Datenschutzerklärung

der Duisburger Verkehrsgesellschaft AG (DVG) zu Nutzung des Verbund-TicketShops

Inhaltsübersicht

TEIL A: Allgemeine Datenschutzerklärung zur Datenverarbeitung bei der DVG

TEIL B: Datenschutzerklärung zur Datenverarbeitung für den Ticket-Verkauf der DVG im klassischen Tarif (Flächenzonentarif) über die Apps und den Webshop

TEIL C: Datenschutzerklärung zur Datenverarbeitung für den Verkauf von eTickets des eTarifs (streckenbezogener Tarif) über die App „myDVG Bus & Bahn“ der DVG sowie in der „VRR App“ der Verkehrsverbund Rhein-Ruhr AöR.

---

TEIL A. Allgemeine Datenschutzerklärung zur Datenverarbeitung bei der DVG

1. Gegenstand dieser Datenschutzerklärung

Wir, die DVG, freuen uns über dein Interesse an unserem Verbund-TicketShop.

Der Schutz deiner personenbezogenen Daten ist uns ein wichtiges Anliegen. Nachfolgend möchten wir dich daher ausführlich darüber informieren, welche Daten bei deinem Besuch unseres Verbund-TicketShops, bei der Nutzung unserer dortigen Angebote erhoben und wie diese von uns im Folgenden verarbeitet oder genutzt werden. Des Weiteren informieren wir dich auch darüber, welche begleitenden Schutzmaßnahmen wir in technischer und organisatorischer Hinsicht getroffen haben.

Die Verarbeitung personenbezogener Daten, wie z.B. Name, Anschrift, E-Mail-Adresse oder Telefonnummer einer betroffenen Person erfolgt stets im Einklang mit den geltenden datenschutzrechtlichen Bestimmungen. Mittels dieser Datenschutzerklärung möchten wir dich über Art, Umfang und Zweck der von uns erhobenen, genutzten und verarbeiteten personenbezogenen Daten informieren und sofern du von der Datenverarbeitung betroffen sind, aufklären.

Obwohl wir als die für die Verarbeitung von personenbezogenen Daten Verantwortliche zahlreiche technische und organisatorische Maßnahmen umgesetzt haben, kann eine internetbasierte Datenübertragung grundsätzlich Sicherheitslücken aufweisen, sodass ein absoluter Schutz nicht gewährleistet werden kann. Wir bitten dies bei der Nutzung unseres Internetangebots zu berücksichtigen.

2. Begriffsbestimmungen

In dieser Datenschutzerklärung werden Begriffe verwendet, die durch den Gesetzgeber in der Datenschutzgrundverordnung (nachfolgend auch DSGVO) vorgegeben wurden. Die DSGVO könnten Sie unter folgenden Link abrufen:

http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679&from=DE

Das Ziel unserer Datenschutzerklärung ist, dich in einfacher und verständlicher Weise über die Verarbeitung deiner personenbezogenen Daten in unserem Verbund-TicketShop, den vorgeschalteten Internetseiten zu informieren.

3. Name und Anschrift des für die Verarbeitung Verantwortlichen

Verantwortlicher im Sinne des Datenschutzrechts ist die:

Duisburger Verkehrsgesellschaft AG
Bungertstr. 27
47053 Duisburg
Telefon: 0203 604-0
mobilesticket(at)dvg-duisburg "«@&.de

4. Kontaktdaten des Datenschutzbeauftragten

Duisburger Verkehrsgesellschaft AG
Datenschutzbeauftragter
Bungertstraße 27
47053 Duisburg

oder per E-Mail: datenschutzbeauftragter(at)dvg-duisburg "«@&.de

5. Löschung und Sperrung personenbezogenen Daten/Speicherdauer

Sofern nichts Abweichendes bei der jeweiligen Verarbeitung der personenbezogenen Daten in TEIL B oder TEIL C dieser Datenschutzerklärung geregelt wird, werden die bei uns gespeicherten Daten gelöscht, sobald sie für ihre Zweckbestimmung nicht mehr erforderlich sind und der Löschung keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Sofern die Daten der betroffenen Person nicht gelöscht werden, weil sie für andere und gesetzlich zulässige Zwecke erforderlich sind, wird deren Verarbeitung eingeschränkt. D.h. die Daten werden gesperrt und nicht für andere Zwecke verarbeitet. Das gilt z.B. für Daten der betroffenen Person, die aus handels- oder steuerrechtlichen Gründen aufbewahrt werden müssen.

Nach den gesetzlichen Vorgaben erfolgt die Aufbewahrung für sechs Jahre gemäß § 257 Abs. 1 HGB (Handelsbücher, Inventare, Eröffnungsbilanzen, Jahresabschlüsse, Handelsbriefe, Buchungsbelege, etc.) sowie für zehn Jahre gemäß § 147 Abs. 1 AO (Bücher, Aufzeichnungen, Lageberichte, Buchungsbelege, Handels- und Geschäftsbriefe, etc.).

6. Rechte der betroffenen Person

6.1. Recht auf Bestätigung

Jede betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber eingeräumte Recht, von dem für die Verarbeitung Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Möchte eine betroffene Person dieses Bestätigungsrecht in Anspruch nehmen, kann sie sich hierzu jederzeit an uns wenden.

6.2. Recht auf Auskunft

Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das Recht, jederzeit von dem für die Verarbeitung Verantwortlichen unentgeltliche Auskunft über die zu seiner Person gespeicherten personenbezogenen Daten und eine Kopie dieser Auskunft zu erhalten. Ferner stehen der betroffenen Person Auskunft über folgende Informationen zu:

• die Verarbeitungszwecke
• die Kategorien personenbezogener Daten, die verarbeitet werden
• die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen
• falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
• das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung
• das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
• wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden: Alle verfügbaren Informationen über die Herkunft der Daten
• das Bestehen einer automatisierten Entscheidungsfindung einschließlich eines Profilings gemäß Artikel 22 Abs.1 und 4 DSGVO und - zumindest in diesen Fällen - aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person

Ferner steht der betroffenen Person ein Recht auf Auskunft darüber zu, ob personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt wurden. Sofern dies der Fall ist, steht der betroffenen Person im Übrigen das Recht zu, Auskunft über die geeigneten Garantien im Zusammenhang mit der Übermittlung zu erhalten.

Möchte eine betroffene Person dieses Auskunftsrecht in Anspruch nehmen, kann sie sich hierzu jederzeit an uns wenden.

6.3 Recht auf Berichtigung

Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das Recht, die unverzügliche Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Ferner steht der betroffenen Person das Recht zu, unter Berücksichtigung der Zwecke der Verarbeitung, die Vervollständigung unvollständiger personenbezogener Daten mittels einer ergänzenden Erklärung zu verlangen.

Möchte eine betroffene Person dieses Berichtigungsrecht in Anspruch nehmen, kann sie sich hierzu jederzeit an uns wenden.

6.4 Recht auf Löschung

Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass die sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden, sofern einer der folgenden Gründe zutrifft und soweit die Verarbeitung nicht erforderlich ist:

• Die personenbezogenen Daten wurden für solche Zwecke erhoben oder auf sonstige Weise verarbeitet, für welche sie nicht mehr notwendig sind.
• Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Art. 6 Abs. 1 Buchstabe a DSGVO oder Art. 9 Abs. 2 Buchstabe a DSGVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
• Die betroffene Person legt gemäß Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung ein, und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Art. 21 Abs. 2 DSGVO Widerspruch gegen die Verarbeitung ein.
• Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
• Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
• Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DSGVO erhoben.

Sofern einer der oben genannten Gründe zutrifft und eine betroffene Person die Löschung von personenbezogenen Daten, die bei uns gespeichert sind, veranlassen möchte, kann sie sich hierzu jederzeit an uns wenden. Wir werden veranlassen, dass dem Löschverlangen unverzüglich nachgekommen wird.

Wurden die personenbezogenen Daten von uns öffentlich gemacht und ist unser Unternehmen als Verantwortlicher gemäß Art. 17 Abs. 1 DSGVO zur Löschung der personenbezogenen Daten verpflichtet, so trifft uns unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um andere für die Datenverarbeitung Verantwortliche, welche die veröffentlichten personenbezogenen Daten verarbeiten, darüber in Kenntnis zu setzen, dass die betroffene Person von diesen anderen für die Datenverarbeitung Verantwortlichen die Löschung sämtlicher Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat, soweit die Verarbeitung nicht erforderlich ist. Wir werden im Einzelfall das Notwendige veranlassen.

6.5 Recht auf Einschränkung der Verarbeitung

Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:

• Die Richtigkeit der personenbezogenen Daten wird von der betroffenen Person bestritten, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen.
• Die Verarbeitung ist unrechtmäßig, die betroffene Person lehnt die Löschung der personenbezogenen Daten ab und verlangt stattdessen die Einschränkung der Nutzung der personenbezogenen Daten.
• Der Verantwortliche benötigt die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger, die betroffene Person benötigt sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
• Die betroffene Person hat Widerspruch gegen die Verarbeitung nach Art. 21 Abs. 1 DSGVO eingelegt und es steht noch nicht fest, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.

Sofern eine der zuvor genannten Fälle vorliegt und eine betroffene Person die Einschränkung von personenbezogenen Daten, die bei uns gespeichert sind, verlangen möchte, kann sie sich hierzu jederzeit an uns wenden. Wir werden dann die Einschränkung der Verarbeitung veranlassen.

6.6 Recht auf Datenübertragbarkeit

Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, welche durch die betroffene Person einem Verantwortlichen bereitgestellt wurden, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Die betroffene Person hat außerdem das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern die Verarbeitung auf der Einwilligung gemäß Art. 6 Abs. 1 Buchstabe a DSGVO oder Art. 9 Abs. 2 Buchstabe a DSGVO oder auf einem Vertrag gemäß Art. 6 Abs. 1 Buchstabe b DSGVO beruht und die Verarbeitung mithilfe automatisierter Verfahren erfolgt, sofern die Verarbeitung nicht für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, welche dem Verantwortlichen übertragen wurde.

Ferner hat die betroffene Person bei der Ausübung ihres Rechts auf Datenübertragbarkeit gemäß Art. 20 Abs. 1 DSGVO das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen an einen anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist und sofern hiervon nicht die Rechte und Freiheiten anderer Personen beeinträchtigt werden.

Zur Geltendmachung des Rechts auf Datenübertragbarkeit kann sich die betroffene Person jederzeit an uns wenden.

6.7 Recht auf Widerspruch

Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das Recht, aus Gründen, die sich aus deiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 Buchstaben e oder f DSGVO erfolgt, Widerspruch einzulegen. Dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.

Die DVG verarbeitet die personenbezogenen Daten im Falle des Widerspruchs nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die den Interessen, Rechten und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Verarbeiten wir personenbezogene Daten, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung der personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen. Dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht. Widerspricht die betroffene Person gegenüber der DVG der Verarbeitung für Zwecke der Direktwerbung, so werden wir die personenbezogenen Daten nicht mehr für diese Zwecke verarbeiten.

Zudem hat die betroffene Person das Recht, aus Gründen, die sich aus deiner besonderen Situation ergeben, gegen die sie betreffende Verarbeitung personenbezogener Daten, die bei uns zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gemäß Art. 89 Abs. 1 DSGVO erfolgen, Widerspruch einzulegen, es sei denn, eine solche Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich.

Zur Ausübung des Rechts auf Widerspruch kann sich die betroffene Person direkt an uns wenden. Der betroffenen Person steht es ferner frei, im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft, ungeachtet der Richtlinie 2002/58/EG, ihr Widerspruchsrecht mittels automatisierter Verfahren auszuüben, bei denen technische Spezifikationen verwendet werden.

6.8 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling

Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber gewährte Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung - einschließlich eines evtl. Profiling - beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtlicher Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, sofern die Entscheidung

• nicht für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist, oder
• aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder
• mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.

Ist die Entscheidung

• für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich oder
• erfolgt sie mit ausdrücklicher Einwilligung der betroffenen Person, treffen wir angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.

Möchte die betroffene Person Rechte mit Bezug auf automatisierte Entscheidungen geltend machen, kann sie sich hierzu jederzeit an uns wenden.

6.9 Recht auf Widerruf einer datenschutzrechtlichen Einwilligung

Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das Recht, eine Einwilligung zur Verarbeitung personenbezogener Daten jederzeit zu widerrufen. Möchte die betroffene Person ihr Recht auf Widerruf einer Einwilligung geltend machen, kann sie sich hierzu jederzeit an uns wenden.

Jede betroffene Person kann sich jederzeit bei allen Fragen und Anregungen zum Datenschutz direkt an uns wenden.

6.10 Beschwerderecht gegenüber einer Datenschutz-Aufsichtsbehörde

Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung deiner personenbezogenen Daten durch uns zu beschweren.

Beschwerden gegen DVG sind an die

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestr. 2-4
40213 Düsseldorf
Telefon: 0211/38424-0
Fax: 0211/38424-999
E-Mail: poststelle@ldi.nrw.de

zu richten.

