02241 - 499-0 (Zentrale)

Datenschutzhinweise

für das on-Demand-Verkehrsangebot „Rhesi“ der Rhein-Sieg-Verkehrsgesellschaft mbH (RSVG) (zugleich Informationen gemäß Artikel 13 und 14 DSGVO)

Mit diesen Hinweisen möchten wir Sie über die Verarbeitung Ihrer personenbezogenen Daten durch die Rhein-Sieg-Verkehrsgesellschaft mbH nach der seit dem ab dem 25. Mai 2018 geltenden EU-Datenschutzgrundverordnung (DSGVO) und die Ihnen danach zustehenden Rechte informieren. Die hier vorliegenden Datenschutzhinweise gelten ausschließlich für die Verarbeitung von Daten im Zusammenhang mit der Nutzung des on-Demand-Verkehrsangebotes „Rhesi“ der RSVG, einschließlich der Nutzung der „Rhesi“-App und des Webbuchung-Tools.

Personenbezogene Daten sind beispielsweise Angaben zu Ihrer Person, aber auch zu Sachverhalten, die mit Ihrer Person in Verbindung stehen.

Die RSVG verarbeitet Ihre personenbezogenen Daten nach gesetzlich geregelten Verfahren.

Im Weiteren finden Sie daher Informationen und Hinweise

 

Verantwortlicher für die Datenverarbeitung:

Rhein-Sieg-Verkehrsgesellschaft mbH (RSVG)

Steinstraße 31

53844 Troisdorf

Telefon: 0 22 41 / 4 99 - 0

E-Mail: post(at)rsvg.de

Datenschutzbeauftragter:

Rhein-Sieg-Verkehrsgesellschaft mbH (RSVG)

– Datenschutzbeauftragter –

Steinstraße 31

53844 Troisdorf

E-Mail: datenschutz(at)rsvg.de

 

 

Zweck der Datenverarbeitung:

Zweck der Datenverarbeitung im Zusammenhang mit dem on-Demand-Verkehrsangebot „Rhesi“ der RSVG und der „Rhesi“-App sowie dem Webbuchungs-Tool sind Bereitstellung und Administration des on-Demand-Verkehrsangebotes, Bereitstellung von Fahrplan- und Verbindungsinformationen an Kunden, Nutzer und Fahrgäste und Abschluss eines Vertrages zum Kauf von Tickets / Fahrausweisen für „Rhesi“,

 

Rechtsgrundlagen für die Verarbeitung Ihrer personenbezogenen Daten:

Die Rechtsgrundlagen für die Verarbeitung Ihrer personenbezogenen Daten sind:

erforderlich sind.

 

 

Folgende persönliche Angaben verarbeiten wir von Ihnen:

 

Wer erhält Ihre personenbezogenen Daten?

Im Sinne einer transparenten Gestaltung unserer Datenverarbeitung zeigen wir Ihnen gerne auf, wer im Rahmen der Verarbeitung Ihre personenbezogenen Daten erhält. Ihre personenbezogenen Daten erhalten Dienstleister und Dritte, insbesondere die in den Nutzungsbedingungen (www.rsvg.de/rhesi-agb) für das on-Demand-Verkehrsangebot „Rhesi“ der RSVG genannten Kooperationspartner:

 

Ausschluss der Übermittlung von personenbezogenen Daten an ein Drittland:

Ihre personenbezogenen Daten werden nur in begründeten Einzelfällen an ein Drittland außerhalb der EU oder eine internationale Organisation übermittelt. Für diese Fälle stellen wir sicher, dass der Empfänger ein angemessenes Datenschutzniveau im Sinne von Artikel 45 DSGVO oder geeignete Garantien im Sinne von Artikel 46 Absatz 2 und Absatz 3 DSGVO implementiert hat und keine anderen schutzwürdigen Interessen gegen die Datenübermittlung sprechen.

