Datenschutzerklärung für die moBiel YOU App

seit September 2022

Download  Datenschutzhinweise herunterladen

Stand: 9. September 2022

Gemäß den Anforderungen aus Art. 13 EU Datenschutzgrundverordnung („DSGVO“) möchten wir, die moBiel GmbH, Sie mit den folgenden Datenschutzhinweisen über die Verarbeitungen Ihrer personenbezogenen Daten im Zusammenhang mit der Nutzung unserer moBiel YOU („App“) informieren und Sie über Ihre Datenschutzrechte aufklären. Die im Folgenden verwendeten Begriffe sind nicht geschlechtsspezifisch.

1.     Wer ist Verantwortlicher für die Datenverarbeitung?

Betreiber und Verantwortlicher für die Datenverarbeitung in der App ist die:

moBiel GmbH
Otto-Brenner-Straße 242
33604 Bielefeld
E-Mail: info@moBiel.de

(auch „wir“ oder „uns“ genannt).

Den Datenschutzbeauftragten der moBiel GmbH erreichen Sie unter der folgenden Kontaktadresse:

Stadtwerke Bielefeld GmbH  
z. Hd. des Datenschutzbeauftragten
Schildescher Straße 16
33611 Bielefeld
E-Mail: datenschutz@stadtwerke-bielefeld.de

2.    Zu welchem Zweck und auf welcher Rechtsgrundlage verarbeiten wir Ihre Daten?

Wir verarbeiten Ihre personenbezogenen Daten ausschließlich zu bestimmten Zwecken. Diese können sich aus technischen Notwendigkeiten, vertraglichen Erfordernissen oder ausdrücklichen Nutzerwünschen ergeben.

2.1 Technische Datenverarbeitungen für die Nutzung der App

2.1.1 Zugriffberechtigungen

Damit die App funktionieren kann, sind bestimmte Zugriffsberechtigungen auf die Daten oder Funktionen des Betriebssystems Ihres mobilen Endgerätes technisch notwendig. Dazu gehören die Folgenden:

  • Netzwerkzugriff/mobile Daten: Internetdaten erhalten, Netzwerkverbindungen abrufen, voller Netzwerkzugriff, WLAN-Verbindungen abrufen, um den Abruf der Informationen durch die App zu ermöglichen;
  • gerätespezifischer Zugriff: Ruhezustand deaktivieren, Vibrationsalarm steuern, um das Eintreffen von Push-Nachrichten zu signalisieren;
  • Zu Beginn der Anmeldung werden Sie aufgefordert, den Zugriff auf Fotos, Medien und Dateien zu akzeptieren. Die App greift jedoch nicht auf Ihre persönlichen Fotos, Medien oder Dateien zu, sondern Sie haben die Möglichkeit, aus der App heraus bestimmte Inhalte bzw. Informationen wie z.B. Linienfahrpläne als Bild bzw. Datei abzuspeichern. Weiter besteht die Möglichkeit, die Datenschutzbestimmungen und die Allgemeinen Geschäftsbedingungen herunterzuladen und auch diese lokal auf dem Endgerät abzulegen;
  • Bluetooth-Funktionalität zur Nutzung der eTarife NRW und Westfalen; und
  • GPS-Funktionalität zur Nutzung der eTarife NRW und Westfalen sowie zur Standortbestimmung bei Nutzung der Fahrplanauskunft.

Die Rechtsgrundlage für diese Verarbeitung sind die allgemeinen Geschäftsbedingungen über die Nutzung der App gemäß Art. 6 (1) b DSGVO. Ohne die genannten Zugriffsberechtigungen kann ein einwandfreier Betrieb der App für den Nutzer nicht gewährleistet werden. Soweit die Daten für die Fahrscheinkontrolle (Geburtsdatum, Geschlecht) erhoben werden, dient dies unserem berechtigten Interesse gemäß Art. 6 (1) f DSGVO.

2.1.2 Einsatz funktionaler Cookies

In der App werden funktionale Cookies eingesetzt. Optionale und für den Betrieb nicht zwingend erforderliche Cookies, etwa zu Analyse- und Marketingzwecken, werden in der App nicht eingesetzt. Cookies sind kleine Textdateien, die vorübergehend in Ihrem Browser deponiert werden und technische Informationen über Ihre Nutzung der App erheben. Die funktionalen Cookies werden eingesetzt, um die App bereitzustellen und Ihnen die darin enthaltenen Dienste zur einfachen und technisch fehlerfreien Nutzung zur Verfügung zu stellen (bspw. Warenkorbfunktion, Speicherung der Sprachauswahl). In der App werden die folgenden funktionalen Cookies eingesetzt:

KEYCLOAK_AUTH_HOST_ID

Wird eingesetzt, um zu speichern, welche von mehreren load-balanced Keycloak Instanzen (unser identity management system) verwendet wurde (sozusagen die Lastverteilung der Server).

KEYCLOAK_LOCALE

Speichert die „Lokale“ Einstellungen des Users bzw. seine bevorzugte Sprache.

KC_ROOT

Wird benutzt, um ggf. client information zu speichern, falls authentication flow abgebrochen wird (https://github.com/keycloak/keycloak-community/pull/16/files/4c9b955990190344a3f1ed98c0a0a1dd62d1e8ec#diff-e80d46bcdc500282953034ecbef7b254b253c1d063b965ec7f458b0eb25dcf7fR77).

JSESSION_ID

Wird von MaaS-Komponenten generiert, aber nicht von der App an den Server zurückgegeben, d.h. damit wird der User nicht getrackt.

Weiter setzen wir in der App sowohl für iOS als auch Android Cookies in WebViews (Betriebssystem interne Browser). Für Android wird die Klasse WebView (WebView | Android Developers) und für iOS WKWebView (WKWebView | Apple Developer Documentation) eingesetzt. Diese Webviews werden in folgenden Prozessen der App verwendet:

  • Login
  • CDC-Account verwalten
  • Anzeige Datenschutz
  • Anzeige Impressum
  • Anzeige FAQ

Vor dem Login werden alle Cookies gelöscht, aber während des Login Prozesses zugelassen. Die gespeicherten Daten werden verwendet, um den Kunden mit seinem Login die Nutzung der App zu ermöglichen.

