Zum Hauptinhalt springen

Datenschutzhinweise neue Ticket-App

A. Allgemeines

Wir freuen uns über Ihr Interesse an unserer Ticket-App.
Der Schutz Ihrer persönlichen Daten ist uns ein besonderes Anliegen. Wir behandeln die von Ihnen im Rahmen der Nutzung der Ticket-App und unserer Angebote übermittelten personenbezogenen Daten vertraulich und entsprechend den gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung. Wir möchten Sie im Einzelnen darüber informieren, welche Ihrer personenbezogenen Daten wir verarbeiten, zu welchen Zwecken sie verarbeitet werden, mit wem sie geteilt werden und welche Kontroll- und Informationsrechte Ihnen gegebenenfalls zustehen. Wir empfehlen Ihnen daher, die Datenschutzerklärung sorgfältig zu lesen.

B. Verantwortlichkeit und Kontakt

Verantwortlich für die Ticket-App sind die Berliner Verkehrsbetriebe AöR, Holzmarktstraße 15-17, 10179 Berlin (nachfolgend „BVG“ oder „wir“ oder „unser/e/er/es/en“ oder „uns“). Wenn Sie Fragen zu dieser Datenschutzerklärung oder zu der Verarbeitung Ihrer personenbezogenen Daten haben, können Sie sich gern per E-Mail an uns wenden. Für eine direkte Kontaktaufnahme mit unserem Datenschutzbeauftragten beachten Sie bitte die Informationen unter Abschnitt H.

Sollten Sie Fragen, Anregungen und/oder Kritik in Bezug auf unsere Dienste haben, so kontaktieren Sie uns bitte per E-Mail unter: appsupport@bvg.de

C. Allgemeines zur Datenverarbeitung

Die Ticket-App ermöglicht es den Kunden, ganz bequem Fahrscheine über das mobile Endgerät zu kaufen und auf das Gerät zu laden. Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionierenden Ticket-App sowie unserer Inhalte und Leistungen erforderlich ist sowie soweit Sie eine Einwilligung in sonstige Datenverarbeitungsprozesse gegeben haben.

D. Zusammenfassung unserer Verarbeitungstätigkeiten

  • Bei informatorischer Nutzung der Ticket-App ohne Registrierung verarbeiten wir Daten zu dem von Ihnen verwendeten Endgerät, um die Nutzung der App technisch zu ermöglichen. Die Grundlage dafür bildet Art. 6 Abs. 1 S. 1 lit. b DSGVO.
  • Wir werten mittels Google Analytics daneben Ihre Nutzungsdaten aus, um unsere App optimieren zu können und Ihnen ein besseres Nutzungserlebnis zu ermöglichen, wenn Sie hierzu ausdrücklich einwilligen. Die Grundlage dafür bildet Art. 6 Abs. 1 S. 1 lit. a DSGVO (siehe dazu unter VI.).
  • Wir verarbeiten Daten zur Fehlerbehebung, um die Stabilität und Sicherheit der App und der von uns genutzten informationstechnischen Systeme zu gewährleisten. Die Grundlage dafür bildet Art. 6 Abs. 1 S. 1 lit f DSGVO (siehe dazu unter D. I.)
  • Wir versenden InApp Benachrichtigungen und Push Notifications, um Sie über Störungen, Updates oder andere relevante Ereignisse zu informieren. Teilweise sind diese Services optional und werden nur eingesetzt, wenn Sie den Service vorab aktivieren. Die Datenverarbeitung beruht auf Art. 6 Abs. 1 S. 1 lit. b, f DSGVO. Die Daten sind erforderlich, um Ihnen die ausgewählten Funktionen zur Verfügung stellen zu können sowie für eine störungsfreie Durchführung des Vertragsverhältnisses. Ferner haben wir berechtigte Interessen, Sie über technische Störungen zu informieren (siehe dazu unter D.II.).
  • Sie können einen Kunden-Account in der Ticket-App erstellen oder sich mit einem bestehenden BVG-Account anmelden. Wir verarbeiten in diesen Fällen alle für die Registrierung bzw. Anmeldung notwendigen Informationen (z.B. Name, E-Mail-Adresse, Login-Daten). Die Grundlage dafür bildet Art. 6 Abs. 1 S. 1 lit. b DSGVO (siehe dazu unter D.III).
  • Sie haben die Möglichkeit, Fahrscheine über die Ticket-App zu kaufen. Hierzu verwenden wir die Daten, die erforderlich sind, um Ihnen den gewünschten Fahrschein in der App zur Verfügung zu stellen (Art des Tickets, Starthaltestelle, Tarifinformationen und Informationen zu gewählten Zahlweise, Vor- und Nachname, Gültigkeitszeitraum). Rechtsgrundlage dieser Datenverarbeitung ist Art. 6 Abs. 1 S. 1 lit. b DSGVO (siehe dazu unter D.IV.).
  • Sollten Sie Kontakt mit unserem Kundenservice aufnehmen, verarbeiten wir die für die Bearbeitung Ihrer Anfrage erforderlichen Daten (z.B. Name, E-Mail-Adresse, Grund der Kontaktaufnahme). Die Grundlage dafür bildet Art. 6 Abs. 1 S. 1 lit. b DSGVO (siehe dazu unter D.V.). Für die Durchführung dieser Datenverarbeitungen bedienen wir uns z.T. externer Dienstleister. Dies ist insbesondere bei der Zahlungsabwicklung der Fall (siehe dazu unter D.VI.).

Definitionen

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO)). Darunter fallen Informationen wie Ihr Name, Ihre E-Mail-Adresse, Ihre Postanschrift oder Ihre Telefonnummer. Informationen, die nicht direkt mit Ihrer Identität in Verbindung gebracht werden, wie z.B. die Anzahl der Nutzer einer Internetpräsenz, fallen nicht hierunter.

