Diese Datenschutzerklärung erläutert die Datenschutzpraktiken in Bezug auf die Erfassung und Nutzung Ihrer personenbezogenen Daten in unseren THALIA-Buchhandlungen (Thalia Bücher GmbH sowie deren Vertriebsgesellschaften Thalia Universitätsbuchhandlung GmbH, Thalia Buchhandlung Berlin GmbH & Co. KG, Thalia Buchhandlung Nord GmbH & Co. KG, Reinhold Gondrom GmbH & Co. KG, Mayersche Buchhandlung GmbH & Co. KG, Thalia Buch & Medien GmbH, Linz) und legt Ihre Datenschutzrechte dar.

Verantwortlicher für die Verarbeitung Ihrer personenbezogenen Daten in den Thalia-Buchhandlungen ist:

Thalia Bücher GmbH, Batheyer Straße 115-117, 58099 Hagen, [email protected]

Thalia hat zudem einen externen Datenschutzbeauftragten (Data Protection Officer, DPO) benannt, den Sie kontaktieren können, wenn Sie Fragen haben:

Herr Christian Volkmer, Projekt 29 GmbH & Co. KG, [email protected], tel. 0941-2986930

Wir erfassen folgende personenbezogene Daten:

• Kasse: Postleitzahl und Geburtsdatum zur Autorisierung zum Zahlen mit PAYBACK-Punkten; PAYBACK-Kartennummer
• Info-Points: Vor- und Nachname, Postanschrift, E-Mail-Adresse, Telefonnummer (opt.), Geburtsdatum, PAYBACK-Kartennummer
• Kartenzahlung: Kaufbetrag, Datum, Bankdaten (verschlüsselt)
• Bildaufnahmen: Fotoaufnahmen im Rahmen von Veranstaltungen in Thalia-Buchhandlungen und auf Presseveranstaltungen/-konferenzen
• Reservierungen bei Veranstaltungen in den Buchhandlungen (z.B. Lesungen): Vor- und Nachname, E-Mail-Adresse/Telefonnummer
• Gewinnspiele: Vor- und Nachname, Postanschrift, E-Mail-Adresse, ggf. Telefonnummer
• Als Mitglied des KultClubs: Integration Ihrer Daten aus Ihrem Kundenkonto des Thalia Webshops sowie Ihrer PAYBACK Karte, ggf. Anzahl Ihrer Retouren ohne Kassenbon
• Erstellung einer PAYBACK Karte: Anrede, Vor. Und Nachname, Postanschrift, ggf. E-Mail-Adresse

Wir verarbeiten Ihre personenbezogenen Daten, um

• für Sie ein Kundenkonto in unserer konzernweiten Kundendatenbank anzulegen

• Sie als PAYBACK Kunden über Ihre PAYBACK Kartennummer zu identifizieren oder Ihnen eine PAYBACK Karte auszustellen

• Ihnen als KultClub Mitglied alle Vorteile bereitzustellen, insbesondere der Einladung zu VIP Veranstaltungen sowie der Übersendung von Geburtstagsüberraschungen und um die Anzahl Ihrer Einkäufe als KultClub Mitglied statistisch zu erfassen, um entsprechende Spendenbeiträge an Projekte zur Leseförderung abzuführen

• Ihre Anzahl an Retouren im Rahmen Ihres Rückgaberechts ohne Kassenbon als KultClub Kunde zur Missbrauchsverhinderung zu ermitteln

• Sie im Rahmen Ihrer Bestellung in der Buchhandlung vor Ort, bei Veranstaltungsausfall oder -verschiebung oder als Gewinner/in eines Gewinnspiels zu kontaktieren

• Ihnen Werbemitteilungen und Informationsmaterial zuzusenden (z. B. Briefpost, Newsletter, technische Hilfe bei Anmeldungen, Erinnerung an Ihre Anmeldung zum KultClub)

