Data protection

Einleitung

Mit dieser Datenschutzerklärung möchten wir dich darüber aufklären, welche Arten deiner
personenbezogenen Daten wir zu welchen Zwecken und in welchem Umfang verarbeiten.
Die Erklärung gilt für alle von uns durchgeführten Verarbeitungen personenbezogener
Daten, sowohl im Rahmen unserer Leistungen als auch insbesondere auf unserer Website,
in unserer Anmelde-App sowie in unseren Social-Media-Profilen.

Neben der DSGVO gelten in Österreich nationale Datenschutzvorgaben, insbesondere das
Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener
Daten (Datenschutzgesetz – DSG). Das DSG enthält Spezialregelungen u.a. zum
Auskunftsrecht, zur Verarbeitung besonderer Kategorien personenbezogener Daten und zur
automatisierten Entscheidungsfindung.

‍

1. Verantwortlicher

hausgemacht – feministischer Kulturverein zur Förderung von Lust, Körperakzeptanz und
Konsens

Lenneisgasse 5/1, 1140 Wien I ZVR: 1598407315

E-Mail: datenschutz@hausgemacht.org

‍

2. Übersicht der Verarbeitungen

Wir verarbeiten personenbezogene Daten in folgenden Bereichen:
‍
● Website-Betrieb
● E-Mail-Kommunikation und Newsletter
● Kontaktanfragen
● Ticketkauf
● Veranstaltungsbewerbung
● Zugangsverwaltung für Veranstaltungen
● Fotocorner bei Veranstaltungen
● Mitgliederverwaltung
● Stammgästeverwaltung
● LiveActs/Workshops
‍

‍

3. Website

Kategorien an personenbezogenen Daten:
‍Unsere Website wird über Webflow, Inc. (398 11th St., San Francisco, CA 94103, USA)
gehostet. Beim Besuch der Website werden Serverlogfiles erfasst, darunter IP-Adressen,
Browsertyp, aufgerufene Seiten und Zugriffszeiten.

‍
‍Rechtsgrundlagen und Verarbeitungszweck:
‍● Logfiles und notwendige Cookies: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse:
stabiler Websitebetrieb und Sicherheit)
● Nicht notwendige Cookies: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)‍

Dauer der Datenspeicherung:
‍Logfiles werden für maximal 30 Tage gespeichert und danach gelöscht oder anonymisiert.
Die Daten werden auf Servern in den USA gespeichert.

‍Empfänger der Daten (inkl. Auftragsverarbeitung):
Die Datenübertragung in die USA erfolgt auf Basis des EU-U.S. Data Privacy Frameworks
(DPF), für das Webflow zertifiziert ist, sowie ergänzend auf Basis der
Standardvertragsklauseln der EU-Kommission (SCC). Ein Auftragsverarbeitungsvertrag
(AVV) besteht. Weitere Details findest du in der Webflow Privacy Policy unter
webflow.com/legal/privacy.

‍Cookies:
Webflow setzt technisch notwendige Cookies ein, die für die Darstellung und
Funktionsfähigkeit der Website erforderlich sind. Für diese Cookies ist keine Einwilligung
erforderlich. Weitere, nicht notwendige Cookies, setzen wir nur nach deiner Einwilligung
ein.

Auftragsverarbeiter:
Webflow, Inc. (398 11th St., San Francisco, CA 94103, USA

‍

4. E-Mail-Kommunikation

Kategorien an personenbezogenen Daten:
‍Wir versenden über Brevo transaktionelle E-Mails (Login-Links, Bewerbungsergebnisse,
Eventeinladungen für Stammgäste) sowie unseren Newsletter. Abseits deiner E-Mail kannst
du auch optional deinen Vornamen eingeben.

Rechtsgrundlagen und Verarbeitungszweck:
‍● Transaktionelle E-Mails: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
● Newsletter: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
● Werbung: Art 6 Abs 1 lit f DSGVO (berechtigtes Interesse: Werbung)

‍Dauer der Datenspeicherung:
‍Diese Daten werden gelöscht, wenn das Konto gelöscht wird oder du dich von dem
Newsletter System abmeldest.

‍Newsletter abbestellen:
Du kannst den Newsletter jederzeit über den Abmeldelink in jeder
E-Mail oder per E-Mail an datenschutz@hausgemacht.org abbestellen.