 

Dauer der Speicherung personenbezogener Daten:

Die RSVG speichert Informationen über Personen nur für eine bestimmte Zeit. Die Speicherung erfolgt solange, wie die Datenspeicherung im Sinne von Artikel 17 Absatz 1 Buchstabe a) DSGVO notwendig ist. Personenbezogene Daten werden 12 Monate nach Kündigung und Abschluss aller Transaktionen archiviert und können danach nicht mehr eingesehen werden. Die Archivierungsdauer richtet sich nach den gesetzlichen Vorschriften. An die Stelle der Löschung tritt die Sperrung, sofern rechtliche oder tatsächliche Hindernisse entgegenstehen. Alle Unterlagen, die für das Rechnungswesen von Bedeutung sind, werden zu Nachweiszwecken gegenüber der prüfenden Behörde 10 Jahre aufbewahrt.


Zum Bestehen einer Pflicht zur Bereitstellung von Daten:

Die Bereitstellung Ihrer personenbezogenen Daten ist für einen Vertragsabschluss erforderlich.

Sie sind nicht verpflichtet, Ihre personenbezogenen Daten bereitzustellen.

Stellen Sie Ihre personenbezogenen Daten nicht bereit, ist die Folge, dass ein Vertrag nicht abgeschlossen werden kann und Beförderungsleistungen des on-Demand-Verkehrsangebotes „Rhesi“ der RSVG nicht genutzt werden können.

 

Rechte der Betroffenen im Rahmen der Verarbeitung:

Die nachfolgenden Rechte bestehen nur nach den jeweiligen gesetzlichen Voraussetzungen und können auch durch spezielle Regelungen eingeschränkt oder ausgeschlossen sein.

 

Recht auf Widerruf der Einwilligung bei einer Verarbeitung nach Artikel 6 Buchstabe a DSGVO:

Wenn Sie in die Verarbeitung Ihrer personenbezogenen Daten durch die Rhein-Sieg-Verkehrsgesellschaft mbH (RSVG) für die Nutzung des on-Demand-Verkehrsangebotes „Rhesi“ der RSVG und die Nutzung der „Rhesi“-App sowie des Webbuchung-Tools mittels einer entsprechenden Erklärung eingewilligt haben, können Sie die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Datenverarbeitung wird durch den Widerruf nicht berührt. Ihren Widerruf richten Sie bitte an die folgenden Kontaktdaten:

Rhein-Sieg-Verkehrsgesellschaft mbH (RSVG)

Steinstraße 31

53844 Troisdorf

Telefon: 0 22 41 / 4 99 - 0

E-Mail: post(at)rsvg.de

 

 

Beschwerderecht bei einer Aufsichtsbehörde:

Im Rahmen der Verarbeitung Ihrer personenbezogenen Daten haben Sie das Recht auf Beschwerde einer Aufsichtsbehörde nach Artikel 77 Absatz 1 DSGVO. Zuständige Aufsichtsbehörde ist in Nordrhein-Westfalen die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Kavalleriestraße 2 - 4, 40213 Düsseldorf (https://www.ldi.nrw.de/metanavi_Impressum/index.php).

 

 

Automatisierte Entscheidungsfindung oder Profiling:

Die RSVG wendet im Rahmen ihrer Verarbeitung von personenbezogenen Daten keine automatisierte Entscheidungsfindung oder Profiling im Sinne von Artikel 22 DSGVO an.

Die Anwendung einer automatisierten Entscheidungsfindung oder von Profiling (z.B. Prüfung auf Sperrung eines Zahlungsmittels, Bonitätsprüfung) im Rahmen des Buchungsvorgangs durch den für das Forderungsmanagement und den Forderungseinzug zuständigen Kooperationspartner LogPay und im Rahmen der Bezahlverfahren durch die eingebundenen Kreditinstitute, Kreditkartenherausgeber oder durch PayPal (z.B. Prüfung auf Sperrung eines Zahlungsmittels, Bonitätsprüfung) ist hiervon ausgenommen.

 

Wie gelangen Ihre Daten an die RSVG?

Im Rahmen des on-Demand-Verkehrsangebotes „Rhesi“ erhalten wir Ihre persönlichen Daten durch entsprechende Eingaben, die Sie selbst oder Ihr Beauftragter in der „Rhesi“-App oder im Webbuchung-Tool tätigen.

