Datenschutzerklärung für die D-Ticket-VRM-App
Präambel
Die VRM D-Ticket App (nachfolgend „App“) wird vom Verkehrsverbund Rhein-Mosel GmbH (VRM), Schloßstraße 18-20, 56068 Koblenz, vertreten durch den Geschäftsführer Stephan Pauly (nachfolgend „wir“ oder „uns“) als Verantwortlicher im Sinne des jeweils geltenden Datenschutzrechts zur Verfügung gestellt.
Im Rahmen der App ermöglichen wir Ihnen den Abruf und Darstellungen folgender Informationen und Funktionen: Registrierung zum Kauf des Deutschland-Tickets (D-Ticket), des Deutschland-Tickets für Studierende der Universität und Hochschule in Koblenz, der Hochschule Koblenz am Standort Remagen und der WHU in Vallendar (D-Ticket Studierende) und des Deutschland-Tickets Job (D-Ticket Job). Sie können Ihren Account und Abo-Daten einsehen und ändern sowie über die Hilfefunktion Informationen erhalten.
Bei der Nutzung der App werden von uns personenbezogene Daten über Sie verarbeitet. Unter personenbezogenen Daten sind sämtliche Informationen zu verstehen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Weil uns der Schutz Ihrer Privatsphäre bei der Nutzung der App wichtig ist, möchten wir Sie mit den nachfolgenden Angaben darüber informieren, welche personenbezogenen Daten wir verarbeiten, wenn Sie die App nutzen und wie wir mit diesen Daten umgehen. Darüber hinaus unterrichten wir Sie über die Rechtsgrundlage für die Verarbeitung Ihrer Daten und, soweit die Verarbeitung zur Wahrung unserer berechtigten Interessen erforderlich ist, auch über unsere berechtigten Interessen.
Sie können diese Datenschutzerklärung jederzeit unter dem Menüeintrag „Datenschutz“ innerhalb der App aufrufen.
1. Informationen zur Verarbeitung Ihrer Daten
Bestimmte Informationen werden bereits automatisch verarbeitet, sobald Sie die App verwenden. Welche personenbezogenen Daten genau verarbeitet werden, haben wir im Folgenden für Sie aufgeführt:
1.1 Informationen, die beim Download erhoben werden
Beim Download der App werden bestimmte erforderliche Informationen an den von Ihnen ausgewählten App Store (z.B. Google Play oder Apple App Store) übermittelt, insbesondere können dabei der Nutzername, die E-Mail-Adresse, die Kundennummer Ihres Accounts, der Zeitpunkt des Downloads, sowie die individuelle Gerätekennziffer verarbeitet werden. Die Verarbeitung dieser Daten er-folgt ausschließlich durch den jeweiligen App Store und liegt außerhalb unseres Einflussbereiches.
1.2 Informationen, die automatisch erhoben werden
Im Rahmen Ihrer Nutzung der App erheben wir bestimmte Daten automatisch, die für die Nutzung der App erforderlich sind. Hierzu gehören: interne Geräte-ID, Version Ihres Betriebssystems, Zeitpunkt des Zugriffs. Diese Daten werden automatisch an uns übermittelt, (1) um Ihnen den Dienst und die damit verbundenen Funktionen zur Verfügung zu stellen; (2) die Funktionen und Leistungsmerkmale der App zu verbessern und (3) Missbrauch sowie Fehlfunktionen vorzubeugen und zu beseitigen. Diese Datenverarbeitung ist dadurch gerechtfertigt, dass (1) die Verarbeitung für die Erfüllung des Vertrags zwischen Ihnen als Betroffener und uns gemäß Art. 6 Abs. 1 lit. b) DSGVO zur Nutzung der App erforderlich ist, oder (2) wir ein berechtigtes Interesse daran haben, die Funktionsfähigkeit und den fehlerfreien Betrieb der App zu gewährleisten und einen markt- und interessengerechten Dienst anbieten zu können, dass hier Ihre Rechte und Interessen am Schutz Ihrer personenbezogenen Daten im Sinne von Art. 6 Abs. 1 lit. f) DSGVO überwiegt.
