FAQ
Die häufigsten Fragen
Die Courion-Schnittstelle kommuniziert mit allen gängigen Ticketing-Systemen. Ihre Verbindung zu Courion stellen Sie einfach über einen Browser mit Ihrem Tablet, Smartphone oder Desktop her. movarti ist selbsterklärend und auch ohne IT- und Marketingkenntnisse unkompliziert nutzbar.
Der Anschluss erfolgt in Sekundenschnelle und ist kostenfrei. Anschließend sortiert Courion die vorhandenen Daten und bespricht das Ergebnis mit Ihnen. Darauf aufbauend werden die passenden Empfehlungen ausgewählt und zeitlich passend angezeigt. Ab dann ist Courion für Sie betriebsbereit (Geld-zurück-Garantie für die ersten drei Monate). Eine umfassende Beratung ist im Preis inkludiert und kann jederzeit in Anspruch genommen werden. Zusätzliche Beratungsprojekte können hinzugebucht werden.
Courion ist selbsterklärend und auch ohne Fachkenntnisse unkompliziert nutzbar.
Kleinere Updates zur Behebung von Unregelmäßigkeiten werden regelmäßig automatisch aufgespielt. Einmal jährlich wartet Courion mit einer Produktneuheit innerhalb des Systems auf.
Der Einsatz von Courion ist sinnvoll bei mindestens 20.000 Besuchern pro Jahr. Je mehr Besucher, desto höher wird der Mehrwert. Nach oben gibt es keine Begrenzungen der Besucherzahl. Ein System wie movarti erleben Sie am besten im Alltag. Wir laden Sie ein, Courion 3 Monate kostenlos zu testen und selbst zu sehen, wie die App Sie dabei unterstützt, die Erlössituation Ihres Hauses zu verbessern. Starten Sie jetzt die Testphase!
Faire Kulturfinanzierung fängt bei bezahlbaren Preisen an. Courion zeichnet sich durch flexible Anpassbarkeit an die Situation Ihres Hauses aus. Die monatliche Abrechnung erfolgt transparent nachvollziehbar auf Basis Ihres realen Ticketvolumens. Vier Preisgruppen bilden die häufigsten Nutzungsszenarien ab. In den monatlichen Tarifen ist die Nutzung der cloudbasierten Technologie ebenso enthalten wie Schulungen und der Kontakt mit Support und Beratung. Der Anschluss, die Ersteinrichtung und die Einführung erfolgen kostenlos. Es gibt keine versteckten Zusatzkosten.
Ja, bereits bei der Entwicklung von Courion wurde auf die Einhaltung der Regelungen der DSGVO geachtet und das mit der Entwicklung beauftragte Unternehmen wurde vertraglich hierzu verpflichtet. Dies umfasst insbesondere auch die Einhaltung der Grundsätze von Privacy by Design und Privacy by Default sowie die Bereitstellung von Funktionen, die es Ihnen erleichtern oder ermöglichen, die entsprechenden Betroffenenrechte umzusetzen.
Die Segmentierung und Auswertung der mit Courion verarbeiteten Bestandsdaten Ihrer Besucher ist wenig eingriffsintensiv. Zum Beispiel werden keine besonderen Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO wie etwa Gesundheitsdaten verarbeitet. Daten wie das bisherige Bestellverhalten eines Besuchers und seine daraus für die Zusendung möglichst relevanter Werbung abgeleiteten Interessen sind eher harmlos und im Vergleich zu sensibleren Daten wie Gesundheitsdaten weniger geeignet, einen weitreichenden Eingriff in die Privatsphäre zu begründen. Auch handelt es sich um einen überschaubaren Umfang an Datenkategorien, die nicht mit Daten aus anderen Quellen kombiniert werden. Die vorgenannten Aspekte können Ihnen helfen, eine Verarbeitung der Daten im Rahmen einer Interessenabwägung zu begründen.
