Datenschutzhinweise | App "MVG Tickets 6091"

1. Allgemeines

Wir freuen uns über Ihr Interesse an MVG Tickets 6091. Der Schutz Ihrer persönlichen Daten ist uns ein besonderes Anliegen. Wir behandeln die von Ihnen im Rahmen der Nutzung der MVG Tickets 6091-App verarbeiteten personenbezogenen Daten vertraulich und entsprechend den gesetzlichen Datenschutzvorschriften sowie diesen Datenschutzhinweisen. Wir möchten Sie im Einzelnen darüber informieren, welche Ihrer personenbezogenen Daten wir verarbeiten, zu welchen Zwecken sie verarbeitet werden, mit wem sie geteilt werden und welche Kontroll- und Informationsrechte Ihnen gegebenenfalls zustehen. Wir empfehlen Ihnen daher, diese Datenschutzhinweise sorgfältig zu lesen.

Die MVG Tickets 6091-App ist an den Single-Sign-On-Dienst "M-Login" der Stadtwerke München GmbH angeschlossen, so dass die Registrierung und Anmeldung über "M-Login" erfolgt (siehe 4.) und im M-Login hinterlegte Daten, soweit erforderlich und soweit Sie es freigegeben haben, an die MVG Tickets 6091-App übermittelt werden. Dabei werden nach Ihrer Freigabe im "M-Login" folgende Daten übermittelt: Anrede, Vorname, Nachname, Titel, Geburtsdatum, E-Mail, Adresse und Mobilfunknummer.

Ihre Daten werden insbesondere zur Abwicklung Ihres Ticketkaufs, von dem in der MVG Tickets 6091-App angebotenem MVG HandyTicket Service der Münchner Verkehrsgesellschaft mbH verarbeitet bzw. an die Zahlungsdienstleister gemäß dieser Datenschutzhinweise weitergegeben (siehe 4.).

2. Verantwortlicher und Datenschutzbeauftragter

Verantwortlich für die MVG Tickets 6091-App gem. Art. 4 Nr. 7 EU-Datenschutz-Grundverordnung (DSGVO) ist die Münchner Verkehrsgesellschaft mbH (MVG) (nachfolgend „MVG“ oder „wir“ oder „unser/e/er/es/en“ oder „uns“), Emmy-Noether-Str. 2, 80992 München, Telefon: 089 2191-0, Fax: 089 2191-703386. Wenn Sie Fragen zu diesen Datenschutzhinweisen oder zu der Verarbeitung Ihrer personenbezogenen Daten haben, können Sie sich gern per E-Mail an datenschutz.mvg@mvg.de wenden.

Sollten Sie Fragen, Anregungen und/oder Kritik in Bezug auf unsere Dienste haben, so kontaktieren Sie uns bitte per E-Mail unter: anfragen@mvg.de

Den Datenschutzbeauftragten der Münchner Verkehrsgesellschaft mbH (MVG) erreichen Sie unter:

Münchner Verkehrsgesellschaft mbH (MVG)
Datenschutzbeauftragter
Emmy-Noether-Straße 2
80992 München
E-Mail: datenschutz@swm.de

3. Allgemeines zur Datenverarbeitung

Soweit wir personenbezogene Daten erheben, verarbeiten oder nutzen, beachten wir die anwendbaren gesetzlichen Vorschriften, insbesondere die EU-Datenschutzgrundverordnung (DSGVO), das Bundesdatenschutzgesetz (BDSG) und das Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG).

Wir erheben und verwenden personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionierenden MVG Tickets 6091 App sowie unserer Inhalte und Leistungen erforderlich ist. Einer der Hauptzwecke der Datenverarbeitung ist dabei die Bereitstellung der MVG Tickets 6091 Smartphone-App für die optimale Funktion, Angebot und Darstellung des MVG HandyTicket Service für den Nutzer – inklusive der damit verbundenen „Datenverwaltung“ für den Nutzer, damit dieser seine Kontaktdaten nicht bei jedem Ticketkauf erneut eingeben muss und stets einen Überblick über die von ihm durchgeführten Ticketkäufe hat.

