Datenschutzhinweise für die HST-App

Datenschutzhinweise

Stand Dezember 2021

Wir möchten Sie nachfolgend über die Verarbeitung Ihrer personenbezogenen Daten im Sinne des Art. 4 Nr. 1 DSGVO im Zusammenhang mit der Nutzung unserer „HST App“ sowie unserer Website „https://www.hst-hagen.de“ informieren und Sie über Ihre Rechte nach der Datenschutz-Grundverordnung (nachfolgend: „DSGVO“) und dem Bundesdatenschutzgesetz (nachfolgend: „BDSG“) aufklären. Die verwendeten Begriffe sind nicht geschlechtsspezifisch.

1. Wer ist Verantwortlicher für Ihre Daten?

Verantwortlicher für die Verarbeitung Ihrer Daten ist:

Hagener Straßenbahn AG

Am Pfannenofen 5

58097 Hagen

Telefon: 02331 2080

E-Mail: info@hvg-hagen.de

Weitere Angaben zu unserem Unternehmen sowie Kontaktdetails können Sie dem Impressum in der App und unserer Website entnehmen.

Unseren Datenschutzbeauftragten erreichen Sie unter:

Anschrift wie oben:

„Datenschutzbeauftragter“

E-Mail: datenschutz@hvg-hagen.de

Zu welchen Zwecken verarbeiten wir Ihre Daten und auf welcher Rechtsgrundlage

Wir verarbeiten personenbezogenen Daten, die Sie uns freiwillig überlassen oder die im Rahmen der Nutzung der App und der Webseite anfallen. Welche Daten wir zu welchem Zweck im Einzelnen verarbeiten, richtet sich maßgeblich nach den jeweiligen Leistungen und Funktionalitäten, die Sie in der App und der Webseite nutzen. Im Nachfolgenden finden Sie eine Übersicht der einzelnen Verarbeitungszwecke sowie der entsprechenden Rechtsgrundlagen, auf der die jeweilige Verarbeitung beruht:

1.1. Log-Files, Nutzungs- und Protokolldaten

Um sicherzustellen, dass unsere Website und unsere App in möglichst effektiver Weise Ihnen gegenüber präsentiert werden und um die Stabilität und Sicherheit zu gewährleisten, erheben wir bei jedem Besuch die nachfolgenden Daten, die Ihr Endgerät automatisch an uns übermittelt: IP-Adresse, verwendetes Betriebssystem, Referrer URL, Uhrzeit der Serveranfrage. Die IP-Adresse wird nach spätestens einem Monat von allen Systemen, die im Zusammenhang mit dem Betrieb der App und Website verwendet werden, gelöscht.

Die Verarbeitung der vorstehenden personenbezogenen Daten basiert auf den vorgenannten berechtigten Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO

1.2. Einsatz von Cookies

Um den Besuch unserer App und der Webseite attraktiv zu gestalten und die Nutzung bestimmter Funktionen zu ermöglichen, verwenden wir Cookies.

Bei Cookies handelt es sich um kleine Textdateien, die auf Ihrem Endgerät abgelegt werden. Die Cookies können beim Aufruf einer Seite an diese übermittelt werden und ermöglichen somit eine Zuordnung des Nutzers. Cookies helfen dabei, die Nutzung von Internetseiten für die Nutzer zu vereinfachen. Einige der von uns verwendeten Cookies werden nach dem Ende des Nutzungsvorgangs, also etwa nach Schließen Ihres Browsers, wieder gelöscht (sog. Sitzungs-Cookies). Andere Cookies verbleiben auf Ihrem Endgerät und ermöglichen es uns, Sie beim nächsten Besuch wiederzuerkennen (sog. Persistente Cookies).

Sie können Ihre Geräte so einstellen, dass Sie die Annahme von Cookies für bestimmte Fälle oder generell ausschließen. Bereits gesetzte Cookies können Sie löschen. Bei der Nichtannahme von Cookies kann die Funktionalität unserer App und der Webseite eingeschränkt sein.

In der App sowie auf der Webseite werden auch Cookies von Drittanbietern verwendet. Dies betrifft den Einsatz von Marketing und Tracking Tools. Insoweit verweisen wir auf die Informationen in den Ziffern 1.7 und 1.8.

