Datenschutzhinweise | App "MVG Tickets 6091"

Datenschutzhinweise | App "MVG Tickets 6091"

1. Inhalt dieser Datenschutzhinweise

Mit diesen Datenschutzhinweisen informieren wir Sie über den Umgang mit Ihren personenbezogenen Daten bei der Nutzung unserer mobilen Applikation MVG Tickets 6091 (nachfolgend auch "App"). Daneben erfahren Sie in diesen Datenschutzhinweisen, welche Rechte Sie in Bezug auf Ihre Daten haben.

Der Begriff "personenbezogene Daten" meint alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Die App ist an den Single-Sign-On-Dienst „M-Login“ der Stadtwerke München GmbH („SWM“) angeschlossen, so dass die Registrierung und Anmeldung über „M-Login“ erfolgt und im M-Login hinterlegte Daten, soweit erforderlich und soweit Sie es freigegeben haben, an die App übermittelt werden (siehe Ziff. 5.3). Hierzu gehören ab dem 4.1.2021 auch Daten zu Ihren Zahlungsmitteln (siehe Ziff. 5.6).

2. Verantwortlicher und Datenschutzbeauftragter 

Verantwortlicher gem. Art. 4 Abs. 7 EU-Datenschutz-Grundverordnung (DSGVO) ist die Münchner Verkehrsgesellschaft mbH (MVG) (nachfolgend auch: "wir"), Emmy-Noether-Str. 2, 80992 München, Telefon: 089 2191-0, Fax: 089 2191-703386, E-Mail: datenschutz.mvg@mvg.de

Die Service-Gesellschaften der an den M-Login angeschlossenen Services sind mit der Stadtwerke München GmbH teilweise gemeinsam Verantwortliche. Das Wesentliche der Vereinbarungen über eine gemeinsame Verantwortlichkeit im Rahmen des M-Login stellen wir Ihnen gerne zur Verfügung. Hierzu können Sie ich an die o.g. genannten Kontaktdaten des Verantwortlichen wenden. 

Welche Services an den M-Login angeschlossen sind und von welchen Service-Gesellschaften diese betrieben werden, können Sie den Datenschutzinformationen des M-Login unter https://login.muenchen.de/datenschutz.html entnehmen.
Unseren Datenschutzbeauftragten erreichen Sie per Post unter der o. g. Anschrift mit dem Zusatz "Datenschutzbeauftragter" oder per E-Mail an: datenschutz.mvg@mvg.de

3. Grundsätzliches zur Datenerhebung und zum Nutzungsumfang

Soweit wir personenbezogene Daten erheben, verarbeiten oder nutzen, beachten wir die anwendbaren gesetzlichen Vorschriften, insbesondere die EU-Datenschutzgrundverordnung (DSGVO), das Bundesdatenschutzgesetz (BDSG) und das Telemediengesetz (TMG).

Für den Betrieb der App können wir technische Dienstleister im Wege der Auftragsverarbeitung einsetzen.
Über unsere App erhobene personenbezogene Daten geben wir an staatliche Einrichtungen, Behörden und Gerichte weiter, soweit wir hierzu verpflichtet sind oder soweit dies zur effizienten Rechtsverteidigung oder Geltendmachung von Rechten erforderlich ist.

Soweit in diesen Datenschutzhinweisen nicht ausdrücklich erläutert, übermitteln wir personenbezogene Daten nicht in Länder außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR).

4. Kontaktaufnahme

Bei Ihrer Kontaktaufnahme mit uns, z. B. per E-Mail, werden folgende personenbezogene Daten von Ihnen erhoben:

  • Ihre E-Mail-Adresse, 
  • die Anfrage selbst,
  • Datum und Uhrzeit der Anfrage,


und, falls von Ihnen angegeben, weitere Daten wie Ihr Name oder Ihre Telefonnummer. Diese Daten werden von uns ausschließlich zum Zweck der Beantwortung Ihres Anliegens bzw. für die Kontaktaufnahme und die entsprechende technische Administration gespeichert und verwendet. Rechtsgrundlage für diese Datenverarbeitung ist unser diesbezügliches berechtigtes Interesse gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO. Betrifft Ihre Kontaktaufnahme den Abschluss oder die Durchführung eines Vertrages, so ist die zusätzliche Rechtsgrundlage Art. 6 Abs. 1 S. 1 lit. b DSGVO.

5. Verarbeitung personenbezogener Daten bei Nutzung unserer App

5.1 Bei Herunterladen der App werden die erforderlichen Informationen an den App Store übertragen, also insbesondere Nutzername, E-Mail-Adresse und Kundennummer Ihres App Store Accounts, Zeitpunkt des Downloads, Zahlungsinformationen und die individuelle Gerätekennziffer. Auf diese Datenerhebung durch den jeweiligen App Store haben wir keinen Einfluss und sind nicht dafür verantwortlich.

