Rechtliches

Datenschutzerklärung

1. Datenschutz auf einen Blick

Allgemeine Hinweise

Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit deinen personenbezogenen Daten passiert, wenn du diese Website besuchst. Personenbezogene Daten sind alle Daten, mit denen du persönlich identifiziert werden kannst.

Datenerfassung auf dieser Website

Wer ist verantwortlich für die Datenerfassung auf dieser Website?

Die Datenverarbeitung auf dieser Website erfolgt durch den Websitebetreiber:

Giant Monkey GmbH
Brunnenstr. 39
10115 Berlin
Geschäftsführer: Lion Vollnhals und Adrian Fuhrmann
E-Mail: kontakt@giantmonkey.de

Datenschutzbeauftragter

RA Marco Köhler
Friedrichstraße 63
10117 Berlin
Telefon: +49 30 20644496
E-Mail: datenschutz@giantmonkey.de

2. Hosting

Diese Website wird bei Hetzner Online GmbH gehostet. Details entnehmst du der Datenschutzerklärung von Hetzner: hetzner.com/de/legal/privacy-policy.

3. Allgemeine Hinweise und Pflichtinformationen

Datenschutz

Die Betreiber dieser Seiten nehmen den Schutz deiner persönlichen Daten sehr ernst. Wir behandeln deine personenbezogenen Daten vertraulich und entsprechend den gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung.

Hinweis zur verantwortlichen Stelle

Die verantwortliche Stelle für die Datenverarbeitung auf dieser Website ist:

Giant Monkey GmbH
Brunnenstr. 39
10115 Berlin
Geschäftsführer: Lion Vollnhals und Adrian Fuhrmann
E-Mail: kontakt@giantmonkey.de

4. Datenerfassung auf dieser Website

Server-Log-Dateien

Der Provider der Seiten erhebt und speichert automatisch Informationen in sogenannten Server-Log-Dateien, die dein Browser automatisch übermittelt. Dies sind:

  • Browsertyp und Browserversion
  • Verwendetes Betriebssystem
  • Referrer URL
  • Hostname des zugreifenden Rechners
  • Uhrzeit der Serveranfrage
  • IP-Adresse

Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Die Erfassung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO.

Cookies und lokale Speicherung

Diese Website setzt keine Tracking-Cookies. Wir legen einen technisch notwendigen Eintrag im lokalen Browser-Speicher (localStorage) ab, um deine Auswahl im Cookie-Banner zu merken (zugestimmt oder abgelehnt). Der Eintrag enthält keine personenbezogenen Daten und wird ausschließlich lokal auf deinem Gerät gespeichert. Bevor du im Banner zustimmst oder ablehnst, wird kein Eintrag gesetzt - das Banner bleibt sichtbar.

Kontaktformular (HubSpot)

Wir nutzen HubSpot (HubSpot Inc., 25 First Street, Cambridge, MA 02141, USA) für unser Kontaktformular. Das HubSpot-Skript wird erst geladen, nachdem du der Verwendung von Cookies zugestimmt hast. Ohne deine Einwilligung wird kein HubSpot-Skript geladen und es werden keine Daten an HubSpot übertragen. Alternativ kannst du uns jederzeit per E-Mail an sales@giantmonkey.de kontaktieren.

Wenn du dem Laden des Kontaktformulars zugestimmt hast und uns darüber kontaktierst, werden deine Angaben bei HubSpot verarbeitet und gespeichert. HubSpot kann Cookies zur Identifikation wiederkehrender Besuchender setzen. Die Datenverarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Weitere Informationen: HubSpot Datenschutzerklärung.

5. Deine Rechte

Du hast jederzeit das Recht auf unentgeltliche Auskunft über deine gespeicherten personenbezogenen Daten, deren Herkunft und Empfänger und den Zweck der Datenverarbeitung sowie ein Recht auf Berichtigung, Sperrung, Löschung und Datenübertragbarkeit (Art. 15-22 DSGVO). Hierzu sowie zu weiteren Fragen zum Thema personenbezogene Daten kannst du dich jederzeit an uns wenden.

Recht auf Beschwerde bei der zuständigen Aufsichtsbehörde

Im Falle von Verstößen gegen die DSGVO steht den Betroffenen ein Beschwerderecht bei einer Aufsichtsbehörde zu, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthalts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes (Art. 77 DSGVO). Die für uns zuständige Aufsichtsbehörde ist:

Berliner Beauftragte für Datenschutz und Informationsfreiheit
Friedrichstr. 219
10969 Berlin
www.datenschutz-berlin.de

6. Datenschutz der go~mus-Plattform

Die obenstehende Datenschutzerklärung deckt die Marketing-Webseite gomus.de ab. Die go~mus-Plattform selbst - also die SaaS, die Museen und Kultureinrichtungen für Ticketing und Besucher:innenmanagement nutzen - betreibt Giant Monkey GmbH im Rahmen einer Auftragsverarbeitung nach Art. 28 DSGVO. Verantwortliche im Sinne der DSGVO ist die jeweilige Kultureinrichtung; Giant Monkey GmbH ist Auftragsverarbeiterin.

6.1 Auftragsverarbeitungsvertrag (AVV)

Für jedes Vertragsverhältnis rund um die go~mus-Plattform wird ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geschlossen. Unsere Standard-AVV-Vorlage einschließlich der technischen und organisatorischen Maßnahmen (TOMs) stellen wir auf Anfrage über sales@giantmonkey.de bereit. Bestandskunden finden die jeweils aktuelle Fassung im go~mus-HelpDesk.

