Hinweise zum Umgang mit persönlichen Daten
Wir freuen uns über Ihr Interesse an unserer DSW21-App. Mit den hier gezeigten Datenschutzinformationen möchten wir Sie unter anderem über Art, Umfang und Zweck den von uns erhobenen, genutzten und verarbeiteten personenbezogenen Daten informieren.
Die nachfolgende Inhaltsübersicht soll Ihnen einen möglichst einfachen und schnellen Einstieg in die Datenschutzinformationen unserer DSW21-App ermöglichen.
Stand: 11.12.2023
Inhaltsübersicht
1. Gegenstand dieser Datenschutzerklärung
3. Name und Anschrift des für die Verarbeitung Verantwortlichen
4. Kontaktdaten des Datenschutzbeauftragten
5. Löschung und Sperrung personenbezogenen Daten/Speicherdauer
6. Rechte der betroffenen Person
7. Rechtsgrundlage der Verarbeitung
8. Berücksichtigung berechtigter Interessen
9. Datenschutz bei Verwendung unserer Kontaktdaten
A. Allgemeine Bestimmungen zur Datenverarbeitung
1. Gegenstand dieser Datenschutzerklärung
Der Schutz Ihrer personenbezogenen Daten ist uns ein großes und sehr wichtiges Anliegen. Nachfolgend möchten wir Sie daher ausführlich darüber informieren, welche Daten bei der Nutzung unserer DSW21-App erhoben und wie diese von uns im Folgenden verarbeitet oder genutzt werden. Des Weiteren informieren wir Sie auch darüber, welche begleitenden Schutzmaßnahmen wir in technischer und organisatorischer Hinsicht getroffen haben.
Die Verarbeitung personenbezogener Daten, wie z. B. Name, Anschrift, E-Mail-Adresse oder Telefonnummer einer betroffenen Person, erfolgt stets im Einklang mit den geltenden datenschutzrechtlichen Bestimmungen. Mittels dieser Datenschutzerklärung möchten wir Sie über Art, Umfang und Zweck der von uns erhobenen, genutzten und verarbeiteten personenbezogenen Daten informieren und sofern Sie von der Datenverarbeitung betroffen sind, aufklären.
Obwohl wir als die für die Verarbeitung von personenbezogenen Daten Verantwortliche zahlreiche technische und organisatorische Maßnahmen umgesetzt haben, kann eine internetbasierte Datenübertragung grundsätzlich Sicherheitslücken aufweisen. Ein absoluter Schutz kann also nicht gewährleistet werden. Wir bitten dies bei der Nutzung unseres Internetangebots zu berücksichtigen.
2. Begriffsbestimmungen
In dieser Datenschutzerklärung werden Begriffe verwendet, die durch den Gesetzgeber in der Datenschutzgrundverordnung (nachfolgend auch DS-GVO) vorgegeben wurden. Die DS-GVO könnten Sie unter folgenden Link abrufen:
https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679&from=DE (PDF)
Das Ziel unserer Datenschutzerklärung ist, Sie in einfacher und verständlicher Weise über die Verarbeitung Ihrer personenbezogenen Daten in unserer DSW21-App zu informieren.
3. Name und Anschrift des für die Verarbeitung Verantwortlichen
Verantwortlich für die Datenverarbeitung ist:
Dortmunder Stadtwerke AG (DSW21)
Deggingstraße 40
44141 Dortmund
vertreten durch den Vorstand:
Jörg Jacoby (Vorstandssprecher)
Harald Kraus
Ulrich Jaeger
4. Kontaktdaten des Datenschutzbeauftragten
Datenschutzbeauftragter
Dortmunder Stadtwerke AG (DSW21)
Deggingstraße 40
44141 Dortmund
datenschutz@dsw21.de
5. Löschung und Sperrung personenbezogenen Daten/Speicherdauer
Sofern nichts Abweichendes bei der jeweiligen Verarbeitung der personenbezogenen Daten in Kapitel B. dieser Datenschutzerklärung geregelt wird, werden die bei uns gespeicherten Daten gelöscht, sobald sie für ihre Zweckbestimmung nicht mehr erforderlich sind und der Löschung keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Sofern die Daten der betroffenen Person nicht gelöscht werden, weil sie für andere und gesetzlich zulässige Zwecke erforderlich sind, wird deren Verarbeitung eingeschränkt. Das heißt die Daten werden gesperrt und nicht für andere Zwecke verarbeitet. Das gilt z. B. für Daten der betroffenen Person, die aus handels- oder steuerrechtlichen Gründen aufbewahrt werden müssen.
Nach den gesetzlichen Vorgaben erfolgt die Aufbewahrung für sechs Jahre gemäß § 257 Abs. 1 HGB (Handelsbücher, Inventare, Eröffnungsbilanzen, Jahresabschlüsse, Handelsbriefe, Buchungsbelege, etc.) sowie für zehn Jahre gemäß § 147 Abs. 1 AO (Bücher, Aufzeichnungen, Lageberichte, Buchungsbelege, Handels- und Geschäftsbriefe, etc.).
6. Rechte der betroffenen Person
6.1 Recht auf Bestätigung
Jede betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber eingeräumte Recht, von dem für die Verarbeitung Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Möchte eine betroffene Person dieses Bestätigungsrecht in Anspruch nehmen, kann sie sich hierzu jederzeit an unseren Datenschutzbeauftragten oder andere Beschäftigte des für die Verarbeitung Verantwortlichen wenden.
6.2 Recht auf Auskunft
Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das Recht, jederzeit von dem für die Verarbeitung Verantwortlichen unentgeltliche Auskunft über die zu seiner Person gespeicherten personenbezogenen Daten und eine Kopie dieser Auskunft zu erhalten. Ferner stehen der betroffenen Person Auskunft über folgende Informationen zu:
- die Verarbeitungszwecke
- die Kategorien personenbezogener Daten, die verarbeitet werden
- die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen
- falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden,
oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer - das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
- wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden:
- alle verfügbaren Informationen über die Herkunft der Daten
- das Bestehen einer automatisierten Entscheidungsfindung, einschließlich eines Profilings gemäß Art. 22 Abs.1 und 4 DS-GVO und - zumindest in diesen Fällen - aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
Ferner steht der betroffenen Person ein Recht auf Auskunft darüber zu, ob personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt wurden. Sofern dies der Fall ist, steht der betroffenen Person im Übrigen das Recht zu, Auskunft über die geeigneten Garantien im Zusammenhang mit der Übermittlung zu erhalten.
Möchte eine betroffene Person dieses Auskunftsrecht in Anspruch nehmen, kann sie sich hierzu jederzeit an unseren Datenschutzbeauftragten oder andere Beschäftigte des für die Verarbeitung Verantwortlichen wenden.
6.3 Recht auf Berichtigung
Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das Recht, die unverzügliche Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Ferner steht der betroffenen Person das Recht zu, unter Berücksichtigung der Zwecke der Verarbeitung, die Vervollständigung unvollständiger personenbezogener Daten mittels einer ergänzenden Erklärung zu verlangen.
Möchte eine betroffene Person dieses Berichtigungsrecht in Anspruch nehmen, kann sie sich hierzu jederzeit an unseren Datenschutzbeauftragten oder andere Beschäftigte des für die Verarbeitung Verantwortlichen wenden.
6.4 Recht auf Löschung
Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass die sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden, sofern einer der folgenden Gründe zutrifft und soweit die Verarbeitung nicht erforderlich ist:
- Die personenbezogenen Daten wurden für solche Zwecke erhoben oder auf sonstige Weise verarbeitet, für welche sie nicht mehr notwendig sind.
- Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Art. 6 Abs. 1 lit. a DS-GVO oder Art. 9 Abs. 2 lit. a DS-GVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
- Die betroffene Person legt gemäß Art. 21 Abs. 1 DS-GVO Widerspruch gegen die Verarbeitung ein, und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Art. 21 Abs. 2 DS-GVO Widerspruch gegen die Verarbeitung ein.
- Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
- Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
- Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DS-GVO erhoben.