Verarbeitung ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

I. Verarbeitung Ihrer Daten zur Fehlerbehebung

Kommt es zu Kommunikationsproblemen oder Verbindungsabbrüchen zwischen der App und dem Hintergrundsystem, dann speichern wir in der Ticket-App die mit dem Fehler in Zusammenhang stehenden Daten (Request/Anfrage, Fehler) in Ihrem Account. Die Erhebung und Verarbeitung dieser Daten erfolgt zu dem Zweck, den Fehler zu beheben, die App zu optimieren sowie die Systemsicherheit zu gewährleisten. Der Google Play Store erfasst anonymisierte Crash-Reports (nur die Anzahl der Crashs). Dasselbe gilt für den Apple AppStore, wenn Sie gegenüber Apple Ihre Einwilligung erteilt haben. Die Crash-Reports sind über ein Dashboard im Google Play Store für uns einsehbar.

Diese Informationen werden verarbeitet für unser berechtigtes Interesse, die Stabilität und Sicherheit der App und unserer informationstechnischen Systeme zu gewährleisten, Art. 6 Abs. 1 S. 1 lit f DSGVO. Die Daten werden gelöscht, wenn sie nicht länger benötigt werden, sofern eine längere Speicherung nicht gesetzlich vorgeschrieben oder gerechtfertigt ist (siehe hierzu unter F.).

II. Benachrichtignugsdienste

Sie haben die Möglichkeit, in der Ticket-App InApp Benachrichtigungen zuzulassen, damit wir Sie informieren können, wenn eine neue Version der App zur Verfügung steht. Ferner können Sie die Push-Notifications aktivieren. In diesem Fall informieren wir Sie über anstehende Ereignisse, zum Beispiel erhalten Sie einige Tage vor Ablauf einer gebuchten Monatskarte eine Mitteilung über deren Ablauf. Wir verarbeiten für den Versand der InApp Benachrichtigungen und für die Push Notifications Informationen zur Gültigkeit Ihrer Zeitkarte sowie den iOS Device token. Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit a, b DSGVO. Die Daten werden benötigt, um Ihnen diesen Service zur Verfügung stellen zu können. Sie können die Funktionen jederzeit in den App-Einstellungen deaktivieren und aktivieren.

Daneben setzen wir InApp Benachrichtigungen ein, um unsere Nutzer über technische Störungen zu informieren. In einem Störungsfall bekommen zum Beispiel alle Nutzer, die in dem von uns bestimmten Zeitraum die App öffnen, einmalig einen Pop-up angezeigt, der über den aktuellen Status der Störung informiert. In diesem Zusammenhang speichern wir die Benachrichtigungs-ID, wenn Sie die Benachrichtigung gelesen haben. Dieser Service ist immer aktiviert, denn er ist nötig, damit wir unseren Pflichten aus dem Vertragsverhältnis nachkommen können. Ferner haben wir ein berechtigtes Interesse, unsere Nutzer darüber zu informieren, wenn die App nicht wie gewohnt funktioniert. Wir gehen davon aus, dass dies auch im Interesse unserer Nutzer ist. Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit b, f DSGVO.

Die Daten werden gelöscht, wenn sie nicht länger benötigt werden, es sei denn, dass eine längere Speicherung gesetzlich vorgeschrieben oder gerechtfertigt ist (siehe hierzu unter F.).

Zur Durchführung der App-Kommunikation nutzen wir die Dienste von IMEDIAPP (43 rue Beaubourg, 75003 Paris, Frankreich) (nachfolgend: „Batch“). Wir haben mit Batch einen Vertrag zur Auftragsverarbeitung abgeschlossen. Die Datenübermittlung ist daher nach Art. 28 DSGVO privilegiert.

III. Verarbeitung Ihrer Daten bei der Registrierung und/oder Nutzung eines Kunden-Accounts

Sie haben die Möglichkeit, sich über die Ticket-App für ein Kunden-Konto zu registrieren oder mit einem bestehenden BVG-Konto anzumelden. Das Kunden-Konto kann jederzeit wieder gelöscht werden. Für den Fahrscheinkauf ist ein Kunden-Konto erforderlich.

1. Registrierungsprozess

Wir bieten Ihnen die Möglichkeit, sich unter Angabe personenbezogener Daten zu registrieren bzw. einen Kunden-Account zu erstellen. Die BVG nutzt zur Registrierung das sogenannte Single Sign-on. Diesen Account können Sie auch zur Anmeldung in den anderen BVG-Services, wie zum Beispiel der BVG Fahrinfo-App, BVG Jelbi-App und bei BVG.de nutzen. Der SSO-Service wird durch unseren Dienstleister akquinet bereitgestellt (siehe auch D.VI.).

Im Rahmen des Registrierungsprozesses werden folgende personenbezogene Daten, die Sie in eine Eingabemaske eingeben, von uns verarbeitet:

  • Name
  • Vorname
  • E-Mail-Adresse

Für die Registrierung verwenden wir das sog. Double-opt-in-Verfahren. Dabei erhalten Sie nach Ihrer Anmeldung in der App eine E-Mail mit einem Link, über den Sie bestätigen können, dass Sie der Inhaber der E-Mail-Adresse sind und einen Kunden-Account in der Ticket-App anlegen möchten. Erfolgt Ihre Bestätigung nicht innerhalb von 24 Stunden, werden Ihre Anmeldung und Ihre dabei bereitgestellten personenbezogenen Daten automatisch gelöscht.

Die Registrierung kann auch direkt über den Kaufprozess erfolgen (sog. Express Checkout). Hierfür können Sie zwischen den Drittanbieterzahlarten „Google Pay“, „Apple Pay“, „und „PayPal“ wählen. Die mit der Zahlart verknüpften Daten (Vorname, Nachname, E-Mail-Adresse) werden vom Anbieter für eine Registrierung an die BVG übermittelt. Der Drittanbieter erhebt möglicherweise weitere Daten für eigene Zwecke, die die BVG jedoch nicht verarbeitet. Das Double-opt-in-Verfahren entfällt in diesen Fällen.