6.2 Ort der Datenverarbeitung

Personenbezogene Daten auf der go~mus-Plattform werden ausschließlich innerhalb der Europäischen Union, des Europäischen Wirtschaftsraums sowie in der Bundesrepublik Deutschland verarbeitet. Backups verbleiben im selben Raum. Eine etwaige Verlagerung in ein Drittland bedarf der vorherigen Zustimmung der Verantwortlichen sowie der Voraussetzungen nach Art. 44 ff. DSGVO.

6.3 Subunternehmer (Subprozessoren)

Für den Betrieb der Plattform setzen wir folgende Subunternehmer ein. Die vollständige Liste mit Zweck, Datenkategorien und Verarbeitungsstandort ist Bestandteil des AVV-Anhangs:

  • Hetzner Online GmbH (Deutschland) - Hosting auf einer Infrastruktur, die nach ISO 27001 zertifiziert ist
  • Combase AG (Deutschland) - Schnittstelle zum Korona-Kassensystem, sofern vertraglich vorgesehen
  • Atlassian Pty Ltd (Australien) - Support-Ticketsystem; Transfer Impact Assessment liegt vor, EU-Standardvertragsklauseln vereinbart
  • Spezialisierter Monitoring-Anbieter (Drittland) - Scope strikt begrenzt auf technische Telemetrie zur Fehleranalyse, keine Inhaltsdaten, kurze Aufbewahrung; Verarbeitung auf Basis der EU-Standardvertragsklauseln

Die Aufnahme eines neuen Subunternehmers erfolgt mit schriftlicher Information an die Verantwortlichen; Widerspruchsrechte gemäß AVV bleiben unberührt.

6.4 Technische und organisatorische Maßnahmen (TOMs)

Die Plattform wird mit technischen und organisatorischen Maßnahmen betrieben, die dem Schutzbedarf entsprechen (Art. 32 DSGVO). Auszug:

  • Mandantentrennung - die Daten jeder Kundin liegen in einer separaten Datenbank, auf physisch getrennter Server-Infrastruktur mit eigenständigen Backup-Strecken
  • Verschlüsselung in der Übertragung - die gesamte Kommunikation zwischen Client und Server erfolgt über TLS 1.3
  • Verschlüsselung in der Ablage (Backups) - 256-Bit-AES, Integrität geprüft mit HMAC-SHA256, Verschlüsselung clientseitig vor der Übertragung
  • Passwort-Handling - bcrypt mit Salting; Zwei-Faktor-Authentifizierung Pflicht im Backoffice, im Shopsystem konfigurierbar
  • Zugangs- und Zugriffskontrolle - dokumentiertes Rollen- und Berechtigungskonzept, Festplattenverschlüsselung auf Mitarbeiter-Geräten, Zutrittskontrolle und Protokollierung im Büro
  • Last- und Angriffsfeste Plattform - regelmäßige Penetrationstests, automatisierte Tests der Kernprozesse
  • Geschultes Personal - jährliche Datenschutzschulungen aller Mitarbeitenden durch einen externen, auf Datenschutz spezialisierten Rechtsanwalt

Die vollständigen TOMs sind Bestandteil des AVV-Anhangs. Wesentliche Änderungen werden den Verantwortlichen vorab mitgeteilt.

6.5 Speicherdauer und Löschkonzept

Speicherfristen auf der Plattform sind pro Datenklasse konfigurierbar (z.B. Shop-Gast mit Bestellung, Jahreskarten-Personalisierung, Widget-Kunde) und mit sinnvollen Standardeinstellungen vorbelegt. Verantwortliche definieren die Fristen passend zu ihren rechtlichen und betrieblichen Anforderungen; bei fehlender Eigen-Definition greifen die Standardfristen. Die Plattform unterstützt automatische, fristbasierte Löschung nativ.

6.6 Datenpannen-Meldung

Im Fall einer Datenpanne handeln wir nach der gesetzlichen Meldepflicht aus Art. 33/34 DSGVO. Der interne Eskalationspfad - zentrales Postfach, externer Datenschutzbeauftragter und Geschäftsführung rund um die Uhr erreichbar - ist darauf ausgelegt, die gesetzliche 72-Stunden-Frist einzuhalten. Verantwortliche werden über betreffende Vorfälle unverzüglich informiert; jeder Vorfall wird Ende-zu-Ende dokumentiert.

6.7 Zertifizierungen

Unser Hosting-Partner Hetzner betreibt die Rechenzentrums-Infrastruktur nach ISO 27001 (Hetzner Zertifizierungen). Eine eigene ISO-27001-Zertifizierung der Giant Monkey GmbH ist in Vorbereitung; aktuell sind wir nicht zertifiziert. Über den Fortschritt informieren wir an dieser Stelle. Für spezifische Vergabeanforderungen erreichst du uns über sales@giantmonkey.de.

6.8 Betroffenenrechte auf der Plattform

Betroffenenrechte nach Art. 15-22 DSGVO werden durch die Verantwortlichen bearbeitet, mit unserer Unterstützung. Der AVV verpflichtet uns, betreffende Datensätze auf Anforderung in einem strukturierten, gängigen und maschinenlesbaren Format innerhalb von 5 Werktagen bereitzustellen, sofern die Anfrage einen Datenübertragbarkeits-Fall nach Art. 20 DSGVO auslöst.

6.9 Datenschutzbeauftragter

Unser externer Datenschutzbeauftragter ist auch für plattformseitige Datenschutzfragen zuständig:

Marco Köhler, LL.M. (KI Datenschutz & Compliance)
Friedrichstraße 63
10117 Berlin
Telefon: +49 30 20644496
E-Mail: datenschutz@giantmonkey.de