Datenschutzerklärung des RMV-HandyTickets

Die Rhein-Main-Verkehrsverbund Servicegesellschaft mbH ("rms") nimmt den Schutz Ihrer personenbezogenen Daten sehr ernst. Wir möchten, dass Sie wissen, wann wir welche Daten erheben und wie wir sie verwenden. Nachfolgend informieren wir Sie über Art, Umfang und Zweck der Erhebung, Verarbeitung und Nutzung ("Verarbeitung") personenbezogener Daten ("Daten") im Rahmen der Nutzung des RMV-HandyTickets. 

1. Hinweis zur verantwortlichen Stelle

Die verantwortliche Stelle für die Durchführung des RMV-HandyTickets ist die

Rhein-Main-Verkehrsverbund Servicegesellschaft mbH
Geschäftsführer: Jörg Puzicha
Am Hauptbahnhof 6
60329 Frankfurt am Main

2. Gesetzlich vorgeschriebener Datenschutzbeauftragter

Der betriebliche Datenschutzbeauftragte der rms ist erreichbar unter: 

DSBOK GmbH, Oliver Krause (eDSB)
65474 Bischofsheim, Untergasse 2
Telefon: 06144/402197
E-Mail: rms@dsbok.de

3. Zweck der Datenverarbeitung

Die Verarbeitung der Daten erfolgt zum Zweck der Verwaltung, der Pflege und des Vertriebs elektronischer Fahrscheine (RMV-HandyTicket) über die App RMVgo via Smartphones.

Dies umfasst:

• die Erstellung und Bereitstellung eines Datensatzes für die Ausgabe der Fahrkarte in eine der oben genannten Apps.

• die Ausstellung und Übersendung weiterer Vertragsinformationen.

• die Korrektur der bereits zuvor übermittelten personenbezogenen Daten wegen Änderung der Kontaktdaten oder vergleichbarer Gründe.

• die Bearbeitung von Kunden- und Interessentenanfragen über Kommunikationswege.

• die Abwicklung der Bezahlung der Fahrkarte.

• die Kontrolle der Fahrkarte (bei einer elektronischen Kontrolle der Fahrkarte über ein Kontrollgerät kann zukünftig ein Kontrolldatensatz zum eTicket-Hintergrundsystem des RMV angelegt werden).

• die Überprüfung von Missbrauch, wie bspw. Manipulationen oder Duplikate.

• ggfs. die Verarbeitung zu postalischen Werbezwecken und Kundenbindungsmaßnahmen.

Nutzt der Kunde den "RMV-PrepaidRabatt", erfolgt die Verarbeitung der Daten darüber hinaus zur Führung eines Guthabenkontos und zur Verrechnung von rabattierten Fahrkartenabforderungen gegen das Guthaben.

Wünscht der Kunde die Bezahlung mittels SEPA-BASIS-Lastschriftverfahrens, erfolgt eine Bonitätsprüfung zur Beurteilung der Kreditwürdigkeit des Bestellers. Die Informationen der info-score Consumer Data GmbH (ICD) gem. Art. 14 EU-DSGVO finden Sie unter:
https://finance.arvato.com/icdinfoblatt

Die bei Nutzung des RMV-HandyTicketsanfallenden Nutzungsdaten können vom RMV unter Verwendung eines dem Kunden zugeordneten Pseudonyms auch für verkehrliche Zwecke (z.B. zur Bewertung der Nachfrageentwicklung auf bestimmten Verbindungen) ausgewertet werden. Die Zusammenführung der für die Vertragsdurchführung erforderlichen Echtnamen mit den im Rahmen der Nutzung für verkehrliche Zwecke verwendeten Pseudonymen findet nicht statt.

4. Rechtsgrundlagen für die Datenverarbeitung

Nach Art. 6 Abs. 1 lit. b) DSGVO ist die Verarbeitung der Daten unter anderem dann rechtmäßig, wenn die Verarbeitung für die Erfüllung eines Vertrages erfolgt.

Beim Kauf von Fahrkarten ist dies der jeweilige Kaufvertrag.