5.2 Wenn Sie unsere App nutzen möchten, erheben wir die folgenden Daten, die für uns technisch erforderlich sind, um Ihnen die Funktionen unserer mobilen App anzubieten und die Stabilität und Sicherheit zu gewährleisten:

  • IP-Adresse
  • die Anfrage selbst
  • Datum und Uhrzeit der Anfrage
  • jeweils übertragene Datenmenge


Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. f DSGVO, um Ihnen unsere App im Rahmen des Nutzungsvertrags mit Ihnen zur Verfügung zu stellen und einen Ticketkauf über die App zu ermöglichen sowie Art. 6 Abs. 1 S. 1 lit. f DSGVO, um Ihnen die App technisch bereitstellen zu können.

5.3 M-Login, Registrierung

Für bestimmte Funktionen der App ist erforderlich, dass Sie sich einloggen. Hierfür steht der zentrale Single-Sign-On-Dienst „M-Login“ der Stadtwerke München GmbH (SWM) zur Verfügung. M-Login ist ein Online-Portal, über das registrierte Nutzer zentral bestimmte Nutzerprofildaten für ausgewählte Services, die an den M-Login angeschlossen sind, verwalten können. Weitere Informationen zu der Verarbeitung Ihrer Daten im Rahmen von M-Login können Sie den Datenschutzinformationen für den M-Login (https://login.muenchen.de/portal/privacy) entnehmen. Wenn Sie bei M-Login bereits registriert sind, können Sie sich mit Ihren dort angelegten Benutzernamen und Passwort in die App MVG Tickets 6091 einloggen. Wenn Sie es in M-Login freigegeben haben, erhalten wir Zugriff auf folgende Ihrer Profil-Daten im M-Login: 
Anrede, Vorname, Nachname, Titel, E-Mail-Adresse, Geburtsdatum, Adresse
Ferner verarbeiten wir folgende Daten, soweit sie diese in das entsprechende Formular eingeben:

  • Zustimmung zu den Allgemeine Geschäftsbedingungen (AGB) für HandyTickets der Münchner Verkehrsgesellschaft mbH (HandyTicket) und den MVV Beförderungsbedingungen


5.4 Bezahldaten

Ihre Bezahldaten können Sie im M-Login hinterlegen und für uns freigeben. Wenn Sie Ihre Bezahldaten im M-Login löschen oder ändern, werden wir darüber (sofern Ihre Freigabe besteht) informiert.

Wir verarbeiten diese Daten zur Erfüllung des Vertrages mit Ihnen über die Nutzung unseres Dienstes und zur Durchführung von Bestellungen. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 Satz 1 lit. b DSGVO.

5.5 Bezahlung per SEPA-Lastschrift

Wenn Sie im M-Login als Zahlungsmittel die SEPA-Lastschrift hinterlegt und für uns freigegeben haben, erhalten wir durch Ihre Freigabe Zugriff auf folgende personenbezogene Daten: IBAN, Kontoinhaber.

Zur Bezahlung per SEPA-Lastschrift haben Sie der LogPay Financial Services GmbH eine Einzugsermächtigung für Ihr Konto erteilt. Wir geben Ihre personenbezogenen Daten (Vor- und Nachname, Geburtsdatum, Adresse, E-Mail-Adresse, Kontoverbindung, ggf. Telefonnummer sowie den abzubuchenden Betrag) und alle Änderungen an die LogPay Financial Services GmbH zum Zwecke des Verkaufes und der Abtretung unserer Forderungen gegen Sie, welche im Zusammenhang mit Ihrer kostenpflichtigen Bestellung entstehen, weiter. Dies erfolgt auf Grundlage des Art. 6 Abs. 1 S. 1 lit. f DS-GVO. Das berechtigte Interesse auf unserer Seite besteht in der Auslagerung der Zahlungsabwicklung und des Forderungsmanagements. Das berechtigte Interesse auf Seiten der LogPay Financial Services GmbH besteht in der Verarbeitung der Daten zum Zwecke der Abwicklung von Zahlungen, zum Forderungsmanagement, der Bewertung der Zulässigkeit von Zahlarten und der Vermeidung von Zahlungsausfällen.

Das Angebot auf Abschluss eines kostenpflichtigen Vertrags (z.B. ein Ticketkauf) wird nur angenommen, wenn die LogPay Financial Services GmbH die entstehende Forderung aus dem kostenpflichtigen Vertrag erwirbt. Wenn die LogPay Financial Services GmbH den Erwerb der Forderung ablehnt, wird Ihr Angebot auf Abschluss eines kostenpflichtigen Vertrags abgelehnt.

