Für die Nutzung der MVV-App gelten die nachfolgenden Datenschutzgrundsätze. Sie ergänzen die allgemeinen Beförderungsbestimmungen, Tarifbestimmungen und Fahrpreise sowie die zum Erwerb von MVV-Handy- und OnlineTickets maßgeblichen Datenschutzbestimmungen der angebotenen Ticketshops und die Datenschutzerklärung zum Verkauf von Fahrkarten über MVVswipe in ihrer jeweils geltenden Fassung.
Die MVV GmbH nimmt den Schutz Ihrer personenbezogenen Daten sehr ernst. Auf dieser Seite beschreiben wir den Umgang mit Ihren bzw. den in der MVV-App prozessierten Daten. Für Rückfragen oder Auskunftsersuchen nutzen Sie bitte die unten genannten Kontaktadressen.
In der MVV-App werden – abgesehen von einer kurzen, technisch bedingten Zwischenspeicherung im Rahmen der IP-basierten Kommunikation – nur bei Verwendung der unten explizit erläuterten Services (z. B. Kauf von MVV-HandyTickets, Buchung von On-Demand-Services) personenbezogenen Daten verarbeitet.
Die MVV GmbH nimmt das Datenschutzrecht sehr ernst und räumt dem Prinzip der Datenminimierung großen Stellenwert ein. Die meisten Services und Funktionen der MVV-App kommen gänzlich ohne die Erfassung und Verarbeitung von personenbezogenen Daten aus. Die Datenverarbeitung der MVV-App wird nachfolgend gegliedert nach Teilbereichen und Funktionalitäten der App erläutert.
Abhängig von Ihrem Betriebssystem und dem dort geltenden Berechtigungssystem verlangt die MVV-App spezielle Rechte, um alle Funktionen ausführen zu können. Auf die jeweiligen Berechtigungen werden Sie bei der Installation bzw. bei der ersten Verwendung der Funktionen explizit hingewiesen. Dabei können Sie entscheiden, ob Sie einzelnen Berechtigungen zur Nutzung bestimmter Funktionen zustimmen.
Mit der MVV-App haben Sie die Möglichkeit, Fahrplanauskünfte für beliebige Orte und Ihre aktuelle Position zu erhalten. Die App verwendet dafür Standortinformationen, die vom Smartphone in Abhängigkeit Ihrer Nutzereinstellungen zur Verfügung gestellt werden. Diese Informationen dienen ausschließlich der Ermittlung von Adressen, Wegepunkten im Routing sowie zur Anzeige nahegelegener Haltestellen und Abfahrten. Die in der Fahrplanauskunft verwendeten Adressen, wichtige Punkte und Haltestellen werden protokolliert (siehe Datenspeicherung), ohne Rückschlüsse auf Ihre Person oder Ihren Standort zu erlauben. Es erfolgt ausdrücklich keine Speicherung und auch keine Weitergabe Ihrer Standortdaten an Dritte.
Die App speichert folgende Daten auf dem Endgerät ab: Historie der zuletzt verwendeten Orte, Verbindungen und Linien, angelegte Favoriten, vorgenommene Einstellungen, Downloads (Netzpläne), Zustand der App (um beim Starten den letzten Stand wiederherzustellen) sowie empfangene Server-Inhalte (Kartenausschnitte, Fahrtauskünfte). Die App greift zum Speichern dieser Daten auf den lokalen Speicher zu. Bitte beachten Sie, dass abhängig vom Betriebssystem weitere Berechtigungen notwendig sein können, um externe Speicherkarten nutzen zu können (bei Android z.B. Zugriff auf Fotos, Medien und Dateien). Es findet dabei selbstverständlich kein Zugriff auf Ihre persönlichen Daten statt.
Für den sicheren Betrieb werden Berechnungen der elektronischen Fahrplanauskunft (Abfahrten, Fahrtauskünfte etc.) auf den Servern der Fahrplanauskunft protokolliert. Die Protokolle beziehen sich ausschließlich auf die durchgeführten Berechnungen und entsprechen den Datenschutzgrundsätzen der MVV GmbH bzw. der Bayerischen Eisenbahngesellschaft mbH. Es werden dabei keine persönlichen Daten übertragen oder gespeichert; Rückschlüsse auf den Nutzer oder Anfragemuster sind nicht möglich.
Die MVV-App wird über einschlägige App-Stores bereitgestellt. Für den Datenschutz innerhalb dieser Stores oder damit im unmittelbaren Zusammenhang stehenden Bereichen verweisen wir auf deren Datenschutzrichtlinien:
Die zum Ticketkauf explizit angegebenen personenbezogenen Daten des Kunden und alle damit einhergehenden Änderungen werden gemäß der für den genutzten Ticketshop geltenden AGB vom Shopbetreiber und/oder von dessen Dienstleistern gespeichert und verarbeitet.
Berechnete Fahrten und weitere Informationen lassen sich über die App in Kalendern speichern oder z.B. per SMS, E-Mail oder Social Media Clients wie WhatsApp, Twitter, Telegram etc. an Dritte versenden. Die zur Verfügung stehenden Funktionen richten sich nach Ihrem Betriebssystem und den auf dem Smartphone installierten Diensten bzw. Apps und unterliegen den jeweiligen Datenschutzgrundsätzen der Herausgeber. Wir haben keinen Einfluss auf die von Ihnen installierten und verwendeten Applikationen bzw. die darin geltenden Datenschutzgrundsätze. Der Zugriff auf eingerichtete Kalender durch die MVV-App erfolgt grundsätzlich nur schreibend, die bestehenden Einträge werden also nicht ausgelesen. Kontaktdaten werden nur zum Zwecke der Nachrichtenübermittlung verwendet; es findet keine anwendungs- oder serverseitige Weiterverarbeitung oder Speicherung der Daten statt.