Sofern einer der oben genannten Gründe zutrifft und eine betroffene Person die Löschung von personenbezogenen Daten, die bei DSW21 gespeichert sind, veranlassen möchte, kann sie sich hierzu jederzeit an unseren Datenschutzbeauftragten oder andere Beschäftigte des für die Verarbeitung Verantwortlichen wenden. Der Datenschutzbeauftragte von DSW21 oder andere Beschäftigte werden veranlassen, dass dem Löschverlangen unverzüglich nachgekommen wird.
Wurden die personenbezogenen Daten von DSW21 öffentlich gemacht und ist unser Unternehmen als Verantwortlicher gemäß Art. 17 Abs. 1 DS-GVO zur Löschung der personenbezogenen Daten verpflichtet, so trifft DSW21 unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um andere für die Datenverarbeitung Verantwortliche, welche die veröffentlichten personenbezogenen Daten verarbeiten, darüber in Kenntnis zu setzen, dass die betroffene Person von diesen anderen für die Datenverarbeitung Verantwortlichen die Löschung sämtlicher Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat, soweit die Verarbeitung nicht erforderlich ist. Der Datenschutzbeauftragte von DSW21 oder andere Beschäftigte werden im Einzelfall das Notwendige veranlassen.
6.5 Recht auf Einschränkung der Verarbeitung
Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:
- Die Richtigkeit der personenbezogenen Daten wird von der betroffenen Person bestritten, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen.
- Die Verarbeitung ist unrechtmäßig, die betroffene Person lehnt die Löschung der personenbezogenen Daten ab und verlangt stattdessen die Einschränkung der Nutzung der personenbezogenen Daten.
- Der Verantwortliche benötigt die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger, die betroffene Person benötigt sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
- Die betroffene Person hat Widerspruch gegen die Verarbeitung nach Art. 21 Abs. 1 DS-GVO eingelegt und es steht noch nicht fest, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.
Sofern eine der zuvor genannten Fälle vorliegt und eine betroffene Person die Einschränkung von personenbezogenen Daten, die bei DSW21 gespeichert sind, verlangen möchte, kann sie sich hierzu jederzeit an unseren Datenschutzbeauftragten oder andere Beschäftigte des für die Verarbeitung Verantwortlichen wenden. Der Datenschutzbeauftragte von DSW21 oder ein andere Beschäftigte werden dann die Einschränkung der Verarbeitung veranlassen.
6.6 Recht auf Datenübertragbarkeit
Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, welche durch die betroffene Person einem Verantwortlichen bereitgestellt wurden, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Die betroffene Person hat außerdem das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern die Verarbeitung auf der Einwilligung gemäß Art. 6 Abs. 1 lit. a DS-GVO oder Art. 9 Abs. 2 lit. a DS-GVO oder auf einem Vertrag gemäß Art. 6 Abs. 1 lit. b DS-GVO beruht und die Verarbeitung mithilfe automatisierter Verfahren erfolgt, sofern die Verarbeitung nicht für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, welche dem Verantwortlichen übertragen wurde.
Ferner hat die betroffene Person bei der Ausübung ihres Rechts auf Datenübertragbarkeit gemäß Art. 20 Abs. 1 DS-GVO das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen an einen anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist und sofern hiervon nicht die Rechte und Freiheiten anderer Personen beeinträchtigt werden.
Zur Geltendmachung des Rechts auf Datenübertragbarkeit kann sich die betroffene Person jederzeit an den von DSW21 bestellten Datenschutzbeauftragten oder andere Beschäftigte wenden.
6.7 Recht auf Widerspruch
Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DS-GVO erfolgt, Widerspruch einzulegen. Dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.
DSW21 verarbeitet die personenbezogenen Daten im Falle des Widerspruchs nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die den Interessen, Rechten und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Verarbeitet DSW21 personenbezogene Daten, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung der personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen. Dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht. Widerspricht die betroffene Person gegenüber DSW21 der Verarbeitung für Zwecke der Direktwerbung, so wird DSW21 die personenbezogenen Daten nicht mehr für diese Zwecke verarbeiten.
Zudem hat die betroffene Person das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, gegen die sie betreffende Verarbeitung personenbezogener Daten, die bei DSW21 zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gemäß Art. 89 Abs. 1 DS-GVO erfolgen, Widerspruch einzulegen, es sei denn, eine solche Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich.
Zur Ausübung des Rechts auf Widerspruch kann sich die betroffene Person direkt an den Datenschutzbeauftragten DSW21 oder andere Beschäftigte wenden. Der betroffenen Person steht es ferner frei, im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft, ungeachtet der Richtlinie 2002/58/EG, ihr Widerspruchsrecht mittels automatisierter Verfahren auszuüben, bei denen technische Spezifikationen verwendet werden.
6.8 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber gewährte Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung - einschließlich eines evtl. Profiling - beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, sofern die Entscheidung
- nicht für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist, oder
- aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder
- mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.
Ist die Entscheidung für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich oder erfolgt sie mit ausdrücklicher Einwilligung der betroffenen Person, trifft DSW21 angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.
Möchte die betroffene Person Rechte mit Bezug auf automatisierte Entscheidungen geltend machen, kann sie sich hierzu jederzeit an unseren Datenschutzbeauftragten oder andere Beschäftigte des für die Verarbeitung Verantwortlichen wenden.
6.9 Recht auf Widerruf einer datenschutzrechtlichen Einwilligung
Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das Recht, eine Einwilligung zur Verarbeitung personenbezogener Daten jederzeit zu widerrufen.
Möchte die betroffene Person ihr Recht auf Widerruf einer Einwilligung geltend machen, kann sie sich hierzu jederzeit an unseren Datenschutzbeauftragten oder andere Beschäftigte des für die Verarbeitung Verantwortlichen wenden.
Jede betroffene Person kann sich jederzeit bei allen Fragen und Anregungen zum Datenschutz direkt an unseren Datenschutzbeauftragten wenden.
6.10 Beschwerderecht gegenüber einer Datenschutz-Aufsichtsbehörde
Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren. Die für unseren Sitz zuständige Datenschutz-Aufsichtsbehörde ist:
Landesbeauftragte für Datenschutz und Informationsfreiheit NRW
Postfach 20 04 44
40102 Düsseldorf
Telefon: 0211/38424-0
Telefax: 0211/38424-10
E-Mail: poststelle@ldi.nrw.de
7. Rechtsgrundlage der Verarbeitung
Sofern bei der Beschreibung des jeweiligen Datenverarbeitungsvorgangs in dem nachfolgenden Kapitel B. dieser Datenschutzerklärung nichts anderes angegeben wird, gelten nachfolgende Regelungen.
Art. 6 Abs. 1 lit. a DS-GVO dient DSW21 als Rechtsgrundlage für Verarbeitungsvorgänge, bei denen eine Einwilligung für einen bestimmten Verarbeitungszweck einholt werden muss.
Ist die Verarbeitung personenbezogener Daten zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich, so beruht die Verarbeitung auf Art. 6 Abs. 1 lit. b DS-GVO. Gleiches gilt für Verarbeitungsvorgänge die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind, etwa in Fällen von Anfragen zu unseren Dienstleistungen und Produkten.
Unterliegt DSW21 einer rechtlichen Verpflichtung durch welche eine Verarbeitung von personenbezogenen Daten erforderlich wird, so basiert die Verarbeitung auf Art. 6 Abs. 1 lit. c DS-GVO.
In seltenen Fällen könnte die Verarbeitung von personenbezogenen Daten erforderlich werden, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen. In diesem Fall beruht die die Verarbeitung auf Art. 6 Abs. 1 lit. d DS-GVO.