Eine Übersicht der eingesetzten Cookies finden Sie am Ende dieser Datenschutzhinweise.

1.3. Registrierung

Damit Sie in der App bzw. auf der Webseite bestimmte Funktionen und Leistungen nutzen können, wie etwa die Bestellung von Tickets, ist es erforderlich, dass Sie sich registrieren und die Nutzungsbedingungen akzeptieren. Im Rahmen der Registrierung erfassen wir die folgenden Daten: Stamm- und Kontaktdaten (Vor- und Nachname, Straße, Hausnummer, Postleitzahl, Stadt, Bundesland (optional), Land (optional), E-Mail-Adresse, Geburtsdatum, Geschlecht, Handynummer (optional), Kunden-ID), Login-Daten (E-Mail-Adresse, Passwort), Zahlungsmittel (IBAN und BIC Nummer, Kreditkartennummer), Persönliche Frage/Sicherheitsfrage und Sicherheitsantwort.

Die Verarbeitung Ihrer personenbezogenen Daten im Rahmen der Registrierung und des Bestellvorgangs erfolgt zur Erfüllung des Vertrags mit Ihnen gemäß Art. 6 Abs. 1 lit. b DSGVO. Soweit Daten für die Fahrscheinkontrolle (Geburtsdatum, Geschlecht) erhoben werden, dient dies unserem berechtigten Interesse gemäß Art. 6 Abs. 1 lit. f.

1.4. Ticketverkauf

Wenn Sie Fahrleistungen im öffentlichen Nahverkehr in Anspruch nehmen, können Sie digital zwischen verschiedenen Ticketarten wählen. Hierzu gehören elektronische Tickets gemäß den jeweils geltenden Tarifen und Preisstufen. Diese können Sie über die App sowie auf unserer Webseite bestellen. Alternativ können Sie über die App die neuen eezy-Tarife nutzen. Diese Tarife ermöglichen es Ihnen, bei einer Fahrt ganz bequem per Smartphone ein- und auszuchecken. In diesem Fall wird der der Fahrpreis anhand der Luftlinie zwischen Start und Ziel der Fahrt ermittelt. Nachfolgend finden Sie Informationen zur Verarbeitung Ihrer Daten im Zusammenhang mit der Bestellung von elektronischen Tickets über den Ticketshop in unserer App und unserer Webseite sowie dem Ticketerwerb bei Nutzung der eezy-Tarife.

1.4.1. Bestellung und Abrechnung von elektronischen Tickets

Wenn Sie in der App bzw. auf der Webseite Tickets bestellen, ist es erforderlich, dass Sie den Ticket-Bestellvorgang durchlaufen. Hierzu verarbeiten wir Ihre bereits im Rahmen der Registrierung erhobenen Kundendaten, bestehend aus den Stamm- und Kontaktdaten sowie die von Ihnen hinterlegten Zahlungsmittel. Weiterhin werden folgenden Daten verarbeitet: Rechnungsdaten (Rechnungsadresse, Finanzdienstleister, Zahlungsart), Bestelldaten (Bestellung-ID, Bestelldatum und Bestellstatus), Ticketdaten (Ticket ID, Gültigkeit, Geltungsbereich, Zone, Starthaltestelle, Tickettyp, Ticketname, Ticket Key, verfügbare/verbrauchte Einheiten, Preisstufe, Barcode, Kategorie (Klasse), Angaben zum Verkehrsverbund, Verkehrsunternehmen, Angaben über Gesamtpreis der gekauften Tickets, Tarifart, Produktnummer, Einnahme-Aufteilungs-Code zur Zuweisung der Einnahmen, Erstattung).

Die Verarbeitung Ihrer personenbezogenen Daten im Rahmen der Registrierung und des Bestellvorgangs erfolgt zur Erfüllung des Vertrags mit Ihnen gemäß Art. 6 Abs. 1 lit. b DSGVO.

