Datenschutzerklärung HGSnextGen
Kreisverkehrsgesellschaft Main-Kinzig mbH, Nürnberger Straße 41, 63450 Hanau,
Tel.: (0 61 81) 91 92-0, Fax: (0 61 81) 91 92-151, E-Mail: abo@kvgmk.de
(Bitte nutzen Sie für Kundenanliegen das RMV-Serviceportal: https://www.rmv.de/c/de/service/kontakt/service-fuer-anfragen-und-kritik),
Kontaktdaten Datenschutzbeauftragter: Monika Weitz, (Unternehmensbaum), E-Mail: datenschutz@kvgmk.de
Kreisverkehrsgesellschaft Main-Kinzig mbH ist gemeinsam mit den weiteren gemeinsam Verantwortlichen nach Art. 26 DSGVO für die Verarbeitung personenbezogener Daten verantwortlich.
Im RMV-Gebiet wird von den Verkehrsunternehmen und der Rhein-Main-Verkehrsverbund GmbH (RMV) ein System zum gemeinsamen Verkauf von Tickets genutzt, das sogenannte „HGSnextGen“, das vom RMV bereitgestellt wird. Gemeinsam bestimmen der RMV und die Verkehrsunternehmen über die Mittel und Zwecke der Verarbeitung personenbezogener Daten im HGSnextGen; sie sind datenschutzrechtlich gemeinsam verantwortlich und haben darüber einen Vertrag zur gemeinsamen Verantwortlichkeit abgeschlossen, der die Verarbeitung personenbezogener Daten im HGSnextGenregelt.
Ihre Rechte auf Auskunft, Widerspruch/Widerruf und Löschung Ihrer personenbezogenen Daten im HGSnextGen können Sie gegenüber allen Parteien des Vertrages geltend machen. Die Kontaktdaten finden Sie unten unter „Verantwortliche Stellen“ aufgeführt.
Zur Einhaltung gesetzlicher Pflichten (z.B. Buchhaltung) dürfen die Vertragsparteien Daten in ihre Systeme exportieren; in diesen Fällen gelten die Datenschutzerklärungen der datenexportierenden Stellen.
Für die Verarbeitung Ihrer Daten im Rahmen des HGSnextGen gilt folgendes:
Personenbezogene Daten von Benutzern des HGSnextGen werden zum Zweck der Ausgabe und Verwaltung von RMV-Tickets, zur Fahrkartenkontrolle sowie zu Abrechnungszwecken verarbeitet.
Rechtsgrundlage der Datenverarbeitung im HGSnextGen ist Art. 6 Abs. 1 lit b) DSGVO (Vertrag), Art. 6 Abs. 1 lit c) DSGVO (gesetzliche Verpflichtung), Art. 6 Abs. 1 lit e) DSGVO (Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt) sowie Art. 6 Abs. 1 lit f) DSGVO (Wahrung der berechtigten Interessen der verbundweiten Abwicklung und kosteneffizienten Bereitstellung des öffentlichen Personennahverkehrs). Besondere Kategorien personenbezogener Daten werden nicht verarbeitet.
Im Rahmen der Verarbeitung personenbezogener Daten findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt. Ebenso wird kein Profiling durchgeführt.
Im RMV-Ticket-Portal werden folgende personenbezogene Daten verarbeitet:
Vorname, Nachname, Adresse (Straße und Hausnummer, Adresszusatz, Postleitzahl, Wohnort, Land), Geburtsdatum, E-Mail-Adresse, Kundennummer, Angaben zur räumlichen Gültigkeit, Angaben zur zeitlichen Gültigkeit, Ticket- und Chipkartennummer, Barcode.
Nutzen Sie ein Deutschland-Ticket als Jobticket werden darüber hinaus Ihr Arbeitgeber, Ihre Personalnummer sowie die Abteilung, in der Sie tätig sind, verarbeitet.
- rms GmbH, Deutschland
- VDV eTicket Service GmbH & Co. KG, Deutschland
- Cubic Transportation Systems (Deutschland) GmbH, Deutschland
- Systemtechnik GmbH, Deutschland
- Optimizely GmbH, Deutschland
- IDENTA Ausweissysteme GmbH, Deutschland
- DataDog Inc., USA
- Scaleway SAS, Frankreich
- Cloudflare Inc., USA
- Atlassian. Pty Ltd, Australien
Nutzen Sie Ihr Wallet, dann sind
- Google LLC, Irland und/oder
- Apple Inc., USA
Empfänger von Daten.
Nutzen Sie das Deutschland-Ticket als Jobticket, dann ist Ihr Arbeitgeber ebenfalls ein Empfänger.
