Datenschutzerklärung

Datenschutzhinweise „Traumziel im Kopf – Reiseschutz im Gepäck“

Aktionszeitraum: 16. Februar bis 16. April 2026

  1. A) Allgemeine Informationen

Begrifflichkeiten und Verarbeitungsgrundsätze

Personenbezogene Daten

Personenbezogene Daten sind gemäß Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (sogenannte betroffene Person) beziehen. Hierzu zählen beispielsweise Kundendatensätze (bestehend aus Namen, E-Mail-Adresse und Anschrift), nicht-anonymisierte Informationen über die Nutzung eines digitalen Dienstes oder das von einer bestimmten Person eingereichte Anliegen, die einer bestimmten Person zugeordnet werden können.

Die Verarbeitung personenbezogener Daten

Die Verarbeitung personenbezogener Daten umfasst sämtliche Vorgänge im Sinne des Art. 4 Nr. 2 DSGVO, wie etwa das Erheben, Speichern, Verwenden, Übermitteln oder Löschen solcher Daten – unabhängig davon, ob dies automatisiert erfolgt oder nicht.

Rechtmäßigkeit der Verarbeitung

Soweit wir für Verarbeitung personenbezogener Daten eine Einwilligung der betroffenen Person einholen, dient diese in Verbindung mit Art. 6 Abs. 1 Satz 1 Buchstabe a und Art. 7 DSGVO als Rechtsgrundlage für die Verarbeitung personenbezogener Daten.

Wo wir auf das Einholen einer Einwilligung verzichten, ist die Verarbeitung der personenbezogenen Daten für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich (Art. 6 Abs. 1 Satz 1 Buchstabe b Fall 1 DSGVO) oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen (Art. 6 Abs. 1 Satz 1 Buchstabe b Fall 2 DSGVO) oder zur Erfüllung einer rechtlichen, insbesondere gesetzlichen Verpflichtung (Art. 6 Abs. 1 Satz 1 Buchstabe c DSGVO) oder zur Wahrung der berechtigten Interessen unseres Unternehmens oder eines Dritten (Art. 6 Abs. 1 Satz 1 Buchstabe f DSGVO). Eine Verarbeitung zur Wahrung berechtigter Interessen gemäß Art. 6 Abs. 1 Satz 1 Buchstabe f DSGVO erfolgt nicht, wenn im Rahmen einer Interessenabwägung festgestellt wird, dass die schutzwürdigen Interessen, Grundrechte oder Grundfreiheiten der betroffenen Person überwiegen – insbesondere bei Kindern. Darüber hinaus ist die Verarbeitung rechtmäßig, wenn sie erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen (Art. 6 Abs. 1 Satz 1 Buchstabe d DSGVO) oder die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in derivativer Ausübung öffentlicher Gewalt erfolgt (Art. 6 Abs. 1 Satz 1 Buchstabe e DSGVO).

Datenlöschung, Speicherdauer

Datenlöschung und Aufbewahrung von Daten

Wir löschen personenbezogene Daten, sobald diese für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr erforderlich sind (Art. 17 Abs. 1 Buchstabe a DSGVO). Gleiches gilt, wenn:

  • die betroffene Person ihre Einwilligung widerruft und keine andere Rechtsgrundlage für die Verarbeitung besteht (Art. 17 Abs. 1 Buchstabe b DSGVO),
  • die betroffene Person Widerspruch gegen die Verarbeitung einlegt und keine vorrangigen berechtigten Gründe vorliegen (Art. 17 Abs. 1 Buchstabe c DSGVO i. V. m. Art. 21 Abs. 1 DSGVO),
  • die betroffene Person der Verarbeitung für Zwecke der Direktwerbung widerspricht (Art. 17 Abs. 1 Buchstabe c DSGVO i.V.m. Art. 21 Abs. 3 DSGVO),
  • ein anderer in Art. 17 Abs. 1 DSGVO genannter Löschgrund zutrifft.

Eine Löschung erfolgt nicht, sofern wir zur weiteren Speicherung gesetzlich verpflichtet sind – etwa aufgrund handels- oder steuerrechtlicher Aufbewahrungsfristen (Art. 17 Abs. 3 Buchstabe a DSGVO) – oder die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist (Art. 17 Abs. 3 Buchstabe e DSGVO). Weitere Ausnahmen ergeben sich aus Art. 17 Abs. 3 DSGVO.