Sie können der Übermittlung dieser Daten an die LogPay Financial Services GmbH jederzeit widersprechen, allerdings ist dann keine Bestellung mehr über den elektronischen Vertriebskanal möglich.

Die datenschutzrechtlichen Informationen der LogPay Financial Services GmbH können Sie unter https://www.logpay.de/DE/datenschutzinformationen/ abrufen.

Darüber hinaus verarbeiten wir Ihre personenbezogenen Daten, welche wir von LogPay Financial Services GmbH (Information über die Entscheidung, ob die Forderung erworben wird oder nicht) erhalten.

5.6 Bezahlung per Kreditkarte

Wenn Sie im M-Login als Zahlungsmittel eine Kreditkarte hinterlegt und für uns freigegeben haben, erhalten wir durch Ihre Freigabe Zugriff auf folgende personenbezogene Daten: eine Kreditkartenersatznummer, den Kartentyp, die letzten vier Endziffern der Kreditkartennummer und das Ablaufdatum. Diese Daten speichern wir so lange, wie Sie die Kreditkarte als Zahlungsmittel im M-Login hinterlegt und für uns freigegeben haben bzw. bis zur vollständigen Abwicklung von Käufen, die über diese Kreditkarte getätigt wurden.

Sobald Sie eine kostenpflichtige Leistung in Anspruch nehmen, übermitteln wir die personenbezogenen Daten an die First Data GmbH, die zur Abrechnung über Ihre Kreditkarte erforderlich sind. Dies sind insbesondere die Höhe der Forderung, die Kreditkartenersatznummer und ein Referenztext, mit dem eine Auszahlung des Zahlungsdienstleisters an uns der von Ihnen in Anspruch genommenen Leistung zugeordnet werden kann.

Wir verarbeiten die o.g. Daten zur Erfüllung des Vertrages mit Ihnen über die Nutzung unseres Dienstes. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 Satz 1 lit. b DS-GVO.

Die datenschutzrechtlichen Informationen der First Data GmbH können Sie unter https://www.telecash.de/datenschutz/ abrufen.

5.7 Firebase Crashlytics

Unsere App nutzt Firebase Crashlytics, einen Dienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland („Google“, Muttergesellschaft: Google LLC , USA), um Fehler der App zu analysieren und Probleme zu beheben. Beim Absturz der App wird an Google ein anonymisierter Absturzbericht in Echtzeit übermittelt. Dieser enthält dabei auf Ihre Nutzung unserer App bezogene Informationen zum Gerätezustand, Gerätetyp, Betriebssystem, App-Version, Zeitpunkt des Absturzes sowie die Geräteidentifikationsnummer und Standortdaten zum Zeitpunkt des Absturzes.
Nähere Informationen  finden Sie in den Datenschutzhinweisen der Google LLC unter:
https://policies.google.com/privacy
Rechtsgrundlage für die Nutzung von Firebase Crashlytics ist Art. 6 Abs. 1 S. 1 lit. f DSGVO, unser berechtigtes Interesse besteht in der möglichst fehlerfreien Zurverfügungstellung unserer App, in der Analyse sowie Behebung etwaiger Fehlerquellen sowie entsprechender Optimierung unserer App für Sie.

5.8 Einhaltung gesetzlicher Vorschriften

Wir verarbeiten Ihre personenbezogenen Daten zudem, um sonstige gesetzliche Pflichten zu erfüllen. Diese können uns u. a. im Zusammenhang mit der Abwicklung Ihres Kaufs eines HandyTickets oder der geschäftlichen Kommunikation treffen. Hierzu zählen insbesondere handels-, gewerbe- oder steuerrechtliche Aufbewahrungsfristen.

Wir verarbeiten Ihre personenbezogenen Daten dabei zur Erfüllung einer rechtlichen Verpflichtung, der wir unterliegen gemäß Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit Handels-, Gewerbe, oder Steuerrecht, soweit wir dazu verpflichtet sind, Ihre Daten aufzuzeichnen und aufzubewahren.

5.9 Rechtsdurchsetzung

Wir verarbeiten Ihre personenbezogenen Daten zudem, um unsere Rechte geltend machen und unsere rechtlichen Ansprüche durchsetzen zu können. Ebenfalls verarbeiten wir Ihre personenbezogenen Daten, um uns gegen rechtliche Ansprüche verteidigen zu können. Schließlich verarbeiten wir Ihre personenbezogenen Daten, soweit dies zur Abwehr oder Verfolgung von Straftaten erforderlich ist.

