Datenschutzerklärung Mobilitybox

ÖPNV Ticketing

Aktualisiert: 13.11.2023
 

1.   Einleitung und Überblick

Wir haben diese Datenschutzerklärung (Fassung 15.02.2023) verfasst, um Ihnen gemäß der Vorgaben der Datenschutz-Grundverordnung (EU) 2016/679 und anwendbaren nationalen Gesetzen zu erklären, welche personenbezogenen Daten (kurz Daten) wir als Verantwortliche – und die von uns beauftragten Auftragsverarbeiter (z. B. Provider) – verarbeiten, zukünftig verarbeiten werden und welche rechtmäßigen Möglichkeiten Sie haben. Die verwendeten Begriffe sind geschlechtsneutral zu verstehen.

Kurz gesagt: Wir informieren Sie umfassend über Daten, die wir über Sie verarbeiten. Sollten Sie weitere Fragen haben, beantworten wir Ihnen diese gerne.

Datenschutzerklärungen klingen für gewöhnlich sehr technisch und verwenden juristische Fachbegriffe. Diese Datenschutzerklärung soll Ihnen hingegen die wichtigsten Dinge so einfach und transparent wie möglich beschreiben. Soweit es der Transparenz förderlich ist, werden technische Begriffe leserfreundlich erklärt, Links zu weiterführenden Informationen geboten und Grafiken zum Einsatz gebracht. Wir informieren damit in klarer und einfacher Sprache, dass wir im Rahmen unserer Geschäftstätigkeiten nur dann personenbezogene Daten verarbeiten, wenn eine entsprechende gesetzliche Grundlage gegeben ist. Das ist sicher nicht möglich, wenn man möglichst knappe, unklare und juristisch-technische Erklärungen abgibt, so wie sie im Internet oft Standard sind, wenn es um Datenschutz geht. Ich hoffe, Sie finden die folgenden Erläuterungen interessant und informativ und vielleicht ist die eine oder andere Information dabei, die Sie noch nicht kannten.

Wenn trotzdem Fragen bleiben, möchten wir Sie bitten, sich an die unten bzw. im Impressum genannte verantwortliche Stelle zu wenden, den vorhandenen Links zu folgen und sich weitere Informationen auf Drittseiten anzusehen. Unsere Kontaktdaten finden Sie selbstverständlich auch im Impressum.

2.   Kontaktdaten des Verantwortlichen

Sollten Sie Fragen zum Datenschutz haben, finden Sie nachfolgend die Kontaktdaten der verantwortlichen Person bzw. Stelle:

Vesputi GmbH

Linus Frank

c/o SpinLab, Spinnereistraße 7, 04179 Leipzig

E-Mail: [email protected]

Telefon: +49 (0)176 96351642

Impressum: https://www.vesputi.com/impressum/

3.   Anwendungsbereich

Die nachfolgende Datenschutzerklärung gilt für alle über die Mobilitybox abgewickelten Ticketkäufe.

Der Kauf eines Fahrscheins kann im Allgemeinen in 2 Schritte untergliedert werden:

  1. Fahrscheinauswahl und Bezahlung
  2. Aktivierung des Fahrscheines
 

In beiden Schritten werden Daten verarbeitet. Welche Daten wie und von wem verarbeitet werden, stellen wir im Folgenden detailliert dar.

3.1.       Fahrscheinauswahl und Bezahlung

Nachdem Sie sich für den Kauf eines Fahrscheins entschieden haben, gelangen Sie zu einem Payment oder Check-out Prozess. Dieser wird entweder von unserem Kunden selbst oder über unseren separat zur Verfügung gestellten Check-out Prozess (‘Fast-Link’) bereitgestellt.

Findet der Check-out im System unseres Kunden (der Anbieter, über dessen Homepage oder Plattform Sie das Ticket erwerben) statt, so finden Sie die Hinweise zum Payment in dessen Datenschutzerklärung.

3.1.1.            Fast-Link

Wird der von uns bereitgestellte Check-out genutzt, so gelten folgende Hinweise:

Zur Abrechnung der gekauften Fahrscheine werden keine vollständigen Zahlungsinformationen an Vesputi übermittelt, sondern lediglich Informationen zum Betrag, gewählten Zahlungsdienst und die maskierte Kreditkartennummer. Diese Information benötigt Vesputi zur Durchführung des Vertrags. Die Verarbeitung von Zahlungsinformationen erfolgt durch die Zahlungsplattform Stripe als verantwortliche Stelle.