Einschränkung der Verarbeitung

Wenn eine betroffene Person gemäß Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung einlegt und noch nicht feststeht, ob unsere berechtigten Interessen gegenüber denen der betroffenen Person überwiegen, schränken wir die Verarbeitung der betreffenden Daten gemäß Art. 18 Abs. 1 Buchstabe d DSGVO ein. Gleiches gilt in den weiteren gesetzlich vorgesehenen Fällen, etwa wenn:

  • die Richtigkeit der Daten von der betroffenen Person bestritten wird (Art. 18 Abs. 1 Buchstabe a DSGVO),
  • die Verarbeitung unrechtmäßig ist und die betroffene Person statt der Löschung die Einschränkung verlangt (Art. 18 Abs. 1 Buchstabe b DSGVO), oder

wir die Daten nicht mehr benötigen, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt (Art. 18 Abs. 1 Buchstabe c DSGVO).

Schutz personenbezogener Daten durch technische und organisatorische Maßnahmen

Wir setzen auf Basis des vom Gesetz geforderten risikoorientierten Ansatzes (Art. 32 DSGVO) technische und organisatorische Maßnahmen zum Schutz der Rechte und Freiheiten der betroffenen Personen und zum Schutz ihrer Daten um. Die Maßnahmen haben unter anderem das Ziel, die personenbezogenen Daten gegen zufällige oder vorsätzliche Manipulationen, gegen Verlust, Zerstörung oder den Zugriff Unberechtigter zu schützen. Unsere diesbezüglichen Maßnahmen werden entsprechend der technologischen und fachlichen Entwicklungen fortlaufend verbessert, sie werden getestet und regelmäßig durch interne wie externe Stellen überprüft.

Die Unternehmen der DSV-Gruppe sind nach verschiedenen anerkannten Standards überprüft und zertifiziert, unter anderem gemäß ISO 27001, ISO 9001, Trusted Site Infrastructure (TSI) sowie Prüfungsstandard Nr. 951 des Instituts der Wirtschaftsprüfer in Deutschland (PS951).

  1. B) Spezifische Datenverarbeitungsvorgänge

Datenverarbeitung im Zusammenhang mit der Nutzung der Website

Name und Anschrift des Verantwortlichen

Der Verantwortliche im Sinne der EU-Datenschutz-Grundverordnung (DSGVO) und anderer Vorschriften über den Datenschutz ist die

S-Payment GmbH

Am Wallgraben 115

70565 Stuttgart

Für die Kontaktaufnahme mit dem Datenschutzbeauftragten verwenden Sie bitte das verlinkte Webformular Webformular zur Kontaktaufnahme.

Datenverarbeitung bei Kontaktaufnahme mit uns

Sofern Sie uns oder unseren Datenschutzbeauftragten per E-Mail, Telefon, Telefax oder über ein Online-Formular kontaktieren, werden die von Ihnen an uns übermittelten Daten sowie Daten, die wir zur Bearbeitung Ihres Anliegens hinzuspeichern, verarbeitet. Die Verarbeitung beschränkt sich dann auf die Beantwortung Ihrer Fragen, die Bearbeitung Ihres Antrags oder die Erledigung Ihres Anliegens. Rechtsgrundlage für die Verarbeitung Ihrer Daten ist Art. 6 Abs. 1 Satz 1 Buchst. f DSGVO. Unser Interesse besteht in diesem Fall darin, Ihrem Interesse zu entsprechen und Compliance-Vorgaben einzuhalten. Die Daten werden ab Erledigung Ihres Anliegens für die Dauer von drei Jahren und darüber hinaus gemäß den gesetzlichen Aufbewahrungsfristen gespeichert.

Webseitenhosting

Für das Hosting wurde die S-Communication Services GmbH, Hahnstraße 45, 60528 Frankfurt am Main beauftragt, welche wiederum als Unterauftragsverarbeiter die S-Markt & Mehrwert GmbH & Co. KG (S-MM), Grenzstraße 21, 06112 Halle (Saale) für das Hosting beauftragt hat. Es wurden die entsprechenden Verträge zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO geschlossen.