Letztlich könnten Verarbeitungsvorgänge auf Art. 6 Abs. 1 lit. f DS-GVO beruhen. Auf dieser Rechtsgrundlage basieren Verarbeitungsvorgänge, die von keiner der vorgenannten Rechtsgrundlagen erfasst werden, wenn die Verarbeitung zur Wahrung eines berechtigten Interesses von DSW21 oder eines Dritten erforderlich ist, sofern die Interessen, Grundrechte und Grundfreiheiten des Betroffenen nicht überwiegen. Solche Verarbeitungsvorgänge sind uns insbesondere deshalb erlaubt, weil sie durch den Europäischen Gesetzgeber besonders erwähnt wurden (vgl. Erwägungsgrund 47 Satz 2 DS-GVO).
8. Berücksichtigung berechtigter Interessen
Sofern bei der Beschreibung des jeweiligen Datenverarbeitungsvorgangs in Kapitel B. dieser Datenschutzerklärung nichts anderes geregelt wird und die Verarbeitung personenbezogener Daten auf Art. 6 Abs. 1 lit. f DS-GVO basiert, besteht unser berechtigtes Interesse in der Durchführung unserer Geschäftstätigkeit und dem damit verbundenen wirtschaftlichen Interesse.
9. Datenschutz bei Verwendung unserer Kontaktdaten
Sofern Sie die in unserer DSW21-App angegebenen Kontaktdaten (wie z. B. unsere E-Mail-Adresse, Telefonnummer oder Faxnummer) für eine Kontaktaufnahme mit uns verwenden, werden die von Ihnen dabei übermittelten personenbezogenen Daten nur für den mit der Kontaktaufnahme verfolgten Zweck verarbeitet.
Sofern der Grund Ihrer Kontaktaufnahme in dem Interesse an unseren Dienstleistungen bzw. Produkten bzw. in der Erfüllung eines mit uns bestehenden Vertrages besteht, ist die Rechtsgrundlage Art. 6 Abs. 1 lit. b DS-GVO. Wenn Sie uns zur Wahrnehmung Ihrer Betroffenenrechte kontaktieren, ist die Rechtsgrundlage Art. 6 Abs. 1 lit. c DS-GVO. In allen anderen Fällen der Kontaktaufnahme haben wir ein berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DS-GVO an der Datenverarbeitung aufgrund der von Ihnen initiierten Kommunikation.
Die zur Vertragsabwicklung erforderlichen Daten speichern wir bis zum Ablauf der gesetzlichen Gewährleistungs- und ggf. vertraglichen Garantiefristen. Die nach Handels- und Steuerrecht erforderlichen Daten bewahren wir für die gesetzlich bestimmten Zeiträume auf, regelmäßig zehn Jahre (vgl. § 257 HGB, § 147 AO). Die zur Durchführung vorvertraglicher Maßnahmen verarbeiteten Daten werden gelöscht, sobald die Maßnahmen durchgeführt wurden und es erkennbar nicht zu einem Vertragsschluss kommt.
Die von uns aufgrund eines berechtigten Interesses gespeicherten personenbezogenen Daten werden bis zur Erreichung des mit der Kontaktaufnahme verfolgten Zwecks gespeichert. Sie haben das Recht, der Datenverarbeitung die auf der Grundlage des Art. 6 Abs. 1 f DS-GVO erfolgt und nicht der Direktwerbung dient aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit zu widersprechen. Im Falle der Direktwerbung können Sie der Verarbeitung hingegen ohne Angabe von Gründen jederzeit widersprechen.
Empfänger der nach dieser Vorschrift verarbeiteten personenbezogenen Daten sind IT-Dienstleister (insb. Hosting), mit denen wir gemäß Art. 28 DS-GVO eine entsprechende Vereinbarung zur Auftragsverarbeitung geschlossen haben.
10. Übermittlung in Drittstaaten
Datenübermittlungen in Länder, in denen kein angemessenes Datenschutzniveau besteht („Drittländer“, d. h. Staaten außerhalb der Europäischen Union/des Europäischen Wirtschaftsraums), ergeben sich im Rahmen der Administration, Entwicklung und des Betriebs von IT-Systemen und nur soweit die Übermittlung grundsätzlich zulässig ist und die besonderen Voraussetzungen für eine Übermittlung in ein Drittland vorliegen, insbesondere der sog. Datenimporteur ein angemessenes Datenschutzniveau nach Maßgabe der EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Datenverarbeiter in Drittländern gewährleistet.
11. Änderungen dieser Datenschutzbestimmungen
DSW21 behält sich das das Recht vor, diese Datenschutzbestimmungen jederzeit mit Wirkung für die Zukunft zu ändern. Eine jeweils aktuelle Version ist in der DSW21-App verfügbar. Bitte suchen Sie unsere Internetseite regelmäßig auf und informieren Sie sich über die geltenden Datenschutzbestimmungen.
B. Besondere Erklärungen zur Datenverarbeitung in der DSW21-App
1. Erhebung und Verwendung Ihrer Daten
Umfang und Art der Erhebung und Verwendung Ihrer Daten unterscheidet sich danach, ob Sie unsere DSW21-App nur zum Abruf von Informationen benutzen oder von uns angebotene Leistungen in Anspruch nehmen und sich gegebenenfalls registrieren.
2. Technische Datenverarbeitungen für die Nutzung der App
2.1. Zugriffberechtigungen
Damit die App funktionieren kann, sind bestimmte Zugriffsberechtigungen auf die Daten oder Funktionen des Betriebssystems Ihres mobilen Endgerätes technisch notwendig. Dazu gehören die Folgenden:
- Netzwerkzugriff/mobile Daten: Internetdaten erhalten, Netzwerkverbindungen abrufen, voller Netzwerkzugriff, WLAN-Verbindungen abrufen, um den Abruf der Informationen durch die App zu ermöglichen;
- gerätespezifischer Zugriff: Ruhezustand deaktivieren, Vibrationsalarm steuern, um das Eintreffen von Push-Nachrichten zu signalisieren;
- Zu Beginn der Anmeldung werden Sie aufgefordert, den Zugriff auf Fotos, Medien und Dateien zu akzeptieren. Die App greift jedoch nicht auf Ihre persönlichen Fotos, Medien oder Dateien zu, sondern Sie haben die Möglichkeit, aus der App heraus bestimmte Inhalte bzw. Informationen wie z.B. Linienfahrpläne als Bild bzw. Datei abzuspeichern.
- Bluetooth-Funktionalität zur Nutzung der eTarife NRW und Westfalen; und
- GPS-Funktionalität zur Nutzung der eTarife NRW und Westfalen sowie zur Standortbestimmung bei Nutzung der Fahrplanauskunft.
Die Rechtsgrundlage für diese Verarbeitung sind die allgemeinen Geschäftsbedingungen über die Nutzung der App gemäß Art. 6 (1) b DSGVO. Ohne die genannten Zugriffsberechtigungen kann ein einwandfreier Betrieb der App für den Nutzer nicht gewährleistet werden. Soweit die Daten für die Fahrscheinkontrolle (Geburtsdatum, Geschlecht) erhoben werden, dient dies unserem berechtigten Interesse gemäß Art. 6 (1) f DSGVO.
2.2 Einsatz funktionaler Cookies
In der App werden funktionale Cookies eingesetzt. Optionale und für den Betrieb nicht zwingend erforderliche Cookies, etwa zu Analyse- und Marketingzwecken, werden in der App nicht eingesetzt. Cookies sind kleine Textdateien, die vorübergehend in Ihrem Browser deponiert werden und technische Informationen über Ihre Nutzung der App erheben. Die funktionalen Cookies werden eingesetzt, um die App bereitzustellen und Ihnen die darin enthaltenen Dienste zur einfachen und technisch fehlerfreien Nutzung zur Verfügung zu stellen (bspw. Warenkorbfunktion, Speicherung der Sprachauswahl). In der App werden die folgenden funktionalen Cookies eingesetzt:
KEYCLOAK_AUTH_HOST_ID
Wird eingesetzt, um zu speichern, welche von mehreren load-balanced Keycloak Instanzen (unser identity management system) verwendet wurde (sozusagen die Lastverteilung der Server).
KEYCLOAK_LOCALE
Speichert die „Lokale“ Einstellungen des Users bzw. seine bevorzugte Sprache.