4. Zusammenfassung unserer Verarbeitungstätigkeiten

Bei informatorischer Nutzung der MVG Tickets 6091-App ohne Registrierung verarbeiten wir Daten zu dem von Ihnen verwendeten Endgerät, um die Nutzung der App technisch zu ermöglichen. Die Grundlage dafür bildet Art. 6 Abs. 1 S. 1 lit. a und b DSGVO (siehe dazu unter 5.).
Im Rahmen des App-Onboardings fragen wir Sie nach Ihrer Zustimmung zur pseudonymisierten Analyse ihres Nutzungsverhaltens und dem Senden anonymisierter Absturzberichte. Dies hilft uns bei der Weiterentwicklung, Verbesserung und Identifikation von Fehlern von MVG Tickets 6091. Die Rechtsgrundlage für diese Datenverarbeitungen ist Art. 6 Abs. 1 lit. a und f DSGVO und Art. 25 Absatz 1 TTDSG. (siehe dazu unter 5.3 und 5.4).
Wenn Sie ihren M-Login in der MVG Tickets 6091-App erstellen oder einen bestehenden M-Login nutzen, verarbeiten wir zusätzlich zu den vorgenannten Daten alle für die Registrierung notwendigen Informationen (u.a. Anrede, Vorname, Nachname, Titel, Geburtsdatum, Adresse und Mobilfunknummer). Nur auf Grundlage dieser Informationen können wir Ihnen den Ticketkauf ermöglichen. Die Grundlage dafür bildet Art. 6 Abs. 1 S. 1 lit. b DSGVO (siehe dazu unter 6.).
Sofern Sie den MVG HandyTicket Service („Ticketkauf“) über die MVG Tickets 6091-App nutzen, werden Stammdaten (wie Anrede, Vorname, Nachname, Titel, Geburtsdatum, Adresse, Mobilfunknummer, E-Mail-Adresse, Adresse), Endgerätdaten und Ticketkonfigurationsdaten sowie Information zur verwendeten Zahlweise an uns übermittelt und zum Zwecke der Bereitstellung des Tickets und der Rechnungserstellung verarbeitet. Die Grundlage dafür bildet Art. 6 Abs. 1 S. 1 lit. b DSGVO und Art. 25 Absatz 2 Nr. 2 TTDSG (siehe dazu unter 7).
Wir verarbeiten dabei Informationen zu der von Ihnen gewählten Zahlweise, um den Ticketkauf abwickeln zu können. Die Grundlage dafür bildet Art. 6 Abs. 1 S. 1 lit. b DSGVO (siehe dazu unter 7.3).
Sollten Sie Kontakt mit unserem Kundenservice aufnehmen, verarbeiten wir die für die Bearbeitung Ihrer Anfrage erforderlichen Daten (z.B. Name, E-Mail-Adresse, Grund der Kontaktaufnahme). Die Grundlage dafür bildet Art. 6 Abs. 1 S. 1 lit. b bzw. a DSGVO und Art. 25 Absatz 1 TTDSG (siehe dazu unter 8.).

Definitionen

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO)). Darunter fallen Informationen wie Ihr Name, Ihre E-Mail-Adresse, Ihre Postanschrift oder Ihre Telefonnummer. Informationen, die nicht direkt mit Ihrer Identität in Verbindung gebracht werden, wie z.B. die Anzahl der Nutzer einer Internetpräsenz, fallen nicht hierunter.

Verarbeitung ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

5. Verarbeitung Ihrer Daten bei informatorischer Nutzung der MVG Tickets 6091 App

Auch wenn Sie die MVG Tickets 6091-App nur zu informatorischen Zwecken nutzen, also, auch schon bevor Sie sich registrieren oder uns anderweitig Informationen übermitteln, erheben wir die nachfolgend beschriebenen personenbezogenen Daten. Diese Daten verarbeiten wir aber auch nach der Registrierung:

5.1 Technisch erforderliche Daten

Bei der rein informatorischen Nutzung der App werden folgende Daten übertragen, die für uns technisch erforderlich sind, um Ihnen die Funktionen unserer mobilen App anzubieten sowie die Stabilität und Sicherheit zu gewährleisten:

IP-Adresse
die Anfrage selbst

Datum und Uhrzeit der Anfrage
jeweils übertragene Datenmenge

Rechtsgrundlagen sind Art. 6 Abs. 1 S. 1 lit. b DSGVO, um Ihnen unsere App im Rahmen des Nutzungsvertrags mit Ihnen zur Verfügung zu stellen und einen Ticketkauf über die App zu ermöglichen sowie Art. 6 Abs. 1 S. 1 lit. f DSGVO, um Ihnen die App technisch bereitstellen zu können.

5.2 Erfassung von Standortdaten

Wenn Sie der App erlauben, mittels des Betriebssystems des von Ihnen verwendeten mobilen Endgeräts sowie seines Berechtigungssystems auf Standortdienste zuzugreifen („Ortungsfunktion“ Ihres mobilen Endgeräts), erhalten Sie Zugriff zu Funktionen, die Ihnen bei der Konfiguration eines Tickets unterstützen. Diese Funktion (automatisierte Positionsbestimmung) können Sie in den Einstellungen Ihres Betriebssystems jederzeit erlauben oder widerrufen. Eine Verarbeitung oder Speicherung von Standortdaten durch uns erfolgt nicht.

Sofern Sie uns nicht gestattet haben, Ihre Standortdaten zu erfassen, werden diese Daten nicht erfasst; Sie können die App auch ohne diese Funktion nutzen.