Was sind Cookies?

Cookies sind kleine Textdateien, die beim Besuch einer Website auf dem verwendeten Endgerät (z. B. Computer oder Smartphone) gespeichert werden. Sie ermöglichen es, das Gerät bei späteren Besuchen wiederzuerkennen oder bestimmte Einstellungen zu speichern.

Cookies können entweder durch den Server der besuchten Website gesetzt werden (First-Party-Cookies) oder durch eingebundene Dienste Dritter, etwa Analyse- oder Werbeanbieter (Third-Party-Cookies). Einige Browser, wie z. B. Safari oder Firefox, blockieren Third-Party-Cookies standardmäßig. Endnutzer können das Speichern von Cookies auch selbst in ihren Browsereinstellungen einschränken oder Cookies manuell löschen.

Cookies dienen verschiedenen Zwecken. Man unterscheidet zwischen:

  • Technisch notwendigen Cookies: Diese sind erforderlich, um grundlegende Funktionen eines digitalen Dienstes bereitzustellen – z.  Login-Verfahren oder Warenkorbfunktionen.
  • Technisch nicht notwendigen Cookies: Diese verbessern z.  die Benutzerfreundlichkeit oder dienen der Analyse des Nutzungsverhaltens bzw. der personalisierten Werbung.

Sofern auf unseren digitalen Diensten Cookies verwendet werden, informieren wir im Folgenden im Detail über deren Einsatz, Zwecke und – soweit erforderlich – holen wir Ihre Einwilligung ein (vgl. § 25 TTDSG, Art. 6 DSGVO).

Server-Logfiles

Bei jeder Nutzung unseres digitalen Dienstes werden automatisch technische Daten zwischen Ihrem Endgerät (z. B. Web-Browser) und dem Server, von dem Sie den Dienst abrufen, ausgetauscht. Wir verarbeiten hierfür folgende Informationen

  • die Domain und URL, die aufgerufen werden
  • Datum und Uhrzeit des Zugriffs
  • die IP-Adresse der anfragenden Endeinrichtung
  • die Art des HTTP-Request (GET, POST)
  • der HTTP-Statuscode (z. B. 200 für OK, 404 für NOT FOUND)
  • die Referrer-URL, also die Adresse der Seite, von welcher Sie gekommen sind
  • sofern übermittelt, Name und Version des von Ihnen verwendeten Browsers sowie des Betriebssystems Ihres Endgeräts

Zweck der Datenverarbeitung

Die Verarbeitung der Daten dient dazu, den sicheren und stabilen Betrieb unserer IT-Systeme zu gewährleisten, Cyberangriffe abzuwehren, Sicherheitsvorfälle aufzuklären und Missbrauch zu verfolgen.

Rechtsgrundlage

Die Verarbeitung erfolgt auf Grundlage einer Interessensabwägung gemäß Art. 6 Abs. 1 Satz 1 Buchstabe f DSGVO. Unser berechtigtes Interesse liegt in der Gewährleistung der Sicherheit und Stabilität unserer IT-Systeme sowie der Verhinderung von Missbrauch. Dieses Interesse überwiegt im Rahmen der Logfile-Analyse, da die Daten nur vorübergehend gespeichert und nach 7 Tagen gelöscht bzw. anonymisiert werden.

Speicherdauer

Soweit die Informationen nicht mehr zur Gewährleistung der Betriebs- und Cybersicherheit benötigt werden, anonymisieren wir die IP-Adresse vor der Weiterverarbeitung der Daten für statistische Zwecke (z. B. Nutzungsstatistiken), Zwecke der Fehlersuche und Zwecke der Bedarfsprüfung und Optimierung unserer Inhalte. Die Anonymisierung erfolgt durch Kürzung der letzten Oktette der IP-Adresse.

Die Informationen werden nach 7 Tagen gelöscht, sofern sie nicht in anonymisierter Form aufbewahrt werden dürfen.