Mit Courion können Besucherdaten aus Verkaufsvorgängen nach für Sie relevanten Mustern und Handlungsmöglichkeiten ausgewertet werden. Hierzu erhalten wir die Kontaktdaten Ihrer Besucher sowie die Daten aus den Verkaufsvorgängen nach Ihrer Zustimmung entweder direkt über eine Schnittstelle von den Ticketanbietern oder über manuellen Datentransfer. Die Speicherung der Daten bei Courion erfolgt mandantenbezogen, das heißt logisch getrennt nach jeder nutzenden Kulturinstitution. Wir haben für den Zugriff auf die Daten ein differenziertes Rollen- und Rechtekonzept entwickelt.
Wir sind Ihr Auftragsverarbeiter, das heißt, wir verarbeiten die Daten ausschließlich nach Weisung unserer Kunden. Sie bleiben jederzeit Herr Ihrer Daten. Wir verarbeiten diese vor allem nicht zu eigenen Zwecken. Sie sind der einzige Ansprechpartner gegenüber den Betroffenen, d. h. Ihren Besuchern. Und Sie sind und bleiben gegenüber Ihren Besuchern Verantwortlicher im Sinne des Datenschutzrechts. Wir halten einen Auftragsverarbeitungsvertrag vor, der auf einem neutralen Mustervertrag der EU-Kommission basiert und die Rechte unserer Kunden ausgewogen regelt. Der Auftragsverarbeitungsvertrag enthält alle gesetzlich vorgesehenen Mindestinhalte, so dass Sie sich insoweit um nichts kümmern müssen.
Nein, die Auswertung der Daten mit Courion stellt kein Profiling der Besucher dar, das wäre nach der DSGVO nur mit Einwilligung zulässig. Die bloße Bewertung der Besucherdaten zu Werbezwecken mit Courion entfaltet keine rechtliche Wirkung gegenüber den betroffenen Besuchern und beeinträchtigt diese auch nicht in erheblicher Weise. Mit Courion werden auch nicht gezielt Daten von besonders schützenswerten gesellschaftlichen Gruppen wie zum Beispiel Kindern, unterstützungsbedürftigen Erwachsenen oder Minderheiten verarbeitet.
Courion wird von uns in einem Rechenzentrum von Microsoft betrieben, das sich aktuell in Deutschland befindet. Ihre Daten bzw. die Daten Ihrer Besucher verlassen die EU also nicht. Weder wir noch Microsoft können allerdings vollständig ausschließen, dass US-amerikanische Supportmitarbeiter oder Sicherheitsbehörden Zugriff auf Daten in Rechenzentren nehmen, die von Tochtergesellschaften US-amerikanischer Cloud-Dienstleister betrieben werden (auch wenn sich diese in der EU befinden). Da einige datenschutzrechtliche Aufsichtsbehörden hierin einen sog. Drittstaatentransfer erblicken, gilt es, entsprechende Vorsorgemaßnahmen zu treffen – hierzu gehören zum Beispiel der Abschluss von Standardvertragsklauseln und die Einhaltung zusätzlicher Schutzmaßnahmen, vor allem technischer oder organisatorischer Art.
Bis sich die EU und die USA auf ein Nachfolgeabkommen zum sogenannten „Privacy-Shield-Abkommen“ geeinigt und die EU-Kommission die Angemessenheit des Datenschutzniveaus in den USA bestätigt hat (voraussichtlich im April/Mai 2023), bedient sich Microsoft zur Absicherung des Drittstaatentransfers der neuen EU-Standardvertragsklauseln aus dem Jahr 2021, die Teil des Auftragsverarbeitungsvertrages von Microsoft sind. Die Standardvertragsklauseln wurden nach Informationen von Microsoft um zusätzliche Sicherheitsmaßnahmen wie zum Beispiel eine kundenseitige Schlüsselverwaltung für die Datenverschlüsselung (sog. „Azure Key Vault“) ergänzt. Microsoft hat zudem ein Transfer Impact Assessment, also eine konkrete Risikoeinschätzung des Drittstaatentransfers, vorgenommen.