7. Rechtsgrundlage der Verarbeitung

Sofern bei der Beschreibung des jeweiligen Datenverarbeitungsvorgangs in dem nachfolgenden TEIL B oder TEIL C. dieser Datenschutzerklärung nichts anderes angegeben wird, gelten nachfolgende Regelungen.

Art. 6 I lit. a DSGVO dient uns als Rechtsgrundlage für Verarbeitungsvorgänge, bei denen eine Einwilligung für einen bestimmten Verarbeitungszweck einholt werden muss. Ist die Verarbeitung personenbezogener Daten zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich, so beruht die Verarbeitung auf Art. 6 I lit. b DSGVO. Gleiches gilt für Verarbeitungsvorgänge die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind, etwa in Fällen von Anfragen zu unseren Dienstleistungen und Produkten. Unterliegen wir einer rechtlichen Verpflichtung durch welche eine Verarbeitung von personenbezogenen Daten erforderlich wird, so basiert die Verarbeitung auf Art. 6 I lit. c DSGVO.

In seltenen Fällen könnte die Verarbeitung von personenbezogenen Daten erforderlich werden, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen. In diesem Fall beruht die die Verarbeitung auf Art. 6 I lit. d DSGVO. Letztlich könnten Verarbeitungsvorgänge auf Art. 6 I lit. f DSGVO beruhen. Auf dieser Rechtsgrundlage basieren Verarbeitungsvorgänge, die von keiner der vorgenannten Rechtsgrundlagen erfasst werden, wenn die Verarbeitung zur Wahrung eines unseres berechtigten Interesses oder eines Dritten erforderlich ist, sofern die Interessen, Grundrechte und Grundfreiheiten des Betroffenen nicht überwiegen. Solche Verarbeitungsvorgänge sind uns insbesondere deshalb erlaubt, weil sie durch den Europäischen Gesetzgeber besonders erwähnt wurden (vgl. Erwägungsgrund 47 Satz 2 DSGVO).

8. Berücksichtigung berechtigter Interessen

Sofern bei der Beschreibung des jeweiligen Datenverarbeitungsvorgangs in TEIL B oder TEIL C. dieser Datenschutzerklärung nichts Anderes geregelt wird und die Verarbeitung personenbezogener Daten auf Artikel 6 I lit. f DSGVO basiert, besteht unser berechtigtes Interesse in der Durchführung unserer Geschäftstätigkeit und dem damit verbundenen wirtschaftlichen Interesse.

9. Datenschutz bei Verwendung unserer Kontaktdaten

Sofern du die in unserem Verbund-TicketShop angegebenen Kontaktdaten (wie z.B. unsere E-Mail-Adresse oder Faxnummer) für eine Kontaktaufnahme mit uns verwendest, werden die von dir dabei übermittelten personenbezogenen Daten nur für den mit der Kontaktaufnahme verfolgten Zweck verarbeitet.

Sofern der Grund deiner Kontaktaufnahme in dem Interesse an unseren Dienstleistungen bzw. Produkten bzw. in der Erfüllung eines mit uns bestehenden Vertrages besteht, ist die Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO. In allen anderen Fällen der Kontaktaufnahme haben wir ein berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO an der Datenverarbeitung aufgrund der von dir initiierten Kommunikation.

1. zur Vertragsabwicklung erforderlichen Daten speichern wir bis zum Ablauf der gesetzlichen Gewährleistungs- und ggf. vertraglichen Garantiefristen. Die nach Handels- und Steuerrecht erforderlichen Daten bewahren wir für die gesetzlich bestimmten Zeiträume auf, regelmäßig zehn Jahre (vgl. § 257 HGB, § 147 AO). Die zur Durchführung vorvertraglicher Maßnahmen verarbeiteten Daten werden gelöscht, sobald die Maßnahmen durchgeführt wurden und es erkennbar nicht zu einem Vertragsschluss kommt.

Die von uns aufgrund eines berechtigten Interesses gespeicherten personenbezogenen Daten werden bis zur Erreichung des mit der Kontaktaufnahme verfolgten Zwecks gespeichert. Du hast das Recht, der Datenverarbeitung die auf der Grundlage des Art. 6 Abs. 1 f) DSGVO erfolgt und nicht der Direktwerbung dient aus Gründen, die sich aus deiner besonderen Situation ergeben, jederzeit zu widersprechen. Im Falle der Direktwerbung kannst du der Verarbeitung hingegen ohne Angabe von Gründen jederzeit widersprechen.

Empfänger der nach dieser Vorschrift verarbeiteten personenbezogenen Daten sind IT-Dienstleister (insb. Hoster), mit denen wir gemäß Art. 28 DSGVO eine entsprechende Auftragsverarbeitungsvereinbarung geschlossen haben sowie weitere Empfänger die in TEIL B oder TEIL C spezifiziert sind.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns das Recht vor, diese Datenschutzerklärung jederzeit mit Wirkung für die Zukunft zu ändern. Eine jeweils aktuelle Version ist im Verbund-TicketShop verfügbar. Bitte informiere dich regelmäßig über die geltende Datenschutzerklärung.

---

TEIL B. Datenschutzerklärung zur Datenverarbeitung für den Ticket-Verkauf der DVG im klassischen Tarif (Flächenzonentarif) über die Apps und den Webshop

1. Erhebung und Verwendung deiner Daten

Umfang und Art der Erhebung und Verwendung deiner Daten unterscheidet sich danach, ob du unseren Internetauftritt nur zum Abruf von Informationen besuchst oder von uns angebotene Leistungen, wie z.B. einen Ticket-Kauf oder einen Newsletter-Abonnement in Anspruch nimmst und dich gegebenenfalls registrierst.

2. Informatorische Nutzung/erhobene Daten/Cookies

Bei der bloß informatorischen Nutzung der Webseiten, also wenn du z.B. keinen Kauf über den Verbund-TicketShop tätigst oder uns anderweitig Informationen übermittelst, erheben wir nur die personenbezogenen Daten, die dein Browser an unseren Server übermittelt. Wenn du unsere Website betrachten möchtest, erheben wir die folgenden Daten, die für uns technisch erforderlich sind, um dir unsere Website anzuzeigen und die Stabilität und Sicherheit zu gewährleisten (Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. f DSGVO):

• IP-Adresse
• Datum und Uhrzeit der Anfrage
• Zeitzonendifferenz zur Greenwich Mean Time (GMT)
• Inhalt der Anforderung (konkrete Seite)
• Zugriffsstatus/HTTP-Statuscode
• jeweils übertragene Datenmenge
• Website, von der die Anforderung kommt
• Browser
• Betriebssystem und dessen Oberfläche
• Sprache und Version der Browsersoftware

Die nach Abs. 1 dieser Vorschrift verarbeiteten Daten werden zu den angegebenen Zwecken für die Dauer max. 30 Tagen gespeichert und danach gelöscht.

Zusätzlich zu den zuvor genannten Daten werden bei deiner Nutzung unserer Website Cookies auf Ihrem Rechner gespeichert. Dies geschieht aufgrund unseres berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO an der Optimierung und dem wirtschaftlichen Betrieb unseres Onlineangebotes. Bei Cookies handelt es sich um kleine Textdateien, die auf deiner Festplatte dem von dir verwendeten Browser zugeordnet gespeichert werden und durch welche der Stelle, die dem Cookie setzt (hier durch uns), bestimmte Informationen zufließen. Cookies können keine Programme ausführen oder Viren auf deinen Computer übertragen. Sie dienen dazu, das Internetangebot insgesamt nutzerfreundlicher und effektiver zu machen.

Einsatz von Cookies:

a) Unsere Website nutzt folgende Arten von Cookies, deren Umfang und Funktionsweise im Folgenden erläutert werden:

• Transiente Cookies (dazu b)
• Persistente Cookies (dazu c).

b) Transiente Cookies werden automatisiert gelöscht, wenn du den Browser schließt. Dazu zählen insbesondere die Session-Cookies. Diese speichern eine sogenannte Session-ID, mit welcher sich verschiedene Anfragen deines Browsers der gemeinsamen Sitzung zuordnen lassen. Dadurch kann dein Rechner wiedererkannt werden, wenn du auf unsere Website zurückkehren. Die Session-Cookies werden gelöscht, wenn du dich ausloggst oder den Browser schließt.

c) Persistente Cookies werden automatisiert nach 30 Tagen gelöscht.

Empfänger der nach den vorstehenden Absätzen verarbeiteten Daten sind IT-Dienstleister (insb. Hoster) mit denen wir entsprechende Auftragsverarbeitungsvereinbarungen gemäß Art. 28 DSGVO geschlossen haben.

3. Nutzung des Verbund-TicketShops

Soweit du die auf unseren Webseiten angebotenen Leistungen, wie etwa kostenpflichtige Kauf von Tickets, in Anspruch nehmen wollen, ist es nötig, dass du dazu weitere personenbezogene Daten angibst. Einzelheiten hierzu können den nachfolgenden Regelungen entnommen werden.

3.1 Datenverarbeitung zwecks Vertragsabschlusses im Verbund-TicketShop

Deine personenbezogenen Daten, die du uns während des Buchungsprozesses (Ticket-Kauf) zur Verfügung stellst, sind für einen Vertragsabschluss mit uns erforderlich (z.B. Angaben zum Vertragspartner) bzw. gesetzlich notwendig (z.B. Steuervorschriften). Eine Nichtbereitstellung der personenbezogenen Daten hätte zur Folge, dass der Vertrag mit dir nicht geschlossen werden kann.

Die Verarbeitung deiner eingegebenen Daten erfolgt also für den Zweck der Vertragserfüllung bzw. zur Durchführung vorvertraglicher Maßnahmen gemäß Art. 6 Abs. 1 lit. b DSGVO und zur Erfüllung rechtlicher Verpflichtungen gemäß Art. 6 Abs. 1 lit. c DSGVO.

Empfänger der nach dieser Vorschrift verarbeiteten personenbezogenen Daten sind im Wesentlichen Finanzdienstleister (z.B. Zahlungsdienstleister), IT-Dienstleister (insb. Hosting), andere Verkehrsunternehmen (im Rahmen der Ticketprüfung), Auskunfteien, Rechtsbeistände, Behörden (Gerichte, Polizei, Finanzämter), Steuer- und Wirtschaftsprüfer, Call-Center (Kundendialog) sowie Markt- und Meinungsforschungsunternehmen (soweit eine Einwilligung vorliegt) mit denen wir entsprechende Auftragsverarbeitungsvereinbarungen gemäß Art. 28 DSGVO geschlossen haben.

Die zur Vertragsabwicklung erforderlichen Daten speichern wir bis zum Ablauf der gesetzlichen Gewährleistungs- und ggf. vertraglichen Garantiefristen. Die nach Handels- und Steuerrecht erforderlichen Daten bewahren wir für die gesetzlich bestimmten Zeiträume auf, regelmäßig zehn Jahre (vgl. § 257 HGB, § 147 AO). Die zur Durchführung vorvertraglicher Maßnahmen verarbeiteten Daten werden gelöscht, sobald die Maßnahmen durchgeführt wurden und es erkennbar nicht zu einem Vertragsschluss kommt.

3.2 Daten und Datenkategorien die verarbeitet werden

Nachfolgend erfolgt die Aufstellung der Daten und Datenkategorien die im Wesentlichen verarbeitet werden:

personenbezogene Stammdaten (Personenstammdaten):

• Vor- und Nachnamen
• Rechnungsadresse (Straße, Hausnummer, Postleitzahl, Ort, Land)
• Geburtsdatum
• Geschlecht
• E-Mail-Adresse
• deine Kunden-ID
• Teilnahme Marktforschung ja/nein
• Werbung ja/nein

Sicherheitsdaten:

• Passwort
• Sicherheitsabfrage

3.3 Buchen der Käufe und Bezahlen

Der Kauf wird nach Buchhaltungsregeln in der Datenbank des Verbund-TicketShops gebucht. Der zu zahlende Betrag wird an den Finanzdienstleister weitergegeben.

Beim Buchen werden im Wesentlichen gespeichert

• Finanzinformationen (verkürzte IBAN/CC Nummer
• Finanzdienstleister
• Kunden ID, Zahlungsart)
• Ihre Kunden-ID
• Bestellungs-ID
• Bestelldatum und Bestellstatus
• Angaben zum Verkehrsbund
• Angaben über Gesamtpreis der gekauften Tickets sowie Informationen zum Ticket (Ticket ID, Gültigkeit, Geltungsbereich, Zone, Starthaltestelle, Tickettyp, verfügbare/verbrauchte Einheiten, Preisstufe, Barcode, Kategorie (Klasse), Tarif, Produktnummer, EAV Code, Erstattung).

