Datenschutzerklärung zur Fahrplan-App

Diese Datenschutzerklärung informiert Sie unter anderem über den Umfang, den Zweck und die Rechtsgrundlage der Verarbeitung der über die PaderSprinter Fahrplan-App erhobenen personenbezogenen Daten. Personenbezogene Daten sind alle Informationen, die sich auf eine natürliche Person beziehen, also mit denen sich eine natürliche Person direkt oder indirekt identifizieren lässt, z.B. durch Namen, Geburtsdatum, Postanschrift, Telefonnummer, E-Mail-Adresse, Kontonummer oder IP-Adresse, Online-Kennungen oder Standortdaten (Aufzählung nicht abschließend).

Diese Datenschutzerklärung wird Ihnen beim ersten Start der App angezeigt. Sie können dann entscheiden, ob Sie in die nachfolgend beschriebene Verarbeitung Ihrer personenbezogenen Daten durch diese App einwilligen, in dem Sie den Button „Einwilligung“ anklicken. Danach können Sie die Datenschutzerklärung jederzeit in der App unter dem Menüpunkt „Datenschutz“ einsehen.

Inhalt dieser Datenschutzerklärung

Kontaktdaten der verantwortlichen Stelle im Sinne der Datenschutzgrundverordnung
Erhebung personenbezogener Daten bei Nutzung unserer mobilen App
Zugriffsberechtigungen auf Ihrem Endgerät
Kontaktaufnahme
Weitergabe personenbezogener Daten
Firebase
Ticketkauf über Mobiltelefone (HandyTicket) / Internetshop
Aufbewahrungsfristen und Löschung von Daten
Rechte der betroffenen Person nach Kapitel 3 DSGVO
Änderungsvorbehalt
Besondere Bestimmungen zur Datenverarbeitung im PaderSprinter-Ticketshop und der Fahrplan-App beim Vertrieb von Tickets im eTarif NRW, eTarif AVV, eTarif VRS, eTarif VRR und eTarif ZWL

Datenschutzrechtlich Verantwortlicher

Kontaktdaten der verantwortlichen Stelle im Sinne der Datenschutzgrundverordnung

PaderSprinter GmbH

Barkhauser Straße 6

33106 Paderborn

05251-6997-111

Kontaktformular: https://www.padersprinter.de/kontakt/

Datenschutzbeauftragter

Herr Kai Viehmeier

Kai Viehmeier Consulting GmbH

Hauptsitz Deutschland:

An der Straßenbahn 12

31157 Sarstedt

T +49-5066/69 56 082

dsgvo@kai-viehmeier-consulting.de

www.kai-viehmeier-consulting.de

Erhebung personenbezogener Daten bei Nutzung unserer mobilen App

Download der App
Bei Herunterladen der mobilen App werden die dafür erforderlichen Informationen an den jeweiligen App Store (Apple Store oder Google Play Store) übertragen, also insbesondere Ihr Nutzername, E-Mail-Adresse und Kundennummer Ihres Accounts, Zeitpunkt des Downloads, Zahlungsinformationen und die individuelle Gerätekennziffer. Auf diese Datenerhebung durch den App Store haben wir keinen Einfluss und sind nicht dafür verantwortlich. Wir verarbeiten die Daten nur, soweit es für das Herunterladen der mobilen App auf Ihr mobiles Endgerät notwendig ist. Weitere Informationen finden Sie in den Datenschutzhinweisen der App-Store-Betreiber:

für den iOS App Store: Apple Inc., 1 Infinite Loop, Cupertino, CA 95014, USA, abrufbar unter https://www.apple.com/de/privacy/privacy-policy/, sowie
für den Google Play Store: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA, abrufbar unter https://www.google.de/intl/de/policies/privacy/.

Nutzung der App

Die PaderSprinter App wird von der MENTZ GmbH programmiert und zur Verfügung gestellt und speichert folgende Informationen lokal ab:

Historie der eingegebenen Punkte
Historie der eingegebenen Verbindungen
Historie der eingegebenen Linien
Einstellungen des Nutzers
Bestimmte Zustände der App
Bestimmte Server-Inhalte (z.B. Karten-Kacheln) als Cache

Die GPS-Position wird nicht gespeichert, sondern nur einmal an den Server versendet, um daraus eine Adresse zu berechnen. Die Daten für die Berechnungen von Fahrtauskünften (Fahrten, Abfahrten, etc.) werden an den Server übertragen, wo sie nach den dortigen Vorgaben gespeichert werden. Die App überträgt keine privaten Informationen an die elektronische Fahrplanauskunft (=EFA). Die App greift zwecks Speichern oben genannter Inhalte auf den lokalen Speicher des Smartphones zu.