1.4.2. Bemessung und Abrechnung von Fahrpreisen bei Nutzung der eezy-Tarife

Sofern Sie in der App die eezy-Tarife nutzen, erhalten Sie beim Check-In eine entsprechende Fahrtberechtigung. Die Abrechnung des konkreten Fahrpreises erfolgt nach dem (assisted) Check-Out. Um den Fahrpreis zu bemessen, ist es erforderlich Ihre Fahrtdaten während der gesamten Reisedauer zu erfassen und die entsprechende Reisestrecke abzubilden. Zu den Fahrtdaten gehören Standort- und Fortbewegungsdaten (Check-In Zeit, Check-In Haltestelle, Check-Out Zeit, Check-Out Haltestelle, Km-Anzahl, Uhrzeit, Wegepunkte (Haltestelle, Ankunft, Abfahrt)), ergänzende Fahrtdaten (Fahrt ID, Fahrtdatum, Fahrtstatus, Mitnahme Kinder, Mitnahme Fahrräder, Klasse) sowie durch das System zusätzlich bereitgestellte bestell- und abrechnungsrelevante Daten (Bestell-ID, Bestellstatus, Tarif, Rabattstufe, Preisstufendeckel, 24h-Deckel, 30 Tages-Deckel, Basispreis, Mitnahmen, Gesamtsumme, Kundenvertragspartner).

Die Erfassung der vorgenannten Fahrtdaten erfolgt primär über das GPS- und Bluetooth-Signal Ihres mobilen Endgeräts. Die auf Basis der Fahrtdaten gebildete Reisestrecke besteht aus Ersteinstiegshaltestelle nach dem Check-In, durchfahrene Haltestellen und Umstiegshaltestellen, die Letztausstiegshaltestelle vor dem Check-Out, sowie die genutzten Linien. Die eigentliche Bemessung des Fahrpreises erfolgt durch Zuordnung der gebildeten Reisestrecke zu den jeweils anwendbaren Tarifbestimmungen der einzelnen Verkehrsunternehmen und Tariforganisationen. Bei der Abrechnung des gebildeten Fahrpreises werden wiederum Ihre im Rahmen der Registrierung hinterlegten Stamm- und Kontaktdaten sowie die hinterlegten Zahlungsmittel verwendet (siehe Ziffer 1.3).

Die Verarbeitung Ihrer personenbezogenen Daten im Rahmen der Nutzung der eezy-Tarife erfolgt zur Erfüllung des Vertrags mit Ihnen gemäß Art. 6 Abs. 1 lit. b DSGVO.

1.5. Kontaktaufnahme

Um Ihre Kontaktaufnahme mit uns per E-Mail oder über ein Kontaktformular bearbeiten zu können, verarbeiten wir Ihre E-Mail-Adresse und, falls von Ihnen angegeben, Ihren Namen und Ihre Telefonnummer sowie etwaige sonstige Informationen, die Sie uns mitteilen.

Die Verarbeitung dieser personenbezogenen Daten basiert auf der Rechtsgrundlage des Art. 6 Abs. 1 lit. b DSGVO, sofern die Kommunikation im Zusammenhang mit der Durchführung Ihres Ticketkaufs erfolgt. Die Verarbeitung für andere Kommunikation erfolgt auf Basis unseres berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO, nämlich zur bedarfsgerechten Abwicklung Ihrer Kontaktanfrage.

1.6. Darstellung der Fahrtenhistorie und Suchanfragen

Um in der App den Verlauf Ihrer Fahrten und Suchanfragen darzustellen, werden einige Ihrer personenbezogenen Daten lokal in der App gespeichert. Hierzu gehören: Historie der eingegebenen Punkte (z.B. Haltestelle, Adresse, etc.), Historie der eingegebenen Verbindungen, Historie der eingegebenen Linien, Einstellungen des Nutzers, bestimmte Zustände der App, bestimmte vom Fahrplanauskunftsserver abgerufene Inhalte (z.B. Karten-Kacheln) sowie die Fahrberechtigung. Die GPS-Position wird nicht gespeichert, sondern bei einer Fahrplanauskunft einmalig an den Fahrplanauskunftsserver geschickt, um daraus eine Adresse zur Berechnung einer Fahrplanauskunft zu ermöglichen.

Die Verarbeitung der lokal gespeicherten Daten basiert auf unserem berechtigten Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO Ihnen eine funktionsfähige und nutzerfreundliche App zur Verfügung zu stellen.