Die Rechtmäßigkeit dieser Datenverarbeitung ergibt sich aus Art. 6 Abs. 1 S. 1 lit. b DSGVO. Die Daten dienen der effektiven Bereitstellung des Kundenbereichs und der Verwaltung Ihres Kunden-Accounts. Wir verarbeiten Ihre Kontaktdaten, einschließlich E-Mail-Adresse, auch, um Sie im Einklang mit den anwendbaren Gesetzen über vertragsrelevante Änderungen bzgl. der von uns angebotenen Dienste zu informieren sowie um Ihnen andere gesetzlich vorgegebene Informationen zur Verfügung zu stellen.

2. Anmeldung mit bestehendem BVG Kunden-Account

Sie haben daneben die Möglichkeit, sich mit einem bestehenden BVG-Account in der Ticket-App anzumelden. Dazu geben Sie bitte Ihre E-Mail-Adresse und Ihr Passwort an, welche Sie auch für die Anmeldung in unseren anderen BVG-Services, wie zum Beispiel der BVG Fahrinfo-App, BVG Jelbi-App und bei BVG.de benutzen. Ihr BVG-Account wird dann mit der Ticket-App verbunden und die oben genannten Informationen (Name, Vorname, Login, Passwort) aus Ihrem BVG-Account zu Grunde gelegt (sog. Single Sign-on). Der SSO Service wird durch unseren Dienstleister akquinet bereitgestellt (siehe auch D.VI.).

Wir speichern die von Ihnen angegebenen Daten in Ihrem persönlichen Kundenbereich (BVG-Konto) in der Ticket-App. Alle Angaben können Sie im geschützten Kundenbereich verwalten und ändern, wobei für die Änderung einzelner Angaben ggf. Kontakt zum Kundenservice aufgenommen werden muss (siehe dazu die Informationen unter D.V).

Die Rechtmäßigkeit dieser Datenverarbeitung ergibt sich aus Art. 6 Abs. 1 S. 1 lit. b DSGVO, da diese Angaben für die Anmeldung mit dem bestehenden Konto erforderlich sind.

3. Löschen des Kunden-Accounts

Sie können Ihren Ticket-App-Kunden-Account löschen, indem Sie sich auf der BVG-Website in Ihren Account einloggen und die Option „Account löschen“ auswählen. Ihre Löschanfrage wird dann von unserem Kundenservice bearbeitet. Sie können auch einzelne Daten unmittelbar innerhalb Ihres Kunden-Accounts löschen. Wenn Sie sich zur Löschung Ihres Kunden-Accounts entschließen, werden die Daten zunächst für die weitere Verarbeitung gesperrt mit Ausnahme der Verarbeitung zur Einhaltung gesetzlicher Pflichten oder Rechte (siehe unten unter F) und anschließend grundsätzlich gelöscht. Ihrem Wunsch nach Löschung stehen ggf. gesetzliche Bestimmungen oder Rechte der BVG entgegen. Ihre Daten werden danach u.a. nicht gelöscht, sofern die BVG gesetzliche Aufbewahrungspflichten (z.B. handels- oder steuerrechtlicher Natur) erfüllen muss oder die Verarbeitung Ihrer Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist, z.B. wenn wir gegen Sie rechtliche Schritte wegen Fehlverhaltens bei der Leistungsnutzung oder bei Zahlungsproblemen einleiten müssen. In einem solchen Fall werden wir Sie bei der Ausübung des Löschrechts über die entgegenstehenden Gründe informieren.

IV. Fahrscheinkauf

Sie können über die Ticket-App Fahrscheine der BVG direkt in der App kaufen und hier zum Abruf herunterladen.

1. Kaufprozess

Beim Kauf eines Tickets verarbeitet die BVG die für die Abwicklung des Fahrscheinkaufs erforderlichen Daten:

  • Ausgewähltes Ticket (Produkttyp, Tarifgruppe, Preis, ggf. Startpunkt, ggf. Nummer der vbb Kundenkarte Berlin S beim Kauf des Tickets Berlin S, ggf. Kundenkarten-Nummer bei Zeitkarten für Azubis), Bestelldaten des Warenkorbs;
  • Zahlungsinformationen (ausgewähltes Zahlungsmittel, Inhaber, externe Referenznummer, externe Kundennummer des Finanzdienstleisters, Datenbank-ID, ggf. Gültigkeit der Kreditkarte und maskierte Kreditkartennummer, ggf. maskierte IBAN, ggf. Geburtsdatum);
  • Kundenstammdaten (Account -Referenz auf SSO-Account, Kundennummer, Vorname, Nachname, E-Mail-Adresse)
  • ggf. Adressdaten.

Diese Daten sind erforderlich, um den Ticketkauf, die Ticketerstellung und -auslieferung sowie die Rechnungsanforderung abzuwickeln. Die Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. b DSGVO. Die Daten werden aus steuerlichen Gründen für einen Zeitraum von 10 Jahren gespeichert.

Zur Durchführung von Risiko- und Betrugsprüfungen, der Sicherstellung der Integrität und Sicherheit der Zahlungsprozesse und zum Schutz vor unbefugtem Zugriff und Missbrauch beim Kaufprozess werden folgende Daten verarbeitet:

  • Betriebssystem und Version
  • App-Name und App Version
  • Geräte Hersteller
  • Geräte-Nummer und -model

Diese Daten sind erforderlich, um eine effiziente Fehlerbehebung zu gewährleisten. Die Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. f DSGVO. Die Daten werden aus steuerlichen Gründen für einen Zeitraum von 3 Jahren gespeichert.

