Zum Hauptinhalt springen

Datenschutz Fahrkartenvertrieb

Pflichtinformationen gemäß Art. 13 EU-DSGVO

 

1. Name und Kontaktdaten der verantwortlichen Stelle sowie des betrieblichen Datenschutzbeauftragten

Odenwald-Regional-Gesellschaft (OREG) mbH
Hulster Str. 2
64720 Michelstadt

Geschäftsführer Marius Schwabe

Der betriebliche Datenschutzbeauftragte der Odenwald-Regional-Gesellschaft (OREG) mbH ist die CTM-COM GmbH (Herr Rolf Mentges), Marienburgstraße 27 in D-64297 Darmstadt, oder per E-Mail unter: r.mentges@ctm-com.de erreichbar.

2. Gemeinsame Verantwortung bei der Datenverarbeitung

Im Rahmen des eTicket RheinMain betreibt die Odenwald-Regional-Gesellschaft (OREG) mbH in gemeinsamer Verantwortung mit allen teilnehmenden Verkehrsunternehmen und von Verkehrsunternehmen eingesetzten Vertriebsdienstleistern (nachstehend alle gemeinsam „Kundenvertragspartner“ genannt) sowie dem Rhein-Main-Verkehrsverbund GmbH (RMV) eine Datenbank, das „verbundweite Hintergrundsystem“ (vHGS), zur Verwaltung und Abwicklung des eTicket RheinMain.

Die jeweiligen Kundenvertragspartner erheben und verarbeiten im Rahmen Ihres verantworteten Wirkungsbereichs eigenverantwortlich Kundendaten. Der RMV ist für den technischen und fachlichen Betrieb des vHGS verantwortlich und ist berechtigt, sich weiterer Unternehmen (Auftragsverarbeiter) zu bedienen, die ihn beim fachlichen und technischen Betrieb der Datenbank unterstützen, beispielsweise auch für die Erstellung und den Versand der eTickets und Papierfahrkarten.

Die gemeinsame Verantwortung bei der Datenverarbeitung, insbesondere die Zuständigkeiten und Verantwortlichkeiten der Beteiligten, ist gemäß Art. 26 DSGVO (Joint Controllership) schriftlich vereinbart.  Die wesentlichen Inhalte dieser Vereinbarung und eine aktuelle Liste der am vHGS beteiligten Kundenvertragspartner wird unter www.rmv.de/vhgs-joint-controllership zur Verfügung gestellt.
 

3. Zweck der Datenverarbeitung

Die Verarbeitung der Daten erfolgt zum Zweck der Verwaltung, der Pflege und des Vertriebs elektronischer Fahrscheine auf Chipkarten (eTicket RheinMain) sowie von Papierfahrkarten über das verbundweite Hintergrundsystem (vHGS).

Dies umfasst:

  • die Erstellung und Bereitstellung eines Datensatzes für die Ausgabe der Fahrkarte oder für die Ausgabe eines Berechtigungsnachweises auf einer Chipkarte über ein Schreib-/Lesegerät (Akzeptanzterminal)
  • die Erstellung und Bereitstellung eines Datensatzes für den Druck der Fahrkarte in Papierform
  • die Ausstellung und Übersendung der Fahrkarte und weiterer Vertragsinformationen
  • die Korrektur der bereits zuvor übermittelten personenbezogenen Daten wegen Änderung der Kontaktdaten oder vergleichbarer Gründe
  • die Bearbeitung von Kunden- und Interessentenanfragen
  • die Abwicklung der Bezahlung der Fahrkarte
  • die Kontrolle der Fahrkarte
  • die Überprüfung von Missbrauch, wie bspw. Manipulationen, Duplikate oder Doppelanmeldungen mit einer Chipkarte
  • zusätzliche Kundenservices im Rahmen der Registrierung des Endkunden im RMV-Kundenportal meinRMV, bspw. durch Anmeldung und Nutzung von meinRMV-Diensten, u. a. „RMV-TicketShop und Chipkarte eTicket RheinMain verwalten“
    • Nach Registrierung der Chipkarte in meinRMV wird der Datenzugriff von meinRMV auf das vHGS ermöglicht. Registrierte meinRMV-Kunden können in der Folge ihre auf der Chipkarte gespeicherten Fahrtberechtigungen sowie dazugehörige Rechnungen in meinRMV einsehen.
  • soweit datenschutzrechtlich zulässig, die Bewerbung von Produkten und Marketingaktionen, u. a. Bonusprogramm RMV-Smiles sowie Customer Relationship Management (CRM)- und E-Mail-Marketing

Auf der Chipkarte werden darüber hinaus die letzten 10 Transaktionen gespeichert. Unter einer Transaktion wird der Vorgang des Datenaustauschs zwischen Chipkarte, Akzeptanzterminal und Hintergrundsystem verstanden, der beispielsweise während der Kontrolle der Fahrkarte entsteht. Dabei handelt es sich um die Zeit, den Ort und die Art der Transaktion sowie die Terminalnummer und die Ticket-/Produktnummer.

Die aktuell auf der Chipkarte gespeicherten Transaktionen sind ausschließlich dort gespeichert und können bei den RMV-Mobilitätszentralen eingesehen und auf Wunsch gelöscht werden. Zusätzlich sendet bei einer Kontrolle der Fahrkarte das Kontrollgerät einen Kontrolldatensatz zum eTicket-Hintergrundsystem des RMV. Damit erfolgt eine Missbrauchsüberprüfung.
 