Sofern Sie über die App mit dem PaderSprinter in Kontakt treten (z.B. über den Menüpunkt „Kontakt“) wird Ihre E-Mail Adresse sowie ggf. auch Name und weitere Angaben an uns weitergeleitet.

Zugriffsberechtigungen auf Ihrem Endgerät

Die App benötigt grundsätzlich keine Zugriffsrechte auf Ihrem Endgerät. Wenn man den aktuellen Standort angeben möchte, muss die Lokalisierung zugelassen werden. Ebenso sind folgende Zugriffsberechtigungen optional:

Standortdaten: Die App erhebt nach Ihrer Freigabe Ihre Standortdaten, um Ihnen Haltestellen in Ihrer Umgebung mitteilen zu können oder Ihren Standort auf der Karte darzustellen.
Fotos/Medien/Dateien
Speicher
Netzwerkzugriff
NFC-Kontrolle
Vibrationskontrolle

Kontaktaufnahme

Wenn Sie mit uns in Kontakt treten, können Sie dies über den „Info“-Bereich. Dazu ist die Angabe Ihres Namens und Ihrer Email-Adresse bzw. der Telefonnummer erforderlich, damit wir diese bearbeiten und beantworten können. Weitere Angaben können freiwillig getätigt werden. Die zum Zwecke der Kontaktaufnahme übermittelten Daten werden wir ausschließlich für die Bearbeitung Ihrer Anfrage verarbeiten. Die hierbei erhobenen personenbezogenen Daten werden gelöscht, sofern diese nicht mehr erforderlich sind und einer Löschung keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Weitergabe personenbezogener Daten

Wir geben grundsätzlich keine personenbezogenen Daten an Dritte weiter, es sei denn,

Sie haben nach Art. 6 Abs. 1 S. 1 lit. a DSGVO ausdrücklich eine Einwilligung erteilt,
dies ist gesetzlich zulässig und nach Art. 6 Abs. 1 S. 1 lit. b DSGVO für die Abwicklung des Vertragsverhältnisses mit Ihnen erforderlich,
es besteht ein berechtigtes Interesse an der Weitergabe nach Art. 6 Abs. 1 S. 1 lit. f DSGVO und es besteht kein Grund zur Annahme, dass Sie ein überwiegendes schutzwürdiges Interesse an der Nichtweitergabe Ihrer Daten haben, sowie
für die Weitergabe nach Art. 6 Abs. 1 S. 1 lit. c DSGVO besteht eine gesetzliche Verpflichtung.

Firebase

Für unsere App verwenden wir den Trackingdienst „Firebase“ des Anbieters Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043 („Google“). Google Firebase verwendet Tracking-Technologien, die eine Analyse der Nutzung unserer APP durch Sie ermöglichen, z.B. zur Leistungsüberwachung (Performance Monitoring), für Fehlerprotokolle und zur Analyse des Nutzerverhaltens bspw., welche Screens betrachtet und welche Publikationen wie oft geöffnet wurden. Zweck der Verwendung von Firebase ist, die Nutzung unserer App zu analysieren, regelmäßig zu verbessern und damit wirtschaftlicher betreiben zu können. Über die gewonnenen Statistiken können wir unser Angebot verbessern und für Sie als Nutzer interessanter ausgestalten. Rechtsgrundlage dieser Datenverarbeitung ist Art. 6 Abs. 1 S. 1 lit. f DS-GVO, da wir ein berechtigtes Interesse an der Analyse, Optimierung und dem wirtschaftlichen Betrieb unserer APP haben und die Datenverarbeitung zur Wahrung dieses Interesses erforderlich ist.
Mit Firebase werden Informationen über die Benutzung unserer App erfasst und an Google in Irland oder in den USA übertragen und dort gespeichert. Die Daten werden lediglich anonymisiert erhoben und an Firebase übermittelt. Eine Verknüpfung mit anderen Benutzerdaten erfolgt nicht.

Google wird die genannten Informationen verwenden, um Ihre Nutzung unserer App auszuwerten und um weitere mit der Nutzung von Apps verbundene Dienstleistungen an uns zu erbringen.

Für die personenbezogene Daten, die in die USA übertragen werden, hat sich Google dem EU-US Privacy Shield unterworfen: www.privacyshield.gov/participant.
Nähere Informationen zu Google Firebase und Datenschutz finden Sie unter www.google.com/policies/privacy/ sowie firebase.google.com.