Die Rechtsgrundlage für diese Verarbeitungen ist unser berechtigtes Interesse an einem einwandfreien Betrieb der App gemäß Art.6 (1) f DSGVO und § 25 (2) TTDSG.

2.1.3 Verwendung der Bluetooth-Funktion

Damit die Erkennung von Fahrzeugen im Zusammenhang mit der Nutzung der eTarife in NRW und Westalen auch funktioniert, benötigen wir den Zugriff auf Ihr Bluetooth. Sie können der Verwendung zustimmen oder nicht erlauben. Eine Abfrage erfolgt bei erstmaliger Nutzung der App und, sofern Sie die Verwendung zunächst nicht erlaubt haben, spätestens mit Nutzung der eTarife in NRW. Für die Nutzung der eTarife in NRW ist die Verwendung der Bluetooth-Funktion erforderlich.

Die Rechtsgrundlage für diese Verarbeitung ist Ihre Einwilligung gemäß Art. 6 (1) a DSGVO. In den Geräteeinstellungen können Sie Ihre Einwilligung mit Wirkung für die Zukunft jederzeit widerrufen, indem Sie die Verwendung der Bluetooth-Funktion unterbinden.

2.1.4 Verwendung der Standortdaten

Die App bietet Ihnen die Nutzung der eTarife in NRW und Westfalen an, bei dem die Verwendung Ihrer Standort- und Fortbewegungsdaten zwecks Erfassung Ihrer gefahrenen Strecke und damit verbundene Abrechnung erforderlich sind. Auch können Sie generell bei Nutzung der App Informationen zum weiteren Umkreis Ihres ungefähren aktuellen Standortes erhalten und die Haltestellen in Ihrer Nähe werden Ihnen automatisch angezeigt. Die App verwendet Ihren Standort nur und erst dann, wenn Sie dies in den entsprechenden Geräteeinstellungen des Betriebssystems Ihres mobilen Endgerätes erlaubt haben. Mit Erlaubnis werden die Standortdaten von Ihrem Betriebssystem an die App übertragen und verwendet.

Die Rechtsgrundlage für diese Verarbeitung ist Ihre Einwilligung gemäß Art. 6 (1) a DSGVO. In den Geräteeinstellungen können Sie Ihre Einwilligung mit Wirkung für die Zukunft jederzeit widerrufen, indem Sie die Verwendung der Standortdaten generell oder explizit für diese App unterbinden.

2.1.5 Darstellung der Fahrtenhistorie und Suchanfragen

Um in der App den Verlauf Ihrer Fahrten (gekaufte digitale Tickets) und Suchanfragen darzustellen, werden –abhängig von der Art und dem Umfang Ihrer Nutzung der App Dienste- die folgenden Informationen gespeichert:

  • Historie der eingegebenen Punkte (z.B. Haltestelle, Adresse, etc.)
  • Historie der eingegebenen Verbindungen, Historie der eingegebenen Linien, Einstellungen des Nutzers, bestimmte Zustände der App
  • bestimmte vom Fahrplanauskunftsserver abgerufene Inhalte (z.B. Karten-Kacheln) sowie die Fahrberechtigung.

Die GPS-Position wird nicht gespeichert, sondern bei einer Fahrplanauskunft einmalig an den Fahrplanauskunftsserver geschickt, um daraus eine Adresse zur Berechnung einer Fahrplanauskunft zu ermöglichen. Die App überträgt keine privaten Informationen an die elektronische Fahrplanauskunft (EFA). Die App greift zwecks Speichern der oben genannten Inhalte auf den lokalen Speicher des Smartphones zu.

Die Rechtsgrundlage für diese Verarbeitung ist unser berechtigtes Interesse Ihnen eine funktionsfähige und nutzerfreundliche App zur Verfügung zu stellen gemäß Art. 6 (1) f DSGVO.

Dieser Verarbeitung können Sie jederzeit widersprechen, indem Sie die im lokalen App-Speicher der App gespeicherten Kartendaten und Historien in den Datenschutz-Einstellungen der App löschen.

2.1.6 Push-Nachrichten

Push-Nachrichten sind von der App versendete Meldungen mit Informationen zu den Diensten (bspw. Benachrichtigung zur Reise, Verspätung). Der Versand von Push-Nachrichten erfolgt ausschließlich, wenn Sie diesem ausdrücklich zugestimmt haben. Wir fragen bei der ersten Nutzung der App ab, ob Sie Push-Nachrichten auf Ihrem Endgerät angezeigt bekommen wollen. Dies erfolgt abhängig vom Betriebssystem entweder durch die Freigabe nach Download der App oder durch ein Dialogfenster beim ersten Aufruf der App.

Die Rechtsgrundlage für diese Verarbeitung ist Ihre Einwilligung gemäß Art. 6 (1) a DSGVO. In den Geräteeinstellungen können Sie Ihre Einwilligung mit Wirkung für die Zukunft jederzeit widerrufen, indem Sie den Erhalt von Push-Nachrichten deaktivieren.

2.2 Registrierung

Die Nutzung der App ist grundsätzlich ohne Registrierung möglich. Dienste wie die Fahrplanauskunft ist damit ohne weitere Datenverarbeitungen möglich. Bestimmte Dienste der App, insbesondere der Ticketkauf, benötigen hingegen weitere personenbezogenen Daten von Ihnen, sodass eine Registrierung erforderlich ist.

Die Registrierung und damit die Erstellung eines Kundenkontos erfolgt zunächst über den zentralen Single-Sign-On-Dienst der Stadtwerke Bielefeld (BIE Login). Um den BIE Login nutzen zu können, müssen sie sich mit Angabe Ihrer E-Mail-Adresse und einem Passwort registrieren. Die Angabe von weiteren Daten zu Ihrer Person ist optional und nicht zwingend für die Registrierung erforderlich. Die Registrierung im BIE Login ist erst abgeschlossen, wenn Sie den Verifizierungslink innerhalb des vorgegebenen Zeitraums bestätigen. Im Rahmen des BIE-Login können Sie auch Werbeeinwilligungen gegenüber unserer Muttergesellschaft, der Stadtwerke Bielefeld GmbH, erteilen. Weitere Informationen finden Sie in den Nutzungsbedingungen und in den Datenschutzhinweisen des BIE Login.