KC_ROOT
Wird benutzt, um ggf. client information zu speichern, falls authentication flow abgebrochen wird (https://github.com/keycloak/keycloak-community/pull/16/files/4c9b955990190344a3f1ed98c0a0a1dd62d1e8ec#diff-e80d46bcdc500282953034ecbef7b254b253c1d063b965ec7f458b0eb25dcf7fR77).
JSESSION_ID
Wird von MaaS-Komponenten generiert, aber nicht von der App an den Server zurückgegeben, d.h. damit wird der User nicht getrackt.
Weiter setzen wir in der App sowohl für iOS als auch Android Cookies in WebViews (Betriebssystem interne Browser). Für Android wird die Klasse WebView (WebView | Android Developers) und für iOS WKWebView (WKWebView | Apple Developer Documentation) eingesetzt. Diese Webviews werden in folgenden Prozessen der App verwendet:
- Login
- Anzeige Datenschutz
- Anzeige AGB
- Anzeige Impressum
- Anzeige FAQ
- Markt- und Meinungsforschung
Vor dem Login werden alle Cookies gelöscht, aber während des Login Prozesses zugelassen. Die gespeicherten Daten werden verwendet, um den Kunden mit seinem Login die Nutzung der App zu ermöglichen.
Die Rechtsgrundlage für diese Verarbeitungen ist unser berechtigtes Interesse an einem einwandfreien Betrieb der App gemäß Art. 6 Abs. 1 lit. f DS-GVO und § 25 (2) TTDSG.
2.3 Verwendung der Bluetooth-Funktion
Damit die Erkennung von Fahrzeugen im Zusammenhang mit der Nutzung der eTarife in NRW und Westfalen auch funktioniert, benötigen wir den Zugriff auf Ihr Bluetooth. Sie können der Verwendung zustimmen oder nicht erlauben. Eine Abfrage erfolgt bei erstmaliger Nutzung der App und, sofern Sie die Verwendung zunächst nicht erlaubt haben, spätestens mit Nutzung der eTarife in NRW. Für die Nutzung der eTarife in NRW ist die Verwendung der Bluetooth-Funktion erforderlich.
Die Rechtsgrundlage für diese Verarbeitung ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DS-GVO. In den Geräteeinstellungen können Sie Ihre Einwilligung mit Wirkung für die Zukunft jederzeit widerrufen, indem Sie die Verwendung der Bluetooth-Funktion unterbinden.
2.4 Verwendung der Standortdaten
Die App bietet Ihnen die Nutzung der eTarife in NRW und Westfalen an, bei dem die Verwendung Ihrer Standort- und Fortbewegungsdaten zwecks Erfassung Ihrer gefahrenen Strecke und damit verbundene Abrechnung erforderlich sind. Auch können Sie generell bei Nutzung der App Informationen zum weiteren Umkreis Ihres ungefähren aktuellen Standortes erhalten und die Haltestellen in Ihrer Nähe werden Ihnen automatisch angezeigt. Die App verwendet Ihren Standort nur und erst dann, wenn Sie dies in den entsprechenden Geräteeinstellungen des Betriebssystems Ihres mobilen Endgerätes erlaubt haben. Mit Erlaubnis werden die Standortdaten von Ihrem Betriebssystem an die App übertragen und verwendet.
Die Rechtsgrundlage für diese Verarbeitung ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DS-GVO. In den Geräteeinstellungen können Sie Ihre Einwilligung mit Wirkung für die Zukunft jederzeit widerrufen, indem Sie die Verwendung der Standortdaten generell oder explizit für diese App unterbinden.
2.5 Darstellung der Fahrtenhistorie und Suchanfragen
Um in der App den Verlauf Ihrer Fahrten (gekaufte digitale Tickets) und Suchanfragen darzustellen, werden –abhängig von der Art und dem Umfang Ihrer Nutzung der App Dienste- die folgenden Informationen gespeichert:
- Historie der eingegebenen Punkte (z.B. Haltestelle, Adresse, etc.)
- Historie der eingegebenen Verbindungen, Historie der eingegebenen Linien, Einstellungen des Nutzers, bestimmte Zustände der App
- bestimmte vom Fahrplanauskunftsserver abgerufene Inhalte (z.B. Karten-Kacheln) sowie die Fahrberechtigung.
Die GPS-Position wird nicht gespeichert, sondern bei einer Fahrplanauskunft einmalig an den Fahrplanauskunftsserver geschickt, um daraus eine Adresse zur Berechnung einer Fahrplanauskunft zu ermöglichen. Die App überträgt keine privaten Informationen an die elektronische Fahrplanauskunft (EFA). Die App greift zwecks Speichern der oben genannten Inhalte auf den lokalen Speicher des Smartphones zu.
Die Rechtsgrundlage für diese Verarbeitung ist unser berechtigtes Interesse Ihnen eine funktionsfähige und nutzerfreundliche App zur Verfügung zu stellen gemäß Art. 6 Abs. 1 lit. f DS-GVO.
Dieser Verarbeitung können Sie jederzeit widersprechen, indem Sie die im lokalen App-Speicher der App gespeicherten Kartendaten und Historien in den Datenschutz-Einstellungen der App löschen.
2.6 Push-Nachrichten
Push-Nachrichten sind von der App versendete Meldungen mit Informationen zu den Diensten (bspw. Benachrichtigung zur Reise, Verspätung). Der Versand von Push-Nachrichten erfolgt ausschließlich, wenn Sie diesem ausdrücklich zugestimmt haben. Wir fragen bei der ersten Nutzung der App ab, ob Sie Push-Nachrichten auf Ihrem Endgerät angezeigt bekommen wollen. Dies erfolgt abhängig vom Betriebssystem entweder durch die Freigabe nach Download der App oder durch ein Dialogfenster beim ersten Aufruf der App.
Die Rechtsgrundlage für diese Verarbeitung ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DS-GVO. In den Geräteeinstellungen können Sie Ihre Einwilligung mit Wirkung für die Zukunft jederzeit widerrufen, indem Sie den Erhalt von Push-Nachrichten deaktivieren.
2.7 Google Maps
Wir benutzen in unserer DSW21-App Google Maps der Firma Google Inc. (1600 Amphitheatre Parkway Mountain View, CA 94043, USA). Mit Google Maps können wir Standorte visuell besser darstellen und damit unser Service verbessern. Durch die Verwendung von Google Maps werden Daten an Google übertragen und auf den Google-Servern gespeichert. Hier wollen wir nun genauer darauf eingehen, was Google Maps ist, warum wir diesen Google-Dienst in Anspruch nehmen, welche Daten gespeichert werden und wie Sie dies unterbinden können.
Welche Daten werden von Google Maps gespeichert?
Damit Google Maps ihren Dienst vollständig anbieten kann, muss das Unternehmen Daten von Ihnen aufnehmen und speichern. Dazu zählen unter anderem die eingegebenen Suchbegriffe, Ihre IP-Adresse und die Breiten- bzw. Längenkoordinaten. Benutzen Sie die Routenplaner-Funktion wird auch die eingegebene Startadresse gespeichert. Diese Datenspeicherung passiert allerdings auf den Webseiten von Google Maps. Wir können Sie darüber nur informieren, aber keinen Einfluss nehmen. Da wir Google Maps in unserer App eingebunden haben, setzt Google mindestens ein Cookie (Name: NID) in Ihrem Browser. Dieses Cookie speichert Daten über Ihr Userverhalten. Google nutzt diese Daten in erster Linie, um eigene Dienste zu optimieren und individuelle, personalisierte Werbung für Sie bereitzustellen.
Folgendes Cookie wird aufgrund der Einbindung von Google Maps auf Ihrem Smartphone gesetzt:
- Name: NID
- Ablaufzeit: nach 6 Monaten
- Verwendung: NID wird von Google verwendet, um Werbeanzeigen an Ihre Google-Suche anzupassen. Mit Hilfe des Cookies „erinnert“ sich Google an Ihre am häufigsten eingegebenen Suchanfragen oder Ihre frühere Interaktion mit Anzeigen. So bekommen Sie immer maßgeschneiderte Werbeanzeigen. Das Cookie enthält eine einzigartige ID, die Google benutzt, persönliche Einstellungen des Users für Werbezwecke zu sammeln.