Ticketkauf über Mobiltelefone (HandyTicket) / Internetshop

Wir geben Ihre personenbezogenen Daten (Vor- und Nachname, Geburtsdatum, Adresse, E-Mail-Adresse, Kontoverbindung, Kreditkartendaten, ggf. Telefonnummer sowie Daten zu Ihren jeweiligen Ticketkäufen) und alle Änderungen an die LogPay Financial Services GmbH zum Zwecke des Verkaufes und der Abtretung unserer Forderungen gegen Sie, welche im Zusammenhang mit Ihrem Ticketkauf entstehen, weiter. Dies erfolgt auf Grundlage des Art. 6 Abs. 1 S. 1 lit. f DS-GVO. Das berechtigte Interesse auf unserer Seite besteht in der Auslagerung der Zahlungsabwicklung und des Forderungsmanagements. Das berechtigte Interesse auf Seiten der LogPay Financial Services GmbH besteht in der Erhebung der Daten zum Zwecke der Abwicklung von Zahlungen, zum Forderungsmanagement, der Bewertung der Zulässigkeit von Zahlarten und der Vermeidung von Zahlungsausfällen.

Sie können der Übermittlung dieser Daten an die LogPay Financial Services GmbH jederzeit widersprechen, allerdings ist dann keine Bestellung mehr über den elektronischen Vertriebskanal möglich.

Die datenschutzrechtlichen Informationen der LogPay Financial Services GmbH können Sie unter https://www.logpay.de/DE/datenschutzinformationen/ abrufen.

Im Fall einer Verarbeitung personenbezogener Daten zur Wahrnehmung von im öffentlichen Interesse liegenden Aufgaben (Art. 6 Abs. 1 S. 1 lit. e DS-GVO) oder zur Wahrnehmung berechtigter Interessen (Art. 6 Abs. 1 S. 1 lit. f DS-GVO), können Sie der Verarbeitung der Sie betreffenden personenbezogenen Daten jederzeit mit Wirkung für die Zukunft widersprechen. Im Fall des Widerspruchs haben wir jede weitere Verarbeitung Ihrer Daten zu den vorgenannten Zwecken zu unterlassen, es sei denn,

es liegen zwingende, schutzwürdige Gründe für eine Verarbeitung vor, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder
die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich.

Aufbewahrungsfristen und Löschung von Daten

Die vom Verantwortlichen erhobenen personenbezogenen Daten werden gelöscht, sofern der vereinbarte Verwendungszweck wegfällt und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Ihre Rechte

Ihnen stehen, wenn wir personenbezogene Daten von Ihnen verarbeiten, die untenstehenden Rechte zu. Falls Sie eines dieser Rechte in Anspruch nehmen möchten, können sie sich jederzeit an unseren Datenschutzbeauftragten wenden.

1.) Recht auf Bestätigung

Sie haben das Recht, dass wir Ihnen jederzeit kostenfrei Auskunft erteilen, ob wir personenbezogene Daten von Ihnen verarbeiten.

2.) Recht auf Auskunft

Sie haben das Recht, dass wir Ihnen jederzeit kostenfrei Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten erteilen.

3.) Recht auf Berichtigung

Sie haben das Recht zu verlangen, dass sie betreffende unrichtige personenbezogene Daten unverzüglich berichtigt bzw. diese vervollständigt werden.

4.) Recht auf Löschung (Recht auf Vergessen werden)

Sie haben das Recht, dass wir unverzüglich eine Löschung der sie betreffenden personenbezogenen Daten vornehmen.

5.) Recht auf Einschränkung der Verarbeitung

Sie haben das Recht, jederzeit eine Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.

6.) Recht auf Datenübertragbarkeit

Sie haben das Recht, dass wir die Sie betreffenden personenbezogenen Daten, welche Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung stellen.

7.) Recht auf Widerspruch

Sie haben das Recht, dass Sie jederzeit einen Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten einlegen können.

8.) Recht auf Widerruf einer datenschutzrechtlichen Einwilligung

Sie haben das Recht, dass Sie jederzeit eine Einwilligung zur Verarbeitung Ihrer personenbezogenen Daten widerrufen können.

Änderungsvorbehalt

Durch die Weiterentwicklung unserer App oder aufgrund geänderter rechtlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung zu ändern. Der Verantwortliche wird die Nutzer über Änderungen der Datenschutzbestimmungen in angemessener Art und Weise informieren. Die jeweils aktuelle Datenschutzerklärung kann jederzeit in der App von Ihnen abgerufen werden.

Besondere Bestimmungen zur Datenverarbeitung im Padersprinter-TicketShop und der Fahrplan-App beim Vertrieb von Tickets im eTarif NRW, eTarif AVV, eTarif VRS, eTarif VRR und eTarif ZWL

Nutzung des PaderSprinter-Ticketshops

Soweit Sie die auf unseren Webseiten oder in unserer App angebotenen Leistungen, wie etwa kostenpflichtige Kauf von Tickets, in Anspruch nehmen wollen, ist es nötig, dass Sie dazu weitere personenbezogene Daten angeben. Einzelheiten hierzu können den nachfolgenden Regelungen entnommen werden.

