Die MVV GmbH bedankt sich für Ihren Besuch. Dabei nehmen wir den Schutz Ihrer persönlichen Daten sehr ernst. Wir beachten die jeweils gültigen datenschutzrechtlichen Vorschriften und garantieren die Sicherheit der uns übermittelten Daten im Rahmen der einschlägigen Datenschutzgesetze.
Personenbezogene Daten werden von uns nur dann erhoben, wenn Sie uns diese aktiv und freiwillig übermitteln (z.B. im Rahmen des Handy-/Online-Ticketings, der Bestellung einer Kundenkarte, eines Gewinnspiels oder einer Bestellung in unserem MVV-Online-Shop) – anderenfalls verarbeiten wir über den MVV-Internetauftritt keine personenbezogenen Daten. Personenbezogene Daten sind insbesondere E-Mail-Adressen, Namen, Adressen und Telefonnummer. Die übermittelten personenbezogenen Daten werden nicht an Dritte weitergeleitet, außer wenn dies zur Erreichung des Übermittlungszweckes erforderlich ist. Sie werden ausschließlich für den Zweck verwendet, für den sie erhoben wurden, soweit im Folgenden nicht etwas anderes bestimmt wird. Wir garantieren Ihnen, dass Ihre personenbezogenen Daten auch nicht für Werbezwecke verwendet werden. Es kommt auch keine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO zur Anwendung.
Soweit der Verarbeitung personenbezogener Daten Ihre Einwilligung zugrunde liegt (Art. 6 Abs. 1 UAbs. 1 lit. a oder Art. 9 Abs. 2 lit. a DSGVO), besteht ein Recht, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird, nach Maßgabe der gesetzlichen Regelungen zum Datenschutz (Art. 7 DSGVO, § 51 BDSG).
Es besteht ein Recht auf Auskunft über die betreffenden personenbezogenen Daten (Art. 15 DSGVO) sowie auf Berichtigung (Art. 16 DSGVO) oder Löschung (Art. 17 DSGVO) oder auf Einschränkung der Verarbeitung (Art. 18 DSGVO) oder ein Widerspruchsrecht gegen die Verarbeitung (Art. 21 DSGVO) sowie ein Recht auf Datenübertragbarkeit (Art. 20 DSGVO) nach Maßgabe der gesetzlichen Regelungen zum Datenschutz.
Für einige der Dienste und Angebote der MVV GmbH wird im Folgenden auf besondere Regelungen hingewiesen. Wenn Sie diese Dienste oder Angebote in Anspruch nehmen bzw. durch Setzen eines entsprechenden Häkchens (opt-in), erklären Sie als Nutzer ausdrücklich Ihre Einwilligung zur Verwendung Ihrer Daten wie folgt:
Die MVV GmbH verarbeitet die ihr anlässlich einer Bestellung vom Kunden übermittelten Daten für die Zwecke der Abwicklung der Bestellung. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 UAbs. 1 lit. b) DSGVO. Empfänger dieser Daten sind die mit der Abwicklung der Bestellung befassten Beschäftigten der MVV GmbH. Die Daten werden entsprechend den handelsrechtlichen Anforderungen nach zehn Jahren gelöscht. Ohne Bereitstellung dieser Daten kann kein Vertrag geschlossen werden.
Es gelten die Sonderregelungen zum Handy-OnlineTicketing unter AGB Handy- und OnlineTicket, Abschnitt 12.
Für die Ausstellung der Kundenkarte werden die Daten verarbeitet, die der Kunde selbst in dem Onlineantrag angibt. Diese sind (soweit mit * versehen) für die Ausstellung der Kundenkarte erforderlich, die wiederum für die Nutzung des Ausbildungstarifs zwingend notwendig ist. Ohne diese Daten kann das Angebot nicht genutzt werden.
Die personenbezogenen Daten, die beim Ausfüllen des Antragsformulars für eine Kundenkarte im Ausbildungstarif anzugeben sind, werden nur durch Beschäftigte der MVV GmbH, bei Bestellung über die Website der S-Bahn München auch durch Beschäftige der DB Vertrieb GmbH, zu den Zwecken der Prüfung, Erstellung, Druck und Versand von Kundenkarten im Ausbildungstarif sowie zur Abrechnung von entsprechenden staatlichen Ausgleichsmitteln und für Verkaufsstatistiken (nur Stückzahlen) verwendet. Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 UAbs. 1 lit. b) DSGVO, die Verarbeitung ist für die Erfüllung eines Vertrages bzw. für die Durchführung vorvertraglicher Maßnahmen erforderlich.
Die Daten werden solange gespeichert, wie sie für die genannten Zwecke erforderlich sind; In der Regel werden sie zwei Jahre nach Ausstellung der Karte gelöscht.
Die der MVV GmbH anlässlich einer Anregung oder Beschwerde übermittelten Daten werden zur Bearbeitung des Anliegens und zum Zwecke der Qualitätsverbesserung gespeichert und anonymisiert ausgewertet. Die Verarbeitung erfolgt durch Beschäftigte der MVV GmbH; soweit die Anregung oder Beschwerde zur Beantwortung oder Sachverhaltsaufklärung an das jeweils betroffene Verkehrsunternehmen weitergeleitet wird, werden auch die übermittelten personenbezogenen Daten weitergeleitet. Der Nutzer stimmt diesem ausdrücklich zu. Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 UAbs. 1 lit. a) DSGVO (Einwilligung). Ohne die Bereitstellung der Daten kann die Beschwerde oder das Anliegen nicht bearbeitet werden.
Zum Schutz vor Spam verwendet die MVV GmbH den Dienst reCAPTCHA des Unternehmens Google Inc. ("Google"). Der Dienst schließt den Versand Ihrer IP-Adresse und ggf. weiterer von Google für den Dienst reCAPTCHA benötigter Daten an Google ein. Für diese Daten gelten die abweichenden Datenschutzbestimmungen des Unternehmens Google. Weitere Informationen zu Datenschutzrichtlinien von Google Captcha finden Sie unter www.google.com/policies/privacy/.
Auch außerhalb des Kontaktformulars übersandte Anliegen werden, wenn erforderlich zur Beantwortung oder Sachverhaltsaufklärung an das jeweils betroffene Verkehrsunternehmen weitergeleitet, auch dabei werden die übermittelten personenbezogenen Daten weitergeleitet.
Die Daten werden in der Regel zwölf Monate nach Bearbeitung gelöscht.
Bei Bestellung von MVV-Broschüren über das Internet werden die vom Besteller angegebenen Daten für die Abwicklung der Bestellung durch Beschäftigte der MVV GmbH verarbeitet. Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO. Das berechtigte Interesse der MVV GmbH, der Verkehrsunternehmen und der Aufgabenträger liegt in der (kostenlosen) Verbreitung des Infomaterials, um mehr Menschen zum Umstieg auf den ÖPNV zu bewegen. Ohne Bereitstellung der Daten ist eine Bestellung nicht möglich. Die Daten werden zwei Monate nach Versand gelöscht.