Technisch notwendige Cookies

Für unseren Digitalen Dienst werden folgende technisch notwendige Cookies verwendet

Wir setzen Sitzungscookies bzw. Session-Cookies, um die eingegebenen Daten bei der Ausfüllung der Teilnahmeformulars zu speichern. Es wird nach 3 Monaten gelöscht.

Außerdem nutzen wir diese Cookies für den Betrieb und das Ausspielen von Funktionen die notwendig sind, um die Nutzung dieser Website sicher und anwenderfreundlich zu gestalte. Nur so können Nutzer und Nutzerinnen auf den Webseiten navigieren und die Module bzw. Funktionen der Webseite bedienen.

Zweck der Datenverarbeitung

Die Verarbeitung der Daten dient dazu, grundlegende Funktionen der Website wie den Warenkorb oder das Login zu ermöglichen und gleichzeitig ein reibungsloses sowie sicheres Nutzererlebnis sicherzustellen.

Rechtsgrundlage

Die Verarbeitung erfolgt auf Grundlage einer Interessensabwägung gemäß Art. 6 Abs. 1 Satz 1 Buchstabe f DSGVO. Unser berechtigtes Interesse liegt im technischen Betrieb der Website, um deren Funktionsfähigkeit sicherzustellen und die vom Nutzer angeforderten Dienstleistungen zu erbringen. Dieses Interesse überwiegt, da die Cookies für die Nutzung der grundlegenden Funktionen der Website erforderlich sind und die Daten nur für den notwendigen Zeitraum gespeichert werden.

Speicherdauer

Die gespeicherten Daten werden automatisch mit Ablauf der Gültigkeitsdauer der jeweiligen Cookies gelöscht. Sie können die Speicherung von Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern oder einschränken. Bitte beachten Sie, dass einzelne Funktionen der Website dann möglicherweise nicht vollständig genutzt werden können.

Technisch nicht notwendige Cookies

Bei den folgenden Cookies handelt es sich um technisch nicht notwendige Cookies

  • Cookie Google Analytics (GA4) für Zwecke des Trackings
  • Friendly Captcha um Formulare vor Missbrauch zu schützen

Weitere Informationen finden Sie bei den unten folgenden Beschreibungen der einzelnen Cookies.

Google Analytics (GA4)

Google Analytics ist ein Webanalysedienst des Unternehmens Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland („Google“) ein Tochterunternehmen der Google LLC. Zur technischen Umsetzung haben wir die S-Communication Services GmbH, Hahnstraße 45, 60528 Frankfurt am Main („S-Com“) als unseren technischen Auftragsverarbeiter gemäß Art. 28 DSGVO beauftragt. Mit der S-Com wurde ein Vertrag zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO geschlossen. Die S-Com setzt Google im Rahmen dieser Zusammenarbeit als Unterauftragsverarbeiter ein.

Google Analytics ermöglicht es uns, das Verhalten der Nutzer auf unserer Website zu analysieren, um unser Angebot zu optimieren und nutzerfreundlicher zu gestalten. Dabei werden Informationen über die Nutzung unserer Website durch Endnutzer erhoben und in der Regel an Server von Google übertragen und dort gespeichert. Google Analytics verwendet Cookies, um die Nutzung statistisch auszuwerten. Dabei werden insbesondere das Verhalten der Nutzer sowie technische Merkmale des verwendeten Endgeräts analysiert.

Google Analytics erfasst insbesondere folgende Daten:

  • aufgerufene Webseite (URL),
  • Referrer-URL (Webseite, von der die betroffene Person gekommen ist),
  • IP-Adresse (in gekürzter/anonymisierter Form),
  • Geräteinformationen (z.  Gerätetyp, Betriebssystem, Browsertyp und -version),
  • Spracheinstellungen,
  • Bildschirmauflösung,
  • Verweildauer auf der Website,
  • Klickpfade und Interaktionen (z.  Scrollverhalten, Klicks),
  • Standort (ungefähre Geolokalisierung auf Basis der IP-Adresse),
  • Datum und Uhrzeit des Zugriffs.

Eingaben in Formulare werden nicht durch Google Analytics erfasst.