‍Empfänger der Daten (inkl. Auftragsverarbeitung):
Ein Auftragsverarbeitungsvertrag (AVV) mit Brevo SAS besteht. Es kommt zu keiner
Drittlandübermittlung (EU-Hosting).‍

Auftragsverarbeiter:
Brevo SAS, 7 rue de Madrid, 75008 Paris, Frankreich.

‍

5. Kontaktanfragen

Kategorien an personenbezogenen Daten:
Wenn du uns per E-Mail oder über unser Kontaktformular kontaktierst, verarbeiten wir die
jeweils von dir gemachten Angaben (also Email-Adresse, Name und allenfalls weitere von
dir angegebene Daten) zur Bearbeitung deines Anliegens.
‍

‍Rechtsgrundlagen und Verarbeitungszweck:
‍● Vorvertragliche Anfrage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

‍Dauer der Datenspeicherung:
‍Daten aus Kontaktanfragen löschen wir, sobald die Anfrage abschließend bearbeitet ist und
keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

‍

6. Ticketkauf (Pretix)

Kategorien an personenbezogenen Daten:
Für den Kauf und die Verwaltung von Veranstaltungstickets nutzen wir Pretix. Dabei werden
Name, E-Mail-Adresse und Zahlungsdaten verarbeitet.

Rechtsgrundlagen und Verarbeitungszweck:
● Verwaltung von Veranstaltungstickets Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Dauer der Datenspeicherung:
‍Entsprechend gesetzlicher Aufbewahrungspflichten (Buchhaltung: 7 Jahre)

Empfänger der Daten (inkl. Auftragsverarbeitung):
‍Ein Auftragsverarbeitungsvertrag (AVV) mit Pretix GmbH besteht. Es kommt zu keiner
Drittlandübermittlung (EU-Hosting).

‍Auftragsverarbeiter:
pretix GmbH, Vattmannstraße 1, 33100 Paderborn, Deutschland.

‍

7. Veranstaltungsbewerbung

‍Kategorien an personenbezogenen Daten:
‍Wir erheben Name, E-Mail-Adresse, Altersgruppe, Pronomen sowie Antworten auf
wertebasierte Freitext-Fragen und Multiple-Choice-Fragen zu Allgemeinwissen und
Veranstaltungsverhalten.

‍Besondere Kategorien (Art. 9 DSGVO):
Die Freitext-Fragen beziehen sich auf Wertehaltungen und Verhalten. Du kannst in deinen Antworten freiwillig Angaben machen, die unter Umständen unter besonder Kategorien personenbezogener Daten (insb. „Sexualleben" gem. Art. 9 Abs. 1 DSGVO) fallen können. Dies ist jedoch nicht verpflichtend und wird auch nicht erwartet.

Wie wir mit deinen Daten umgehen:
Deine Freitextantworten wurden vom System automatisch von deinen Stammdaten getrennt und pseudonymisiert weitergegeben – bewertet wird ausschließlich der Text, ohne jegliche Zuordnung zu einer Person.

‍Rechtsgrundlagen und Verarbeitungszweck:
Für unsere Veranstaltungsreihe ZusammenKommen betreiben wir ein digitales Bewerbungsverfahren. Zweck ist die Sicherstellung, dass Gäste unsere Werte – insbesondere Konsens, Respekt und den Schutz eines SafeR Spaces für FLINTA*-Personen – kennen und teilen

● Stammdaten: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahme)
● Freitextantworten : Art 6 Abs 1 lit a und Art. 9 Abs. 2 lit. a DSGVO (Einwilligung)

Wenn du deine Einwilligung widerrufen möchtest, kannst du dein Profil jederzeit selbst über
dein Nutzerkonto löschen oder uns unter datenschutz@hausgemacht.org‍

Dauer der Datenspeicherung:
Nach Versand der Entscheidung über die Bewerbung und Veranstaltungsende werden deine
Freitexte spätestens nach 4 Wochen gelöscht. Deine Stammdaten werden nach 3 Monaten
ab letzter Aktivität vollständig gelöscht, sofern du nicht als Stammgast ("Bestie") einwilligst.‍

Empfänger der Daten (inkl. Auftragsverarbeitung):
Wir nutzen Cloudflare, Inc. (101 Townsend St., San Francisco, CA 94107, USA) als Hosting-
Dienstleister. Cloudflare verarbeitet Daten in Rechenzentren weltweit, darunter in der EU.
Die Datenübertragung in die USA erfolgt auf Basis des EU-U.S. Data Privacy Frameworks
(DPF), für das Cloudflare zertifiziert ist, sowie auf Basis der Standardvertragsklauseln der
EU-Kommission (SCC). Ein Auftragsverarbeitungsvertrag (AVV) besteht.