3.4 eingesetzte Dienstleister

Im Rahmen der Leistungserbringung können die folgenden Dienstleister Zugriff auf Informationen erhalten:

• MENTZ GmbH (IT-Dienstleister)
  Grillparzerstraße 18, 81675 München, info(at)mentz "«@&.net,
  Telefon +49 89 418680
• SpaceNet AG (IT-Dienstleister, Sub-Unternehmer MENTZ GmbH)
  Joseph-Dollinger-Bogen 14, 80807 München, info(at)space "«@&.net
  Telefon +49 89 323560
• Sic[!]sec GmbH (Informationssicherheit, Sub-Unternehmer MENTZ GmbH)
  Schießsstraße 44, 85253 Erdweg, info(at)sicsec "«@&.de
  Telefon +49 81424425032
• Amazon Web Services (IT-Dienstleister, Sub-Unternehmer MENTZ GmbH)
  38 Avenue John F. Kennedy, L-1855 Luxembourg
• LogPay (Finanzdienstleister)
  Schwalbacher Straße 72, 65760 Eschborn, customer(at)logpay "«@&.de,
  Telefon +800 0000 2030

3.5 Datenbereitstellung zur Erfüllung eines Beförderungsvertrags

Die im Rahmen der Erbringung einer Beförderungsleistung durch das jeweilige Verkehrsunternehmen durchgeführte Datenverarbeitung (z.B. bei der Fahrkartenkontrolle) unterfällt den entsprechend anzuwendenden Datenschutzinformationen des Verkehrsunternehmens. Diese können vom Nutzer auf der Internetseite des betroffenen Verkehrsunternehmens, mit dem ein Beförderungsvertrag abgeschlossen wird, eingesehen werden.

Die Bereitstellung der personenbezogenen Daten auf dem ausgestellten Ticket an das betroffene Verkehrsunternehmen zum Zwecke der Fahrkartenkontrolle erfolgt zur Erfüllung des mit dem jeweiligen Verkehrsunternehmen geschlossenen Vertrages (Art. 6 Abs. 1 lit. b DSGVO) sowie zur Erfüllung des berechtigten Interesses des betroffenen Verkehrsunternehmens an einer ordnungsgemäßen Leistungserbringung (Art. 6 Abs. 1 lit. f DSGVO).

4. Einsatz von Zahlungsdienstleistern und Bonitätsauskunft

Wir geben deine personenbezogenen Daten (Vor- und Nachname, Geburtsdatum, Adresse, E-Mail-Adresse, Kontoverbindung, Kreditkartendaten, ggf. Telefonnummer sowie Daten zu Ihren jeweiligen Käufen) und alle Änderungen an die LogPay Financial Services GmbH zum Zwecke des Verkaufes und der Abtretung unserer Forderungen gegen dich, welche im Zusammenhang mit deinem Kauf, Miete oder Buchung entstehen, weiter. Dies erfolgt auf Grundlage des Art. 6 Abs. 1 S. 1 lit. f DS-GVO. Das berechtigte Interesse auf unserer Seite besteht in der Auslagerung der Zahlungsabwicklung und des Forderungsmanagements. Das berechtigte Interesse auf Seiten der LogPay Financial Services GmbH besteht in der Verarbeitung der Daten zum Zwecke der Abwicklung von Zahlungen, zum Forderungsmanagement, der Bewertung der Zulässigkeit von Zahlarten und der Vermeidung von Zahlungsausfällen.

Das Angebot auf Abschluss eines Kaufvertrages über ein Ticket wird nur angenommen, wenn die LogPay Financial Services GmbH die entstehende Forderung aus dem Ticketverkauf erwirbt. Wenn die LogPay Financial Services GmbH den Erwerb der Forderung ablehnt, wird Ihr Angebot auf Abschluss eines Kaufvertrages abgelehnt.

Du kannst der Übermittlung dieser Daten an die LogPay Financial Services GmbH jederzeit widersprechen, allerdings ist dann keine Bestellung mehr über den elektronischen Vertriebskanal möglich.

Die datenschutzrechtlichen Informationen der LogPay Financial Services GmbH kannst du unter https://www.logpay.de/DE/datenschutz/ abrufen.

Darüber hinaus verarbeiten wir deine personenbezogenen Daten, welche wir von LogPay Financial Services GmbH (Information über die Entscheidung, ob die Forderung erworben wird oder nicht) erhalten.

Im Fall einer Verarbeitung personenbezogener Daten zur Wahrnehmung von im öffentlichen Interesse liegenden Aufgaben (Art. 6 Abs. 1 S. 1 lit. e DS-GVO) oder zur Wahrnehmung berechtigter Interessen (Art. 6 Abs. 1 S. 1 lit. f DS-GVO), kannst du der Verarbeitung der dich betreffenden personenbezogenen Daten jederzeit mit Wirkung für die Zukunft widersprechen. Im Fall des Widerspruchs haben wir jede weitere Verarbeitung deine Daten zu den vorgenannten Zwecken zu unterlassen, es sei denn,

• es liegen zwingende, schutzwürdige Gründe für eine Verarbeitung vor, die deine Interessen, Rechte und Freiheiten überwiegen, oder
• die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich.

5. Werbung, Markt- oder Meinungsforschung

Sofern eine Einwilligung erteilt wird, können die Daten für Werbung-, Markt- oder Meinungsforschung verwendet werden.

Diese Einwilligung kann jederzeit mit Textnachricht an uns widerrufen werden.

6. Sicherheitsmaßnahmen

Wir treffen organisatorische, vertragliche und technische Sicherheitsmaßnahmen entsprechend dem Stand der Technik, um sicherzustellen, dass die datenschutzrechtlichen Bestimmungen eingehalten werden und um damit die durch uns verarbeiteten Daten gegen zufällige oder vorsätzliche Manipulationen, Verlust, Zerstörung oder gegen den Zugriff unberechtigter Personen zu schützen.

Zu den Sicherheitsmaßnahmen gehört insbesondere die verschlüsselte Übertragung von Daten zwischen deinem Browser und unserem Server.

---

TEIL C. Datenschutzerklärung zur Datenverarbeitung für den Verkauf von eTickets des eTarifs (streckenbezogener Tarif) über die App „myDVG Bus & Bahn“ der DVG sowie in der „VRR App“ der Verkehrsverbund Rhein-Ruhr AöR

1. Wer ist Verantwortlicher für deine Daten?

1.1 Verantwortlicher für die Verarbeitung deiner Daten ist:

Duisburger Verkehrsgesellschaft AG
Bungertstr. 27
47053 Duisburg
Telefon: 0203 604-0
mobilesticket(at)dvg-duisburg "«@&.de

Unseren Datenschutzbeauftragten erreichst du unter:

Duisburger Verkehrsgesellschaft AG
Datenschutzbeauftragter
Bungertstraße 27
47053 Duisburg

oder per E-Mail: datenschutzbeauftragter(at)dvv "«@&.de

Weitere Angaben zu unserem Unternehmen sowie Kontaktdetails kannst du dem Impressum in der App und unserer Website entnehmen.

1.2 Kooperationspartner

Für die Verarbeitungstätigkeiten Einnahmenaufteilung, Mindererlösausgleich, Tarifcontrolling und Markt-und Meinungsforschung im Zusammenhang mit dem Kauf eines eezy-Tickets übermitteln wir die unter Ziffern 2.6.1, 2.6.2 2.6.3 und 2.6.4 beschriebenen Vertriebsdatensätze an unsere Kooperationspartner mit denen bezogen auf die genannten Verarbeitungstätigkeiten jeweils eine gemeinsame Verantwortung gemäß den Anforderungen aus Art. 26 DSGVO vorliegt („gemeinsame Verantwortliche“).

Die Kooperationspartner sind folgende:

eezy.nrw
Kompetenzcenter Marketing NRW bei der Verkehrsverbund Rhein-Sieg GmbH
(auch KCM genannt)
Glockengasse 37-39, 50667 Köln
Tel. 0221 20 80 8-0
kcm-nrw(at)vrs "«@&.de

eezy.westfalen
Westfalentarif GmbH
(auch WTG genannt)
Willy-Brandt-Platz 2, 33602 Bielefeld
Tel. 0521-557666 0
info(at)westfalentarif "«@&.de  

eezy.vrr
Augustastraße, 45879 Gelsenkirchen
datenschutz(at)vrr "«@&.de

Den Datenschutzbeauftragten des KCM erreichst du unter:

Verkehrsverbund Rhein-Sieg GmbH,
Datenschutzbeauftragter
Glockengasse 37-39
50667 Köln
E-Mail: datenschutz(at)vrs "«@&.de

den externen Datenschutzbeauftragten der WTG erreichst du unter:

Stadtwerke Bielefeld GmbH
z. Hd. des Datenschutzbeauftragten
Schildescher Straße 16
33611 Bielefeld
E-Mail: datenschutz@westfalentarif.de

Den Datenschutzbeauftragten des VRR erreichst du unter:

Verkehrsverbund Rhein-Ruhr AöR
Datenschutzbeauftragter
Augustastraße 1
45879 Gelsenkirchen
Telefon: +49 209 1584 0
E-Mail: datenschutz(at)vrr "«@&.de

1.3 eingesetzte Dienstleister und Vertragspartner

Im Rahmen der Leistungserbringung können die folgenden Dienstleister Zugriff auf Informationen erhalten:

• MENTZ GmbH (IT-Dienstleister)
  Grillparzerstraße 18, 81675 München, info(at)mentz "«@&.net,
  Telefon +49 89 418680
• SpaceNet AG (IT-Dienstleister, Sub-Unternehmer MENTZ)
  Joseph-Dollinger-Bogen 14, 80807 München, info(at)space "«@&.net
  Telefon +49 89 323560
• Sic[!]sec GmbH (Informationssicherheit, Sub-Unternehmer MENTZ)
  Schießstattstraße 44, 85253 Erdweg, info(at)sicsec "«@&.de
  Telefon +49 81424425032
• Amazon Web Services (IT-Dienstleister, Sub-Unternehmer MENTZ)
  38 Avenue John F. Kennedy, L-1855 Luxembourg
• OpenStreetMap Foundation (Kartendienstleister, Sub-Unternehmer MENTZ)
  132 Maney Hill Road, Sutton Coldfield, West Midlands B72 1JU, Großbritannien
• LogPay (Finanzdienstleister)
  Schwalbacher Straße 72, 65760 Eschborn, customer(at)logpay "«@&.de,
  Telefon +800 0000 2030

2. Zu welchen Zwecken verarbeiten wir deine Daten und auf welcher Rechtsgrundlage?

Wir verarbeiten personenbezogenen Daten, die du uns freiwillig überlässt oder die im Rahmen der Nutzung der App anfallen. Welche Daten wir zu welchem Zweck im Einzelnen verarbeiten, richtet sich maßgeblich nach den jeweiligen Leistungen und Funktionalitäten, die du in der App und der Webseite nutzt. Im Nachfolgenden findest du eine Übersicht der einzelnen Verarbeitungszwecke sowie der entsprechenden Rechtsgrundlagen, auf der die jeweilige Verarbeitung beruht:

2.1 Technische Datenverarbeitungen für die Nutzung der App

2.1.1 Zugriffberechtigungen

Damit die App nutzbar ist, sind bestimmte Zugriffsberechtigungen auf die Daten und/oder Funktionen des Betriebssystems deines mobilen Endgerätes technisch notwendig. Dazu gehören die Folgenden:

• Netzwerkzugriff/ mobile Daten: Internetdaten erhalten/ Netzwerkverbindungen abrufen/ voller Netzwerkzugriff/ WLAN-Verbindungen abrufen, um den Abruf der Informationen durch die App zu ermöglichen;
• Gerätespezifischer Zugriff: Ruhezustand deaktivieren/ Vibrationsalarm steuern, um das Eintreffen von Push-Nachrichten zu signalisieren;
• Kamera/ Galerie: Zugriff auf die Kamera/ Galerie erlauben/ Foto Hinzufügen und in der App speichern (Zu Beginn der Anmeldung werden Sie aufgefordert, den Zugriff auf Fotos, Medien und Dateien zu akzeptieren. Die App greift jedoch nicht auf Ihre persönlichen Fotos, Medien oder Dateien zu, sondern du hast die Möglichkeit aus der App heraus bestimmte Inhalte bzw. Informationen wie z.B. Linienfahrpläne als Bild bzw. Datei abzuspeichern. Weiter besteht die Möglichkeit, die Datenschutzerkärungen und die Allgemeinen Geschäftsbedingungen herunterzuladen und auch diese lokal auf dem Endgerät abzulegen).

Die Rechtsgrundlage für diese Verarbeitung sind die App Nutzungsbedingungen, sowie vorvertragliche Maßnahmen gemäß Art. 6 Abs. 1 lit. b DSGVO. Ohne die genannten Zugriffsberechtigungen kann ein einwandfreier Betrieb der App für den Nutzer nicht gewährleistet werden.

2.1.2 Einsatz von funktionalen Cookies

Um den Besuch unserer App und unserer Webseite attraktiv zu gestalten und die Nutzung bestimmter Funktionen zu ermöglichen, verwenden wir Cookies.

Bei Cookies handelt es sich um kleine Textdateien, die auf deinem Endgerät abgelegt werden. Einige der von uns verwendeten Cookies werden nach jedem Ende eines Nutzungsvorgangs, also etwa nach dem Schließen deiner App, wieder gelöscht (sog. Sitzungs-Cookies). Andere Cookies verbleiben auf deinem Endgerät und ermöglichen es uns, dich beim nächsten Besuch wiederzuerkennen (sog. Persistente Cookies).