3.1.2.            Zahlungsdienstleister

Zur Durchführung des Bezahlvorgangs werden Ihre Zahlungsdaten an unseren Zahlungsdienstleister übermittelt. Als Zahlungsdienstleister setzen wir Stripe Payments Europe Ltd , Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland ein. Die Weitergabe Ihrer Daten erfolgt zum Zwecke der Zahlungsabwicklung mit dem Payment-Dienstleister Stripe nach Art. 6 Abs. 1 lit. f DSGVO.

Zur Prävention und Aufdeckung von Betrugsfällen kann Ihre IP-Adresse, Ihre E-Mail-Adresse sowie eine geräte- und zahlungsdienstleisterspezifische ID übermittelt werden. Sämtliche Daten werden verschlüsselt übertragen. Die Rechtsgrundlage für diese Verarbeitung ist unser berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO.

Mehr Informationen zum Datenschutz bei Stripe finden Sie unter:

https://stripe.com/de/privacy

Zusätzliche Informationen zur Datenverarbeitung bei PayPal-Zahlungen finden Sie unter:

https://www.paypal.com/webapps/mpp/ua/privacy-full.

3.2.       Aktivierung des Fahrscheines

Nach der Bezahlung muss der Fahrschein aktiviert werden. Grund hierfür ist, dass zum einen Tickets einen bestimmten Gültigkeitstag und/oder eine bestimmte Gültigkeitsdauer haben. Zum anderen muss bei der Aktivierung das Ticket auch individualisiert werden. Dies schreibt der jeweilige Verkehrsbetrieb vor, um den Fahrschein persönlich zuordnen und kontrollieren zu können.

Hierbei werden die für die Abwicklung des Fahrscheinkauf erforderlichen Daten verarbeitet. Diese unterscheiden sich je nach kooperierenden Verkehrsunternehmen. Meist werden nicht alle Daten abgefragt und verarbeitet, sondern eine oder eine Kombination aus mehreren Datenpunkten der folgenden Aufzählung:

  • Name
  • Geburtsdatum
  • Geschlecht
  • Passnummer
  • Telefonnummer
  • Letzte vier Ziffern der Kreditkarte

Die verschiedenen Verkehrsunternehmen erfordern verschiedene Daten. Dies ist eine vollständige Auflistung aller Daten, die erhoben werden. Diese Daten sind erforderlich, um den Ticketkauf abzuwickeln. Die Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. b DSGVO.

Die Daten werden in unseren Systemen zur Prüfung temporär zwischengespeichert und bei der Erstellung des Barcodes des Fahrscheins in den Barcode integriert. Danach werden sie gelöscht und befinden sich nicht mehr in unseren Systemen. Dies erlaubt dem Verkehrsbetrieb bei der Kontrolle sicherzustellen, dass nur eine spezifische Person ein bestimmtes Ticket nutzt. Wird das Ticket nicht von unserem eigenen Ticketserver generiert, so werden Schnittstellen der Verkehrsbetriebe genutzt.

Handelt es sich um ein Abo-Produkt, das automatisch verlängert wird, werden die obigen Informationen in der Regel durch unseren Kunden in verschlüsselter und signierter Form an Vesputi übermittelt, worauf wir die Verlängerung vornehmen können. Die Daten werden werden anschließend sofort wieder gelöscht.

3.3.       Meldung der Postleitzahl zur Einnahmenaufteilung

Das Deutschlandticket wird von einem Verkehrsunternehmen erworben und kann im Rahmen der gültigen Regulierung deutschlandweit genutzt werden. Um die Einnahmen entsprechend den Regionen zuzuordnen, in denen der Nutzer das Deutschlandticket verwendet, wird die Postleitzahl erfasst. Es wird zunächst vereinfacht angenommen, dass ein Nutzer das Ticket in der Regel dort nutzt, wo er oder sie wohnt. Daher erfolgt die Zuordnung der Fahrgelder anhand der Postleitzahl. 

Die Postleitzahl wird dem Verkehrsunternehmen, das offiziell das jeweilige Ticket verkauft hat, gemeldet. Dabei wird lediglich aggregiert die Anzahl der an einer bestimmten Postleitzahl gekauften Tickets übermittelt. Das Verkehrsunternehmen leitet die Daten aggregiert bis zur Stelle weiter, an der die deutschlandweite Verteilung vorgenommen wird. 