‍Auftragsverarbeiter:
Cloudflare, Inc. (101 Townsend St., San Francisco, CA 94107, USA)

‍

8 . Zugangsverwaltung für Veranstaltungen

Kategorien an personenbezogenen Daten:
Führung einer Liste von Personen, denen der Zutritt zu unseren Veranstaltungen nicht
gewährt wird. Es werden der Name sowie die E-Mail-Adresse der Person sowie eine kurze
Beschreibung des Vorfalls selbst (Verhalten der Person) hierfür verarbeitet.‍

Rechtsgrundlagen und Verarbeitungszweck:
Zum Schutz unserer Gäste und zur Aufrechterhaltung eines sicheren
Veranstaltungsrahmens führen wir eine interne Liste von Personen, denen der Zutritt zu
unseren Veranstaltungen nicht gewährt wird. Grundlage dafür sind geprüfte Meldungen über
Verstöße gegen unsere Hausregeln (u.a. Übergriffe, Belästigungen). Zugriff auf diese Daten
haben ausschließlich die dafür zuständigen Vereinsmitglieder.

Wir informieren alle Personen, die in die Liste aufgenommen werden, gem. Art. 14 DSGVO
über die Verarbeitung ihrer Daten. Diese Mitteilung erfolgt unverzüglich, spätestens jedoch
innerhalb eines Monats nach Aufnahme in die Liste; ein Aufschub innerhalb dieser Frist
gem. Art. 14 Abs. 3 lit. b DSGVO erfolgt nur dann, wenn dies für die interne Prüfung des
Vorfalls erforderlich ist.

● Erhebung der Daten und Führung der Liste: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes
Interesse: Schutz der Gäste, Aufrechterhaltung SafeR Space)
● Gewährleistung eines SafeR Space + Ausschluss von Personen, ist für
Vertragserfüllung notwendig: Art 6 Abs 1 lit b DSGVO: (Schutz- und
Sorgfaltspflichten)

‍Dauer der Datenspeicherung:
Die Daten werden nach Ablauf der Prüfung des Vorfalls und nachdem die Hausverbot-
Sperre aufgehoben wurde gelöscht.

‍

9. Fotocorner bei Veranstaltungen

‍Kategorien an personenbezogenen Daten:
Auf unseren Veranstaltungen bieten wir einen freiwilligen Fotocorner an. Du kannst dich
aktiv anmelden, indem du dein Ticket scannst oder deine E-Mail-Adresse eingibst. Die Fotos
werden ausschließlich an dich und die Personen gesendet, die sich gemeinsam mit dir für
denselben Zeitslot eingetragen haben. Eine Veröffentlichung findet nicht statt.

‍Besondere Kategorien (Art. 9 DSGVO):
Da unsere Veranstaltungen sex-positiven
Charakter haben, können Lichtbilder Informationen enthalten, die unter Art. 9 Abs. 1 DSGVO
fallen.

‍Rechtsgrundlagen und Verarbeitungszweck:
‍● Aufnahme von Fotos, Eingabe der E-Mail Adresse zur Registrierung und Empfang
der Fotoaufnahme Art. 6 Abs. 1 lit. a und Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche
Einwilligung)

‍Dauer der Datenspeicherung:
‍Nach 3 Wochen werden die Fotos vollständig von unseren Systemen gelöscht.
Durch deine aktive Anmeldung am Fotocorner (Ticket-Scan oder E-Mail-Eingabe) erteilst
du deine ausdrückliche Einwilligung gem. Art. 9 Abs. 2 lit. a DSGVO.

‍

10. Mitgliederverwaltung

Kategorien an personenbezogenen Daten:
‍Es werden Name, Pronomen, E-Mail-Adresse, Postadresse, Telefonnummer optional,
Funktionen im Verein, Mitgliedsbeitragsstatus, Aktivitätsprotokoll (Teilnahme an
Stammtischen, Schichten etc.) interne Kommunikation für die Vereinsverwaltung gem.
Vereinsgesetz in einem Mitgliederverzeichnis gespeichert.

