Datenschutzerklärung

Die Bono & Partner GmbH, Rosenberggürtel 34a, AT-8010 Graz, FN 596076 h (nachfolgend „Verantwortliche", „wir" oder „uns") betreibt die unter www.promnight.at abrufbare Plattform promnight.at, eine Entdeckungs- und Informationsplattform für Maturabälle in Österreich.

Der Schutz Ihrer personenbezogenen Daten ist uns ein zentrales Anliegen. Diese Datenschutzerklärung informiert Sie gemäß Art. 13 und Art. 14 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, nachfolgend „DSGVO") vollständig und transparent darüber, welche personenbezogenen Daten wir im Zusammenhang mit dem Betrieb der Plattform erheben, zu welchem Zweck und auf welcher Rechtsgrundlage wir diese verarbeiten, wie lange wir sie speichern und an wen wir sie gegebenenfalls weitergeben.

Diese Datenschutzerklärung gilt für alle Nutzerinnen und Nutzer der Plattform, d.h. sowohl für Besucher der Webseite (nachfolgend „Besucher") als auch für Komitees, die sich auf der Plattform registrieren (nachfolgend „Komitee-Mitglieder").

Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO ist:

Bei Fragen oder Anliegen zum Datenschutz wenden Sie sich bitte schriftlich oder per E-Mail an die oben genannte Adresse.

„Personenbezogene Daten" alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Eine Person gilt als identifizierbar, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung einer Kennung wie eines Namens, einer Kennnummer, einer Online-Kennung oder einer oder mehrerer Merkmale identifiziert werden kann.

„Verarbeitung" jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang im Zusammenhang mit personenbezogenen Daten, etwa das Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Offenlegen, Übermitteln, Verbreiten oder Löschen (Art. 4 Nr. 2 DSGVO).

„Auftragsverarbeiter" eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Nr. 8 DSGVO).

„Einwilligung" jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung (Art. 4 Nr. 11 DSGVO).

Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person einholen, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage.

Bei der Verarbeitung von personenbezogenen Daten, die zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, erforderlich ist, dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind.

Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der unser Unternehmen unterliegt, dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage.

Ist die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines Dritten erforderlich und überwiegen die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person das erstgenannte Interesse nicht, so dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage für die Verarbeitung.

Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre personenbezogenen Daten gegen zufällige oder vorsätzliche Manipulationen, Verlust, Zerstörung oder den Zugriff unberechtigter Personen zu schützen. Unsere Sicherheitsmaßnahmen werden entsprechend der technologischen Entwicklung kontinuierlich verbessert.

Die Übertragung von Daten zwischen Ihrem Browser und unseren Servern erfolgt ausschließlich über verschlüsselte TLS/SSL-Verbindungen (HTTPS). Im Produktivbetrieb wird durch eine Content Security Policy (CSP) die ausschließliche Nutzung verschlüsselter Verbindungen technisch erzwungen.

Die eingesetzte Datenbankinfrastruktur (Supabase/PostgreSQL) ist durch Row Level Security (RLS) abgesichert. Jede Datentabelle ist mit differenzierten Zugriffsrichtlinien versehen, sodass Nutzerinnen und Nutzer sowie serverseitige Prozesse ausschließlich auf die ihnen zugeordneten Datensätze zugreifen können. Serverseitige Datenbankzugriffe, die erhöhte Privilegien erfordern, werden ausschließlich über einen dedizierten Service-Client abgewickelt, der nie im Browser des Nutzers ausgeführt wird.

Alle öffentlich zugänglichen API-Endpunkte der Plattform unterliegen einer expliziten Spalten-Allowlist. Sensible Felder wie Gutscheincodes, Inhaber-E-Mail-Adressen und interne Mitglieder-IDs werden in keiner öffentlichen API-Antwort zurückgegeben.

Einige der von uns eingesetzten Auftragsverarbeiter haben ihren Sitz in den Vereinigten Staaten von Amerika (USA). In diesen Fällen stellen wir sicher, dass die Übermittlung personenbezogener Daten in das Drittland auf geeignete Garantien gestützt ist, insbesondere auf die von der Europäischen Kommission genehmigten Standarddatenschutzklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Die betroffenen Auftragsverarbeiter sind im Einzelnen in Abschnitt C dieser Datenschutzerklärung aufgeführt.

