Datenschutzerklärung

Jonas Gerwens

VKK Verlag Kunst & Kultur GmbH
Hospeltstraße 45
D-50825 Köln

E-Mail: jonas-gerwens@kunstart.info

Wir verarbeiten personenbezogene Daten nur, soweit dies erforderlich ist, und stützen die Verarbeitung – je nach Fall – auf folgende Rechtsgrundlagen:

Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) – z.B. für Newsletter, Webanalyse oder externe Einbettungen.

Vertragserfüllung / Vertragsanbahnung (Art. 6 Abs. 1 lit. b DSGVO) – z.B. bei Bestellungen, Abonnements oder Anfragen.

Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) – z.B. Aufbewahrungspflichten.

Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) – z.B. Betriebssicherheit, Missbrauchsverhinderung, Reichweiten- und Angebotsoptimierung.

Wir löschen Daten, sobald der Zweck entfällt, sofern keine gesetzlichen Aufbewahrungsfristen oder berechtigten Gründe (z.B. Nachweis-/Abwehrinteressen) entgegenstehen.

Als Online-Kulturpublikation verarbeiten wir personenbezogene Daten im Rahmen unserer journalistischen Tätigkeit unter Berücksichtigung der Pressefreiheit. Dazu zählen insbesondere redaktionelle Inhalte wie Berichte über Kulturveranstaltungen, Ausstellungen, Interviews oder Künstlerporträts.

Für diese redaktionell-journalistischen Verarbeitungen können nach den einschlägigen Regelungen zum Medienprivileg Besonderheiten gelten. Für nicht-journalistische Verarbeitungen (z.B. Newsletter, Kontaktformular, Webanalyse, externe Einbettungen) gelten die nachfolgenden Bestimmungen uneingeschränkt.

Website-Hosting

Unsere Website wird bei der Host Europe GmbH (Deutschland) gehostet. Die Verarbeitung erfolgt auf Servern in Deutschland. Mit Host Europe besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO.

Automatisierung / Backend

Für bestimmte interne Abläufe nutzen wir eine selbst betriebene Automatisierungsumgebung, die über Hostinger UAB (EU-Anbieter, Litauen) auf Servern am Standort Frankfurt am Main (Deutschland) betrieben wird. Diese dient der technischen Abwicklung und Weiterleitung von Anfragen (z.B. Versand von Bestätigungen, interne Benachrichtigungen, strukturierte Ablage). Auch hier besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO.

Server-Logfiles

Bei jedem Zugriff auf unsere Website werden aus technischen Gründen Server-Logdaten verarbeitet. Dazu gehören insbesondere: IP-Adresse, Zeitpunkt des Zugriffs, aufgerufene Seiten/Dateien, Referrer-URL sowie Browser- und Geräteinformationen. Das ist erforderlich, um die Website bereitzustellen, Angriffe abzuwehren, Störungen zu erkennen und Fehler zu analysieren.

Technisch notwendige Cookies

Technisch notwendige Cookies und vergleichbare Technologien setzen wir ein, um grundlegende Funktionen (z.B. Seitennavigation, Sicherheit, Speicherung Ihrer Einwilligungsentscheidung) bereitzustellen. Soweit hierbei Informationen auf Ihrem Endgerät gespeichert oder ausgelesen werden, erfolgt dies – soweit technisch zwingend erforderlich – auf Grundlage von § 25 Abs. 2 TDDDG.

Optionale Cookies (Analyse, Einbettungen)

Alle weiteren Cookies und Technologien (Analyse, externe Einbettungen) aktivieren wir erst nach Ihrer Einwilligung gemäß § 25 Abs. 1 TDDDG über unser Consent-Management.

Widerruf

Sie können Ihre Auswahl jederzeit über die „Privatsphäre-Einstellungen“ im Footer ändern oder widerrufen.

Anmeldung & Daten

Wenn Sie unseren Newsletter abonnieren, nutzen wir ein Double-Opt-In-Verfahren. Dabei verarbeiten wir Ihre E-Mail-Adresse und – sofern angegeben – Anrede und Namen. Zusätzlich verarbeiten wir Zeitpunkte der Anmeldung/Bestätigung sowie technische Nachweise, um Ihre Einwilligung dokumentieren zu können.

Newsletter-Tracking

Unsere Newsletter enthalten Mess-Technologien, mit denen wir Öffnungen und Klicks auswerten. Außerdem können Links als Weiterleitungen gestaltet sein, um Klicks und technische Zugriffsdaten zur Reichweitenmessung zu erfassen.

Dienstleister: ActiveCampaign

Der Versand und das Management erfolgen über ActiveCampaign (USA). Die Datenübermittlung in die USA erfolgt auf Grundlage eines Angemessenheitsbeschlusses (soweit der Anbieter entsprechend zertifiziert ist) und/oder über geeignete Garantien wie Standardvertragsklauseln.

Soweit ein Website-Tracking durch ActiveCampaign eingesetzt wird, erfolgt dies ausschließlich nach Ihrer Einwilligung über unser Consent-Management.

