehlermeldungen und Message-ID. Soweit Dienstleister personenbezogene Daten im Auftrag verarbeiten, erfolgt dies auf Grundlage eines Vertrags zur Auftragsverarbeitung gemäß Art. 28 DSGVO. Art. 28 DSGVO verlangt, dass Verantwortliche nur mit Auftragsverarbeitern arbeiten, die geeignete technische und organisatorische Maßnahmen gewährleisten.
9. Zahlungsabwicklung
Die Zahlungsabwicklung erfolgt separat über die VLN und nicht unmittelbar im Akkreditierungsportal. Das Portal erfasst den Lizenztyp und die Gebühr lediglich informativ bzw. zur organisatorischen Zuordnung im Rahmen des Akkreditierungsverfahrens. Eine Zahlungsabwicklung im engeren Sinne findet im Portal nicht statt.
10. Speicherdauer und Löschung
Personenbezogene Daten werden nur so lange gespeichert, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungs- und Nachweispflichten bestehen. Für einzelne Datenkategorien gelten folgende Lösch- und Anonymisierungsfristen: E-Mail-Logs werden nach 90 Tagen gelöscht. Audit-Logs werden nach 24 Monaten anonymisiert. Dabei werden insbesondere Nutzer-ID, IP-Adresse und Detailinformationen entfernt. Unterschriften als SVG-Bilddateien werden nach 12 Monaten entfernt.
Übrige Akkreditierungs- und Antragsdaten werden gespeichert, solange dies für die Bearbeitung, Durchführung, Dokumentation und Nachvollziehbarkeit des Akkreditierungsverfahrens erforderlich ist. Nach Wegfall des Zwecks werden die Daten gelöscht oder anonymisiert, sofern keine gesetzlichen Aufbewahrungspflichten oder berechtigten Nachweisinteressen entgegenstehen.
11. Pflicht zur Bereitstellung der Daten
Die Bereitstellung der für die Akkreditierung erforderlichen Daten ist notwendig, um einen Antrag prüfen und bearbeiten zu können. Ohne die erforderlichen Angaben kann eine Registrierung, Antragstellung, Prüfung oder Durchführung der Akkreditierung nicht oder nur eingeschränkt erfolgen.
12. Betroffenenrechte
Betroffene Personen haben nach Maßgabe der DSGVO das Recht auf Auskunft über die zu ihrer Person verarbeiteten Daten, Berichtigung unrichtiger Daten, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie Widerspruch gegen Verarbeitungen, die auf berechtigten Interessen beruhen. Soweit eine Verarbeitung auf Einwilligung beruht, kann diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen werden. Betroffene Personen haben außerdem das Recht, sich bei einer zuständigen Datenschutzaufsichtsbehörde zu beschweren.
13. Automatisierte Entscheidungsfindung
Eine ausschließlich automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO findet nicht statt. Entscheidungen über Akkreditierungsanträge erfolgen nicht ausschließlich automatisiert.