• Ihnen postalische Werbeschreiben anderer Unternehmen (sog. Adressvermietung im Lettershop-Verfahren) und hierfür einen Adressabgleich durchzuführen unsere Interessen im Rahmen der Rechtsverfolgung durchzusetzen

• unsere Pressezwecke zu verfolgen, Öffentlichkeitsarbeit zu betreiben und unsere Aktivitäten darzustellen und damit unseren Bekanntheitsgrad zu erhöhen (Veröffentlichung von Fotos/Filmaufnahmen im Internet (Webseite, Social Media Auftritte) und in der Presse)

• unser Kundenmanagement zu optimieren, z.B. Ihre Kundendaten intern auf Überschneidungen abzugleichen (stationär/online)

Thalia verarbeitet Ihre personenbezogenen Daten auf folgenden rechtlichen Grundlagen:

• Anbahnung, Durchführung und Beendigung des Vertrags mit Ihnen(Art 6 Abs. 1lit.b DSGVO)

• Ihrer Einwilligung in bestimmte Verarbeitungen für einen bestimmten Zweck (z. B. ist eine Einwilligung für den Versand von Werbemitteilungen auf elektronischem Wege wie etwa SMS, MMS und E-Mail sowie für die Verarbeitung von Fotos/Filmaufnahmen notwendig) (Art 6 Abs. 1lit.a DSGVO)

• Erfüllung rechtlicher Verpflichtungen von Thalia, z.B. handelsrechtliche Aufbewahrungspflichten (Art 6 Abs. 1 lit.c DSGVO)

• Berechtigte Interessen von Thalia, denen Ihre Rechte und Freiheiten nicht überwiegen, z.B. Übermittlung personenbezogener Daten zwischen verbundenen Unternehmen von Thalia für interne und verwaltungstechnische Zwecke und werbliche Datenverarbeitung für postalische Werbeschreiben (Art 6 Abs. 1 lit.f DS-GVO)

• für die Veröffentlichung der Fotoaufnahmen von Veranstaltungen gelten als Rechtsgrundlage die Paragraphen 22 und 23 KUG.

Ihre personenbezogenen Daten werden auf Papier festgehalten und /oder auf Computern (Server, Cloud-basierte Datenbanken, Anwendungen) gespeichert.

Thalia verwahrt Ihre personenbezogenen Daten nur so lange, wie dies für das Erreichen der Zwecke notwendig ist, für die sie erfasst wurden. Thalia bewahrt Daten daher für folgende Zeiträume auf:

• Kasse: Maximal 10 (zehn) Tage
• Info-Points: Bis zum Widerspruch des Kunden bzw. der Aufforderung zur Löschung seiner Daten.
• Kartenzahlung: bei Thalia maximal 10 (zehn) Tage; beim Kreditkarteninstitut: 13 Monate
• Online-Kundenkonto: Bis zum Widerspruch des Kunden bzw. der Aufforderung zur Löschung seiner Daten bzw. bis zum Ablauf gesetzlicher Aufbewahrungsfristen
• E-Mail-Adresse und Postanschrift für Werbezwecke: Bis zum Widerspruch des Kunden bzw. der Aufforderung zur Löschung seiner Daten
• Veranstaltungsreservierungen/Teilnahmekarten Gewinnspiel: einen Werktag nach Ende der Veranstaltung bzw. des Gewinnspiels (Ermittlung der Gewinner)
• Fotos/Filmaufnahmen: vorbehaltlich eines Widerrufs der Einwilligung des Kunden zweckgebunden auf unbestimmte Zeit

Interne Nutzung

Wir beschränken den Zugang zu Ihren personenbezogenen Daten auf die Mitarbeiter, die sie benötigen, um Dienstleistungen für Sie auszuführen:

• Buchhaltung
• IT-Abteilung
• Marketingabteilung
• Telefonintegration

Wir klären unsere Mitarbeiter hinsichtlich der Wichtigkeit von Vertraulichkeit auf und verpflichten uns zur Ergreifung adäquater Disziplinarmaßnahmen, um die Datenschutzverpflichtungen unserer Mitarbeiter durchzusetzen.

