Datenschutzhinweise App NRWay

Wir möchten Sie nachfolgend über die Verarbeitung Ihrer personenbezogenen Daten im Sinne des Art. 4 Nr. 1 DSGVO im Zusammenhang mit der Nutzung unserer App sowie unserer Website zum Kauf von Tickets informieren und Sie über Ihre Rechte nach der Datenschutz-Grundverordnung (nachfolgend: „DSGVO“) und dem Bundesdatenschutzgesetz (nachfolgend: „BDSG“) aufklären. Die verwendeten Begriffe sind nicht geschlechtsspezifisch.

Verantwortlicher für die Verarbeitung Ihrer Daten ist das Verkehrsunternehmen, bei dem Sie Ihre Tickets kaufen. Weitere Angaben zu unserem Unternehmen sowie Kontaktdetails können Sie dem Impressum auf unserer Website entnehmen. Unseren Datenschutzbeauftragten erreichen Sie unter: datenschutz.regio@deutschebahn.com, Deutsche Bahn AG, Christl Newiger, Potsdamer Platz 2, 10785 Berlin

Wir verarbeiten Ihre personenbezogenen Daten im Einklang mit den Bestimmungen der DSGVO und dem BDSG. Welche Daten im Einzelnen verarbeitet und in welcher Weise genutzt werden, richtet sich maßgeblich nach den jeweiligen Leistungen, die Sie in Anspruch nehmen. Im Nachfolgenden finden Sie eine Übersicht der einzelnen Zwecke sowie der Rechtsgrundlagen, auf der die jeweilige Verarbeitung beruht:

Um Ihre Bestellung von Tickets aufzunehmen und abzuwickeln, erheben wir im Rahmen des Bestellvorgangs die folgenden Daten von Ihnen: Vor- und Nachname, Rechnungsadresse, E-Mail-Adresse, Geburtsdatum, Geschlecht, Login-Daten (Name und Password), Sicherheitsfrage inklusive der Antwort, Finanzinformationen (verkürzte IBAN/CC Nummer, Finanzdienstleister und Kunden ID, Zahlungsart), Ihre Kunden-ID, Bestellungs-ID, Bestelldatum und Bestellstatus, Angaben zum Verkehrsbund, Angaben über Gesamtpreis der gekauften Tickets sowie Informationen zum Ticket (Ticket ID, Gültigkeit, Geltungsbereich, Zone, Starthaltestelle, Tickettyp, verfügbare/verbrauchte Einheiten, Preisstufe, Barcode, Kategorie (Klasse), Tarfi, Produktnummer, EAV Code, Erstattung).

Die Verarbeitung Ihrer personenbezogenen Daten im Rahmen des Bestellvorgangs erfolgt zur Erfüllung des Vertrags mit Ihnen gemäß Art. 6 Abs. 1 lit. b DSGVO.

Um sicherzustellen, dass unsere Website und unsere App in möglichst effektiver Weise Ihnen gegenüber präsentiert werden und um die Stabilität und Sicherheit zu gewährleisten, erheben wir bei jedem Besuch die nachfolgenden Daten, die Ihr Endgerät automatisch an uns übermittelt: IP-Adresse, verwendetes Betriebssystem, Referrer URL, Uhrzeit der Serveranfrage. Die IP-Adresse wird nach spätestens einem Monat von allen Systemen, die im Zusammenhang mit dem Betrieb der App und Website verwendet werden, gelöscht.

Die Verarbeitung der vorstehenden personenbezogenen Daten basiert auf unserem berechtigten Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO

Um Ihre Kontaktaufnahme mit uns per E-Mail oder über ein Kontaktformular bearbeiten zu können, verarbeiten wir Ihre E-Mail-Adresse und, falls von Ihnen angegeben, Ihren Namen und Ihre Telefonnummer sowie etwaige sonstige Informationen, die Sie uns mitteilen.

Die Verarbeitung dieser personenbezogenen Daten basiert auf der Rechtsgrundlage des Art. 6 Abs. 1 lit. b DSGVO, sofern die Kommunikation im Zusammenhang mit der Durchführung Ihres Ticketkaufs erfolgt. Die Verarbeitung für andere Kommunikation erfolgt auf Basis unseres berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO.

Um unsere Leistungen über die App anzubieten, werden einige Ihrer personenbezogenen Daten auch lokal in der App gespeichert.

Je nachdem, welche Funktionalitäten der App Sie nutzen, werden folgende Daten lokal in der App verarbeitet: Historie der eingegebenen Punkte, Historie der eingegebenen Verbindungen, Historie der eingegebenen Linien, Einstellungen des Nutzers, bestimmte Zustände der App, bestimmte vom Fahrplanauskunftsserver abgerufene Inhalte (z.B. Karten-Kacheln) sowie die Fahrberechtigung. Die GPS-Position wird nicht gespeichert, sondern bei einer Fahrplanauskunft einmalig an den Fahrplanauskunftsserver geschickt, um daraus eine Adresse zur Berechnung einer Fahrplanauskunft zu ermöglichen.

