Datenschutzerklärung des RMV-HandyTickets
Die Rhein-Main-Verkehrsverbund Servicegesellschaft mbH („rms“) nimmt den Schutz Ihrer personenbezogenen Daten sehr ernst. Wir möchten, dass Sie wissen, wann wir welche Daten erheben und wie wir sie verwenden. Nachfolgend informieren wir Sie über Art, Umfang und Zweck der Erhebung, Verarbeitung und Nutzung („Verarbeitung“) personenbezogener Daten („Daten“) im Rahmen der Nutzung des RMV-HandyTickets.
1. Hinweis zur verantwortlichen Stelle
Die verantwortliche Stelle für die Durchführung des RMV-HandyTickets ist die
Rhein-Main-Verkehrsverbund Servicegesellschaft mbH
Postfach: 11 15 42
60329 Frankfurt am Main
2. Gesetzlich vorgeschriebener Datenschutzbeauftragter
Der betriebliche Datenschutzbeauftragte der rms ist erreichbar unter:
Anschrift des Datenschutzbeauftragten
DSBOK GmbH
Externer Datenschutzbeauftragter Oliver Krause
Untergasse 2
65474 Bischofsheim
Telefon: 0 61 44 / 40 21 97
E-Mail: rms@dsbok.de
3. Zweck der Datenverarbeitung
Die Verarbeitung der Daten erfolgt zum Zweck der Verwaltung, der Pflege und des Vertriebs elektronischer Fahrscheine (RMV-HandyTicket) über die App RMVgo via Smartphones.
Dies umfasst:
• die Erstellung und Bereitstellung eines Datensatzes für die Ausgabe der Fahrkarte in App RMVgo.
• die Ausstellung und Übersendung weiterer Vertragsinformationen.
• die Korrektur der bereits zuvor übermittelten personenbezogenen Daten wegen Änderung der Kontaktdaten oder vergleichbarer Gründe.
• die Bearbeitung von Kunden- und Interessentenanfragen über Kommunikationswege.
• die Abwicklung der Bezahlung der Fahrkarte.
• die Kontrolle der Fahrkarte (bei einer elektronischen Kontrolle der Fahrkarte über ein Kontrollgerät kann zukünftig ein Kontrolldatensatz zum eTicket-Hintergrundsystem des RMV angelegt werden).
• die Überprüfung, Analyse und Prävention von Betrug, Missbrauch, wie bspw. Manipulationen oder Duplikate.
• ggfs. die Verarbeitung zu postalischen Werbezwecken und Kundenbindungsmaßnahmen.
Nutzt der Kunde den "RMV-PrepaidRabatt", erfolgt die Verarbeitung der Daten darüber hinaus zur Führung eines Guthabenkontos und zur Verrechnung von rabattierten Fahrkartenabforderungen gegen das Guthaben.
Um das Risiko der Ausfälle von Einnahmen auf ein Minimum zu begrenzen, ist für die sichere Zahlung mit dem SEPA-Lastschriftverfahren vorab eine Online-Überprüfung des Kontos über die Tink AB erforderlich. Die Datenschutzbestimmungen der Tink AB finden Sie innerhalb der Tink-Anwendung.
Die bei Nutzung des RMV-HandyTickets anfallenden Nutzungsdaten können vom RMV unter Verwendung eines dem Kunden zugeordneten Pseudonyms auch für verkehrliche Zwecke (z. B. zur Bewertung der Nachfrageentwicklung auf bestimmten Verbindungen) ausgewertet werden. Die Zusammenführung der für die Vertragsdurchführung erforderlichen Echtnamen mit den im Rahmen der Nutzung für verkehrliche Zwecke verwendeten Pseudonymen findet nicht statt.
4. Rechtsgrundlagen für die Datenverarbeitung
Nach Art. 6 Abs. 1 lit. b) DSGVO ist die Verarbeitung der Daten unter anderem dann rechtmäßig, wenn die Verarbeitung für die Erfüllung eines Vertrages erfolgt.
Beim Kauf von Fahrkarten ist dies der jeweilige Kaufvertrag.
Die Nutzung des Tink-Services bei gewünschter Zahlung mittels SEPA-Basis-Lastschriftverfahrens im Rahmen des „RMV-HandyTicket“ dient der Betrugsprävention zur Wahrung des berechtigten (wirtschaftlichen) Interesses der rms, was gem. Art. 6 Abs. 1 lit. f) DSGVO gerechtfertigt ist.