Externe Nutzung

Wir geben Ihre personenbezogenen Daten ferner an externe Unternehmen weiter, die in unserem Auftrag tätig sind:

• Verschiedene Dienstleister oder Partnerunternehmen, die uns bei der Bestellabwicklung, bei der Versorgung der Kunden mit Informationen und bei der Bereitstellung von Dienstleistungen unterstützen (Auftragsverarbeitung gemäß Art. 28 DS-GVO). Diese Unternehmen sind ihrerseits verpflichtet, die Datenschutzbestimmungen einzuhalten. Für die Auftragsdatenverarbeitung gelten besonders strenge datenschutzrechtliche Vorgaben, insbesondere dürfen diese Unternehmen die Daten ausschließlich zur Erfüllung ihrer Aufgaben in unserem Auftrag nutzen. Für die Einhaltung der Vorschriften der datenschutzrechtlichen Bestimmungen durch diese Unternehmen ist Thalia verantwortlich und hat entsprechende Auftragsverarbeitungsverträge mit den Dienstleistern geschlossen.

• Im Zusammenhang mit unserem Kundenservice sowie der Verwaltung und Bearbeitung unserer Kundendatenbank an unsere verbundenen Unternehmen in der Thalia-Gruppe.

• Im Bereich der Kartenzahlung (Lastschrift/Girocard/Kreditkarten) arbeiten wir zusammen mit der Concardis GmbH (Concardis), Helfmann Park 7, D-65760 Eschborn. Bei Fragen zur Datenverarbeitung durch Concardis oder zur Geltendmachung Ihrer Rechte können Sie sich an den Datenschutzbeauftragten wenden, den Sie unter der angegebenen Adresse oder per E-Mail unter [email protected] erreichen.

• Falls Sie am PAYBACK-Programm teilnehmen, übermitteln wir Ihre zur Abwicklung des Payback-Zahlungssystems erforderlichen Daten an die PAYBACK GmbH, Theresienhöhe 12, 80339 München. Ferner übermitteln wir Ihren Status als KultClub Kunde, um Sie im Rahmen Ihrer PAYBACK erteilten Werbeeinwilligung über konkret auf Ihren KultClub Status zugeschnittene Angebote informieren zu können. Bei Thalia haben Sie die Möglichkeit, ausgewählte PAYBACK Services direkt in elektronischen Medien (z.B. Website, Apps) sowie im Service Center zu nutzen. Die genauen Datenschutzhinweise für die PAYBACK Services bei Thalia finden Sie hier (Link zu https://www.payback.de/info/datenschutzhinweise/thalia).

• Im Bereich der Adressvermietung erfolgt die Verarbeitung Ihrer bei uns gespeicherten Daten (Ihren Namen nebst Anrede, Ihr Geschlecht, Ihre Wohnadresse, ggf. Ihr Geburtsjahr) für postalische Werbeschreiben von werbenden Unternehmen. Wir selektieren für das jeweilige Werbeschreiben des anderen Unternehmens Adressdaten unserer Kunden nach verschiedenen Kriterien, z.B. geografische Gebiete, Geschlecht (anhand des Vornamens bzw. der Anrede), Alter (anhand Ihres Geburtsjahres). Diese Adressdaten werden nicht an das werbende Unternehmen übermittelt, sondern an einen sog. Lettershop. Der Lettershop ist unser Auftragsverarbeiter gemäß Art. 28 DSGVO. Er führt die Adressdaten mit dem vom werbenden Unternehmen gewünschten Werbemittel zusammen, beauftragt den Versand und löscht die Adressdaten anschließend. Das werbende Unternehmen erhält nur dann Kenntnis von Ihren Daten, wenn Sie sich selbst mit diesem Unternehmen in Verbindung setzen, z.B. eine Bestellung aufgeben. Wir speichern nicht, für welche Unternehmen eine Adressvermietung erfolgt ist. Dem jeweiligen Werbeschreiben sind wir als verantwortliche Stelle im Sinne des Datenschutzrechts als auch das werbende Unternehmen zu entnehmen.