Sofern Sie mit einem Google-Konto angemeldet sind und dort Funktionen wie 'Personalisierte Werbung' oder 'Web- und App-Aktivitäten' aktiviert haben, verarbeitet Google Ihre Daten auch geräteübergreifend. Diese Verarbeitung erfolgt ausschließlich durch Google. Wir erhalten von Google nur anonymisierte, aggregierte Berichte ohne personenbezogene Informationen. Wir nutzen die von Google angebotene IP-Anonymisierungsfunktion („anonymizeIp“). Dadurch wird Ihre IP-Adresse innerhalb der Europäischen Union oder anderer Vertragsstaaten des Europäischen Wirtschaftsraums vor der Übermittlung an Google anonymisiert. Nur in Ausnahmefällen kann die vollständige IP-Adresse an einen Google-Server in den USA übermittelt werden und dort anonymisiert werden.

Zweck der Datenverarbeitung

Die Verarbeitung der Daten dient der Analyse des Nutzerverhaltens auf unserer Website. So erhalten wir Einblicke darüber, wie Besucher mit unserer Website interagieren, z. B. welche Seiten wie häufig aufgerufen werden oder wie lange Nutzer auf einzelnen Seiten verweilen. Diese Erkenntnisse nutzen wir, um Inhalte zu optimieren, technische Fehler zu beheben und die Benutzerfreundlichkeit unserer Website zu verbessern.

Rechtsgrundlage

Die Verarbeitung personenbezogener Daten erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 Buchstabe a DSGVO. Die Rechtsgrundlage für das Setzen der Cookies ist § 25 Abs. 1 TDDDG.

Datentransfer in die USA und Datenschutzmaßnahmen

Google LLC hat seinen Sitz in den USA. Im Rahmen der Datenverarbeitung kann es daher zu einer Übermittlung personenbezogener Daten in die USA kommen. Google LLC ist im Rahmen des EU-US Data Privacy Framework zertifiziert, welches ein angemessenes Datenschutzniveau gewährleistet (https://www.dataprivacyframework.gov/list). Zusätzlich stützen wir die Verarbeitung auf die Standardvertragsklauseln; Informationen hierzu finden Sie unter https://business.safety.google/adsprocessorterms/sccs/p2p-intra-group/.

Speicherdauer

Die im Rahmen von Google Analytics verarbeiteten und mit Cookies verknüpften Daten werden nach maximal 26 Monaten automatisch gelöscht. Cookies können unterschiedliche Speicherdauern haben (Session-Cookies oder persistente Cookies). Die konkreten Löschfristen hängen von den jeweiligen Cookie-Einstellungen ab. Sie können die Erfassung Ihrer Daten durch Google Analytics verhindern, indem Sie Ihre Einwilligung in unserem Cookie-Banner oder den Datenschutzeinstellungen auf unserer Website widerrufen. Darüber hinaus können Sie die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern (https://tools.google.com/dlpage/gaoptout). Weitere Informationen und Möglichkeiten zur Datenverwaltung finden Sie unter https://policies.google.com/privacy und https://support.google.com/analytics/answer/6004245.

Friendly Captcha (Bot-/Spam-Schutz)

Um unsere Onlineformulare vor automatisierten Zugriffen und Missbrauch zu schützen (z. B. durch sogenannte „Bots“), verwenden wir den Dienst Friendly Captcha der Friendly Captcha GmbH, Am Anger 3–5, 82237 Wörthsee, Deutschland. Friendly Captcha handelt bei der Erbringung dieses Dienstes in unserer datenschutzrechtlichen Verantwortung als Auftragsverarbeiter gemäß Art. 28 DSGVO. Ein entsprechender Vertrag zur Auftragsverarbeitung wurde mit der Friendly Captcha GmbH abgeschlossen.

Bei Nutzung z. B. unseres Kontaktformulars wird ein Programmcode von Friendly Captcha eingebunden. Dabei stellt Friendly Captcha dem Endgerät des Besuchers eine kleine Rechenaufgabe, die automatisch im Hintergrund gelöst wird. Die Lösung wird an unseren Server übermittelt und über eine Schnittstelle an Friendly Captcha übergeben, das prüft, ob die Aufgabe korrekt gelöst wurde. So können wir automatisierte Anfragen erkennen und blockieren Datenverarbeitung durch Friendly Captcha. Details zur Datenverarbeitung

  • Friendly Captcha setzt keine Cookies auf Ihrem Endgerät.
  • IP-Adressen werden nur in gehashter (einwegverschlüsselter) Form gespeichert, wodurch eine Rückverfolgung zu einer Einzelperson ausgeschlossen ist.
  • Es erfolgt keine Erstellung von Nutzerprofilen oder Tracking.