Beim bloßen Aufrufen unserer Webseite – d.h. ohne dass Sie sich registrieren oder uns anderweitig Informationen übermitteln – werden automatisch technische Zugriffsdaten verarbeitet, die Ihr Browser an unseren Hosting-Dienstleister (Vercel Inc.) übermittelt. Dies sind:

• –IP-Adresse des anfragenden Endgeräts
• –Datum und Uhrzeit des Zugriffs
• –Aufgerufene URL sowie ggf. Referrer-URL
• –Browsertyp und -version
• –Betriebssystem und Gerätetyp
• –HTTP-Statuscode der Antwort

Diese Daten werden in Server-Logfiles gespeichert. Eine Zusammenführung dieser Daten mit anderen Datenquellen findet nicht statt.

Zweck: Gewährleistung des technischen Betriebs der Webseite, Sicherstellung der Sicherheit der informationstechnischen Systeme sowie Fehlerdiagnose.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht im ordnungsgemäßen und sicheren Betrieb der Plattform.

Speicherdauer: Server-Logfiles werden für einen Zeitraum von bis zu 30 Tagen gespeichert und anschließend automatisch gelöscht, sofern kein konkreter Anlass zur längeren Speicherung (z.B. Sicherheitsvorfall) besteht.

Wenn Sie die Filterfunktion „In der Nähe" aktivieren, liest unsere Plattform den vom Hosting-Dienstleister Vercel bereitgestellten HTTP-Request-Header „x-vercel-ip-city" aus. Dieser Header enthält eine ungefähre Stadtbezeichnung, die aus Ihrer IP-Adresse abgeleitet wurde.

Diese Stadtbezeichnung wird ausschließlich für die Dauer der Anfrage verarbeitet, um Ihnen räumlich nahegelegene Bälle anzuzeigen, und wird nicht in der Datenbank gespeichert. Nach Deaktivierung des Filters wird der Wert im Anwendungsspeicher zurückgesetzt.

Zweck: Darstellung geographisch relevanter Suchergebnisse.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht in der Verbesserung der Nutzbarkeit der Plattform.

Speicherdauer: Keine dauerhafte Speicherung. Die Verarbeitung endet mit dem Abschluss der jeweiligen HTTP-Anfrage.

Wenn Sie einen Ball über die Herzschaltfläche speichern (Funktion „Meine Liste") oder über die Schaltfläche „Ich geh auch!" Interesse an einer Veranstaltung bekunden, wird zur Zuordnung dieser Aktion eine anonyme Session-ID verwendet.

Die Session-ID wird im Browser des Nutzers gespeichert und enthält keine personenbezogenen Daten. Es ist kein Nutzerkonto erforderlich. Die Session-ID dient ausschließlich dazu, Mehrfachinteraktionen desselben Nutzers zu verhindern und dem Nutzer seine gespeicherten Bälle in der Funktion „Meine Liste" anzuzeigen.

Zweck: Bereitstellung der Merklistenfunktion und der Interessiert-Zählung ohne Registrierungspflicht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht in der Bereitstellung grundlegender Plattformfunktionen für nicht registrierte Besucher.

Speicherdauer: Ball-Saves und Interessiert-Markierungen werden für die Dauer der Browser-Session gespeichert. Eine datenbankgestützte Speicherung der Session-ID und der zugehörigen Zuordnungen endet spätestens 365 Tage nach der letzten Aktivität.

Beim Aufruf einer Ball-Detailseite (z.B. /events/[slug]) wird in der Datenbank ein anonymer Logeintrag gespeichert. Dieser enthält ausschließlich die interne Ball-ID sowie das Datum des Abrufs. Es werden keine personenbezogenen Daten, insbesondere keine IP-Adressen, erfasst.