Darüber hinaus bekommen wir – in entsprechenden Fällen – Daten z.B. auch von Ermittlungsbehörden oder Versicherungen oder entnehmen, wenn und soweit erforderlich, die Daten öffentlich zugänglichen Quellen.

 

Weiterverarbeitung für einen anderen Zweck:

Ihre personenbezogenen Daten werden von uns nicht für andere kommerzielle oder nichtkommerzielle Zwecke weiterverarbeitet. Sollen personenbezogene Daten für einen anderen Zweck weiterverarbeitet werden als den, für den sie erhoben wurden, informieren wir Sie vorher über die Zweckänderung, sofern wir gesetzlich dazu verpflichtet sind.

 

 

Spezielle Datenschutzhinweise in Bezug auf die „Rhesi“-App:

Download der App:

Beim Download der App werden die dafür notwendigen Informationen an den App Store übertragen. Dies betrifft insbesondere den Nutzernamen, die E-Mail-Adresse und die Kundennummer Ihres Accounts, den Zeitpunkt des Downloads und die individuelle Gerätekennziffer Ihres Mobiltelefons. Auf diese Datenerhebung haben wir als RSVG keinen Einfluss und sind dafür nicht verantwortlich.

 

Starten der App / Aufbau einer Verbindung zu den Servern von ioki:

Nutzen Sie die App auf Ihrem Smartphone, baut Ihr mobiles Endgerät eine Verbindung mit den Servern der ioki GmbH, An der Welle 3, 60322 Frankfurt am Main auf, welche die „Rhesi“-App als Serviceplattform für das on-Demand-Verkehrsangebot „Rhesi“ der RSVG bereitstellt, auf. Dabei werden Angaben zum Betriebssystem Ihres Mobiltelefons sowie zur genutzten Version der App an die ioki GmbH übermittelt. Die Übermittlung und Verarbeitung erfolgt zur Verbesserung der App und zur Fehlerbehebung. Rechtsgrundlage für die Verarbeitung ist Artikel 6 Absatz 1 Buchstabe f) DSGVO.

 

Einsatz von Ortungsdiensten nach manueller Aktivierung:

Für eine optimale und vollumfängliche Funktionsweise benötigt die App die Berechtigung, Ortungsdienste des mobilen Endgerätes zu nutzen.

Sie haben die Möglichkeit, bei der erstmaligen Nutzung der App die Berechtigung zur Nutzung der Ortungsdienste zu erteilen. Erteilen Sie die Berechtigung nicht, müssen Sie Ihre Adresse bei einer Fahrtanfrage manuell eingeben. Erteilen Sie die Berechtigung zur Nutzung der Ortungsdienste nicht, ist die App bis auf die vorgenannte Einschränkung nutzbar. Die erteilte Berechtigung können Sie jederzeit in den Einstellungen Ihres mobilen Endgerätes widerrufen.

 

Registrierungsdaten für die App und das Webbuchung-Tool:

Im Rahmen der Registrierung für die „Rhesi“-App und das Webbuchung-Tool werden die folgenden Login- und Registrierungsdaten erhoben, um ein Kundenkonto anzulegen:

Pflichtangaben:

 

Freiwillige Angaben:

 

Nutzung von Google Maps innerhalb der „Rhesi“-App:

Die „Rhesi“-App nutzt die von Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland („Google“), betriebene Google Maps API-Anwendung. Die Nutzungsbedingungen für Google Maps finden Sie unter: https://www.google.com/intl/de_ALL/help/terms_maps/. Die Datenschutzerklärung von Google finden Sie unter: https://policies.google.com/privacy?hl=de.

Google Maps wird verwendet, um Ihnen eine Karte in der „Rhesi“-App anzeigen zu lassen. Auf dieser wird Ihnen interaktiv die Entfernung zu dem Fahrzeug angezeigt, welches Ihre Fahrt durchführt. Sofern Sie der Nutzung Ihrer GPS-Standortdaten zugestimmt haben, werden diese dabei auf der Rechtsgrundlage von Artikel 6 Abs. 1 Buchstabe a) DSGVO verarbeitet.