Zweck der Datenverarbeitung

Die Verarbeitung der Daten dient dazu, unsere Website vor Angriffen, Missbrauch, und Spam zu schützen.

Rechtsgrundlage

Die Verarbeitung erfolgt auf Grundlage einer Interessensabwägung gemäß Art. 6 Abs. 1 Satz 1 Buchstabe f DSGVO. Unser berechtigtes Interesse liegt im Schutz der Integrität, Verfügbarkeit und Sicherheit unserer Website sowie im Schutz der Nutzer vor missbräuchlichen oder automatisierten Eingaben (z. B. durch Bots oder Spam). Unser Interesse an der sicheren Bereitstellung unserer Onlineformulare überwiegt, da die eingesetzten Maßnahmen keine übermäßige Beeinträchtigung der Rechte und Freiheiten der betroffenen Personen darstellen.

Speicherdauer

Sofern im Einzelfall personenbezogene Daten gespeichert werden, werden diese Daten binnen 30 Tagen gelöscht. Weitere Informationen zum Datenschutz beim Einsatz von Friendly Captcha finden Sie unter https://friendlycaptcha.com/legal/privacy-end-users/.

Gewinnspiel

Name und Anschrift des Verantwortlichen

Verantwortlich für die Verarbeitung Ihrer personenbezogenen Daten im Zusammenhang mit dem Angebot der Incentivierung des Abschlusses Ihrer Sparkassen-Kreditkarte Gold mittels eines Gutscheins, sind die teilnehmenden Sparkassen. Die teilnehmenden Institute sind rechtlich selbständige Einheiten. Eine vollständige Liste der beteiligten Verantwortlichen finden Sie hier.

Für die Kontaktaufnahme mit dem Datenschutzbeauftragten Ihres Instituts verwenden Sie sich bitte an Ihre entsprechende Sparkasse.

Datenverarbeitung

Sie können unter Einhaltung der Teilnahmebedingungen an dem Gewinnspiel „Traumziel im Kopf – Reiseschutz im Gepäck“ teilnehmen. Da der Abschluss der Gold Kreditkarte bis zum 16. April möglich ist, erfolgt der Datenabruf für das Incentive bis zum 21. April 2026. Damit sind folgende Vorteile verbunden: Teilnahme an einem Gewinnspiel, Benachrichtigung bei Gewinnen.

Von Teilnehmern, die sich für das Gewinnspiel registrieren, verarbeiten wir die folgenden Daten

  • Name, Vorname,
  • Geburtsdatum
  • E-Mail-Adresse
  • Datum und Uhrzeit der Anfrage (Registrierung und ihre finale Bestätigung)
  • Kontoführende Sparkasse
  • Institutsname
  • Institutsnummer
  • Kartenerstanlegedatum
  • Gültigkeit und Abschlussdatum der Kreditkarte
  • Kartentyp
  • Kartendaten

Ablauf des Gewinnspiels

Veranstalter des Gewinnspiels ist das jeweils teilnehmende Institut. Für die Organisation und technische Abwicklung des Gewinnspiels wurde der Dienstleister S-Payment GmbH, Am Wallgraben 115 in 70565 Stuttgart beauftragt. Mit diesem wurde ein Vertrag zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO geschlossen. Die S-Payment bedient sich für die Umsetzung eines weiteren Unterauftragsverarbeiters, der S-Communication Services GmbH, Hahnstraße 45, 60528 Frankfurt am Main mit welcher ebenfalls ein Vertrag zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO geschlossen wurde.