- Beispielwert: 188=h26c1Ktha7fCQTx8rXgLyATyITJ311141511
Anmerkung: Wir können bei den Angaben der gespeicherten Daten keine Vollständigkeit gewährleisten. Speziell bei der Verwendung von Cookies sind Veränderungen bei Google nie auszuschließen. Um das Cookie NID zu identifizieren, wurde eine eigene Testseite angelegt, wo ausschließlich Google Maps eingebunden war.
Wie lange und wo werden die Daten gespeichert?
Die Google-Server stehen in Rechenzentren auf der ganzen Welt. Die meisten Server befinden sich allerdings in Amerika. Aus diesem Grund werden Ihre Daten auch vermehrt in den USA gespeichert. Hier können Sie genau nachlesen wo sich die Google-Rechenzentren befinden: https://www.google.com/about/datacenters/inside/locations/?hl=de
Die Daten verteilt Google auf verschiedenen Datenträgern. Dadurch sind die Daten schneller abrufbar und werden vor etwaigen Manipulationsversuchen besser geschützt. Jedes Rechenzentrum hat auch spezielle Notfallprogramme. Wenn es zum Beispiel Probleme bei der Google-Hardware gibt oder eine Naturkatastrophe die Server beeinträchtigt, bleiben die Daten mit hoher Wahrscheinlich dennoch geschützt.
Manche Daten speichert Google für einen festgelegten Zeitraum. Bei anderen Daten bietet Google lediglich die Möglichkeit, diese manuell zu löschen. Weiters anonymisiert das Unternehmen auch Informationen (wie zum Beispiel Werbedaten) in Serverprotokollen, indem sie einen Teil der IP-Adresse und Cookie-Informationen nach 9 bzw.18 Monaten löschen.
Wie kann ich meine Daten löschen bzw. die Datenspeicherung verhindern?
Mit der 2019 eingeführten automatischen Löschfunktion von Standort- und Aktivitätsdaten werden Informationen zur Standortbestimmung und Web-/App-Aktivität – abhängig von Ihrer Entscheidung – entweder 3 oder 18 Monate gespeichert und dann gelöscht. Zudem kann man diese Daten über das Google-Konto auch jederzeit manuell aus dem Verlauf löschen. Wenn Sie Ihre Standorterfassung vollständig verhindern wollen, müssen Sie im Google-Konto die Rubrik „Web- und App-Aktivität“ pausieren. Klicken Sie „Daten und Personalisierung“ und dann auf die Option „Aktivitätseinstellung“. Hier können Sie die Aktivitäten ein- bzw. ausschalten.
Google ist aktiver Teilnehmer beim EU-U.S. Data Privacy Framework, wodurch der korrekte und sichere Datentransfer persönlicher Daten geregelt wird. Wenn Sie mehr über die Datenverarbeitung von Google erfahren wollen, empfehlen wir Ihnen die hauseigene Datenschutzerklärung des Unternehmens unter https://policies.google.com/privacy?hl=de.
Die Rechtsgrundlage für diese Verarbeitung ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DS-GVO.
3. Registrierung
Die Nutzung der App ist grundsätzlich ohne Registrierung möglich. Dienste wie die Fahrplanauskunft ist damit ohne weitere Datenverarbeitungen möglich. Bestimmte Dienste der App, insbesondere der Ticketkauf, benötigen hingegen weitere personenbezogenen Daten von Ihnen, sodass eine Registrierung erforderlich ist. Die Registrierung und damit die Erstellung eines Kundenkontos erfolgt über einen IT-Dienstleister. Dort werden die folgenden Daten abgefragt (Pflichtangaben):
- Anrede
- Vor- und Nachname
- Geburtsdatum
- Mobilfunknummer
- E-Mail-Adresse
Weitere Informationen finden Sie in den allgemeinen Geschäftsbedingungen zum HandyTicket Deutschland.
Die Abfrage zu den Zahlungsdaten sind für die Registrierung grundsätzlich nicht erforderlich, allerdings verpflichtend mit Kauf eines Online Tickets zwecks Bezahlung. Dann werden Ihre Zahlungsdaten hinterlegt. Sie können die Zahlungsdaten nach Bedarf ändern. Die Rechtsgrundlage für diese Verarbeitung sind die allgemeinen Geschäftsbedingungen über die Nutzung der App gemäß Art. 6 Abs. 1 lit. b DS-GVO. Die Registrierung ist Grundvoraussetzung und somit vorvertragliche Maßnahme für den Kauf eines oder mehrere Online Tickets über die App. Die Bereitstellung der oben aufgeführten Pflichtangaben ist vertraglich vorgeschrieben, sodass wir Ihnen bei Nichtbereitstellung dieser Angaben die Dienste, die eine Registrierung voraussetzen, nicht in der App anbieten können.
4. Kauf eines digitalen Tickets
Über unsere App können Sie digitale Tickets kaufen und somit die Fahrleistungen im öffentlichen Nahverkehr in Anspruch nehmen. Beim Kauf eines digitalen Tickets können Sie zwischen verschiedenen Ticketarten wählen. Hierzu gehören Tickets gemäß den jeweils geltenden Tarifen und Preisstufen. Auch die eTarife in NRW und Westfalen können Sie über unsere App auswählen und nutzen. Voraussetzung für Kauf eines digitalen Tickets über die App ist die Registrierung (siehe Ziffer 3). Auch die Erfassung und weiterführende Verarbeitung von Zahlungsdaten sind erforderlich. Bei der Nutzung der eTarife in NRW und Westfalen werden ergänzend Angaben zu Ihrem Standort und zu Ihrer Fahrt erfasst.
Die Unterschiede und Gemeinsamkeiten hinsichtlich Art und Umfang der Datenverarbeitung bei Kauf eines digitalen Tickets werden im Folgenden näher beschrieben.
4.1 Standardmäßiges digitales Ticket
Wenn Sie in der App ein standardmäßiges digitales Ticket kaufen (gemeint sind alle Ticketarten ausgenommen die eTarife in NRW und Westfalen), ist es erforderlich, dass wir neben Ihren Pflichtangaben aus der Registrierung (siehe Ziffer 3) die folgenden Angaben erheben und für den Kaufabschluss weiterführend verarbeiten:
- Rechnungsdaten (Rechnungsadresse, Finanzdienstleister, Zahlungsart)
- Bestelldaten (Bestellung-ID, Bestelldatum und Bestellstatus)
- Ticketdaten (Ticket ID, Gültigkeit, Geltungsbereich, Zone, Starthaltestelle, Endhaltestelle, Tickettyp, Ticketname, Ticket Key (optional) verfügbare/verbrauchte Einheiten, Preisstufe, Barcode, Kategorie (Klasse), Angaben zum Verkehrsverbund, Verkehrsunternehmen, Angaben über Gesamtpreis der gekauften Tickets, Tarif Art, Produktnummer, Einnahme-Aufteilungs-Code zur Zuweisung der Einnahmen, Erstattung).
Auch die Abfrage Ihrer Zahlungsdaten ist erforderlich, sofern sie diese nicht bereits bei Registrierung hinterlegt haben.
Die Rechtsgrundlage für diese Verarbeitung sind die Allgemeinen Geschäftsbedingungen und die geltenden Tarifbestimmungen gemäß Art. 6 Abs. 1 lit. b DS-GVO.
4.2 eTarife in NRW und Westfalen (eezy-Tarife)
Wenn Sie in der App ein eezy-Ticket kaufen, werden zunächst ähnliche Angaben erfasst und verwendet, wie bei dem Kauf eines standardmäßigen digitalen Tickets beschrieben (siehe Ziffer 4). Für die Nutzung des eezy-Tickets ist Ihre Einwilligung in die Aktivierung der Bluetooth-Funktion auf Ihrem mobilen Endgerät und die Verwendung Ihrer Standortdaten (GPS) durch die App erforderliche (siehe Ziffer 2.3 und 2.4).