Mit erfolgreicher Registrierung im BIE Login erhalten Sie Zugang zu Ihrem Nutzerkonto. Dort werden die folgenden Daten abgefragt (Pflichtangaben):

  • Vorname/ Nachname
  • Geburtsdatum
  • Straße
  • Hausnummer
  • Postleihzahl
  • Stadt
  • E-Mail-Adresse (wird automatisch befüllt)

Die Abfrage zu den Zahlungsdaten sind für die Registrierung grundsätzlich nicht erforderlich, allerdings verpflichtend mit Kauf eines Online Tickets zwecks Bezahlung. Dann werden Ihre Zahlungsdaten hinterlegt. Sie können die Zahlungsdaten nach Bedarf ändern.

Die Rechtsgrundlage für diese Verarbeitung sind die allgemeinen Geschäftsbedingungen über die Nutzung der App gemäß Art. 6 (1) b DSGVO. Die Registrierung ist Grundvoraussetzung und somit vorvertragliche Maßnahme für den Kauf eines oder mehrere Online Tickets über die App. Die Bereitstellung der oben aufgeführten Pflichtangaben ist vertraglich vorgeschrieben, sodass wir Ihnen bei Nichtbereitstellung dieser Angaben die Dienste, die eine Registrierung voraussetzen, nicht in der App anbieten können.

2.3 Kauf eines digitalen Tickets

Über unsere App können Sie digitale Tickets kaufen und somit die Fahrleistungen im öffentlichen Nahverkehr in Anspruch nehmen. Beim Kauf eines digitalen Tickets können Sie zwischen verschiedenen Ticketarten wählen. Hierzu gehören Tickets gemäß den jeweils geltenden Tarifen und Preisstufen. Auch die eTarife in NRW und Westfalen können Sie über unsere App auswählen und nutzen. Voraussetzung für Kauf eines digitalen Tickets über die App ist die Registrierung (siehe Ziffer 2.2). Auch die Erfassung und weiterführende Verarbeitung von Zahlungsdaten sind erforderlich. Bei der Nutzung der eTarife in NRW und Westfalen werden ergänzend Angaben zu Ihrem Standort und zu Ihrer Fahrt erfasst.

Die Unterschiede und Gemeinsamkeiten hinsichtlich Art und Umfang der Datenverarbeitung bei Kauf eines digitalen Tickets werden im Folgenden näher beschrieben.

2.3.1 Standardmäßiges digitales Ticket

Wenn Sie in der App ein standardmäßiges digitales Ticket kaufen (gemeint sind alle Ticketarten ausgenommen die eTarife in NRW und Westfalen), ist es erforderlich, dass wir neben Ihren Pflichtangaben aus der Registrierung (siehe Ziffer 2.2) die folgenden Angaben erheben und für den Kaufabschluss weiterführend verarbeiten:

  • Rechnungsdaten (Rechnungsadresse, Finanzdienstleister, Zahlungsart)
  • Bestelldaten (Bestellung-ID, Bestelldatum und Bestellstatus)
  • Ticketdaten (Ticket ID, Gültigkeit, Geltungsbereich, Zone, Starthaltestelle, Endhaltestelle, Tickettyp, Ticketname, Ticket Key (optional) verfügbare/verbrauchte Einheiten, Preisstufe, Barcode, Kategorie (Klasse), Angaben zum Verkehrsverbund, Verkehrsunternehmen, Angaben über Gesamtpreis der gekauften Tickets, Tarif Art, Produktnummer, Einnahme-Aufteilungs-Code zur Zuweisung der Einnahmen, Erstattung).

Auch die Abfrage Ihrer Zahlungsdaten ist erforderlich, sofern sie diese nicht bereits bei Registrierung hinterlegt haben.

Die Rechtsgrundlage für diese Verarbeitung sind die Allgemeinen Geschäftsbedingungen und die geltenden Tarifbestimmungen gemäß Art. 6 (1) b DSGVO

2.3.2 eTarife in NRW und Westfalen (eezy-Tarife)

Wenn Sie in der App ein eezy-Ticket kaufen, werden zunächst ähnliche Angaben erfasst und verwendet, wie bei dem Kauf eines standardmäßigen digitalen Tickets beschrieben (siehe Ziffer 2.3.1). Für die Nutzung des eezy-Tickets ist Ihre Einwilligung in die Aktivierung der Bluetooth-Funktion auf Ihrem mobilen Endgerät und die Verwendung Ihrer Standortdaten (GPS) durch die App erforderliche (siehe Ziffer 2.1.3 und 2.1.4).

Die Bemessung und die Abrechnung des Ticketpreises bei der Nutzung des eezy-Tickets bestimmt sich nach den geltenden eTarifen in NRW und Westfalen und nach Ihren Fahrtdaten. Die Fahrtendaten stellen ein Bewegungsprofil Ihrer in Anspruch genommener Fahrleistungen im öffentlichen Nahverkehr dar und enthalten die folgenden Angaben:

  • Standort- und Fortbewegungsdaten (Check-In Zeit, Check-In Haltestelle, Check-Out Zeit, Check-Out Haltestelle, Km-Anzahl, Uhrzeit, Wegepunkte (Haltestelle, Ankunft, Abfahrt));
  • ergänzende Fahrtdaten (Fahrt ID, Fahrtdatum, Fahrtstatus, Mitnahme Kinder, Mitnahme Fahrräder, Klasse); und
  • durch das System zusätzlich bereitgestellte bestell- und abrechnungsrelevante Daten (Bestell-ID, Bestellstatus, Tarif, Rabattstufe, Preisstufendeckel, 24h-Deckel, 30 Tages-Deckel, Basispreis, Mitnahmen, Gesamtsumme, Kundenvertragspartner).

Auch die Fahrtdaten sind zwingend für die Nutzung des eezy-Tickets erforderlich. Ohne deren Erhebung kann das Ticket nicht genutzt werden. Sie haben jederzeit die Möglichkeit auch auf Grundlage des standardisierten digitalen Tickets den öffentlichen Nahverkehr zu nutzen.