1.) Datenverarbeitung zwecks Vertragsabschluss im PaderSprinter-Ticketshop

Ihre personenbezogenen Daten, die Sie uns während des Buchungsprozesses (Ticket-Kauf) zur Verfügung stellen, sind für einen Vertragsabschluss mit uns erforderlich (z.B. Angaben zum Vertragspartner) bzw. gesetzlich notwendig (z.B. Steuervorschriften). Eine Nichtbereitstellung der personenbezogenen Daten hätte zur Folge, dass der Vertrag mit Ihnen nicht geschlossen werden könnte. Die Verarbeitung Ihrer eingegebenen Daten erfolgt also für den Zweck der Vertragserfüllung bzw. zur Durchführung vorvertraglicher Maßnahmen gemäß Art. 6 Abs. 1 lit. b DSGVO und zur Erfüllung rechtlicher Verpflichtungen gemäß Art. 6 Abs. 1 lit. c DSGVO. Wesentlichen Finanzdienstleister (z.B. Zahlungsdienstleister), IT-Dienstleister (insb. Hosting), andere Verkehrsunternehmen (im Rahmen der Ticketprüfung), Auskunfteien, Rechtsbeistände, Behörden (Gerichte, Polizei, Finanzämter), Steuer- und Wirtschaftsprüfer, Call-Center (Kundendialog) sowie Markt- und Meinungsforschungsunternehmen (soweit eine Einwilligung vorliegt) mit denen wir entsprechende Auftragsverarbeitungsvereinbarungen gemäß Art. 28 DSGVO geschlossen haben. Die zur Vertragsabwicklung erforderlichen Daten speichern wir bis zum Ablauf der gesetzlichen Gewährleistungs- und ggf. vertraglichen Garantiefristen. Die nach Handels- und Steuerrecht erforderlichen Daten bewahren wir für die gesetzlich bestimmten Zeiträume auf, regelmäßig zehn Jahre (vgl. § 257 HGB, § 147 AO). Die zur Durchführung vorvertraglicher Maßnahmen verarbeiteten Daten werden gelöscht, sobald die Maßnahmen durchgeführt wurden und es erkennbar nicht zu einem Vertragsschluss kommt.

2.) Daten und Datenkategorien, die verarbeitet werden

Nachfolgend erfolgt die Aufstellung der Daten und Datenkategorien die im Wesentlichen verarbeitet werden:

Personenbezogene Stammdaten (Personenstammdaten):

Vor- und Nachnamen
Rechnungsadresse (Straße, Hausnummer, Postleitzahl, Ort, Land)
Geburtsdatum
Geschlecht
E-Mail-Adresse
Ihre Kunden-ID
Teilnahme Marktforschung ja/nein
Werbung ja/nein

Sicherheitsdaten:

Passwort
Sicherheitsabfrage

Im Rahmen des eTarifs werden zusätzlich die folgenden Daten verarbeitet:

Reise-ID
Kunden-ID
Kundenvertragspartner
Nutzer
Periode
Quell-Zeit
Ziel-Zeit
Quell-Halt
Ziel-Halt
Wagenklasse
Luftlinie
Luftlinie (gerundet)

Streckenlänge
Streckenlänge (gerundet)
Grundpreis
Arbeitspreis
Leistungspreis
Basispreis
Zubuchungspreis 1. Klasse
Fahrtendeckelpreis 2. Klasse
Fahrtendeckelpreis Zubuchung 1. Klasse
Tagesdeckelpreis 2. Klasse
Tagesdeckelpreis Zubuchung 1. Klasse
Regelpreis
Normalpreisstufe
Deckelzeitraum abgeschlossen
Preisdeckel-Art
Preisdeckelfaktor auf Basispreis
Preisdeckelfaktor auf Zubuchungspreis 1. Klasse
Preisdeckelfaktor auf Regelpreis
Buchungsvorgang
EA-Verfahren
Liste der Reiseabschnitte
Liste der Reisefehler

3.) Im Rahmen der Leistungserbringung können die folgenden Dienstleister Zugriff auf Informationen erhalten:

- MENTZ GmbH (IT-Dienstleister)
  Grillparzerstraße 18, 81675 München, info@mentz.net,
  Telefon +49 89 418680
- SpaceNet AG (IT-Dienstleister, Sub-Unternehmer MENTZ)
  Joseph-Dollinger-Bogen 14, 80807 München, info@space.net
  Telefon +49 89 323560
- Sic[!]sec GmbH (Informationssicherheit, Sub-Unternehmer MENTZ)
  Schießsstraße 44, 85253 Erdweg, info@sicsec.de
  Telefon +49 81424425032
- Amazon Web Services (IT-Dienstleister, Sub-Unternehmer MENTZ)
  38 Avenue John F. Kennedy, L-1855 Luxembourg
  OpenStreetMap Foundation (Kartendienstleister, Sub-Unternehmer MENTZ)
  132 Maney Hill Road, Sutton Coldfield, West Midlands B72 1JU, Großbritannien
- LogPay (Finanzdienstleister)
  Schwalbacher Straße 72, 65760 Eschborn, customer@logpay.de,
  Telefon +800 0000 2030