3.4.       Hosting Ticket Generator

Unser Server, über den wir Tickets generieren, steht in einem Rechenzentrum in Leipzig.

4.   Server

Für das Hosting unserer Dienste nutzen wir Netcup. Dienstanbieter ist das deutsche Unternehmen netcup GmbH, Daimlerstraße 25, D-76185 Karlsruhe, Deutschland. Mehr über die Daten, die durch die Verwendung von netcup verarbeitet werden, erfahren Sie in der Datenschutzerklärung auf https://www.netcup.de/kontakt/datenschutzerklaerung.php

5.   Rechtsgrundlagen

In der folgenden Datenschutzerklärung geben wir Ihnen transparente Informationen zu den rechtlichen Grundsätzen und Vorschriften, also den Rechtsgrundlagen der Datenschutz-Grundverordnung, die uns ermöglichen, personenbezogene Daten zu verarbeiten.

Was das EU-Recht betrifft, beziehen wir uns auf die VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016. Diese Datenschutz-Grundverordnung der EU können Sie selbstverständlich online auf EUR-Lex, dem Zugang zum EU-Recht, unter https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex%3A32016R0679 nachlesen.

Wir verarbeiten Ihre Daten nur, wenn mindestens eine der folgenden Bedingungen zutrifft:

  • Einwilligung (Artikel 6 Absatz 1 lit. a DSGVO): Sie haben uns Ihre Einwilligung gegeben, Daten zu einem bestimmten Zweck zu verarbeiten. Ein Beispiel wäre die Speicherung Ihrer eingegebenen Daten eines Kontaktformulars.
  • Vertrag (Artikel 6 Absatz 1 lit. b DSGVO): Um einen Vertrag oder vorvertragliche Verpflichtungen mit Ihnen zu erfüllen, verarbeiten wir Ihre Daten. Wenn wir zum Beispiel einen Kaufvertrag mit Ihnen abschließen, benötigen wir vorab personenbezogene Informationen.
  • Rechtliche Verpflichtung (Artikel 6 Absatz 1 lit. c DSGVO): Wenn wir einer rechtlichen Verpflichtung unterliegen, verarbeiten wir Ihre Daten. Zum Beispiel sind wir gesetzlich verpflichtet, Rechnungen für die Buchhaltung aufzuheben. Diese enthalten in der Regel personenbezogene Daten.
  • Berechtigte Interessen (Artikel 6 Absatz 1 lit. f DSGVO): Im Falle berechtigter Interessen, die Ihre Grundrechte nicht einschränken, behalten wir uns die Verarbeitung personenbezogener Daten vor. Wir müssen zum Beispiel gewisse Daten verarbeiten, um unsere Website sicher und wirtschaftlich effizient betreiben zu können. Diese Verarbeitung ist somit ein berechtigtes Interesse.
 

Weitere Bedingungen wie die Wahrnehmung von Aufnahmen im öffentlichen Interesse und Ausübung öffentlicher Gewalt sowie dem Schutz lebenswichtiger Interessen treten bei uns in der Regel nicht auf. Soweit eine solche Rechtsgrundlage doch einschlägig sein sollte, wird diese an der entsprechenden Stelle ausgewiesen.

Zusätzlich zu der EU-Verordnung gelten auch noch nationale Gesetze:

  • In Österreich ist dies das Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz), kurz DSG.
  • In Deutschland gilt das Bundesdatenschutzgesetz, kurz BDSG.
 

Sofern weitere regionale oder nationale Gesetze zur Anwendung kommen, informieren wir Sie in den folgenden Abschnitten darüber.

6.   Rechte laut Datenschutz-Grundverordnung

Laut Artikel 13 DSGVO stehen Ihnen die folgenden Rechte zu, damit es zu einer fairen und transparenten Verarbeitung von Daten kommt:

  • Sie haben laut Artikel 15 DSGVO ein Auskunftsrecht darüber, ob wir Daten von Ihnen verarbeiten. Sollte das zutreffen, haben Sie Recht darauf eine Kopie der Daten zu erhalten und die folgenden Informationen zu erfahren:
    • zu welchem Zweck wir die Verarbeitung durchführen;
    • die Kategorien, also die Arten von Daten, die verarbeitet werden;
    • wer diese Daten erhält und wenn die Daten an Drittländer übermittelt werden, wie die Sicherheit garantiert werden kann;
    • wie lange die Daten gespeichert werden;
    • das Bestehen des Rechts auf Berichtigung, Löschung oder Einschränkung der Verarbeitung und dem Widerspruchsrecht gegen die Verarbeitung;
    • dass Sie sich bei einer Aufsichtsbehörde beschweren können (Links zu diesen Behörden finden Sie weiter unten);
    • die Herkunft der Daten, wenn wir sie nicht bei Ihnen erhoben haben;
    • ob Profiling durchgeführt wird, ob also Daten automatisch ausgewertet werden, um zu einem persönlichen Profil von Ihnen zu gelangen.
  • Sie haben laut Artikel 16 DSGVO ein Recht auf Berichtigung der Daten, was bedeutet, dass wir Daten richtig stellen müssen, falls Sie Fehler finden.
  • Sie haben laut Artikel 17 DSGVO das Recht auf Löschung („Recht auf Vergessenwerden“), was konkret bedeutet, dass Sie die Löschung Ihrer Daten verlangen dürfen.
  • Sie haben laut Artikel 18 DSGVO das Recht auf Einschränkung der Verarbeitung, was bedeutet, dass wir die Daten nur mehr speichern dürfen aber nicht weiter verwenden.
  • Sie haben laut Artikel 19 DSGVO das Recht auf Datenübertragbarkeit, was bedeutet, dass wir Ihnen auf Anfrage Ihre Daten in einem gängigen Format zur Verfügung stellen.
  • Sie haben laut Artikel 21 DSGVO ein Widerspruchsrecht, welches nach Durchsetzung eine Änderung der Verarbeitung mit sich bringt.
    • Wenn die Verarbeitung Ihrer Daten auf Artikel 6 Abs. 1 lit. e (öffentliches Interesse, Ausübung öffentlicher Gewalt) oder Artikel 6 Abs. 1 lit. f (berechtigtes Interesse) basiert, können Sie gegen die Verarbeitung Widerspruch einlegen. Wir prüfen danach so rasch wie möglich, ob wir diesem Widerspruch rechtlich nachkommen können.
    • Werden Daten verwendet, um Direktwerbung zu betreiben, können Sie jederzeit gegen diese Art der Datenverarbeitung widersprechen. Wir dürfen Ihre Daten danach nicht mehr für Direktmarketing verwenden.
    • Werden Daten verwendet, um Profiling zu betreiben, können Sie jederzeit gegen diese Art der Datenverarbeitung widersprechen. Wir dürfen Ihre Daten danach nicht mehr für Profiling verwenden.
  • Sie haben laut Artikel 22 DSGVO unter Umständen das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung (zum Beispiel Profiling) beruhenden Entscheidung unterworfen zu werden.

Kurz gesagt: Sie haben Rechte – zögern Sie nicht, die oben gelistete verantwortliche Stelle bei uns zu kontaktieren!

Wenn Sie glauben, dass die Verarbeitung Ihrer Daten gegen das Datenschutzrecht verstößt oder Ihre datenschutzrechtlichen Ansprüche in sonst einer Weise verletzt worden sind, können Sie sich bei der Aufsichtsbehörde beschweren. Diese ist für Österreich die Datenschutzbehörde, deren Website Sie unter https://www.dsb.gv.at/ finden. In Deutschland gibt es für jedes Bundesland einen Datenschutzbeauftragten. Zuständige Aufsichtsbehörde in datenschutzrechtlichen Fragen ist der Landesdatenschutzbeauftragte des Bundeslandes, in dem unser Unternehmen seinen Sitz hat. Für nähere Informationen können Sie sich an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) wenden.

7.   Datenlöschung und Speicherdauer

Dass wir personenbezogene Daten nur so lange speichern, wie es für die Bereitstellung unserer Dienstleistungen und Produkte unbedingt notwendig ist, gilt als generelles Kriterium bei uns. Das bedeutet, dass wir personenbezogene Daten löschen, sobald der Grund für die Datenverarbeitung nicht mehr vorhanden ist. In einigen Fällen sind wir gesetzlich dazu verpflichtet, bestimmte Daten auch nach Wegfall des ursprünglichen Zwecks zu speichern, zum Beispiel zu Zwecken der Buchführung.

Ihre personenbezogenen Daten werden entsprechend nur bis zur Abholung des Tickets temporär zwischengespeichert und bei der Aktivierung des Tickets gelöscht.

8.   Änderungsklausel

Wir behalten uns vor, die vorliegende Datenschutzerklärung bei der Integration weiterer Partner zu ändern.

Quelle: Teilweise erstellt mit dem Datenschutz Generator von AdSimple