 

Standortdaten und Daten zur Fahrt:

Bezüglich der Buchung und Durchführung der Fahrt über die „Rhesi“-App erheben wir im Zeitpunkt der Buchung folgende Daten:

 

Während bzw. nach Ende der Fahrt erheben wir die folgenden Daten:

 

Rechtsgrundlage für die Verarbeitung Ihrer GPS-Standortdaten ist Artikel 6 Absatz 1 Buchstabe a) DSGVO, die übrigen Daten werden zur Vertragsabwicklung aufgrund Artikel 6 Absatz 1 Buchstabe b) DSGVO erhoben.

Soweit die Berechtigung zur Verarbeitung von GPS-Standortdaten bei Installation der App erteilt und nicht wieder ausgeschaltet wurde, werden Standortdaten erhoben und genutzt, um Beförderungsmöglichkeiten in der Nähe zu finden und anzuzeigen. Hierbei wird Ihre Position nicht zwischengespeichert und lediglich genutzt, um mögliche Abholorte in der Umgebung Ihres Standorts zu finden.

 

Fahrthistorie:

In Ihrem Kundenkonto haben Sie die Möglichkeit, sich unter „Account“ Ihre Daten zu gebuchten Fahrten (Fahrstrecke, Einstiegszeit und -ort, Routenführung, Fahrzeug, Ausstieg, Buchungscode, Preis) anzeigen zu lassen.

 

Abrechnung:

Sie haben die Möglichkeit, die anfallenden Kosten der Fahrten per Kreditkarte, SEPA-Lastschriftmandat oder PayPal zu bezahlen. Das Forderungsmanagement und der Forderungseinzug erfolgen im Falle der Bezahlung per Kreditkarte oder per SEPA-Lastschriftmandat über den Dienstleister:

 

LogPay Financial Services GmbH (LogPay), Schwalbacher Straße 72, 65760 Eschborn.

Die Datenschutzinformation der LogPay Financial Services GmbH können Sie hier einsehen:

https://www.logpay.de/_docs/datenschutzinformationen_logpay_deutsch.pdf

Für alle Zahlarten, die wir für den Erwerb von Fahrtberechtigungen und Tickets über die „Rhesi“-App oder das Webbuchung-Tool anbieten, geben wir Ihre personenbezogenen Daten (Vor- und Nachnahme, Geburtsdatum, Adresse, E-Mail-Adresse, Kontoverbindung, Kreditkartendaten, ggf. Telefonnummer sowie Daten zu Ihren jeweiligen Käufen) und alle Änderungen an LogPay zum Zwecke des Verkaufes und der Abtretung unserer Forderungen gegen Sie, welche im Zusammenhang mit Ihrem Kauf oder Ihrer Buchung entstehen, weiter. Dies erfolgt auf der Grundlage des Art. 6. Absatz 1 Satz 1 Buchstabe f) DSGVO. Das berechtigte Interesse auf unserer Seite besteht in der Auslagerung der Zahlungsabwicklung und des Forderungsmanagements. Das berechtigte Interesse auf Seiten von LogPay besteht in der Verarbeitung der Daten zum Zwecke der Abwicklung von Zahlungen, zum Forderungsmanagement, der Bewertung der Zulässigkeit von Zahlarten (einschließlich ggf. hierfür erforderlicher Bonitätsprüfungen), und der Vermeidung von Zahlungsausfällen.

Sie können der Übermittlung dieser Daten an LogPay jederzeit widersprechen, allerdings ist dann keine Bestellung mehr über die „Rhesi“-App oder das Webbuchung-Tool möglich.

Darüber hinaus verarbeiten wir Ihre personenbezogenen Daten, welche wir von LogPay erhalten (Information über die Entscheidung, ob die Forderung erworben wird oder nicht).

Für die Zahlung per Kreditkarte müssen zur Abwicklung der Zahlung Vor- und Nachname des Kreditkarteninhabers, Aussteller der Kreditkarte, die Angabe des Kreditkartentyps (MasterCard, Visa oder American Express), die Nummer der Kreditkarte, das Ablaufdatum der Kreditkarte sowie der CVC-Code (Kartenprüfnummer) der Kreditkarte angegeben werden.