Die Einholung einer Bonitätsauskunft bei gewünschter Zahlung mittels SEPA-Basis-Lastschriftverfahrens im Rahmen des "RMV-HandyTicket" dient der Bewertung des mit dem Lastschriftverfahren verbundenen Ausfallrisikos und der Wahrung eines berechtigten (wirtschaftlichen) Interesses der rms, was gem. Art. 6 Abs. 1 lit. f) DSGVO gerechtfertigt ist, da vorliegend auch nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

5. Empfänger oder Kategorien von Empfängern der personenbezogenen Daten, Drittlandtransfer

Für den fachlichen und technischen Betrieb des "RMV-HandyTickets" bedient sich die rms der

  • Rhein-Main-Verkehrsverbund GmbH als Auftragsverarbeiter, die ihrerseits
    • zu fachlichen und kommunikativen Zwecken ihre 100%ige Tochter, die Rhein-Main-Verkehrsverbund Servicegesellschaft (rms), Am Hauptbahnhof 6, 60329 Frankfurt am Main,
    • zu technischen Belangen die Cubic Transportation Systems (Deutschland) GmbH,
      Alter Fischmarkt 11, 20457 Hamburg
    • sowie beratend das Zentrum für integrierte Verkehrssysteme GmbH (ZIV),
      Robert-Bosch-Straße 7, 64293 Darmstadt

als weitere Auftragsverarbeiter einsetzt. Bei Vertragsanbahnung kann es zu Einschaltung einer Auskunftei kommen. Im Übrigen werden zur Zahlungsabwicklung die erforderlichen Zahlungsdienstleister und bei Zahlungsausfall gegebenenfalls auch Inkassounternehmen eingeschaltet.

Darüber hinaus ist für den Fahrkartenkauf mittels RMV-HandyTicket der Download der App RMVgo erforderlich. Die App RMVgo wird vom RMV bereitgestellt. Beim Download der App RMVgo werden bestimmte erforderliche Informationen an den von Ihnen ausgewählten App Store (z.B. Google Play oder Apple App Store). Die Verarbeitung dieser Daten erfolgt ausschließlich durch den jeweiligen App Store und liegt außerhalb unseres Einflussbereiches.

Weitere Informationen zur Datenverarbeitung beim Download der App RMVgo erhalten Sie unter: https://www.rmv.de/c/de/rechtliche-hinweise/datenschutzerklaerung/datenschutz-in-der-rmv-app.

6. Dauer der Datenspeicherung

Die personenbezogenen Daten werden routinemäßig gelöscht, wenn sie nicht mehr zur Vertragserfüllung notwendig sind (Art. 17 Abs. 1 lit a) DSGVO) und auch nicht mehr gesetzlichen (insb. steuerrechtlichen) Aufbewahrungsfristen unterliegen (Art. 17 Abs. 1 lit. e) DSGVO).

Die im Zusammenhang mit dem "RMV-HandyTicket" entstehenden personenbezogenen Nutzungsdaten (Strecken, Uhrzeiten, Häufigkeit der Nutzung der App RMVgo) werden 6 Monate nach erfolgreichem Abschluss aus dem Hintergrundsystem gelöscht; können aber nach vorheriger Pseudonymisierung vom RMV weiterhin für verkehrliche Zwecke (z. B. Bewertung der Nachfrageentwicklung auf bestimmten Verbindungen) und die tariflichen Zwecke ausgewertet werden.

Die gerätespezifischen Nutzungsdaten des Smartphones zur Plausibilisierung und zur Betrugsprävention, die sogenannten Nutzungsmetadaten (Geräte-ID, Empfangszeitpunkt in der App und Betriebssystem des Gerätes), werden ebenfalls nach 6 Monaten Inaktivität bzw. sofort auf Verlangen des Kunden gelöscht unter der Voraussetzung, dass alle Rechnungen bezahlt worden sind.

Der zur Missbrauchsüberprüfung an das Hintergrundsystem geschickte Kontrolldatensatz wird spätestens 31 Tage nach Erhebung aus dem Hintergrundsystem gelöscht.

Nutzt der Kunde den "RMV-PrepaidRabatt", werden die für den jährlichen Guthabenauszug erforderlichen Daten (im Kalenderjahr erfolgte Ein- und Auszahlungen auf das Guthabenkonto sowie Käufe mittels Guthaben – Fahrkartenart und Preis) nach Ablauf der regelmäßigen Verjährungsfrist von 3 Jahren (§ 195 BGB) aus dem Hintergrundsystem gelöscht.

Soweit nach 12-monatiger Nichtnutzung des "RMV-PrepaidRabatts" eine Deaktivierung erfolgt und der Betroffene noch über ein Guthaben verfügt, werden die insoweit erforderlichen Daten zum Zwecke einer möglichen Auszahlung oder einer Reaktivierung des Dienstes erst 6 Monate nach Ablauf der regelmäßigen Verjährungsfrist von 3 Jahren (§ 195 BGB) aus dem Hintergrundsystem gelöscht.

7. Automatisierte Entscheidungsfindung (Profiling)

Die rms verarbeitet die Daten des Kunden teilweise automatisiert mit dem Ziel, bestimmte geschäftliche Aspekte zu bewerten (Profiling). Die rms setzt Profiling beispielsweise in folgenden Fällen ein:

Die Entscheidung über die Zulassung des SEPA-Basis-Lastschriftverfahrens im Zusammenhang mit dem "RMV-HandyTicket" richtet sich nach dem Ergebnis der Bonitätskontrolle, das einen Forderungsausfall als unwahrscheinlich erscheinen lassen muss.