Die im lokalen App-Speicher der App gespeicherten Kartendaten und Verläufe können Sie in den Datenschutz-Einstellungen der App löschen.

1.7. Marketing

Um unsere Marketingaktivitäten zu optimieren, nutzen wir den Dienstleister Adjust (adjust GmbH, Saarbrücker Str. 37A, 10405 Berlin), mit dem wir eine Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO abgeschlossen haben. Weitere Informationen zur Datenverarbeitung durch Adjust sind zu finden unter https://www.adjust.com/privacy-policy/.

Adjust erhebt die folgenden personenbezogenen Daten von Ihnen: IP- und MAC-Adresse, Device IDs, inklusive aller Advertising-IDs, http-Header inklusive SDK-Version, User Agent (Land, Sprache, lokale Einstellungen, Version des Betriebssystems), Nutzer-Device und Werbeaktivitäten, App und Event-Token, Aufruf der Ticketübersichtseite, Warenkorbstatus (belegt/nicht belegt), Login-Status, Standort, aktuelle Geschwindigkeit (langsam, mittel, schnell), Aktion, die der Nutzer vor der aktuellen Aktion in der App durchgeführt hat, Registrierungsstatus im Ticketshop, Anzahl und Typ an zusätzlichen Verkehrsmitteln.

Die Verarbeitung Ihrer personenbezogenen Daten zu diesem Zweck beruht auf Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie in den Datenschutz-Einstellungen in der App die Einstellungen zur Nutzungsanalyse über den Schieberegler „Daten zur Marketingwirksamkeit“ deaktivieren.

1.8. Tracking

Wir verwenden Google Firebase, eine Cloud-Plattform für App-Entwickler von Google (Diensteanbieter: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA, bzw. Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland). Wir haben mit Google bezüglich der eingesetzten Dienste eine Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO abgeschlossen.

Weitere Informationen zu Google Firebase und den Datenschutzbestimmungen von Google finden Sie unter folgenden externen Links:

https://firebase.google.com/docs/analytics/

https://firebase.google.com/terms/data-processing-terms

https://firebase.google.com/terms/crashlytics-app-distribution-data-processing-terms

https://support.google.com/analytics/answer/6004245

Die Verarbeitung der personenbezogenen Daten im Zusammenhang mit Google Firebase basiert auf Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Der Datentransfer in die USA basiert ebenfalls auf Ihrer Einwilligung gemäß Art. 49 Abs. 2 lit. a DSGVO. Sie können Ihre Einwilligung in den Datentransfer jederzeit widerrufen, indem Sie in den Datenschutz-Einstellungen in der App unter dem Reiter Einstellungen zur Nutzungsanalyse den Schieberegler „Daten zur Appnutzung“ deaktivieren.

Wir verwenden bei Google Firebase die nachfolgenden Funktionen:

1.8.1. Firebase Analytics

Wir verwenden Firebase Analytics, um die Nutzung unserer App nachvollziehen zu können und um daraus abzuleiten, welche Funktionen für Nutzer von besonderem Interesse sind und wie wir die App verbessern können.

Folgende Daten der App-Nutzung werden von Google Firebase Analytics erfasst: IP-Adresse, Anzahl der Nutzer und Sitzungen, Sitzungsdauer, Betriebssystem, Gerätemodell, Region, Erstmaliger Start, App-Ausführungen und –Updates, Nutzung Funktionen der App, verwendete Netzwerke, gewählte Zahlungsmethode, gewählte Uhrzeit, gewähltes Verkehrsmittel, Ticketart, Login-Status, Standort, aktuelle Geschwindigkeit (langsam, mittel, schnell), Aktion, die der Nutzer vor der aktuellen Aktion in der App durchgeführt hat, ausgewählter Ticketshop, Art des Start-, End- und Umsteigeorts, Anzahl und Typ an zusätzlichen Verkehrsmitteln, Reihenfolge der aufgerufenen Seiten, Werbe-ID.