Bei Angabe Ihrer Kreditkartendaten werden diese über eine verschlüsselte Verbindung direkt an den von uns eingesetzten Zahlungsdienstleister übermittelt. Unser Zahlungsdienstleister führt dann eine sog. Authentifizierung Ihres Zahlungsmittels durch. Dadurch wird sichergestellt, dass es sich bei Ihrem Zahlungsmittel um ein aktives Zahlungsmittel handelt.

Die Beträge für die bestellten eCommerce-Produkte (Tickets bzw. Fahrausweise werden der angegebenen Kreditkarte des Kunden belastet.

Für die Zahlung per SEPA-Lastschriftmandat müssen zur Abwicklung der Zahlung Vor- und Nachname des Kontoinhabers, Adresse im Gebiet der Bundesrepublik Deutschland, Geburtsdatum, aktuelle gültige E-Mail-Adresse und Kontoverbindung mit IBAN innerhalb der Europäischen Union für die eindeutige Zuordnung einer Zahlung für ein erworbenes Ticket angegeben werden.

Für die Zahlung per PayPal wird der Nutzer / Kunde auf die Internetseite von PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, 2449 Luxembourg, Luxemburg (PayPal) weitergeleitet, auf der er die erforderlichen Daten selbst eingibt und die Zahlung bestätigt.

Die Datenschutzerklärung der PayPal (Europe) S.à r.l. et Cie, S.C.A. können Sie hier einsehen:

https://www.paypal.com/de/webapps/mpp/ua/privacy-full

Die LogPay Financial Services GmbH und PayPal (Europe) S.à r.l. et Cie, S.C.A. sind PCI DSS-zertifiziert (Payment Card Industry Data Security Standard) und unterliegen damit einem anerkannten und weltweit gültigen Sicherheitsstandard zur Vorbeugung von Kreditkartenmissbrauch und Betrug.

Bei der Verwendung der Bezahlart per Kreditkarte ist sichergestellt, dass gemäß den Rules & Regulations von MasterCard, Visa und American Express der Sicherheitsstandard PCI DSS eingehalten wird. Die Kreditkartendaten werden über eine Abwicklungssoftware der LogPay gegen eine Kartenersatznummer (KEN) ausgetauscht mit welcher zukünftige Kreditkartenzahlungen eingereicht werden können, ohne dass der Kunde die Kreditkartendaten erneut eingeben muss. Diese KEN wird im System des technischen Dienstleisters gespeichert.

 

Einsatz des Werkzeugs („Tools“) Firebase von Google in der „Rhesi“-App:

In unserer „Rhesi“-App wird Firebase, ein Dienst der Google Inc. (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA) eingesetzt. Mit Hilfe dieses Werkzeugs („Tools“) werden ioki Informationen im Fall eines App-Absturzes anonymisiert übertragen, um die Ursache des jeweiligen Absturzes nachvollziehen und schneller beheben zu können. Hierbei werden bestehende Fehler analysiert und identifiziert sowie die Qualität der App gesichert. Weiterhin wird Firebase zur Erfolgsmessung einzelner Funktionen der App eingesetzt. Hierbei analysiert Firebase die Akzeptanz der Funktionen durch den Nutzer.

Die übertragenen Daten sind rein technischer Ausprägung und besitzen keinen personenbezogenen Kontext.

Sofern Sie Push-Benachrichtigungen erhalten wollen, müssen Sie in den Erhalt der Push-Benachrichtigungen ausdrücklich einwilligen. Ihre Einwilligung können Sie jederzeit widerrufen. Im Rahmen der Installation bzw. beim ersten Verwenden der App werden Sie nach der Einwilligung zum Erhalt von Push-Benachrichtigungen gefragt.