Zahlung

Die Verarbeitung der vollständigen Zahlungsinformationen erfolgt durch Riverty GmbH („Riverty“) oder über PayPal (Europe) S.à.r.l. et Cie, S.C.A. („PayPal“), die jeweils als eigenständige Verantwortliche im Sinne des Datenschutzes auftreten (siehe Kapitel VI.1 und VI.2).

2. Zahlungsmethode

Zur Abrechnung der gekauften Fahrscheine werden keine vollständigen Zahlungsinformationen an die BVG übermittelt, sondern lediglich Informationen zum gewählten Zahlungsdienst und die maskierte Kreditkartennummer und IBAN. Diese Information benötigt die BVG zur Durchführung des Vertrags und zum Kundensupport. Die Verarbeitung von Zahlungsinformationen erfolgt durch Riverty als verantwortliche Stelle (hierzu unter D.VI.1) oder über PayPal, sofern Sie diese Zahlmethode wählen (hierzu unter D.VI.3).

Bei Wahl der Zahlart amazon Pay, SEPA und Kreditkarte wird bei der BVG zusätzlich zu den Registrierungsdaten (siehe oben Ziffer III.1.) auch das Geburtsdatum erhoben. Die Zahlarten amazon Pay, SEPA und Kreditkarte werden über den Zahlungsdienstleister Riverty angeboten. Riverty benötigt zur Identifizierung der Person das Geburtsdatum. Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. b DSGVO.

3. Aktivierung Authentifizierung mittels biometrischer Daten

Sie haben die Möglichkeit, in der App die Verifizierung mittels Fingerabdruck-/biometrischer Daten zuzulassen. Beim Einrichten der Zahlart empfehlen wir, diese mit einem PIN, einem Fingerabdruck bzw. der „Face ID“ zu sichern. Wenn der Nutzer zustimmt, wird je nach Device der Fingerabdruck oder die Face ID durch das Device abgefragt bzw. bestätigt. Die Ticket-App erhält vom Device eine Info, ob das Ergebnis des Scans erfolgreich war. Bei jedem Bezahlvorgang können Sie auf diesem Weg Ihren Kauf verifizieren, wobei die Ticket-App selbst nur die Information vom Device erhält, ob die Autorisierung erfolgreich war oder fehlgeschlagen ist.
Sie haben die Möglichkeit, die optionale Autorisierung jederzeit in den Ticket-App Einstellungen wieder zu deaktivieren. Sie können die Verifizierung mittels biometrischer Daten zur Freigabe von Käufen in der App nutzen. Die Verifizierung ersetzt die Eingabe des Passwortes. Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. b DSGVO, weil ohne die Daten diese Funktion nicht bereitgestellt werden kann.

4. Ortung

Sie haben die Möglichkeit, statt die Starthaltestelle manuell einzugeben, eine Ortung mithilfe der Ortungsdienste ihres mobilen Endgerätes vorzunehmen. Wir schlagen Ihnen dann Haltestellen vor, die in unmittelbarer Nähe Ihres ermittelten Standortes liegen. Im Fall der GPS-Ortung erfassen wir aber nur den von Ihrem Gerät ermittelten Standort, sofern die App geöffnet ist. Ist die Standorterhebung aktiv, zeigt beispielsweise das iPhone dies über ein Kompass-Symbol in der oberen Leiste an. Bei Android-Geräten findet sich eine vergleichbare Funktion. Bei manueller Eingabe ihres Standortes erfassen wir nur diese Angabe. Die Rechtmäßigkeit dieser Datenverarbeitung ergibt sich aus Art. 6 Abs. 1 S. 1 lit. b DS-GVO, da Ihr Standort nur dann erfasst und an uns übertragen wird, wenn Sie bei der Nutzung der App diese Funktion in Anspruch nehmen möchten. Sie können diese Funktion (automatisierte Positionsbestimmung) jedoch in den Einstellungen Ihres Betriebssystems jederzeit erlauben oder widerrufen. Die Verwendung der Ticket-App über manuelle Eingabe der Starthaltestelle bleibt dann weiterhin möglich.

5. Speicherung und Anzeige des Tickets

Das Ticket wird innerhalb der Ticket-App im Ticketspeicher angezeigt und gespeichert. Nach Ablauf der Gültigkeit verschwindet es automatisch aus dem Ticketspeicher. Wenn Sie ein Apple iOS Gerät benutzen, können Sie das Ticket auch zusätzlich in der Apple Wallet Ihres Endgerätes speichern. Dabei werden mit dem Ticket folgende Daten an die Apple Wallet übermittelt:

  • Vor- und Nachname,
  • Starthaltestelle (soweit vorhanden),
  • Start- und Endtag und -zeit des Tickets,
  • Tarifprodukt,
  • Produktklasse (Regel-/Ermäßigungstarif),
  • Tarifbereich,
  • Ticket-ID,
  • Preis,
  • Tarifstufe

Wenn Sie das Ticket in der Apple Wallet gespeichert haben möchten, müssen Sie das Ticket manuell von der Ticket-App in die Wallet verschieben. Diese Übermittlung des Fahrtickets in die Wallet erfolgt lokal auf Ihrem Endgerät. In der Apple Wallet gespeicherte Tickets müssen manuell von Ihnen gelöscht werden, die Ticket-App hat hierauf keinen Zugriff.

Möchten Sie das Ticket auf zusätzlichen iOS-Geräten in Ihrer Apple-Wallet angezeigt bekommen, werden die Ticketdaten über die iCloud an Ihr Gerät z.B. Apple Watch gesendet. Diese Funktion muss zuvor auf Ihrem Gerät aktiviert werden.

Im Rahmen der Speicherung der Ticket-Daten in der iCloud werden verschlüsselte Daten unter anderem an beteiligte Subdienstleister in Drittländer übermittelt. Diese Daten werden verschlüsselt übermittelt, und diese Subdienstleister erhalten nach den von Apple zur iCloud bereitgestellten Informationen den Schlüssel nicht. Weitere Informationen zur Apple Wallet finden Sie unter https://support.apple.com/de-de/HT204003.

Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 S. 1 lit. b. Diese Daten werden zur Erstellung und Auslieferung eines gültigen Tickets benötigt.

6. Betrugsprävention

Im Rahmen unserer Ticketverkäufe kann es zu Betrugsaktivitäten beim Bezahlprozesses kommen. Um diese Betrugsaktivitäten nachzuvollziehen und in der Zukunft vorbeugend zu verhindern, kommt es zu einer Verarbeitung Ihrer personenbezogenen Daten, insbesondere Stammdaten (u. a. Name, Vorname, Adresse); Labeldaten (ggf. Betrugslabel, Labelzeitpunkt, Labeldetails); Zahlungsdaten (u. a. Zahlungsmittel, Warenkorb, Bestellzeitpunkt); Kundenkontodaten (u. a. Datum der Kontoerstellung, Verkaufshistorie); ggf. Customer Journey Daten; ggf. Risikodaten). Zur Verarbeitung Ihrer personenbezogenen Daten arbeiten wir eng mit unserem Dienstleister Risk.Ident GmbH (Risk Ident), An Sandtorkai 50, 20457 Hamburg zusammen. Mit Risk Ident haben wir zur DSGVO-konformen Verarbeitung Ihrer personenbezogenen Daten einen Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO geschlossen.

Ihre personenbezogenen Daten verarbeiten wir auf Grundlage unseres berechtigten Interesses, hier insbesondere dem Interesse betrügerische Aktivitäten zu verhindern, Art. 6 Abs. 1 lit. f DSGVO. Wir verarbeiten Ihre personenbezogenen Daten bis zum Entfall des Zwecks der Verarbeitung.

V. Verarbeitung Ihrer Daten bei Kontaktaufnahme mit dem Kundenservice

Bei Ihrer Kontaktaufnahme mit uns per BVG-Chatbot, E-Mail, oder über das BVG Kontaktformular verarbeiten wir personenbezogene Daten, um den Grund der Kontaktaufnahme zu ermitteln und Ihnen entsprechend zu helfen oder antworten zu können. Dazu gehört etwa die Verarbeitung der Kaufhistorie, um zu erstattenden Tickets ausfindig zu machen.

1. Kontaktaufnahme über den Chatbot

Der Chatbot bietet Ihnen rund um die Uhr die Möglichkeit, Ihre Fragen möglichst schnell beantwortet zu bekommen. Zudem können Sie über digitale Formulare oder freie Eingabefelder im Chatbot Aufträge zur Bearbeitung an die BVG richten. Der Chatbot übernimmt je nach Inhalt der Anforderung oder des Auftrages die direkte Zustellung an den zuständigen BVG-Sachbearbeiter zur schnellstmöglichen Bearbeitung.

Bei der ersten Nutzung des Chatbots wird Ihnen ein zufällig generierter „Universally Unique Identifier“ (UUID) zugeordnet. Die UUID bleibt in Ihrem Browser gespeichert bis Sie Ihren Browserverlauf löschen. Wenn Sie nach Löschung Ihres Browserverlaufs den Bot erneut nutzen wollen, wird eine neue zufällig generierte UUID generiert. In diesem Fall müssen Sie ggf. alle zuvor angeklickten Antworten oder gestellten Fragen oder Eingaben neu eingeben. Wenn Sie den Bot erneut nutzen, wird diesem von Ihrem Browser die UUID übermittelt. Das ermöglicht Ihnen jederzeit die Fortsetzung einer zuvor unterbrochenen Konversation, Suche oder Eingabe im Bot (ähnlich wie das Setzen von Cookies auf Websites). Die von Ihnen begonnenen Konversationen, Suchen oder Eingaben werden ebenfalls in den Ereignissen auf Ihrem Browser erzeugt und gespeichert. Zur ständigen Verbesserung des Bots erfassen wir Ereignisse wie z.B. „Bot wurde angezeigt" und Klick-Ereignisse wie z.B. „Benutzer hat auf Antwort X geklickt". Hierfür verwenden wir Conversation IDs, die analog der UUID innerhalb der Datenbank des Bots generiert wird. Sie dient als Objektidentifikator und ist für die Konstruktion des Bots erforderlich, da Datenbankeinträge einen eindeutigen Identifikator brauchen. Beide IDs dienen ausschließlich der Gewährleistung eines reibungslosen Supports sowie der kontinuierlichen Qualitätsverbesserung des Chatbots. Zusätzlich speichern wir das Gerätemodell und das Betriebssystem des Geräts, um gerätspezifische Fehler erkennen und beheben zu können. Die über den Chatbot eingegebenen Daten werden von unserem Dienstleister (Dixa GmbH, Tempelhofer Ufer 1, 10961 Berlin) erfasst und zur Auswertung aufbereitet der BVG zur Verfügung gestellt.

Der Chatbot übergibt die in den Freifeldern eingegebenen Informationen per E-Mail an das Customer Care Tool (siehe Kapitel VI.).

2. Kontaktaufnahme per Kontaktformular

Bei Ihrer Kontaktaufnahme mit uns über das Kontaktformular des Chatbot wird der Grund der Kontaktaufnahme, Ihre E-Mail-Adresse und Ihr Vorname, Name von uns gespeichert, um Ihre Fragen zu beantworten.

Rechtsgrundlage für die vorgenannten Datenverarbeitungsvorgänge ist Art. 6 Abs. 1 S. 1 lit. b und Art. 6 Abs. 1 S. 1 lit. f DSGVO. Art. 6 Abs. 1 lit. b DSGV ist die Rechtsgrundlage für die Bearbeitung von Anfragen unserer Kunden, mit denen wir Verträge haben. Im Übrigen haben wir ein berechtigtes Interesse daran, einen reibungslosen Kundenservice zu gewährleisten. Wir verwenden zudem Ihre Daten, um zu gewährleisten, dass unsere Dienste ordnungsgemäß funktionieren und um unsere Bearbeitungsprozesse zu verbessern und zu beschleunigen, z.B. durch optimierte Zuordnungsfunktionalitäten.