Im Rahmen des Vertrages zur gemeinsamen Verantwortlichkeit (Artikel 26 DSGVO) erhalten die folgenden Vertragspartner Zugriff auf Informationen:

- Verkehrsverbund Rhein-Ruhr AöR (VRR)
  Augustastraße 1, 45879 Gelsenkirchen, info@vrr.de
  Telefon +49 209 15840
- Verkehrsverbund Rhein-Sieg GmbH (VRS)
  Kompetenzcenter Marketing NRW (KCM)
  Glockengasse 37 – 39, 50667 Köln, info@vrs.de oder kcm-nrw@vrs.de
  Telefon +49 221 208080
- Aachener Verkehrsverbund GmbH (AVV)
  Neuköllner Straße 1, 52068 Aachen, info@avv.de
  Telefon +49 241 968970
- WestfalenTarif GmbH (ZWL)
  Willy-Brandt-Platz 2, 36602 Bielefeld, info@westfalentarif.de
  Telefon +49 521 55766644

4.) Einbindung von Kartenmaterial

Wir binden Kartenmaterial von OpenStreetMap ein. Bei OpenStreetMap handelt es sich um ein Projekt der OpenStreetMap Foundation, 132 Maney Hill Road, Sutton Coldfield, West Midlands B72 1JU, Großbritannien, das frei nutzbare Geodaten sammelt und in einer Datenbank zur freien Nutzung vorhält. Bei Interaktionen (wie z.B. die Suche nach Haltestellen) wird eine Verbindung zu den Servern der OpenStreetMap Foundation hergestellt und Daten zur OpenStreetMap Foundation übertragen, um eingebetteten Karten anzuzeigen. Weitere Informationen zum Datenschutz im Zusammenhang mit OpenStreet Map finden Sie in der Datenschutzinformation der OpenStreetMap Foundation.
Beim Verbindungsaufbau zum Anzeigen der Karten werden folgende Daten an Server von OpenStreetMap übermittelt:

- IP Adresse,
- verwendeter Browser und Gerät,
- Betriebssystem,
- Webseite, von der Sie auf die Seite der OpenStreetMap Foundation weitergeleitet wurden (referring web page) und
- Datum und Uhrzeit des Besuchs der Webseite.

Falls Sie einen Benutzer-Account bei OpenStreetMap haben und bei dem Besuch unserer Webseite dort eingeloggt sind, werden zusätzlich folgende Daten an die Server von OpenStreetMap übertragen:

- User ID,
- E-Mail-Adresse, die mit ihrem Account assoziiert wird und
- vom Benutzer blockierter Inhalt und assoziierte Nachrichten.

Die Einbindung erfolgt auf Grundlage des Art. 6 Abs. 1 S. 1 lit. b DSGVO, da die Einbindung der Karten im Rahmen der Darstellung der Fahrt erfolgt und einen vertraglichen Bestandteil darstellt.

5.) Datenverarbeitung zur Berechnung des Fahrpreises

Zur Berechnung des Fahrpreises wird ein personalisiertes Bewegungsprofil der Fahrt erstellt. Hierzu wird fortlaufend die GPS-Position getrackt und verarbeitet. Die Berechnung erfolgt in einer separaten Datenbank. Die Verknüpfung mit den Kundenstammdaten erfolgt über die Kunden-ID. Die Datenverarbeitung beruht auf Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.

6.) Datenverarbeitung zum Buchen der Käufe und Bezahlen

Der Kauf wird nach Buchhaltungsregeln in der Datenbank des Padersprinter-TicketShops gebucht. Der zu zahlende Betrag wird an den Finanzdienstleister weitergegeben. Die Datenverarbeitung beruht auf Artikel 6 Absatz 1 Satz 1 lit. b DSGVO. Beim Buchen werden im Wesentlichen gespeichert

- Finanzinformationen (verkürzte IBAN/CC Nummer
- Finanzdienstleister
- Kunden ID, Zahlungsart)
- Ihre Kunden-ID
- Bestellungs-ID
- Bestelldatum und Bestellstatus
- Angaben zum Verkehrsbund
- Angaben über Gesamtpreis der gekauften Tickets sowie Informationen zum Ticket (Ticket ID, Gültigkeit, Geltungsbereich, Zone, Starthaltestelle, Tickettyp, verfügbare/verbrauchte Einheiten, Preisstufe, Barcode, Kategorie (Klasse), Tarif, Produktnummer, EAV Code, Erstattung).