Die Nutzung der eTarife in NRW und Westfalen beginnt mit einer Fahrtenberechtigung über einen Check-In und endet mit Abschluss Ihrer Fahrt durch das (assisted) Check-Out. Nach Check-Out und auf Grundlage Ihrer Fahrtendaten erfolgt die Abrechnung des eezy-Tickets. Die Bemessung des Fahrpreises erfolgt durch Zuordnung der gebildeten Reisestrecke zu den jeweils anwendbaren Tarifbestimmungen der einzelnen Verkehrsunternehmen und Tariforganisationen.

Die Rechtsgrundlage für diese Verarbeitung sind die Allgemeinen Geschäftsbedingungen und die geltenden Tarifbestimmungen gemäß Art. 6 (1) b DSGVO.

2.3.3 Weitere Datenverarbeitungen im Zusammenhang mit eezy–Tickets und Kooperationspartner

Die landesweite Bereitstellung der eezy-Tickets und die Bemessung des Fahrpreises bei Kauf bzw. Check-Out erfolgt durch Zuordnung der gebildeten Reisestrecke zu den jeweils anwendbaren Tarifbestimmungen der einzelnen Verkehrsunternehmen und Tariforganisationen. Ja nach gebildeter Reisestrecke nutzen Sie den öffentlichen Nahverkehr nicht ausschließlich durch uns. Auch andere Verkehrsunternehmen können Sie befördern, was bei der Aufteilung der Einnahmen aus dem Verkauf des eezy-Tickets berücksichtigt werden muss. In diesem Zusammenhang übermitteln wir für die im Folgenden beschriebenen Verarbeitungstätigkeiten Einnahmenaufteilung, Mindererlösausgleich und Tarifcontrolling bestimmte Informationen zu Ihrem Kauf, sogenannte Vertriebsdatensätze, aus unserer App heraus an unsere Kooperationspartner.

Ein einzelner Vertriebsdatensatz enthält neben technischen bzw. abrechnungsrelevanten Informationen Ihre Reisedaten (Informationen über angefahrenen Haltestellen (Erst- und Endhaltestelle und Umstiege), gewählte Reisezeitpunkte, sowie die Bepreisung der jeweiligen Fahrten) enthält. Aus Datenschutzgründen enthält der Vertriebsdatensatz nicht Ihre Kontaktdaten, die bei Registrierung erfasst und bei Ticketkauf weiterführend verarbeitet werden. Vor Bereitstellung an unseren Kooperationspartner wird dem Vertriebsdatensatz eine pseudonymisierte 24-Stunden-Kunden-ID zugeordnet. Dabei handelt es sich um eine temporäre Kunden-ID, die keine Identifikation Ihrer Person durch unseren Kooperationspartner ermöglicht und lediglich dazu dient, einzelne Reiseabschnitte einer Gesamtreise einer Person XY im Rahmen des eezy.nrw zuzuordnen.

2.3.3.1 Kooperationspartner als gemeinsame Verantwortliche

Für die Verarbeitungstätigkeiten Einnahmenaufteilung, Mindererlösausgleich, Tarifcontrolling und Marktforschung im Zusammenhang mit dem Kauf eines eezy-Tickets übermitteln wir die unter Ziffern 2.3.3.2; 2.3.3.3; 2.3.3.4 und 2.3.3.5 beschriebenen Vertriebsdatensätze an die folgenden Kooperationspartner, mit denen bezogen auf die genannten Verarbeitungstätigkeiten jeweils eine gemeinsame Verantwortlichkeit gemäß den Anforderungen aus Art. 26 DSGVO vorliegt („gemeinsame Verantwortliche“):

Kompetenzcenter Marketing NRW bei der Verkehrsverbund Rhein-Sieg GmbH
Glockengasse 37-39
50667 Köln
0221 20 80 8-0
kcm-nrw@vrs.de

(auch „KCM“ genannt)

den Datenschutzbeauftragten des KCM erreichen Sie unter

Verkehrsverbund Rhein-Sieg GmbH,
z.H.d. Datenschutzbeauftragten
Glockengasse 37-39
50667 Köln
E-Mail: datenschutz@vrs.de

und

Westfalen Tarif GmbH
Willy-Brandt-Platz 2
33602 Bielefeld
0521-557666 0
info@westfalentarif.de

(auch „WTG“ genannt)

den externen Datenschutzbeauftragten der WT erreichen Sie unter

Stadtwerke Bielefeld GmbH
z. Hd. des Datenschutzbeauftragten
Schildescher Straße 16
33611 Bielefeld
E-Mail: datenschutz@owlverkehr.de

Wir und unsere Kooperationspartner haben vertraglich vereinbart, wer welche Pflichten nach der DSGVO erfüllt. Auf Anfrage stellen wir Ihnen eine Kopie der Einzelheiten des Vertrages über die gemeinsame Verantwortung bereit. Die wesentlichen datenschutzrechtlichen Pflichten lauten wie folgt:

Wir und die Kooperationspartner machen den betroffenen Personen die gemäß Art. 13 und 14 DSGVO erforderlichen Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache unentgeltlich in ihren Datenschutzerklärungen zugänglich. Hierbei lässt jede Partei der anderen Partei sämtliche dafür notwendigen Informationen aus ihrem Wirkbereich zukommen. Wir und die Kooperationspartner informieren sich unverzüglich gegenseitig über von Betroffenen geltend gemachte Rechtspositionen. Sie stellen einander sämtliche für die Beantwortung von Anfragen der betroffenen Personen notwendigen Informationen zur Verfügung. Es steht Ihnen frei, ob Sie ihre Datenschutzrechte bei uns oder unserem Kooperationspartner geltend machen, soweit dies die Verarbeitungen betreffen, die in unserem gemeinsamen Verantwortungsbereich stehen. Betroffene Personen erhalten die Auskunft grundsätzlich von der Stelle, bei der die Rechte geltend gemacht wurden.

Die Verarbeitungstätigkeiten Einnahmenaufteilung, Mindererlösausgleich, Tarifcontrolling und Marktforschung werden im Folgenden vorgestellt und die gemeinsame Verantwortlichkeit entsprechend kenntlich gemacht.