5.3 Firebase Crashlytics (anonymisierte Absturzberichte)

Unsere App nutzt Firebase Crashlytics, einen Dienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland („Google“, Muttergesellschaft: Google LLC, USA), um Fehler der App zu analysieren und Probleme zu beheben. Beim Absturz der App wird an Google ein anonymisierter Absturzbericht in Echtzeit übermittelt. Der Absturzbericht enthält dabei auf Ihre Nutzung unserer App bezogene Informationen zum Gerätezustand, Gerätetyp, Betriebssystem, App-Version, Zeitpunkt des Absturzes sowie die Geräteidentifikationsnummer und Standortdaten zum Zeitpunkt des Absturzes. Weitere Informationen finden Sie in den Datenschutzhinweisen der Google LLC unter: https://policies.google.com/privacy

Rechtsgrundlage für die Nutzung von Firebase Crashlytics ist Ihre Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO, § 25 Abs. 1 TTDSG.

Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie das Senden von Absturzberichten in den App-Einstellungen unter "Privatsphäre" deaktivieren.

Hinweis: Ihre Änderung wird erst mit einem Neustart der App wirksam.

5.4 Matomo (pseudonymisierte Nutzungsanalyse)

Unsere App nutzt das Webanalyse-Tool Matomo, um die Nutzung statistisch zu analysieren.

Über die gewonnenen Statistiken können wir unser Angebot verbessern und für Sie interessanter ausgestalten. Wir verarbeiten folgende Daten:

die IP-Adresse (anonymisiert durch Nullen eines Oktetts)
die aufgerufenen Screens innerhalb der App;
das Nutzerverhalten (aufgerufene Screens, Klickpfade, Absprungraten und Verweildauer auf den Screens);
Conversion-Ziele (z.B. ob ein Kauf durchgeführt wurde);
Informationen von Ihrem Endgerät: Betriebssysteme sowie Endgeräte, mit welchen die App verwendet wird.

Die Verarbeitung der Daten erfolgt ausschließlich in unserer Verantwortung.

Weitere Informationen zum Analyse-Tool Matomo finden Sie unter folgender Adresse: https://matomo.org/matomo-on-premise/

Rechtsgrundlage für die Webanalyse ist Art. 6 Abs. 1 S. 1 lit. f DSGVO. Die Verarbeitung dient dem Zweck, die Besucherzahlen und Nutzung unseres Dienstes auszuwerten und damit unseren Dienst zu verbessern. Daran haben wir ein berechtigtes Interesse.

Die Rechtsgrundlage für das Auslesen Ihrer o.g. Geräteinformationen ist Ihre Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO, § 25 Abs. 1 TTDSG.

Sie können der Verarbeitung jederzeit widersprechen, indem Sie die Nutzungsanalyse in den App-Einstellungen unter „Privatsphäre“ deaktivieren.

6. Verarbeitung Ihrer Daten bei der Registrierung und/oder Nutzung eines Kunden-Accounts

Wir bieten in unserer App den MVG HandyTicket Service an, bei dessen Nutzung wir von Ihnen personenbezogene Daten wie z.B. Name oder E-Mail-Adresse und gegebenenfalls weitere Informationen abfragen. Ohne diese Angaben können wir Ihnen gegebenenfalls den gewünschten Service nicht zur Verfügung stellen bzw. etwaige Anfragen von Ihnen nicht beantworten. Nachfolgend geben wir Ihnen einen Überblick über die damit zusammenhängenden Verarbeitungsvorgänge und Rechtsgrundlagen.

6.1 Registrierungsprozess

Für die Nutzung des MVG HandyTicket Service der MVG Tickets 6091-App ist erforderlich, dass Sie sich einloggen. Hierfür steht der zentrale Single-Sign-On-Dienst "M-Login" der Stadtwerke München GmbH zur Verfügung (vgl. Ziffer 9.3). M-Login ist ein Online-Portal, über das registrierte Nutzer zentral bestimmte Nutzerprofildaten für ausgewählte Services, die an den M-Login angeschlossen sind, verwalten können. Weitere Informationen zu der Verarbeitung Ihrer Daten im Rahmen von M-Login können Sie den Datenschutzinformationen für "M-Login" (https://login.muenchen.de/datenschutz) entnehmen. Wenn Sie bei M-Login bereits registriert sind, können Sie sich mit Ihren dort angelegten Benutzernamen und Passwort in die MVG Tickets 6091-App einloggen.

Wenn Sie es in M-Login freigegeben haben, erhalten wir Zugriff auf folgende Ihrer Profil-Daten im M-Login:

IP-Adresse
Anrede
Vorname
Nachname
Titel
Geburtsdatum
Adresse
E-Mail-Adresse
Sprache
Mobilfunknummer
Datum und Uhrzeit der Registrierung
Datum und Uhrzeit der Anfrage
Zahlungsart

Die Rechtmäßigkeit dieser Datenverarbeitung ergibt sich aus Art. 6 Abs. 1 S. 1 lit. b DSGVO, da diese Angaben für die Erfüllung des Vertrages mit Ihnen oder zur Durchführung vorvertraglicher Maßnahmen erforderlich sind. Ohne Angabe der für die Registrierung erforderlichen Daten ist eine Nutzung des MVG HandyTicket Service in der MVG Tickets 6091-App nicht möglich. Wir verarbeiten Ihre Kontaktdaten, einschließlich E-Mail-Adresse und Mobilfunknummer, um Sie im Einklang mit den anwendbaren Gesetzen über vertragsrelevante Änderungen bzgl. der von uns angebotenen Dienste zu informieren sowie um Ihnen andere gesetzlich vorgegebene Informationen zur Verfügung zu stellen. Wir benötigen Ihr Geburtsdatum, um sicherzustellen, dass Sie volljährig und damit geschäftsfähig sind, sowie zur Unterscheidung bei Namensgleichheiten.

