HSVTicketValidator-App
Datenschutzerklärung

Wir, die Lufthansa Industry Solutions AS GmbH („wir“ oder „uns“), sind jederzeit bestrebt, die Sicherheit und Integrität Ihrer personenbezogenen Daten in Übereinstimmung mit dem anwendbarem Datenschutzrecht zu wahren.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Diese Datenschutzerklärung gilt für die von uns angebotenen digitalen Dienste, die wir in Kombination mit Diensten der Firma UBIRCH (nachfolgend „Trust Services“ genannt) anbieten (insgesamt „Dienste“).

A. VERANTWORTLICHER

Der für die Verarbeitung personenbezogener Daten Verantwortliche ist:

Lufthansa Industry Solutions AS GmbH
Schützenwall 1

22844 Norderstedt
Deutschland

B. KONTAKTDATEN DES DATENSCHUTZBEAUFTRAGTEN DES VERANTWORTLICHEN

Unseren Datenschutzbeauftragten erreichen Sie wie folgt:

Konzerndatenschutzbeauftragter Lufthansa Group
Mail: datenschutz@dlh.de

Anfragen können auch gerichtet werden an:

Peter Horstmann
Datenschutzkoordinator
Lufthansa Industry Solutions AS GmbH
Schützenwall 1
22844 Norderstedt
Mail: dataaccess@lhind.dlh.de

C. ERHEBUNG PERSONENBEZOGENER DATEN

An wen richtet sich die HSVTicketValidator-App?

Mit der Entwicklung der HSVTicketValidator-App bietet die Lufthansa Industry Solutions AS GmbH (nachfolgend LHIND) eine Lösung an, die es dem Besucher ermöglicht seine personenbezogene Eintrittskarten zu Veranstaltungen zu verifizieren.

Welche Daten werden in der HSVTicketValidator-App verarbeitet?

Um eine Verifikation des Tickets zu ermöglichen, wird jedes Ticket individuell und anonymisiert unter Verwendung der Trust Services in einer Blockchain verankert. Der Nutzer erhält hierüber einen Nachweis in Form einer Bestätigung in der HSVTicketValidator-App.

Die HSVTicketValidator-App liest mittels der eingebauten Smartphone-Kamera die Daten des QR-Codes vom Ticket und verifiziert diese Daten unter Verwendung der Trust Services. Nur wenn die Information auf dem QR-Code vertrauenswürdig und korrekt ist, ist die Verifikation erfolgreich. Eine Fälschung von Tickets ist daher nicht möglich.

Alle an die Trust Services übertragenen Daten werden in Form von Hashwerten gespeichert. Um eine größtmögliche Sicherheit der Daten zu erreichen, wird ein die kryptografisch starker SHA-256 Hashwert verwendet, der nach dem aktuellen Stand der Technik als nicht umkehrbar gilt und über eine hohe Kollisionssicherheit verfügt. SHA-256 gehört zu den kryptografischen Algorithmen, die das Bundesamtes für Sicherheit in der Informationstechnik (BSI) in der technischen Richtlinie BSI TR-02102-1 „Kryptographische Verfahren: Empfehlungen und Schlüssellängen“, Stand März 2020, empfiehlt.

Nach dem Scannen des durch den Nutzer vorgezeigten QR-Codes überprüft die HSVTicketValidator-App die Vertrauenswürdigkeit der Daten und zeigt diese bei erfolgreicher Prüfung an:

  • Name
  • Vorname
  • Geburtsdatum
  • Überprüfungsergebnis (positiv oder negativ)

Die angezeigten Daten werden durch die HSVTicketValidator-App nicht weiterverarbeitet und weder dauerhaft gespeichert, noch an andere Systeme oder Apps übertragen. Weiteres ist den Datenschutzerklärungen der jeweiligen Anwendungen zu entnehmen.

Der Nutzer der HSVTicketValidator-App hat sicherzustellen, dass die auf dem Smartphone angezeigten Daten Dritten nicht sichtbar gemacht werden. Hierfür kann die Lufthansa Industry Solutions als Entwickler keine Verantwortung übernehmen.

Wann und wie werden ihre Daten gelöscht?

Nach jedem Scanvorgang und nach dem Beenden bzw. Deinstallation der App werden die Daten auf dem Gerät endgültig gelöscht bzw. überschrieben.

D. ART DER VERARBEITETEN DATEN

Wir können die folgenden Daten über die Besucher verarbeiten, welche notwendig sind, um die vom Besucher vorgezeigten Tickets zu validieren:

  • Hash-Werte: Diese werden mit dem unter C. beschriebenen Verfahren aus den folgenden Daten erzeugt: Geräte-ID, Name, Vorname, Geburtsdatum, Checkergebnis.