Empfänger | Daten | Land | Datenschutzniveau gewährleistet durch |
Optimizely GmbH | Vorname, Nachname, E-Mail, Geburtsdatum, Kundennummer, Vertragsnummer, TicketID | USA | Auftragsverarbeitungs-vertrag mit Standardvertragsklauseln |
DataDog Inc. | Pseudonymisierte Datenerfassung über UUID (siehe Tabelle „Kategorien personenbezogener Daten“) | USA | Auftragsverarbeitungs-vertrag / Data Processing Agreement, mit Standardvertragsklauseln |
Cloudflare Inc. | Routing des Webtraffics und Überwachung via DNS | USA | Auftragsverarbeitungs-vertrag mit Standardvertragsklauseln / Zertifizierung nach EU-US Data Privacyframework |
Atlassian. Pty Ltd. | Ticketsystem für Bearbeitung von Service- und Support, Entwicklungskoordination | Austra-lien, USA | Auftragsverarbeitungs-vertrag mit Standardvertragsklauseln |
Für Ihre Daten im HGSnextGen besteht ein abgestuftes Löschkonzept, nach dem unterschiedliche Datensätze nach verschiedenen Fristen gelöscht werden. Ihre personenbezogenen Daten werden im HGSnextGen spätestens 10 Jahre nach Erledigung der letzten Rechnung gelöscht.
Sie sind weder gesetzlich noch vertraglich zur Bereitstellung Ihrer personenbezogenen Daten verpflichtet. Allerdings kann ohne die vorgenannten personenbezogenen Daten kein Account im HGSnextGen zur Beantragung und Nutzung von RMV-Tickets angelegt werden.
Sie haben ein Recht auf Auskunft über die verarbeiteten personenbezogenen Daten nach Art. 15 DSGVO. Ebenso können Sie die Berichtigung falscher personenbezogener Daten, die Löschung oder die Einschränkung der Verarbeitung personenbezogener Daten verlangen. Weiterhin können Sie der Verarbeitung Ihrer personenbezogenen Daten zur Wahrung berechtigter Interessen gemäß Art. 6 Abs. 1 lit f) DSGVO jederzeit widersprechen und – soweit vorliegend - eine einmal erteilte Einwilligung in die Verarbeitung personenbezogener Daten jederzeit ganz oder teilweise mit Wirkung für die Zukunft widerrufen. Auch steht Ihnen das Recht zu, die von Ihnen bereitgestellten personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und einem Dritten zur Verfügung zu stellen. Vorstehende Rechte gelten jeweils im in der DSGVO vorgesehenem Umfang bzw. unter den dort vorgesehenen Voraussetzungen.
Soweit personenbezogene Daten betroffen sind, die im HGSnextGen verarbeitet werden, können Sie vorstehende Rechte gegen jede gemeinsam verantwortliche Stelle, insbesondere also auch gegen den RMV geltend machen. Soweit die personenbezogenen Daten der alleinigen Verantwortlichkeit einer verantwortlichen Stelle unterliegen, müssen Sie Ihre vorstehenden Rechte unmittelbar gegen die jeweilige verantwortliche Stelle geltend machen.
Selbstverständlich steht Ihnen auch ein Recht auf Beschwerde zur zuständigen Aufsichtsbehörde zu. Die für die gemeinsam verantwortlichen Stellen zuständige Aufsichtsbehörde ist Der Hessische Beauftragte für Datenschutz und Informationsfreiheit, vertreten durch Prof. Dr. Alexander Roßnagel, Gustav-Stresemann-Ring 1, 65189 Wiesbaden, Telefon: 0611-1408 0, E-Mail: poststelle@datenschutz.hessen.de.
Das Beschwerdeformular finden Sie hier: https://datenschutz.hessen.de/service/beschwerde-uebermitteln.
WERDEN IHRE PERSONENBEZOGENEN DATEN VERARBEITET, UM DIREKTWERBUNG ZU BETREIBEN, HABEN SIE DAS RECHT, JEDERZEIT WIDERSPRUCH GEGEN DIE VERARBEITUNG SIE BETREFFENDER PERSONENBEZOGENER DATEN ZUM ZWECKE DERARTIGER WERBUNG EINZULEGEN; DIES GILT AUCH FÜR DAS PROFILING, SOWEIT ES MIT SOLCHER DIREKTWERBUNG IN VERBINDUNG STEHT. WENN SIE WIDERSPRECHEN, WERDEN IHRE PERSONENBEZOGENEN DATEN ANSCHLIESSEND NICHT MEHR ZUM ZWECKE DER DIREKTWERBUNG VERWENDET (WIDERSPRUCH NACH ART. 21 ABS. 2 DSGVO).