6.2 Löschen des M-Login-Accounts

Ihre Freigabe zur Nutzung ihrer M-Login-Account-Daten gegenüber MVG Tickets 6091 können Sie unter login.muenchen.de entziehen oder anpassen.

Eine Löschung Ihres M-Login-Accounts können Sie unter login.muenchen.de durchführen. Alternativ können Sie sich für eine Löschung Ihres M-Login-Accounts an den M-Login Kundensupport unter kontakt@login.muenchen.de wenden.

7. Verarbeitung Ihrer Daten bei Nutzung des MVG HandyTicket Service in der MVG Tickets 6091-App

7.1 Ticketkauf und Nutzung

Bei Ticketkauf über die MVG Tickets 6091-App kommt es zwischen Ihnen und uns zum Abschluss eines Vertrages (siehe hierzu die AGB MVG HandyTicket Service). Die für Vertragsschluss und -abwicklung erforderlichen Daten werden von uns verarbeitet. Bei den dafür erforderlichen Daten handelt es sich um folgende Informationen:

Wir erhalten:

Anrede
Vorname
Nachname
Titel
E-Mail-Adresse
Adresse
Mobilfunknummer
Informationen zum verwendeten mobilen Endgerät
Servicebezogene Supportanfragen

Die Rechtmäßigkeit der Verarbeitung dieser Daten ergibt sich aus Art. 6 Abs. 1 S. 1 lit. b DSGVO und Art. 25 Absatz 2 Nr. 2 TTDSG, da sie für die Bereitstellung des Service, also das Zustandekommen und die Abwicklung von Verträgen zwischen Ihnen und uns, erforderlich ist.

7.2 Rechnungserstellung und -versand

Der Rechnungsversand für Ticketkäufe erfolgt als Gesamtrechnung für alle an einem Tag erworbenen Tickets an die im M-Login hinterlegte E-Mail-Adresse. Rechnungen können Sie zusätzlich als Zweitschrift über die Tickethistorie im Ticketshop nachträglich anfordern.

7.3 Zahlungsinformationen

Um den MVG HandyTicket Service über die MVG Tickets 6091-App in Anspruch nehmen zu können, müssen Sie im Rahmen des Registrierungsprozesses über den M-Login Zahlungsinformationen direkt bei Novalnet AG oder bei First Data GmbH (hierzu unter 9.2) hinterlegen. Die Verarbeitung der personenbezogenen Daten erfolgt durch Novalnet AG bzw. First Data GmbH als datenschutzrechtlich eigenen Verantwortlichen.

7.4 Speicherung und Anzeige des HandyTickets in einer externen Wallet

Ihr HandyTicket wird innerhalb der App im Bereich "Tickets" unter "Meine Tickets" angezeigt und gespeichert. Für ausgewählte Tarife, wie z.B. dem Deutschlandticket Abo, haben Sie zusätzlich optional die Möglichkeit, ein HandyTicket in der App „Wallet“ Ihres Endgeräts (iOS bzw. Android) zu speichern.

Dabei werden, nach Bestätigung der Speicherung, mit dem HandyTicket folgende Daten („Ticketdaten“) an die Wallet Ihres Endgeräts übermittelt:

Vor- und Nachname,
Name des Tarifprodukts,
Kundengruppe,
Starthaltestelle & Haltestellenort (soweit vorhanden),
Gültigkeitszeitraum (Start und Ende),
Geltungsraum (soweit vorhanden),
Ticket-ID,
Wagenklasse (soweit vorhanden),
Ticket-Barcode,
Allgemeine Hinweise zur Fahrtberechtigung (soweit vorhanden)

Wenn Sie das HandyTicket in der Wallet Ihres Endgeräts gespeichert haben möchten, müssen Sie dieses manuell von der App in die Wallet hinzufügen. Öffnen Sie hierzu das HandyTicket in der App und wählen Sie dort im Ticketlayout das Funktionsmenü aus. In der Wallet gespeicherte HandyTickets müssen manuell von Ihnen gelöscht werden, die App hat hierauf keinen Zugriff.

iOS

Mit Bestätigung der Speicherung geben wir die hierfür erforderlichen Daten an Apple (Apple Inc., Apple Distribution International, Hollyhill Industrial Estate, Hollyhill, Cork, Irland) weiter. Dabei handelt es sich nur um pseudonymisierte Daten, wie Ihre Apple Wallet ID-Nummer; auf die Ticketdaten hat Apple keinen Zugriff. Damit das Ticket (z.B. wegen Abo-Kündigung oder Erstattungen) immer korrekt in der Apple Wallet angezeigt wird bzw. entfernt werden kann, benachrichtigen wir Apple, wenn sich die Apple Wallet IDs, die HandyTickets der MVG gespeichert haben, beim MVG-System zurückmelden sollen, um ein neues Ticket abzurufen.