Du kannst dein Gerät so einstellen, dass du die Annahme von Cookies generell oder für bestimmte Fälle ausschließt. Bereits gesetzte Cookies kannst du löschen. Bei der Verweigerung des Setzens von Cookies kann die Funktionalität unserer App eingeschränkt sein.

Beim Zugang zu unseren Diensten und Dienstleistungen über die „VRR Bus&Bahn“-App werden Cookies von Drittanbietern verwendet. Dies betrifft den Einsatz von Marketing und Tracking Tools. Insoweit verweisen wir auf die nachfolgenden Informationen. Eine Übersicht der eingesetzten Cookies findest du am Ende dieser Datenschutzhinweise, (siehe Ziffer 11).

2.1.3 Verwendung der Bluetooth Funktion

In bestimmten Tarifgebieten in NRW funktioniert im Zusammenhang mit der Nutzung der eTarife in NRW das Check-in - Check-out über die Bluetooth Schnittstelle des Mobilendgerätes. Darüber hinaus wird durch die Nutzung des Bluetooth die Standortgenauigkeit verbessert. Du kannst der Verwendung zustimmen oder diese untersagen. Eine Abfrage erfolgt bei erstmaliger Nutzung der App und, sofern du die Verwendung zunächst nicht erlaubt hast, spätestens mit Nutzung der eTarife in NRW ein weiteres Mal. Für die Nutzung der eTarife in NRW ist die Verwendung der Bluetooth-Funktion erforderlich (siehe Ziffer 2.3.2).

Die Rechtsgrundlage für diese Verarbeitung ist deine Einwilligung gemäß Art. 6 Abs. 1 lit. b DSGVO. In den Geräteeinstellungen kannst du deine Einwilligung mit Wirkung für die Zukunft jederzeit widerrufen, indem du die Verwendung der Bluetooth-Funktion unterbindest.

2.1.4 Verwendung von Standortdaten

Die App bietet dir die Nutzung der eTarife in NRW an, bei dem die Verwendung deiner Standort- und Fortbewegungsdaten zwecks Erfassung deiner gefahrenen Strecke und damit verbundene Abrechnung erforderlich sind (siehe Ziffer 2.3.2). Die App verwendet deinen Standort nur und erst dann, wenn du dies in den entsprechenden Geräteeinstellungen des Betriebssystems deines mobilen Endgerätes erlaubt hast. Die Standortdaten werden erst mit dem Klick „Check-in“ erhoben. Mit einer bei der Registrierung eingeholten Erlaubnis werden die Standortdaten von deinem Betriebssystem an die App übertragen und verwendet. Du kannst bei Nutzung der App Informationen zum weiteren Umkreis deines ungefähren aktuellen Standortes erhalten und die Haltestellen in deiner Nähe werden Ihnen automatisch angezeigt, wenn du den Button „Aktuelle Position“ oder „Haltestellen in der Nähe“ betätigst.

Die Rechtsgrundlage für diese Verarbeitung ist deine Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO, wenn du deine aktuelle Position anzeigen lassen möchtest oder nach einer Haltestelle in der Nähe suchst. In den Geräteeinstellungen kannst du deine Einwilligung mit Wirkung für die Zukunft jederzeit widerrufen, indem du die Verwendung der Standortdaten generell oder explizit für diese App unterbindst.

Die Rechtsgrundlage für die Verarbeitung der Standortdaten zur Berechnung des Ticketpreises nach dem Klick „Check in“ ist die Verarbeitung für die Erfüllung des zustande kommenden Vertrags, gemäß Art. 6 Abs. 1 lit. b DSGVO.

2.1.5 Darstellung der Fahrtenhistorie und Suchanfragen

Um in der App und unserer Webseite den Verlauf deine Fahrten und Suchanfragen darzustellen, werden einige deiner personenbezogenen Daten lokal in der App gespeichert. Hierzu gehören: Historie der eingegebenen Punkte (z. B. Haltestelle, Adresse, etc.), Historie der eingegebenen Verbindungen, Historie der eingegebenen Linien, Einstellungen des Nutzers, bestimmte Zustände der App, bestimmte vom Fahrplanauskunftsserver abgerufene Inhalte (z.B. Karten-Kacheln) sowie die Fahrtberechtigung. Die GPS-Position wird nicht gespeichert, sondern bei einer Fahrplanauskunft einmalig an den Fahrplanauskunftsserver geschickt, um daraus eine Adresse zur Berechnung einer Fahrplanauskunft zu ermöglichen.

Die im lokalen App-Speicher der App gespeicherten Kartendaten und Verläufe kannst du in der App löschen.

Die Verarbeitung der lokal gespeicherten Daten basiert auf unserem berechtigten Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO dir eine funktionsfähige und nutzerfreundliche App zur Verfügung zu stellen.

2.1.6 Push-Nachrichten

Push-Nachrichten sind von der App versendete Meldungen mit Informationen zu den Diensten (bspw. Benachrichtigung zur Reise, Verspätung). Der Versand von Push-Nachrichten erfolgt ausschließlich, wenn du diesen ausdrücklich zugestimmt hast. Wir fragen bei der ersten Nutzung der App ab, ob du Push-Nachrichten auf deinem Endgerät angezeigt bekommen möchtest. Dies erfolgt abhängig vom Betriebssystem entweder durch die Freigabe nach dem Download der App oder durch ein Dialogfenster beim ersten Aufruf der App.

Die Rechtsgrundlage für diese Verarbeitung ist deine Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. In den Geräteeinstellungen kannst du deine Einwilligung mit Wirkung für die Zukunft jederzeit widerrufen, indem du den Erhalt von Push-Nachrichten deaktivierst.

2.1.7 Einbindung von Kartenmaterial

Wir binden Kartenmaterial von OpenStreetMap ein. Bei OpenStreetMap handelt es sich um ein Projekt der OpenStreetMap Foundation, 132 Maney Hill Road, Sutton Coldfield, West Midlands B72 1JU, Großbritannien, das frei nutzbare Geodaten sammelt und in einer Datenbank zur freien Nutzung vorhält.

Bei Interaktionen (wie z.B. die Suche nach Haltestellen) wird eine Verbindung zu den Servern der OpenStreetMap Foundation hergestellt und Daten zur OpenStreetMap Foundation übertragen, um eingebetteten Karten anzuzeigen.

Weitere Informationen zum Datenschutz im Zusammenhang mit OpenStreet Map findest du in der Datenschutzinformation der OpenStreetMap Foundation.

Beim Verbindungsaufbau zum Anzeigen der Karten werden folgende Daten an Server von OpenStreetMap übermittelt:

• IP Adresse,
• verwendeter Browser und Gerät,
• Betriebssystem,
• Webseite, von der Sie auf die Seite der OpenStreetMap Foundation weitergeleitet wurden (referring web page) und
• Datum und Uhrzeit des Besuchs der Webseite.

Falls du einen Benutzer-Account bei OpenStreetMap hast und bei dem Besuch unserer Webseite dort eingeloggt bist, werden zusätzlich folgende Daten an die Server von OpenStreetMap übertragen:

• User ID,
• E-Mail-Adresse, die mit deinem Account assoziiert wird und
• vom Benutzer blockierter Inhalt und assoziierte Nachrichten.

Die Einbindung erfolgt auf Grundlage des Art. 6 Abs. 1 S. 1 lit. b DSGVO, da die Einbindung der Karten im Rahmen der Darstellung der Fahrt erfolgt und einen vertraglichen Bestandteil darstellt.

2.2 Registrierung

Die Nutzung der App ist grundsätzlich ohne Registrierung möglich. Bestimmte Dienste der App, insbesondere der Ticketkauf, der im Ticketshop stattfindet, benötigen hingegen weitere personenbezogenen Daten von dir, die in dem Registrierungsvorgang erhoben werden. Im Rahmen der Registrierung erfassen wir die folgen­den Daten: Stamm- und Kontaktdaten (Vor- und Nachname, Straße, Hausnummer, Postleitzahl, Stadt, Bundesland (optional), Land (optional), E-Mail-Adresse, Geburtsdatum, Geschlecht, Handynummer (optional), Kunden-ID), Login-Daten (E-Mail-Adresse, Passwort), Zahlungsmittel (IBAN und BIC Nummer, Kreditkartennummer, E-Mail-Adresse), Persönliche Frage/Sicherheitsfrage und Sicherheitsantwort.

Die Rechtsgrundlage für die Verarbeitung vor der Registrierung sind die App Nutzungsbedingungen gemäß Art. Art. 6 Abs. 1 lit. b DSGVO. Nach der Registrierung ist Rechtsgrundlage der Vertragsschluss oder vorvertragliche Maßnahmen, gemäß Art. 6 Abs. 1 b DSGVO. Auch die Registrierung ist Grundvoraussetzung und somit vorvertragliche Maßnahme für den Kauf eines oder mehrere Tickets über die App. Die Bereitstellung der oben aufgeführten Pflichtangaben ist vertraglich vorgeschrieben, sodass wir dir bei Nichtbereitstellung dieser Angaben die Dienste, die eine Registrierung voraussetzen, wie z.B. der Ticketkauf, nicht in der App (Bestandteil Ticketshop) anbieten können.

2.3 Ticketkauf

Wenn du Fahrleistungen im öffentlichen Nahverkehr in Anspruch nimmst, kannst du digital im Ticketshop zwischen verschiedenen Ticketarten wählen. Hierzu gehören elektronische Tickets (siehe Ziffer 2.3.1) gemäß den jeweils geltenden Tarifen und Preisstufen. Diese kannst du über die App im Bereich des Ticketshops und unsere Webseite bestellen. Alternativ kannst du über die App die neuen eezy-Tarife (siehe Ziffer 2.3.2) nutzen. Die eezy Tarife ermöglichen es Ihnen, bei einer Fahrt ganz bequem per Smartphone mittels Check-in und Check-Out ein Ticket zu generieren. In diesem Fall wird der Fahrpreis anhand der Luftlinie zwischen Start und Ziel der Fahrt ermittelt. Nachfolgend findst du Informationen zur Verarbeitung deiner Daten im Zusammenhang mit der Bestellung von elektronischen Tickets über den Ticketshop in unserer App und unserer Webseite sowie dem Ticketerwerb bei Nutzung der eezy-Tarife.

2.3.1 Bestellung und Abrechnung von elektronischen Tickets

Wenn du in der App im Bereich Ticketshop und unserer Webseite Tickets bestellst, ist es erforderlich, dass du den Ticketbestellvorgang durchläufst. Hierzu verarbeiten wir deine bereits im Rahmen der Registrierung erhobenen Kundendaten, bestehend aus den Stamm- und Kontaktdaten sowie die von dir hinterlegten Zahlungsart. Weiterhin werden folgenden Daten verarbeitet:

• Rechnungsdaten (Rechnungsadresse, Finanzdienstleister, Zahlungsart),
• Bestelldaten (Bestellung-ID, Bestelldatum und Bestellstatus),
• Ticketdaten (Ticket ID, Gültigkeit, Geltungsbereich, Zone, Starthaltestelle, Tickettyp, Ticketname, Ticket Key, verfügbare/verbrauchte Einheiten, Preisstufe, Barcode, Kategorie (Klasse),
• Angaben zum Verkehrsverbund, Verkehrsunternehmen,
• Angaben über Gesamtpreis der gekauften Tickets, Tarifart, Produktnummer, Einnahme-Aufteilungs-Code zur Zuweisung der Einnahmen, Erstattung).

Die Verarbeitung deiner personenbezogenen Daten im Rahmen des Bestellvorgangs erfolgt zur Erfüllung des Vertrags mit dir gemäß Art. 6 Abs. 1 lit. b DSGVO.

2.3.2 Bemessung und Abrechnung von Fahrpreisen bei Nutzung der eezy-Tarife (Check-in Button)

Sofern du in der App die eezy-Tarife nutzen, erhältst du beim Check-In eine entsprechende Fahrtberechtigung. Die Abrechnung des konkreten Fahrpreises erfolgt nach dem (assisted) Check-Out. Um den Fahrpreis zu bemessen, ist es erforderlich Ihre Fahrtdaten während der gesamten Reisedauer zu erfassen und die entsprechende Reisestrecke abzubilden.

Zu den Fahrtdaten gehören:

• Standort- und Fortbewegungsdaten (Check-In Zeit, Check-In Haltestelle, Check-Out Zeit, Check-Out Haltestelle, Km-Anzahl, Uhrzeit, Wegepunkte (Haltestelle, Ankunft, Abfahrt)),
• ergänzende Fahrtdaten (Fahrt ID, Fahrtdatum, Fahrtstatus, Mitnahme Kinder, Mit­nahme Fahrräder, Klasse)
• sowie durch das System zusätzlich bereitgestellte bestell- und ab­rechnungsrelevante Daten (Bestell-ID, Bestellstatus, Tarif, Rabattstufe, Preisstufendeckel, 24h-Deckel, 30 Tages-Deckel, Basispreis, Mitnahmen, Gesamtsumme, Kundenvertragspartner).