1.3 Erstellung eines Nutzeraccounts (Registrierung) und Anmeldung
Wenn Sie einen Nutzeraccount erstellen oder sich anmelden, verwenden wir Ihre Zugangsdaten (E-Mail-Adresse TicketnutzerIn und Passwort), um Ihnen den Zugang zu Ihrem Nutzeraccount zu gewähren und diesen zu verwalten („Pflichtangaben“). Pflichtangaben im Rahmen der Registrierung sind mit einem Sternchen gekennzeichnet und sind für den Abschluss des Nutzungsvertrages erforderlich. Wenn Sie diese Daten nicht angeben, können Sie keinen Nutzeraccount erstellen.
Die Pflichtangaben verwenden wir, um Sie beim Login zu authentifizieren und Anfragen zur Rücksetzung Ihres Passwortes nachzugehen. Die von Ihnen im Rahmen der Registrierung oder einer Anmeldung eingegebenen Daten werden von uns verarbeitet und verwendet, (1) um Ihre Berechtigung zur Verwaltung des Nutzeraccounts zu verifizieren; (2) die Nutzungsbedingungen der App so-wie alle damit verbundenen Rechte und Pflichten durchzusetzen und (3) mit Ihnen in Kontakt zu treten, um Ihnen technische oder rechtliche Hinweise, Updates, Sicherheitsmeldungen oder andere Nachrichten, die etwa die Verwaltung des Nutzeraccounts betreffen, senden zu können.
Diese Datenverarbeitung ist dadurch gerechtfertigt, dass (1) die Verarbeitung für die Erfüllung des Vertrags zwischen Ihnen als Betroffener und uns gemäß Art. 6 Abs. 1 lit. b) DSGVO zur Nutzung der App erforderlich ist, oder (2) wir ein berechtigtes Interesse daran haben, die Funktionsfähigkeit und den fehlerfreien Be-trieb der App zu gewährleisten, das hier Ihre Rechte und Interessen am Schutz Ihrer personenbezogenen Daten im Sinne von Art. 6 Abs. 1 lit. f) DSGVO überwiegt.
1.4 Nutzung der App
Im Rahmen der App können Sie diverse Tickets im Rahmen des Deutschland-Tickets buchen, verwalten und bearbeiten.
Zu diesem Zweck werden folgende Daten für die Buchung des Deutschland-Tickets gespeichert:
D-Ticket (Deutschland-Ticket): Anrede, Vorname, Name, Geburtsdatum, Land, Straße, Hausnummer, Postleitzahl, Wohnort, Vertragsbeginn und ggfls. -ende des Tickets, Zahlungsmethode (SEPA-Lastschriftverfahren, Kreditkarte oder PayPal), Bankverbindung, Rechnungsdaten, Daten zum Zahlungsverhalten und Mobilfunknummer.
Bei Ticketnutzern unter 18 Jahren zusätzlich: E-Mail-Adresse der/s Erziehungsberechtigten, In-Browser-Zahlung (einschließlich Validierung personenbezogener Daten) per SEPA-Lastschriftverfahren, Kreditkarte oder PayPal, Bankverbindung.
D-Ticket Studierende (Deutschland-Ticket für Studierende): Name der Hoch-schule/Universität, Immatrikulationsnummer, Anrede, Vorname, Name, Geburtsdatum, Land, Straße, Hausnummer, Postleitzahl, Wohnort, Vertragsbeginn und ggfls. -ende des Tickets, Zahlungsmethode (SEPA-Lastschriftverfahren, Kreditkarte oder PayPal), Bankverbindung, Rechnungsdaten, Daten zum Zahlungsverhalten und Mobilfunknummer.