Möchten Sie das HandyTicket auf zusätzlichen iOS-Geräten in Ihrer Apple-Wallet angezeigt bekommen, werden die Ticketdaten über die iCloud an Ihr Endgerät z.B. Apple Watch gesendet. Diese Funktion muss zuvor auf Ihrem Endgerät aktiviert werden.

Im Rahmen der Speicherung der Ticketdaten in der iCloud werden verschlüsselte Daten unter anderem an beteiligte Subdienstleister in Drittländer übermittelt. Diese Daten werden verschlüsselt übermittelt, und diese Subdienstleister erhalten nach den von Apple zur iCloud bereitgestellten Informationen den Schlüssel nicht. Weitere Informationen zur Apple Wallet finden Sie unter https://support.apple.com/de-de/HT204003. Apple agiert in diesem Fall für die Speicherung und die Anzeige der Karte in der jeweiligen Apple Wallet als eigenständige Verantwortliche im Hinblick auf die an sie übertragenen Daten. Weitere Informationen über die Datenverarbeitung durch Apple erhalten Sie unter: https://www.apple.com/de/legal/privacy/data/de/apple-pay/.

Android

Mit Bestätigung der Speicherung geben wir die hierfür erforderlichen Daten an Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland („Google“, Muttergesellschaft: Google LLC, USA) weiter. Dabei werden die oben genannten Ticketdaten an Google weitergegeben. Auch benachrichtigen wir Google über eine notwendige Aktualisierung, z.B. wegen Abo-Kündigung oder Erstattungen, damit das Ticket in der Google Wallet korrekt angezeigt bzw. entfernt wird.

Google agiert in diesem Fall für die Speicherung und die Anzeige des HandyTickets in der Google Wallet als eigenständige Verantwortliche im Hinblick auf die an sie übertragenen Daten. Weitere Informationen über die Datenverarbeitung durch Google erhalten Sie unter: https://policies.google.com/privacy?hl=de. Auf die Datenverarbeitung durch Google haben wir keinen Einfluss. Weitere Informationen zur Google Wallet finden Sie unter https://wallet.google/intl/de_de/.

Die Rechtsgrundlage für die Datenverarbeitung bei der Speicherung eines HandyTickets in der externen Wallet des Endgeräts ist Art. 6 Abs. 1 S. 1 lit. b. DSGVO. Die Datenverarbeitung ist zur Erstellung und Auslieferung eines gültigen HandyTickets in der Apple Wallet bzw. Google Wallet erforderlich. Indem Sie die Zusatzfunktion zur Speicherung des HandyTickets in die Wallet durchführen, berechtigen Sie uns dazu, die zur Speicherung und Anzeige des HandyTickets erforderlichen Daten an die Apple Wallet App bzw. Google und die Google Wallet App des Endgeräts übertragen zu dürfen.

8. Verarbeitung Ihrer Daten bei Kontaktaufnahme mit dem Kundenservice

Bei Ihrer Kontaktaufnahme mit unserem Kundenservice (z.B. per E-Mail) werden der Grund der Kontaktaufnahme, Ihre E-Mail-Adresse, Ihr Name sowie unsere damit verbundenen Antworten von uns verarbeitet, um Ihre Fragen zu beantworten. Zwecks Fehleridentifikation und -behebung werden möglicherweise zudem folgende technische Informationen lokal auf Ihrem Gerät erhoben und vor dem Versand in der E-Mail dargestellt: Betriebssystem (iOS oder Android) und Version, App Version, Gerätemodel. Diese Daten werden nur an uns übermittelt, wenn Sie die E-Mail unverändert absenden und damit der Übermittlung zustimmen (§ 25 Abs. 1 TTDSG), sollten Sie das nicht wollen, können Sie den Text auch löschen, dann werden die Daten nicht an uns übermittelt. Darüber hinaus werden alle Informationen verarbeitet, die Sie uns im Rahmen der Anfrage freiwillig zur Verfügung stellen. Die Rechtmäßigkeit dieser Datenverarbeitung ergibt sich aus Art. 6 Abs. 1 S. 1 lit. b bzw. lit. a DSGVO, da diese Datenverarbeitung für die Sicherstellung des Kundenservice im Rahmen der Vertragsbeziehung erforderlich ist.