Die Erfassung der vorgenannten Fahrtdaten erfolgt primär über das GPS- und Bluetooth-Signal deines mobilen Endgeräts. Die auf Basis der Fahrtdaten gebildete Reisestrecke besteht aus Erst­einstiegshaltestelle nach dem Check-In, durchfahrene Haltestellen und Umstiegshaltestellen, die Letztausstiegshaltestelle vor dem Check-Out, sowie gegebenenfalls die genutzten Linien.

Die eigentliche Bemessung des Fahrpreises erfolgt durch Zuordnung der gebildeten Reisestrecke zu den je­weils anwendbaren Tarifbestimmungen der einzelnen Verkehrsunternehmen und Tarifor­ganisationen. Bei der Abrechnung des gebildeten Fahrpreises werden wiederum deine im Rah­men der Registrierung hinterlegten Stamm- und Kontaktdaten sowie die hinterlegte Zahlungsart verwendet (siehe Ziffer 2.2).

Die Verarbeitung deiner personenbezogenen Daten im Rahmen der Nutzung der eezy-Tarife er­folgt zur Erfüllung des Vertrags mit dir gemäß Art. 6 Abs. 1 lit. b DSGVO.

2.3.3 Übermittlung an Finanzdienstleister

2.3.3.1 LogPay

Wir geben deine personenbezogenen Daten (Vor- und NachnBeiame, Geburtsdatum, Adresse, E-Mail-Adresse, Kontoverbindung, Kreditkartendaten, ggf. Telefonnummer sowie Daten zu Ihren jeweiligen Käufen) und alle Änderungen an die LogPay Financial Services GmbH zum Zwecke des Verkaufes und der Abtretung unserer Forderungen gegen dich, welche im Zusammenhang mit deinem Kauf, Miete oder Buchung entstehen, weiter. Dies erfolgt auf Grundlage des Art. 6 Abs. 1 S. 1 lit. f DS-GVO. Das berechtigte Interesse auf unserer Seite besteht in der Auslagerung der Zahlungsabwicklung und des Forderungsmanagements. Das berechtigte Interesse auf Seiten der LogPay Financial Services GmbH besteht in der Verarbeitung der Daten zum Zwecke der Abwicklung von Zahlungen, zum Forderungsmanagement, der Bewertung der Zulässigkeit von Zahlarten und der Vermeidung von Zahlungsausfällen.

Das Angebot auf Abschluss eines Kaufvertrages über ein Ticket wird nur angenommen, wenn die LogPay Financial Services GmbH die entstehende Forderung aus dem Ticketverkauf erwirbt. Wenn die LogPay Financial Services GmbH den Erwerb der Forderung ablehnt, wird Ihr Angebot auf Abschluss eines Kaufvertrages abgelehnt.

Du kannst der Übermittlung dieser Daten an die LogPay Financial Services GmbH jederzeit widersprechen, allerdings ist dann keine Bestellung mehr über den elektronischen Vertriebskanal möglich.

Die datenschutzrechtlichen Informationen der LogPay Financial Services GmbH kannst du unter https://www.logpay.de/DE/datenschutz/ abrufen.

Darüber hinaus verarbeiten wir deine personenbezogenen Daten, welche wir von LogPay Financial Services GmbH (Information über die Entscheidung, ob die Forderung erworben wird oder nicht) erhalten.

Im Fall einer Verarbeitung personenbezogener Daten zur Wahrnehmung von im öffentlichen Interesse liegenden Aufgaben (Art. 6 Abs. 1 S. 1 lit. e DS-GVO) oder zur Wahrnehmung berechtigter Interessen (Art. 6 Abs. 1 S. 1 lit. f DS-GVO), kannst du der Verarbeitung der dich betreffenden personenbezogenen Daten jederzeit mit Wirkung für die Zukunft widersprechen. Im Fall des Widerspruchs haben wir jede weitere Verarbeitung deiner Daten zu den vorgenannten Zwecken zu unterlassen, es sei denn,

1. es liegen zwingende, schutzwürdige Gründe für eine Verarbeitung vor, die deiner Interessen, Rechte und Freiheiten überwiegen, oder
2. die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich.

2.3.3.2 PayPal

Wir bieten dir die Bezahlung mit dem Online-Zahlungsdienstleister PayPal an, dabei gilt fol­gendes:

Anbieter dieses Zahlungsdienstes ist die PayPal (Europe) S.à.r.l. et Cie, S.C.A.., 22-24 Boulevard Royal, L-2449 Luxembourg (im Folgenden „PayPal”). Wenn Sie PayPal als Zahlmethode aus­wählen, wirst du auf die Webseite von PayPal weitergeleitet und die von dir einge­gebenen personenbezogenen Daten und sonstige zur Bestellabwicklung erforderliche Infor­mationen werden an PayPal verschlüsselt übermittelt.

Die Verarbeitung der personenbezogenen Daten erfolgt durch PayPal als verantwortliche Stelle. Soweit dies für die Erfüllung der Bestellung erforderlich ist, können Daten durch PayPal auch an Dritte weitergegeben werden. Zur Identitäts- und Bonitätsprüfung erfolgt ferner eine Übermittlung der personenbezogenen Daten von PayPal an Wirtschaftsauskunfteien, wie etwa die SCHUFA. Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. f DSGVO. Das berechtigte Interesse be­steht in der Sicherstellung der Zahlungsfähigkeit der Kunden.

Die datenschutzrechtlichen Informationen der PayPal kannst du unter

https://www.paypal.com/de/webapps/mpp/ua/privacy-full

abrufen.

2.4 Kontaktaufnahme

Um deine Kontaktaufnahme mit uns per E-Mail oder über ein Kontaktformular bearbeiten zu können, verarbeiten wir deine E-Mail-Adresse und, falls von dir angegeben, deinen Namen und deine Telefonnummer sowie etwaige sonstige Informationen, die du uns mitteilst.

Die Verarbeitung dieser personenbezogenen Daten basiert auf der Rechtsgrundlage des Art. 6 Abs. 1 lit. b DSGVO, sofern die Kommunikation im Zusammenhang mit der Durchführung Ihres Ticketkaufs erfolgt. Die Verarbeitung für andere Kommunikation erfolgt auf Basis unseres berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO, nämlich zur bedarfsgerechten Abwicklung deiner Kontaktanfrage.

2.5 Fahrscheinkontrolle

Bei einer Kontrolle der Fahrtberechtigung durch das Prüfpersonal werden die gespeicherten Daten der digitalen Fahrkarte in Form eines Barcodes von dem Prüfpersonal eingescannt und ausgelesen. Hierbei wird die digitale Fahrtberechtigung auf ihre zeitliche und räumliche Gültigkeit automatisiert geprüft. Das Ergebnis wird dem Kontrolleur angezeigt. Das Ergebnis kann hierbei lauten: Fahrkarte gültig oder ungültig in Bezug auf den zeitlichen und/oder räumlichen Geltungsbereich. Zusätzlich beinhaltet die digitale Fahrtberechtigung folgende personenbezogene Daten, die während des Kontrollvorgangs verarbeitet werden: Name, Vorname, Geburtstag und Geschlecht des Fahrgasts. Sie werden auf dem Kontrollgerät des Prüfpersonals angezeigt. Die personenbezogenen Daten sollen hierbei als Kopierschutz fungieren, damit die erforderliche Fahrtberechtigung zur Personenbeförderung nicht weitergegeben werden kann und das Prüfpersonal die Person anhand eines Lichtbildausweises identifizieren kann. Die ausgelesenen Daten der digitalen Fahrtberechtigung werden hierbei nur zum Zweck der Fahrtberechtigung durch das Gerät des Prüfpersonals lokal ausgelesen und nach Abschluss der Kontrolle automatisch vom Kontrollgerät gelöscht.

Die datenschutzrechtliche Rechtmäßigkeit der Auslesung der personenbezogenen Daten ergibt sich vorliegend aus Art. 6 Abs. 1 lit. f.) DSGVO, zur Wahrung berechtigter Interessen (Missbrauchskontrolle).

2.6 Gemeinsame Verarbeitungstätigkeiten im Zusammenhang mit dem eezy.nrw Tarif

Wir und unsere Kooperationspartner haben vertraglich vereinbart, wer welche Pflichten der DSGVO erfüllt. Auf Anfrage stellen wir dir eine Kopie der Einzelheiten des Vertrages über die gemeinsame Verantwortung bereit. Die wesentlichen datenschutzrechtlichen Pflichten findest du unter Ziffer 9.

Die Verarbeitungstätigkeiten Einnahmenaufteilung, Mindererlösausgleich, Tarifcontrolling und Markt- und Meinungsforschung werden im Folgenden vorgestellt und die gemeinsame Verantwortlichkeit entsprechend kenntlich gemacht.

2.6.1. Einnahmenaufteilung

Für die Einnahmenaufteilung sind wir jeweils gemeinsam mit dem KCM, WTG und dem VRR datenschutzrechtlich verantwortlich. Die gemeinsame Verantwortung bezieht sich auf die aus der App und unserer Webseite an den jeweiligen Kooperationspartner übermittelnden Vertriebsdatensätze.

2.6.1.1 Gemeinsame Verantwortung mit dem KCM

Mit der Einnahmenaufteilung werden Erlöse aus dem eezy.nrw Tarif den jeweiligen Verkehrs­unternehmen zugewiesen.

Um zu ermitteln, welcher Anteil der Erlöse aus deiner Reise welchem Verkehrsunternehmen im Detail zusteht, verarbeiten wir den Vertriebsdatensatz in gemeinsamer Verantwortlichkeit mit unserem Kooperationspartner KCM.

Zum Zwecke der Einnahmenaufteilung wird durch unseren Kooperationspartner deine Reisedaten aus dem Vertriebsdatensatz eine pseudonymisierte 24-Stunden-Kunden-ID zugeordnet. Dabei handelt es sich um eine temporäre Kunden-ID, die keine Identifikation deiner Person durch unseren Kooperationspartner ermöglicht und lediglich dazu dient, einzelne Reiseabschnitte einer Gesamtreise im Rahmen des eezy.nrw Tarifs zuzuordnen.

Bevor der Vertriebsdatensatz zur Einnahmenaufteilung verarbeitet wird, findet durch unseren Kooperationspartner eine vorgeschaltete Qualitäts- und Fehlerkontrolle statt (sog. „Meldungs­steuerung“).

Die Verarbeitung deiner personenbezogenen Daten zum Zweck der Einnahmenaufteilung erfolgt gemäß Art. 6 Abs. 1 lit. b DSGVO zur Erfüllung des Vertrags mit dir. Die vorgeschaltete Meldungssteuerung hingegen basiert gemäß Art. 6 Abs. 1 lit. f DSGVO sowohl auf unserem als auch auf dem berechtigten Interesse unseres Kooperationspartners, eine validierte und geprüfte Datengrundlage zu haben und die Richtigkeit der Ergebnisse zu gewährleisten.

2.6.1.2 Gemeinsame Verantwortung mit der WTG

Mit der Einnahmenaufteilung werden Erlöse aus dem eezy.westfalen Tarif den jeweiligen Verkehrsunternehmen zugewiesen. Um zu ermitteln, welcher Anteil der Erlöse aus deiner Reise welchem Verkehrsunternehmen im Detail zusteht, verarbeiten wir den Vertriebsdatensatz in gemeinsamer Verantwortlichkeit mit unserem Kooperationspartner WTG. Bevor der Vertriebsdatensatz zur Einnahmenaufteilung verarbeitet wird, findet durch unseren Kooperationspartner eine vorgeschaltete Qualitäts- und Fehlerkontrolle statt (sog. „Datenaufbereitung“).

Die Verarbeitung deiner personenbezogenen Daten zum Zweck der Einnahmenaufteilung inkl. der vorgeschalteten Datenaufbereitung erfolgt gemäß Art. 6 Abs. 1 lit. b DSGVO zur Erfüllung des Vertrags mit dir.

2.6.1.3 Gemeinsame Verantwortung mit dem VRR

Mit der Einnahmenaufteilung werden Erlöse aus dem eezy.vrr Tarif den jeweiligen Verkehrsunternehmen zugewiesen. Um zu ermitteln, welcher Anteil der Erlöse aus deiner Reise welchem Verkehrsunternehmen im Detail zusteht, verarbeiten wir den Vertriebsdatensatz in gemeinsamer Verantwortlichkeit mit unserem Kooperationspartner VRR.

Die Verarbeitung deiner personenbezogenen Daten zum Zweck der Einnahmenaufteilung erfolgt gemäß Art. 6 Abs. 1 lit. b DSGVO zur Erfüllung des Vertrags mit dir.

2.6.2. Berechnung des Mindererlösausgleichs

Für die Berechnung des Mindererlösausgleichs sind wir gemeinsam mit dem KCM datenschutzrechtlich verantwortlich. Die gemeinsame Verantwortung bezieht sich auf die aus der App und unserer Webseite an den jeweiligen Kooperationspartner übermittelten Vertriebsdatensätze.