Der MVV-Partnerbereich dient als Datenaustauschplattform für Mitarbeiter von Verkehrsunternehmen und Aufgabenträgern. Die bei der Registrierung angegebenen Daten werden für die Authentizitätsprüfung bei der Anmeldung sowie für die mit der MVV-Plattform in Zusammenhang stehenden Funktionalitäten durch Beschäftigte der MVV GmbH verwendet. Für weitere Zwecke werden sie nicht verarbeitet. Diese Daten werden nicht Dritten übermittelt, außer wenn dies zur Erreichung des Übermittlungszweckes erforderlich ist. Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO. Das berechtigte Interesse der MVV GmbH, der Aufgabenträger und der Verkehrsunternehmen liegt in der reibungslosen Übermittlung von Informationen, die die Beschäftigten von Verkehrsunternehmen und Aufgabenträgern sowie der MVV GmbH für ihre tägliche Arbeit benötigen. Die personenbezogenen Daten der registrierten Person werden gelöscht, nachdem sie sich abgemeldet hat bzw. abgemeldet wird. Ohne Bereitstellung der Daten ist eine Registrierung nicht möglich.
Im Rahmen von Anfragen über die MVV-Auskunft und den MVV-Radroutenplaner werden – abgesehen von einer kurzen, technisch bedingten Zwischenspeicherung im Rahmen der IP-basierten Kommunikation sowie bei der Verwendung eines der angebotenen Ticketshops zum Erwerb von MVV-OnlineTickets – keine personenbezogenen Daten verarbeitet. Bei Nutzung eines angebotenen Ticketshops für MVV-OnlineTickets werden personenbezogene Daten gemäß den für den jeweiligen Ticketshop maßgeblichen Datenschutzbestimmungen verarbeitet. Die für den Verkauf von Handy- und OnlineTickets über den Ticketshop der MVV GmbH maßgeblichen Regelungen sind dem Abschnitt 12 der allgemeinen Geschäftsbedingungen und Datenschutzgrundsätze zu entnehmen.
Bei Fahrplanauskünften werden folgende Daten auf dem Endgerät gespeichert: Historie der zuletzt verwendeten Orte, Verbindungen und Linien, vorgenommene Einstellungen, Downloads (z. B. Orientierungspläne, Aushangfahrpläne und Fahrplanbuchseiten), empfangene Server-Inhalte (Kartenausschnitte, Fahrtauskünfte) sowie technisch bedingte, im Folgenden näher beschriebene Cookies.
Für den sicheren Betrieb werden Berechnungen der elektronischen Fahrplanauskunft (Abfahrten, Fahrtauskünfte etc.) auf den Servern der Fahrplanauskunft protokolliert. Die Protokolle beziehen sich ausschließlich auf die durchgeführten Berechnungen und entsprechen den Datenschutzgrundsätzen der MVV GmbH. Es werden dabei keine persönlichen Daten übertragen oder gespeichert; Rückschlüsse auf den Nutzer oder Anfragemuster sind nicht möglich.
Soweit der Nutzer (s)eine E-Mail-Adresse angibt, wird auch diese nur technisch bedingt temporär gespeichert und nach Versand der Auskunft automatisch gelöscht, eine weitere Verwendung erfolgt nicht. Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO, um Ihnen als Nutzer einen besseren Zugang zum ÖPNV zu ermöglichen.
MVV-Auskunft und MVV-Radroutenplaner setzen sogenannte funktionale, das heißt technisch notwendige, Cookies ein. Diese Cookies ermöglichen uns die Wiedererkennung und die Zwischenspeicherung von Informationen, beispielsweise Spracheinstellungen oder den bevorzugten Aufruf unseres mobilen Auskunftsportals. Außerdem optimieren die gesetzten Cookies die Verarbeitung Ihrer Verbindungsanfragen auf unserer Serverinfrastruktur (sog. Session-Cookies). Dabei werden keine personenbezogenen Daten gesammelt oder weitergegeben.
Um die Qualität der Fahrplanauskunft zu verbessern, werden von der MVV GmbH und/oder IT-Dienstleistern darüber hinaus auf Basis der Serveranfragen anonymisierte Nutzungsstatistiken erstellt. Diese dienen einzig der Produktverbesserung und enthalten keine persönlichen Informationen. Wir setzen in der MVV-Fahrplanauskunft und im MVV-Radroutenplaner keine Tracking- oder Werbe-Cookies ein.
Das mobile MVV-Auskunftsportal erlaubt es, Standortinformationen für Fahrplanauskünfte zu verwenden. Um diese Funktion verwenden zu können, müssen Sie der Nutzung von Standortinformationen in Ihrem Browser explizit zustimmen. Diese Daten dienen der Ermittlung von Wegepunkten im Routing sowie nahegelegenen Haltestellen und Abfahrten. Es erfolgt keine dauerhafte Speicherung oder Weitergabe der Standortdaten an Dritte.
Für die Einbindung der MVV-Auskunft in Ihre Webseite wird auf Basis Ihrer Angaben ein Code entwickelt. Dieser wird nicht dauerhaft gespeichert, sondern nach Beendigung Ihrer Anfrage gelöscht. Personenbezogene Daten fallen nicht an, da insbesondere auch keine IP-Adresse gespeichert wird.
Unterlagen, die Sie uns im Rahmen einer Bewerbung zusenden, werden von uns auf eine mögliche Verwendung geprüft. Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 UAbs. 1 lit. b) DSGVO, die Verarbeitung ist für die Durchführung vorvertraglicher Maßnahmen erforderlich. Sie werden sechs Monate nach einer Absage gelöscht (Papierbewerbungen geschreddert), soweit nichts anderes vereinbart wird.
Ihre angegebenen Daten werden nur für den Zweck des Projekts verwendet. Die Daten werden nicht an Dritte weitergegeben und nur anonym verarbeitet, es kann durch uns kein Personenbezug hergestellt werden. Nach Beendigung des Projekts werden die Rohdaten gelöscht, so dass ein Personenbezug überhaupt nicht mehr hergestellt werden kann.
Im Rahmen unserer Gewinnspiele verarbeiten wir personenbezogene Daten, die Sie uns freiwillig zur Verfügung stellen (z.B. Name, E-Mail-Adresse). Diese Daten werden ausschließlich zur Durchführung des Gewinnspiels und zur Benachrichtigung der Gewinner verwendet. Für abweichende Regelungen sind die Teilnahmebedingungen der jeweiligen Aktion zu beachten.
Die Verarbeitung Ihrer personenbezogenen Daten erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Ihre Daten werden nur für die Dauer des Gewinnspiels und zur anschließenden Gewinnbenachrichtigung gespeichert. Danach werden die Daten gelöscht, es sei denn, gesetzliche Aufbewahrungspflichten stehen dem entgegen.
Ihre Daten werden nicht an Dritte weitergegeben und nicht für Werbezwecke verwendet.
Sie haben das Recht, Ihre Einwilligung zur Datenverarbeitung jederzeit mit Wirkung für die Zukunft zu widerrufen. Der Widerruf kann per E-Mail an datenschutz(at)mvv-muenchen.de erfolgen. Nach dem Widerruf werden Ihre Daten gelöscht, es sei denn, es bestehen gesetzliche Aufbewahrungspflichten.
Zur Teilnahme am Gewinnspiel müssen Sie nicht zwangsläufig der anonymen statistischen Auswertung der App Daten zustimmen.
Die MVV GmbH nutzt Ihre übermittelten Daten ausschließlich zum Versand des Newsletters. Eine Weitergabe an Dritte erfolgt nicht. Die Daten werden in anonymisierter Form durch Beschäftigte der MVV GmbH lediglich für eine statistische Auswertung des Newsletter-Versands verwendet. Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 UAbs. 1 lit. a) DSGVO (Einwilligung). Mit der Abmeldung vom Newsletter werden Ihre Daten gelöscht. Ohne Bereitstellung dieser Daten kann kein Newsletter versendet werden.