Für die elektronische oder telefonische Buchung von On-Demand-Services (MVV-RufTaxi, FLEX) ist eine Registrierung unter Angabe von Name, Telefonnummer und E-Mail-Adresse (kann bei telefonischer Anmeldung ggf. entfallen) erforderlich. Diese Daten werden ausschließlich für die Organisation, Disposition und Durchführung der gebuchten Mitfahrten sowie für die Kontaktaufnahme mit Ihnen im Zusammenhang mit den von Ihnen gebuchten Mitfahrten verwendet (z. B. Fahrtzeitänderung, Rückfragen zum Platzbedarf) und zum gleichen Zweck über verschlüsselte Transportsysteme elektronisch an die Ruftaxi-Zentrale sowie das betroffene Verkehrsunternehmen weitergegeben. Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 UAbs. 1 lit. b) – die Verarbeitung ist für die Erfüllung eines Vertrages bzw. für die Durchführung vorvertraglicher Maßnahmen erforderlich – und lit. f) DSGVO. Die berechtigten Interessen der MVV GmbH, der Verkehrsunternehmen und der Aufgabenträger liegt darin, ihnen als Nutzer der MVV-App einen besseren Zugang zum ÖPNV zu ermöglichen und Fahrplanauskünfte sowie den Kauf von MVV-HandyTickets zu erleichtern. Ohne Bereitstellung der Daten kann keine Buchung über das Buchungstool erfolgen.
Die Daten werden spätestens zwei Jahre nach der letzten Nutzung bzw. Buchung gelöscht. Im Übrigen erfolgt eine Löschung auf ausdrücklichen Wunsch des Kunden per E-Mail an kundenbetreuung@mvv-muenchen.de binnen 30 Tagen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Um die Qualität der App zu verbessern, werden von der MVV GmbH und/oder deren IT-Dienstleistern nach ausdrücklicher Zustimmung des Nutzers („Opt-in-Verfahren“) anonymisierte Statistiken zur Benutzung der App erstellt. Sie dienen einzig der Produktverbesserung und enthalten keine persönlichen Informationen. Wir haben keine Möglichkeiten, Rückschlüsse auf Ihre Identität zu erlangen. Die Funktion zur Erhebung der anonymen Nutzungsstatistik kann durch den Nutzer beim ersten Öffnen der App aktiviert und jederzeit über die Einstellungen in der App deaktiviert werden. Zur Erhebung der anonymen Nutzungsstatistik setzen wir in unserer MVV-App für Android und iOS Google Analytics mit aktivierter IP-Anonymisierung ein. Die erfassten Informationen werden an Server von Google übertragen und dort gespeichert. Verantwortliche Stelle für Nutzende in der EU ist Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland). Google wird die übertragenen Daten auswerten, um Berichte über die Nutzungsaktivitäten der App zu erstellen. Nähere Informationen dazu finden Sie unter support.google.com/analytics/answer/6004245?hl=de und www.google.de/intl/de/policies/
Um die Stabilität und Zuverlässigkeit der App zu verbessern, nutzen wir für die Erfassung anonymisierter Absturzberichte den Dienst Firebase Crashlytics der Google LLC. Verantwortliche Stelle für Nutzende in der EU ist Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland). Im Falle eines Absturzes der App werden Informationen an Server von Google übertragen, die Rückschlüsse über den Zustand der App zum Zeitpunkt des Absturzes sowie Systeminformationen zum Endgerät enthalten. Zu den Daten gehören Crashlytics-Installations-UUIDs, Absturzspuren und Breakpad-Minidump-formatierte Daten. Weitere Informationen dazu finden Sie unter firebase.google.com/support/privacy und www.google.de/intl/de/policies/. Die Erhebung von Absturzberichten mit Google Firebase Crashlytics kann direkt beim ersten Öffnen der App sowie jederzeit über die Einstellungen in der App deaktiviert werden („Opt-out-Verfahren“).
Die MVV-ID ist ein Service der MVV GmbH, der es ermöglicht, verschiedene in der MVV-App angebotenen registrierungspflichtigen Dienste und Funktionalitäten mit einem gemeinsamen Account zu nutzen. Registrieren sich Nutzende der MVV-App für die MVV-ID, werden die zur Authentifizierung notwendigen Daten wie Vorname, Nachname, E-Mailadresse und Telefonnummer, sowie optional im Profil hinterlegbare Daten zur Nutzung weiterer Services (z. B. Buchung von On-Demand-Verkehren, Teilnahme an MVVswipe, Kauf von HandyTickets) in einem deutschen Rechenzentrum gespeichert und ausschließlich für die Nutzung der in der MVV-App angebundenen Dienste und Funktionalitäten verwendet. Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 UAbs. 1 lit. b) – die Verarbeitung ist für die Erfüllung eines Vertrages bzw. für die Durchführung vorvertraglicher Maßnahmen erforderlich – und lit. f) DSGVO. Die berechtigten Interessen der MVV GmbH liegt darin, den Nutzenden der MVV-App einen besseren Zugang zum ÖPNV zu ermöglichen. Ohne Authentifizierung und personenbezogene Daten können registrierungspflichtige Dienste nicht angeboten werden.
Die Daten werden spätestens zwei Jahre nach der letzten Nutzung (Login) gelöscht. Im Übrigen erfolgt eine Löschung auf ausdrücklichen Wunsch des Kunden per E-Mail an kundenbetreuung@mvv-muenchen.de binnen 30 Tagen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Für die Teilnahme an MVVswipe gilt die für diesen Service maßgebliche Datenschutzerklärung, die im Anschluss an diese Datenschutzerklärung aufgeführt wird. Sie ergänzt die Datenschutzgrundsätze der MVV-App sowie die AGB „Verkauf von Fahrkarten über MVVswipe“.
