Datenschutzerklärung der Verkehrsgesellschaft Lahn-Dill-Weil mbH auf der Grundlage der Datenschutz-Grundverordnung vom 27.04.2016 (DS-GVO)

Pflichtinformationen gemäß Art. 13 EU-DSGVO

Name und Kontaktdaten der verantwortlichen Stelle sowie des betrieblichen Datenschutzbeauftragten

Verkehrsgesellschaft Lahn-Dill-Weil mbH (VLDW)

Karl-Kellner-Ring 49
35576 Wetzlar

vertreten durch die Geschäftsführer Kira Lampe / Dirk Plate

Telefon: 06441-407-1877
E-Mail:info@vldw.de
Website: www.vldw.de; www.rufbus-vldw.de

 

Der Datenschutzbeauftragte der Verkehrsgesellschaft Lahn-Dill-Weil mbH

ist unter der oben genannten Anschrift, Datenschutzbeauftragter, oder per E-Mail unter: datenschutz@lahn-dill-kreis.de erreichbar.

 

I. Datenverarbeitung eTicket RheinMain

  1. Gemeinsame Verantwortung

Im Rahmen des eTicket RheinMain betreibt die Verkehrsgesellschaft Lahn-Dill-Weil mbH

in gemeinsamer Verantwortung mit allen teilnehmenden Verkehrsunternehmen und von Verkehrsunternehmen eingesetzten Vertriebsdienstleistern (nachstehend alle gemeinsam „Kundenvertragspartner“ genannt) sowie dem Rhein-Main-Verkehrsverbund GmbH (RMV) eine Datenbank, das „verbundweite Hintergrundsystem“ (vHGS), zur Verwaltung und Abwicklung des eTicket RheinMain.

 

Die jeweiligen Kundenvertragspartner erheben und verarbeiten im Rahmen Ihres verantworteten Wirkungsbereichs eigenverantwortlich Kundendaten. Der RMV ist für den technischen und fachlichen Betrieb des vHGS verantwortlich und ist berechtigt, sich weiterer Unternehmen (Auftragsverarbeiter) zu bedienen, die ihn beim fachlichen und technischen Betrieb der Datenbank unterstützen, beispielsweise auch für die Erstellung und den Versand der eTickets und Papierfahrkarten.

Die gemeinsame Verantwortung bei der Datenverarbeitung, insbesondere die Zuständigkeiten und Verantwortlichkeiten der Beteiligten, ist gemäß Art. 26 DSGVO (Joint Controllership) schriftlich vereinbart.  Die wesentlichen Inhalte dieser Vereinbarung und eine aktuelle Liste der am vHGS beteiligten Kundenvertragspartner wird unter www.rmv.de/vhgs-joint-controllership zur Verfügung gestellt.

  1. Zweck der Datenverarbeitung

Die Verarbeitung der Daten erfolgt zum Zweck der Verwaltung, der Pflege und des Vertriebs elektronischer Fahrscheine auf Chipkarten (eTicket RheinMain) sowie von Papierfahrkarten über das verbundweite Hintergrundsystem (vHGS).

Dies umfasst:

  • die Erstellung und Bereitstellung eines Datensatzes für die Ausgabe der Fahrkarte oder für die Ausgabe eines Berechtigungsnachweises auf einer Chipkarte über ein Schreib-/Lesegerät (Akzeptanzterminal)
  • die Erstellung und Bereitstellung eines Datensatzes für den Druck der Fahrkarte in Papierform
  • die Ausstellung und Übersendung der Fahrkarte und weiterer Vertragsinformationen
  • die Korrektur der bereits zuvor übermittelten personenbezogenen Daten wegen Änderung der Kontaktdaten oder vergleichbarer Gründe
  • die Bearbeitung von Kunden- und Interessentenanfragen
  • die Abwicklung der Bezahlung der Fahrkarte
  • die Kontrolle der Fahrkarte
  • die Überprüfung von Missbrauch, wie bspw. Manipulationen, Duplikate oder Doppelanmeldungen mit einer Chipkarte
  • zusätzliche Kundenservices im Rahmen der Registrierung des Endkunden im RMV-Kundenportal meinRMV, bspw. durch Anmeldung und Nutzung von meinRMV-Diensten, u. a. „RMV-TicketShop und Chipkarte eTicket RheinMain verwalten“
    • Nach Registrierung der Chipkarte in meinRMV wird der Datenzugriff von meinRMV auf das vHGS ermöglicht. Registrierte meinRMV-Kunden können in der Folge ihre auf der Chipkarte gespeicherten Fahrtberechtigungen sowie dazugehörige Rechnungen in meinRMV einsehen.
  • soweit datenschutzrechtlich zulässig, die Bewerbung von Produkten und Marketingaktionen, u. a. Bonusprogramm RMV-Smiles sowie Customer Relationship Management (CRM)- und E-Mail-Marketing