Diese Logs werden ausschließlich zur wöchentlichen Berechnung von Nutzungsstatistiken (Ball-Charts, Aufrufsstatistiken im Komitee-Dashboard) verwendet.

Zweck: Bereitstellung aggregierter Nutzungsstatistiken für Komitees sowie Berechnung der wöchentlichen Ball-Charts.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht in der Bereitstellung aussagekräftiger Nutzungsstatistiken für Komitees sowie im Betrieb des Chart-Features als zentralem Nutzerengagement-Element der Plattform.

Speicherdauer: Aufrufs-Logs werden für einen rollierenden Zeitraum von 30 Tagen vorgehalten und anschließend automatisch gelöscht.

Ohne Erstellung eines Nutzerkontos können Besucher für einen bestimmten Ball eine Erinnerungs-E-Mail anfordern. Dabei erheben wir:

• –E-Mail-Adresse
• –Gewünschter Erinnerungstyp (7 Tage vor dem Ball, 1 Tag vor dem Ball oder Ticket-Alert bei Verfügbarkeit von Tickets)
• –Interne Ball-ID

Die E-Mail-Adresse wird ausschließlich zum Versand der angefragten Erinnerungs-E-Mail verwendet und nicht für andere Zwecke genutzt.

Versendete E-Mail-Typen über diesen Kanal:

• –Erinnerung 7 Tage vor dem Ball (Reminder7dEmail)
• –Erinnerung 1 Tag vor dem Ball (Reminder1dEmail)
• –Ticket-Alert bei Statuswechsel auf „verfügbar" (TicketAlertEmail)

Zweck: Versand der angefragten Erinnerungs-E-Mails an Besucher.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Einwilligung kann jederzeit widerrufen werden. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.

Speicherdauer: Die E-Mail-Adresse und der zugehörige Eintrag werden nach dem Versand der letzten Erinnerung, spätestens unmittelbar nach dem jeweiligen Veranstaltungsdatum, aus dem System entfernt.

Wenn ein Komitee die Funktion der Ticket-Vormerkung aktiviert hat, können Besucher eine unverbindliche Ticket-Reservierung vornehmen. Dabei erheben wir folgende Daten:

• –Vorname und Nachname
• –E-Mail-Adresse
• –Gewünschte Ticketanzahl (1 bis 4 Tickets)
• –Optionale Notiz

Diese Daten werden zur Verwaltung der Reservierung gespeichert und sind für das zugehörige Komitee über das Dashboard einsehbar und verwaltbar. Nach erfolgreicher Reservierung erhalten Sie eine Bestätigungs-E-Mail (ReservationConfirmation), das Komitee erhält eine entsprechende Benachrichtigung.

Die Funktion der Ticket-Reservierung ist ein reines Vormerksystem ohne Zahlungsabwicklung. Es findet kein Zahlungsvorgang statt.

Zweck: Durchführung und Verwaltung der Ticket-Vormerkung sowie Benachrichtigung von Besucher und Komitee.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Durchführung vorvertraglicher Maßnahmen auf Anfrage der betroffenen Person).

Speicherdauer: Reservierungsdaten werden für die Dauer des administrativen Prozesses bis zur Veranstaltung vorgehalten. Eine automatische Löschung erfolgt nach Abschluss des Vorgangs. Sofern gesetzliche Aufbewahrungspflichten bestehen, werden die Daten für den jeweils gesetzlich vorgeschriebenen Zeitraum gespeichert und danach gelöscht.

Komitees können sich auf der Plattform registrieren, um ihren Maturaball einzutragen oder einen bestehenden Eintrag zu beanspruchen (Claim). Im Rahmen der Registrierung erheben und verarbeiten wir folgende Daten:

• –Vorname und Nachname
• –E-Mail-Adresse
• –Passwort (wird ausschließlich als verschlüsselter Hash gespeichert; das Klartextpasswort wird von uns niemals gespeichert)
• –Schulname
• –Instagram-Handle des Komitees (für das Verifizierungsverfahren erforderlich, siehe B.8)

Die Registrierung erfordert eine Bestätigung der E-Mail-Adresse über einen Bestätigungslink. Bis zur Bestätigung ist der Zugang zum Dashboard gesperrt. Die Authentifizierung und Sitzungsverwaltung erfolgt über Supabase Auth.