7.) Datenverarbeitung im Kunden-Support und internen Stellen des Verkehrsunternehmens

Zur Klärung von technischen Problemen können personenbezogene Daten, Abrechnungsdaten und Bewegungsdaten durch den IT-Dienstleister oder durch interne Stellen verarbeitet werden. Die Verarbeitung ist notwendig, um die vertraglich vereinbarte Leistung zu erbringen. Die Datenverarbeitung beruht auf Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.

Im Rahmen des Kunden-Supports werden personenbezogenen Daten, Abrechnungsdaten und Bewegungsdaten durch Mitarbeiter des Verkehrsunternehmens verarbeitet. Die Verarbeitung dient der Klärung von abrechnungstechnischen Fragestellungen. Die Verarbeitung ist notwendig, um die vertraglich vereinbarte Leistung zu erbringen. Die Datenverarbeitung beruht auf Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.

Daneben können die Daten zur Aufdeckung von Abrechnungsbetrug oder vergleichbaren Fallgestaltungen durch die hierfür verantwortliche, interne Stelle des Verkehrsunternehmens verarbeitet werden. In besonderen Fällen können hierzu auch externe Spezialisten (z.B. Forensiker von Wirtschaftsprüfungsgesellschaften) beauftragt werden. Die Verarbeitung erfolgt, um wirtschaftlichen Schaden von unseren Kunden und vom Unternehmen abzuwenden. Die Datenverarbeitung beruht auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO.

Im Rahmen der Erstellung von internen Statistiken und Reports hinsichtlich der Nutzung der App, der Nutzung und der Wirkung des eTarifs sowie weiterer Fragestellungen werden Daten verarbeitet. Die Statistiken werden regelmäßig anonymisiert erstellt. In Einzelfällen besteht jedoch die Möglichkeit der Rückverfolgbarkeit. Die Datenverarbeitung beruht auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO.

8.) Datenverarbeitung zur Einahmeaufteilung

Aufgrund gegenseitiger Verträge dürfen die beteiligten Verkehrsunternehmen Tickets aus anderen Tarifräumen und anderen Beförderungsgebieten im eigenen Namen und auf eigene Rechnung verkaufen. Somit übernehmen die verkaufenden Verkehrsunternehmen die Rolle des Kundenvertragspartners.
Damit die Verkehrsunternehmen, welche die physische Beförderungsdienstleistung erbringen, die Einnahmen entsprechend der erbrachten Leistung erhalten, bedarf es einer Einnahmeaufteilung. Die Datenverarbeitung beruht auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO.

Hierzu erfolgt eine Datenübermittlung, bei Verkäufen im Rahmen der eTarife der einzelnen Verbünde, durch die BOGESTRA an den VRR, dem VRS, dem AVV und der ZWL da diese im jeweiligen Verantwortungsbereich die Einnahmeaufteilung durchführen. Hierzu wurden Verträge zur gemeinsamen Verantwortlichkeit nach Artikel 26 DSGVO zwischen dem VRR, dem VRS, dem AVV, der ZWL und der BOGESTRA geschlossen.

Bei Fahrten, welche über mehrere Tarifräume erfolgt sind (eTarif NRW) übernimmt das KCM (Kompetenzcenter Marketing) als eine Fachabteilung des VRS (Verkehrsverbund Rhein-Sieg) die Einnahmeaufteilung.

Hierzu erfolgt eine Datenübermittlung bei Verkäufen durch die BOGESTRA an das KCM, welches bei tarifraumübergreifenden Fahrten die Einnahmeaufteilung durchführt. Hierzu wurde ein Vertrag zur gemeinsamen Verantwortlichkeit nach Artikel 26 DSGVO zwischen dem KCM und der BOGESTRA geschlossen.

9.) Datenverarbeitung zum Mindererlösausgleich

Aufgrund der Struktur des eTarifs besteht eine finanzielle Unterdeckung in Bezug auf die bestehende, klassische Tarifstruktur. Es besteht ein berechtigtes Interesse des Verkehrsunternehmens am Ausgleich dieser Unterdeckung durch die öffentliche Hand. Zur Durchführung der notwendigen Berechnungen werden Daten übermittelt. Die Datenverarbeitung beruht auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO. Daten können an die folgenden Partner übermittelt werden:

- Verkehrsverbund Rhein-Ruhr AöR (VRR)
  Augustastraße 1, 45879 Gelsenkirchen, info@vrr.de
  Telefon +49 209 15840
- Verkehrsverbund Rhein-Sieg GmbH (VRS)
  Kompetenzcenter Marketing NRW (KCM)
  Glockengasse 37 – 39, 50667 Köln, info@vrs.de oder kcm-nrw@vrs.de
  Telefon +49 221 208080
- Aachener Verkehrsverbund GmbH (AVV)
  Neuköllner Straße 1, 52068 Aachen, info@avv.de
  Telefon +49 241 968970
- WestfalenTarif GmbH (ZWL)
  Willy-Brandt-Platz 2, 36602 Bielefeld, info@westfalentarif.de
  Telefon +49 521 55766644

10.) Datenverarbeitung zum Tarif-Controlling und zur Tarif-Kalkulation

Der eTarif NRW sowie die eTarife des VRR, VRS, AVV und ZWL stellen ein zusätzliches Produkt im gesamten Ticketportfolio des VRRs bzw. der Verkehrsverbünde in NRW dar.