2.3.3.2 Einnahmenaufteilung

Für die Einnahmenaufteilung sind wir jeweils gemeinsam mit dem KCM und der WTG datenschutzrechtlich verantwortlich. Die gemeinsame Verantwortlichkeit bezieht sich auf die aus der App an den jeweiligen Kooperationspartner übermittelnden Vertriebsdatensätze.

Gemeinsame Verantwortung mit dem KCM: Mit der Einnahmenaufteilung werden Erlöse aus dem eezy.nrw Tarif den jeweiligen Verkehrsunternehmen zugewiesen. Um zu ermitteln, welcher Anteil der Erlöse aus Ihrer Reise welchem Verkehrsunternehmen im Detail zusteht, verarbeiten wir den Vertriebsdatensatz in gemeinsamer Verantwortlichkeit mit unserem Kooperationspartner KCM. Zum Zwecke der Einnahmenaufteilung wird durch unseren Kooperationspartner Ihren Reisedaten aus dem Vertriebsdatensatz eine pseudonymisierte 24-Stunden-Kunden-ID zugeordnet. Dabei handelt es sich um eine temporäre Kunden-ID, die keine Identifikation Ihrer Person durch unseren Kooperationspartner ermöglicht und lediglich dazu dient, einzelne Reiseabschnitte einer Gesamtreise im Rahmen des eezy.nrw Tarifs zuzuordnen. Bevor der Vertriebsdatensatz zur Einnahmenaufteilung verarbeitet wird, findet durch unseren Kooperationspartner eine vorgeschaltete Qualitäts- und Fehlerkontrolle statt (sog. „Meldungssteuerung“). Die Verarbeitung Ihrer personenbezogenen Daten zum Zweck der Einnahmenaufteilung erfolgt gemäß Art. 6 Abs. 1 lit. b DSGVO zur Erfüllung des Vertrags mit Ihnen. Die vorgeschaltete Meldungssteuerung hingegen basiert gemäß Art. 6 Abs. 1 lit. f DSGVO sowohl auf unserem als auch auf dem berechtigten Interesse unseres Kooperationspartners, eine validierte und geprüfte Datengrundlage zu haben und die Richtigkeit der Ergebnisse zu gewährleisten.

Gemeinsame Verantwortung mit der WTG: Mit der Einnahmenaufteilung werden Erlöse aus dem eezy.westfalen Tarif den jeweiligen Verkehrsunternehmen zugewiesen. Um zu ermitteln, welcher Anteil der Erlöse aus Ihrer Reise welchem Verkehrsunternehmen im Detail zusteht, verarbeiten wir den Vertriebsdatensatz in gemeinsamer Verantwortlichkeit mit unserem Kooperationspartner WTG. Bevor der Vertriebsdatensatz zur Einnahmenaufteilung verarbeitet wird, findet durch unseren Kooperationspartner eine vorgeschaltete Qualitäts- und Fehlerkontrolle statt (sog. „Datenaufbereitung“).

Die Verarbeitung Ihrer personenbezogenen Daten zum Zweck der Einnahmenaufteilung inkl. der vorgeschalteten Datenaufbereitung erfolgt gemäß Art. 6 Abs. 1 lit. b DSGVO zur Erfüllung des Vertrags mit Ihnen.

2.3.3.3 Berechnung des Mindererlösausgleichs

Für die Berechnung des Mindererlösausgleichs sind wir gemeinsam mit dem KCM datenschutzrechtlich verantwortlich. Die gemeinsame Verantwortlichkeit bezieht sich auf die aus der App an den jeweiligen Kooperationspartner übermittelnden Vertriebsdatensätze.

Mit der Einführung des eezy.nrw Tarifs kann es für die Verkehrsunternehmen zu sog. Mindererlösen kommen. Ursache hierfür ist unter anderem, dass für verbundraumübergreifende Fahrten eine Preisobergrenze je 24-Stunden-Zeitraum gilt. Um daraus resultierenden Erlösnachteilen für die Verkehrsunternehmen entgegenzuwirken, hat das Land Nordrhein-Westfalen eine Förderung dieser übernommen. Für diese Förderung führt unser Kooperationspartner, das KCM die Berechnung des Mindererlösausgleichs durch. Diese Berechnung erfolgt auf der Basis des von uns bereitgestellten Vertriebsdatensatzes. Zum Zwecke der Berechnung des Mindererlösausgleichs wird durch unseren Kooperationspartner Ihren Reisedaten aus dem Vertriebsdatensatz eine pseudonymisierte 24-Stunden-Kunden-ID zugeordnet. Dabei handelt es sich um eine temporäre Kunden-ID, die keine Identifikation Ihrer Person durch unseren Kooperationspartner ermöglicht und lediglich dazu dient, einzelne Reiseabschnitte einer Gesamtreise im Rahmen des eezy.nrw Tarifs zuzuordnen. Bevor der Vertriebsdatensatz zur Berech-nung des Mindererlösausgleichs verarbeitet wird, findet durch unseren Kooperationspartner, die Meldungssteuerung statt.

Die Verarbeitung Ihrer personenbezogenen Daten zum Zweck der Berechnung des Mindererlösausgleichs erfolgt gemäß Art. 6 Abs. 1 lit. b DSGVO zur Erfüllung des Vertrags mit Ihnen. Die vorgeschaltete Meldungssteuerung hingegen basiert gemäß Art. 6 Abs. 1 lit. f DSGVO sowohl auf unserem als auch auf dem berechtigten Interesse unseres Kooperationspartners, eine validierte und geprüfte Daten¬grundlage zu haben und die Richtigkeit der Ergebnisse zu gewährleisten.

2.3.3.4 Tarifcontrolling

Für das Tarifcontrolling sind wir jeweils gemeinsam mit dem KCM und der WTG datenschutzrechtlich verantwortlich. Die gemeinsame Verantwortlichkeit bezieht sich auf die aus der App an den jeweiligen Kooperationspartner übermittelnden Vertriebsdatensätze.