D-Ticket Job (Deutschland-Ticket als Jobticket): Firmenname, Postleitzahl Arbeitsort, Anrede, Vorname, Name, Geburtsdatum, Land, Straße, Hausnummer, Postleitzahl, Wohnort, Vertragsbeginn und ggfls. -ende des Tickets, Zahlungsmethode (SEPA-Lastschriftverfahren, Kreditkarte oder PayPal), Bankverbindung, Rechnungsdaten, Daten zum Zahlungsverhalten und Mobilfunknummer.
Die App erfordert darüber hinaus folgende Berechtigungen: Internetzugriff: Dieser wird benötigt, um Ihre Eingaben auf unseren Servern zu speichern und den Betrieb der App zu gewährleisten.
Die Verarbeitung und Verwendung von Nutzungsdaten erfolgen zur Bereitstellung des Dienstes. Diese Datenverarbeitung ist dadurch gerechtfertigt, dass die Verarbeitung für die Erfüllung des Vertrags zwischen Ihnen als Betroffener und uns gemäß Art. 6 Abs. 1 lit. b) DSGVO zur Nutzung der App erforderlich ist.
2. Weitergabe und Übertragung von Daten
Eine Weitergabe Ihrer personenbezogenen Daten ohne Ihre ausdrückliche vor-herige Einwilligung erfolgt neben den explizit in dieser Datenschutzerklärung genannten Fällen lediglich dann, wenn es gesetzlich zulässig bzw. erforderlich ist. Dies kann u.a. der Fall sein, wenn die Verarbeitung erforderlich ist, um lebenswichtige Interessen des Nutzers oder einer anderen natürlichen Person zu schützen.
Die Daten, die bei der Registrierung von Ihnen angegeben werden, werden innerhalb unserer Firma für interne Verwaltungszwecke einschließlich der gemeinsamen Kundenbetreuung im Rahmen des Erforderlichen weitergeben.
Wenn es zur Aufklärung einer rechtswidrigen bzw. missbräuchlichen Nutzung der App oder für die Rechtsverfolgung erforderlich ist, werden personenbezogene Daten an die Strafverfolgungsbehörden oder andere Behörden sowie ggf. an geschädigte Dritte oder Rechtsberater weitergeleitet. Dies geschieht jedoch nur, wenn Anhaltspunkte für ein gesetzwidriges bzw. missbräuchliches Verhalten vorliegen. Eine Weitergabe kann auch stattfinden, wenn dies der Durchsetzung von Nutzungsbedingungen oder anderen Rechtsansprüchen dient. Wir sind zudem gesetzlich verpflichtet, auf Anfrage bestimmten öffentlichen Stellen Auskunft zu erteilen. Dies sind Strafverfolgungsbehörden, Behörden, die bußgeldbewährte Ordnungswidrigkeiten verfolgen, und die Finanzbehörden.
Eine etwaige Weitergabe der personenbezogenen Daten ist dadurch gerechtfertigt, dass (1) die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der wir gemäß Art. 6 Abs. 1 lit. f) DSGVO i.V.m. nationalen rechtlichen Vorgaben zur Weitergabe von Daten an Strafverfolgungsbehörden unter-liegen, oder (2) wir ein berechtigtes Interesse daran haben, die Daten bei Vorliegen von Anhaltspunkten für missbräuchliches Verhalten oder zur Durchsetzung unserer Nutzungsbedingungen, anderer Bedingungen oder von Rechtsansprüchen an die genannten Dritten weiterzugeben und Ihre Rechte und Interessen am Schutz Ihrer personenbezogenen Daten im Sinne von Art. 6 Abs. 1 lit. f) DSGVO nicht überwiegen.
Wir sind für die Erbringung unseres Dienstes auf folgende Fremdunternehmen und externe Dienstleister angewiesen:
• XIMEDES B.V., Lichtfabriekplein 1, 2031 TE Haarlem, Niederlande für die Entwicklung und den Betrieb der App
• Billwerk+ GmbH, Mainzer Landstr. 51, 60329 Frankfurt/Main (billwerk) für die Verwaltung der Abonnements
• PPRO Financial Limited, 48 Chancery Lane, London, WC2A 1JF, Großbritannien als Zahlungsdienstleister für die Abwicklung der Zahlungen per SEPA-Lastschrift
• Valitor, Dalshraun 3, 220 Hafnarfjordur, Island als Zahlungsdienstleister für die Abwicklung der Zahlungen per Kreditkarte.