Zur kaufmännischen Prüfung der Auswirkung dieser Tarife auf die übrigen Tarife bzw. der Tariflandschaft erfolgt ein umfassendes Controlling der Tarife. Hierzu werden die Abrechnungsdaten an den VRR, dem VRS, dem AVV und der ZWL, zum Controlling der eTarife in den Verbünden sowie an das KCM zur Controlling des eTarifs NRW übermittelt. Das Tarif-Controlling stellt die Basis für die Tarif-Kalkulation dar. Die Datenverarbeitung beruht auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO.

Die übermittelten Daten beinhalten keine Personenstammdaten. Aufgrund der Übermittlung der Kunden-ID sowie den Zeit-Raum-Bezüge der Fahrten, kann, bei einer Zusammenführung dieser Daten mit den Abrechnungsdaten und den Personenstammdaten, welche bei den Verkehrsunternehmen gespeichert sind, eine Re-Personalisierung erfolgen.

Aufgrund dieser Re-Personalisierung kann ein zeitliches und räumliches Bewegungsprofil aller durchgeführten Fahrten des Kunden personalisiert erstellt werden. Um dies zu unterbinden, sind die Datenbestände beim VRR, beim VRS, beim AVV, bei der ZWL und dem KCM strickt von den Datenbeständen der Verkehrsunternehmen, bei denen die Personenstammdaten verarbeitet werden, getrennt.

11.) Datenverarbeitung zur Markt- und Meinungsforschung

Meinungsforschung verwendet werden. Die Einwilligung kann jederzeit gegenüber dem Verkehrsunternehmen widerrufen werden. In diesem Fall leitet das Verkehrsunternehmen den Widerspruch unverzüglich an das KCM und dem VRR AöR weiter. Die Datenverarbeitung beruht auf Artikel 6 Absatz 1 Satz 1 lit. a DSGVO.

Bei einer Einwilligung in die Markt- und Meinungsforschung werden im Rahmen des eTarifs NRW die Personenstammdaten sowie weitere Informationen durch das Verkehrsunternehmen an das KCM und im Rahmen des eTarifs VRR an den VRR AöR übermittelt.

Bei der Datenübermittlung im Rahmen der Markt- und Meinungsforschung wird die Trennung der personenbezogenen Stammdaten (u.a. Name, Vorname, Anschrift), von den Abrechnungsdaten und den Bewegungsdaten aufgehoben. Im Rahmen der Markt- und Meinungsforschung kann somit ein vollständiges zeitliches und räumliches Bewegungsprofil, sowie ein individuelles Nutzerprofil (u.a. abgerechnete Tickets, Zubuchungen, Wagenklassen etc.) erstellt und dem Kunden personalisiert zugeordnet werden.

Bei der Durchführung der Markt- und Meinungsforschung können durch das KCM oder den VRR AöR weitere Dienstleister eingebunden werden. Die Verantwortung für die Auswahl und Beauftragung obliegt dem KCM bzw. dem VRR AöR. Hierauf hat das Verkehrsunternehmen keinen Einfluss.

Datenbereitstellung zur Erfüllung eines Beförderungsvertrags

Die im Rahmen der Erbringung einer Beförderungsleistung durch das jeweilige Verkehrsunternehmen durchgeführte Datenverarbeitung (z.B. bei der Fahrkartenkontrolle) unterfällt den entsprechend anzuwendenden Datenschutzinformationen des Verkehrsunternehmens. Diese können vom Nutzer auf der Internetseite des betroffenen Verkehrsunternehmens, mit dem ein Beförderungsvertrag abgeschlossen wird, eingesehen werden.

Die Bereitstellung der personenbezogenen Daten auf dem ausgestellten Ticket an das betroffene Verkehrsunternehmen zum Zwecke der Fahrkartenkontrolle erfolgt zur Erfüllung des mit dem jeweiligen Verkehrsunternehmens geschlossenen Vertrages (Art. 6 Abs. 1 lit. b DSGVO) sowie zur Erfüllung des berechtigten Interesses des betroffenen Verkehrsunternehmens an einer ordnungsgemäßen Leistungserbringung (Art. 6 Abs. 1 lit. f DSGVO).