Es gelten zum Kauf von MVV-HandyTickets innerhalb der MVV-App die Datenschutzbestimmungen gemäß den AGB des jeweils genutzten Ticketshops. Die für den Verkauf von Handy- und OnlineTickets über den Ticketshop der MVV GmbH maßgeblichen Regelungen nach Abschnitt 12 der AGB Handy- und OnlineTicket werden im Anschluss an diese Datenschutzerklärung aufgeführt.
Um den Kaufvorgang von HandyTickets zu erleichtern, kann der Nutzer der App Zugriff auf die auf dem Endgerät gespeicherten Kontakte (Adressbuch) einräumen. Damit können Kontaktdaten aus dem Adressbuch verwendet werden und müssen im Kaufprozess nicht erneut eingegeben werden. Diese Zugriffsberechtigung ist optional und dient ausnahmslos dem schnelleren Ticketkauf für Mitfahrer.
Über das Kontaktformular der MVV-App bzw. per E-Mail übermittelte Anfragen werden zur Bearbeitung des Anliegens und zum Zwecke der Qualitätsverbesserung gespeichert und anonymisiert ausgewertet. Die Verarbeitung erfolgt i. d. R. durch Beschäftigte der MVV GmbH; soweit die Nachricht zur Beantwortung oder Sachverhaltsaufklärung an das jeweils betroffene Verkehrsunternehmen oder den betroffenen Softwaredienstleiter weitergeleitet wird, werden auch die übermittelten personenbezogenen Daten weitergeleitet. Rechtsgrundlage ist Art. 6 Abs. 1 UAbs. 1 lit. a) DSGVO (Einwilligung). Ohne die Bereitstellung der Kontaktdaten, insb. der E-Mailadresse, kann das Anliegen nicht schriftlich bearbeitet werden.
Die Daten werden i. d. R. zwölf Monate nach Bearbeitung gelöscht.
Die Verarbeitung erfolgt - soweit oben für einzelne Teilbereiche und Funktionalitäten der MVV-App nicht anders ausgewiesen - gemäß Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO zur Wahrung der berechtigten Interessen der MVV GmbH, der Verkehrsunternehmen und der Aufgabenträger, um Ihnen als Nutzer unserer MVV-App einen besseren Zugang zum ÖPNV zu ermöglichen und Fahrplanauskünfte sowie den Kauf von MVV-HandyTickets zu erleichtern.
Es besteht ein Recht auf Auskunft über die betreffenden personenbezogenen Daten (Art. 15 DSGVO) sowie auf Berichtigung (Art. 16 DSGVO) oder Löschung (Art. 17 DSGVO) oder auf Einschränkung der Verarbeitung (Art. 18 DSGVO) oder ein Widerspruchsrecht gegen die Verarbeitung (Art. 21 DSGVO) sowie ein Recht auf Datenübertragbarkeit (Art. 20 DSGVO) nach Maßgabe der gesetzlichen Regelungen zum Datenschutz.
Gemäß Art. 77 DSGVO haben Sie unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die Datenschutzgrundverordnung verstößt.
Zuständige Aufsichtsbehörde für die MVV GmbH ist der Bayerische Landesbeauftragte für den Datenschutz, Postfach 22 12 19, 80502 München, www.datenschutz-bayern.de.
Verantwortliche im Sinne des Datenschutzrechtes ist die MVV GmbH, vertreten durch die Geschäftsführung. Sie ist per E-Mail über info@mvv-muenchen.de oder postalisch über MVV GmbH, Geschäftsführung, Thierschstraße 2, 80538 München zu erreichen.
Die MVV GmbH hat einen externen Datenschutzbeauftragten. Diesen können Sie per E-Mail über Datenschutz@mvv-muenchen.de oder postalisch über DSBOK, Datenschutzbeauftragter für die MVV GmbH, Untergasse 2, 65474 Bischofsheim erreichen.
Auszug aus den Allgemeinen Geschäftsbedingungen und Datenschutzgrundsätzen (AGB) zum Verkauf von HandyTickets über den Ticketshop der MVV GmbH (Stand August 2024):
(1) Die MVV GmbH bedient sich zur Abwicklung des e-Payment-Services (z.B. Webshop, Mobile-App) des IT-Dienstleisters eos.uptrade GmbH, Schanzenstraße 70, 20357 Hamburg, sowie des Finanzunternehmens LogPay Financial Services GmbH, Schwalbacher Straße 72, 65760 Eschborn. Den technischen Betrieb für die Softwarekomponenten übernimmt die eos.uptrade GmbH. Die Infrastruktur befindet sich in zertifizierten Rechenzentren in Deutschland. Im Rahmen der Auftragsdatenverarbeitung setzen die Dienstleister Softwareinstanzen beim Rechenzentrumsbetreiber Amazon Web Services (AWS) ein. Der Betrieb dieser Komponenten findet ausschließlich am Serverstandort in Frankfurt am Main (Deutschland) statt.
(2) Die vom Kunden angegebenen personenbezogenen Daten (Vor- und Nachname, Anrede, Geburtsdatum, Adresse, E-Mail-Adresse, ggf. Kontoverbindung, ggf. Kreditkartendaten, ggf. Mobilfunknummer) sowie Daten zu den jeweiligen Ticketkäufen des Kunden (Bestelldaten, ggf. IP-Adresse, ggf. Client, Logdaten) und alle Änderungen werden zum Zwecke des Verkaufes und der Abtretung der Forderungen aus dem Ticketkauf gegen den Kunden an die LogPay Financial Services GmbH, Schwalbacher Straße 72, 65760 Eschborn, weitergegeben. Dies erfolgt auf Grundlage des Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO. Das berechtigte Interesse der MVV GmbH besteht in der Auslagerung der Zahlungsabwicklung und des Forderungsmanagements. Das berechtigte Interesse der LogPay Financial Services GmbH besteht in der Verarbeitung der Daten zum Zwecke der Abwicklung von Zahlungen, zum Forderungsmanagement, der Bewertung der Zulässigkeit von Zahlarten und der Vermeidung von Zahlungsausfällen. Das Angebot auf Abschluss eines Kaufvertrages über ein Ticket wird nur angenommen, wenn die LogPay Financial Services GmbH die entstehende Forderung aus dem Ticketverkauf erwirbt. Wenn die LogPay Financial Services GmbH den Erwerb der Forderung ablehnt, wird das Angebot auf Abschluss eines Kaufvertrages abgelehnt. Die datenschutzrechtlichen Informationen der LogPay Financial Services GmbH können unter https://www.logpay.de/DE/datenschutzinformationen/ abgerufen werden. Darüber hinaus verarbeitet die MVV GmbH Ihre personenbezogenen Daten, welche sie von der LogPay Financial Services GmbH erhält (Information über die Entscheidung, ob die Forderung erworben wird oder nicht). Ohne Bereitstellung der Daten kann kein Handy-/ OnlineTicket genutzt werden.