Wenn Sie möchten, können Sie mit Ihrer Kontaktanfrage (E-Mail) auch das in der App gespeicherte Diagnoseprotokoll an unseren Kundenservice mitsenden. Das Diagnoseprotokoll enthält folgende Daten:

Anfragen (inkl. Inhalt) der App an den Server
von der App empfangene Antworten des Servers, insbesondere HTTP Status
evtl. auftretende Fehler bei o.g. Situationen
Zeitstempel dieser Events
OS Version bzw. Android-API Version
App Version
Gerätehersteller und -modell

Diese Informationen helfen uns, bei der Identifikation von Problemen und der gezielten Bearbeitung Ihrer Anfrage. Rechtsgrundlage ist Art. 6 Abs. 1 S. lit. a (Einwilligung) bzw. f DSGVO. Wir haben ein berechtigtes Interesse daran, Ihre Kontaktanfrage zu bearbeiten und dazu die von Ihnen übermittelten Informationen zu verarbeiten.

9. Weitergabe Ihrer Daten

9.1 Eingesetzte Dienstleister

Die Dienstleister, die für uns im Auftrag weisungsabhängig Daten als Auftragsverarbeiter verarbeiten und somit Empfänger von personenbezogenen Daten sind, haben wir sorgfältig ausgesucht, bieten hinreichende Garantien für geeignete technische und organisatorische Maßnahmen und werden von uns vertraglich nach Art. 28 DSGVO verpflichtet.

Wir übermitteln Ihre personenbezogenen Daten regelmäßig insbesondere an (IT-)Dienstleister, die für uns als Auftragsverarbeiter tätig werden.

9.2 Weitere Verantwortliche

Darüber hinaus erhalten und/oder geben wir Daten an folgende Dritte weiter, die die Daten als selbständige Verantwortliche verarbeiten:

Stadtwerke München GmbH („M-Login“)

Verantwortlich für den Single-Sign-On-Dienst „M-Login“ ist die Stadtwerke München GmbH (nachfolgend „SWM“), Emmy-Noether-Straße 2, 80992 München, Telefon: 0800 796 06 54, E-Mail Kundenservice: kontakt@login.muenchen.de

Mit den SWM sind wir in Bezug auf MVG Tickets 6091 gemeinsam Verantwortliche. Das Wesentliche der Vereinbarung über diese gemeinsame Verantwortlichkeit im Rahmen des M-Login stellen wir Ihnen gerne zur Verfügung. Hierzu können Sie ich an die o.g. genannten Kontaktdaten von uns oder der SWM wenden.

Welche Services außerdem noch an den M-Login angeschlossen sind und von welchen Service-Gesellschaften diese betrieben werden, sowie wie die Daten innerhalb des M-Logins verarbeitet werden, können Sie den Datenschutzinformationen des M-Login unter https://login.muenchen.de/datenschutz entnehmen.

Novalnet AG

Gilt bei SEPA-Zahlung für Mobilitätsangebote der MVG:

Wir geben Ihre personenbezogenen Daten (Vor- und Nachname, Geburtsdatum, Adresse, E-Mail-Adresse, Kontoverbindung, Kreditkartendaten, ggf. Telefonnummer, IP-Adresse sowie Daten zu Ihren jeweiligen Käufen) und alle Änderungen an die Novalnet AG zum Zwecke des Verkaufes und der Abtretung der Forderungen des Mobilitätsanbieters gegen Sie, welche im Zusammenhang mit Ihrem Kauf, Miete oder Buchung entstehen, weiter. Dies erfolgt auf Grundlage des Art. 6 Abs. 1 S. 1 lit. f DSGVO. Das berechtigte Interesse auf Seite des Mobilitätsanbieters besteht in der Auslagerung der Zahlungsabwicklung und des Forderungsmanagements. Das berechtigte Interesse auf Seiten der Novalnet AG besteht in der Verarbeitung der Daten zum Zwecke der Abwicklung von Zahlungen, zum Forderungsmanagement, der Bewertung der Zulässigkeit von Zahlarten und der Vermeidung von Zahlungsausfällen.

Das Angebot auf Abschluss eines Vertrages über ein Ticket wird nur angenommen, wenn die Novalnet AG die entstehende Forderung aus dem Ticketverkauf erwirbt. Wenn die Novalnet AG den Erwerb der Forderung ablehnt, wird Ihr Angebot auf Abschluss eines Vertrages abgelehnt.

Sie können der Übermittlung dieser Daten an die Novalnet AG jederzeit widersprechen, allerdings ist dann keine Bestellung mehr über diesen elektronischen Vertriebskanal möglich.

Die datenschutzrechtlichen Informationen der Novalnet AG können Sie unter https://www.novalnet.de/datenschutz abrufen.

Darüber hinaus verarbeiten wir Ihre personenbezogenen Daten, welche wir von Novalnet AG erhalten (Information über die Entscheidung, ob die Forderung erworben wird oder nicht).