Die Bemessung und die Abrechnung des Ticketpreises bei der Nutzung des eezy-Tickets bestimmt sich nach den geltenden eTarifen in NRW und Westfalen und nach Ihren Fahrtdaten. Die Fahrtendaten stellen ein Bewegungsprofil Ihrer in Anspruch genommener Fahrleistungen im öffentlichen Nahverkehr dar und enthalten die folgenden Angaben:
- Standort- und Fortbewegungsdaten (Check-In Zeit, Check-In Haltestelle, Check-Out Zeit, Check-Out Haltestelle, Km-Anzahl, Uhrzeit, Wegepunkte (Haltestelle, Ankunft, Abfahrt));
- ergänzende Fahrtdaten (Fahrt ID, Fahrtdatum, Fahrtstatus, Mitnahme Kinder, Mitnahme Fahrräder, Klasse); und
- durch das System zusätzlich bereitgestellte bestell- und abrechnungsrelevante Daten (Bestell-ID, Bestellstatus, Tarif, Rabattstufe, Preisstufendeckel, 24h-Deckel, 30 Tages-Deckel, Basispreis, Mitnahmen, Gesamtsumme, Kundenvertragspartner).
Auch die Fahrtdaten sind zwingend für die Nutzung des eezy-Tickets erforderlich. Ohne deren Erhebung kann das Ticket nicht genutzt werden. Sie haben jederzeit die Möglichkeit auch auf Grundlage des standardisierten digitalen Tickets den öffentlichen Nahverkehr zu nutzen.
Die Nutzung der eTarife in NRW und Westfalen beginnt mit einer Fahrtenberechtigung über einen Check-In und endet mit Abschluss Ihrer Fahrt durch das (assisted) Check-Out. Nach Check-Out und auf Grundlage Ihrer Fahrtendaten erfolgt die Abrechnung des eezy-Tickets. Die Bemessung des Fahrpreises erfolgt durch Zuordnung der gebildeten Reisestrecke zu den jeweils anwendbaren Tarifbestimmungen der einzelnen Verkehrsunternehmen und Tariforganisationen.
Die Rechtsgrundlage für diese Verarbeitung sind die Allgemeinen Geschäftsbedingungen und die geltenden Tarifbestimmungen gemäß Art. 6 Abs. 1 lit. b DS-GVO.
4.3 Weitere Datenverarbeitungen im Zusammenhang mit eezy–Tickets und Kooperationspartner
Die landesweite Bereitstellung der eezy-Tickets und die Bemessung des Fahrpreises bei Kauf bzw. Check-Out erfolgt durch Zuordnung der gebildeten Reisestrecke zu den jeweils anwendbaren Tarifbestimmungen der einzelnen Verkehrsunternehmen und Tariforganisationen. Ja nach gebildeter Reisestrecke nutzen Sie den öffentlichen Nahverkehr nicht ausschließlich durch uns. Auch andere Verkehrsunternehmen können Sie befördern, was bei der Aufteilung der Einnahmen aus dem Verkauf des eezy-Tickets berücksichtigt werden muss. In diesem Zusammenhang übermitteln wir für die im Folgenden beschriebenen Verarbeitungstätigkeiten Einnahmenaufteilung, Mindererlösausgleich und Tarifcontrolling bestimmte Informationen zu Ihrem Kauf, sogenannte Vertriebsdatensätze, aus unserer App heraus an unsere Kooperationspartner.
Ein einzelner Vertriebsdatensatz enthält neben technischen bzw. abrechnungsrelevanten Informationen Ihre Reisedaten (Informationen über angefahrenen Haltestellen (Erst- und Endhaltestelle und Umstiege), gewählte Reisezeitpunkte, sowie die Bepreisung der jeweiligen Fahrten) enthält. Aus Datenschutzgründen enthält der Vertriebsdatensatz nicht Ihre Kontaktdaten, die bei Registrierung erfasst und bei Ticketkauf weiterführend verarbeitet werden. Vor Bereitstellung an unseren Kooperationspartner wird dem Vertriebsdatensatz eine pseudonymisierte 24-Stunden-Kunden-ID zugeordnet. Dabei handelt es sich um eine temporäre Kunden-ID, die keine Identifikation Ihrer Person durch unseren Kooperationspartner ermöglicht und lediglich dazu dient, einzelne Reiseabschnitte einer Gesamtreise einer Person XY im Rahmen des eezy.nrw zuzuordnen.
4.3.1 Kooperationspartner als gemeinsame Verantwortliche
Für die Verarbeitungstätigkeiten Einnahmenaufteilung, Mindererlösausgleich, Tarifcontrolling und Marktforschung im Zusammenhang mit dem Kauf eines eezy-Tickets übermitteln wir die unter Ziffern 4.3.2; 4.3.3 und 4.3.4 beschriebenen Vertriebsdatensätze an die folgenden Kooperationspartner, mit denen bezogen auf die genannten Verarbeitungstätigkeiten jeweils eine gemeinsame Verantwortlichkeit gemäß den Anforderungen aus Art. 26 DSGVO vorliegt („gemeinsame Verantwortliche“):
Name | Adresse | Telefon/E-Mail |
Kompetenzcenter Marketing NRW | Glockengasse 37-39 | 0221 20 80 8-0 |
Westfalentarif GmbH | Willy-Brandt-Platz 2 | 0521-557666 0 |
Verkehrsverbund Rhein Ruhr AöR (auch VRR genannt) | Augustastraße 1 | datenschutz@vrr.de |
Den Datenschutzbeauftragten des KCM erreichen Sie unter:
Verkehrsverbund Rhein-Sieg GmbH,
Datenschutzbeauftragter
Glockengasse 37-39
50667 Köln
E-Mail: datenschutz@vrs.de
Den externen Datenschutzbeauftragten der WTG erreichen Sie unter:
Stadtwerke Bielefeld GmbH
Datenschutzbeauftragter
Schildescher Straße 16
33611 Bielefeld
E-Mail: datenschutz@westfalentarif.de
Den Datenschutzbeauftragten des VRR erreichen Sie unter:
Verkehrsverbund Rhein-Ruhr AöR
Datenschutzbeauftragter
Augustastraße 1
45879 Gelsenkirchen
E-Mail: datenschutz@vrr.de
Wir und unsere Kooperationspartner haben vertraglich vereinbart, wer welche Pflichten nach der DSGVO erfüllt. Auf Anfrage stellen wir Ihnen eine Kopie der Einzelheiten des Vertrages über die gemeinsame Verantwortung bereit. Die wesentlichen datenschutzrechtlichen Pflichten lauten wie folgt:
Wir und die Kooperationspartner machen den betroffenen Personen die gemäß Art. 13 und 14 DSGVO erforderlichen Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache unentgeltlich in ihren Datenschutzerklärungen zugänglich. Hierbei lässt jede Partei der anderen Partei sämtliche dafür notwendigen Informationen aus ihrem Wirkbereich zukommen. Wir und die Kooperationspartner informieren sich unverzüglich gegenseitig über von Betroffenen geltend gemachte Rechtspositionen. Sie stellen einander sämtliche für die Beantwortung von Anfragen der betroffenen Personen notwendigen Informationen zur Verfügung. Es steht Ihnen frei, ob Sie ihre Datenschutzrechte bei uns oder unserem Kooperationspartner geltend machen, soweit dies die Verarbeitungen betreffen, die in unserem gemeinsamen Verantwortungsbereich stehen. Betroffene Personen erhalten die Auskunft grundsätzlich von der Stelle, bei der die Rechte geltend gemacht wurden.
Die Verarbeitungstätigkeiten Einnahmenaufteilung, Mindererlösausgleich, Tarifcontrolling und Marktforschung werden im Folgenden vorgestellt und die gemeinsame Verantwortlichkeit entsprechend kenntlich gemacht.