(3) Im Rahmen des Registrierungsprozesses für das Zahlverfahren SEPA-Lastschrift und/oder bei Änderungen der Kundendaten im Zusammenhang mit dem Wechsel auf das Zahlverfahren SEPA-Lastschrift kann das Finanzunternehmen LogPay Financial Services GmbH eine Überprüfung der Angaben und der Bonität des Kunden durchführen. Dies erfolgt durch Abgleich der Personendaten des Kunden gegen den Datenbestand der SCHUFA Holding AG, Kormoranweg 5, 65201 Wiesbaden.
(4) Um Betrug mit den Kontodaten zu verhindern, erfolgt im Rahmen des Registrierungsprozesses für das Zahlverfahren SEPA-Lastschrift und/oder bei Änderungen der Kundendaten im Zusammenhang mit dem Wechsel auf das Zahlverfahren SEPA-Lastschrift eine Verifizierung der Identität des Bankkontoinhabers. Im Rahmen dieser Verifizierung (Bank-Ident Verfahren oder Foto-Ident Verfahren) werden Vor- und Nachname, IBAN und die E-Mailadresse an die Verimi GmbH, Oranienstrasse 91, 10969 Berlin übermittelt.
(5) Zur Prüfung der vom Kunden angegebenen Kreditkartendaten und zur Abwicklung von Zahlungen im Kreditkartenverfahren wird das Finanzunternehmen LogPay Financial Services GmbH die Kreditkarten- und Zahlungsdaten an einen Kreditkarten-Acquirer weitergeben.
(6) Für den Fall, dass der Kunde seinen Zahlungspflichten nicht nachkommt, werden seine personenbezogenen Daten zum Zwecke des Einzugs der Forderungen (z.B. durch Zahlungserinnerungen/Mahnungen) und der Durchsetzung der Forderungen (etwa im Rahmen eines gerichtlichen Mahnverfahrens oder der Zusammenarbeit mit einer Rechtsanwaltskanzlei bei klageweiser gerichtlicher Durchsetzung) an ein Inkassounternehmen weitergegeben.
Die MVV GmbH kann die personenbezogenen Daten der bei ihr angemeldeten Kunden zum Zwecke der Kundenbetreuung nutzen und speichern und auch zur Klärung von Fragen an ihre Dienstleister weitergeben; sie werden ohne vorherige ausdrückliche Zustimmung des Kunden nicht für Werbe- oder andere Zwecke genutzt. Dies erfolgt auf Grundlage des Art. 6 Abs. 1 UAbs. 1 lit. b) DSGVO, zur Erfüllung des Handy-/OnlineTicketvertrags. Ohne Bereitstellung der Daten kann kein Handy-/OnlineTicket genutzt werden.
(1) Zur Einnahmensicherung dürfen die im Verbund beteiligten Verkehrsunternehmen bei der Kontrolle bei Bedarf die Ticketdaten, die im Barcode gespeicherten Informationen (Vorname und Nachname (maskiert) sowie Geburtsdatum und Anrede des Ticketinhabers) und das vom Kunden vorgelegte Kontrollmedium einsehen. Dies erfolgt auf Grundlage des Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO. Das berechtigte Interesse der MVV GmbH und der kontrollierenden Verkehrsunternehmen besteht in der Sicherung der Fahrgeldeinnahmen. Personenbezogene Daten werden im Kontrollgerät nicht gespeichert, sondern nur angezeigt. Im Falle einer Beanstandung können personenbezogene Daten an das Verkehrsunternehmen, das die Kontrolle durchgeführt hat, zur weiteren Bearbeitung weitergeleitet werden. Ohne Bereitstellung der Daten kann kein Handy-/OnlineTicket genutzt werden.
(1) Die von der MVV GmbH bzw. von den Dienstleistern gespeicherten personenbezogenen Daten werden gelöscht, wenn sie für die Erfüllung des Zwecks, zu dem sie erhoben wurden (Vertrieb von Handy- und OnlineTickets) nicht mehr erforderlich sind und die gesetzlichen Aufbewahrungspflichten nicht mehr entgegenstehen. Die Daten eines registrierten Kundenkontos, über das nie ein Ticketkauf erfolgt ist, werden spätestens nach zwei Jahren aus dem entsprechenden Verzeichnis gelöscht. Die Daten eines registrierten Kundenkontos, über das bereits Ticketkäufe erfolgt sind, werden zehn Jahre nach der letzten Buchung aus dem entsprechenden Verzeichnis gelöscht. Bestelldaten sind wie ein Buchungsbeleg zu behandeln und werden entsprechend den gesetzlichen Aufbewahrungsfristen aufbewahrt, anschließend werden sie gelöscht. Im Übrigen erfolgt eine Löschung auf ausdrücklichen Wunsch des Kunden per E-Mail an kundendialog@mvv-muenchen.de, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. In diesem Fall erfolgt die Löschung nach spätestens 60 Tagen.