Auf der Chipkarte werden darüber hinaus die letzten 10 Transaktionen gespeichert. Unter einer Transaktion wird der Vorgang des Datenaustauschs zwischen Chipkarte, Akzeptanzterminal und Hintergrundsystem verstanden, der beispielsweise während der Kontrolle der Fahrkarte entsteht. Dabei handelt es sich um die Zeit, den Ort und die Art der Transaktion sowie die Terminalnummer und die Ticket-/Produktnummer.

Die aktuell auf der Chipkarte gespeicherten Transaktionen sind ausschließlich dort gespeichert und können bei den RMV-Mobilitätszentralen eingesehen und auf Wunsch gelöscht werden. Zusätzlich sendet bei einer Kontrolle der Fahrkarte das Kontrollgerät einen Kontrolldatensatz zum eTicket-Hintergrundsystem des RMV. Damit erfolgt eine Missbrauchsüberprüfung.

  1. Rechtsgrundlagen für die Datenverarbeitung

Die Datenverarbeitung ist für die Erfüllung eines Abonnementvertrages mit dem Besteller sowie, falls abweichend, mit dem Kontoinhaber und die spätere Nutzung der Fahrkarte durch den Besteller bzw. Nutzer zum Nachweis einer gültigen Fahrtberechtigung bei Nutzung der Verbundverkehrsmittel erforderlich.

Die Rechtsgrundlage hierfür ist die Vertragserfüllung gemäß Artikel 6 Abs. 1 lit. b) DSGVO.

  1. Empfänger oder Kategorien von Empfängern der personenbezogenen Daten

Folgende Empfänger sind an der betrieblichen Abwicklung beteiligt:

  • Rhein-Main-Verkehrsverbund GmbH – Technischer Betreiber des vHGS als wesentlicher Bestandteil des Teil des eTicket RheinMain. Betreiber des Kundenportals meinRMV (Nach freiwilliger Registrierung des eTicket RheinMain auf rmv.de über meinRMV können Kunden ihre Daten direkt online verwalten.)
  • Rhein-Main-Verkehrsverbund Servicegesellschaft (rms GmbH) – Vom Auftragsverarbeiter des RMV für den fachlichen und technischen Betrieb des vHGS
  • Cubic Transportation Systems (Deutschland) GmbH – Auftragsverarbeiter der rms GmbH für das Hosting und den technischen Betrieb des vHGS
  • IDENTA Ausweissysteme GmbH – Vom RMV eingeschalteter Auftragsverarbeiter für sog. „Massenpersonalisierung“ (d. h. Erstellung und Versand von Chipkarten und Papiertickets)
  • Am vHGS beteiligte Kundenvertragspartner, die über das vHGS Fahrkarten vertreiben und untereinander den jeweiligen Kunden gegenüber bestimmte Serviceleistungen erbringen (z. B. Änderungen der Adresse oder der räumlichen Gültigkeit). Eine aktuelle Liste jener Kundenvertragspartner kann bei Bedarf unter www.rmv.de/vhgs-joint-controllership eingesehen werden
  • Wirtschaftsauskunfteien, die vom Kundenvertragspartner zur Prüfung der Bonität des Kunden eingeschaltet werden können
  • Inkassounternehmen, die bei Zahlungsausfall des Kunden eingeschaltet werden können.

Mit allen Auftragsverarbeitern wurden gemäß Art. 28 DSGVO Auftragsverarbeitungsverträge abgeschossen. Eine Datenübermittlung in Drittstaaten gemäß Artikel 45 – 49 DSGVO findet nicht statt.