1.8.2. Firebase Crashlytics

Wir verwenden Firebase Crashlytics, um durch die Auswertung anonymisierter und aggregierter Absturzberichte die Stabilität und Zuverlässigkeit unserer App verbessern zu können. Um uns anonymisierte Absturzberichte zur Verfügung stellen zu können, erfasst Firebase Crashlytics im Falle eines Absturzes oder einer Fehlfunktion (Crash) der App Informationen und überträgt diese an Server von Google in den USA (Zustand der App zum Zeitpunkt des Absturzes, Installation UUID, Crash-Trace, Hersteller und Betriebssystem des mobilen Geräts, letzte Log-Meldungen, Zeitpunkt und Dauer der Störung, Art der Störung, genutzte Funktionen der App zum Zeitpunkt der Störung).

Wir verwenden Google Firebase ohne geräteübergreifende Nachverfolgung der Nutzer (User-ID) und ohne Aktivierung der Zielgruppen-Option zu (Re-) Marketingzwecken. Wir haben zudem die Produktverknüpfung deaktiviert, sodass die erhobenen Daten nicht mit weiteren Google-Diensten geteilt werden. Auch die Datenfreigabe an Google haben wir deaktiviert, sodass Google die erhobenen Daten ausschließlich dazu nutzen darf, uns die Nutzungsberichte zur Verfügung zu stellen.

1.9. Marktforschung

Wir verarbeiten zum Zwecke der Markt- und Meinungsforschung Ihren Vor- und Nachnamen, Ihre E-Mail-Adresse, sowie Ihre Postleitzahl sofern Sie uns hierzu Ihre Einwilligung erteilen. Die Teilnahme an der Markt- und Meinungsforschung ermöglicht es uns, die Ausgestaltung und Funktionalitäten der App, der Website und der dort erhältlichen Angebote weiter zu verbessern.

Abhängig davon, wer die Marktforschung durchführt, geben wir die vorgenannten Daten entweder an die VRS GmbH (dort das Kompetenzcenter Marketing NRW, dessen Datenschutzhinweise abrufbar sind unter www.kcm-nrw.de) oder die für unser Tarifgebiet zuständige Tariforganisation weiter. Soweit diese Stellen zum Zwecke der Marktforschung ein Marktforschungsinstitut beauftragen, erhält dieses ebenfalls Ihre Daten.

Im Zusammenhang mit der Marktforschung verarbeiten wir die vorgenannten Daten gemeinsam mit den vorgenannten Kooperationspartnern, namentlich der VRS GmbH und der für uns zuständigen Tariforganisation, in gemeinsamer Verantwortlichkeit gemäß Art. 26 DSGVO. Soweit andere kooperierende Kundenvertragspartner und Vertriebsdienstleister ebenfalls personenbezogene Daten zur Marktforschung beisteuern, sind diese ebenfalls in den Anwendungsbereich der gemeinsamen Verantwortlichkeit einbezogen. Informationen zur gemeinsamen Verantwortlichkeit finden Sie in Ziffer 9.Die Verarbeitung der personenbezogenen Daten im Zusammenhang mit der Markt- und Meinungsforschung basiert auf Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie in den Datenschutz-Einstellungen unter dem Reiter Einstellungen zur Marktforschung die Schieberegler deaktivieren.

1.10. Sonstige Zwecke

Neben den vorgenannten Verarbeitungszwecken verarbeiten wir Ihre personenbezogenen Daten zudem für die folgenden Zwecke:

- Um unseren gesetzlichen Aufbewahrungspflichten oder datenschutzrechtlichen Verpflichtungen nachzukommen. Diese Verarbeitung basiert auf der Rechtsgrundlage des Art. 6 Abs. 1 lit. c DSGVO.

- Um etwaige Rechtsansprüche auszuüben oder uns gegen Ansprüche zu verteidigen. Diese Verarbeitung basiert auf der Rechtsgrundlage des Art. 6 Abs. 1 lit. f DSGVO.

- Um behördliche Anfragen zu beantworten und zu befolgen. Diese Verarbeitung basiert auf der Rechtsgrundlage des Art. 6 Abs. 1 lit. c DSGVO.

2. Besteht für Sie eine Pflicht zur Bereitstellung der Daten?

Bei Nutzung unserer App und unserer Website erfolgt eine automatische Übermittlung Ihrer Nutzungs- und Protokolldaten durch Ihren Browser (siehe Ziffer 1.1). Ohne diese technischen Daten ist es nicht möglich unsere App oder unsere Website für Sie ordnungsgemäß darzustellen.