(2) Soweit der Verarbeitung personenbezogener Daten die Einwilligung des Kunden zugrunde liegt, besteht ein Recht, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird, nach Maßgabe der gesetzlichen Regelungen zum Datenschutz (Art. 7 DSGVO, § 51 BDSG).
Im Fall einer Verarbeitung personenbezogener Daten zur Wahrnehmung von im öffentlichen Interesse liegenden Aufgaben (Art. 6 Abs. 1 S. 1 lit. e DSGVO) oder zur Wahrnehmung berechtigter Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO), können Sie der Verarbeitung der Sie betreffenden personenbezogenen Daten jederzeit mit Wirkung für die Zukunft widersprechen. Im Fall des Widerspruchs haben wir jede weitere Verarbeitung Ihrer Daten zu den vorgenannten Zwecken zu unterlassen, es sei denn,
Es besteht ein Recht auf Auskunft über die betreffenden personenbezogenen Daten (Art. 15 DSGVO) sowie auf Berichtigung (Art. 16 DSGVO) oder Löschung (Art. 17 DSGVO) oder auf Einschränkung der Verarbeitung (Art. 18 DSGVO) oder ein Widerspruchsrecht gegen die Verarbeitung (Art. 21 DSGVO) sowie ein Recht auf Datenübertragbarkeit (Art. 20 DSGVO) nach Maßgabe der gesetzlichen Regelungen zum Datenschutz. Diese Rechte kann der Kunde per E-Mail an kundendialog@mvv-muenchen.de geltend machen.
(3) Verantwortliche im Sinne des Datenschutzrechtes ist die MVV GmbH, vertreten durch die Geschäftsführung. Sie ist per E-Mail über info@mvv-muenchen.de oder postalisch über MVV GmbH, Geschäftsführung, Thierschstraße 2, 80538 München zu erreichen. Die MVV GmbH hat einen Datenschutzbeauftragten. Dieser kann per E-Mail über datenschutz@mvv-muenchen.de oder postalisch über MVV GmbH, Datenschutzbeauftragter, Thierschstraße 2, 80538 München erreicht werden. Wenn Sie die Löschung Ihrer personenbezogenen Daten wünschen, senden Sie bitte eine E-Mail an datenloeschung@mvv-muenchen.de.
(4) Gemäß Art. 77 DSGVO hat der Kunde unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat seines/ihres Aufenthaltsorts, seines/ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn er oder sie der Ansicht ist, dass die Verarbeitung der ihn oder sie betreffenden personenbezogenen Daten gegen die Datenschutzgrundverordnung verstößt.
Zuständige Aufsichtsbehörde für die MVV GmbH ist der Bayerische Landesbeauftragte für den Datenschutz, Postfach 22 12 19, 80502 München, www.datenschutz-bayern.de.
1. Allgemeines
(1) Die MVV GmbH bietet in der MVV-App die Funktion eines CheckIn-CheckOut-Systems (im Folgenden InOut-System oder MVVswipe genannt) an. Dabei handelt es sich um ein Smartphone-basiertes Vertriebssystem mit automatischer ex-post Fahrpreisberechnung. Anhand von Standortermittlungen (GPS) erkennt das Smartphone ein vom Kunden aktiv ausgelösten CheckIn, die im MVV via Verkehrsmittel des öffentlichen Personennahverkehrs (ÖPNV) zurückgelegte Strecke sowie den vom Kunden ausgelösten CheckOut. Das System berechnet im Anschluss auf Basis dieser Standortdaten den richtigen Fahrpreis der zurückgelegten Strecke im Hintergrund. Werden mehrere Fahrten pro Tag zurückgelegt, wird maximal der jeweils gültige Tagespreis (je nach Zone und Mitfahrerzahl) abgerechnet. Je nach Anzahl der Fahrten pro Tag wird das zuvor angelegte Zahlungsmittel des Kunden belastet.
(2) Die MVV GmbH bedient sich zur Abwicklung des e-Payment-Services (z.B. InOut-System) des IT-Dienstleister Mentz GmbH (im Folgenden MENTZ genannt), Grillparzerstraße 18, 81675 München, und des Finanzunternehmens LOGPAY Financial Services GmbH (im Folgenden LOGPAY genannt), Schwalbacher Straße 72, 65760 Eschborn. Den technischen Betrieb für die Softwarekomponenten übernimmt MENTZ. Die Infrastruktur befindet sich in zertifizierten Rechenzentren in Deutschland. Im Rahmen der Auftragsdatenverarbeitung setzen die Dienstleister Softwareinstanzen beim Rechenzentrumsbetreiber Amazon Web Services (AWS) ein. Der Betrieb dieser Komponenten findet ausschließlich in der Region eu-central-1 (Frankfurt am Main) statt.
(3) Verantwortliche im Sinne des Datenschutzrechtes ist die MVV GmbH, vertreten durch die Geschäftsführung. Sie ist per E-Mail über info@mvv-muenchen.de oder postalisch über MVV GmbH, Geschäftsführung, Thierschstraße 2, 80538 München zu erreichen. Die MVV GmbH hat einen externen Datenschutzbeauftragten. Dieser kann per E-Mail über datenschutz@mvv-muenchen.de oder postalisch über DSBOK, Datenschutzbeauftragter für die MVV GmbH, Untergasse 2, 65474 Bischofsheim erreicht werden. Wird die Löschung der personenbezogenen Daten des Kunden gewünscht, ist dies per E-Mail an datenloeschung@mvv-muenchen.de zu beantragen.
(4) Es gilt die deutsche Fassung der AGB und der Datenschutzerklärung. Im Falle eines Widerspruches zwischen deutscher und englischer Sprachfassung hat die deutsche Fassung Vorrang.