Gemeinsame Verantwortung mit dem KCM: Um mögliche Fehlentwicklungen im Rahmen des landesübergreifenden eezy.nrw Tarifs frühzeitig zu erkennen und ihnen durch neue Tarifkalkulationen entgegenzuwirken, wird durch unseren Kooperationspartner, das KCM ein Tarifcontrolling mit nachfolgenden Tarifkalkulationen zur Weiterentwicklung dieses Vertriebswegs durchgeführt. Es handelt sich bei den eezy-Tarifen um vertrieblich und tariflich neue Angebote, über die bislang nur wenige Erkenntnisse zur Kundennutzung vorliegen. Unser Kooperationspartner erhält von uns für das Tarifcontrolling den Vertriebsdatensatz mit Ihren personenbezogenen Daten. Zum Zwecke des Tarifcontrollings wird Ihnen bei der Erstellung des Vertriebsdatensatzes eine Kunden-ID durch uns zugeordnet. Bevor der Vertriebsdatensatz zum Zweck des Tarifcontrollings verarbeitet wird, findet durch unseren Kooperationspartner die Meldungssteuerung statt.

Die Verarbeitung der personenbezogenen Daten für das Tarifcontrolling (einschließlich der vorgeschalteten Meldungssteuerung) basiert gemäß Art. 6 Abs. 1 lit. f DSGVO auf den vorgenannten berechtigten Interessen. Die vorgeschaltete Meldungssteuerung basiert gemäß Art. 6 Abs. 1 lit. f DSGVO ebenfalls sowohl auf unserem als auch auf dem berechtigten Interesse unseres Kooperationspartners, eine validierte und geprüfte Datengrundlage zu haben und die Richtigkeit der Ergebnisse zu gewährleisten.

Gemeinsame Verantwortung mit der WTG: Um mögliche Fehlentwicklungen im Rahmen des landesübergreifenden eezy.nrw Tarifs frühzeitig zu erkennen und ihnen durch neue Tarifkalkulationen entgegenzuwirken, wird durch unseren Kooperationspartner, die WTG ein Tarifcontrolling mit nachfolgenden Tarifkalkulationen zur Weiterentwicklung dieses Vertriebswegs durchgeführt. Es handelt sich bei dem eezy.westfalen Tarif um vertrieblich und tariflich neues Angebot, über das bislang nur wenige Erkenntnisse zur Kundennutzung vorliegen. Unser Kooperationspartner erhält von uns für das Tarifcontrolling den Vertriebsdatensatz mit Ihren personenbezogenen Daten. Zum Zwecke des Tarifcontrollings wird Ihnen bei der Erstellung des Vertriebsdatensatzes eine Kunden-ID durch uns zugeordnet. Bevor der Vertriebsdatensatz zum Zweck des Tarifcontrollings verarbeitet wird, findet durch unseren Kooperationspartner die Datenaufbereitung statt.

Die Verarbeitung der personenbezogenen Daten für das Tarifcontrolling (einschließlich der vorgeschalteten Datenaufbereitung) basiert gemäß Art. 6 Abs. 1 lit. f DSGVO auf den vorgenannten berechtigten Interessen. Die vorgeschaltete Datenaufbereitung basiert gemäß Art. 6 Abs. 1 lit. f DSGVO ebenfalls sowohl auf unserem als auch auf dem berechtigten Interesse unseres Kooperationspartners, eine validierte und geprüfte Datengrundlage zu haben und die Richtigkeit der Ergebnisse zu gewährleisten.

2.3.5 Zahlung und Übermittlung an Finanzdienstleister

Für die sichere Abwicklung der von Ihnen veranlassten Zahlung bei Kauf eines digitalen Tickets werden die erforderlichen Zahlungsdaten (bestehend aus Betrag, Buchungsreferenz, Buchungsbeschreibung, Zahlungspflichtiger, Zahlungsart) an von uns ausgewählte Finanzdienstleister übermittelt. Die Finanzdienstleister sind ab Erhalt Ihrer Zahlungsdaten eigene Verantwortliche für die Verarbeitung Ihrer personenbezogenen Daten und gemäß den erforderlichen Standards hinsichtlich Datensicherheit zertifiziert.

2.3.5.1 LogPay

Unser Finanzdienstleister für die Abwicklung der Zahlungen bei Kauf von Online-Tickets die LogPay Financial Services GmbH, Schwalbacher Straße 72, 65760 Eschborn („LogPay“). Im Zuge des Kaufs eines digitalen Tickets und der Auswahl der Zahlungsmethode treten wir unsere Forderung gegen Sie an LogPay ab. Damit wird LogPay Gläubiger und Empfänger Ihrer Zahlung. Für die Abwicklung der offenen Zahlung, die Prüfung Ihrer Zahlungsfähigkeit und das Forderungsmanagement geben wir Ihre personenbezogenen Daten an LogPay weiter. Mit Erhalt Ihrer personenbezogenen Daten wird LogPay Verantwortlicher für den Datenschutz. Die Datenschutzhinweise von LogPay können Sie unter documents.logpay.de/de/datenschutzinformationen.pdf abrufen.

Die Weitergabe Ihrer Daten erfolgt auf Grundlage des Art. 6 (1) f DS-GVO. Das berechtigte Interesse auf unserer Seite besteht in der Auslagerung der Zahlungsabwicklung und des Forderungsmanagements. Das berechtigte Interesse auf Seiten der LogPay Financial Services GmbH besteht in der Erhebung der Daten zum Zwecke der Abwicklung von Zahlungen, zum Forderungsmanagement, der Bewertung der Zulässigkeit von Zahlarten und der Vermeidung von Zahlungsausfällen.

Das Angebot auf Abschluss eines Kaufvertrages über ein Ticket wird nur angenommen, wenn die LogPay Financial Services GmbH die entstehende Forderung aus dem Ticketverkauf erwirbt. Wenn die LogPay Financial Services GmbH den Erwerb der Forderung ablehnt, wird Ihr Angebot auf Abschluss eines Kaufvertrages abgelehnt.

Sie können der Übermittlung dieser Daten an die LogPay Financial Services GmbH jederzeit widersprechen, allerdings ist dann keine Bestellung mehr über den elektronischen Vertriebskanal möglich.