In Bezug auf die jeweils angebotenen Funktionalitäten und Leistungen (siehe Ziffern 1.3. ff.) müssen Sie diejenigen Daten bereitstellen, die für den jeweiligen Verarbeitungszweck erforderlich sind. Grundsätzlich ist die Bereitstellung Ihrer Daten für die in der App und Webseite enthaltenen Funktionalitäten und Leistungen kostenlos. In bestimmten Fällen sind wir ohne Ihre Daten allerdings nicht in der Lage, die jeweiligen Leistungen und Funktionalitäten anzubieten. Dies betrifft die Verarbeitung Ihrer Daten im Rahmen der Registrierung und des Ticketverkaufs (Ziffern 1.3 und 1.4). Ohne die erforderlichen Daten können wir entsprechende Leistungen und Funktionalitäten nicht ordnungsgemäß erbringen bzw. bereitstellen.

3. Wie lange speichern wir Ihre Daten?

Wir werden Ihre Daten nur so lange aufbewahren, wie dies zur Erfüllung der vorstehend dargelegten Zwecke notwendig ist. Darüber hinaus unterliegen wir verschiedenen Aufbewahrungs- und Dokumentationspflichten, die sich unter anderem aus dem Handelsgesetzbuch (HGB) und der Abgabenordnung (AO) ergeben. Die dort vorgegebenen Fristen zur Aufbewahrung bzw. Dokumentation betragen bis zu zehn Jahre. Schließlich beurteilt sich die Speicherdauer auch nach den gesetzlichen Verjährungsfristen, die zum Beispiel nach den §§ 195 ff. des Bürgerlichen Gesetzbuches (BGB) bis zu dreißig Jahre betragen können, wobei die regelmäßige Verjährungsfrist drei Jahre beträgt.

4. An wen übermitteln wir Ihre Daten?

Wir setzen bei der Erbringung unserer Dienstleistungen externe Dienstleister ein, die Ihre Daten in unserem Auftrag verarbeiten. Hierzu gehören Unternehmen in den nachfolgenden Kategorien:

- Technische Dienstleister für den Betrieb und die Wartung unserer IT-Systeme und Server-Infrastruktur

- Marketing und Tracking Anbieter für unsere Werbeaktivitäten

- Verkehrsverbund Rhein Ruhr AöR im Zusammenhang mit dem Verkauf der Tickets

- Marktforschungsinstitute, sofern Sie uns Ihre Einwilligung zur Marktforschung erteilt haben.

Darüber hinaus geben wir Ihre Daten auch an andere Dritte weiter, die Ihre Daten in eigener Verantwortung verarbeiten. Hierzu gehören Unternehmen in den nachfolgenden Kategorien:

- Zahlungsdienstleister, sofern dies im Rahmen der Bestellabwicklung erforderlich ist.

- Behörden oder andere staatliche Einrichtungen, sofern wir hierzu rechtlich verpflichtet sind.

In Bezug auf die vorgenannten Empfänger finden Sie weitere Angaben zu den Zwecken der Datenverarbeitung unter Ziffer 1.

5. Werden Ihre Daten an Empfänger in einem Drittland übermittelt?

Soweit dies für die vorgenannten Zwecke erforderlich ist, übermitteln wir Ihre Daten auch an Empfänger außerhalb des Europäischen Wirtschaftsraums (EWR). Wir stellen sicher, dass eine Übermittlung in Drittländer nur erfolgt, soweit hierfür eine Rechtsgrundlage besteht. Dies bedeutet, dass wir Ihre Daten nur übermitteln, soweit für den jeweiligen Drittstaat eine Entscheidung der EU-Kommission über ein angemessenes Datenschutzniveau vorliegt (Art. 45 DSGVO), geeignete Garantien zum Schutze Ihrer personenbezogenen Daten vorgesehen sind (vgl. Art. 46 DSGO) oder eine gesetzliche Erlaubnisnorm besteht (vgl. Art. 49 DSGVO).

