Die Daten hinter einem halbstündigen Besuch unter der Erde.

Diese Site wird betrieben von Istanbul Tourist Information Ltd., einer türkischen Gesellschaft mit beschränkter Haftung, eingetragen in Istanbul unter der TÜRSAB-Lizenz A-7812 und der Steuernummer 3470891204. Eingetragener Sitz: Sultanahmet Mah. Divan Yolu Cad. 17, 34122 Fatih, Istanbul. Datenschutzbeauftragter: privacy@istanbul-tourist-information.com.

Diese Datenschutzerklärung gilt für basilicacistern-tickets.com, die dedizierte Buchungs- und Besucherführer-Site für die Basilica Cistern. Sie gilt nicht für die Site des städtischen Zisternenbetreibers oder eines Wiederverkäufers.

Vier Kategorien. Mehr nicht.

Kontakt- & Buchungsdaten — Name des Karteninhabers, E-Mail, Telefon, gewähltes Zeitfenster, Ticket-Anzahl, optional Audioguide-Sprache.

Zahlungsdaten — Karte auf der gehosteten Stripe-Seite eingegeben. Wir bewahren nur die letzten vier Ziffern + Marke für deine Rechnung auf.

Nutzungsdaten — welche Seiten du besuchst, Referrer, Geräteklasse. Anonymisiert vor der Aggregation.

Support-Daten — wenn du uns schreibst, deine E-Mail und unsere Antwort. 36 Monate in unserem Helpdesk gespeichert.

Jeder Punkt steht unter einer bestimmten DSGVO-Rechtsgrundlage.

Vertragserfüllung. Buchungsdaten — ohne sie können wir kein Ticket ausstellen. Art. 6 Abs. 1 lit. b DSGVO.

Rechtliche Verpflichtung. Türkisches Steuerrecht — 10-Jahres-Aufbewahrung von Transaktionsbelegen. Art. 6 Abs. 1 lit. c DSGVO.

Berechtigtes Interesse. Analytics, Betrugserkennung, Crash-Reports. Opt-out im Cookie-Panel. Art. 6 Abs. 1 lit. f DSGVO.

Einwilligung. Marketing-Cookies und Newsletter — nur ausdrückliches Opt-in. Art. 6 Abs. 1 lit. a DSGVO.

Direkt von dir, im Buchungsformular oder in einer Support-E-Mail. Wir kaufen keine Datenlisten, reichern nicht mit Drittquellen an, fingerprinten dein Gerät nicht. Eine Ausnahme: Kartendaten gehen direkt an Stripe, das einen Token zurückgibt, mit dem wir die Zahlung referenzieren.

Dein Buchungsdatensatz: Buchungsnummer (Präfix BC-), Zeitfenster, Name des Karteninhabers, Kontakt-E-Mail, Telefon, Anzahl Tickets, Audioguide-Sprache, USt-Betrag, Gesamtpreis, Erstattungshistorie. Vollständige Liste.

Sichtbar für dich (über die Bestätigungs-E-Mail) und unser Support-Team, wenn du schreibst. Das Eingangspersonal an der Zisterne sieht nur einen gescannten QR-Code mit der Anzahl — keine Kontaktdaten.

Helpdesk-Tool: Front. Aufbewahrung: 36 Monate. Nicht für KI-Training verwendet. Nicht mit dem Marketing geteilt. Nur das Support-Team und der Datenschutzbeauftragte sehen die Daten.

GA4 mit IP-Anonymisierung, deaktivierten Werbesignalen, ausgeschalteter Demografie. Wir sehen, wie viele Personen ankommen und wo sie abspringen — nicht wer sie sind. Sentry für Crash-Reports mit PII-Bereinigung, bevor die Daten deinen Browser verlassen.

Mit jedem Anbieter haben wir eine unterzeichnete Auftragsverarbeitungs-Vereinbarung. Jährliches Audit.

Wir verkaufen, vermieten oder teilen keine Daten mit Partnern für deren eigenes Marketing. Die Anbieter in Abschnitt 08 sind die einzigen Dritten, alle handeln als Auftragsverarbeiter nach unseren Weisungen.

Ausnahme: gültige türkische Gerichts- oder Steuerbehörden-Anordnung. Du wirst informiert, sofern die Anordnung das nicht verbietet. In der Geschichte der Site noch nie vorgekommen.

Buchungsbelege — 10 Jahre (türkisches Steuerrecht).

Support-Konversationen — 36 Monate ab letzter Nachricht oder bis zum Löschungsantrag.

Analytics — 24 Monate in GA4, danach aggregiert.

Crash-Reports — 14 Tage in Sentry.

Marketing-Cookies — 90 Tage oder bis zum Widerruf.

Die primäre Infrastruktur liegt in der EU (Frankfurt, Amsterdam). Stripe und Google leiten einige Daten über US-Infrastruktur unter dem EU-US Data Privacy Framework + SCCs (DSGVO Art. 46).

TLS 1.3 überall. DB-Verschlüsselung im Ruhezustand. 2FA-Pflicht für alle Mitarbeiter-Konten. Quartalsweise Pen-Tests durch eine türkische Sicherheitsfirma. 72-Stunden-Verpflichtung zur Meldung von Datenschutzverletzungen (strenger als die DSGVO-Mindestfrist).

Acht Rechte gemäß DSGVO (EU) und KVKK (Türkei).

Wir erheben wissentlich keine Daten von Personen unter 16. Ein Elternteil kann den Eintritt für ein Kind buchen — der Karteninhaber-Name ist der des Elternteils, und nur die Vornamen der Kinder erscheinen auf dem Voucher.

Wesentliche Änderungen: 30-tägige E-Mail-Vorankündigung vor Inkrafttreten. Geringfügige Anpassungen: ohne Benachrichtigung veröffentlicht, Versionsnummer im Header wird inkrementiert.