  1. Abschluss einer Goldkarte im Aktionszeitraum
  2. Registrierung zum Gewinnspiel auf der Landingpage
  3. S-Markt & Mehrwert GmbH & Co. KG (Auftragsverarbeiter der S-COM), Grenzstraße 21, 06112 Halle (Saale) übermittelt die ersten 10.000 registrierten Teilnehmerdaten (Name, Geburtsdatum, Institut, Registrierungsdatum/Uhrzeit) an die qards GmbH (Processingdienstleister der Institute), Martin-Luther-Straße 12, 66111 Saarbrücken zur Validierung. Die qards prüft, ob es einen Kreditkartenabschluss im Aktionszeitraum von den übermittelten Teilnehmerdaten gab. Das erfolgt durch Abgleich der erhaltenen Daten mit den bereits vorhandenen Daten zum Kreditkartenabschluss zum Zwecke der Validierung (Zweckänderung). Die qards meldet an die SMM zurück, ob die Teilnahmebedingungen erfüllt wurden: ja/nein.
  4. S-Markt & Mehrwert GmbH & Co. KG übermittelt die Gutscheine an die Gewinner

Weitere Informationen zum Ablauf des Gewinnspiels, entnehmen Sie bitte den Teilnahmebedingungen.

Zweck der Verarbeitung

Die Verarbeitung der Daten dient der Durchführung eines Gewinnspiels, Prüfung der Teilnahmebedingungen, zur Ermittlung und Benachrichtigung der Gewinner sowie zur Übergabe der Gutscheine.

Rechtsgrundlage

Die Verarbeitung Ihrer personenbezogenen Daten im Rahmen der Durchführung des Gewinnspiels inklusive der Validierung erfolgt auf Grundlage der Vertragserfüllung gemäß Art. 6 Abs. 1 Satz 1 Buchstabe b DSGVO.

Dauer der Speicherung

Die Daten werden nach Ende der Auslosung, maximal 90 Tage nach Beendigung des Gewinnspiels, gelöscht. Die Gewinnerdaten bleiben gespeichert, sofern aufgrund von Gewährleistungspflichten oder anderen gesetzlichen Vorgaben eine Speicherung erforderlich ist. Daten der Gewinner können länger gespeichert bleiben, insbesondere wenn gesetzliche Aufbewahrungsfristen (z. B. steuer- oder handelsrechtlich) oder Gewährleistungs- und Haftungspflichten bestehen.

  1. C) Ihre Datenschutzrechte

Werden personenbezogene Daten von Ihnen verarbeitet, sind Sie betroffene Person i. S. d. DSGVO und es stehen Ihnen folgende Rechte gegenüber dem Verantwortlichen zu. Im Falle einer Verarbeitung im Rahmen einer gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO, haben Sie Rechte gegenüber beiden Verantwortlichen. Für die Ausübung Ihrer Rechte können Sie sich an beide Verantwortlichen wenden.

Auskunftsrecht

Sie können eine Bestätigung darüber verlangen, ob Ihre personenbezogenen Daten verarbeitet werden.

Liegt eine solche Verarbeitung vor, können Sie über folgende Informationen Auskunft verlangen

  • die Zwecke, zu denen die personenbezogenen Daten verarbeitet werden;
  • die Kategorien von personenbezogenen Daten, welche verarbeitet werden;
  • die Empfänger bzw. die Kategorien von Empfängern, gegenüber denen Ihre personenbezogenen Daten offengelegt wurden oder noch offengelegt werden;
  • Auskunft darüber, ob Ihre personenbezogenen Daten in ein Drittland oder an eine internationale Organisation übermittelt werden. In diesem Zusammenhang können Sie Informationen über geeigneten Garantien gemäß Art. 46 DSGVO verlangen.
  • die geplante Dauer der Speicherung Ihrer personenbezogenen Daten oder, falls konkrete Angaben hierzu nicht möglich sind, Kriterien für die Festlegung der Speicherdauer;
  • das Bestehen eines Rechts auf Berichtigung oder Löschung der Sie betreffenden personenbezogenen Daten, eines Rechts auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  • alle verfügbaren Informationen über die Herkunft der Daten, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden;
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Recht auf Berichtigung

Sie haben ein Recht auf Berichtigung und/oder Vervollständigung, sofern die verarbeiteten personenbezogenen Daten, die Sie betreffen, unrichtig oder unvollständig sind. Der Verantwortliche hat die Berichtigung unverzüglich vorzunehmen.