4. Rechtsgrundlagen für die Datenverarbeitung

Die Datenverarbeitung ist für die Erfüllung eines Abonnementvertrages mit dem Besteller sowie, falls abweichend, mit dem Kontoinhaber und die spätere Nutzung der Fahrkarte durch den Besteller bzw. Nutzer zum Nachweis einer gültigen Fahrtberechtigung bei Nutzung der Verbundverkehrsmittel erforderlich.

Die Rechtsgrundlage hierfür ist die Vertragserfüllung gemäß Artikel 6 Abs. 1 lit. b) DSGVO.
 

5. Empfänger oder Kategorien von Empfängern der personenbezogenen Daten

Folgende Empfänger sind an der betrieblichen Abwicklung beteiligt:

  • Rhein-Main-Verkehrsverbund GmbH – Technischer Betreiber des vHGS als wesentlicher Bestandteil des Teil des eTicket RheinMain. Betreiber des Kundenportals meinRMV (Nach freiwilliger Registrierung des eTicket RheinMain auf rmv.de über meinRMV können Kunden ihre Daten direkt online verwalten.)
  • Rhein-Main-Verkehrsverbund Servicegesellschaft (rms GmbH) – Vom Auftragsverarbeiter des RMV für den fachlichen und technischen Betrieb des vHGS
  • Cubic Transportation Systems (Deutschland) GmbH – Auftragsverarbeiter der rms GmbH für das Hosting und den technischen Betrieb des vHGS
  • IDENTA Ausweissysteme GmbH – Vom RMV eingeschalteter Auftragsverarbeiter für sog. „Massenpersonalisierung“ (d. h. Erstellung und Versand von Chipkarten und Papiertickets)
  • Am vHGS beteiligte Kundenvertragspartner, die über das vHGS Fahrkarten vertreiben und untereinander den jeweiligen Kunden gegenüber bestimmte Serviceleistungen erbringen (z. B. Änderungen der Adresse oder der räumlichen Gültigkeit). Eine aktuelle Liste jener Kundenvertragspartner kann bei Bedarf unter www.rmv.de/vhgs-joint-controllership eingesehen werden
  • Wirtschaftsauskunfteien, die vom Kundenvertragspartner zur Prüfung der Bonität des Kunden eingeschaltet werden können
  • Inkassounternehmen, die bei Zahlungsausfall des Kunden eingeschaltet werden können.

Mit allen Auftragsverarbeitern wurden gemäß Art. 28 DSGVO Auftragsverarbeitungsverträge abgeschossen. Eine Datenübermittlung in Drittstaaten gemäß Artikel 45 – 49 DSGVO findet nicht statt.
 

6. Dauer der Datenspeicherung

Die personenbezogenen Daten werden routinemäßig gelöscht, wenn sie nicht mehr zur Vertragserfüllung notwendig sind [Art. 17 Abs. 1 lit. a) DSGVO] und auch nicht mehr den gesetzlichen (insb. steuerrechtlichen) Aufbewahrungsfristen unterfallen [Art. 17 Abs. 1 lit. e) DSGVO].

Die im Zusammenhang mit dem eTicket RheinMain entstehenden Nutzungsdaten werden sechs Monate nach erfolgreichem Zahlungseingang der Transaktionen im vHGS gelöscht, können aber nach vorheriger Pseudonymisierung vom RMV für verkehrliche Zwecke (z. B. zur Bewertung der Nachfrageentwicklung auf bestimmten Verbindungen) ausgewertet werden. Zur Missbrauchsüberprüfung an das Hintergrundsystem übermittelte Kontrolldatensätze werden spätestens 14 Tage nach Erhebung aus dem Hintergrundsystem gelöscht.

Auswertungen und Missbrauchsprüfungen erfolgen gemäß berechtigtem Interesse nach Art. 6 lit. f DSGVO.
 

7. Betroffenenrechte

Neben dem Auskunftsrecht nach Artikel 15 DSGVO hat der Betroffene ein Recht auf Berichtigung nach Art. 16 DSGVO, das Recht auf Löschung nach Art. 17 DSGVO, das Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO sowie das Recht, die personenbezogenen Daten in einem maschinenlesbaren Format zu erhalten und nach Maßgabe des Art. 20 DSGVO an eine andere verantwortliche Stelle zu übermitteln.

Darüber hinaus besteht die Möglichkeit, sich an die zuständige Aufsichtsbehörde, den Hessischen Datenschutzbeauftragten, Gustav-Stresemann-Ring 1, 65189 Wiesbaden, zu wenden.
 

8. Erforderlichkeit der Datenbereitstellung

Die Bereitstellung der Daten ist für Abschluss und Abwicklung von personalisierten Fahrkarten sowie die Nutzung des eTickets oder von papierbasierten Fahrkarten erforderlich. Ohne die Bereitstellung der Daten ist der Abschluss von Verträgen für  personalisierte Fahrkarten nicht möglich.

Alternativ besteht bei Barzahlung im Voraus die Möglichkeit des Erwerbs einer nicht personalisierten, übertragbaren und anonym nutzbaren Fahrkarte.
 

9. Profiling

Automatische Entscheidungsfindung inklusive Profiling gemäß Artikel 22 DSGVO findet nicht statt.