  1. Dauer der Datenspeicherung

Die personenbezogenen Daten werden routinemäßig gelöscht, wenn sie nicht mehr zur Vertragserfüllung notwendig sind [Art. 17 Abs. 1 lit. a) DSGVO] und auch nicht mehr den gesetzlichen (insb. steuerrechtlichen) Aufbewahrungsfristen unterfallen [Art. 17 Abs. 1 lit. e) DSGVO].

Die im Zusammenhang mit dem eTicket RheinMain entstehenden Nutzungsdaten werden sechs Monate nach erfolgreichem Zahlungseingang der Transaktionen im vHGS gelöscht, können aber nach vorheriger Pseudonymisierung vom RMV für verkehrliche Zwecke (z. B. zur Bewertung der Nachfrageentwicklung auf bestimmten Verbindungen) ausgewertet werden. Zur Missbrauchsüberprüfung an das Hintergrundsystem übermittelte Kontrolldatensätze werden spätestens 14 Tage nach Erhebung aus dem Hintergrundsystem gelöscht.

Auswertungen und Missbrauchsprüfungen erfolgen gemäß berechtigtem Interesse nach Art. 6 lit. f DSGVO.

 

 

II. Datenverarbeitung „RufBus“

  1. Zweck der Verarbeitung

Die VLDW betreibt im Gebiet des Lahn-Dill-Kreises und des Landkreises Limburg-Weilburg das Angebot „RufBus“. Hierfür verarbeiten wir personenbezogene Daten unserer Nutzer nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Die Erhebung und Verwendung personenbezogener Daten unserer Nutzer erfolgt regelmäßig nur nach Einwilligung des Nutzers. Eine Ausnahme gilt in solchen Fällen, in denen eine vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich ist und die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist.

 

  1. Rechtsgrundlage  

Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person einholen, dient Art. 6 Abs. 1 lit. a EU-Datenschutzgrundverordnung (DSGVO) als Rechtsgrundlage. Bei der Verarbeitung von personenbezogenen Daten, die zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, erforderlich ist, dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind.
Ist die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines Dritten erforderlich und überwiegen die Interessen, Grundrechte und Grundfreiheiten des Betroffenen das erstgenannte Interesse nicht, so dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage für die Verarbeitung.

 

3. Datenlöschung und Speicherdauer

Die personenbezogenen Daten der betroffenen Person werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Dies erfolgt automatisiert nach 6 Monate (Rufbus LDK) bzw. 3 Monate (Rufbus LLW) Inaktivität des Zuganges. Eine Speicherung kann darüber hinaus erfolgen, wenn dies durch den europäischen oder nationalen Gesetzgeber in unionsrechtlichen Verordnungen, Gesetzen oder sonstigen Vorschriften, denen der Verantwortliche unterliegt, vorgesehen wurde. Eine Sperrung oder Löschung der Daten erfolgt auch dann, wenn eine durch die genannten Normen vorgeschriebene Speicherfrist abläuft, es sei denn, dass eine Erforderlichkeit zur weiteren Speicherung der Daten für einen Vertragsabschluss oder eine Vertragserfüllung besteht.

 

4.   Beschreibung und Umfang der Datenverarbeitung

Auf unserer Internetseite unter www.rufbus-vldw.de  bzw. unter den Buchungsportalen der Rufbusse für den Lahn-Dill-Kreis und den Landkreis Limburg-Weilburg bieten wir Nutzern die Möglichkeit, sich unter Angabe personenbezogener Daten zu registrieren. Die Daten werden dabei in eine Eingabemaske eingegeben und an uns übermittelt und gespeichert. Eine Weitergabe der Daten an Dritte findet nicht statt. Im Rahmen des Registrierungsprozesses wird eine Einwilligung des Nutzers zur Verarbeitung dieser Daten eingeholt.


Folgende Daten werden im Rahmen des Registrierungsprozesses erhoben:
Vorname Name, PLZ/Ort, Straße/Hausnummer, E-Mail/Telefon-
Die Datenverarbeitung erfolgt im Rahmen unseres Auftragsdatenverarbeitungsvertrags gemäß Art. 28 DS-GVO für  das Online-Anmeldeverfahren durch die Firmen:

- Verkehrsautomatisierung Berlin GmbH;  -Zobel-Straße 9;  12435 Berlin;  Tel.: 030 5362 2500;  Fax: 030 5362 2555;  E-Mail: office@vaberlin.de

- ESM GmbH; Tiefelstraße 8; 30453 Hannover; Tel.: 0511/757812; E-Mail: fe@ansat.de; Web: www.ansat.de

5. Widerspruchs- und Beseitigungsmöglichkeit

Als Betroffene/r Nutzer haben sie jederzeit die Möglichkeit, der Verarbeitung ihrer personenbezogenen Daten zu widersprechen und die Daten löschen zu lassen. Die über Sie gespeicherten Daten können Sie jederzeit berichtigen lassen.

