Datenschutzerklärung

Die SurgeTix AG nimmt den Schutz personenbezogener Daten ernst. Diese Datenschutzerklärung erläutert, wie wir personenbezogene Daten erheben, verwenden, speichern und schützen, wenn Festival-Veranstalter unsere Plattform nutzen und wenn Besucher Tickets über unsere Infrastruktur kaufen.

1. Unsere doppelte Rolle bei der Datenverarbeitung

SurgeTix agiert je nach betroffenen Daten in zwei verschiedenen Funktionen. Für Kontodaten von Festival-Veranstaltern handeln wir als Verantwortlicher. Dies umfasst die Informationen, die Sie bei der Kontoerstellung angeben, Kontaktdaten Ihrer Organisation, Abrechnungs- und Zahlungsinformationen sowie Plattformnutzungsdaten.

Für Besucherdaten (Ticketkäufer) handelt SurgeTix strikt als Auftragsverarbeiter im Auftrag des Festival-Veranstalters, der Verantwortlicher bleibt. Wir verarbeiten Besucherdaten ausschliesslich gemäss den Anweisungen des Festival-Veranstalters und zum Zweck der Erbringung von Ticketing-Diensten. Wir nutzen Besucherdaten nicht für eigene Marketingzwecke.

2. Daten, die wir erheben

Von Festival-Veranstaltern erheben wir: Name und Kontaktinformationen, Organisationsdetails, Rechnungsadresse, Zahlungsmethodendetails (verwaltet vom gewählten Acquirer des Festival-Veranstalters – Stripe oder Datatrans – nie auf SurgeTix-Systemen gespeichert) und Plattformnutzungsanalysen.

Von Besuchern (im Auftrag von Festival-Veranstaltern) verarbeiten wir: Name und E-Mail-Adresse, Ticketkaufdetails, Zahlungstokens (ausgestellt vom Acquirer des Festival-Veranstalters – Stripe oder Datatrans; sensible Kartendaten gelangen nie auf SurgeTix-Server) und Wallet-Pass-Kennungen. Wir erheben oder speichern keine vollständigen Kreditkartennummern, CVV-Codes oder andere sensible Zahlungsdaten.

3. Datenspeicherung & Sicherheit

Alle Daten werden in sicheren, EU-basierten Rechenzentren mit Sicherheitsmassnahmen auf Unternehmensniveau gespeichert, einschliesslich Verschlüsselung im Ruhezustand und bei der Übertragung, regelmässigen Sicherheitsaudits und strengen Zugriffskontrollen. Unsere Infrastruktur entspricht den Anforderungen sowohl der DSGVO als auch des Schweizer Datenschutzgesetzes (DSG/nDSG).

4. Datenweitergabe an Dritte

Wir teilen Daten nur mit wesentlichen Dienstleistern, die für die Bereitstellung unserer Plattform erforderlich sind, einschliesslich unserem Hosting-Anbieter und transaktionalen E-Mail-Dienst. Die Kartenabwicklung erfolgt durch den vom Festival-Veranstalter gewählten Acquirer (Stripe oder Datatrans) unter dessen eigener Händlervereinbarung, nicht als Unterauftragsverarbeiter von SurgeTix. Mit allen SurgeTix-Unterauftragsverarbeitern haben wir Auftragsverarbeitungsvereinbarungen abgeschlossen.

Wir verkaufen keine Daten. Wir betreiben kein Marketing gegenüber Ihren Besuchern. Ihr Publikum gehört Ihnen.

5. Cookies & Tracking

Unsere Plattform verwendet essenzielle Cookies, die für Authentifizierung und Sitzungsverwaltung erforderlich sind. Wir nutzen datenschutzfreundliche Analysen, um die Plattformnutzung zu verstehen. Wir verwenden keine Werbe-Cookies von Drittanbietern oder Cross-Site-Tracking-Technologien.

6. Ihre Rechte

Nach DSGVO und Schweizer Recht haben Sie das Recht auf Zugang zu Ihren personenbezogenen Daten, Berichtigung unrichtiger Daten, Löschung Ihrer Daten, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch gegen die Verarbeitung. Festival-Veranstalter können diese Rechte über ihre Kontoeinstellungen oder durch Kontaktaufnahme mit uns ausüben. Besucher sollten sich an den Festival-Veranstalter wenden, der ihre Daten kontrolliert, und dieser koordiniert dann bei Bedarf mit uns.

7. Datenspeicherung

Wir bewahren Daten von Festival-Veranstaltern auf, solange Ihr Konto aktiv ist und danach für einen Zeitraum, wie es das anwendbare Recht erfordert (typischerweise sieben Jahre für Finanzunterlagen). Besucherdaten werden gemäss den Anweisungen des Festival-Veranstalters und den geltenden gesetzlichen Anforderungen aufbewahrt.

8. Sicherheitsmassnahmen

Wir implementieren angemessene technische und organisatorische Massnahmen zum Schutz personenbezogener Daten, einschliesslich TLS-Verschlüsselung für alle Daten während der Übertragung, AES-256-Verschlüsselung für ruhende Daten, regelmässiger Penetrationstests und Sicherheitsaudits, rollenbasierter Zugriffskontrollen und Verfahren zur Reaktion auf Vorfälle.

9. SurgeTix Gatekeeper Mobile-App

Die SurgeTix Gatekeeper iOS-App wird vom Einlasspersonal der Festival-Veranstalter verwendet, um beim Eintritt QR-Codes der Besucher zu scannen. Die App authentifiziert sich gegenüber dem SurgeTix-Mandanten des Festival-Veranstalters und übernimmt die oben beschriebenen Datenverarbeitungsbeziehungen.

Der Kamerazugriff wird ausschliesslich angefordert, um QR-Codes auf Papiertickets oder in Apple Wallet zu dekodieren. Es werden niemals Kamerabilder, Fotos oder Videos gespeichert, übertragen oder hochgeladen. Der QR-Decoder läuft vollständig auf dem Gerät; nur die dekodierten Ticket-Daten erreichen unsere Server zur Validierung.

Authentifizierungs-Tokens werden im iOS-Schlüsselbund über die Secure-Store-API von Apple gespeichert und sind auf das Gerät beschränkt. Mehr-Faktor-Authentifizierungscodes werden gegen das TOTP-Geheimnis des Festival-Veranstalters auf unseren Servern validiert; biometrische Daten verlassen das Gerät nie. Die App enthält keine Analyse-, Werbe- oder Tracking-SDKs von Drittanbietern.

10. Änderungen dieser Richtlinie

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren. Die aktualisierte Richtlinie wird mit dem Revisionsdatum auf unserer Website veröffentlicht.