Sie haben das Recht auf Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten, wenn die in Art. 21 DSGVO genannten Voraussetzungen vorliegen. Im Fall des Widerspruchs haben wir jede weitere Verarbeitung Ihrer Daten zu den vorgenannten Zwecken zu unterlassen, es sei denn, es liegen zwingende, schutzwürdige Gründe für eine Verarbeitung vor, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich.

First Data GmbH

Gilt bei Kreditkartenzahlungen für Mobilitätsangebote der MVG:

Wenn Sie eine Kreditkarte im M-Login als Zahlungsmittel hinterlegen möchten, fordert der M-Login Sie auf, folgende personenbezogene Daten einzugeben: Kartennummer, Ablaufdatum, ggf. Karteninhaber*in und Sicherheitscode. Ihr Kartentyp (z.B. VISA, Mastercard, American Express) wird aus der Kartennummer ermittelt. Diese Daten werden direkt vom Zahlungsdienstleister First Data GmbH, Marienbader Platz 1, 61348 Bad Homburg v. d. Höhe als datenschutzrechtlich eigenem Verantwortlichen entgegengenommen. Wir (genau wie der M-Login) haben auf diese Daten keinen Zugriff und speichern diese Daten nicht. Im Rahmen der starken Kund*innenauthentifizierung nach PSD2 fragt die Bank, die Ihre Kreditkarte ausgegeben hat, ggf. weitere Informationen von Ihnen ab, die Sie mit ihr vereinbart haben. Auch auf diese Daten haben wir (genau wie der M-Login) keinen Zugriff.

Nach erfolgreicher Validierung übermittelt die First Data GmbH folgende personenbezogene Daten an den M-Login: eine Kreditkartenersatznummer, den Kartentyp, die letzten vier Endziffern der Kreditkartennummer und das Ablaufdatum. Diese Daten speichert der M-Login so lange, wie Sie die Kreditkarte als Zahlungsmittel beim M-Login hinterlegt haben.

Der M-Login verarbeitet die o.g. Daten zur Erfüllung des Vertrages mit Ihnen über die Nutzung des M-Logins. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 Satz 1 lit. b DSGVO. Die Datenschutzinformationen des M-Login finden Sie unter https://login.muenchen.de/datenschutz Wir verarbeiten nur die Information, dass ein Zahlungsmittel angelegt worden ist.

Die datenschutzrechtlichen Informationen der First Data GmbH können Sie unter https://www.telecash.de/datenschutz/ abrufen.

Kartendienste

Wir nutzen zur Anzeige von Karten über eine API den Kartendienst Google Maps für Android bzw. Apple Maps für iOS. Anbieter ist die Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA (“Google”) bzw. Apple LLC, 1 Apple Park Way Cupertino, California, 95014-0642 United States.

Die Nutzung von Kartendiensten ist für die Darstellung der MVG Tickets 6091-App erforderlich und erfolgt im Interesse einer ansprechenden und einfachen Nutzung unserer App. Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. b, f DSGVO.

Die Verwendung von Kartendiensten ermöglicht eine schnelle und zutreffende Orientierung des Nutzers, um Ihnen Angebote zu Mobilitätsleistungen an Ihrem Standort und für die von Ihnen angefragte Route anzeigen zu können. Der jeweilige Kartendienste-Anbieter erhält bei der Anzeige der Karte in der MVG Tickets 6091-App Ihre IP-Adresse. Diese Informationen werden gegebenenfalls an einen Server in den USA übertragen und dort gespeichert. Wir haben keinen Einfluss auf diese Datenübertragung.

Mehr Informationen zum Umgang mit Nutzerdaten finden Sie in den Datenschutzerklärungen der Anbieter:

9.3 Weitergabe personenbezogener Daten an Behörden

Eine Übermittlung Ihrer personenbezogenen Daten an öffentliche Stellen erfolgt nur dann, wenn die Informationen auf der Grundlage gesetzlicher Auskunftsersuche angefragt werden oder die MVG anderweitig zur Datenweitergabe gesetzlich verpflichtet ist, Art. 6 Abs. 1 S. 1 lit. c DSGVO.

10. Übermittlung personenbezogener Daten in Drittstaaten

Wir nutzen für bestimmte Aufgaben (IT-)Dienstleister, die ebenfalls (IT-)Dienstleister nutzen, die ihren Firmensitz, Mutterkonzern oder Rechenzentrumssitz in einem Drittland (außerhalb der Europäischen Union und des Europäischen Wirtschaftsraums) haben können.

Dabei muss Folgendes gegeben sein: Die Übermittlung ist zulässig, weil ein gesetzlicher Erlaubnistatbestand besteht oder Sie in die Übermittlung ausdrücklich eingewilligt haben und die besonderen Voraussetzungen für eine Übermittlung in ein Drittland liegen vor. Das bedeutet insbesondere, dass die Europäische Kommission entschieden hat, dass in dem Drittland ein angemessenes Datenschutzniveau besteht (Art. 45 DSGVO) oder geeignete Garantien (z.B. durch sog. EU-Standardvertragsklauseln, die von der Europäische Kommission oder der Aufsichtsbehörde vorgegeben werden) und durchsetzbare Rechte und wirksame Rechtsbehelfe vorgesehen sind.