Zweck: Erstellung und Verwaltung des Komitee-Kontos, Ermöglichung des Zugangs zum Dashboard, Verwaltung des Balleintrags.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bzw. vorvertragliche Maßnahmen).

Speicherdauer: Kontodaten werden für die Dauer der aktiven Nutzung des Kontos gespeichert. Auf Anfrage zur Kontolöschung werden die Daten in folgender Reihenfolge aus dem System entfernt: (1) abhängige Reservierungsdatensätze, (2) Mitglieds-Eintrag in der Datenbank, (3) Inhaber-Referenzen im Balleintrag, (4) Authentifizierungs-Account. Die Löschung erfolgt vollständig, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Nach der Registrierung oder nach dem Beanspruchen eines bestehenden Balleintrags (Claim) wird ein Verifizierungsverfahren durchgeführt, um die Authentizität des Komitees zu bestätigen. Im Rahmen dieses Verfahrens werden folgende Daten verarbeitet:

• –Instagram-Handle des Komitees
• –Systemseitig generierter Verifizierungscode (Format: PN-XXXXX)
• –Anfrage-Typ (Neueintrag oder Claim)
• –Verifizierungsstatus (ausstehend / verifiziert / abgelehnt)

Der Verifizierungscode wird dem Komitee-Mitglied per E-Mail mitgeteilt (VerificationPendingEmail). Das Komitee übermittelt diesen Code als Instagram-Direktnachricht an das offizielle Konto @promnight.at. Nach manueller Prüfung und Freigabe durch den Administrator wird der Verifizierungsstatus auf „verifiziert" gesetzt und der Verifizierungscode gelöscht.

Die Verifizierung ist Voraussetzung für die Aktivierung bestimmter Plattformfunktionen, insbesondere der Ticket-Reservierungsfunktion.

Zweck: Sicherstellung der Authentizität von Komitees und Verhinderung missbräuchlicher Nutzung der Plattform.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht in der Integrität und Vertrauenswürdigkeit der Plattformdaten.

Speicherdauer: Der Verifizierungscode wird nach abgeschlossener Überprüfung gelöscht. Anfragedatensätze (trust_requests) werden nach Abschluss des Verfahrens nicht länger als für den Betrieb des Verifizierungssystems erforderlich vorgehalten.

Nach erfolgreicher Registrierung eines neuen Balleintrags erhält das Komitee-Mitglied per E-Mail einen eindeutigen Gutscheincode im Format PROMNIGHT-XXXXXXXX (GutscheinEmail). Dieser Code dient als Attributionsinstrument für die Provisionszuordnung im Rahmen der Partnerschaft mit dem Unternehmen Ballservice.

Wenn ein Komitee-Mitglied diesen Code beim Partnerunternehmen einlöst, übermittelt das Partnerunternehmen den Code an uns zum Zwecke der Provisionsabrechnung. Dabei werden ausschließlich der Gutscheincode selbst sowie der für die Provisionsberechnung relevante Bestellwert verarbeitet. Weitere personenbezogene Daten der Komitee-Mitglieder werden in diesem Zusammenhang von uns nicht an das Partnerunternehmen übermittelt.

Gutscheincodes sind über öffentliche API-Endpunkte der Plattform nicht abrufbar und ausschließlich über das eingeloggte Komitee-Dashboard einsehbar.

Zweck: Durchführung der Provisionsabrechnung mit dem Partnerunternehmen Ballservice auf Basis der bestehenden Partnerschaftsvereinbarung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Partnerschaftsvertrags) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Betreibung eines kommissionsbasierten Geschäftsmodells).

Speicherdauer: Gutscheincodes werden für die Dauer der aktiven Partnerschaftsvereinbarung und der gesetzlichen Aufbewahrungsfristen für Geschäftsunterlagen (bis zu 7 Jahre gemäß österreichischem Unternehmensgesetzbuch) gespeichert.