Für die elektronische oder telefonische Buchung von On-Demand-Services (MVV-Ruftaxi, FLEX) ist eine Registrierung unter Angabe von Name, Telefonnummer und E-Mail-Adresse (kann bei telefonischer Anmeldung ggf. entfallen) erforderlich. Diese Daten werden ausschließlich für die Organisation, Disposition und Durchführung der gebuchten Mitfahrten sowie für die Kontaktaufnahme mit Ihnen im Zusammenhang mit den von Ihnen gebuchten Mitfahrten verwendet (z. B. Fahrtzeitänderung, Rückfragen zum Platzbedarf) und zum gleichen Zweck über verschlüsselte Transportsysteme elektronisch an die Ruftaxi-Zentrale sowie das betroffene Verkehrsunternehmen weitergegeben. Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 UAbs. 1 lit. b) – die Verarbeitung ist für die Erfüllung eines Vertrages bzw. für die Durchführung vorvertraglicher Maßnahmen erforderlich – und lit. f) DSGVO. Die berechtigten Interessen der MVV GmbH, der Verkehrsunternehmen und der Aufgabenträger liegt darin, ihnen als Nutzer der MVV-App einen besseren Zugang zum ÖPNV zu ermöglichen und Fahrplanauskünfte sowie den Kauf von MVV-HandyTickets zu erleichtern. Ohne Bereitstellung der Daten kann keine Buchung über das Buchungstool erfolgen.
Die Daten werden spätestens zwei Jahre nach der letzten Nutzung bzw. Buchung gelöscht. Im Übrigen erfolgt eine Löschung auf ausdrücklichen Wunsch des Kunden per E-Mail an kundendialog@mvv-muenchen.de binnen 30 Tagen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Der Schutz Ihrer Daten ist der Münchner Verkehrs- und Tarifverbund GmbH (MVV, im folgenden MVV GmbH genannt), Thierschstraße 2, 80538 München (im Folgenden „wir“ genannt) wichtig. Neben den sog. Kundenvertragspartnern (MVG, S-Bahn München) verarbeiten auch wir personenbezogene Daten unter Beachtung der EU-Datenschutzgrundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG), des Bayerischen Datenschutzgesetzes (BayDSG) sowie aller weiteren maßgeblichen Datenschutzgesetze.
Wir informieren Sie nachfolgend, wie wir als MVV GmbH Ihre personenbezogenen Daten im Zusammenhang mit dem Einsatz von elektronischen Fahrkarten (eTickets) auf Chipkarten verarbeiten und welche Rechte Sie haben. Daneben gelten unsere allgemeinen Datenschutzhinweise. Diese finden Sie unter https://www.mvv-muenchen.de/footer/datenschutz/index.html. Wie die Kundenvertragspartner Ihre personenbezogenen Daten verarbeiten erfahren sie unter
MVG: https://www.mvg.de/datenschutz-eticket.html
DB Vertrieb: https://www.bahn.de/p/view/home/datenschutz/schutz.shtml
Verantwortlich für den Schutz Ihrer im Hintergrundsystem der MVV GmbH ein- und ausgehenden Daten, gem. Art. 4 Nr. 7 DSGVO, ist die Münchner Verkehrs- und Tarifverbund GmbH (MVV), Thierschstraße 2, 80538 München, E-Mail: info@mvv-muenchen.de. Zu weiteren sog. gemeinsam Verantwortlichen nach Art. 26 DSGVO siehe Ziff. 5.2.
Die MVV GmbH hat einen externen Datenschutzbeauftragten. Diesen können Sie per E-Mail über Datenschutz@mvv-muenchen.de oder postalisch über DSBOK, Datenschutzbeauftragter für die MVV GmbH, Untergasse 2, 65474 Bischofsheim erreichen.
Die Partner im Münchner Verkehrs- und Tarifverbund (MVV) stellen sukzessive ihre Abonnements von Papierfahrkarten auf elektronische Tickets (kurz: eTickets) um. Welche Abonnement-Produkte das im Einzelnen betrifft, können Sie in unseren FAQs zur Chipkarte lesen unter https://www.mvv-muenchen.de/tickets/zeitkarten-abos/isarcard-chipkarte/index.html. Dabei wird die gebuchte elektronische Fahrkarte (die Fahrtberechtigung bzw. das Ticket) in eine Chipkarte gespeichert.
Ihre personenbezogenen Daten werden in den Hintergrundsystemen der Kundenvertragspartner verarbeitet, da dies zur Durchführung des Abonnement-Vertrages mit Ihnen erforderlich ist. Diese Verarbeitung wird in den Datenschutzhinweisen des jeweiligen Kundenvertragspartners beschrieben, mit dem Sie Ihren Vertrag geschlossen haben.
Durchführung von Änderungen im Online-Verfahren
Ein Vorteil des eTickets auf Chipkarte ist, dass auf der Chipkarte selbst keine Kundendaten aufgedruckt sind (wie dies beim Papierticket der Fall war), außerdem kann die Karte bei Verlust oder Diebstahl gesperrt werden, und Sie können Änderungen (z.B. Zukauf oder Reduzierung von Zonen) selbst online in Auftrag geben und erhalten die Änderung direkt in Ihre Chipkarte. Der bisherige Austausch von Wertmarken entfällt. Führen Sie eine Änderung Ihres Tickets nicht im Kundencenter unter Verwendung der Chipkarte durch, sondern per Telefon über die Hotline Ihres Kundenvertragspartners (MVG- bzw. S-Bahn-München) oder online, dann wird das nachfolgende Verfahren abgewendet, damit Ihre Änderung in Ihre Chipkarte gespeichert wird:
Damit Ihr (geändertes) Ticket bei allen Partnern im MVV als gültiger Fahrausweis akzeptiert werden kann, obwohl die Partner im MVV untereinander keinen Zugang zu den jeweils anderen Hintergrundsystemen haben, muss sichergestellt werden, dass alle Partner im MVV über die Änderung informiert werden. Die unter Ziffer 5.2 genannten Partner haben sich daher als sog. gemeinsame Verantwortliche bei der Chipkarte für den deutschlandweiten Standard "(((eTicket Deutschland" entschieden. Dieser gilt als besonders sicher im Hinblick auf Missbrauch, Manipulationen oder Fälschungen. Der Standard wurde in enger Zusammenarbeit mit der Konferenz der Datenschutzbeauftragten des Bundes und der Länder entwickelt. Beim "(((eTicket Deutschland-Standard" (sog. VDV-Kernapplikation) wurde ein besonderer Fokus auf Datenschutz, Datensparsamkeit und Verbraucherschutz gelegt. Im Rahmen des "(((eTicket Deutschland-Standard" wird die von Ihnen vorgenommene Änderung in einer sog. Aktionsliste bei der MVV GmbH gespeichert. Hierbei wird nur der Änderungswunsch (z.B. Erweiterung des räumlichen Geltungsbereichs der Fahrkarte) in Verbindung mit der Chipkartennummer und der Fahrberechtigungsnummer verarbeitet. Es werden zwischen den Partnern also nur pseudonymisierte Daten ausgetauscht, sonstige personenbezogene Daten von Ihnen werden nicht mit den Partnern im MVV ausgetauscht. Hierbei ist es gleichgültig, bei welchem Partner im MVV Sie Kunde sind, die zur Durchführung des Abonnement-Vertrages mit Ihnen erforderlichen personenbezogenen Daten liegen jeweils nur bei Ihrem direkten Vertragspartner. Alle Partner im MVV können auf die Aktionsliste zugreifen und so sicherstellen, dass Ihre Chipkarte bei der nächsten Interaktion mit einem Kontrollgerät (z.B. bei einer Fahrkartenkontrolle), einem Fahrscheinautomaten mit (((e-Logo oder einem Kassengerät im Kundencenter automatisch aktualisiert und z.B. die neue Fahrberechtigung in die Chipkarte aufgespeichert wird. Nach der Aktualisierung wird Ihre Änderung aus der Aktionsliste gelöscht.