5. Empfänger oder Kategorien von Empfängern der personenbezogenen Daten, Drittlandtransfer
Für den fachlichen und technischen Betrieb des "RMV-HandyTickets"bedient sich die rms der
- Rhein-Main-Verkehrsverbund GmbH als Auftragsverarbeiter, die ihrerseits
- zu fachlichen und kommunikativen Zwecken ihre 100%ige Tochter, die Rhein-Main-Verkehrsverbund Servicegesellschaft (rms), Am Hauptbahnhof 6, 60329 Frankfurt am Main,
- zu technischen Belangen die Cubic Transportation Systems (Deutschland) GmbH,
Alter Fischmarkt 11, 20457 Hamburg - beratend das Zentrum für integrierte Verkehrssysteme GmbH (ZIV),
Robert-Bosch-Straße 7, 64293 Darmstadt - sowie zur Betrugsprävention und Betrugsanalyse die WIANCO OTT Robotic GmbH,
Wittichstraße 7, 64295 Darmstadt - sowie zur Online-Überprüfung der Bankverbindung die Tink AB,
Vasagatan 11, 111 20 Stockholm, Schweden
als weitere Auftragsverarbeiter einsetzt. Bei Vertragsanbahnung kann es zu Einschaltung einer Auskunftei kommen. Im Übrigen werden zur Zahlungsabwicklung die erforderlichen Zahlungsdienstleister und bei Zahlungsausfall gegebenenfalls auch Inkassounternehmen eingeschaltet.
Darüber hinaus ist für den Fahrkartenkauf mittels RMV-HandyTicket der Download der App RMVgo erforderlich. Die App RMVgo wird vom RMV bereitgestellt. Beim Download der App RMVgo werden bestimmte erforderliche Informationen an den von Ihnen ausgewählten App Store (z.B. Google Play oder Apple App Store) übermittelt. Die Verarbeitung dieser Daten erfolgt ausschließlich durch den jeweiligen App Store und liegt außerhalb unseres Einflussbereiches.
Weitere Informationen zur Datenverarbeitung beim Download der App RMVgo erhalten Sie unter: https://www.rmv.de/c/de/rechtliche-hinweise/datenschutzerklaerung/datenschutz-in-der-rmv-app.
6. Dauer der Datenspeicherung
Die personenbezogenen Daten werden routinemäßig gelöscht, wenn sie nicht mehr zur Vertragserfüllung notwendig sind (Art. 17 Abs. 1 lit a) DSGVO) und auch nicht mehr gesetzlichen (insb. steuerrechtlichen) Aufbewahrungsfristen unterliegen (Art. 17 Abs. 1 lit. e) DSGVO).
Die im Zusammenhang mit dem „RMV-HandyTicket“ entstehenden personenbezogenen Nutzungsdaten (Strecken, Uhrzeiten, Häufigkeit der Nutzung der App RMVgo) werden 6 Monate nach erfolgreichem Abschluss aus dem Hintergrundsystem gelöscht; können aber nach vorheriger Pseudonymisierung vom RMV weiterhin für verkehrliche Zwecke (z. B. Bewertung der Nachfrageentwicklung auf bestimmten Verbindungen) und die tariflichen Zwecke ausgewertet werden.
Die gerätespezifischen Nutzungsdaten des Smartphones zur Plausibilisierung und zur Betrugsprävention, die sogenannten Nutzungsmetadaten (Geräte-ID, Empfangszeitpunkt in der App und Betriebssystem des Gerätes), werden ebenfalls nach 6 Monaten Inaktivität bzw. sofort auf Verlangen des Kunden gelöscht unter der Voraussetzung, dass alle Rechnungen bezahlt worden sind.
Der zur Missbrauchsüberprüfung an das Hintergrundsystem geschickte Kontrolldatensatz wird spätestens 31 Tage nach Erhebung aus dem Hintergrundsystem gelöscht. Daten, die für automatisierte Entscheidungen i.S.v. Art. 22 DSGVO verarbeitet werden, werden unmittelbar nach der Beendigung des automatisierten Prozesses gelöscht.
Nutzt der Kunde den „RMV-PrepaidRabatt“, werden die für den jährlichen Guthabenauszug erforderlichen Daten (im Kalenderjahr erfolgte Ein- und Auszahlungen auf das Guthabenkonto sowie Käufe mittels Guthaben – Fahrkartenart und Preis) nach Ablauf der regelmäßigen Verjährungsfrist von 3 Jahren (§ 195 BGB) aus dem Hintergrundsystem gelöscht.
Soweit nach 12-monatiger Nichtnutzung des „RMV-PrepaidRabatts“ eine Deaktivierung erfolgt und der Betroffene noch über ein Guthaben verfügt, werden die insoweit erforderlichen Daten zum Zwecke einer möglichen Auszahlung oder einer Reaktivierung des Dienstes erst 6 Monate nach Ablauf der regelmäßigen Verjährungsfrist von 3 Jahren (§ 195 BGB) aus dem Hintergrundsystem gelöscht.
Die Verifizierung der IBAN- und BIC-Kennung erfolgt einmalig und gilt bei Nutzung dieser für alle folgenden Fahrkartenkäufe.
7. Automatisierte Entscheidungsfindung (Profiling)
Die rms verarbeitet die Daten des Kunden teilweise automatisiert mit dem Ziel, bestimmte geschäftliche Aspekte zu bewerten (Profiling). Die rms setzt Profiling beispielsweise in folgenden Fällen ein:
Die Entscheidung über die Zulassung des SEPA-Basis-Lastschriftverfahrens im Zusammenhang mit dem „RMV-HandyTicket“ richtet sich nach der Verifizierung der IBAN- und BIC-Kennung über den Dienstleister Tink AB.