4.3.2 Einnahmenaufteilung
Für die Einnahmenaufteilung sind wir jeweils gemeinsam mit dem KCM und der WTG datenschutzrechtlich verantwortlich. Die gemeinsame Verantwortlichkeit bezieht sich auf die aus der App an den jeweiligen Kooperationspartner übermittelnden Vertriebsdatensätze.
Gemeinsame Verantwortung mit dem KCM: Mit der Einnahmenaufteilung werden Erlöse aus dem eezy.nrw Tarif den jeweiligen Verkehrsunternehmen zugewiesen. Um zu ermitteln, welcher Anteil der Erlöse aus Ihrer Reise welchem Verkehrsunternehmen im Detail zusteht, verarbeiten wir den Vertriebsdatensatz in gemeinsamer Verantwortlichkeit mit unserem Kooperationspartner KCM. Zum Zwecke der Einnahmenaufteilung wird durch unseren Kooperationspartner Ihren Reisedaten aus dem Vertriebsdatensatz eine pseudonymisierte 24-Stunden-Kunden-ID zugeordnet. Dabei handelt es sich um eine temporäre Kunden-ID, die keine Identifikation Ihrer Person durch unseren Kooperationspartner ermöglicht und lediglich dazu dient, einzelne Reiseabschnitte einer Gesamtreise im Rahmen des eezy.nrw Tarifs zuzuordnen. Bevor der Vertriebsdatensatz zur Einnahmenaufteilung verarbeitet wird, findet durch unseren Kooperationspartner eine vorgeschaltete Qualitäts- und Fehlerkontrolle statt (sog. „Meldungssteuerung“). Die Verarbeitung Ihrer personenbezogenen Daten zum Zweck der Einnahmenaufteilung erfolgt gemäß Art. 6 Abs. 1 lit. b DS-GVO zur Erfüllung des Vertrags mit Ihnen. Die vorgeschaltete Meldungssteuerung hingegen basiert gemäß Art. 6 Abs. 1 lit. f DS-GVO sowohl auf unserem als auch auf dem berechtigten Interesse unseres Kooperationspartners, eine validierte und geprüfte Datengrundlage zu haben und die Richtigkeit der Ergebnisse zu gewährleisten.
Gemeinsame Verantwortung mit der WTG: Mit der Einnahmenaufteilung werden Erlöse aus dem eezy.westfalen Tarif den jeweiligen Verkehrsunternehmen zugewiesen. Um zu ermitteln, welcher Anteil der Erlöse aus Ihrer Reise welchem Verkehrsunternehmen im Detail zusteht, verarbeiten wir den Vertriebsdatensatz in gemeinsamer Verantwortlichkeit mit unserem Kooperationspartner WTG. Bevor der Vertriebsdatensatz zur Einnahmenaufteilung verarbeitet wird, findet durch unseren Kooperationspartner eine vorgeschaltete Qualitäts- und Fehlerkontrolle statt (sog. „Datenaufbereitung“).
Die Verarbeitung Ihrer personenbezogenen Daten zum Zweck der Einnahmenaufteilung inkl. der vorgeschalteten Datenaufbereitung erfolgt gemäß Art. 6 Abs. 1 lit. b DS-GVO zur Erfüllung des Vertrags mit Ihnen.
4.3.3 Berechnung des Mindererlösausgleichs
Für die Berechnung des Mindererlösausgleichs sind wir gemeinsam mit dem KCM datenschutzrechtlich verantwortlich. Die gemeinsame Verantwortlichkeit bezieht sich auf die aus der App an den jeweiligen Kooperationspartner übermittelnden Vertriebsdatensätze.
Mit der Einführung des eezy.nrw Tarifs kann es für die Verkehrsunternehmen zu sog. Mindererlösen kommen. Ursache hierfür ist unter anderem, dass für verbundraumübergreifende Fahrten eine Preisobergrenze je 24-Stunden-Zeitraum gilt. Um daraus resultierenden Erlösnachteilen für die Verkehrsunternehmen entgegenzuwirken, hat das Land Nordrhein-Westfalen eine Förderung dieser übernommen. Für diese Förderung führt unser Kooperationspartner, das KCM die Berechnung des Mindererlösausgleichs durch. Diese Berechnung erfolgt auf der Basis des von uns bereitgestellten Vertriebsdatensatzes. Zum Zwecke der Berechnung des Mindererlösausgleichs wird durch unseren Kooperationspartner Ihren Reisedaten aus dem Vertriebsdatensatz eine pseudonymisierte 24-Stunden-Kunden-ID zugeordnet. Dabei handelt es sich um eine temporäre Kunden-ID, die keine Identifikation Ihrer Person durch unseren Kooperationspartner ermöglicht und lediglich dazu dient, einzelne Reiseabschnitte einer Gesamtreise im Rahmen des eezy.nrw Tarifs zuzuordnen. Bevor der Vertriebsdatensatz zur Berech-nung des Mindererlösausgleichs verarbeitet wird, findet durch unseren Kooperationspartner, die Meldungssteuerung statt.
Die Verarbeitung Ihrer personenbezogenen Daten zum Zweck der Berechnung des Mindererlösausgleichs erfolgt gemäß Art. 6 Abs. 1 lit. b DS-GVO zur Erfüllung des Vertrags mit Ihnen. Die vorgeschaltete Meldungssteuerung hingegen basiert gemäß Art. 6 Abs. 1 lit. f DS-GVO sowohl auf unserem als auch auf dem berechtigten Interesse unseres Kooperationspartners, eine validierte und geprüfte Datengrundlage zu haben und die Richtigkeit der Ergebnisse zu gewährleisten.
4.3.4 Tarifcontrolling
Für das Tarifcontrolling sind wir jeweils gemeinsam mit dem KCM und der WTG datenschutzrechtlich verantwortlich. Die gemeinsame Verantwortlichkeit bezieht sich auf die aus der App an den jeweiligen Kooperationspartner übermittelnden Vertriebsdatensätze.
Gemeinsame Verantwortung mit dem KCM: Um mögliche Fehlentwicklungen im Rahmen des landesübergreifenden eezy.nrw Tarifs frühzeitig zu erkennen und ihnen durch neue Tarifkalkulationen entgegenzuwirken, wird durch unseren Kooperationspartner, das KCM ein Tarifcontrolling mit nachfolgenden Tarifkalkulationen zur Weiterentwicklung dieses Vertriebswegs durchgeführt. Es handelt sich bei den eezy-Tarifen um vertrieblich und tariflich neue Angebote, über die bislang nur wenige Erkenntnisse zur Kundennutzung vorliegen. Unser Kooperationspartner erhält von uns für das Tarifcontrolling den Vertriebsdatensatz mit Ihren personenbezogenen Daten. Zum Zwecke des Tarifcontrollings wird Ihnen bei der Erstellung des Vertriebsdatensatzes eine Kunden-ID durch uns zugeordnet. Bevor der Vertriebsdatensatz zum Zweck des Tarifcontrollings verarbeitet wird, findet durch unseren Kooperationspartner die Meldungssteuerung statt.
Die Verarbeitung der personenbezogenen Daten für das Tarifcontrolling (einschließlich der vorgeschalteten Meldungssteuerung) basiert gemäß Art. 6 Abs. 1 lit. f DS-GVO auf den vorgenannten berechtigten Interessen. Die vorgeschaltete Meldungssteuerung basiert gemäß Art. 6 Abs. 1 lit. f DS-GVO ebenfalls sowohl auf unserem als auch auf dem berechtigten Interesse unseres Kooperationspartners, eine validierte und geprüfte Datengrundlage zu haben und die Richtigkeit der Ergebnisse zu gewährleisten.