Daten in/auf der Chipkarte
In der Chipkarte selbst werden folgende Daten zugriffsgeschützt gespeichert: Ticketnummer, Nummer des ausstellenden Verkehrsunternehmens, räumlicher und zeitlicher Geltungsbereich und – nur im Falle eines persönlichen Abonnements – Vorname und Name des Karteninhabers in maskierter Form (Max Mustermann wird z.B. zu M1x@M8n) sowie Geburtsdatum und Geschlecht.
Auf der Chipkarte sind keine personenbezogenen Daten aufgedruckt. Es gibt ein Notizfeld, das Sie – z.B. zur Unterscheidung innerhalb der Familie – selbst beschriften können (wir empfehlen hier aber, nicht Ihren vollen Namen einzutragen, sondern z.B. „Mama“ o.ä.). Aufgedruckt auf der Chipkarte sind nur die Chipkartennummer und das Ende der Gültigkeitsdauer der Chipkarte (zum Ablauf dieses Datums erhalten Sie automatisch eine neue Chipkarte zugeschickt). Die unten rechts aufgedruckte Chipkartennummer kann auch über den aufgedruckten Barcode elektronisch ausgelesen werden.
Neben der elektronischen Fahrkarte gibt es zehn Speicherplätze für sog. Transaktionseinträge (Logbuch) auf der Chipkarte. Eine Transaktion entsteht bei einem Datenaustausch zwischen der Chipkarte und einem Terminal, z. B. im Rahmen einer Fahrkartenkontrolle. Die Transaktion wird im Logbuch als Eintrag gespeichert. Ab dem elften Logbucheintrag werden die alten Einträge mit den neuen Folgeeinträgen überschrieben, so dass immer nur die letzten zehn Einträge in der Chipkarte gespeichert sind.
Fahrkartenkontrolle
Bei einer Kontrolle durch das Prüfpersonal werden die in der Chipkarte gespeicherten Daten ausgelesen und die elektronische Fahrkarte sowie deren zeitliche und räumliche Gültigkeit automatisiert geprüft. Dem Kontrolleur wird das Prüfergebnis angezeigt (Fahrkarte gültig oder ungültig in Bezug auf den zeitlichen und räumlichen Geltungsbereich). Zusätzlich wird der maskierte Name, das Geburtsdatum und das Geschlecht des Fahrkarteninhabers am Kontrollgerät angezeigt (nur bei persönlichen und nicht bei übertragbaren Abonnements). Diese Daten sind dafür erforderlich, dass das Prüfpersonal über das Alter und das Geschlecht eine erste Einschätzung treffen kann, ob die kontrollierte Person auch der rechtmäßige Fahrkarteninhaber sein kann. Im Gegensatz zur Papierfahrkarte kann das Prüfpersonal aber nicht den unmaskierten (d.h. vollständig lesbaren) Namen sehen. Bei einem persönlichen Abonnement ist wie bisher ein Lichtbildausweis mitzuführen und bei Bedarf vorzuzeigen. Die aus der Chipkarte vom Kontrollgerät ausgelesenen Daten werden nur zum Zweck der Kontrolle auf dem Gerät zwischengespeichert und direkt nach Abschluss der Kontrolle vom Kontrollgerät automatisch gelöscht.
Kontrollnachweise
Die MVV GmbH ist im Rahmen des (((eTicket Deutschland für die im MVV als elektronische Fahrkarten ausgegebenen Tarifprodukte verantwortlich. Vor diesem Hintergrund werden Transaktionsnachweise (z. B. sog. Kontrollnachweise) an das Hintergrundsystem der MVV GmbH übermittelt, die den Datensatz im Rahmen einer Missbrauchsanalyse auf Manipulationen, d. h. Echtheit und Unverfälschtheit der elektronischen Fahrkarte, prüft. Ein Transaktionsnachweis enthält Angaben zu Zeit, Ort und Art der Transaktion (z.B. Zonenwechsel oder Kontrolle) sowie die Terminalnummer (z.B. Prüfgerät) und die Produktnummer, aber keine sonstigen personenbezogenen Daten.
Weitere Informationen / Rechtsgrundlage / anonyme Tickets
Weitere Informationen zur Datenverarbeitung finden Sie in den FAQs zur Chipkarte unter www.mvv-muenchen.de/tickets/zeitkarten-abos/isarcard-chipkarte/index.html.
Rechtsgrundlage für die Datenverarbeitung durch die MVV GmbH ist Art. 6 Abs. 1 lit. b DSGVO i.V.m. Ihrem Vertragsverhältnis über Ihr IsarCard-Abonnement mit einem Kundenvertragspartner (MVG bzw. S-Bahn München) und Art. 6 Abs. 1 lit. c und/oder f der Datenschutzgrundverordnung (DSGVO).
Eine nicht-eTicket-basierte Nutzung von Verkehrsmitteln im MVV ist durch den Erwerb eines Tickets aus dem Bartarif (z.B. Monats- und Wochenkarten), die auf Papier ausgegeben werden, weiterhin möglich.
Wir verarbeiten pseudonymisierte personenbezogene Daten, die uns von gemeinsamen Verantwortlichen (Ihrem Kundenvertragspartner) berechtigt übermittelt werden (z.B. Chipkartennummer).
Die Bereitstellung der unter Ziffer 2 genannten Daten ist – soweit nicht ausdrücklich abweichend mitgeteilt – bereits für den Abschluss bzw. die Durchführung des Vertrags zwischen Ihnen und Ihrem Kundenvertragspartner erforderlich, da dieser ohne diese personenbezogenen Daten nicht durchgeführt werden kann. Für die spezielle unter Ziffer 2 beschriebene Datenverarbeitung zum eTicket auf Chipkarten werden keine zusätzlichen personenbezogenen Daten erhoben, es werden aber zusätzliche pseudonymisierte personenbezogenen Daten (v.a. die Chipkartennummer) hinzugespeichert und verarbeitet.
5.1 Interne Stellen und Auftragsverarbeiter
Innerhalb der MVV GmbH erhalten lediglich die Mitarbeiter/innen der fachlichen Betriebsführung Zugriff auf Ihre Daten, die diese für die unter Ziffer 2 beschriebenen Zwecke brauchen. Soweit gesetzlich zulässig (etwa im Rahmen einer Auftragsverarbeitung) geben wir personenbezogene Daten möglicherweise an Dritte der folgenden Kategorien weiter:
5.2 Gemeinsame Verantwortliche
Damit das eTicket im gesamten MVV-Tarifgebiet verwendet werden kann, ist es erforderlich, dass Transaktionsdatensätze an das Hintergrundsystem der MVV GmbH übermittelt werden, die den Datensatz im Rahmen einer Missbrauchsanalyse auf Manipulationen, d. h. Echtheit und Unverfälschtheit der elektronischen Fahrkarte, prüft. Auch für Kontrollen durch die verschiedenen Verkehrsunternehmen im MVV müssen pseudonymisierte personenbezogene Daten über die Aktionsliste ausgetauscht werden, wie unter Ziffer 2 beschrieben. Sonstige personenbezogenen Daten werden dabei nicht übermittelt.