2. Erforderliche Daten für die Nutzung des InOut-Systems
(1) Um die Funktion des InOut-Systems nach Ziffer 1 Abs. 2 durchführen zu können, benötigt das InOut-System bzw. die MVV-App Zugriff auf die nachfolgenden Daten und Dienste:
(2) Die oben genannten Daten werden vom InOut-System benötigt, um eine korrekte Erkennung der ÖPNV-Fahrt bewerkstelligen zu können. Es werden dabei keine Personenbewegungsprofile erstellt. Die Aufzeichnung der Fahrt beginnt erst mit dem erfolgreich durchgeführten CheckIn. Die MVV-App muss für die Erfassung nicht dauerhaft geöffnet sein. Die Aufzeichnung endet mit dem erfolgreich durchgeführten CheckOut durch den Kunden. Die oben unter Abs. (1) genannten Systemdienste können jederzeit außerhalb einer aktiven InOut-Fahrt über die Einstellungen des mobilen Endgeräts deaktiviert werden, müssen jedoch vor einem neuen Fahrtantritt mit MVVswipe wieder aktiviert werden. Der Kunde erhält eine entsprechende Systemnachricht. Der Kunde stimmt dem Zugriff auf seine persönlichen Daten (siehe Ziffern 3, 4 und 5) inklusive der oben genannten Daten (siehe Abs. 1) durch das InOut-System bzw. die MVV-App explizit – auch zur Klärung von Kundenanfragen – zu. Andernfalls ist eine Nutzung der InOut-Funktion nicht möglich.
Die MVV-App wird über einschlägige App-Stores bereitgestellt. Für den Datenschutz innerhalb dieser Stores oder damit im unmittelbaren Zusammenhang stehenden Bereichen wird auf deren Datenschutzrichtlinien verwiesen:
3. Registrierung für MVVswipe
(1) Zur Nutzung des InOut-Systems ist eine Registrierung durch den Kunden notwendig. Mit der Registrierung muss der Kunde den Allgemeinen Geschäftsbedingungen (AGB) und Datenschutzbestimmungen zur InOut-Funktion sowie den Beförderungsbedingungen und Tarifbestimmungen des MVV zustimmen.
(2) Für die Registrierung werden Daten erhoben, die im Folgenden aufgelistet sind:
(3) Die Datenverarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 Satz 1 lit. b DSGVO.
(4) Im Registrierungsprozess kann der Kunde freiwillig der Nutzung von persönlichen Daten zu Marktforschungszwecken zustimmen (optionale Checkbox; siehe Ziffer 7).
4. Nutzung des InOut-Systems und Preisermittlung
(1) Die grundlegende Systematik des InOut-Systems wurde in Ziffer 1 Abs. 1 erläutert. Um die Fahrt des Kunden dauerhaft orten und anschließend preislich korrekt berechnen zu können, muss das InOut-System auf nachfolgende Daten zugreifen bzw. diese verarbeiten (siehe auch Ziffer 2):
(2) Bei jeder Nutzung wird eine Fahrtberechtigung vom Kunden erworben, dem entsprechenden Kundenkonto zugeordnet und dort dargestellt. In diesem Zusammenhang werden nachfolgende Daten verarbeitet:
(3) Die auf Basis der Fahrtdaten gebildete Reisestrecke setzt sich aus der Ersteinstiegshaltestelle nach dem CheckIn, den durchfahrenen Haltestellen und Umstiegshaltestellen, der Letztausstiegshaltestelle vor dem CheckOut sowie den genutzten Verkehrsmitteln und Linien zusammen. Die Bemessung des Fahrpreises erfolgt durch Zuordnung der gebildeten Reisestrecke zu den jeweils anwendbaren Tarifbestimmungen im MVV. Bei der Abrechnung des gebildeten Fahrpreises werden wiederum die im Rahmen der Registrierung durch den Kunden hinterlegten Daten sowie die hinterlegten Zahlungsmittel verwendet (siehe Ziffer 3 und 5).
(4) Die Datenverarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 Satz 1 lit. b DSGVO.
5. Abrechnung via LOGPAY
(1) Die vom Kunden angegebenen personenbezogenen Daten (Vor- und Nachname, Geburtsdatum, Adresse, E-Mail-Adresse, ggf. Telefonnummer sowie Daten zu seinen jeweiligen Käufen) und alle Änderungen werden an die LOGPAY Financial Services GmbH zum Zwecke des Verkaufes und der Abtretung der Forderungen der MVV GmbH gegen den Kunden, welche im Zusammenhang mit dessen Kauf, Miete oder Buchung entstehen, weitergegeben. Dies erfolgt auf Grundlage des Art. 6 Abs. 1 S. 1 lit. f DSGVO. Das berechtigte Interesse auf Seiten der MVV GmbH besteht in der Auslagerung der Zahlungsabwicklung und des Forderungsmanagements. Das berechtigte Interesse auf Seiten der LOGPAY Financial Services GmbH besteht in der Verarbeitung der Daten zum Zwecke der Abwicklung von Zahlungen, zum Forderungsmanagement, der Bewertung der Zulässigkeit von Zahlarten und der Vermeidung von Zahlungsausfällen.
(2) Das Angebot auf Abschluss eines Kaufvertrages über ein Ticket wird nur angenommen, wenn die LOGPAY Financial Services GmbH die entstehende Forderung aus dem Ticketverkauf erwirbt. Wenn die LOGPAY Financial Services GmbH den Erwerb der Forderung ablehnt, wird das Angebot des Kunden auf Abschluss eines Kaufvertrages abgelehnt.
(3) Der Kunde kann der Übermittlung dieser Daten an die LOGPAY Financial Services GmbH jederzeit widersprechen, allerdings ist dann keine Bestellung mehr über den elektronischen Vertriebskanal möglich.
(4) Die datenschutzrechtlichen Informationen der LOGPAY Financial Services kann der Kunde unter https://documents.logpay.de/de/datenschutzinformationen.pdf abrufen.