Mit der Einführung des eezy.nrw Tarifs kann es für die Verkehrsunternehmen zu sog. Minder­erlösen kommen. Ursache hierfür ist unter anderem, dass für verbundraumübergreifende Fahrten eine Preisobergrenze je 24-Stunden-Zeitraum existiert. Um daraus resultierenden Erlösnachteilen für die Verkehrsunternehmen entgegenzuwirken, hat das Land Nordrhein-Westfalen eine Förderung dieser übernommen. Für diese Förderung führt unser Kooperationspartner KCM die Berechnung des Mindererlösausgleichs durch. Diese Berech­nung erfolgt auf der Basis des von uns bereitgestellten Vertriebsdatensatzes. Zum Zwecke der Berechnung des Mindererlösausgleichs wird durch unseren Kooperationspartner deine Reisedaten aus dem Vertriebsdatensatz eine pseudonymisierte 24-Stunden-Kunden-ID zuge­ordnet. Dabei handelt es sich um eine temporäre Kunden-ID, die keine Identifikation deiner Person durch unseren Kooperationspartner ermöglicht und lediglich dazu dient, einzelne Reiseabschnitte einer Gesamtreise im Rahmen des eezy.nrw Tarifs zuzuordnen. Bevor der Vertriebsdatensatz zur Berechnung des Mindererlösausgleichs verarbeitet wird, findet durch unseren Kooperationspartner, die Meldungssteuerung statt (siehe Ziffer 2.6.1).

Die Verarbeitung deiner personenbezogenen Daten zum Zweck der Berechnung des Minder­erlösausgleichs erfolgt gemäß Art. 6 Abs. 1 lit. b DSGVO zur Erfüllung des Vertrags mit dir. Die vorgeschaltete Meldungssteuerung hingegen basiert gemäß Art. 6 Abs. 1 lit. f DSGVO sowohl auf unserem als auch auf dem berechtigten Interesse unseres Kooperationspartners, eine validierte und geprüfte Datengrundlage zu haben und die Richtigkeit der Ergebnisse zu gewährleisten.

2.6.3. Tarifcontrolling

Für das Tarifcontrolling sind wir jeweils gemeinsam mit dem KCM und der WTG datenschutzrechtlich verantwortlich. Die gemeinsame Verantwortung bezieht sich auf die aus der App und unserer Webseite an den jeweiligen Kooperationspartner übermittelnden Vertriebsdatensätze.

2.6.3.1 Gemeinsame Verantwortung mit dem KCM

Um mögliche Fehlentwicklungen im Rahmen des landesübergreifenden eezy.nrw Tarifs frühzeitig zu erkennen und ihnen durch neue Tarifkalkulationen entgegenzuwirken, wird durch unseren Kooperationspartner, das KCM ein Tarifcontrolling mit nachfolgenden Tarifkalkulationen zur Weiterentwicklung dieses Vertriebswegs durchgeführt. Es handelt sich bei den eezy-Tarifen um vertrieblich und tariflich neue Angebote, über die bislang nur wenige Erkenntnisse zur Kundennutzung vorliegen. Unser Kooperationspartner, das KCM erhält von uns für das Tarifcontrolling den Vertriebsdatensatz mit deinen personenbezogenen Daten. Zum Zwecke des Tarifcontrollings wird dir bei der Erstellung des Vertriebsdatensatzes eine Kunden-ID durch uns zugeordnet. Bevor der Vertriebsdatensatz zum Zweck des Tarifcontrollings verarbeitet wird, findet durch unseren Kooperationspartner die Meldungssteuerung statt (siehe Ziffer 2.6.1).

Die Verarbeitung der personenbezogenen Daten für das Tarifcontrolling (einschließlich der vorgeschalteten Meldungssteuerung) basiert gemäß Art. 6 Abs. 1 lit. f DSGVO auf den vorgenannten berechtigten Interessen. Die vorgeschaltete Meldungssteuerung basiert gemäß Art. 6 Abs. 1 lit. f DSGVO ebenfalls sowohl auf unserem als auch auf dem berechtigten Interesse unseres Kooperationspartners, eine validierte und geprüfte Datengrundlage zu haben und die Richtigkeit der Ergebnisse zu gewährleisten.

2.6.3.2 Gemeinsame Verantwortung mit der WTG

Um mögliche Fehlentwicklungen im Rahmen des westfalenweiten eezy.westfalen Tarifs frühzeitig zu erkennen und ihnen durch neue Tarifkalkulationen entgegenzuwirken, wird durch unseren Kooperationspartner, die WTG ein Tarifcontrolling mit nachfolgenden Tarifkalkulationen zur Weiterentwicklung dieses Vertriebswegs durchgeführt. Es handelt sich bei dem eezy.westfalen Tarif um ein vertrieblich und tariflich neues Angebot, über das bislang nur wenige Erkenntnisse zur Kundennutzung vorliegen. Unser Kooperationspartner, die WTG erhält von uns für das Tarifcontrolling den Vertriebsdatensatz mit deinen personenbezogenen Daten. Zum Zwecke des Tarifcontrollings wird dir bei der Erstellung des Vertriebsdatensatzes eine stetige Kunden-ID durch uns zugeordnet. Bevor der Vertriebsdatensatz zum Zweck des Tarifcontrollings verarbeitet wird, findet durch unseren Kooperationspartner die Datenaufbereitung statt.

Die Verarbeitung der personenbezogenen Daten für das Tarifcontrolling (einschließlich der vorgeschalteten Datenaufbereitung) basiert gemäß Art. 6 Abs. 1 lit. f DSGVO auf den vorgenannten berechtigten Interessen. Die vorgeschaltete Datenaufbereitung basiert gemäß Art. 6 Abs. 1 lit. f DSGVO ebenfalls sowohl auf unserem als auch auf dem berechtigten Interesse unseres Kooperationspartners, eine validierte und geprüfte Datengrundlage zu haben und die Richtigkeit der Ergebnisse zu gewährleisten.

2.6.3.3 Gemeinsame Verantwortung mit dem VRR

Um mögliche Fehlentwicklungen im Rahmen des VRR weiten eezy.vrr Tarifs frühzeitig zu erkennen und ihnen durch neue Tarifkalkulationen entgegenzuwirken, wird durch unseren Kooperationspartner, dem VRR ein Tarifcontrolling mit nachfolgenden Tarifkalkulationen zur Weiterentwicklung dieses Vertriebswegs durchgeführt. Es handelt sich bei dem eezy.vrr Tarif um ein vertrieblich und tariflich neues Angebot, über das bislang nur wenige Erkenntnisse zur Kundennutzung vorliegen. Unser Kooperationspartner, der VRR erhält von uns für das Tarifcontrolling den Vertriebsdatensatz mit deinen personenbezogenen Daten. Zum Zwecke des Tarifcontrollings wird dir bei der Erstellung des Vertriebsdatensatzes eine stetige Kunden-ID, die nicht der ID in der App (Teil Kundenshop) entspricht, durch uns zugeordnet. Bevor der Vertriebsdatensatz zum Zweck des Tarifcontrollings verarbeitet wird, findet durch unseren Kooperationspartner die Datenaufbereitung statt.

Die Verarbeitung der personenbezogenen Daten für das Tarifcontrolling basiert gemäß Art. 6 Abs. 1 lit. f DSGVO auf den vorgenannten berechtigten Interessen. Die vorgeschaltete Datenaufbereitung basiert gemäß Art. 6 Abs. 1 lit. f DSGVO ebenfalls sowohl auf unserem als auch auf dem berechtigten Interesse unseres Kooperationspartners, eine validierte und geprüfte Datengrundlage zu haben und die Richtigkeit der Ergebnisse zu gewährleisten.

2.6.4. Markt- und Meinungsforschung

Für die Markt- und Meinungsforschung sind wir jeweils gemeinsam mit dem KCM und dem VRR datenschutzrechtlich verantwortlich. Die gemeinsame Verantwortung bezieht sich auf die über deine Einwilligung erlaubte Datenverarbeitung für die Zwecke der Markt- und Meinungsforschung durch das KCM oder den VRR eingeholt über unserer App und unsere Webseite. Du kannst deine Einwilligung jederzeit widerrufen, indem du in den Datenschutz-Einstellungen unter dem Reiter Einstellungen zur Marktforschung die Schieberegler deaktivierst.

2.6.4.1 Gemeinsame Verantwortung mit dem KCM

Der eezy.nrw-Tarif stellt vertrieblich und tariflich ein neues Angebot dar, über das bislang nur wenige Erkenntnisse zur Kundennutzung und zum Kundenverhalten aus der Praxisanwendungen vorliegen.

Die Verarbeitung der personenbezogenen Daten für die Markt- und Meinungsforschung basiert auf deiner Einwilligung gemäß Art. 6 Abs. 1 lit. a) DSGVO, welche durch ein Pop-up abgefragt wurde.

Nach erfolgreich erteilter Einwilligung können wir aus dem eTarife-Hintergrundsystems deine Datensatz für die jeweilige Markt- und Meinungsforschung vorselektieren und bestehend aus reduzierten personenbezogenen Kundendaten – Name, Vorname, Postleitzahl und E-Mail-Adresse an den das KCM und sodann an einen sehr sorgfältig ausgewählten und vom KCM beauftragten Marktforschungsdienstleister übermitteln.

Die Übermittlung der Daten findet ausschließlich zum Zweck der Kontaktaufnahme und Befragung im Rahmen einer Nutzerbefragung statt.

Die Verarbeitung der personenbezogenen Daten im Rahmen der Markt- und Meinungsforschung basiert gemäß Art. 6 Abs. 1 lit. a DSGVO auf deiner Einwilligung.

2.6.4.2 Gemeinsame Verantwortung mit der WTG

Der eezy.westfalen Tarif stellt vertrieblich und tariflich ein neues Angebot dar, über das bislang nur wenige Erkenntnisse zur Kundennutzung und zum Kundenverhalten aus Praxisanwendungen vorliegen.

Nach erfolgreich erteilter Einwilligung können wir aus dem Modul „zentrale Dienste“ des eTarife-Hintergrundsystems deinen Datensatz für die jeweilige Markt- und Meinungsforschungskampagne vorselektieren und bestehend aus reduzierten personenbezogenen Kundendaten – Name, Vorname, Postleitzahl und E-Mail-Adresse an den Kooperationspartner, die WTG und sodann an einen sehr sorgfältig ausgewählten und von der WTG beauftragten Marktforschungsdienstleister übermitteln.

Die Übermittlung der Daten findet ausschließlich zum Zweck der Kontaktaufnahme und Befragung im Rahmen einer Nutzerbefragung statt.

Die Verarbeitung der personenbezogenen Daten für die Markt- und Meinungsforschung basiert auf deiner Einwilligung gemäß Art. 6 Abs. 1 lit. a) DSGVO.

2.6.4.3 Gemeinsame Verantwortung mit dem VRR

Der eezy.vrr Tarif stellt vertrieblich und tariflich ein neues Angebot dar, über das bislang nur wenige Erkenntnisse zur Kundennutzung und zum Kundenverhalten aus Praxisanwendungen vorliegen.

Nach erfolgreich erteilter Einwilligung können wir aus dem eTarife-Hintergrundsystems deinen Datensatz für die jeweilige Markt- und Meinungsforschungskampagne vorselektieren und bestehend aus reduzierten personenbezogenen Kundendaten – Name, Vorname, Postleitzahl und E-Mail-Adresse an den Kooperationspartner, dem VRR und sodann an einen sehr sorgfältig ausgewählten und von dem VRR beauftragten Markt- und Meinungsforschungsdienstleister übermitteln.

Die Übermittlung der Daten findet ausschließlich zum Zweck der Kontaktaufnahme und Befragung im Rahmen einer Nutzerbefragung statt.

Die Verarbeitung der personenbezogenen Daten für die Markt- und Meinungsforschung basiert auf deiner Einwilligung gemäß Art. 6 Abs. 1 lit. a) DSGVO.

2.7 Marketing

Beim Zugang zu unseren Diensten und Dienstleistungen über die „VRR Bus&Bahn“-App gelten zusätzlich folgende Regelungen:

Um unsere Marketingaktivitäten zu optimieren, nutzen wir den Dienstleister Adjust (adjust GmbH, Saarbrücker Str. 37A, 10405 Berlin), mit dem wir eine Vereinbarung zur Auf­tragsverarbeitung gemäß Art. 28 DSGVO abgeschlossen haben. Weitere Informationen zur Datenverarbeitung durch Adjust sind zu finden unter https://www.adjust.com/privacy-policy/.

Adjust erhebt die folgenden personenbezogenen Daten von Ihnen: IP- und MAC-Adresse, Device IDs, inklusive aller Advertising-IDs, http-Header inklusive SDK-Version, User Agent (Land, Sprache, lokale Einstellungen, Version des Betriebssystems), Nutzer-Device und Werbeaktivitäten, App und Event-Token, Aufruf der Ticketübersichtseite, Warenkorbstatus (belegt/nicht belegt), Login-Status, Standort, aktuelle Geschwindigkeit (langsam, mittel, schnell), Aktion, die der Nutzer vor der aktuellen Aktion in der App durchgeführt hat, Registrierungsstatus im Ticketshop, Anzahl und Typ an zusätzlichen Verkehrsmitteln.