2.3.5.2 PayPal

In der App bieten wir unseren Kunden die Bezahlung mit dem Online-Zahlungsdienstleister PayPal, dabei gelten die folgenden Bestimmungen:

Anbieter dieses Zahlungsdienstes ist PayPal (Europe) S.à.r.l. et Cie, S.C.A.., 22-24 Boulevard Royal, L-2449 Luxembourg (im Folgenden „PayPal”). Wenn Sie PayPal als Zahlmethode auswählen, werden Sie auf die Webseite von PayPal weitergeleitet und die von Ihnen eingegebenen personenbezogenen Daten und sonstige zur Bestellabwicklung erforderliche Informationen werden an PayPal verschlüsselt übermittelt.

Die Verarbeitung der personenbezogenen Daten erfolgt durch PayPal als verantwortliche Stelle. Soweit dies für die Erfüllung der Bestellung erforderlich ist, können Daten durch PayPal auch an Dritte weitergegeben werden. Zur Identitäts- und Bonitätsprüfung erfolgt ferner eine Übermittlung der personenbezogenen Daten von PayPal an Wirtschaftsauskunfteien, wie etwa die SCHUFA Holding AG, Kormoranweg 5, 65201 Wiesbaden. Rechtsgrundlage ist. Art. 6 (1) f DSGVO. Das berechtigte Interesse besteht in der Sicherstellung der Zahlungsfähigkeit der Kunden.

2.4 Videoüberwachung

Zur Wahrnehmung des Hausrechts, zur Aufklärung/ Prävention und Verfolgung von Straftaten, zum Schutz von Leben/ Gesundheit und Freiheit von Beschäftigten und Kunde, zur Beweissicherung im Ereignisfall sowie zum Eigentums- und Besitzschutz überwachen wir bestimmte Haltestellen mithilfe von Videokameras und unsere Verkehrsmittel sind mit Videokameras ausgestattet (öffentlich zugängliche Bereiche). Dabei kann es sein, dass wir Videoaufnahmen von Ihrer Person erheben. Die Videokameras sind so ausgerichtet, dass nur die erforderlichen Bereiche erfasst werden. Die Aufzeichnungen werden in aller Regel 72 Stunden gespeichert und danach automatisch gelöscht bzw. überschrieben, es sei denn, eine darüberhinausgehende Speicherung ist aus rechtlichen bzw. gesetzliche Gründen erforderlich (insbesondere zwecks Beweissicherung im Ereignisfall).

Die Zugriffe auf die Aufzeichnungen sind auf einen bestimmten Personenkreis begrenzt und eine Weitergabe einzelner Teile der Aufzeichnungen findet nur anlassbezogen an Ermittlungsbehörden statt, wenn wir zur Weitergaben gesetzlich verpflichtet sind.

Die Rechtsgrundlage ist Art. 6 (1) f DSGVO. Die berechtigten Interessen sind die Aufklärung und Verhinderung von Straftaten sowie der Schutz von Leben, Gesundheit und Freiheit von Beschäftigten und Kunden, sowie die Beweissicherung im Ereignisfall.

Bei der Videoüberwachung von öffentlich zugänglichen Haltestellen und Verkehrsmittel der moBiel gilt der Schutz von Leben, Gesundheit oder Freiheit von dort aufhältigen Personen als ein besonders wichtiges Interesse.

2.5 Gewinnspiele

Über die App kann es vorkommen, dass Sie zur Teilnahme an Gewinnspielen eingeladen werden. Die Teilnahme am Gewinnspiel ist freiwillig und des gelten die Teilnahmebedingungen. Die für Ihre Teilnahme erforderlich Daten, in der Regel Ihre Kontaktdaten, werden zwecks Durchführung des Gewinnspiels und Auslosung der Gewinner verarbeitet. Ggf. verarbeiten wir Ihre Daten für die Gewinnerbenachrichtigung und/ oder den Versand des Gewinns.

Die Rechtsgrundlage ist Art. 6 (1) b DSGVO, auf Grundlage der Teilnahmebedingungen.

Nach Gewinnerziehung werden Ihre Teilnehmerdaten gelöscht. Die Daten der Gewinner werden aus buchhalterisch- und handelsrechtlichen Gründen nach der gesetzlichen Aufbewahrungsfrist gespeichert (aktuell 6 bis 10 Jahre).

2.6 Kontaktaufnahme und Kundenbetreuung (Beschwerdemanagement, Serviceanliegen)

Um Ihre Kontaktaufnahme mit uns per E-Mail, Telefon oder über ein Kontaktformular bearbeiten zu können, verarbeiten wir Ihre E-Mail-Adresse und, falls von Ihnen angegeben, Ihren Namen und Ihre Telefonnummer sowie etwaige sonstige Informationen, die Sie uns mitteilen.

Die Verarbeitung dieser personenbezogenen Daten basiert auf der Rechtsgrundlage des Art. 6 (1) b DSGVO, sofern die Kommunikation im Zusammenhang mit der Durchführung Ihres Ticketkaufs erfolgt (Kundenbetreuung). Die Verarbeitung für andere Kommunikation erfolgt auf Basis unseres berechtigten Interesses gemäß Art. 6 (1) f DSGVO, nämlich zur bedarfsgerechten Abwicklung Ihrer Kontaktanfrage.

3.    Wie lange speichern wir Ihre Daten?

Wir werden Ihre Daten nur so lange aufbewahren, wie dies zur Erfüllung der vorstehend dargelegten Zwecke notwendig ist. Darüber hinaus unterliegen wir verschiedenen Aufbewahrungs- und Dokumentationspflichten, die sich unter anderem aus dem Handelsgesetzbuch (HGB) und der Abgabenordnung (AO) ergeben. Die dort vorgegebenen Fristen zur Aufbewahrung bzw. Dokumentation betragen bis zu zehn Jahre. Schließlich beurteilt sich die Speicherdauer auch nach den gesetzlichen Verjährungsfristen, die zum Beispiel nach den §§ 195 ff. des Bürgerlichen Gesetzbuches (BGB) bis zu dreißig Jahre betragen können, wobei die regelmäßige Verjährungsfrist drei Jahre beträgt.