Da die Verkehrsunternehmen im MVV-Bereich gemeinsam über die Zwecke und Mittel der Datenverarbeitung entscheiden, handeln sie als sog. gemeinsame Verantwortliche gemäß Art. 26 DSGVO. Die folgenden Verkehrsunternehmen haben deshalb eine entsprechende Vereinbarung zur gemeinsamen Verantwortlichkeit geschlossen:
Das Wesentliche der Vereinbarungen über eine gemeinsame Verantwortlichkeit mit den o. g. Gesellschaften stellt die MVV GmbH Ihnen gerne zur Verfügung. Hierzu können Sie sich an die unter Ziff. 1 genannten Kontaktdaten wenden.
Eine Datenübermittlung in ein Drittland oder an eine internationale Organisation ist in Bezug auf die Chipkarte derzeit nicht geplant. Sollten wir zukünftig für bestimmte Aufgaben (IT-)Dienstleister nutzen, die ebenfalls (IT-)Dienstleister nutzen, die ihren Firmensitz, Mutterkonzern oder Rechenzentrumssitz in einem Drittland (außerhalb der Europäischen Union und des Europäischen Wirtschaftsraums) haben können, muss Folgendes gegeben sein: Die Übermittlung ist zulässig, weil ein gesetzlicher Erlaubnistatbestand besteht oder Sie in die Übermittlung ausdrücklich eingewilligt haben und die besonderen Voraussetzungen für eine Übermittlung in ein Drittland vorliegen. Das bedeutet insbesondere, dass die Europäische Kommission entschieden hat, dass in dem Drittland ein angemessenes Datenschutzniveau besteht (Art. 45 DSGVO) oder geeignete Garantien (z. B. durch sog. EU-Standardvertragsklauseln, die von der Europäische Kommission oder der Aufsichtsbehörde vorgegeben werden) und durchsetzbare Rechte und wirksame Rechtsbehelfe vorgesehen sind.
Die Chipkarte hat eine maximale Gültigkeit von ca. fünf Jahren, sie wird nach dieser Zeit durch eine neue Karte mit neuer Chipkartennummer ersetzt. Die Transaktionen, die (mittelbar oder unmittelbar) personenbezogen sind, werden maximal 180 Tage nach Eingang/Erstellung archiviert und nach weiteren 365 Tagen gelöscht; die zugehörigen Berechtigungen werden nach 270 Tagen nach Ablauf der Gültigkeit und, wenn keine Referenzen mehr auf die Berechtigung bestehen, archiviert und nach weiteren 540 Tagen gelöscht.
Hinsichtlich sonstiger Daten löschen wir Ihre personenbezogenen Daten, sobald sie für die Zwecke, für die sie erhoben wurden nicht mehr erforderlich sind, es sei denn, deren – befristete – Weiterberarbeitung ist erforderlich zur:
Eine ausführliche Auskunft über Ihre Betroffenenrechte finden Sie auf unserer Homepage im Bereich Datenschutz: https://www.mvv-muenchen.de/datenschutz
Wir nutzen grundsätzlich keine automatisierte Entscheidungsfindung gem. Art. 22 DSGVO. Sollten wir in Einzelfällen diese Verfahren einsetzen, werden wir Sie hierüber im Rahmen der gesetzlichen Bestimmungen gesondert informieren.
Da unsere Datenverarbeitung Änderungen unterliegt und sich die Rechtslage verändern kann, werden wir auch unsere Datenschutzhinweise von Zeit zu Zeit anpassen.
Stand dieser Datenschutzhinweise: 01.04.2020
Im Regelfall sind die durch die Fahrgastzählgeräte erhobenen Daten keine personenbezogenen Daten im Sinne der DSGVO.
Die videobasierte Fahrgastzählung wird nur bei Bedarf zur Plausibilitätsprüfung von Zählergebnissen durch einen autorisierten Bearbeiter des MVV aktiviert. Erst nachdem die Videoaufzeichnungsfunktion aktiviert wurde, werden personenbezogene Videodaten generiert. Nach der Überprüfung werden die entsprechenden Videodaten innerhalb von 48 Stunden gelöscht.
Rechtsgrundlage für diese Verarbeitung ist Art. 6 Abs. 1 S. 1 lit. e) DSGVO, die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt, sowie § 4 Abs. 1 S. 1 Nr. 1 bzw. Nr. 3 BDSG. Gemäß Art. 24 Abs. 3 BayDSG wäre zudem die Identifizierung von Personen durch Sicherheitsbehörden zur Aufklärung von Verbrechen anhand von Gegenständen, Kleidung o.ä. zulässig. Voraussetzung wäre aber, dass die Videofunktion zuvor zufällig gerade in dem Fahrzeug und zu der Uhrzeit aktiviert war und dass die Videoaufnahmen noch nicht gelöscht bzw. überschrieben wurden.
Nach ausdrücklicher Zustimmung („Opt-in“), können von App-Nutzenden, die im MVV-Ticketshop ein Deutschland-Ticket gekauft haben , im Pilotzeitraum von September bis November 2024 anonymisierte Mobilitätsdaten erhoben werden. Zweck ist, die Nutzung des Deutschland-Tickets für unterschiedliche Strecken und Linien zu erforschen. Erfasst und ausgewertet werden dafür anonyme/mindestens monatlich randomisierte Nutzer-ID, Zeitstempel, Geo-Position, Genauigkeit der Aufzeichnung und Himmelsrichtung, Bewegungsgeschwindigkeit, Zeitfenster je Mobilitätssegment inkl. Erkennungssicherheit für die Verkehrsmittelklassifikation, Smartphone-Modellbezeichnung sowie die Version von Betriebssystem und MVV-App. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO. Es können bei der Datenauswertung keine Rückschlüsse auf einzelne Personen gezogen werden. In den Einstellungen der MVV-App können die Zustimmung zur Datenerfassung jederzeit widerrufen und übermittelte Daten jederzeit gelöscht werden.
1. Allgemeines
(1) Die MVV GmbH bietet in der MVV-App die Funktion eines CheckIn-CheckOut-Systems (im Folgenden InOut-System oder MVVswipe genannt) an. Dabei handelt es sich um ein Smartphone-basiertes Vertriebssystem mit automatischer ex-post Fahrpreisberechnung. Anhand von Standortermittlungen (GPS) erkennt das Smartphone ein vom Kunden aktiv ausgelösten CheckIn, die im MVV via Verkehrsmittel des öffentlichen Personennahverkehrs (ÖPNV) zurückgelegte Strecke sowie den vom Kunden ausgelösten CheckOut. Das System berechnet im Anschluss auf Basis dieser Standortdaten den richtigen Fahrpreis der zurückgelegten Strecke im Hintergrund. Werden mehrere Fahrten pro Tag zurückgelegt, wird maximal der jeweils gültige Tagespreis (je nach Zone und Mitfahrerzahl) abgerechnet. Je nach Anzahl der Fahrten pro Tag wird das zuvor angelegte Zahlungsmittel des Kunden belastet.