Diese Weitergabe ist dadurch gerechtfertigt, dass die Verarbeitung für die Erfül-lung des Vertrags zwischen Ihnen als Betroffener und uns gemäß Art. 6 Abs. 1 lit. b) DSGVO zur Nutzung der App erforderlich ist.
Unsere Fremdunternehmen und externen Dienstleister wurden im Rahmen von Art. 28 Abs. 1 DSGVO als Auftragsverarbeiter sorgfältig ausgewählt, regelmäßig überprüft und vertraglich verpflichtet, sämtliche personenbezogenen Daten ausschließlich entsprechend unserer Weisungen zu verarbeiten.
3. Datenübermittlungen in Drittländer
Wir verarbeiten durch unsere Dienstleister Daten auch in Staaten außerhalb des Europäischen Wirtschaftsraumes („EWR“) bzw. innerhalb der EWR aber mit Dienstleistern aus Drittländern.
Dies betrifft im Einzelnen bei unseren Dienstleistern XIMEDES und Billwerk+:
Google Firebase auf deutschen Servern, (Authentifikation der Benutzer),
Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, 1855 Luxembourg (Datenspeicherung),
Freshworks Inc., 2950 S. Delaware Street, Suite 201, San Mateo, CA 94403, USA
Um den Schutz der Persönlichkeitsrechte der Nutzer auch im Rahmen dieser Datenübertragungen zu gewährleisten, bedienen sich unsere Dienstleister bei der Ausgestaltung der Vertragsverhältnisse mit den Empfängern in Drittländern der Standardvertragsklauseln der EU-Kommission gemäß Art. 46 Abs. 2 lit. c) DSGVO.
4. Zweckänderungen
Verarbeitungen Ihrer personenbezogenen Daten zu anderen als den beschriebenen Zwecken erfolgen nur, soweit eine Rechtsvorschrift dies erlaubt oder Sie in den geänderten Zweck der Datenverarbeitung eingewilligt haben. Im Falle einer Weiterverarbeitung zu anderen Zwecken als denen, für den die Daten ursprünglich erhoben worden sind, informieren wir Sie vor der Weiterverarbeitung über diese anderen Zwecke und stellen Ihnen sämtliche weitere hierfür maßgeblichen Informationen zur Verfügung.
5. Zeitraum der Datenspeicherung
Die personenbezogenen Daten werden routinemäßig gelöscht, wenn sie nicht mehr zur Vertragserfüllung notwendig sind (Art. 17 Abs. 1 lit a) EU-DSGVO) und auch nicht mehr gesetzlichen (insb. steuerrechtlichen) Aufbewahrungsfristen unterliegen (Art. 17 Abs. 1 lit. e) EU-DSGVO).
Ihre personenbezogenen Daten werden für die Dauer des Nutzungs- bzw. des Vertragsverhältnisses über die App zzgl. eines Zeitraumes von 6 Monate aufbewahrt, soweit diese Daten nicht für die strafrechtliche Verfolgung oder zur Sicherung, Geltendmachung oder Durchsetzung von Rechtsansprüchen länger benötigt werden.
6. Ihre Rechte als Betroffener
6.1 Auskunftsrecht
Sie haben das Recht, von uns jederzeit auf Antrag eine Auskunft über die von uns verarbeiteten, Sie betreffenden personenbezogenen Daten im Umfang des Art. 15 DSGVO zu erhalten. Hierzu können Sie einen Antrag postalisch oder per E-Mail an die unten angegebene Adresse stellen.
6.2 Recht zur Berichtigung unrichtiger Daten
Sie haben das Recht, von uns die unverzügliche Berichtigung der Sie betreffenden personenbezogenen Daten zu verlangen, sofern diese unrichtig sein sollten. Wenden Sie sich hierfür bitte an die unten angegebenen Kontaktadressen.