8. Erforderlichkeit der Bereitstellung der personenbezogenen Daten

Die Bereitstellung der personenbezogenen Daten ist für den Vertragsabschluss zur Nutzung des RMV-HandyTickets sowie der App RMVgo erforderlich, da sie zwingend für die Be- und Abrechnung Ihrer getätigten Fahrten benötigt werden. Eine Nichtbereitstellung hätte daher zur Folge, dass Sie an den genannten Verfahren nicht teilnehmen können.

9. Rechte der betroffenen Personen

Als betroffene Person stehen Ihnen nach der DSGVO verschiedene Rechte zu, die sich insbesondere aus Art. 15 bis 18 und 21 DSGVO ergeben:

  • Widerspruchsrecht: Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e) oder f) DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Werden die Sie betreffenden personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.
  • Widerrufsrecht bei Einwilligungen: Viele Datenverarbeitungsvorgänge sind nur mit Ihrer ausdrücklichen Einwilligung möglich. Sie können eine bereits erteilte Einwilligung jederzeit widerrufen. Dazu reicht eine formlose Mitteilung per E-Mail an uns. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt.
  • Auskunftsrecht: Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob betreffende Daten verarbeitet werden und auf Auskunft über diese Daten sowie auf weitere Informationen und Kopie der Daten entsprechend den gesetzlichen Vorgaben.
  • Recht auf Berichtigung: Sie haben entsprechend den gesetzlichen Vorgaben das Recht, die Vervollständigung der Sie betreffenden Daten oder die Berichtigung der Sie betreffenden unrichtigen Daten zu verlangen.
  • Recht auf Löschung und Einschränkung der Verarbeitung: Sie haben nach Maßgabe der gesetzlichen Vorgaben das Recht, zu verlangen, dass Sie betreffende Daten unverzüglich gelöscht werden, bzw. alternativ nach Maßgabe der gesetzlichen Vorgaben eine Einschränkung der Verarbeitung der Daten zu verlangen.
  • Recht auf Datenübertragbarkeit: Sie haben das Recht, Daten, die wir auf Grundlage Ihrer Einwilligung oder in Erfüllung eines Vertrags automatisiert verarbeiten, an sich oder an einen Dritten in einem gängigen, maschinenlesbaren Format aushändigen zu lassen. Sofern Sie die direkte Übertragung der Daten an einen anderen Verantwortlichen verlangen, erfolgt dies nur, soweit es technisch machbar ist.
  • Recht auf Einschränkung der Verarbeitung: Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen. Hierzu können Sie sich jederzeit unter der im Impressum angegebenen Adresse an uns wenden. Das Recht auf Einschränkung der Verarbeitung besteht in folgenden Fällen:
    • Wenn Sie die Richtigkeit Ihrer bei uns gespeicherten personenbezogenen Daten bestreiten, benötigen wir in der Regel Zeit, um dies zu überprüfen. Für die Dauer der Prüfung haben Sie das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.
    • Wenn die Verarbeitung Ihrer personenbezogenen Daten unrechtmäßig geschah/geschieht, können Sie statt der Löschung die Einschränkung der Datenverarbeitung verlangen.
    • Wenn wir Ihre personenbezogenen Daten nicht mehr benötigen, Sie sie jedoch zur Ausübung, Verteidigung oder Geltendmachung von Rechtsansprüchen benötigen, haben Sie das Recht, statt der Löschung die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.
    • Wenn Sie einen Widerspruch nach Art. 21 Abs. 1 DSGVO eingelegt haben, muss eine Abwägung zwischen Ihren und unseren Interessen vorgenommen werden. Solange noch nicht feststeht, wessen Interessen überwiegen, haben Sie das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.

Wenn Sie die Verarbeitung Ihrer personenbezogenen Daten eingeschränkt haben, dürfen diese Daten – von ihrer Speicherung abgesehen – nur mit Ihrer Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Europäischen Union oder eines Mitgliedstaats verarbeitet werden.

  • Recht auf Beschwerde bei zuständiger Aufsichtsbehörde: Im Falle von Verstößen gegen die DSGVO steht den Betroffenen ein Beschwerderecht bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthalts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes zu. Das Beschwerderecht besteht unbeschadet anderweitiger verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe. Die für uns zuständige Behörde ist der Hessische Beauftragte für Datenschutz und Informationsfreiheit, Gustav-Stresemann-Ring 1, 65189 Wiesbaden.

Stand: 10.07.2023


RMV-HandyTicket

Informationen nach Art. 13 der Datenschutzgrundverordnung zum RMV-HandyTicket.