Wir nutzen Webanalyse, um unser Angebot zu verstehen, zu verbessern und wirtschaftlich zu betreiben.

Selbst gehostete Reichweitenmessung

Wir verwenden eine selbst gehostete Reichweitenmessung, um unser Angebot zu verstehen und zu verbessern. Dabei verarbeiten wir insbesondere Aufruf- und Interaktionsdaten sowie technische Informationen (z.B. gekürzte IP-Adresse bzw. IP-Verarbeitung zur Missbrauchsabwehr). Eine Weitergabe dieser Analysedaten an Dritte findet im Rahmen dieser selbst gehosteten Messung nicht statt.

Soweit hierbei ausnahmsweise Endgeräte-Technologien eingesetzt werden, erfolgt dies erst nach Einwilligung über das Consent-Management.

Google Analytics

Wir nutzen Google Analytics (Google Ireland Limited) zur Reichweitenmessung. Google Analytics wird erst nach Ihrer Einwilligung über das Consent-Management aktiviert und setzt Cookies bzw. ähnliche Technologien ein.

Artikelstatistiken

Zur Anzeige der Beliebtheit von Artikeln nutzen wir einen lokalen Artikelzähler. Soweit hierfür Cookies oder ähnliche Endgeräte-Technologien eingesetzt werden, erfolgt dies erst nach Ihrer Einwilligung (Kategorie „Statistik“); andernfalls erfolgt die Verarbeitung auf Grundlage unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO).

Link-Tracking & Kampagnenmessung (Short.io)

Für Kampagnen setzen wir Tracking-Links und Weiterleitungen über Short.io (USA) ein, um Klicks und technische Zugriffsdaten zur Reichweiten- und Kampagnenmessung zu erfassen. Dabei werden verarbeitet: Zeitpunkt des Klicks, IP-Adresse (mit grober Standortableitung), Referrer-URL sowie Geräte-/Browserinformationen.

Je nach Konfiguration können Analyse-/Logdaten in Rechenzentren innerhalb der EU verarbeitet werden; Details hängen von der jeweiligen Kampagnen- und Account-Konfiguration des Anbieters ab.

Soweit hierbei Endgeräte-Technologien eingesetzt werden, erfolgt dies erst nach Ihrer Einwilligung gemäß § 25 Abs. 1 TDDDG; im Übrigen stützen wir die Verarbeitung auf unser berechtigtes Interesse an der Erfolgsmessung (Art. 6 Abs. 1 lit. f DSGVO).

Auf unserer Website können externe Inhalte eingebunden werden, insbesondere Karten (z.B. Google Maps) sowie Videos (z.B. YouTube). Solche Inhalte werden erst geladen, wenn Sie über unser Consent-Management eingewilligt haben.

Beim Laden werden typischerweise technische Daten (insbesondere IP-Adresse und Geräteinformationen) an den jeweiligen Anbieter übermittelt.

Share-Funktionen

Unsere Share-Buttons übertragen erst nach Ihrem Klick Daten an soziale Netzwerke. Beim bloßen Seitenaufruf findet keine Datenübertragung statt.

Unsere Präsenzen & Insights

Wir sind auf LinkedIn vertreten. Wenn Sie diese Präsenz besuchen, werden Ihre Daten durch die Plattform verarbeitet – auch wenn Sie nicht eingeloggt sind.

Wir erhalten von LinkedIn aggregierte, anonymisierte Statistiken über die Nutzung unserer Seite (sog. Insights). Diese enthalten keine personenbezogenen Daten einzelner Nutzer, ermöglichen uns aber eine Auswertung der Reichweite.

Wenn Sie unser Kontaktformular nutzen, verarbeiten wir Ihre Angaben (z.B. Name, E-Mail-Adresse, Nachricht), um Ihre Anfrage zu bearbeiten.

Die Formulardaten werden technisch an unsere Automatisierungsumgebung (Serverstandort Frankfurt am Main) übermittelt, dort verarbeitet und je nach Zweck intern weitergeleitet (z.B. E-Mail-Benachrichtigung) sowie – sofern erforderlich – in unserer Datenbankumgebung bei Supabase (Region Frankfurt/EU) zwischengespeichert. Für die Nutzung der Datenbankumgebung besteht eine Vereinbarung zur Auftragsverarbeitung; ggf. erforderliche Garantien für Drittlandzugriffe (z.B. Standardvertragsklauseln) werden vertraglich abgesichert.

Für den Versand und Empfang von E-Mails werden die hierfür notwendigen Kommunikationsdaten über unsere Mail-Infrastruktur verarbeitet.

Daten werden gelöscht, sobald die Bearbeitung abgeschlossen ist und keine Aufbewahrungspflichten entgegenstehen.

Wenn Sie über unser Formular eine Auslage der kultur:zeitung bestellen, anpassen oder abbestellen, verarbeiten wir Ihre Angaben (z.B. Name, Institution, E-Mail-Adresse, Lieferadresse, gewünschte Exemplaranzahl), um Ihre Anfrage zu bearbeiten und die Belieferung durchzuführen.

Die Formulardaten werden technisch an unsere Automatisierungsumgebung (Serverstandort Frankfurt am Main) übermittelt und dort verarbeitet.