4.    An wen übermitteln wir Ihre Daten?

Wir setzen bei der Erbringung unserer Dienstleistungen externe Dienstleister ein, die Ihre Daten in unserem Auftrag verarbeiten, etwa technische Dienstleister für den Betrieb und die Wartung unserer IT-Systeme und Server-Infrastruktur.

Darüber hinaus geben wir Ihre Daten, vorausgesetzt eine Rechtsgrundlage liegt vor, auch an Dritte weiter, die Ihre Daten in eigener Verantwortung verarbeiten. Hierzu gehören die o.g. Zahlungsdienstleister, sofern dies im Rahmen der Bestellabwicklung erforderlich ist. Auch Behörden oder andere staatliche Einrichtungen können Ihre Daten erhalten, sofern wir hierzu rechtlich verpflichtet sind.

Im Zusammenhang mit dem eezy.nrw geben wir Ihre Daten in dem unter Ziffer 2.3.3 beschrieben Umfang an unsere Kooperationspartner weiter. Über vertragliche Regelungen sind die datenschutzrechtlichen Anforderungen eingehalten und die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vertraglich beschrieben.

5.    Werden Ihre Daten an Empfänger in einem Drittland übermittelt?

Soweit dies für die vorgenannten Zwecke erforderlich ist, übermitteln wir Ihre Daten auch an Empfänger außerhalb des Europäischen Wirtschaftsraums (EWR). Wir stellen sicher, dass eine Übermittlung in Drittländer nur erfolgt, soweit hierfür eine Rechtsgrundlage besteht. Dies bedeutet, dass wir Ihre Daten nur übermitteln, soweit für den jeweiligen Drittstaat eine Entscheidung der EU-Kommission über ein angemessenes Datenschutzniveau vorliegt (Art. 45 DSGVO), geeignete Garantien zum Schutze Ihrer personenbezogenen Daten vorgesehen sind (vgl. Art. 46 DSGO) oder eine gesetzliche Erlaubnisnorm besteht (vgl. Art. 49 DSGVO).

Wir übermitteln Ihre personenbezogenen Daten an die von uns eingesetzten technischen Dienstleister, die uns bei dem Betrieb und der Wartung unterstützen und ihren Sitz in den USA haben. Zwar werden Ihre personenbezogenen Daten ausschließlich auf Servern innerhalb der EU/des EWR gespeichert. Es ist aber nicht gänzlich ausgeschlossen, dass Ihre personenbezogenen Daten in die USA übermittelt werden (etwa bei Support Anfragen). Zu diesem Zweck haben wir bzw. die von uns eingesetzten technischen Dienstleister geeignete Maßnahmen ergriffen, um ein adäquates Schutzniveau für Ihre personenbezogenen Daten zu gewährleisten. Hierzu gehören neben dem Abschluss der Standardvertragsklauseln der EU-Kommission auch die Umsetzung von zusätzlichen technischen organisatorischen und vertraglichen Schutzmaßnahmen. Ihre übrigen personenbezogenen Daten übermitteln wir in keine Länder außerhalb des EWR.

6.    Besteht für Sie eine Pflicht zur Bereitstellung der Daten?

Bei Nutzung unserer App erfolgt eine automatische Übermittlung der genannten Nutzungs- und Protokolldaten durch die App. Ohne diese technischen Daten ist es nicht möglich unsere App für Sie ordnungsgemäß darzustellen.

In Bezug auf die jeweils angebotenen Funktionalitäten und Leistungen müssen Sie diejenigen Daten bereitstellen, die für den jeweiligen Verarbeitungszweck erforderlich sind. Grundsätzlich ist die Bereitstellung Ihrer Daten für die in der App enthaltenen Funktionalitäten und Leistungen kostenlos. In bestimmten Fällen sind wir ohne Ihre Daten allerdings nicht in der Lage, die jeweiligen Leistungen und Funktionalitäten anzubieten. Dies betrifft die Verarbeitung Ihrer Daten im Rahmen der Registrierung und des Ticketkaufs. Ohne die erforderlichen Daten können wir entsprechende Leistungen und Funktionalitäten nicht ordnungsgemäß erbringen bzw. bereitstellen.

7.    Welche Rechte stehen Ihnen als betroffene Person zu?

Jede betroffene Person hat das Recht auf Auskunft nach Art. 15 DSGVO, das Recht auf Berichtigung nach Art. 16 DSGVO, das Recht auf Löschung nach Art. 17 DSGVO, das Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO sowie das Recht auf Datenübertragbarkeit aus Art. 20 DSGVO. Soweit wir Ihre personenbezogenen Daten auf Grundlage Ihrer Einwilligung verarbeiten, können Sie diese jederzeit formfrei mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt.

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 (f) der DSGVO (Datenverarbeitung auf der Grundlage einer Interessenabwägung) erfolgt, Widerspruch einzulegen. Legen Sie Widerspruch ein, werden wir Ihre Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Zur Ausübung der vorgenannten Rechte wenden Sie sich hierfür bitte an die unter Ziffer 1 genannten Stellen.

Darüber hinaus besteht ein Beschwerderecht bei einer Datenschutzaufsichtsbehörde (Art. 77 DSGVO), wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten nicht rechtmäßig erfolgt. Das Beschwerderecht besteht unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs. Die Anschrift der für uns zuständigen Datenschutzaufsichtsbehörde lautet: Landesbeauftragte für Datenschutz und Informationsfreiheit NRW Kavalleriestr. 2-4 in 40213 Düsseldorf Deutschland, Tel.: 0211/38424-0, Fax: 0211/38424-10 und E-Mail: poststelle@ldi.nrw.de.

8.    Inwieweit gibt es eine automatisierte Entscheidungsfindung einschließlich Profiling im Einzelfall?

Bei der Nutzung unserer App erfolgt keine automatische Entscheidungsfindung gemäß Art. 22 DSGVO.

9.  Änderung dieser Datenschutzhinweise

Wir überarbeiten diese Datenschutzhinweise bei Änderungen an der App oder bei sonstigen Anlässen, die dies erforderlich machen. Wir werden Sie über die Änderungen informieren (etwa per E-Mail oder in der App). Die jeweils aktuelle Fassung finden Sie stets in der App.