Wenn der Grund für die Datenverarbeitung wegfällt, werden alle von Ihnen eingegebenen personenbezogenen Daten gelöscht. Daten, die für die Vertragsbearbeitung benötigt werden oder gesetzlichen Aufbewahrungsfristen (z.B. steuerliche Gründe) unterliegen, bleiben hiervon unberührt.

3. Kontaktaufnahme per E-Mail

Bei Ihrer Kontaktaufnahme mit uns per E-Mail wird der Grund der Kontaktaufnahme, Ihre E-Mail-Adresse und Ihr Name von uns gespeichert, um Ihre Fragen zu beantworten. Zwecks Fehleridentifikation und -behebung werden zudem folgende technische Informationen erhoben: Gerätemodel, Betriebssystem, App-Version, Gerätetyp, Kundennummer, Error Log und Full Crash Log.

Rechtsgrundlage für die vorgenannten Datenverarbeitungsvorgänge ist Art. 6 Abs. 1 S. 1 lit. b und Art. 6 Abs. 1 S. 1 lit. f DSGVO. Art. 6 Abs. 1 lit. b DSGV ist die Rechtsgrundlage für die Bearbeitung von Anfragen unserer Kunden, mit denen wir Verträge haben. Im Übrigen haben wir ein berechtigtes Interesse daran, einen reibungslosen Kundenservice zu gewährleisten. Wir verwenden zudem Ihre Daten, um zu gewährleisten, dass unsere Dienste ordnungsgemäß funktionieren und um unsere Bearbeitungsprozesse zu verbessern und zu beschleunigen, z.B. durch optimierte Zuordnungsfunktionalitäten

Wenn der Grund für die Datenverarbeitung wegfällt, werden alle von Ihnen eingegebenen personenbezogenen Daten gelöscht. Daten die für die Vertragsbearbeitung benötigt werden oder gesetzlichen Aufbewahrungsfristen (z.B. steuerliche Gründe) unterliegen, bleiben hiervon unberührt.

VI. Weitergabe Ihrer Daten

Eingesetzte Dienstleister Personenbezogene Daten können eingesetzten Dienstleistern bekannt gegeben werden, welche in unserem Auftrag handeln, um die personenbezogenen Daten ihrem ursprünglich zugrundeliegenden Zweck entsprechend weiterzubearbeiten, zum Beispiel Erfüllung der angebotenen Dienstleistungen, Auswertung des Nutzerverhaltens unserer Webseite und App oder technischer Support. Eingesetzte Dienstleister sind von uns mittels gesetzlich vorgesehener Vereinbarungen (Art. 28 DSGVO) vertraglich verpflichtet, personenbezogene Daten nur zum vereinbarten Zweck zu verwenden oder Ihre personenbezogenen Daten nicht ohne unsere Genehmigung an andere Parteien weiterzugeben, es sei denn, dies ist gesetzlich erforderlich. So bedienen wir uns folgender externer Dienstleister, um Ihre Daten zu verarbeiten:

  • Dixa GmbH (Tempelhofer Ufer 1, 10961 Berlin) – Bereitstellung des Chatbots (siehe unter D.V.).
  • IMEDIAPP SA (Batch.com) – (43 rue Beaubourg, 75003 Paris, Frankreich) – Bereitstellung eines Systems für den Versand von Push- und In-App-Benachrichtigungen
  • Zendesk, Inc. (989 Market Street, San Francisco, California 94103 U.S.A.) - Customer Care Tool.
  • PROJEKTIONISTEN GmbH (Schaufelder Str. 11, 30167 Hannover) Entwicklung des Frontend der Ticket-App, Behebung technischer Fehler im bereitgestellten System
  • eos.uptrade (Schanzenstraße 70, 20357 Hamburg) - Entwicklung und Betrieb des Hintergrundsystems der Ticket-App, in dem die Daten der Ticketkäufe einlaufen und gespeichert werden, zur Behebung technischer Fehler im bereitgestellten System
  • akquinet AG (Paul-Stritter-Weg 5, 22297 Hamburg) – Bereitstellung Single Sign-On. Das Single Sign-on bietet Ihnen die Möglichkeit, durch eine einmalige Registrierung auf unsere verschiedenen Produkte zuzugreifen, z.B. das BVG-Konto auf unserer Webseite, die Fahrinfo-App, Jelbi-App sowie die Ticket-App. Dafür verarbeiten wir die Datenkategorien entsprechend der Informationen zum Registrierungsprozess (siehe hierzu unter D.III.1.). Wir setzen hierfür die Lösung von akquinet ein.
  • Jetcard (JETCLOUDSOLUTIONS OÜ, Harju maakond, Kuusalu vald, Pudisooküla, Männimäe/1, 74626, Estland) – Signierung der Tickets
  • Public Cloud Group GmbH (Blumenstraße 33/1, 71106 Magstadt) für das Schnittstellen-Management

Darüber hinaus geben wir Daten an folgende Dritte weiter, die die Daten als eigenständige Verantwortliche verarbeiten:

1. Riverty

Bei allen in der App angebotenen Zahlarten (außer PayPal) werden Ihre Stammdaten (Vor- und Nachname, Adresse, E-Mail-Adresse) an unseren externen Finanzdienstleister (derzeit die Riverty GmbH, Gütersloher Str. 123, 33415 Verl, nachfolgend „Riverty“) übermittelt. Die Daten der entsprechenden Zahlart (Kontoverbindung, Kreditkartendaten) sowie Daten zu Ihren jeweiligen Ticketkäufen werden direkt durch Riverty erhoben, da die durch den Fahrscheinkauf entstandenen Forderungen gegen Sie an Riverty abgetreten werden.