Konkret betrifft dies die nachfolgenden Empfänger:

Sofern Sie in den Datentransfer gemäß Art. 49 Abs. 2 lit. a DSGVO eingewilligt haben, übermitteln wir Ihre unter Ziffer 1.8 aufgelisteten personenbezogenen Daten an unsere Dienstleister in die USA. Bitte beachten Sie, dass in den USA kein vergleichbares Datenschutzniveau wie in der EU/dem EWR besteht und daher nicht gänzlich ausgeschlossen werden kann, dass Ihre Daten möglicherweise ohne angemessene Rechtsbehelfsmöglichkeiten an staatliche Stellen offengelegt werden. Sie können Ihre Einwilligung in den Datentransfer jederzeit widerrufen, indem Sie in den Datenschutz-Einstellungen in der App unter dem Reiter Einstellungen zur Nutzungsanalyse den Schieberegler „Daten zur Marketingwirksamkeit“ deaktivieren.

Zudem übermitteln wir Ihre personenbezogenen Daten an die von uns eingesetzten technischen Dienstleister, die uns bei dem Betrieb und der Wartung unterstützen und ihren Sitz in den USA haben. Zwar werden Ihre personenbezogenen Daten ausschließlich auf Servern innerhalb der EU/des EWR gespeichert. Es ist aber nicht gänzlich ausgeschlossen, dass Ihre personenbezogenen Daten in die USA übermittelt werden (etwa bei Support Anfragen). Zu diesem Zweck haben wir bzw. die von uns eingesetzten technischen Dienstleister geeignete Maßnahmen ergriffen, um ein adäquates Schutzniveau für Ihre personenbezogenen Daten zu gewährleisten. Hierzu gehören neben dem Abschluss der Standardvertragsklauseln der EU-Kommission auch die Umsetzung von zusätzlichen technischen organisatorischen und vertraglichen Schutzmaßnahmen. Ihre übrigen personenbezogenen Daten übermitteln wir in keine Länder außerhalb des EWR.

6. Welche Rechte stehen Ihnen als betroffene Person zu?

Jede betroffene Person hat das Recht auf Auskunft nach Art. 15 DSGVO, das Recht auf Berichtigung nach Art. 16 DSGVO, das Recht auf Löschung nach Art. 17 DSGVO, das Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO sowie das Recht auf Datenübertragbarkeit aus Art. 20 DSGVO. Soweit wir Ihre personenbezogenen Daten auf Grundlage Ihrer Einwilligung verarbeiten, können Sie diese jederzeit formfrei mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt.

Soweit die Verarbeitung Ihrer personenbezogenen Daten zur Wahrnehmung unserer berechtigten Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO erfolgt, können Sie dieser Verarbeitung nach Maßgabe der gesetzlichen Vorgaben in Art. 21 DSGVO widersprechen. Weitere Hinweise zu Ihrem Widerspruchsrecht finden Sie in Ziffer 10.

Zur Ausübung der vorgenannten Rechte wenden Sie sich hierfür bitte an die unter Ziffer 1 genannten Stellen.

Darüber hinaus besteht ein Beschwerderecht bei einer Datenschutzaufsichtsbehörde (Art. 77 DSGVO), wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten nicht rechtmäßig erfolgt. Das Beschwerderecht besteht unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs. Die Anschrift der für uns zuständigen Datenschutzaufsichtsbehörde lautet: Landesbeauftragte für Datenschutz und Informationsfreiheit NRW, Kavalleriestr. 2-4, 40213 Düsseldorf, Deutschland, Tel.: 0211/38424-0, Fax: 0211/38424-10, E-Mail: poststelle@ldi.nrw.de

7. Inwieweit gibt es eine automatisierte Entscheidungsfindung einschließlich Profiling im Einzelfall?

Bei der Nutzung unserer App und unserer Webseite erfolgt keine automatische Entscheidungsfindung gemäß Art. 22 DSGVO.

8. Welche Daten verarbeiten wir in gemeinsamer Verantwortlichkeit?

Im Rahmen der Bereitstellung der App und der Webseite arbeiten wir mit verschiedenen Kooperationspartnern zusammen, die mit uns gemeinsam für die Verarbeitung Ihrer personenbezogenen Daten verantwortlich sind (Art. 26 DSGVO). Dies betrifft die Verarbeitung Ihrer personenbezogenen Daten im Zusammenhang mit der Marktforschung (Ziffer 1.9).