Die Verarbeitung der lokal gespeicherten Daten basiert auf unserem berechtigten Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO Ihnen eine funktionsfähige und nutzerfreundliche App zur Verfügung zu stellen.

Die im lokalen App-Speicher der App gespeicherten Daten können von Ihnen gelöscht werden, indem Sie das Menü über den Button „Mehr“ öffnen und dort den Menüpunkt „Datenverwaltung“ aufrufen. Dort können Sie die gespeicherten Daten zu Kartendaten, Netzplänen und dem Verlauf löschen.

Die Verarbeitung Ihrer personenbezogenen Daten zu diesem Zweck beruht auf Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Sie können Ihre Einwilligung in den Datentransfer jederzeit widerrufen, indem Sie in den Datenschutz-Einstellungen in der App unter dem Reiter Einstellungen zur Nutzungsanalyse den Schieberegler „Daten zur Marketingwirksamkeit“ deaktivieren.

Neben den vorgenannten Verarbeitungszwecken verarbeiten wir Ihre personenbezogenen Daten zudem für die folgenden Zwecke:

  • Um unseren gesetzlichen Aufbewahrungspflichten oder datenschutzrechtlichen Verpflichtungen nachzukommen. Diese Verarbeitung basiert auf der Rechtsgrundlage des Art. 6 Abs. 1 lit. c DSGVO.
  • Um etwaige Rechtsansprüche auszuüben oder uns gegen Ansprüche zu verteidigen. Diese Verarbeitung basiert auf der Rechtsgrundlage des Art. 6 Abs. 1 lit. f DSGVO.
  • Um behördliche Anfragen zu beantworten und zu befolgen. Diese Verarbeitung basiert auf der Rechtsgrundlage des Art. 6 Abs. 1 lit. c DSGVO.

Bei Nutzung unserer App und unserer Website erfolgt eine automatische Übermittlung Ihrer Nutzungsdaten durch Ihren Browser. Ohne diese technischen Daten ist es nicht möglich unsere App oder unsere Website für Sie darzustellen.

In Bezug auf die jeweils angebotenen Leistungen, wie den Ticketverkauf oder eine Kontaktaufnahme mit uns müssen Sie diejenigen Daten bereitstellen, die dafür erforderlich sind oder zu deren Erhebung wir gesetzlich verpflichtet sind. Ohne diese Daten werden wir nicht in der Lage sein, die entsprechende Leistung anzubieten.

Wir werden Ihre Daten nur so lange aufbewahren, wie dies zur Erfüllung der vorstehend dargelegten Zwecke notwendig ist. Darüber hinaus unterliegen wir verschiedenen Aufbewahrungs- und Dokumentationspflichten, die sich unter anderem aus dem Handelsgesetzbuch (HGB) und der Abgabenordnung (AO) ergeben. Die dort vorgegebenen Fristen zur Aufbewahrung bzw. Dokumentation betragen bis zu zehn Jahre. Schließlich beurteilt sich die Speicherdauer auch nach den gesetzlichen Verjährungsfristen, die zum Beispiel nach den §§ 195 ff. des Bürgerlichen Gesetzbuches (BGB) bis zu dreißig Jahre betragen können, wobei die regelmäßige Verjährungsfrist drei Jahre beträgt.

Bei der Nutzung unserer App und unseres Ticketshops erfolgt keine automatische Entscheidungsfindung gemäß Art. 22 DSGVO.

Wir setzen bei der Erbringung unserer Dienstleistungen externe Dienstleister ein, die Ihre Daten in unserem Auftrag verarbeiten. Hierzu gehören Unternehmen in den nachfolgenden Kategorien. In Bezug auf die konkreten Empfänger verweisen wir auf die Angaben zu den Zwecken der Datenverarbeitung unter II.

  • Technische Dienstleister für den Betrieb und die Wartung unserer IT
  • Marketing Dienstleister für unsere Werbeaktivitäten
  • Verkehrsverbund Rhein Ruhr AöR im Zusammenhang mit dem Verkauf der Tickets
  • Darüber hinaus geben wir Ihre Daten auch an andere Dritte weiter, die Ihre Daten in eigener Verantwortung verarbeiten. Hierzu gehören Unternehmen in den nachfolgenden Kategorien. In Bezug auf die konkreten Empfänger verweisen wir auf die Angaben zu den Zwecken der Datenverarbeitung unter II.
  • Zahlungsdienstleister sofern dies im Rahmen der Bestellabwicklung erforderlich ist
  • Behörden oder andere staatliche Einrichtungen sofern wir hierzu rechtlich verpflichtet sind

Soweit dies für die vorgenannten Zwecke erforderlich ist, übermitteln wir Ihre Daten auch an Empfänger außerhalb des Europäischen Wirtschaftsraums (EWR). Wir stellen sicher, dass eine Übermittlung in Drittländer nur erfolgt, soweit hierfür eine Rechtsgrundlage besteht. Dies bedeutet, dass wir Ihre Daten nur übermitteln, soweit für den jeweiligen Drittstaat eine Entscheidung der EU-Kommission über ein angemessenes Datenschutzniveau vorliegt (Art. 45 DSGVO), geeignete Garantien zum Schutze Ihrer personenbezogenen Daten vorgesehen sind (vgl. Art. 46 DSGO) oder eine gesetzliche Erlaubnisnorm besteht (vgl. Art. 49 DSGVO).