Andere Daten werden nicht durch unsere Systeme verarbeitet. Alle persönlichen Daten (siehe unter Punkt C.) werden ausschließlich innerhalb der HSVTicketValidator-App auf dem Endgerät gespeichert. Es erfolgt kein Austausch personenbezogener Daten auf elektronischem Wege mit anderen Apps oder mit sonstigen DV-Systemen.

E. SENSIBLE DATEN NACH ART. 9 DSGVO (BESONDERE KATEGORIEN PERSONENBEZOGENER DATEN)

Sensible personenbezogene oder sonstige sensible Daten (z. B. politische Meinungen, Religionszugehörigkeit, genetische oder biometrische Informationen) werden von uns nicht verarbeitet. Die HSVTicketValidator-App verwendet personenbezogene Daten ausschließlich zur Anzeige der Daten innerhalb der App und zur Erzeugung von Hash-Werten zur Einbindung der Trust Services.

F. ZWECKE DER VERARBEITUNG | RECHTSGRUNDLAGE DER VERARBEITUNG | BERECHTIGTE INTERESSEN

Wir werden Ihre personenbezogenen Daten nur zweckgebunden entsprechend den aufgeführten Rechtsgrundlagen und als solche nur innerhalb der HSVTicketValidator-App verarbeiten. Die folgende Übersicht beschreibt, zu welchen Zwecken und auf welcher Rechtsgrundlage wir Ihre personenbezogenen Daten verarbeiten und – sofern die Verarbeitung auf Art. 6 (1) 1 f) der Datenschutzgrundverordnung (DSGVO) beruht – die berechtigten Interessen für eine solche Verarbeitung:

 

Ziff.  Verarbeitung und Zweck  Rechtsgrundlage  Berechtigte Interessen
 (1) Erhebung und Speicherung Ihrer temporären Nutzungsdaten bei Anmeldung und während Ihrer Nutzung der HSVTicketValidator-Systeme für die Gewährleistung der Sicherheit des Systems Art. 6 (1) 1 f) DSGVO: Berechtigtes Interesse Die temporären Daten werden nur gespeichert,
solange die Daten des Ticketchecks angezeigt werden.
  (2) Übermittlung Ihrer Funktionalen Daten (Hash-Werte) an Dritte, die Sie von von Ihrem Testergebnis in Kenntnis setzen Art. 6 (1) 1 b) DSGVO: Auf Grundlage der zwischen Ihnen und uns geltenden Nutzungsbedingungen für die Applikation „HSVTicketValidator“  n. a.

 

G. EMPFÄNGER PERSONENBEZOGENER DATEN | DIENSTE DRITTER

Persönliche Daten werden ausschließlich innerhalb der HSVTicketValidator-App gespeichert. Insofern gibt es keine Empfänger personenbezogener Daten und keine Dienste Dritter.

Ausnahme bildet hier der Austausch von Daten zwischen zur HSVTicketValidator-App kompatiblen Anwendungen und der HSVTicketValidator-App über einen QR-Code. Dies stellt aber keinen Austausch personenbezogener Daten zum Zwecke der Verarbeitung im Sinne der DSGVO dar.

H. DAUER DER SPEICHERUNG PERSONENBEZOGENER DATEN

Wir speichern Ihre personenbezogenen Daten ausschließlich innerhalb der HSVTicketValidator-App für die Dauer, die für die Zwecke, zu denen sie erhoben worden sind, erforderlich sind (hierzu siehe Teil D dieser Datenschutzerklärung).

Bitte beachten Sie, dass wir Ihre personenbezogenen Daten nicht in Form von Klardaten, sondern verschlüsselt verarbeiten und dies nur innerhalb der HSVTicketValidator-App. Diese Daten können Ihnen nicht ohne Ihr Zutun zugeordnet werden.

Ihre personenbezogenen Daten werden nur während des Verifizierungsvorganges gespeichert und zwar solange sie von Nutzern der HSVTicketValidator-App zur Identitätsprüfung benötigt werden. Nach Löschung der App, werden auch die dazugehörigen Daten auf dem Gerät endgültig gelöscht.

I. RECHTE DER BETROFFENEN PERSON

Hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten haben Sie folgende in der DSGVO vorgesehenen Rechte:

  • Das Recht, eine Aussage darüber zu verlangen, ob Ihre personenbezogenen Daten verarbeitet werden und, sofern dies der Fall ist, das Recht auf Auskunft über diese Daten. Diese Auskunft umfasst unter anderem die Verarbeitungszwecke, die Kategorien verarbeiteter personenbezogener Daten und die Empfänger oder Kategorien der Empfänger, denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden (Art. 15 DSGVO). Bitte beachten Sie, dass die Rechte und Freiheiten anderer Personen Ihr Recht auf Auskunft einschränken können. Wir speichern die Nutzerdaten verschlüsselt und nur für den Zeitraum der Verifizierung der Benutzerdaten. Dieser Zeitraum endet mit der Verifizierung von weiteren Benutzerdaten oder das Beenden der App. Das Nutzergeheimnis verbleibt in seiner unverschlüsselten Form grundsätzlich nur im Besitz des Nutzers. Daher können wir im Regelfall nicht nachverfolgen, ob personenbezogene Daten einer bestimmten Person im HSVTicketValidator-System verarbeitet werden.
  • Das Recht, die Berichtigung Ihrer personenbezogenen Daten zu verlangen, sofern diese unrichtig oder unvollständig sind (Art. 16 DSGVO). Nutzer können keine Daten in der HSVTicketValidator-App anlegen, berichtigen oder löschen.
  • Das Recht, unter bestimmten Voraussetzungen zu verlangen, dass Ihre personenbezogenen Daten unverzüglich gelöscht werden (sog. „Recht auf Vergessenwerden“) (Art. 17 DSGVO). Wir speichern unter anderem Daten, die auf den von Ihnen innerhalb der HSVTicketValidator-App hinterlegten Informationen beruhen. Diese Daten werden durch die HSVTicketValidator-App mit Verschlüsselungstechniken gesichert, welche auf Schlüsseln basieren, die grundsätzlich ausschließlich durch die HSVTicketValidator-App auf Ihrem Endgerät gehalten werden. Ohne diese Schlüssel können wir die vorgenannten Daten Ihrer Person im Rahmen einer Verifikation nicht zuordnen und demgemäß nicht löschen. Die Benutzerdaten werden nur für den Zeitraum der Verifizierung der Benutzerdaten gespeichert. Dieser Zeitraum endet mit der Verifizierung von weiteren Benutzerdaten oder das Beenden der App.
  • Das Recht, unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen (Art. 18 DSGVO). Wobei ihre personenbezogenen Daten ausschließlich innerhalb der HSVTicketValidator-App verarbeitet werden und der Umgang mit den Daten nur durch den Nutzer bestimmt wird. Die Daten werden nur nach der Bereitstellung der Benutzerdaten durch den Benutzer durch Vorzeigen des QR-Codes gespeichert. Die Benutzerdaten werden nur für den Zeitraum der Verifizierung der Benutzerdaten gespeichert. Dieser Zeitraum endet mit der Verifizierung von weiteren Benutzerdaten oder das Beenden der App.
  • Das Recht, in bestimmten Situationen der Verarbeitung Ihrer personenbezogenen Daten zu widersprechen, sofern die Verarbeitung auf einem berechtigten Interesse von uns oder eines Dritten gemäß Art. 6 (1) 1 f) DSGVO beruht. Die Daten werden nur nach der Bereitstellung der Benutzerdaten durch den Benutzer durch Vorzeigen des QR-Codes gespeichert. Die Benutzerdaten werden nur für den Zeitraum der Verifizierung der Benutzerdaten gespeichert. Dieser Zeitraum endet mit der Verifizierung von weiteren Benutzerdaten oder das Beenden der App.
  • Das Recht, eine hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten gegenüber uns erteilte Einwilligung jederzeit zu widerrufen. Ein solcher Widerruf berührt nicht die Rechtmäßigkeit der Verarbeitung, die bis zu Ihrem Widerruf erfolgt ist. Da wir ihre persönlichen Daten nicht verarbeiten, sondern diese nur lokal auf der HSVTicketValidator-App gespeichert werden, widerrufen Sie die Einwilligung der Verarbeitung Ihrer personenbezogenen Daten durch Deinstallation der HSVTicketValidator-App.

Bitte beachten Sie, dass wir Ihre personenbezogenen Daten nur innerhalb der HSVTicketValidator-App und nicht in Form von Klardaten, sondern verschlüsselt verarbeiten und wir daher in bestimmten Fällen nicht in der Lage sein werden, einer entsprechenden Aufforderung durch Sie zur Gewährung der vorgenannten Rechte nachzukommen.

Zur Ausübung dieser Rechte gegenüber uns können Sie sich auch an unseren Datenschutzbeauftragten unter den in Teil B dieser Datenschutzerklärung genannten Kontaktdaten wenden.

Ungeachtet der vorstehenden Rechte haben Sie das Recht, Beschwerde bei einer Aufsichtsbehörde für Datenschutz und Informationsfreiheit, beispielsweise bei der Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein einzulegen:

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Holstenstr. 98, 24103 Kiel

J. VERSION

Dies ist die aktuelle Fassung unserer Datenschutzerklärung. Wir behalten uns vor, diese Datenschutzerklärung anzupassen (insbesondere im Falle von Änderungen der Rechtslage oder Änderungen unserer Dienste). Änderungen dieser Datenschutzerklärung werden Ihnen gesondert, ggf. vor Wirksamwerden einer Änderung unserer Dienste mitgeteilt. Es empfiehlt sich gleichwohl, diese Datenschutzerklärung in regelmäßigen Abständen abzurufen.