(2) Die MVV GmbH bedient sich zur Abwicklung des e-Payment-Services (z.B. InOut-System) des IT-Dienstleister Mentz GmbH (im Folgenden MENTZ genannt), Grillparzerstraße 18, 81675 München, und des Finanzunternehmens LOGPAY Financial Services GmbH (im Folgenden LOGPAY genannt), Schwalbacher Straße 72, 65760 Eschborn. Den technischen Betrieb für die Softwarekomponenten übernimmt MENTZ. Die Infrastruktur befindet sich in zertifizierten Rechenzentren in Deutschland. Im Rahmen der Auftragsdatenverarbeitung setzen die Dienstleister Softwareinstanzen beim Rechenzentrumsbetreiber Amazon Web Services (AWS) ein. Der Betrieb dieser Komponenten findet ausschließlich in der Region eu-central-1 (Frankfurt am Main) statt.
(3) Verantwortliche im Sinne des Datenschutzrechtes ist die MVV GmbH, vertreten durch die Geschäftsführung. Sie ist per E-Mail über info@mvv-muenchen.de oder postalisch über MVV GmbH, Geschäftsführung, Thierschstraße 2, 80538 München zu erreichen. Die MVV GmbH hat einen externen Datenschutzbeauftragten. Dieser kann per E-Mail über datenschutz@mvv-muenchen.de oder postalisch über DSBOK, Datenschutzbeauftragter für die MVV GmbH, Untergasse 2, 65474 Bischofsheim erreicht werden. Wird die Löschung der personenbezogenen Daten des Kunden gewünscht, ist dies per E-Mail an datenloeschung@mvv-muenchen.de zu beantragen.
2. Erforderliche Daten für die Nutzung des InOut-Systems
(1) Um die Funktion des InOut-Systems nach Ziffer 1 Abs. (2) durchführen zu können, benötigt das InOut-System bzw. die MVV-App Zugriff auf die nachfolgenden Daten und Dienste:
(2) Die oben genannten Daten werden vom InOut-System benötigt, um eine korrekte Erkennung der ÖPNV-Fahrt bewerkstelligen zu können. Es werden dabei keine Personenbewegungsprofile erstellt. Die Aufzeichnung der Fahrt beginnt erst mit dem erfolgreich durchgeführten CheckIn. Die MVV-App muss für die Erfassung nicht dauerhaft geöffnet sein. Die Aufzeichnung endet mit dem erfolgreich durchgeführten CheckOut durch den Kunden. Die oben unter Abs. (1) genannten Systemdienste können jederzeit außerhalb einer aktiven InOut-Fahrt über die Einstellungen des mobilen Endgeräts deaktiviert werden, müssen jedoch vor einem neuen Fahrtantritt mit MVVswipe wieder aktiviert werden. Der Kunde erhält eine entsprechende Systemnachricht. Der Kunde stimmt dem Zugriff auf seine persönlichen Daten (siehe Ziffern 3, 4 und 5) inklusive der oben genannten Daten (siehe Abs. 2) durch das InOut-System bzw. die MVV-App explizit – auch zur Klärung von Kundenanfragen – zu. Andernfalls ist eine Nutzung der InOut-Funktion nicht möglich.
Die MVV-App wird über einschlägige App-Stores bereitgestellt. Für den Datenschutz innerhalb dieser Stores oder damit im unmittelbaren Zusammenhang stehenden Bereichen wird auf deren Datenschutzrichtlinien verwiesen:
3. Registrierung für MVVswipe
(1) Zur Nutzung des InOut-Systems ist eine Registrierung durch den Kunden notwendig. Mit der Registrierung muss der Kunde den Allgemeinen Geschäftsbedingungen (AGB) und Datenschutzbestimmungen zur InOut-Funktion sowie den Beförderungsbedingungen und Tarifbestimmungen des MVV zustimmen.
(2) Für die Registrierung werden Daten erhoben, die im Folgenden aufgelistet sind:
(3) Die Datenverarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 Satz 1 lit. b DSGVO.
(4) Im Registrierungsprozess kann der Kunde freiwillig der Nutzung von persönlichen Daten zu Marktforschungszwecken zustimmen (optionale Checkbox; siehe Ziffer 7).
4. Nutzung des InOut-Systems und Preisermittlung
(1) Die grundlegende Systematik des InOut-Systems wurde in Ziffer 1 Abs. (1) erläutert. Um die Fahrt des Kunden dauerhaft orten und anschließend preislich korrekt berechnen zu können, muss das InOut-System auf nachfolgende Daten zugreifen bzw. diese verarbeiten (siehe auch Ziffer 1 Abs. (2)):
(2) Bei jeder Nutzung wird eine Fahrtberechtigung vom Kunden erworben, dem entsprechenden Kundenkonto zugeordnet und dort dargestellt. In diesem Zusammenhang werden nachfolgende Daten verarbeitet:
(3) Die auf Basis der Fahrtdaten gebildete Reisestrecke setzt sich aus der Ersteinstiegshaltestelle nach dem CheckIn, den durchfahrenen Haltestellen und Umstiegshaltestellen, der Letztausstiegshaltestelle vor dem CheckOut sowie den genutzten Verkehrsmitteln und Linien zusammen. Die Bemessung des Fahrpreises erfolgt durch Zuordnung der gebildeten Reisestrecke zu den jeweils anwendbaren Tarifbestimmungen im MVV. Bei der Abrechnung des gebildeten Fahrpreises werden wiederum die im Rahmen der Registrierung durch den Kunden hinterlegten Daten sowie die hinterlegten Zahlungsmittel verwendet (siehe Ziffer 3 und 5).
(4) Die Datenverarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 Satz 1 lit. b DSGVO.
5. Abrechnung via LOGPAY
(1) Die vom Kunden angegebenen personenbezogenen Daten (Vor- und Nachname, Geburtsdatum, Adresse, E-Mail-Adresse, ggf. Telefonnummer sowie Daten zu seinen jeweiligen Käufen) und alle Änderungen werden an die LOGPAY Financial Services GmbH zum Zwecke des Verkaufes und der Abtretung der Forderungen der MVV GmbH gegen den Kunden, welche im Zusammenhang mit dessen Kauf, Miete oder Buchung entstehen, weitergegeben. Dies erfolgt auf Grundlage des Art. 6 Abs. 1 S. 1 lit. f DSGVO. Das berechtigte Interesse auf Seiten der MVV GmbH besteht in der Auslagerung der Zahlungsabwicklung und des Forderungsmanagements. Das berechtigte Interesse auf Seiten der LOGPAY Financial Services GmbH besteht in der Verarbeitung der Daten zum Zwecke der Abwicklung von Zahlungen, zum Forderungsmanagement, der Bewertung der Zulässigkeit von Zahlarten und der Vermeidung von Zahlungsausfällen.
(2) Das Angebot auf Abschluss eines Kaufvertrages über ein Ticket wird nur angenommen, wenn die LOGPAY Financial Services GmbH die entstehende Forderung aus dem Ticketverkauf erwirbt. Wenn die LOGPAY Financial Services GmbH den Erwerb der Forderung ablehnt, wird das Angebot des Kunden auf Abschluss eines Kaufvertrages abgelehnt.