Rechtsgrundlage für die Datenübermittlung ist Art. 6 Abs. 1 S. 1 lit. b, f DSGVO. Wir haben ein berechtigtes Interesse daran, die Abwicklung von Zahlungen und die Verwaltung von Forderungen für eine effiziente Rechnungslegung auszulagern. Zur Durchführung von Risiko- und Betrugsprüfungen, der Sicherstellung der Integrität und Sicherheit der Zahlungsprozesse und zum Schutz vor unbefugtem Zugriff und Missbrauch beim Kaufprozess verarbeitet Riverty ebenso Ihre Daten (siehe dazu unter IV.1).

Die Verarbeitung der personenbezogenen Daten erfolgt durch Riverty als selbständige verantwortliche Stelle. Weitere Informationen über die Datenverarbeitung durch Riverty erhalten Sie unter: https://documents.riverty.com/privacy_statement/ticket_payments/de.

Bitte beachten Sie, dass sich aus diesen Hinweisen auch ergibt, dass, wenn Sie der Riverty als Kunde noch nicht bekannt sind, Riverty bei Zahlungen per SEPA oder Kreditkarte Ihre Daten an Auskunfteien (wie z.B. Schufa) zur Überprüfung Ihrer Angaben und Bonität zur Vermeidung eines Zahlungsausfalls übermittelt.

2. PayPal

In der Ticket-App bieten wir die Bezahlung via dem Online-Zahlungsdienstleister PayPal an. Anbieter dieses Zahlungsdienstes ist die PayPal (Europe) S.à.r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxembourg (im Folgenden „PayPal”). Wenn Sie PayPal als Zahlmethode auswählen, werden Sie auf die Webseite von PayPal weitergeleitet und die von Ihnen eingegebenen personenbezogenen Daten werden an PayPal verschlüsselt übermittelt. Dies umfasst Ihren Namen, Ihre Adresse, Ihre Telefonnummer, Ihre IP-Adresse, E-Mail-Adresse und sonstige zur Bestellabwicklung erforderliche Informationen einschließlich solcher zu Ihrer Bestellung.

Die Verarbeitung der personenbezogenen Daten erfolgt durch PayPal als verantwortliche Stelle. Rechtsgrundlage für die Verarbeitung im Zusammenhang mit PayPal ist Art. 6 Abs. 1 S. 1 lit. b, f DSGVO. Wir haben ein berechtigtes Interesse daran, Ihnen erweiterte Zahlungsmöglichkeiten zu bieten und die Abwicklung von Zahlungen auszulagern.

Soweit dies für die Erfüllung der Bestellung erforderlich ist, können Daten durch PayPal auch an Dritte weitergegeben werden. Zur Identitäts- und Bonitätsprüfung erfolgt ferner eine Übermittlung der personenbezogenen Daten von PayPal an Wirtschaftsauskunfteien, wie etwa die SCHUFA.

Weitere Informationen über die Datenverarbeitung durch PayPal erhalten Sie unter https://www.paypal.com/de/webapps/mpp/ua/privacy-full?locale.x=de_DE.

3. Google Maps

Wir nutzen über eine API den Kartendienst Google Maps. Anbieter ist die Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland) (“Google”). Die Verwendung von Google Maps ermöglicht eine schnelle und zutreffende Standortermittlung des Nutzers, um Ihren Standort für die Starthaltestelle zu erfassen. Die Information über die Starthaltestelle ist nur für Einzelausweise relevant. Zur Nutzung der Funktionen von Google Maps ist es notwendig, Ihre IP-Adresse weiterzugeben. Diese Informationen werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Wir haben keinen Einfluss auf diese Datenübertragung.

Google Maps öffnet sich, wenn Sie die Schaltfläche „Starthaltestelle“ während des Ticketkaufs anklicken. Dies erfolgt im Interesse einer ansprechenden und einfachen Nutzung unserer App. Dies stellt ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 S. 1 lit. f DSGVO dar. Wir gehen davon aus, dass eine entsprechende Steigerung der Nutzerfreundlichkeit auch in Ihrem Interesse erfolgt. Mehr Informationen zum Umgang mit Nutzerdaten finden Sie in der Datenschutzerklärung von Google: https://www.google.de/intl/de/policies/privacy/. Alternativ zu Google Maps haben Sie die Möglichkeit, das Ortungs-Icon anzuklicken, um die Starthaltestelle über die GPS Ortung einzutragen.

4. Weitergabe personenbezogener Daten an Behörden

Eine Übermittlung Ihrer personenbezogenen Daten an öffentliche Stellen erfolgt nur dann, wenn die Informationen auf der Grundlage gesetzlicher Auskunftsersuche angefragt werden oder die BVG anderweitig zur Datenweitergabe gesetzlich verpflichtet ist, Art. 6 Abs. 1 S. 1 lit. c DSGVO.

5. Datenweitergabe innerhabl der BVG

Wir behalten uns vor, die Ticket-App in Zukunft durch eine andere Gesellschaft aus der BVG-Gruppe betreiben zu lassen; bei einem entsprechenden Betreiberwechsel werden auch die Nutzerdaten an den neuen Betreiber übergeben. Der neue Betreiber wird dann in alle Rechten und Pflichten eintreten und die personenbezogenen Daten wie in dieser Datenschutzerklärung erläutert verarbeiten.

VII. Übermittlung personenbezogener Daten in Drittstaaten

Beachten Sie dabei bitte, dass in anderen Staaten verarbeitete Daten ggf. ausländischen Gesetzen unterliegen und den dortigen Regierungen, Gerichten sowie Strafverfolgungs- und Aufsichtsbehörden zugänglich sind. Bei der Übertragung Ihrer personenbezogenen Daten in Drittstaaten werden wir jedoch geeignete Maßnahmen treffen, um Ihre Daten angemessen zu sichern.