Recht auf Einschränkung der Verarbeitung

Unter den folgenden Voraussetzungen können Sie die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten verlangen

  • wenn Sie die Richtigkeit Ihrer personenbezogenen Daten bestreiten, wird die Datenverarbeitung für die Dauer eingeschränkt, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;
  • die Verarbeitung unrechtmäßig ist und Sie die Löschung der personenbezogenen Daten ablehnen und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangen;
  • der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, Sie diese jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen, oder
  • wenn Sie Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DSGVO eingelegt haben und noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber Ihren Gründen überwiegen.

Wurde die Verarbeitung der Sie betreffenden personenbezogenen Daten eingeschränkt, dürfen diese Daten – von ihrer Speicherung abgesehen – nur mit Ihrer Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden.

Wurde die Verarbeitung nach den o.g. Voraussetzungen eingeschränkt, werden Sie von dem Verantwortlichen unterrichtet, bevor die Einschränkung aufgehoben wird.

Recht auf Löschung

Sie können verlangen, dass die Sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, diese Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft

  • Ihre personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig;
  • Sie widerrufen Ihre Einwilligung, auf die sich die Verarbeitung gem. Art. 6 Abs. 1 Satz 1 Buchstabe a oder Art. 9 Abs. 2 Buchstabe a DSGVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung;
  • Sie legen gem. Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder Sie legen gem. Art. 21 Abs. 2 DSGVO Widerspruch gegen die Verarbeitung ein;
  • Ihre personenbezogenen Daten wurden unrechtmäßig verarbeitet;
  • Die Löschung Ihrer personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt;
  • Ihre personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DSGVO erhoben.

Information an Dritte: Hat der Verantwortliche die Sie betreffenden personenbezogenen Daten öffentlich gemacht und ist er gem. Art. 17 Abs. 1 DSGVO zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass Sie als betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt haben.

Ausnahmen: Das Recht auf Löschung besteht nicht, soweit die Verarbeitung erforderlich ist

  • zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
  • zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
  • aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Art. 9 Abs. 2 Buchstaben h und i sowie Art. 9 Abs. 3 DSGVO;
  • für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gem. Art. 89 Abs. 1 DSGVO, soweit das unter Abschnitt a) genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder
  • zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Recht auf Unterrichtung

Haben Sie das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung geltend gemacht, ist der Verantwortliche verpflichtet, allen Empfängern, denen die Sie betreffenden personenbezogenen Daten offengelegt wurden, diese Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Ihnen steht gegenüber dem Verantwortlichen das Recht zu, über diese Empfänger unterrichtet zu werden.

Recht auf Datenübertragbarkeit

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie dem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Außerdem haben Sie das Recht diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern

  • die Verarbeitung auf einer Einwilligung gem. Art. 6 Abs. 1 Satz 1 Buchstabe a DSGVO oder Art. 9 Abs. 2 Buchstabe a DSGVO oder auf einem Vertrag gem. Art. 6 Abs. 1 Satz 1 Buchstabe b DSGVO beruht und
  • die Verarbeitung mithilfe automatisierter Verfahren erfolgt.

Sie können auch verlangen, dass Ihre personenbezogenen Daten direkt von einem Verantwortlichen an einen anderen übermittelt werden, soweit dies technisch möglich ist. Freiheiten und Rechte anderer Personen dürfen hierdurch nicht beeinträchtigt werden.

Das Recht auf Datenübertragbarkeit gilt nicht für eine Verarbeitung personenbezogener Daten, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.

Widerspruchsrecht

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Ihrer personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 Satz 1 Buchstaben e oder f DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.

Der Verantwortliche verarbeitet die Sie betreffenden personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Werden die Sie betreffenden personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.

Widersprechen Sie der Verarbeitung für Zwecke der Direktwerbung, so werden die Sie betreffenden personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.

Sie haben die Möglichkeit, im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft – ungeachtet der Richtlinie 2002/58/EG – Ihr Widerspruchsrecht mittels automatisierter Verfahren auszuüben, bei denen technische Spezifikationen verwendet werden.

Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung

Sie haben das Recht, Ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung, nicht berührt.

Recht auf Beschwerde bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, zu, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.

Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Art. 78 DSGVO.