Die interne Kommunikation erfolgt über Google Workspace und Slack.

‍Rechtsgrundlagen und Verarbeitungszweck:
● Führung eines Mitgliederverzeichnisses Art. 6 Abs. 1 lit. b (Vertragserfüllung) und Art
6 Abs 1 lit c (Vereinsgesetz).
● Interne Kommunikation Art 6 Abs 1 lit b (Vertragserfüllung)

Dauer der Datenspeicherung:
Wir löschen Mitgliedsdaten, sobald sie für die satzungsmäßigen Zwecke nicht mehr
erforderlich sind, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

‍

11. Stammgästeverwaltung

‍Kategorien an personenbezogenen Daten:
Es werden Name, E-Mail-Adresse, Altersgruppe, Pronomen; Punkteanzahl aus
Erstbewerbung, Teilnahmehistorie in einem Stammgästeverzeichnis gespeichert.

‍Rechtsgrundlagen und Verarbeitungszweck:
● Führung eines Stammgästeverzeichnisses Art. 6 Abs. 1 lit. b (Vertragserfüllung)
● Art 6 Abs 1 lit a DSGVO (Einwilligung zu verlängerten Speicherung)‍

Dauer der Datenspeicherung:
Wir löschen die Daten, sobald das Stammgastkonto gelöscht/deaktiviert wird.
‍

12. Live Acts/Workshops

Kategorien an personenbezogenen Daten:
Es werden Name, Kontaktdaten, Zahlungsdaten verarbeitet.‍

Rechtsgrundlagen und Verarbeitungszweck:
● Abwicklung Dienstleistungsvertrag Art. 6 Abs. 1 lit. b (Vertragserfüllung)

Dauer der Datenspeicherung:
Speicherung für die Dauer der Vertragsabwicklung; gesetzlichen Aufbewahrungspflichten (Buchhaltung: 7 Jahre).

‍

13. Löschung von Daten

Wir löschen personenbezogene Daten, sobald der Zweck der Verarbeitung entfallen ist und
keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Soweit Daten nicht gelöscht
werden können, weil sie aus rechtlichen Gründen aufbewahrt werden müssen, wird ihre
Verarbeitung auf diesen Zweck beschränkt. Die spezifischen Speicherfristen der einzelnen
Verarbeitungen sind in den jeweiligen Abschnitten dieser Erklärung angegeben.

‍

14. Deine Rechte + Beschwerdemöglichkeit

Du hast folgende Rechte gegenüber uns:

● Auskunft (Art. 15): Welche Daten wir über dich speichern
● Berichtigung (Art. 16): Korrektur unrichtiger Daten
● Löschung (Art. 17): Löschung deiner Daten
● Einschränkung (Art. 18): Einschränkung der Verarbeitung
● Datenübertragbarkeit (Art. 20): Herausgabe deiner Daten in maschinenlesbarem
Format
● Widerspruch (Art. 21): Widerspruch gegen Verarbeitungen auf Basis berechtigter
Interessen

Self-Service: Im Nutzerprofil kannst du deine Daten jederzeit herunterladen oder löschen.
Kontakt: datenschutz@hausgemacht.org

Du hast außerdem das Recht, dich bei der österreichischen Datenschutzbehörde zu
beschweren: Datenschutzbehörde, Barichgasse 40–42, 1030 Wien, dsb@dsb.gv.at.

‍

15. Sicherheitsmaßnahmen

Wir treffen technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes
Schutzniveau zu gewährleisten. Dazu gehören insbesondere: Verschlüsselung (at rest und
in transit / HTTPS), Zwei-Faktor-Authentifizierung für Admin-Zugänge, rollenbasierter
Datenzugriff, Audit-Protokollierung und automatische Backups. Wir berücksichtigen den
Datenschutz bereits bei der Entwicklung und Auswahl unserer Systeme (Privacy by Design).

‍

16. Änderungen dieser Datenschutzerklärung

Wir passen diese Erklärung bei Änderungen unserer Verarbeitungen an und informieren
dich bei wesentlichen Änderungen, sofern eine Mitwirkung deinerseits (z.B. erneute
Einwilligung) erforderlich wird.

‍

‍