Gemeinsame Verantwortung mit der WTG: Um mögliche Fehlentwicklungen im Rahmen des landesübergreifenden eezy.nrw Tarifs frühzeitig zu erkennen und ihnen durch neue Tarifkalkulationen entgegenzuwirken, wird durch unseren Kooperationspartner, die WTG ein Tarifcontrolling mit nachfolgenden Tarifkalkulationen zur Weiterentwicklung dieses Vertriebswegs durchgeführt. Es handelt sich bei dem eezy.westfalen Tarif um vertrieblich und tariflich neues Angebot, über das bislang nur wenige Erkenntnisse zur Kundennutzung vorliegen. Unser Kooperationspartner erhält von uns für das Tarifcontrolling den Vertriebsdatensatz mit Ihren personenbezogenen Daten. Zum Zwecke des Tarifcontrollings wird Ihnen bei der Erstellung des Vertriebsdatensatzes eine Kunden-ID durch uns zugeordnet. Bevor der Vertriebsdatensatz zum Zweck des Tarifcontrollings verarbeitet wird, findet durch unseren Kooperationspartner die Datenaufbereitung statt.
Die Verarbeitung der personenbezogenen Daten für das Tarifcontrolling (einschließlich der vorgeschalteten Datenaufbereitung) basiert gemäß Art. 6 Abs. 1 lit. f DS-GVO auf den vorgenannten berechtigten Interessen. Die vorgeschaltete Datenaufbereitung basiert gemäß Art. 6 Abs. 1 lit. f DS-GVO ebenfalls sowohl auf unserem als auch auf dem berechtigten Interesse unseres Kooperationspartners, eine validierte und geprüfte Datengrundlage zu haben und die Richtigkeit der Ergebnisse zu gewährleisten.
4.4. Zahlung und Übermittlung an Finanzdienstleister
Für die sichere Abwicklung der von Ihnen veranlassten Zahlung bei Kauf eines digitalen Tickets werden die erforderlichen Zahlungsdaten (bestehend aus Betrag, Buchungsreferenz, Buchungsbeschreibung, Zahlungspflichtiger, Zahlungsart) an von uns ausgewählte Finanzdienstleister übermittelt. Die Finanzdienstleister sind ab Erhalt Ihrer Zahlungsdaten eigene Verantwortliche für die Verarbeitung Ihrer personenbezogenen Daten und gemäß den erforderlichen Standards hinsichtlich Datensicherheit zertifiziert.
4.4.1 LogPay
Unser Finanzdienstleister für die Abwicklung der Zahlungen bei Kauf von Online-Tickets die LogPay Financial Services GmbH, Schwalbacher Straße 72, 65760 Eschborn („LogPay“). Im Zuge des Kaufs eines digitalen Tickets und der Auswahl der Zahlungsmethode treten wir unsere Forderung gegen Sie an LogPay ab. Damit wird LogPay Gläubiger und Empfänger Ihrer Zahlung. Für die Abwicklung der offenen Zahlung, die Prüfung Ihrer Zahlungsfähigkeit und das Forderungsmanagement geben wir Ihre personenbezogenen Daten an LogPay weiter. Mit Erhalt Ihrer personenbezogenen Daten wird LogPay Verantwortlicher für den Datenschutz. Die Datenschutzhinweise von LogPay können Sie unter documents.logpay.de/de/datenschutzinformationen.pdf abrufen.
Die Weitergabe Ihrer Daten erfolgt auf Grundlage des Art. 6 Abs. 1 lit. f DS-GVO. Das berechtigte Interesse auf unserer Seite besteht in der Auslagerung der Zahlungsabwicklung und des Forderungsmanagements. Das berechtigte Interesse auf Seiten der LogPay Financial Services GmbH besteht in der Erhebung der Daten zum Zwecke der Abwicklung von Zahlungen, zum Forderungsmanagement, der Bewertung der Zulässigkeit von Zahlarten und der Vermeidung von Zahlungsausfällen.
Das Angebot auf Abschluss eines Kaufvertrages über ein Ticket wird nur angenommen, wenn die LogPay Financial Services GmbH die entstehende Forderung aus dem Ticketverkauf erwirbt. Wenn die LogPay Financial Services GmbH den Erwerb der Forderung ablehnt, wird Ihr Angebot auf Abschluss eines Kaufvertrages abgelehnt.
Sie können der Übermittlung dieser Daten an die LogPay Financial Services GmbH jederzeit widersprechen, allerdings ist dann keine Bestellung mehr über den elektronischen Vertriebskanal möglich.
4.4.2 PayPal
In der App bieten wir unseren Kunden die Bezahlung mit dem Online-Zahlungsdienstleister PayPal, dabei gelten die folgenden Bestimmungen:
Anbieter dieses Zahlungsdienstes ist PayPal (Europe) S.à.r.l. et Cie, S.C.A.., 22-24 Boulevard Royal, L-2449 Luxembourg (im Folgenden „PayPal”). Wenn Sie PayPal als Zahlmethode auswählen, werden Sie auf die Webseite von PayPal weitergeleitet und die von Ihnen eingegebenen personenbezogenen Daten und sonstige zur Bestellabwicklung erforderliche Informationen werden an PayPal verschlüsselt übermittelt.
Die Verarbeitung der personenbezogenen Daten erfolgt durch PayPal als verantwortliche Stelle. Soweit dies für die Erfüllung der Bestellung erforderlich ist, können Daten durch PayPal auch an Dritte weitergegeben werden. Zur Identitäts- und Bonitätsprüfung erfolgt ferner eine Übermittlung der personenbezogenen Daten von PayPal an Wirtschaftsauskunfteien, wie etwa die SCHUFA Holding AG, Kormoranweg 5, 65201 Wiesbaden. Rechtsgrundlage ist. Art. 6 Abs. 1 lit. f DS-GVO. Das berechtigte Interesse besteht in der Sicherstellung der Zahlungsfähigkeit der Kunden.
5. Gewinnspiele
Über die App kann es vorkommen, dass Sie zur Teilnahme an Gewinnspielen eingeladen werden. Die Teilnahme am Gewinnspiel ist freiwillig und des gelten die Teilnahmebedingungen. Die für Ihre Teilnahme erforderlich Daten, in der Regel Ihre Kontaktdaten, werden zwecks Durchführung des Gewinnspiels und Auslosung der Gewinner verarbeitet. Ggf. verarbeiten wir Ihre Daten für die Gewinnerbenachrichtigung und/ oder den Versand des Gewinns.
Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DS-GVO, auf Grundlage der Teilnahmebedingungen.
Nach Gewinnerziehung werden Ihre Teilnehmerdaten gelöscht. Die Daten der Gewinner werden aus buchhalterisch- und handelsrechtlichen Gründen nach der gesetzlichen Aufbewahrungsfrist gespeichert (aktuell 6 bis 10 Jahre).
6. Kontaktaufnahme und Kundenbetreuung (Beschwerdemanagement, Serviceanliegen)
Um Ihre Kontaktaufnahme mit uns per E-Mail, Telefon oder über ein Kontaktformular bearbeiten zu können, verarbeiten wir Ihre E-Mail-Adresse und, falls von Ihnen angegeben, Ihren Namen und Ihre Telefonnummer sowie etwaige sonstige Informationen, die Sie uns mitteilen.
Die Verarbeitung dieser personenbezogenen Daten basiert auf der Rechtsgrundlage des Art. 6 Abs. 1 lit. b DS-GVO, sofern die Kommunikation im Zusammenhang mit der Durchführung Ihres Ticketkaufs erfolgt (Kundenbetreuung). Die Verarbeitung für andere Kommunikation erfolgt auf Basis unseres berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DS-GVO, nämlich zur bedarfsgerechten Abwicklung Ihrer Kontaktanfrage.
7. Sicherheitsmaßnahmen
Wir treffen organisatorische, vertragliche und technische Sicherheitsmaßnahmen entsprechend dem Stand der Technik, um sicherzustellen, dass die datenschutzrechtlichen Bestimmungen eingehalten werden und um damit die durch uns verarbeiteten Daten gegen zufällige oder vorsätzliche Manipulationen, Verlust, Zerstörung oder gegen den Zugriff unberechtigter Personen zu schützen.
Zu den Sicherheitsmaßnahmen gehört insbesondere die verschlüsselte Übertragung von Daten zwischen Ihrem Browser und unserem Server.