(5) Darüber hinaus verarbeitet die MVV GmbH die personenbezogenen Daten des Kunden, welche die MVV GmbH von LOGPAY Financial Services GmbH (Information über die Entscheidung, ob die Forderung erworben wird oder nicht) erhält.
(6) Im Fall einer Verarbeitung personenbezogener Daten zur Wahrnehmung von im öffentlichen Interesse liegenden Aufgaben (Art. 6 Abs. 1 S. 1 lit. e DSGVO) oder zur Wahrnehmung berechtigter Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO), kann der Kunde der Verarbeitung der ihn betreffenden personenbezogenen Daten jederzeit mit Wirkung für die Zukunft widersprechen. Im Fall des Widerspruchs hat die MVV GmbH jede weitere Verarbeitung der Daten des Kunden zu den vorgenannten Zwecken zu unterlassen, es sei denn,
– es liegen zwingende, schutzwürdige Gründe für eine Verarbeitung vor, die die Interessen, Rechte und Freiheiten des Kunden überwiegen, oder
– die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich.
(7) Im Rahmen des Registrierungsprozesses für das Zahlverfahren SEPA-Lastschrift und/oder bei Änderungen der Kundendaten im Zusammenhang mit dem Wechsel auf das Zahlverfahren SEPA-Lastschrift kann das Finanzunternehmen LOGPAY Financial Services GmbH eine Überprüfung der Angaben und der Bonität des Kunden durchführen. Dies erfolgt durch Abgleich der Personendaten des Kunden gegen den Datenbestand der SCHUFA Holding AG, Kormoranweg 5, 65201 Wiesbaden.
(8) Zur Prüfung der vom Kunden angegebenen Kreditkartendaten und zur Abwicklung von Zahlungen im Kreditkartenverfahren wird das Finanzunternehmen LOGPAY Financial Services GmbH die Kreditkarten- und Zahlungsdaten an einen Kreditkarten-Acquirer weitergeben.
(9) Für den Fall, dass der Kunde seinen Zahlungspflichten nicht nachkommt, werden seine personenbezogenen Daten zum Zwecke des Einzugs der Forderungen (z.B. durch Zahlungserinnerungen/Mahnungen) und der Durchsetzung der Forderungen (etwa im Rahmen eines gerichtlichen Mahnverfahrens oder der Zusammenarbeit mit einer Rechtsanwaltskanzlei bei klageweiser gerichtlicher Durchsetzung) an ein Inkassounternehmen weitergegeben.
6. Kundenbetreuung
(1) Aufkommende Rückfragen oder Beanstandungen seitens des Kunden zur Korrektheit der Fahrtenerfassung einer Reise werden im Auftrag der MVV GmbH vom Kundensupport des technischen Dienstleisters MENTZ übernommen und bearbeitet. Alle weiteren Anfragen (z.B. zum Tarif oder zur Registrierung) werden vom Kundensupport der MVV GmbH übernommen und bearbeitet. Kundenanfragen, die direkt aus der MVV-App heraus gesendet werden, gelangen je nach angegebenem Betreff direkt an MENTZ (Fahrtenerfassung von Reise und Haltestellen) oder an die MVV GmbH. Allgemein gestellte Anfragen per E-Mail werden zunächst von der MVV GmbH gesichtet und ggfls. an MENTZ weitergeleitet.
(2) Die MVV GmbH kann die personenbezogenen Daten der bei ihr angemeldeten Kunden zum Zwecke der Kundenbetreuung nutzen und speichern und auch zur Klärung von Fragen an ihre Dienstleister weitergeben; sie werden ohne vorherige ausdrückliche Zustimmung des Kunden nicht für Werbe- oder andere Zwecke genutzt.
(3) Die Verarbeitung dieser personenbezogenen Daten basiert auf der Rechtsgrundlage des Art. 6 Abs. 1 lit. b DSGVO, sofern die Kommunikation im Zusammenhang mit der Durchführung des Ticketkaufs erfolgt. Die Verarbeitung für andere Kommunikation erfolgt auf Basis des berechtigten Interesses (seitens MVV GmbH) gemäß Art. 6 Abs. 1 lit. f DSGVO, nämlich zur bedarfsgerechten Abwicklung der Kontaktanfrage des Kunden. Ohne Bereitstellung der Daten kann kein InOut-Ticket genutzt werden.
7. Marktforschung
(1) Durch das InOut-System wird eine neue Technologie zur Erfassung der Reisedaten zur ex-post Fahrpreisermittlung umgesetzt. Zur stetigen Verbesserung und Weiterentwicklung des Systems sowie der Nutzerfreundlichkeit kann die MVV GmbH Marktanalysen (Marktforschung) durchführen (lassen). Dem Kunden kann hierzu in der App oder über die bei der Registrierung freiwillig zur Nutzung von Marktforschungszwecken freigegebenen E-Mail-Adresse ein Aufruf zur Teilnahme an einer Marktforschung übermittelt werden. Die Teilnahme hieran ist freiwillig. Durch Teilnahme an der Marktforschung werden dem Marktforschungsinstitut folgende Informationen übermittelt:
Die Zustimmung kann jederzeit in Textform widerrufen werden und gilt für die Zukunft. Die Verarbeitung dieser personenbezogenen Daten basiert auf der Rechtsgrundlage des Art. 6 Abs. 1 lit. a DSGVO, Einwilligung des Kunden.
8. Fahrtenhistorie
(1) Die Fahrtenhistorie wird im Hintergrundsystem angelegt. Um in der MVV-App den Verlauf der vom Kunden durchgeführten Fahrten darzustellen, werden einige der personenbezogenen Daten lokal in der App gespeichert. Hierzu gehören: Historie der getätigten Fahrten und den daraus entstandenen Tickets, Einstellungen des Nutzers sowie bestimmte Zustände der MVV-App.
(2) Die Verarbeitung der lokal gespeicherten Daten basiert auf unserem berechtigten Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO, dem Kunden eine funktionsfähige und nutzerfreundliche App zur Verfügung zu stellen.