Die gemeinsame Verantwortlichkeit im Zusammenhang mit der Marktforschung bezieht sich auf die folgenden Kooperationspartner:

- die folgenden Tariforganisationen in NRW:

o Verkehrsverbund Rhein-Sieg GmbH (Kompetenzcenter Marketing NRW), Glockengasse 37-39, 50667 Köln

o Verkehrsverbund Rhein-Ruhr AöR, Augustastraße 1, 45879 Gelsenkirchen

- die jeweiligen Verkehrsunternehmen und Vertriebsdienstleister, die Verkehrsleistungen in NRW anbieten und vertreiben, soweit diese personenbezogene Daten zur Marktforschung an die vorgenannten Tariforganisationen beisteuern.

Wir und unsere Kooperationspartner haben vereinbart, wer welche Pflichten nach der DSGVO erfüllt. Konkret erfüllen die Parteien die datenschutzrechtlichen Pflichten für wie folgt:

- Wir und die Kooperationspartner machen den betroffenen Personen die gemäß Art. 13 und 14 DSGVO erforderlichen Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache unentgeltlich in ihren Datenschutzerklärungen zugänglich. Hierbei lässt jede Partei der anderen Partei sämtliche dafür notwendigen Informationen aus ihrem Wirkbereich zukommen.

- Wir und die Kooperationspartner informieren sich unverzüglich gegenseitig über von Betroffenen geltend gemachte Rechtspositionen. Sie stellen einander sämtliche für die Beantwortung von Anfragen der betroffenen Personen notwendigen Informationen zur Verfügung.

- Es steht Ihnen frei, ob Sie ihre Datenschutzrechte bei uns oder einem Kooperationspartner geltend machen, soweit dies die Verarbeitungen betreffen, die in unserem gemeinsamen Verantwortungsbereich stehen. Betroffene Personen erhalten die Auskunft grundsätzlich von der Stelle, bei der die Rechte geltend gemacht wurden.

9. Widerspruchsrecht gemäß Art. 21 DSGVO

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. f der DSGVO (Datenverarbeitung auf der Grundlage einer Interessenabwägung) erfolgt, Widerspruch einzulegen. Legen Sie Widerspruch ein, werden wir Ihre Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

10. Übersicht der eingesetzten Cookies

Nachfolgend finden Sie eine Beschreibung der Cookies, die von uns auf unserer Website verwendet werden. Es handelt sich hier um funktionale Cookies sowie Marketing- und Analyse-Cookies. Die Verwendung von Analyse- und Marketing-Cookies erfolgt nur, wenn Sie in die Aktivierung dieser Cookies eingewilligt haben. Sie können Ihre Einwilligung zum Einsatz von Marketing- und Analyse-Cookies jederzeit in den Einstellungsoptionen in der App bzw. auf der Webseite widerrufen.

10.1. Funktionale Cookies

Diese Cookies sind für die Darstellung und den Betrieb der App bzw. der Website, einschließlich der damit verbundenen Funktionen und Services zwingend notwendig. Da ohne diese Cookies die App bzw. Website nicht bereitgestellt werden kann, werden diese Cookies automatisch beim Aufruf der App bzw. der Website gesetzt.

10.2. Marketing und Analyse-Cookies

Diese Cookies werden zur Verbesserung der Funktionalität und Nutzerfreundlichkeit unserer Website sowie zur Nachverfolgung von Präferenzen verwendet. Sie erheben Informationen zu Ihrem Nutzungsverhalten, z. B. welche Seiten Sie am häufigsten aufrufen und ob Sie Fehlermeldungen von Seiten erhalten.

11. Änderung dieser Datenschutzhinweise

Wir überarbeiten diese Datenschutzhinweise bei Änderungen an der App oder der Website oder bei sonstigen Anlässen, die dies erforderlich machen. Wir werden Sie über die Änderungen informieren (etwa per E-Mail oder in der App bzw. auf der Webseite). Die jeweils aktuelle Fassung finden Sie stets in der App oder auf der Website.