Wir verwenden für die Push-Benachrichtigungen die Dienste Firebase Cloud Messaging der Firma Google (Android) und Apple Push Notifications (iOS). Dabei generieren Firebase und Apple einen berechneten Schlüssel, der sich aus der Kennung der App und der Gerätekennung Ihres Mobiltelefons zusammensetzt. Dieser Schlüssel wird auf unserer Push-Plattform mit den von Ihnen gewählten Einstellungen hinterlegt, um Ihnen die Inhalte Ihren Wünschen entsprechend zur Verfügung zu stellen. Die Firebase- bzw. Apple-Server können keinerlei Rückschluss auf die Anfragen von Nutzenden ziehen oder sonstige Daten ermitteln, die mit einer Person im Zusammenhang stehen. Firebase bzw. Apple dienen ausschließlich als Übermittler.

 

Newsletter:

Melden Sie sich zu einem Newsletter von uns an, senden wir den Newsletter an die durch Sie hinterlegte E-Mail-Adresse. Ihre E-Mail-Adresse kann in diesem Fall von uns für werbliche Zwecke im Zusammenhang mit dem on-Demand-Verkehrsangebot „Rhesi“ der RSVG genutzt werden. Rechtsgrundlage für die Datenverarbeitung ist Artikel 6 Absatz 1 Buchstabe a) DSGVO.

Bei der Anmeldung zum Newsletter speichern wir die vom Internet-Service-Provider (ISP) vergebene IP-Adresse Ihres zum Zeitpunkt der Anmeldung verwendeten Computersystems sowie das Datum und die Uhrzeit der Anmeldung. Die Erhebung dieser Daten ist erforderlich, um einen möglichen Missbrauch der E-Mail-Adresse einer betroffenen Person zu einem späteren Zeitpunkt nachvollziehen zu können, und dient deshalb unserer rechtlichen Absicherung.

Sie können sich jederzeit vom Newsletter wieder abmelden, indem Sie in der App die Einstellung für den Newsletter anpassen oder eine E-Mail an rhesi@rsvg.de senden. Außerdem enthält der Newsletter am Ende einen Link zur Abmeldung.

 

Weitergabe von Daten an Dritte:

Für die Vertragsabwicklung generell ist in der Regel die Einschaltung weisungsabhängiger Auftragsverarbeiter erforderlich, wie z.B. von Rechenzentrumsbetreibern, Druck- oder Versanddienstleistern oder sonstigen an der Vertragserfüllung Beteiligten.

Externe Dienstleister, die für uns im Auftrag Daten verarbeiten, werden von uns sorgfältig ausgewählt und vertraglich streng verpflichtet. Die Dienstleister arbeiten nach unserer Weisung, was durch strenge vertragliche Regelungen, durch technische und organisatorische Maßnahmen und durch ergänzende Kontrollen sichergestellt wird. Wir arbeiten mit Dienstleistern aus der EU zusammen. Hierzu haben wir mit unseren externen Dienstleistern innerhalb der EU oder des Europäischen Wirtschaftsraums Auftragsverarbeitungsverträge gemäß Artikel 28 Absatz 3 DSGVO abgeschlossen, sofern dies aufgrund des Vertragszwecks erforderlich ist.

Eine Übermittlung Ihrer Daten erfolgt im Übrigen nur, wenn Sie uns dazu eine ausdrückliche Einwilligung erteilt haben, oder aufgrund einer gesetzlichen Regelung.

 

Verschlüsselte Übertragung:

Die Übertragung der personenbezogenen Daten von dem mobilen Endgerät (z.B. Smartphone) des Betroffenen an uns erfolgt grundsätzlich verschlüsselt.

 

 

Änderung dieser Datenschutzhinweise:

Wir behalten uns das Recht vor, unsere Datenschutzhinweise zu ändern, falls dies aufgrund neuer Technologien oder neuer gesetzlicher Bestimmungen notwendig sein sollte. Bitte stellen Sie Ihrerseits sicher, dass Ihnen jeweils die aktuelle Fassung vorliegt. Wenn an diesen Datenschutzhinweisen grundlegende Änderungen vorgenommen werden, machen wir diese in unserem Internetangebot unter www.rsvg.de/rhesi bekannt.