Sofern für das Empfängerland kein Angemessenheitsbeschluss der EU Kommission besteht, ist die Übertragung Ihrer Daten in einen Drittstaat dadurch geschützt, dass mit dem Empfänger EU-Standardvertragsklauseln (https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en) abgeschlossen wurden oder verbindliche interne Datenschutzrichtlinien vorliegen. Andernfalls erfolgt eine Übermittlung nur, wenn eine Ausnahme nach Art. 49 DSGVO erfüllt ist.

E. Datenlöschung und Speicherdauer

Ihre personenbezogenen Daten werden so lange gespeichert, wie es für die Erfüllung des konkreten Zwecks erforderlich ist. Im Anschluss werden Ihre Daten gelöscht, wenn nicht im Einzelfall gesetzliche Aufbewahrungspflichten eine darüberhinausgehende Speicherung erfordern oder gesetzliche Rechtfertigungstatbestände diese ermöglichen. In der Regel ergeben sich die folgenden Aufbewahrungs- bzw. Löschfristen:

  • Suchhistorie von Starthaltestellen: Die Daten werden lokal auf dem Nutzer Gerät gespeichert. Sobald der Nutzer die App löscht/deinstalliert, werden auch diese Informationen vom Gerät entfernt.
  • Stammdaten aus Kunden-Konto: Aufbewahrung während des Bestehens des Kunden-Kontos
  • Daten zu Ticketkauf: Aufbewahrung für 10 Jahre
  • Daten zur gewählten Zahlart: Aufbewahrung während des Bestehens des Kunden-Kontos

Daten aus Anfragen beim Kundenservice: Aufbewahrung für maximal drei Jahre nach Bearbeitung der Anfrage (Fristbeginn mit Schluss des jeweiligen Kalenderjahres)

F. Ihre Datenschutzrechte

Sie haben, je nach den Gegebenheiten des konkreten Falls, folgende Datenschutzrechte:

  • Auskunft über Ihre bei uns verarbeiteten personenbezogenen Daten zu erhalten und/oder Kopien dieser Daten zu verlangen. Dies schließt Auskünfte über den Zweck der Nutzung, die Kategorie der genutzten Daten, deren Empfänger und Zugriffsberechtigte sowie, falls möglich, die geplante Dauer der Datenspeicherung oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer, ein;
  • Die Berichtigung, Löschung oder Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, soweit deren Nutzung datenschutzrechtlich unzulässig ist, insbesondere, weil (i) die Daten unvollständig oder unrichtig sind, (ii) sie für die Zwecke, für die sie erhoben wurden nicht mehr notwendig sind, (iii) die Einwilligung, auf die sich die Verarbeitung stützte widerrufen wurde, oder (iv) Sie erfolgreich von einem Widerspruchsrecht zur Datenverarbeitung Gebrauch gemacht haben; in Fällen, in denen die Daten von dritten Parteien verarbeitet werden, werden wir Ihre Anträge auf Berichtigung, Löschung oder Einschränkung der Verarbeitung an diese dritten Parteien weiterleiten, es sei denn dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden;
  • Die Einwilligung zu verweigern oder – ohne Auswirkung auf die Rechtmäßigkeit der vor dem Widerruf erfolgten Datenverarbeitungen – Ihre Einwilligung zur Verarbeitung Ihrer personenbezogenen Daten jederzeit zu widerrufen;
  • Die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu verlangen und diese Daten einem anderen Verantwortlichen ohne Behinderung durch uns zu übermitteln; Sie haben gegebenenfalls auch das Recht zu verlangen, dass wir die personenbezogenen Daten direkt einem anderen Verantwortlichen übermitteln, soweit dies technisch machbar ist;
  • Rechtliche Maßnahmen zu ergreifen oder die Datenschutzaufsichtsbehörde anzurufen, wenn Sie der Ansicht sind, dass Ihre Rechte infolge einer nicht im Einklang mit den datenschutzrechtlichen Vorgaben stehenden Verarbeitung Ihrer personenbezogenen Daten verletzt wurden.

Zusätzlich hierzu steht Ihnen das Recht zu, der Verarbeitung Ihrer personenbezogenen Daten jederzeit kostenfrei und mit Wirkung für die Zukunft zu widersprechen:

  • sofern wir Ihre personenbezogenen Daten zu Zwecken der Direktwerbung verarbeiten; oder
  • sofern wir Ihre personenbezogenen Daten zur Verfolgung unserer berechtigten Interessen verarbeiten und Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben.

G. Kontakt

Für Fragen, Anregungen oder Kommentare zum Thema Datenschutz können Sie sich gerne an unseren Datenschutzbeauftragten wenden.

Kotaktinformationen:

Datenschutzbeauftragter

Berliner Verkehrsbetriebe (BVG)
Anstalt des öffentlichen Rechts
Holzmarktstraße 15-17
10179 Berlin

oder

datenschutz@bvg.de.

H. Aufsichtsbehörde

Sie können sich in allen Fragen zum Datenschutz auch an die für Berlin zuständige Aufsichtsbehörde wenden:

Berliner Beauftragte
für Datenschutz und Informationsfreiheit
Alt-Moabit 59 - 61 (Besuchereingang Alt-Moabit 60)
10555 Berlin
Telefon: +49 (30) 13889-0
Fax: +49 (30) 2155050
E-Mail: mailbox@datenschutz-berlin.de

I. Änderungsklausel

Wir behalten uns vor, die vorliegende Datenschutzerklärung von Zeit zu Zeit zu ändern. Aktualisierte Versionen werden unter https://www.bvg.de/de/Serviceseiten/Datenschutzhinweise-Ticketapp
bzw. http://www.bvg.de/en/Servicepages/Data-protection-policy-ticketapp veröffentlicht.

Stand: 12.11.2024