Bitte senden Sie uns dazu einen handschriftlich unterschriebenen Löschungs- oder Änderungsauftrag an die oben genannte Adresse der Verkehrsgesellschaft Lahn-Dill-Weil mbH.
 

 

III. Gemeinsame Angaben

  1. Weitere Betroffenenrechte

Neben dem Auskunftsrecht nach Artikel 15 DSGVO hat der Betroffene ein Recht auf Berichtigung nach Art. 16 DSGVO, das Recht auf Löschung nach Art. 17 DSGVO, das Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO sowie das Recht, die personenbezogenen Daten in einem maschinenlesbaren Format zu erhalten und nach Maßgabe des Art. 20 DSGVO an eine andere verantwortliche Stelle zu übermitteln.

Darüber hinaus besteht die Möglichkeit, sich an die zuständige Aufsichtsbehörde, den Hessischen Datenschutzbeauftragten, Gustav-Stresemann-Ring 1, 65189 Wiesbaden, zu wenden.

  1. Erforderlichkeit der Datenbereitstellung

Die Bereitstellung der Daten ist für Abschluss und Abwicklung von personalisierten Fahrkarten sowie die Nutzung des eTickets, von papierbasierten Fahrkarten oder des RufBusses erforderlich. Ohne die Bereitstellung der Daten ist der Abschluss von Verträgen für  personalisierte Fahrkarten nicht möglich.

Alternativ besteht bei Barzahlung im Voraus die Möglichkeit des Erwerbs einer nicht personalisierten, übertragbaren und anonym nutzbaren Fahrkarte.

  1. Profiling

Automatische Entscheidungsfindung inklusive Profiling gemäß Artikel 22 DSGVO findet nicht statt.

 

Cookielose Nutzungsanalyse über Matomo

Diese Website benutzt den Open Source Webanalysedienst Matomo. Der RMV hat Matomo so konfiguriert, dass Matomo keine Cookies in Ihrem Browser speichert.

Mit Hilfe von Matomo sind wir in der Lage anonymisierte Daten über die Nutzung unserer Website durch die Websitebesucher zu erfassen und zu analysieren. Hierdurch können wir unter anderem herausfinden, wann und welche Seitenaufrufe getätigt wurden und aus welcher Region sie stammen. Außerdem erfassen wir verschiedene Logdateien (z.B. Aufgerufene URL, verwendete Browser und Betriebssysteme) und können messen, ob unsere Websitebesucher bestimmte Aktionen durchführen (z.B. Klicks, Downloads und Ähnliches).

Matomo wird ausschließlich auf unseren eigenen Servern gehostet, sodass alle Analysedaten bei uns verbleiben und nicht weitergegeben werden.

Sofern eine entsprechende Einwilligung abgefragt wurde, erfolgt die Verarbeitung ausschließlich auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TTDSG, soweit die Einwilligung die Speicherung von Cookies oder den Zugriff auf Informationen im Endgerät des Nutzers (z. B. Device-Fingerprinting) im Sinne des TTDSG umfasst. Die Einwilligung ist jederzeit widerrufbar.

Die Nutzung dieses Analyse-Tools erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Der RMV hat ein berechtigtes Interesse an der Analyse des Nutzerverhaltens, um die Microsite für Ihr Nutzererlebnis stetig zu optimieren.

·        Verarbeitete Datenarten: Nutzungsdaten (z.B. Einstiegsseiten, Interesse an Inhalten, Zugriffszeiten), Meta-/Kommunikationsdaten (z.B. Geräte-Informationen, anonymisierte IP-Adressen).

·        Betroffene Personen: Nutzer (z.B. Webseitenbesucher, Nutzer von Onlinediensten).

·        Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 lit. f. DSGVO).