6.3 Recht auf Löschung
Sie haben das Recht, unter den in Art. 17 DSGVO beschriebenen Voraussetzungen von uns die Löschung der Sie betreffenden personenbezogenen Daten zu verlangen. Diese Voraussetzungen sehen insbesondere ein Löschungsrecht vor, wenn die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind, sowie in Fällen der unrechtmäßigen Verarbeitung, des Vorliegens eines Widerspruchs oder des Bestehens einer Löschungspflicht nach Unionsrecht oder dem Recht des Mitgliedstaates, dem wir unterliegen. Zum Zeitraum der Datenspeicherung siehe im Übrigen Ziffer 5 dieser Datenschutzerklärung. Um Ihr Recht auf Löschung geltend zu machen, wenden Sie sich bitte an die unten angegebenen Kontaktadressen.
6.4 Recht auf Einschränkung der Verarbeitung
Sie haben das Recht, von uns die Einschränkung der Verarbeitung nach Maßgabe des Art. 18 DSGVO zu verlangen. Dieses Recht besteht insbesondere, wenn die Richtigkeit der personenbezogenen Daten zwischen dem Nutzer und uns umstritten ist, für die Dauer, welche die Überprüfung der Richtigkeit erfordert sowie im Fall, dass der Nutzer bei einem bestehenden Recht auf Löschung an-stelle der Löschung eine eingeschränkte Verarbeitung verlangt; ferner für den Fall, dass die Daten für die von uns verfolgten Zwecke nicht länger erforderlich sind, der Nutzer sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt sowie, wenn die erfolgreiche Ausübung eines Widerspruchs zwischen uns und dem Nutzer noch umstritten ist. Um Ihr Recht auf Einschränkung der Verarbeitung geltend zu machen, wenden Sie sich bitte an die unten angegebenen Kontaktadressen.
6.5 Recht auf Datenübertragbarkeit
Sie haben das Recht, von uns die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen, maschinen-lesbaren Format nach Maßgabe des Art. 20 DSGVO zu erhalten. Um Ihr Recht auf Datenübertragbarkeit geltend zu machen, wenden Sie sich bitte an die unten angegebenen Kontaktadressen.
7. Widerspruchsrecht
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation er-geben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die u.a. aufgrund von Art. 6 Abs. 1 lit. e) oder f) DSGVO erfolgt, Widerspruch nach Art. 21 DSGVO einzulegen. Wir werden die Verarbeitung Ihrer personenbezogenen Daten einstellen, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder wenn die Verarbeitung der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient.
8. Beschwerderecht
Sie haben ferner das Recht, sich bei Beschwerden an die zuständige Aufsichtsbehörde zu wenden. Die zuständige Aufsichtsbehörde ist:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Hintere Bleiche 34, 55116 Mainz, Telefon: 06131 89200, E-Mail: poststelle(at)datenschutz.rlp.de
9. Kontakt
Sollten Sie Fragen oder Anmerkungen zu unserem Umgang mit Ihren personenbezogenen Daten haben oder möchten Sie die unter Ziffer 6 und 7 genannten Rechte als betroffene Person ausüben, wenden Sie sich bitte an unseren Datenschutzbeauftragten unter folgenden Kontaktdaten: datenschutz(at)vrminfo.de.
Bei Fragen oder Anmerkungen zum praktischen Umgang und der Bedienung der App oder bei Supportanfragen wenden Sie sich bitte an d-ticket(at)vrminfo.de.
10. Änderungen dieser Datenschutzerklärung
Wir halten diese Datenschutzerklärung immer auf dem neuesten Stand. Deshalb behalten wir uns vor, sie von Zeit zu Zeit zu ändern und Änderungen bei der Erhebung, Verarbeitung oder Nutzung Ihrer Daten nachzupflegen. Die aktuelle Fassung der Datenschutzerklärung ist stets unter https://www.vrminfo.de/footernavigation/datenschutz/ und in der App in den Einstellungen unter „Datenschutz“ abrufbar.