Wenn Sie ein Abonnement der kultur:zeitung bestellen, verarbeiten wir Ihre Angaben (z.B. Name, Anschrift, E-Mail-Adresse, Telefonnummer, Zahlungsdaten wie IBAN bei SEPA-Lastschrift), um Ihre Bestellung abzuwickeln und das Abonnement zu verwalten.

Die Formulardaten werden technisch an unsere Automatisierungsumgebung (Serverstandort Frankfurt am Main) übermittelt und dort verarbeitet.

Bei Zahlung per SEPA-Lastschrift werden Ihre Bankdaten ausschließlich zur Durchführung des Lastschrifteinzugs verwendet.

Bei Abonnement-Bestellungen verarbeiten wir die zur Abwicklung erforderlichen Daten (z.B. Name, Anschrift, E-Mail-Adresse, Bestellsumme sowie Zahlungsinformationen). Bei Zahlung per Rechnung erhalten Sie eine Rechnung zur Überweisung. Bei SEPA-Lastschrift werden Ihre Kontodaten zur Durchführung des Einzugs verwendet.

Wir führen keine Bonitätsprüfung durch.

Wenn ein Versand erforderlich ist (z.B. bei Abonnements oder Auslage-Bestellungen), übermitteln wir die für den Versand notwendigen Daten (insbesondere Name/Anschrift und ggf. Ansprechpartner) an beauftragte Dienstleister (z.B. Fulfillment-Dienstleister und GLS als Paketdienstleister).

Automatisierung

Zur effizienten Bearbeitung interner Abläufe (z.B. Verarbeitung von Formular-Eingängen, Versand von Bestätigungen, strukturierte Ablage) nutzen wir Automatisierungsprozesse auf Servern in Deutschland (Frankfurt am Main). Für bestimmte Workflows setzen wir eine Datenbankumgebung bei Supabase (Region Frankfurt/EU) ein.

Je nach Vorgang werden Daten nur vorübergehend oder – soweit erforderlich – länger gespeichert und anschließend nach Zweckfortfall bzw. gesetzlichen Fristen gelöscht. Für die Nutzung der Datenbankumgebung besteht eine Vereinbarung zur Auftragsverarbeitung; ggf. erforderliche Garantien für Drittlandzugriffe (z.B. Standardvertragsklauseln) werden vertraglich abgesichert.

Einsatz von KI-Technologien

Sofern KI-Technologien zur Unterstützung interner Prozesse eingesetzt werden, dienen sie z.B. der Analyse, Kategorisierung oder Zusammenfassung. Wir treffen geeignete vertragliche und organisatorische Maßnahmen, damit personenbezogene Daten nicht zum Training öffentlich zugänglicher KI-Modelle verwendet werden. Es findet keine automatisierte Entscheidungsfindung mit rechtlicher Wirkung im Sinne von Art. 22 DSGVO statt.

Zur Sicherung und Wiederherstellung unserer Systeme erstellen wir regelmäßige Datensicherungen (z.B. Website-Dateien und Datenbankinhalte). Diese Sicherungen können personenbezogene Daten enthalten und werden in einem Cloud-Speicher bei Google (Google Drive) abgelegt.

Bei Google kann – je nach Dienst und Konfiguration – eine Verarbeitung außerhalb des EWR nicht vollständig ausgeschlossen werden (siehe Abschnitt 18).

Rechtlicher Rahmen

Soweit wir Dienstleister einsetzen, bei denen eine Verarbeitung außerhalb des Europäischen Wirtschaftsraums nicht ausgeschlossen werden kann, erfolgt dies nur im rechtlich zulässigen Rahmen:

• EU-US Data Privacy Framework (DPF): Sofern der Anbieter unter dem DPF zertifiziert ist, kann die Übermittlung auf den Angemessenheitsbeschluss der EU-Kommission (Art. 45 DSGVO) gestützt werden.
• Standardvertragsklauseln (SCC): Ergänzend oder alternativ können Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO vereinbart sein.

Unabhängig davon kann ein Zugriff staatlicher Stellen in Drittländern nicht in jedem Fall vollständig ausgeschlossen werden.

Betroffene Dienstleister

• ActiveCampaign (USA) – Newsletter
• Short.io (USA) – Link-Tracking (EU-Speicherung je nach Konfiguration möglich)
• Google (Google Ireland, möglicher USA-Bezug) – Analytics, Drive
• Supabase (Region Frankfurt/EU) – DPA mit SCC für etwaige Drittlandzugriffe

DPF-Zertifizierungen prüfen: dataprivacyframework.gov

Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie Widerspruch. Erteilte Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen (z.B. über Newsletter-Abmeldung oder die Privatsphäre-Einstellungen).

Beschwerderecht

Sie können sich bei einer Datenschutz-Aufsichtsbehörde beschweren. Für uns zuständig ist:

LDI Nordrhein-Westfalen

Kavalleriestraße 2–4, 40213 Düsseldorf
Telefon: 0211 38424-0
E-Mail: poststelle@ldi.nrw.de
www.ldi.nrw.de