Wir verarbeiten Ihre personenbezogenen Daten dabei zur Wahrung unserer berechtigten Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO, soweit wir rechtliche Ansprüche geltend machen oder uns bei rechtlichen Streitigkeiten verteidigen oder wir Straftaten verhindern oder aufklären.

6. Datenquellen

Wir verarbeiten personenbezogene Daten, die wir im Rahmen der Geschäftsbeziehung von Ihnen erhalten haben. Darüber hinaus verarbeiten wir pseudonymisierte personenbezogene Daten, die uns von gemeinsamen Verantwortlichen berechtigt übermittelt werden.

7. Erforderliche Bereitstellung von personenbezogenen Daten

Die Bereitstellung der genannten Daten ist – soweit nicht ausdrücklich abweichend mitgeteilt – bereits für den Abschluss bzw. die Durchführung des Vertrags erforderlich, da dieser ohne diese personenbezogenen Daten nicht durchgeführt werden kann. Soweit wir einer gesetzlichen Verpflichtung unterliegen, Ihre personenbezogenen Daten zu verarbeiten (beispielsweise zur Geldwäscheprävention), sind Sie gesetzlich verpflichtet, uns diese Daten zur Verfügung zu stellen. Andernfalls dürfen wir unter Umständen keine Vertragsbeziehung mit Ihnen eingehen.

8. Kategorien von Empfängern von Daten

Innerhalb der Münchner Verkehrsgesellschaft mbH (MVG) erhalten diejenigen Stellen Zugriff auf ihre Daten, die diese für die beschriebenen Zwecke brauchen. Soweit gesetzlich zulässig (etwa im Rahmen einer Auftragsverarbeitung) geben wir personenbezogene Daten möglicherweise an Dritte der folgenden Kategorien weiter:

  • (IT-)Dienstleister
  • Kundendienst-Dienstleister
  • Logistik
  • Druckdienstleister
  • Vertriebspartner
  • Zahlungsdienstleister
  • Inkasso-Dienstleister und Rechtsanwälte
  • Öffentliche Stellen und Institutionen (z. B. Sozialversicherungsträger, Finanzbehörden, Polizei, Staatsanwaltschaft, Aufsichtsbehörden) bei Vorliegen einer entsprechenden Verpflichtung/Berechtigung

 

Bzgl. der in Ziffer 5.3 genannten Verarbeitungen („M-Login“) ist die MVG mit der Stadtwerke München GmbH teilweise gemeinsam Verantwortliche. Das Wesentliche der Vereinbarungen über eine gemeinsame Verantwortlichkeit im Rahmen des M-Login stellen wir Ihnen gerne zur Verfügung. Hierzu können Sie ich an die unter Ziffer 2 genannten Kontaktdaten des Verantwortlichen wenden. Welche Services an den M-Login angeschlossen sind und von welchen Service-Gesellschaften diese betrieben werden, können Sie den Datenschutzinformationen des M-Login unter https://login.muenchen.de/portal/privacy entnehmen.

9. Datenübermittlung in ein Drittland oder an eine internationale Organisation

Im Rahmen des Einsatzes von Firebase Crashlytics besteht die Möglichkeit, dass Google Ihre Daten auch außerhalb der europäischen Union/des europäischen Wirtschaftsraums in einem sog. Drittland speichert bzw. verarbeitet (z. B. in den USA). Dieser Datentransfer beruht auf sog. EU-Standardvertragsklauseln.

Eine Datenübermittlung in ein Drittland oder an eine internationale Organisation findet im Übrigen in Bezug auf die App MVG Tickets 6091 derzeit nicht statt. Sollten wir zukünftig für bestimmte Aufgaben (IT-)Dienstleister nutzen, die ebenfalls (IT-)Dienstleister nutzen, die ihren Firmensitz, Mutterkonzern oder Rechenzentrumssitz in einem Drittland (außerhalb der Europäischen Union und des Europäischen Wirtschaftsraums) haben können, muss Folgendes gegeben sein: Die Übermittlung ist zulässig, weil ein gesetzlicher Erlaubnistatbestand besteht oder Sie in die Übermittlung ausdrücklich eingewilligt haben und die besonderen Voraussetzungen für eine Übermittlung in ein Drittland liegen vor. Das bedeutet insbesondere, dass die Europäische Kommission entschieden hat, dass in dem Drittland ein angemessenes Datenschutzniveau besteht (Art. 45 DSGVO) oder geeignete Garantien (z. B. durch sog. EU-Standardvertragsklauseln, die von der Europäische Kommission oder der Aufsichtsbehörde vorgegeben werden) und durchsetzbare Rechte und wirksame Rechtsbehelfe vorgesehen sind.