Die Verarbeitung deiner personenbezogenen Daten zu diesem Zweck beruht auf deiner Ein­willigung gemäß Art. 6 Abs. 1 lit. a DSGVO. Du kannst deine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem du in den Datenschutz-Einstellungen in der App die Ein­stellungen zur Nutzungs­analyse über den Schieberegler „Daten zur Marketingwirksamkeit“ deaktivierst.

2.8 Tracking

Beim Zugang zu unseren Diensten und Dienstleistungen über die „VRR Bus&Bahn“-App gelten zusätzlich folgende Regelungen:

Wir verwenden Google Firebase, eine Cloud-Plattform für App-Entwickler von Google (Dienstean­bieter: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA, bzw. Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland). Wir haben mit Google bezüglich der einge­setzten Dienste eine Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO abgeschlossen.

Weitere Informationen zu Google Firebase und den Datenschutzbestimmungen von Google findest du unter folgenden externen Links:

https://firebase.google.com/docs/analytics/
https://firebase.google.com/terms/data-processing-terms
https://firebase.google.com/terms/crashlytics-app-distribution-data-processing-terms 
https://support.google.com/analytics/answer/6004245

Die Verarbeitung der personenbezogenen Daten im Zusammenhang mit Google Firebase basiert auf deiner Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Der Datentransfer in die USA basiert ebenfalls auf deiner Einwilligung gemäß Art. 49 Abs. 2 lit. a DSGVO. Du kannst deine  Einwilligung in den Datentransfer jederzeit widerrufen, indem du in den Datenschutz-Einstellungen in der App unter dem Reiter Einstel­lungen zur Nutzungsanalyse den Schiebe­regler „Daten zur Appnutzung“ deaktivierst.

Wir verwenden bei Google Firebase die nachfolgenden Funktionen:

2.8.1 Firebase Analytics

Beim Zugang zu unseren Diensten und Dienstleistungen über die „VRR Bus&Bahn“-App gelten zusätzlich folgende Regelungen:

Wir verwenden Firebase Analytics, um die Nutzung unserer App und unserer Webseite nachvollziehen zu können und um daraus abzuleiten, welche Funktionen für Nutzer von besonderem Interesse sind und wie wir die App verbessern können.

Folgende Daten der App und unserer Webseite Nutzung werden von Google Firebase Analytics erfasst: IP-Adresse, Anzahl der Nutzer und Sitzungen, Sitzungsdauer, Betriebssystem, Gerätemodell, Region, Erstmaliger Start, App-Ausführungen und -Updates, Nutzung Funktionen der App, verwendete Netzwerke, gewählte Zahlungsmethode, gewählte Uhrzeit, gewähltes Verkehrsmittel, Ticket­art, Login-Status, Standort, aktuelle Geschwindigkeit (langsam, mittel, schnell), Aktion, die der Nutzer vor der aktuellen Aktion in der App durchgeführt hat, ausgewählter Ticketshop, Art des Start-, End- und Umsteigeorts, Anzahl und Typ an zusätzlichen Verkehrsmitteln, Reihenfolge der aufgerufenen Seiten, Werbe-ID.

2.8.2 Firebase Crashlytics

Beim Zugang zu unseren Diensten und Dienstleistungen über die „VRR Bus&Bahn“-App gelten zusätzlich folgende Regelungen:

Wir verwenden Firebase Crashlytics, um durch die Auswertung anonymisierter und aggregierter Absturzberichte die Stabilität und Zuverlässigkeit unserer App verbessern zu können. Um uns anonymi­sierte Absturzberichte zur Verfügung stellen zu können, erfasst Firebase Crashlytics im Falle eines Ab­sturzes oder einer Fehlfunktion (Crash) der App Informationen und überträgt diese an Server von Google in den USA (Zustand der App zum Zeitpunkt des Absturzes, Installation UUID, Crash-Trace, Her­steller und Betriebssystem des mobilen Geräts, letzte Log-Meldungen, Zeitpunkt und Dauer der Störung, Art der Störung, genutzte Funktionen der App zum Zeitpunkt der Störung).

Wir verwenden Google Firebase ohne geräteübergreifende Nachverfolgung der Nutzer (User-ID) und ohne Aktivierung der Zielgruppen-Option zu (Re-) Marketingzwecken. Wir haben zudem die Produkt­verknüpfung deaktiviert, sodass die erhobenen Daten nicht mit weiteren Google-Diensten geteilt wer­den. Auch die Datenfreigabe an Google haben wir deaktiviert, sodass Google die erhobenen Daten ausschließlich dazu nutzen darf, uns die Nutzungsberichte zur Verfügung zu stellen.

2.9 Markt- und Meinungsforschung

Wir verarbeiten zum Zwecke der Markt- und Meinungsforschung deinen Vor- und Nachnamen, deine E-Mail-Adresse sowie deine Postleitzahl, sofern du uns hierzu deine Einwilligung erteilst. Die Teilnahme an der Markt- und Meinungsforschung ermöglicht es uns, die Ausgestaltung und Funktionalitäten der App und der dort erhältlichen Angebote weiter zu verbessern.

Soweit wir ein sorgfältig ausgewähltes Marktforschungsinstitut zum Zwecke der Marktforschung beauftragen, erhält dieses deine Daten. Um eine passgenaue Marktforschung durchführen zu können und damit nur Daten der Personen in die Marktforschung mit aufzunehmen, die der Zielgruppe entsprechen, werden wir zuvor deine Daten zielgruppengerecht aufarbeiten.

Die Verarbeitung der personenbezogenen Daten im Zusammenhang mit der Markt- und Meinungsforschung basiert auf deiner Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Du kannst deine  Einwilligung jederzeit widerrufen, indem du in den Datenschutz-Einstellungen unter dem Reiter Einstellungen zur Marktforschung die Schieberegler deaktivierst.

2.10 Datenverarbeitung im Kunden-Support und internen Stellen des Verkehrsunternehmens

Zur Klärung von technischen Problemen können personenbezogene Daten, Abrechnungsdaten und Bewegungsdaten durch den IT-Dienstleister oder durch interne Stellen verarbeitet werden. Die Verarbeitung ist notwendig, um die vertraglich vereinbarte Leistung zu erbringen. Die Datenverarbeitung beruht auf Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.

Im Rahmen des Kunden-Supports werden personenbezogenen Daten, Abrechnungsdaten und Bewegungsdaten durch Mitarbeiter des Verkehrsunternehmens verarbeitet. Die Verarbeitung dient der Klärung von abrechnungstechnischen Fragestellungen. Die Verarbeitung ist notwendig, um die vertraglich vereinbarte Leistung zu erbringen. Die Datenverarbeitung beruht auf Artikel 6 Absatz 1 Satz 1 lit. b DSGVO.

Daneben können die Daten zur Aufdeckung von Abrechnungsbetrug oder vergleichbaren Fallgestaltungen durch die hierfür verantwortliche, interne Stelle des Verkehrsunternehmens verarbeitet werden. In besonderen Fällen können hierzu auch externe Spezialisten (z.B. Forensiker von Wirtschaftsprüfungsgesellschaften) beauftragt werden. Die Verarbeitung erfolgt, um wirtschaftlichen Schaden von unseren Kunden und vom Unternehmen abzuwenden. Die Datenverarbeitung beruht auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO.

Im Rahmen der Erstellung von internen Statistiken und Reports hinsichtlich der Nutzung der App, der Nutzung und der Wirkung des eTarifs sowie weiterer Fragestellungen werden Daten verarbeitet. Die Statistiken werden regelmäßig anonymisiert erstellt. In Einzelfällen besteht jedoch die Möglichkeit der Rückverfolgbarkeit. Die Datenverarbeitung beruht auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO.

2.11 Sonstige Zwecke

Neben den vorgenannten Verarbeitungszwecken verarbeiten wir deine personenbezogenen Daten zudem für die folgenden Zwecke:

• Um unseren gesetzlichen Aufbewahrungspflichten oder datenschutzrechtlichen Verpflichtungen nachzukommen. Diese Verarbeitung basiert auf der Rechtsgrundlage des Art. 6 Abs. 1 lit. c DSGVO;
• Um etwaige Rechtsansprüche auszuüben oder uns gegen Ansprüche zu verteidigen. Diese Verar­beitung basiert auf der Rechtsgrundlage des Art. 6 Abs. 1 lit. f DSGVO;
• Um behördliche Anfragen zu beantworten und zu befolgen. Diese Verarbeitung basiert auf der Rechtsgrundlage des Art. 6 Abs. 1 lit. c DSGVO.

3. Besteht für dich eine Pflicht zur Bereitstellung der Daten?

Bei der Nutzung unserer App und unserer Webseite erfolgt eine automatische Übermittlung deiner Nutzungs- und Protokolldaten durch die App (siehe Ziffer 2.1). Ohne diese technischen Daten ist es nicht möglich unsere App für dich ordnungsgemäß darzustellen.

In Bezug auf die jeweils angebotenen Funktionalitäten und Leistungen (siehe Ziffer 2 ff.) musst du diejenigen Daten bereitstellen, die für den jeweiligen Verarbeitungszweck erfor­derlich sind. In bestimmten Fällen sind wir ohne deine Daten allerdings nicht in der Lage, die jeweiligen Leistungen und Funktionalitäten anzubieten. Dies betrifft die Verarbeitung deiner Daten im Rahmen der Registrierung (siehe Ziffer 2.2) und des Ticketkaufs (siehe Ziffer 2.3). Ohne die erforderlichen Daten können wir entsprechende Leistungen und Funktionalitäten nicht ordnungsgemäß erbringen bzw. bereitstellen.

Grundsätzlich ist die Bereitstellung deiner Daten für die in der App und unserer Webseite enthaltenen Funktionalitäten und Leistungen kostenlos.

4. Wie lange speichern wir deine Daten?

Wir werden deine Daten nur so lange aufbewahren, wie dies zur Erfüllung der vorstehend dargelegten Zwecke notwendig ist. Darüber hinaus unterliegen wir verschiedenen Aufbewahrungs- und Dokumentationspflichten, die sich unter anderem aus dem Handelsgesetzbuch (HGB) und der Abgabenordnung (AO) ergeben. Die dort vorgegebenen Fristen zur Aufbe­wahrung bzw. Dokumentation betragen bis zu zehn Jahre. Schließlich beurteilt sich die Speicherdauer auch nach den gesetzlichen Verjährungs­fristen, die zum Beispiel nach den §§ 195 ff. des Bürgerlichen Gesetzbuches (BGB) bis zu dreißig Jahre betragen können, wobei die regelmäßige Verjährungsfrist drei Jahre beträgt.

5. An wen übermitteln wir deine Daten?

Wir setzen bei der Erbringung unserer Dienstleistungen externe Dienstleister ein, die Ihre Daten in unserem Auftrag verarbeiten. Hierzu gehören Unternehmen in den nachfolgenden Kategorien:
Technische Dienstleister für den Betrieb und die Wartung unserer IT-Systeme und Server-Infrastruktur;
Marketing und Tracking Anbieter für unsere Werbeaktivitäten;
Marktforschungsinstitute, sofern du uns deine Einwilligung zur Marktforschung erteilt hast.

Darüber hinaus geben wir deine Daten auch an andere Dritte weiter, die deine Daten in eigener Verantwortung verarbeiten. Hierzu gehören Unternehmen in den nachfolgenden Kategorien:
Zahlungsdienstleister, sofern dies im Rahmen der Bestellabwicklung erforderlich ist und Behörden oder andere staatliche Einrichtungen, sofern wir hierzu rechtlich verpflichtet sind. In Bezug auf die vorgenannten Empfänger findest du weitere Angaben zu den Zwecken der Datenverarbeitung in den jeweiligen Abschnitten.

6. Werden deine Daten an Empfänger in einem Drittland übermittelt?

Soweit dies für die vorgenannten Zwecke erforderlich ist, übermitteln wir deine Daten auch an Empfänger außerhalb des Europäischen Wirtschaftsraums (EWR). Wir stellen sicher, dass eine Übermittlung in Drittländer nur erfolgt, soweit hierfür eine Rechtsgrundlage besteht. Dies bedeutet, dass wir deine Daten nur übermitteln, soweit für den jeweiligen Drittstaat eine Entscheidung der EU-Kommission über ein angemessenes Datenschutzniveau vorliegt (Art. 45 DSGVO), geeignete Garantien zum Schutze deiner personenbezogenen Daten vorgesehen sind (vgl. Art. 46 DSGO) oder eine gesetzliche Erlaubnisnorm besteht (vgl. Art. 49 DSGVO).

Konkret betrifft dies die nachfolgenden Empfänger:

Sofern Sie in den Datentransfer gemäß Art. 49 Abs. 2 lit. a DSGVO eingewilligt haben, übermitteln wir deine unter Ziffer 2.9 aufgelisteten personenbezogenen Daten an unsere Dienstleister in die USA. Bitte beachte, dass in den USA kein vergleichbares Datenschutzniveau wie in der EU/dem EWR besteht und daher nicht gänzlich ausgeschlossen werden kann, dass deine Daten möglicherweise ohne angemessene Rechtsbehelfsmöglichkeiten an staatliche Stellen offengelegt werden. Du kannst deine Ein­willigung in den Datentransfer jederzeit widerrufen, indem du in den Datenschutz-Ein­stellungen in der App unter dem Reiter Einstellungen zur Nutzungsanalyse den Schieberegler „Daten zur Marketingwirksamkeit“ deaktivierst.