Konkret betrifft dies die nachfolgenden Empfänger:

Sofern Sie in den Datentransfer gemäß Art. 49 Abs. 2 lit. a DSGVO eingewilligt haben, übermitteln wir Ihre unter II.6 aufgelisteten personenbezogenen Daten an unsere Dienstleister in die USA. Bitte beachten Sie, dass in den USA kein vergleichbares Datenschutzniveau wie in der EU/dem Europäischen Wirtschaftsraum besteht und daher nicht gänzlich ausgeschlossen werden, dass Ihre Daten möglicherweise ohne angemessene Rechtsbehelfsmöglichkeiten an staatliche Stellen offengelegt werden. Sie können Ihre Einwilligung in den Datentransfer jederzeit widerrufen indem Sie in den Datenschutz-Einstellungen in der App unter dem Reiter Einstellungen zur Nutzungsanalyse den Schieberegler „Daten zur Marketingwirksamkeit“ deaktivieren.

Zudem übermitteln wir Ihre personenbezogenen Daten an die von uns eingesetzten technischen Dienstleister, die uns bei dem Betrieb und der Wartung unterstützen und ihren Sitz in den USA haben. Zwar werden Ihre personenbezogenen Daten ausschließlich auf Servern innerhalb der EU/des Europäischen Wirtschaftsraums gespeichert. Es ist aber nicht gänzlich ausgeschlossen, dass Ihre personenbezogenen Daten in die USA übermittelt werden (etwa bei Support Anfragen). Zu diesem Zweck haben wir bzw. die von uns eingesetzten technischen Dienstleister geeignete Garantien ergriffen, um eine adäquates Schutzniveau für Ihre personenbezogenen Daten zu gewährleisten. Hierzu gehören neben dem der Abschluss der Standardvertragsklauseln der EU-Kommission auch die Umsetzung von zusätzlichen technischen organisatorischen und vertraglichen Schutzmaßnahmen. Ihre übrigen personenbezogenen Daten übermitteln wir in keine Länder außerhalb des Europäischen Wirtschaftsraums.

Als betroffene Person können Sie jederzeit die nachfolgenden Rechte gegenüber uns geltend machen. Wenden Sie sich hierfür bitte an die unter Ziffer I genannten Kontaktdaten.

a) Widerruf Ihrer Einwilligung zur Datenverarbeitung

Soweit wir Ihre Daten auf Basis Ihrer Einwilligung verarbeiten, können Sie diese jederzeit für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt.

b) Recht auf Datenübertragbarkeit

Sie können sich Ihre personenbezogenen Daten, die wir auf Grundlage Ihrer Einwilligung oder in Erfüllung eines Vertrags mit Ihnen automatisiert verarbeiten, an sich oder an einen Dritten in einem gängigen, maschinenlesbaren Format aushändigen lassen. Sofern Sie die direkte Übertragung der Daten an einen anderen Verantwortlichen verlangen, erfolgt dies nur, soweit es technisch machbar ist.

c) Recht auf Auskunft

Sie haben jederzeit das Recht auf Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten sowie ggf. auf eine Kopie dieser Daten.

d) Recht auf Berichtigung

Sie haben das Recht, die umgehende Berichtigung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen, sofern diese Daten fehlerhaft oder unvollständig sind.

e) Recht auf Löschung

Sie haben im Rahmen der geltenden gesetzlichen Bestimmungen das Recht von uns zu verlangen, Ihre bei uns gespeicherten personenbezogenen Daten zu löschen.

f) Recht auf Einschränkung der Verarbeitung

Unter den gesetzlichen Voraussetzungen haben Sie das Recht, von uns zu verlangen, die Verarbeitung Ihrer personenbezogenen Daten einzuschränken.

g) Widerspruchsrecht

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. f der DSGVO (Datenverarbeitung auf der Grundlage einer Interessenabwägung) erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmung gestütztes Profiling im Sinne von Art. 4 Nr. 4 DSGVO. Legen Sie Widerspruch ein, werden wir Ihre Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Darüber hinaus steht Ihnen gemäß Art. 77 DSGVO ein Beschwerderecht bei der zuständigen Datenschutzaufsichtsbehörde zu, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten nicht rechtmäßig erfolgt. Das Beschwerderecht besteht unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs. Die Anschrift der für uns zuständigen Datenschutzaufsichtsbehörde lautet:

Landesbeauftragte für Datenschutz und Informationsfreiheit NRW
Kavalleriestr. 2-4
40213 Düsseldorf, Deutschland
Tel.: 0211 38424-0
Fax: 0211 38424-10
E-Mail: poststelle@ldi.nrw.de

Wir überarbeiten diese Datenschutzhinweise bei Änderungen an der App, der Website oder bei sonstigen Anlässen, die dies erforderlich machen. Die jeweils aktuelle Fassung finden Sie stets in der App oder auf der Website.

Stand: September 2021