10. Sicherheit

​​​​​​​Wir sichern unsere App und sonstige Systeme durch technische und organisatorische Maßnahmen gegen Verlust, Zerstörung, Zugriff, Veränderung oder Verbreitung Ihrer Daten durch unbefugte Personen ab. Insbesondere verschlüsseln wir unsere Daten für den Versand, um sicherzugehen, dass Ihre Daten bei der Übermittlung nicht von Unbefugten gelesen werden. Dabei verwenden wir einen modernen, zuverlässigen Internet-Sicherheitsstandard.

11. Speicherdauer

Ihre personenbezogenen Daten löschen wir, nachdem die Speicherung nicht mehr erforderlich ist (z. B. nach abschließenden Beantwortung Ihres Anliegens, für die Dauer des Vertragsverhältnisses mit Ihnen bis zu dessen endgültiger Beendigung), oder –  im Falle von gesetzlichen Aufbewahrungspflichten – schränken die Verarbeitung ein. Bitte beachten Sie, dass die Weiterverarbeitung insbesondere erforderlich ist zur:

  • Erfüllung von gesetzlichen Aufbewahrungspflichten, die sich etwa aus dem Handelsgesetzbuch (HGB) und der Abgabenordnung (AO) ergeben können. Die darin vorgegebenen Fristen betragen bis zu zehn Jahren.
  • Erhaltung von Beweismitteln im Rahmen gesetzlicher Verjährungsvorschriften. Nach den §§ 195 ff. des Bürgerlichen Gesetzbuches (BGB) können diese Verjährungsfristen bis zu 30 Jahren betragen, wobei die regelmäßige Verjährungsfrist 3 Jahre beträgt.

12. Ihre Rechte 

Sie haben nach Art. 15 DSGVO das Recht, jederzeit von uns über die über Sie bei uns gespeicherten personenbezogenen Daten Auskunft zu verlangen. Dies betrifft auch die Empfänger oder Kategorien von Empfängern, an die diese Daten weitergegeben werden und den Zweck der Speicherung. Sie können jederzeit, unter den Voraussetzungen des Art. 16 DSGVO die Berichtigung und/oder unter den Voraussetzungen des Art. 17 DSGVO die Löschung und/oder unter den Voraussetzungen des Art. 18 DSGVO die Einschränkung der Verarbeitung verlangen. Ferner können Sie nach Art. 20 DSGVO jederzeit eine Datenübertragung verlangen.

Sie haben das Recht auf Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten, wenn die in Art. 21 DSGVO genannten Voraussetzungen vorliegen.

Ihre Betroffenenrechte können Sie ausüben gegenüber: Münchner Verkehrsgesellschaft mbH (MVG), Emmy-Noether-Str. 2, 80992 München, Telefon: 089 2191-0, Fax: 089 2191-703386, E-Mail: datenschutz.mvg@mvg.de
Darüber hinaus haben Sie nach Art. 77 DSGVO die Möglichkeit, sich mit einer Beschwerde an eine Datenschutzaufsichtsbehörde zu wenden.

Recht auf Widerruf einer Einwilligung: Sofern wir Daten auf Grundlage einer Einwilligung verarbeiten, können Sie die Einwilligung zur Verarbeitung Ihrer Daten jederzeit für die Zukunft widerrufen. Dies gilt auch für Einwilligungserklärungen, die vor der Geltung der DSGVO, also vor dem 25.05.2018 erteilt wurden. Ihren Widerruf richten Sie bitte an: Münchner Verkehrsgesellschaft mbH (MVG), Emmy-Noether-Straße 2, 80992 München, E-Mail: datenschutz.mvg@mvg.de

13. Automatisierte Entscheidungsfindung

Wir nutzen grundsätzlich keine automatisierte Entscheidungsfindung gem. Art. 22 DSGVO. Sollten wir in Einzelfällen diese Verfahren einsetzen, werden wir Sie hierüber im Rahmen der gesetzlichen Bestimmungen gesondert informieren.

14. Änderungsklausel

Da unsere Datenverarbeitung Änderungen unterliegt, werden wir unsere Datenschutzhinweise von Zeit zu Zeit anpassen. Geänderte Datenschutzhinweise werden auf unserer Website oder in der App veröffentlicht. Soweit nicht etwas anderes bestimmt ist, werden solche Änderungen sofort wirksam. Bitte prüfen Sie daher diese Datenschutzhinweise regelmäßig, um die jeweils aktuellste Version einzusehen.

Stand dieser Datenschutzhinweise: Januar 2021