Komitee-Mitglieder stellen im Rahmen des Balleintrags inhaltliche Informationen zur Verfügung, insbesondere:

• –Schulname und Ballbezeichnung
• –Veranstaltungsdatum und Uhrzeiten
• –Veranstaltungsort und Adresse
• –Motto, Dresscode, Altersfreigabe
• –Ticketpreis und Ticketstatus
• –Instagram-Handle und Website
• –Beschreibung, Pre-Party- und After-Party-Informationen

Diese Daten werden nach administrativer Freigabe öffentlich auf der Plattform dargestellt und über öffentliche API-Endpunkte abrufbar. Felder mit persönlichem Bezug (insbesondere der Instagram-Handle) werden dabei berücksichtigt; der Instagram-Handle des Komitees wird ausschließlich als öffentlich bekannte Information behandelt.

Zweck: Bereitstellung von Veranstaltungsinformationen für Besucher der Plattform.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO.

Speicherdauer: Balleinträge werden für die Dauer der aktiven Nutzung des Komitee-Kontos gespeichert. Nach Kontolöschung werden Inhaber-Referenzen im Balleintrag entfernt; der öffentliche Balleintrag selbst kann zu Informationszwecken und für historische Dokumentation weiterhin gespeichert werden.

Im Rahmen des Plattformbetriebs werden über den Auftragsverarbeiter Resend folgende transaktionale E-Mails versandt:

An Komitee-Mitglieder:

An Besucher (nicht registrierte Nutzer):

Die E-Mails werden von der Adresse no-reply@promnight.at versendet.

Zweck: Transaktionale Benachrichtigung im Rahmen der Plattformnutzung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO für E-Mails an Komitee-Mitglieder (Vertragserfüllung); Art. 6 Abs. 1 lit. a DSGVO für E-Mails an Besucher im Rahmen der Erinnerungsfunktion (Einwilligung).

Speicherdauer: E-Mail-Versandnachweise werden entsprechend den Fristen des Auftragsverarbeiters Resend gespeichert. Erinnerungsadressen von Besuchern werden nach Versand der letzten Erinnerung gelöscht (vgl. B.5).

C.1 — Supabase Inc. (Datenbank und Authentifizierung)

C.2 — Vercel Inc. (Hosting und Edge-Netzwerk)

C.3 — Resend Inc. (Transaktionaler E-Mail-Versand)

Die Plattform promnight.at verwendet Cookies und lokale Browser-Speichertechnologien (localStorage, sessionStorage) im für den Betrieb technisch notwendigen Umfang. Dies umfasst insbesondere:

• –Authentifizierungs-Cookies für angemeldete Komitee-Mitglieder (Supabase Auth Session Token)
• –Session-ID zur Zuordnung von Ball-Saves und Interessiert-Markierungen für nicht registrierte Besucher
• –Technische Cookies zur Sicherstellung der korrekten Funktionsweise der Webanwendung

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO für technisch notwendige Cookies; berechtigtes Interesse am ordnungsgemäßen Betrieb der Plattform.

Zum Zeitpunkt der Erstellung dieser Datenschutzerklärung setzt die Plattform promnight.at keine Cookies oder Tracking-Technologien von Drittanbietern (z.B. Google Analytics, Meta Pixel oder vergleichbare Dienste) ein. Es werden keine Nutzerprofile für Werbezwecke erstellt und keine personenbezogenen Daten zu Werbezwecken an Dritte übermittelt.

Sollte sich dies in Zukunft ändern, wird diese Datenschutzerklärung entsprechend aktualisiert.

Wir behalten uns vor, diese Datenschutzerklärung jederzeit zu ändern, um sie an geänderte Rechtslagen, geänderte Funktionalitäten der Plattform oder geänderte Verarbeitungsvorgänge anzupassen. Die jeweils aktuelle Fassung ist unter www.promnight.at/datenschutz abrufbar. Wir empfehlen, diese Datenschutzerklärung regelmäßig zu prüfen. Eine gesonderte Benachrichtigung über Änderungen erfolgt nicht, sofern dies nicht gesetzlich vorgeschrieben ist.