(3) Der Kunde kann der Übermittlung dieser Daten an die LOGPAY Financial Services GmbH jederzeit widersprechen, allerdings ist dann keine Bestellung mehr über den elektronischen Vertriebskanal möglich.
(4) Die datenschutzrechtlichen Informationen der LOGPAY Financial Services kann der Kunde unter https://documents.logpay.de/de/datenschutzinformationen.pdf abrufen.
(5) Darüber hinaus verarbeitet die MVV GmbH die personenbezogenen Daten des Kunden, welche die MVV GmbH von LOGPAY Financial Services GmbH (Information über die Entscheidung, ob die Forderung erworben wird oder nicht) erhält.
(6) Im Fall einer Verarbeitung personenbezogener Daten zur Wahrnehmung von im öffentlichen Interesse liegenden Aufgaben (Art. 6 Abs. 1 S. 1 lit. e DSGVO) oder zur Wahrnehmung berechtigter Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO), kann der Kunde der Verarbeitung der ihn betreffenden personenbezogenen Daten jederzeit mit Wirkung für die Zukunft widersprechen. Im Fall des Widerspruchs hat die MVV GmbH jede weitere Verarbeitung der Daten des Kunden zu den vorgenannten Zwecken zu unterlassen, es sei denn,
– es liegen zwingende, schutzwürdige Gründe für eine Verarbeitung vor, die die Interessen, Rechte und Freiheiten des Kunden überwiegen, oder
– die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich.
(7) Im Rahmen des Registrierungsprozesses für das Zahlverfahren SEPA-Lastschrift und/oder bei Änderungen der Kundendaten im Zusammenhang mit dem Wechsel auf das Zahlverfahren SEPA-Lastschrift kann das Finanzunternehmen LOGPAY Financial Services GmbH eine Überprüfung der Angaben und der Bonität des Kunden durchführen. Dies erfolgt durch Abgleich der Personendaten des Kunden gegen den Datenbestand der SCHUFA Holding AG, Kormoranweg 5, 65201 Wiesbaden.
(8) Zur Prüfung der vom Kunden angegebenen Kreditkartendaten und zur Abwicklung von Zahlungen im Kreditkartenverfahren wird das Finanzunternehmen LOGPAY Financial Services GmbH die Kreditkarten- und Zahlungsdaten an einen Kreditkarten-Acquirer weitergeben.
(9) Für den Fall, dass der Kunde seinen Zahlungspflichten nicht nachkommt, werden seine personenbezogenen Daten zum Zwecke des Einzugs der Forderungen (z.B. durch Zahlungserinnerungen/Mahnungen) und der Durchsetzung der Forderungen (etwa im Rahmen eines gerichtlichen Mahnverfahrens oder der Zusammenarbeit mit einer Rechtsanwaltskanzlei bei klageweiser gerichtlicher Durchsetzung) an ein Inkassounternehmen weitergegeben.
6. Kundenbetreuung
(1) Aufkommende Rückfragen oder Beanstandungen seitens des Kunden zur Korrektheit der Fahrtenerfassung einer Reise werden im Auftrag der MVV GmbH vom Kundensupport des technischen Dienstleisters MENTZ übernommen und bearbeitet. Alle weiteren Anfragen (z.B. zum Tarif oder zur Registrierung) werden vom Kundensupport der MVV GmbH übernommen und bearbeitet. Kundenanfragen, die direkt aus der MVV-App heraus gesendet werden, gelangen je nach angegebenem Betreff direkt an MENTZ (Fahrtenerfassung von Reise und Haltestellen) oder an die MVV GmbH. Allgemein gestellte Anfragen per E-Mail werden zunächst von der MVV GmbH gesichtet und ggfls. an MENTZ weitergeleitet.
(2) Die MVV GmbH kann die personenbezogenen Daten der bei ihr angemeldeten Kunden zum Zwecke der Kundenbetreuung nutzen und speichern und auch zur Klärung von Fragen an ihre Dienstleister weitergeben; sie werden ohne vorherige ausdrückliche Zustimmung des Kunden nicht für Werbe- oder andere Zwecke genutzt.
(3) Die Verarbeitung dieser personenbezogenen Daten basiert auf der Rechtsgrundlage des Art. 6 Abs. 1 lit. b DSGVO, sofern die Kommunikation im Zusammenhang mit der Durchführung des Ticketkaufs erfolgt. Die Verarbeitung für andere Kommunikation erfolgt auf Basis des berechtigten Interesses (seitens MVV GmbH) gemäß Art. 6 Abs. 1 lit. f DSGVO, nämlich zur bedarfsgerechten Abwicklung der Kontaktanfrage des Kunden. Ohne Bereitstellung der Daten kann kein InOut-Ticket genutzt werden.
7. Marktforschung
Durch das InOut-System wird eine neue Technologie zur Erfassung der Reisedaten zur ex-post Fahrpreisermittlung umgesetzt. Zur stetigen Verbesserung und Weiterentwicklung des Systems sowie der Nutzerfreundlichkeit kann die MVV GmbH Marktanalysen (Marktforschung) durchführen (lassen). Dem Kunden kann hierzu in der App oder über die bei der Registrierung freiwillig zur Nutzung von Marktforschungszwecken freigegebenen E-Mail-Adresse ein Aufruf zur Teilnahme an einer Marktforschung übermittelt werden. Die Teilnahme hieran ist freiwillig. Durch Teilnahme an der Marktforschung werden dem Marktforschungsinstitut folgende Informationen übermittelt:
Die Zustimmung kann jederzeit in Textform widerrufen werden und gilt für die Zukunft. Die Verarbeitung dieser personenbezogenen Daten basiert auf der Rechtsgrundlage des Art. 6 Abs. 1 lit. a DSGVO, Einwilligung des Kunden.
8. Fahrtenhistorie
(1) Die Fahrtenhistorie wird im Hintergrundsystem angelegt. Um in der MVV-App den Verlauf der vom Kunden durchgeführten Fahrten darzustellen, werden einige der personenbezogenen Daten lokal in der App gespeichert. Hierzu gehören: Historie der getätigten Fahrten und den daraus entstandenen Tickets, Einstellungen des Nutzers sowie bestimmte Zustände der MVV-App.
(2) Die Verarbeitung der lokal gespeicherten Daten basiert auf unserem berechtigten Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO, dem Kunden eine funktionsfähige und nutzerfreundliche App zur Verfügung zu stellen.
9. Kontrolle von InOut-Fahrten
(1) Zur Einnahmensicherung dürfen die im Verbund beteiligten Verkehrsunternehmen bei der Kontrolle bei Bedarf die Ticketdaten, die im Barcode gespeicherten Informationen (Vorname und Nachname (je nach Kontrollgerät ggf. maskierte Darstellung) sowie Geburtsdatum und ggf. Anrede, Vorname und Name des Ticketinhabers) und das vom Kunden vorgelegte Kontrollmedium eingesehen werden. Dies erfolgt auf Grundlage des Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO. Das berechtigte Interesse der MVV GmbH und der kontrollierenden Verkehrsunternehmen besteht in der Sicherung der Fahrgeldeinnahmen. Personenbezogene Daten werden im Kontrollgerät nicht gespeichert, sondern nur angezeigt. Im Falle einer Beanstandung können personenbezogene Daten an das Verkehrsunternehmen, das die Kontrolle durchgeführt hat, zur weiteren Bearbeitung weitergeleitet werden. Ohne Bereitstellung der Daten kann kein InOut-Ticket genutzt werden.