Werbung

Sofern eine Einwilligung erteilt wird, können die Daten für Werbung verwendet werden. Die Datenverarbeitung beruht auf Artikel 6 Absatz 1 Satz 1 lit. a DSGVO. Diese Einwilligung kann jederzeit mit Textnachricht an das Verkehrsunternehmen widerrufen werden.

Sicherheitsmaßnahmen

Wir treffen organisatorische, vertragliche und technische Sicherheitsmaßnahmen entsprechend dem Stand der Technik, um sicherzustellen, dass die datenschutzrechtlichen Bestimmungen eingehalten werden und um damit die durch uns verarbeiteten Daten gegen zufällige oder vorsätzliche Manipulationen, Verlust, Zerstörung oder gegen den Zugriff unberechtigter Personen zu schützen. Zu den Sicherheitsmaßnahmen gehört insbesondere die verschlüsselte Übertragung von Daten zwischen Ihrem Browser und unserem Server.

Wesentliche Bestandteile der Vereinbarung zur gemeinsamen Verantwortung

Gemäß Artikel 26 Absatz 2 DSGVO informieren wir an dieser Stelle über die wesentlichen Bestandteile der Vereinbarungen zur gemeinsamen Verantwortung. Diese wird vor Durchführung der Datenübermittlung an die Partner abgeschlossen.

1.) Gegenstand, Parteien und Dauer des Joint-Controller Vertrages

Regelung zum Vertragsgegenstand, der Rechten und Pflichten der Parteien sowie der Dauer des Vertrages.

2.) Einzelheiten zu den gemeinsamen Datenverarbeitungen

Diese sind im vorstehenden Teil im Wesentlichen beschrieben.

3.) Parteien

Die Parteien sind:

Verkehrsverbund Rhein-Ruhr AöR (VRR)
Augustastraße 1, 45879 Gelsenkirchen, info@vrr.de
Telefon +49 209 15840
Verkehrsverbund Rhein-Sieg GmbH (VRS)
Kompetenzcenter Marketing NRW (KCM)
Glockengasse 37 – 39, 50667 Köln, info@vrs.de oder kcm-nrw@vrs.de
Telefon +49 221 208080
Aachener Verkehrsverbund GmbH (AVV)
Neuköllner Straße 1, 52068 Aachen, info@avv.de
Telefon +49 241 968970
WestfalenTarif GmbH (ZWL)
Willy-Brandt-Platz 2, 36602 Bielefeld, info@westfalentarif.de
Telefon +49 521 55766644
PaderSprinter GmbH
Barkhauser Straße 6, 33106 Paderborn
Telefon +49 5251 6997 222

Sowie weitere Verkehrsunternehmen aus NRW, diese sind jedoch keine direkten Vertragspartner der Verbundgesellschaft Paderborn/Höxter mbH und werden an dieser Stelle nicht aufgeführt. Es erfolgt kein Datenaustausch zwischen den Verkehrsunternehmen untereinander.

4.) Beitritt zu dem Joint-Controller-Vertrag

Der Beitritt erfolgt durch schriftliche Erklärung des jeweiligen Verkehrsunternehmens gegenüber den Vertragsparteien.

5.) Rechtmäßigkeit der Datenverarbeitungen

Es wird geregelt, dass eine Datenverarbeitung der Vertragspartner ausschließlich bei Vorliegen der Rechtmäßigkeit gemäß der DSGVO erfolgen darf.

6.) Verantwortlichkeit und deren Abgrenzung

Die Abgrenzung der Verantwortlichkeiten ist im Wesentlichen im vorstehenden Teil wiedergegeben.

7.) Betroffenenrechte

Die Betroffenenrechte können jederzeit gegenüber dem Verkehrsunternehmen ausgeübt werden. Die Betroffenenrechte sind umfassend im vorderen Teil dieser Datenschutzerklärung dargestellt.

8.) Gegenseitige Unterstützungs- und Informationspflichten

Die Vertragsparteien verpflichten sich zur gegenseitigen Unterstützung und Information.

9.) Datenschutzmaßnahmen, u.a. Löschen

Die Vertragsparteien verpflichten sich zur Durchführung der notwendigen Datenschutzmaßnahmen und insbesondere zur Datenlöschung, gemäß den gesetzlichen Vorgaben.

10.) Einsatz von Auftragsverarbeitern

Bei der Beauftragung von Auftragsverarbeiter werden insbesondere die Operativen Verantwortlichen mit diesen angemessenen Regelungen zur Gewährleistung des Datenschutzes und der Datensicherheit zu vereinbaren.

11.) Haftung

Regelungen zur Haftung im Innenverhältnis der Vertragsparteien.