11. Datenlöschung und Speicherdauer

Soweit nicht anders angegeben, löschen wir Ihre personenbezogenen Daten, nachdem die Speicherung nicht mehr erforderlich ist (z. B. nach abschließender Beantwortung Ihres Anliegens, für die Dauer des Vertragsverhältnisses mit Ihnen bis zu dessen endgültiger Beendigung), oder – im Falle von gesetzlichen Aufbewahrungspflichten – schränken die Verarbeitung ein. Bitte beachten Sie, dass die Weiterverarbeitung insbesondere erforderlich ist zur:

Erfüllung von gesetzlichen Aufbewahrungspflichten, die sich etwa aus dem Handelsgesetzbuch (HGB) und der Abgabenordnung (AO) ergeben können. Die darin vorgegebenen Fristen betragen bis zu zehn Jahren.
Erhaltung von Beweismitteln im Rahmen gesetzlicher Verjährungsvorschriften. Nach den §§ 195 ff. des Bürgerlichen Gesetzbuches (BGB) können diese Verjährungsfristen bis zu 30 Jahren betragen, wobei die regelmäßige Verjährungsfrist 3 Jahre beträgt.

Sofern weitere Verantwortliche (u.a. Novalnet, First Data) Ihre Daten verarbeiten, gelten deren Lösch- und Sperrfristen, die Sie deren Datenschutzhinwiesen entnehmen können.

12. Ihre Datenschutzrechte

Sie haben, je nach den Gegebenheiten des konkreten Falls, folgende Datenschutzrechte:

Auskunft über Ihre bei uns verarbeiteten personenbezogenen Daten zu erhalten und/oder Kopien dieser Daten zu verlangen. Dies schließt Auskünfte über den Zweck der Nutzung, die Kategorie der genutzten Daten, deren Empfänger und Zugriffsberechtigte sowie, falls möglich, die geplante Dauer der Datenspeicherung oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer, ein;
Die Berichtigung, Löschung oder Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, soweit deren Nutzung datenschutzrechtlich unzulässig ist, insbesondere, weil (i) die Daten unvollständig oder unrichtig sind, (ii) sie für die Zwecke, für die sie erhoben wurden nicht mehr notwendig sind, (iii) die Einwilligung, auf die sich die Verarbeitung stützte widerrufen wurde, oder (iv) Sie erfolgreich von einem Widerspruchsrecht zur Datenverarbeitung Gebrauch gemacht haben; in Fällen, in denen die Daten von dritten Parteien verarbeitet werden, werden wir Ihre Anträge auf Berichtigung, Löschung oder Einschränkung der Verarbeitung an diese dritten Parteien weiterleiten, es sei denn dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden;
Die Einwilligung zu verweigern oder – ohne Auswirkung auf die Rechtmäßigkeit der vor dem Widerruf erfolgten Datenverarbeitungen – Ihre Einwilligung zur Verarbeitung Ihrer personenbezogenen Daten jederzeit zu widerrufen;
Die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu verlangen und diese Daten einem anderen Verantwortlichen ohne Behinderung durch uns zu übermitteln; Sie haben gegebenenfalls auch das Recht zu verlangen, dass wir die personenbezogenen Daten direkt einem anderen Verantwortlichen übermitteln, soweit dies technisch machbar ist;
Rechtliche Maßnahmen zu ergreifen oder die Datenschutzaufsichtsbehörde anzurufen, wenn Sie der Ansicht sind, dass Ihre Rechte infolge einer nicht im Einklang mit den datenschutzrechtlichen Vorgaben stehenden Verarbeitung Ihrer personenbezogenen Daten verletzt wurden.

Zusätzlich hierzu steht Ihnen das Recht zu, der Verarbeitung Ihrer personenbezogenen Daten jederzeit kostenfrei und mit Wirkung für die Zukunft zu widersprechen:

sofern wir Ihre personenbezogenen Daten zu Zwecken der Direktwerbung verarbeiten; oder
sofern wir Ihre personenbezogenen Daten zur Verfolgung unserer berechtigten Interessen verarbeiten und Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben.

Zur Ausübung Ihrer Rechte können Sie uns jederzeit eine E-Mail an anfragen@mvg.de senden.
Wenn Sie direkt den Datenschutzbeauftragten der MVG kontaktieren möchten, senden Sie eine E-Mail an datenschutz@swm.de

13. Änderungsklausel

Wir behalten uns vor, die vorliegenden Datenschutzhinweise von Zeit zu Zeit zu ändern. Aktualisierte Versionen werden unter https://www.mvg.de/datenschutz-tickets6091.html veröffentlicht und sind in der MVG Tickets 6091 App verlinkt.

Stand dieser Datenschutzhinweise: Februar 2024