10. Speicherdauer und Aufbewahrungsfristen
(1) Die von der MVV GmbH bzw. von den Dienstleistern gespeicherten personenbezogenen Daten werden gelöscht, wenn sie für die Erfüllung des Zwecks, zu dem sie erhoben wurden (Vertrieb von InOut-Tickets), nicht mehr erforderlich sind und die gesetzlichen Aufbewahrungspflichten (maximal zehn Jahre nach § 147 Abs. 3 AO) nicht mehr entgegenstehen. Die Daten eines registrierten Kundenkontos, das zwei Jahre lang nicht aktiv war, werden spätestens nach zwei Jahren aus dem entsprechenden Verzeichnis gelöscht. Daten aktiver Kundenkonten werden zehn Jahre nach dem Buchungsdatum aus dem entsprechenden Verzeichnis gelöscht. Bestelldaten sind wie ein Buchungsbeleg zu behandeln und werden entsprechend den gesetzlichen Aufbewahrungsfristen aufbewahrt, anschließend werden sie gelöscht. Im Übrigen erfolgt eine Löschung auf ausdrücklichen Wunsch des Kunden per E-Mail an kundendialog-swipe@mvv-muenchen.de, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. In diesem Fall erfolgt die Löschung nach spätestens 30 Tagen.
(2) Informationen, die für die technische Prüfung und Analyse relevant sind, d.h. Betriebssoftware(-version), Modell des Endgeräts und Appversion werden temporär gespeichert und nach sechs Monaten automatisch wieder gelöscht.
11. Weitergabe von Daten
(1) Im Zuge der Funktionsnutzung und der Vertragsabwicklung ist in der Regel die Einschaltung von Auftragsverarbeitern notwendig. Darunter zählen:
Sämtliche Auftragsverarbeiter und externe Dienstleister wurden bzw. werden sorgfältig ausgewählt und unterliegen strengen datenschutzrechtlichen Vereinbarungen. Deren Sicherstellung erfolgt durch vertragliche Regelungen, durch technische und organisatorische Maßnahmen sowie ergänzende Kontrollen.
Soweit dies für die vorgenannten Zwecke erforderlich ist, übermittelt die MVV GmbH Kundendaten auch an Empfänger außerhalb des Europäischen Wirtschaftsraums (EWR), sofern
Zudem übermittelt die MVV GmbH die personenbezogenen Daten des Kunden an die von der MVV GmbH eingesetzten technischen Dienstleister, die die MVV GmbH bei dem Betrieb und der Wartung unterstützen und ihren Sitz in den USA haben. Zwar werden die personenbezogenen Daten des Kunden ausschließlich auf Servern innerhalb der EU/des EWR gespeichert. Es ist aber nicht gänzlich ausgeschlossen, dass die personenbezogenen Daten des Kunden in die USA übermittelt werden (etwa bei Supportanfragen). Zu diesem Zweck haben die MVV GmbH bzw. die von ihr eingesetzten technischen Dienstleister geeignete Maßnahmen ergriffen, um ein adäquates Schutzniveau für die personenbezogenen Daten des Kunden zu gewährleisten. Hierzu gehören neben dem Abschluss der Standardvertragsklauseln der EU-Kommission auch die Umsetzung von zusätzlichen technischen organisatorischen und vertraglichen Schutzmaßnahmen. Die übrigen personenbezogenen Daten des Kunden werden nicht in Länder außerhalb des EWR übermittelt.
12. Sonstige Informationen zum Datenschutz
(1) Soweit der Verarbeitung personenbezogener Daten die Einwilligung des Kunden zugrunde liegt, besteht ein Recht, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird, nach Maßgabe der gesetzlichen Regelungen zum Datenschutz (Art. 7 DSGVO, § 51 BDSG).
Im Fall einer Verarbeitung personenbezogener Daten zur Wahrnehmung von im öffentlichen Interesse liegenden Aufgaben (Art. 6 Abs. 1 S. 1 lit. e DSGVO) oder zur Wahrnehmung berechtigter Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO), kann der Kunde der Verarbeitung seiner betreffenden personenbezogenen Daten jederzeit mit Wirkung für die Zukunft widersprechen. Im Fall des Widerspruchs hat die MVV GmbH jede weitere Verarbeitung der betroffenen Daten zu den vorgenannten Zwecken zu unterlassen, es sei denn,
Es besteht ein Recht auf Auskunft über die betreffenden personenbezogenen Daten (Art. 15 DSGVO) sowie auf Berichtigung (Art. 16 DSGVO) oder Löschung (Art. 17 DSGVO) oder auf Einschränkung der Verarbeitung (Art. 18 DSGVO) oder ein Widerspruchsrecht gegen die Verarbeitung (Art. 21 DSGVO) sowie ein Recht auf Datenübertragbarkeit (Art. 20 DSGVO) nach Maßgabe der gesetzlichen Regelungen zum Datenschutz. Diese Rechte kann der Kunde per E-Mail an kundendialog-swipe@mvv-muenchen.de geltend machen.
(2) Neben den vorgenannten Verarbeitungszwecken werden die personenbezogenen Daten des Kunden zudem für die folgenden Zwecke verarbeiten:
(3) Gemäß Art. 77 DSGVO hat der Kunde unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat seines Aufenthaltsorts, seines Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn er der Ansicht ist, dass die Verarbeitung der ihn betreffenden personenbezogenen Daten gegen die Datenschutzgrundverordnung verstößt.
(4) Zuständige Aufsichtsbehörde für die MVV GmbH ist der Bayerische Landesbeauftragte für den Datenschutz, Postfach 22 12 19, 80502 München, www.datenschutz-bayern.de.
Verantwortliche im Sinne des Datenschutzrechtes ist die MVV GmbH, vertreten durch die Geschäftsführung. Sie ist per E-Mail über info@mvv-muenchen.de oder postalisch über MVV GmbH, Geschäftsführung, Thierschstraße 2, 80538 München zu erreichen.
Die MVV GmbH hat einen externen Datenschutzbeauftragten. Diesen können Sie per E-Mail über Datenschutz@mvv-muenchen.de oder postalisch über DSBOK, Datenschutzbeauftragter für die MVV GmbH, Untergasse 2, 65474 Bischofsheim erreichen.
Wenn Sie die Löschung Ihrer personenbezogenen Daten (z.B. im Rahmen des Handy-/Online-Ticketings, Registrierung für ein Ruftaxi etc.) wünschen oder Fragen zu Ihren bei uns verarbeiteten personenbezogenen Daten haben, senden Sie bitte eine E-Mail an datenloeschung@mvv-muenchen.de. Falls möglich, geben Sie bei der Anfrage bitte den Service (z.B. Ticketshop, RufTaxi, Newsletter etc.) an, bei dem Sie sich registriert haben.
Gemäß Art. 77 DSGVO haben Sie unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die Datenschutzgrundverordnung verstößt.
Zuständige Aufsichtsbehörde für die MVV GmbH ist der Bayerische Landesbeauftragte für den Datenschutz, Postfach 22 12 19, 80502 München, www.datenschutz-bayern.de.
München, Oktober 2024
Bei Fragen zu unseren Datenschutzrichtlinien kontaktieren Sie uns bitte über unser Kontaktformular.