• Fotos und/oder Filmaufnahmen werden weitergeben an Dritte (z.B. Sponsoren, Webhoster, Cloud-Computing-Anbieter, Sonstige im Zusammenhang mit der Erstellung und Veröffentlichung von (Print)Publikationen), um Öffentlichkeitsarbeit und Darstellung unserer Aktivitäten betreiben zu können und die Bekanntheit zu erhöhen. Auch der Upload von Daten im Internet stellt eine Weitergabe an Dritte dar.

Gesetzliche Vorschriften

Wir geben Ihre personenbezogenen Daten zudem an andere weiter, wenn außergewöhnliche Umstände vorliegen, d.h. bei Gefahr für Gesundheit oder Sicherheit oder wenn dies nach geltendem Recht und/oder von folgenden Instanzen (Aufsichtsbehörde, Gericht, Staatsanwaltschaft, Polizei) vorgeschrieben wird.

Sofern Sie nicht widersprechen, können wir Ihre Informationen auch an Ihre Familienmitglieder oder andere Personen weitergeben, die für Ihre Gesundheitsversorgung verantwortlich sind. Falls Sie nicht in der Lage sind, Ihre Zustimmung zur Weitergabe zu erteilen oder dieser widersprechen, prüfen wir unter Ausübung unseres fachlichen Urteilsvermögens, ob die Weitergabe in Ihrem besten Interesse liegt.

Soweit dies für die vorgenannten Zwecke erforderlich ist, übermitteln wir Daten auch an nachfolgende Unternehmen außerhalb des Europäischen Wirtschaftsraums (EWR):

• Salesforce.com, Inc.

• Konzernunternehmen von SAP SE

Wir übermitteln Ihre Daten nur dann in Drittstaaten, soweit für Ihre personenbezogenen Daten ein angemessener Datenschutz gewährleistet ist. Dies bedeutet, dass wir Ihre Daten nur übermitteln, soweit für den jeweiligen Drittstaat eine Entscheidung der EU-Kommission über ein angemessenes Datenschutzniveau vorliegt (Art. 45 DSGVO) oder geeignete Garantien zum Schutze Ihrer personenbezogenen Daten vorgesehen sind (vgl. Art. 46 DSGO), insbesondere Standardvertragsklauseln oder Binding Corporate Rules. Nähere Informationen hierzu, insbesondere Kopien dieser geeigneten Garantien, können Sie unter den unter Ziffer xi genannten Kontaktinformationen anfordern.

In Zusammenhang mit jeder Art von Verarbeitung Ihrer personenbezogenen Daten können Sie die folgenden Rechte ausüben:

• Recht auf Zugang: Sie haben das Recht, eine Kopie Ihrer personenbezogenen Daten zu erhalten, die Thalia besitzt und verarbeitet,
• Recht auf Berichtigung: Sie haben das Recht, die von Thalia verwahrten Unterlagen mit Ihren personenbezogenen Daten zu berichtigen, falls diese unrichtig sind,
• Recht auf Beschwerdeeinlegung bei der Aufsichtsbehörde: Sie haben das Recht, eine Beschwerde bei der zuständigen Datenschutzbehörde einzulegen, wenn Sie Bedenken hinsichtlich der Art und Weise haben, in der Ihre personenbezogenen Daten von Thalia verarbeitet werden.

Unter bestimmten Umständen können Sie ferner die nachstehenden Rechte ausüben:

• Recht auf Löschung: Sie können verlangen, dass Thalia Ihre personenbezogenen Daten löscht,
• Recht zur Rücknahme von Zustimmungen: Sie haben das Recht, Ihre Zustimmung für eine Verarbeitungstätigkeit zurückzunehmen, für die Sie zuvor Ihre Zustimmung erteilt hatten,
• Recht auf Widerspruch gegen eine Verarbeitungstätigkeit: Sie können verlangen, dass Thalia die Verarbeitung Ihrer personenbezogenen Daten einstellt,
• Recht auf Widerspruch gegen eine Verarbeitung für Direktmarketing-Zwecke: Sie können jederzeit verlangen, dass Thalia die Versendung von Werbemitteilungen an Sie einstellt,
• Recht auf Widerspruch gegen eine Entscheidung, die auf automatisierter Verarbeitung basiert: Sie können verlangen, dass Sie betreffende Entscheidungen nicht allein auf der Basis automatisierter Verarbeitung getroffen werden (z.B. Profiling),
• Recht auf Beschränkungen der Verarbeitung: Sie können verlangen, dass Thalia die Verarbeitung Ihrer personenbezogenen Daten gewissen Beschränkungen unterwirft,
• Recht auf Datenübertragbarkeit: Sie können Ihr Recht auf Datenübertragbarkeit ausüben und Ihre Daten in einem strukturierten und maschinenlesbaren Format erhalten oder die Daten in einem derartigen Format auf einen anderen Datenverantwortlichen übertragen lassen.

Die Verarbeitung Ihrer Daten ist zum Abschluss bzw. zur Erfüllung Ihres mit uns eingegangenen Vertrages erforderlich. Wenn Sie uns diese Daten nicht zur Verfügung stellen, werden wir den Abschluss des Vertrags in der Regel ablehnen müssen oder einen bestehenden Vertrag nicht mehr durchführen können und folglich beenden müssen. Sie sind jedoch nicht verpflichtet, hinsichtlich für die Vertragserfüllung nicht relevanter bzw. gesetzlich nicht erforderlicher Daten eine Einwilligung zur Datenverarbeitung zu erteilen.

Wir haben technische und administrative Sicherheitsvorkehrungen getroffen um Ihre personenbezogenen Daten gegen Verlust, Zerstörung, Manipulation und unautorisierten Zugriff zu schützen. All unsere Mitarbeiter sowie für uns tätige Dienstleister sind auf die gültigen Datenschutzgesetze verpflichtet.

Wann immer wir personenbezogene Daten sammeln und verarbeiten werden diese verschlüsselt bevor sie übertragen werden. Das heißt, dass Ihre Daten nicht von Dritten missbraucht werden können. Unsere Sicherheitsvorkehrungen unterliegen dabei einem ständigen Verbesserungsprozess und unsere Datenschutzerklärungen werden ständig überarbeitet. Bitte stellen Sie sicher, dass Ihnen die aktuellste Version vorliegt.

Bitte beachten Sie, dass Sie bei der Rückgabe von Elektro-Altgeräten (z.B. eReader) selbst dafür verantwortlich sind, dass sich keine personenbezogenen Daten darauf befinden. Stellen Sie bitte sicher, dass Sie Ihre personenbezogenen Daten vor Rückgabe von Ihrem Altgerät löschen.

Wenn Sie Fragen haben oder Ihre Rechte aus (vii) ausüben möchten, wenden Sie sich bitte wie folgt an uns:

Thalia Bücher GmbH - Service Center, An den Speichern 6, 48157 Münster, Tel. 0251-53090 (Erreichbarkeit: montags bis freitags, 9:00 bis 18:00 Uhr), [email protected]

Wir verpflichten uns, innerhalb eines Monats zu antworten. Wenn wir Ihrem Ersuchen aus irgendeinem Grund nicht nachkommen können, liefert Ihnen Thalia eine Erklärung dafür. Falls Sie uns die Verarbeitung Ihrer personenbezogenen Daten nicht erlauben, kann dies das Erreichen der Zwecke der Verarbeitung erschweren oder unmöglich machen. Bestimmte Services können wir Ihnen dann leider nicht mehr anbieten.

Thalia hat einen internen Datenschutzbeauftragten (Data Protection Officer, DPO) benannt, den Sie kontaktieren können, wenn Sie Fragen haben:

Herr Christian Volkmer - Projekt 29 GmbH & Co. KG, [email protected], Tel. 0941-2986930, Ostengasse 14, 93047 Regensburg