Zudem übermitteln wir deine personenbezogenen Daten an die von uns eingesetzten tech­nischen Dienstleister, die uns bei dem Betrieb und der Wartung unterstützen und ihren Sitz in den USA haben. Zwar werden deine personenbezogenen Daten ausschließlich auf Servern innerhalb der EU/des EWR gespeichert. Es ist aber nicht gänzlich ausgeschlossen, dass deine personenbezogenen Daten in die USA übermittelt werden (etwa bei Support Anfragen). Zu diesem Zweck haben wir bzw. die von uns eingesetzten technischen Dienstleister geeignete Maßnahmen ergriffen, um ein adäquates Schutzniveau für deine personenbezogenen Daten zu gewährleisten. Hierzu gehören neben dem Abschluss der Standardvertragsklauseln der EU-Kommission auch die Umsetzung von zusätzlichen technischen organisatorischen und vertraglichen Schutzmaßnahmen. Deine übrigen personenbezogenen Daten übermitteln wir in keine Länder außerhalb des EWR.

7. Welche Rechte stehen dir als betroffene Person zu?

Jede betroffene Person hat das Recht auf Auskunft nach Art. 15 DSGVO, das Recht auf Berichtigung nach Art. 16 DSGVO, das Recht auf Löschung nach Art. 17 DSGVO, das Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO sowie das Recht auf Datenüber­tragbarkeit aus Art. 20 DSGVO. Soweit wir deine personenbezogenen Daten auf Grundlage deiner Einwilligung verarbeiten, kannst du diese jederzeit formfrei mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt.

Soweit die Verarbeitung deiner personenbezogenen Daten zur Wahrnehmung unserer be­rechtigten Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO erfolgt, kannst du dieser Verarbeitung nach Maßgabe der gesetzlichen Vorgaben in Art. 21 DSGVO widersprechen. Weitere Hinweise zu Ihrem Widerspruchsrecht findest du in Ziffer 10.

Zur Ausübung der vorgenannten Rechte wendest du dich bitte an einen der unter Ziffer 1 genannten Verantwortlichen.

Darüber hinaus besteht ein Beschwerderecht bei einer Datenschutzaufsichtsbehörde (Art. 77 DSGVO), wenn du der Ansicht bist, dass die Verarbeitung deiner personenbezogenen Daten nicht rechtmäßig erfolgt. Das Beschwerderecht besteht unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs. Die Anschrift der für uns zu­ständigen Datenschutzaufsichtsbehörde lautet:

Landesbeauftragte für Datenschutz und Informationsfreiheit NRW
Kavalleriestr. 2-4, 40213 Düsseldorf

oder per E-Mail: poststelle@ldi.nrw.de

8. Inwieweit gibt es eine automatisierte Entscheidungsfindung einschließlich Profiling im Einzelfall?

Bei der Nutzung unserer App und unserer Webseite erfolgt keine automatische Entscheidungs­findung gemäß Art. 22 DSGVO.

9. Wie ist die gemeinsame Verantwortlichkeit ausgestaltet?

9.1 Verarbeitungen im Einzelnen

Im Rahmen der Bereitstellung der App und der Webseite arbeiten wir mit den zuvor genannten Kooperationspartner (siehe Ziffer 1.2) zusammen, der mit uns gemeinsam für die Verarbeitung deiner personenbezogenen Daten verantwortlich ist (Art. 26 DSGVO), eine gemeinsame Verantwortung von Verarbeitungstätigkeiten ist dabei lediglich im Zusammenhang mit den eezy Tarifen (siehe Ziffer 2.7) gegeben.

9.2 Weitere Vereinbarungen zwischen uns und unserem Kooperationspartner

Wir und unsere Kooperationspartner haben vereinbart, wer welche Pflichten nach der DSGVO erfüllt. Konkret erfüllen wir die datenschutzrechtlichen Pflichten wie folgt:

Wir und der Kooperationspartner machen den betroffenen Personen die gemäß Art. 13 und 14 DSGVO erforderlichen Informationen in präziser, transparenter, verständlicher und leicht zu­gänglicher Form in einer klaren und einfachen Sprache unentgeltlich in ihren Datenschutzerklärungen zugänglich. Hierbei lässt jede Partei der anderen Partei sämtliche dafür notwendigen Informationen aus ihrem Wirkbereich zukommen.

Wir und der Kooperationspartner informieren sich unverzüglich gegenseitig über von Be­troffenen geltend gemachte Rechtspositionen. Sie stellen einander sämtliche für die Beant­wortung von Anfragen der betroffenen Personen notwendigen Informationen zur Ver­fügung.

Es steht dir frei, ob du deine Datenschutzrechte bei uns oder unserem Kooperations­partner geltend machst, soweit dies die Verarbeitungen betrifft, die in unserem ge­meinsamen Verantwortungsbereich stehen. Betroffene Personen erhalten die Auskunft grundsätzlich von der Stelle, bei der die Rechte geltend gemacht wurden.

9.3 Wesentliche Vertragsinhalte der Vereinbarung zur gemeinsamen Verantwortung

Gemäß Artikel 26 Absatz 2 DSGVO informieren wir an dieser Stelle über die wesentlichen Bestandteile der Vereinbarungen zur gemeinsamen Verantwortung. Diese werden vor Durchführung der Datenübermittlung an die Partner abgeschlossen.

Gegenstand, Parteien und Dauer des Joint-Controller Vertrages

Regelung zum Vertragsgegenstand, der Rechten und Pflichten der Parteien sowie der Dauer des Vertrages.

Einzelheiten zu den gemeinsamen Datenverarbeitungen

Diese sind im vorstehenden Teil C im Wesentlichen beschrieben.

Beitritt zu dem Joint-Controller-Vertrag

Der Beitritt erfolgt durch schriftliche Erklärung des jeweiligen Verkehrsunternehmens gegenüber den Vertragsparteien.

Rechtmäßigkeit der Datenverarbeitungen

Es wird geregelt, dass eine Datenverarbeitung der Vertragspartner ausschließlich bei Vorliegen der Rechtmäßigkeit gemäß der DSGVO erfolgen darf.

Verantwortlichkeit und deren Abgrenzung

Die Abgrenzung der Verantwortlichkeiten ist im Wesentlichen im vorstehenden Teil C wiedergegeben.

Betroffenenrechte

Die Betroffenenrechte können jederzeit gegenüber dem Verkehrsunternehmen ausgeübt werden. Die Betroffenenrechte sind umfassend im Teil A dieser Datenschutzerklärung dargestellt.

Gegenseitige Unterstützungs- und Informationspflichten

Die Vertragsparteien verpflichten sich zur gegenseitigen Unterstützung und Information.

Datenschutzmaßnahmen, u.a. Löschen

Die Vertragsparteien verpflichten sich zur Durchführung der notwendigen Datenschutzmaßnahmen und insbesondere zur Datenlöschung, gemäß den gesetzlichen Vorgaben.

Einsatz von Auftragsverarbeitern

Bei der Beauftragung von Auftragsverarbeitern werden insbesondere die Operativen Verantwortlichen mit diesen angemessenen Regelungen zur Gewährleistung des Datenschutzes und der Datensicherheit zu vereinbaren.

Haftung

Regelungen zur Haftung im Innenverhältnis der Vertragsparteien.

10. Widerspruchsrecht gemäß Art. 21 DSGVO

Du hast das Recht, aus Gründen, die sich aus deiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung dich betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. f der DSGVO (Datenverarbeitung auf der Grundlage einer Interessenabwägung) erfolgt, Widerspruch ein­zulegen. Legst du Widerspruch ein, werden wir deine Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die deine Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsan­sprüchen.

11. Übersicht der eingesetzten Cookies

Nachfolgend findest du eine Beschreibung der Cookies, die von uns auf unserer Website verwendet werden. Es handelt sich hier um funktionale Cookies sowie Marketing- und Analyse-Cookies. Die Verwendung von Analyse- und Marketing-Cookies erfolgt nur, wenn du in die Aktivierung dieser Cookies eingewilligt haben. Du kannst deine Einwilligung zum Einsatz von Marketing- und Analyse-Cookies jederzeit in den Einstellungsoptionen in der App bzw. auf der Webseite widerrufen.

11.1 Funktionale Cookies

Diese Cookies sind für die Darstellung und den Betrieb der App bzw. der Website, einschließlich der damit verbundenen Funktionen und Services zwingend notwendig. Da ohne diese Cookies die App bzw. Website nicht bereitgestellt werden kann, werden diese Cookies automatisch beim Aufruf der App bzw. der Website gesetzt.

Name	Anbieter	Speicherfrist	Beschreibung
UserID	MENTZ	Gültigkeit ist auf eine Session festge­legt	Es handelt sich hierbei um ein Cookie, das eine ein­deutige ID für die konkrete Session des Nutzers vergibt. Durch die vergebene ID wird sichergestellt, dass der Ticketshop während des gesamten Besuchs funktioniert und die von dem Nutzer getätigten Inter­aktionen (z. B. Produktauswahl) ordnungsgemäß dem jeweiligen Nutzer zugeordnet werden. Die ID fungiert als Klammer für die im Server gespeicherten Infor­mationen des jeweiligen Nutzers.
ClientID	MENTZ	Siehe oben	Siehe oben
OrganizationID	MENTZ	Siehe oben	Siehe oben
ClientName	MENTZ	Siehe oben	Siehe oben
OrganizationName	MENTZ	Siehe oben	Siehe oben

11.2 Marketing und Analyse-Cookies

Beim Zugang zu unseren Diensten und Dienstleistungen über die „VRR Bus&Bahn“-App werden die folgenden Cookies zusätzlich gesetzt:

Diese Cookies werden zur Verbesserung der Funktionalität und Nutzerfreundlichkeit unserer Website sowie zur Nachverfolgung von Präferenzen verwendet. Sie erheben Informationen zu deinem Nutzungs­verhalten, z. B. welche Seiten du am häufigsten aufrufst und ob du Fehlermeldungen von Seiten erhältst.

Name	Anbieter	Speicherfrist	Beschreibung
Adjust	Adjust	Im Rahmen der gesetzlichen Bestimmungen	Siehe Ziffer 2.8
Google Fire­base	Google	2 Monate	Siehe Ziffer 2.9
Firebase Ana­lytics	Google	2 Monate	Siehe Ziffer 2.9.1
Firebase Crashlytics	Google	2 Monate	Siehe Ziffer 2.9.2

11.1 Funktionale Cookies

Diese Cookies sind für die Darstellung und den Betrieb der App bzw. der Website, einschließlich der damit verbundenen Funktionen und Services zwingend notwendig. Da ohne diese Cookies die App bzw. Website nicht bereitgestellt werden kann, werden diese Cookies automatisch beim Aufruf der App bzw. der Website gesetzt.

Name	UserID, ClientID, OrganizationID, ClientName, OrganizationName
Anbieter	MENTZMENTZ
Speicherfrist	Gültigkeit ist auf eine Session festgelegt
Beschreibung	Es handelt sich hierbei um ein Cookie, das eine ein­deutige ID für die konkrete Session des Nutzers vergibt. Durch die vergebene ID wird sichergestellt, dass der Ticketshop während des gesamten Besuchs funktioniert und die von dem Nutzer getätigten Inter­aktionen (z. B. Produktauswahl) ordnungsgemäß dem jeweiligen Nutzer zugeordnet werden. Die ID fungiert als Klammer für die im Server gespeicherten Infor­mationen des jeweiligen Nutzers.

11.2 Marketing und Analyse-Cookies

Beim Zugang zu unseren Diensten und Dienstleistungen über die „VRR Bus&Bahn“-App werden die folgenden Cookies zusätzlich gesetzt:

Diese Cookies werden zur Verbesserung der Funktionalität und Nutzerfreundlichkeit unserer Website sowie zur Nachverfolgung von Präferenzen verwendet. Sie erheben Informationen zu deinem Nutzungs­verhalten, z. B. welche Seiten du am häufigsten aufrufst und ob du Fehlermeldungen von Seiten er­halten.

Name	Adjust
Anbieter	Adjust
Speicherfrist	im Rahmen der gesetzlichen Bestimmungen
Beschreibung	siehe Ziffer 2.8

Name	Google Firebase, Firebase Analytics, Firebas Crashlytics
Anbieter	Google
Speicherfrist	2 Monate
Beschreibung	siehe Ziffern 2.9, 2.9.1 und 2.9.2

12. Änderung dieser Datenschutzhinweise

Wir überarbeiten diese Datenschutzhinweise bei Änderungen an der App und der Website oder bei sonstigen Anlässen, die dies erforderlich machen. Wir werden dich über die Änderungen informieren (etwa per E-Mail oder in der App bzw. auf der Webseite). Die jeweils aktuelle Fassung findest du stets in der App und auf der Website.

Version 1.0, Stand 19. September 2022