Zum Zwecke der Betrugsprävention werden im Rahmen der Anlage eines Kundenkontos sowie dem Kauf von RMV-HandyTickets automatisierte Entscheidungen i.S.v. Art. 22 DSGVO getroffen, die zu einer Sperrung des Kundenkontos und der Stornierung von Ticketkäufen führen können. Diese automatisierten Entscheidungen sind für die Anlage des Kundenkontos und die Erfüllung von Ticketkaufverträgen erforderlich.
8. Erforderlichkeit der Bereitstellung der personenbezogenen Daten
Die Bereitstellung der personenbezogenen Daten ist für den Vertragsabschluss zur Nutzung des RMV-HandyTickets sowie der App RMVgo erforderlich, da sie zwingend für die Be- und Abrechnung Ihrer getätigten Fahrten benötigt werden. Eine Nichtbereitstellung hätte daher zur Folge, dass Sie an den genannten Verfahren nicht teilnehmen können.
9. Rechte der betroffenen Personen
Als betroffene Person stehen Ihnen nach der DSGVO verschiedene Rechte zu, die sich insbesondere aus Art. 15 bis 18 und 21 DSGVO ergeben:
- Widerspruchsrecht: Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e) oder f) DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Werden die Sie betreffenden personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.
- Widerrufsrecht bei Einwilligungen:Viele Datenverarbeitungsvorgänge sind nur mit Ihrer ausdrücklichen Einwilligung möglich. Sie können eine bereits erteilte Einwilligung jederzeit widerrufen. Dazu reicht eine formlose Mitteilung per E-Mail an uns. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt.
- Auskunftsrecht: Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob betreffende Daten verarbeitet werden und auf Auskunft über diese Daten sowie auf weitere Informationen und Kopie der Daten entsprechend den gesetzlichen Vorgaben.
- Recht auf Berichtigung: Sie haben entsprechend den gesetzlichen Vorgaben das Recht, die Vervollständigung der Sie betreffenden Daten oder die Berichtigung der Sie betreffenden unrichtigen Daten zu verlangen.
- Recht auf Löschung und Einschränkung der Verarbeitung: Sie haben nach Maßgabe der gesetzlichen Vorgaben das Recht, zu verlangen, dass Sie betreffende Daten unverzüglich gelöscht werden, bzw. alternativ nach Maßgabe der gesetzlichen Vorgaben eine Einschränkung der Verarbeitung der Daten zu verlangen.
- Recht auf Datenübertragbarkeit: Sie haben das Recht, Daten, die wir auf Grundlage Ihrer Einwilligung oder in Erfüllung eines Vertrags automatisiert verarbeiten, an sich oder an einen Dritten in einem gängigen, maschinenlesbaren Format aushändigen zu lassen. Sofern Sie die direkte Übertragung der Daten an einen anderen Verantwortlichen verlangen, erfolgt dies nur, soweit es technisch machbar ist.
- Recht auf Einschränkung der Verarbeitung: Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen. Hierzu können Sie sich jederzeit unter der im Impressum angegebenen Adresse an uns wenden. Das Recht auf Einschränkung der Verarbeitung besteht in folgenden Fällen:
- Wenn Sie die Richtigkeit Ihrer bei uns gespeicherten personenbezogenen Daten bestreiten, benötigen wir in der Regel Zeit, um dies zu überprüfen. Für die Dauer der Prüfung haben Sie das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.
- Wenn die Verarbeitung Ihrer personenbezogenen Daten unrechtmäßig geschah/geschieht, können Sie statt der Löschung die Einschränkung der Datenverarbeitung verlangen.
- Wenn wir Ihre personenbezogenen Daten nicht mehr benötigen, Sie sie jedoch zur Ausübung, Verteidigung oder Geltendmachung von Rechtsansprüchen benötigen, haben Sie das Recht, statt der Löschung die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.
- Wenn Sie einen Widerspruch nach Art. 21 Abs. 1 DSGVO eingelegt haben, muss eine Abwägung zwischen Ihren und unseren Interessen vorgenommen werden. Solange noch nicht feststeht, wessen Interessen überwiegen, haben Sie das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.
Wenn Sie die Verarbeitung Ihrer personenbezogenen Daten eingeschränkt haben, dürfen diese Daten – von ihrer Speicherung abgesehen – nur mit Ihrer Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Europäischen Union oder eines Mitgliedstaats verarbeitet werden.
- Recht auf Beschwerde bei zuständiger Aufsichtsbehörde: Im Falle von Verstößen gegen die DSGVO steht den Betroffenen ein Beschwerderecht bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthalts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes zu. Das Beschwerderecht besteht unbeschadet anderweitiger verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe. Die für uns zuständige Behörde ist der Hessische Beauftragte für Datenschutz und Informationsfreiheit, Gustav-Stresemann-Ring 1, 65189 Wiesbaden.
Stand: 26.06.2024
RMV-HandyTicket
Informationen nach Art. 13 der Datenschutzgrundverordnung zum RMV-HandyTicket.