Als Nutzer von Courion sind Sie für Kontakte und Daten, die Sie mit Courion verwalten, selbst verantwortlich. Dementsprechend müssen Sie selbst dafür Sorge tragen, dass die Kontakte datenschutzkonform genutzt werden. Rein vorsorglich wollen wir unsere Kunden auf bestimmte rechtliche Anforderungen hinweisen. Die nachfolgenden generellen Handlungsempfehlungen erheben jedoch keinen Anspruch auf Vollständigkeit und stellen keine Rechtsberatung dar, insbesondere können sich Punkte je nach Kulturinstitution und/oder Art des Geschäftsmodells unterscheiden. Wir empfehlen in Zweifelsfällen eine Beratung durch einen Datenschutzexperten. Folgende generelle Anforderungen gilt es zu beachten.
- Informationspflichten
Sie als Verantwortlicher müssen transparente Datenschutzhinweise vorhalten, um Ihre Besucher möglichst bei Datenerhebung bereits über die Verarbeitung der Daten zu informieren.
- Keine sensiblen und nicht erforderlichen Informationen verarbeiten
Es sollten keine Daten erhoben und mit Courion verarbeitet werden, die für die Beziehung mit Ihren Besuchern nicht erforderlich sind. Insbesondere sollten keine Pflichtfelder für die Eingabe personenbezogener Daten, die für die Vertragserfüllung tatsächlich nicht benötigt werden, in das Online-Formular beim Ticketkauf integriert werden. Nicht erfasst werden sollten zudem solche Informationen, die mit der kulturellen Veranstaltung selbst nichts oder allenfalls am Rande zu tun haben (wie etwa die in der Pause konsumierten Speisen und Getränke oder andere private Informationen der Besucher).
- Anforderungen an Direktwerbung berücksichtigen
Datenverarbeitungen mit Courion, die über die reine Aufbereitung der Daten für interne Zwecke hinausgehen, insb. also die werbliche Direktkommunikation, unterliegen besonderen Anforderungen. Hierfür gilt das deutsche Gesetz über den unlauteren Wettbewerb. Vereinfacht ausgedrückt ist Werbung unter elektronischer Kommunikation mit dem Empfänger – wie z. B. per E-Mail – danach im Grundsatz ohne vorherige ausdrückliche Einwilligung als stets unzumutbare Belästigung anzusehen. Entsprechendes gilt für persönliche Telefonwerbung gegenüber Verbrauchern. Briefwerbung dagegen ist in aller Regel unproblematisch und erlaubt, es sei denn, der Empfänger hat seinen Widerspruch hierzu erklärt.
Auch ohne Einwilligung zulässig kann bei Beachtung der hierzu geltenden Voraussetzungen Werbung mittels elektronischer Kommunikation für „eigene ähnliche Produkte“ sein. Sie sollten jeweils für den Einzelfall sorgfältig entscheiden, ob diese Alternative in Betracht kommt und die weiteren Voraussetzungen hierfür vorliegen oder eine Einwilligung („Opt-in“) der Kunden für den Versand der Werbung erforderlich ist.
- Internes Verfahrensverzeichnis anlegen
Gemäß Art. 30 Abs. hat jeder Verantwortliche ein Verzeichnis aller Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, zu führen. Hierin sollten alle unternehmensinternen Prozesse mit Datenschutzrelevanz dokumentiert werden. Die Verarbeitungstätigkeiten mit Courion sollten in das Verfahrensverzeichnis aufgenommen werden.
Die FAQ im Datenschutz sind mit der hierfür spezialisierten Kanzlei Vogel & Partner aus Karlsruhe (https://www.vogel-partner.eu/) entstanden. Weitere Informationen stellen wir Ihnen gerne in Form einer ausführlicheren rechtlichen Stellungnahme zur Verfügung.