9. Kontrolle von InOut-Fahrten
(1) Zur Einnahmensicherung dürfen die im Verbund beteiligten Verkehrsunternehmen bei der Kontrolle bei Bedarf die Ticketdaten, die im Barcode gespeicherten Informationen (Vorname und Nachname (je nach Kontrollgerät ggf. maskierte Darstellung) sowie Geburtsdatum und ggf. Anrede, Vorname und Name des Ticketinhabers) und das vom Kunden vorgelegte Kontrollmedium eingesehen werden. Dies erfolgt auf Grundlage des Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO. Das berechtigte Interesse der MVV GmbH und der kontrollierenden Verkehrsunternehmen besteht in der Sicherung der Fahrgeldeinnahmen. Personenbezogene Daten werden im Kontrollgerät nicht gespeichert, sondern nur angezeigt. Im Falle einer Beanstandung können personenbezogene Daten an das Verkehrsunternehmen, das die Kontrolle durchgeführt hat, zur weiteren Bearbeitung weitergeleitet werden. Ohne Bereitstellung der Daten kann kein InOut-Ticket genutzt werden.
10. Speicherdauer und Aufbewahrungsfristen
(1) Die von der MVV GmbH bzw. von den Dienstleistern gespeicherten personenbezogenen Daten werden gelöscht, wenn sie für die Erfüllung des Zwecks, zu dem sie erhoben wurden (Vertrieb von InOut-Tickets), nicht mehr erforderlich sind und die gesetzlichen Aufbewahrungspflichten (maximal zehn Jahre nach § 147 Abs. 3 AO) nicht mehr entgegenstehen. Die Daten eines registrierten Kundenkontos, das zwei Jahre lang nicht aktiv war, werden spätestens nach zwei Jahren aus dem entsprechenden Verzeichnis gelöscht. Daten aktiver Kundenkonten werden zehn Jahre nach dem Buchungsdatum aus dem entsprechenden Verzeichnis gelöscht. Bestelldaten sind wie ein Buchungsbeleg zu behandeln und werden entsprechend den gesetzlichen Aufbewahrungsfristen aufbewahrt, anschließend werden sie gelöscht. Im Übrigen erfolgt eine Löschung auf ausdrücklichen Wunsch des Kunden per E-Mail an kundendialog-swipe@mvv-muenchen.de, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. In diesem Fall erfolgt die Löschung nach spätestens 30 Tagen.
(2) Informationen, die für die technische Prüfung und Analyse relevant sind, d.h. Betriebssoftware(-version), Modell des Endgeräts und Appversion werden temporär gespeichert und nach sechs Monaten automatisch wieder gelöscht.
11. Weitergabe von Daten
(1) Im Zuge der Funktionsnutzung und der Vertragsabwicklung ist in der Regel die Einschaltung von Auftragsverarbeitern notwendig. Darunter zählen:
Sämtliche Auftragsverarbeiter und externe Dienstleister wurden bzw. werden sorgfältig ausgewählt und unterliegen strengen datenschutzrechtlichen Vereinbarungen. Deren Sicherstellung erfolgt durch vertragliche Regelungen, durch technische und organisatorische Maßnahmen sowie ergänzende Kontrollen.
Soweit dies für die vorgenannten Zwecke erforderlich ist, übermittelt die MVV GmbH Kundendaten auch an Empfänger außerhalb des Europäischen Wirtschaftsraums (EWR), sofern
Zudem übermittelt die MVV GmbH die personenbezogenen Daten des Kunden an die von der MVV GmbH eingesetzten technischen Dienstleister, die die MVV GmbH bei dem Betrieb und der Wartung unterstützen und ihren Sitz in den USA haben. Zwar werden die personenbezogenen Daten des Kunden ausschließlich auf Servern innerhalb der EU/des EWR gespeichert. Es ist aber nicht gänzlich ausgeschlossen, dass die personenbezogenen Daten des Kunden in die USA übermittelt werden (etwa bei Supportanfragen). Zu diesem Zweck haben die MVV GmbH bzw. die von ihr eingesetzten technischen Dienstleister geeignete Maßnahmen ergriffen, um ein adäquates Schutzniveau für die personenbezogenen Daten des Kunden zu gewährleisten. Hierzu gehören neben dem Abschluss der Standardvertragsklauseln der EU-Kommission auch die Umsetzung von zusätzlichen technischen organisatorischen und vertraglichen Schutzmaßnahmen. Die übrigen personenbezogenen Daten des Kunden werden nicht in Länder außerhalb des EWR übermittelt.
12. Sonstige Informationen zum Datenschutz
(1) Soweit der Verarbeitung personenbezogener Daten die Einwilligung des Kunden zugrunde liegt, besteht ein Recht, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird, nach Maßgabe der gesetzlichen Regelungen zum Datenschutz (Art. 7 DSGVO, § 51 BDSG).
Im Fall einer Verarbeitung personenbezogener Daten zur Wahrnehmung von im öffentlichen Interesse liegenden Aufgaben (Art. 6 Abs. 1 S. 1 lit. e DSGVO) oder zur Wahrnehmung berechtigter Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO), kann der Kunde der Verarbeitung seiner betreffenden personenbezogenen Daten jederzeit mit Wirkung für die Zukunft widersprechen. Im Fall des Widerspruchs hat die MVV GmbH jede weitere Verarbeitung der betroffenen Daten zu den vorgenannten Zwecken zu unterlassen, es sei denn,
Es besteht ein Recht auf Auskunft über die betreffenden personenbezogenen Daten (Art. 15 DSGVO) sowie auf Berichtigung (Art. 16 DSGVO) oder Löschung (Art. 17 DSGVO) oder auf Einschränkung der Verarbeitung (Art. 18 DSGVO) oder ein Widerspruchsrecht gegen die Verarbeitung (Art. 21 DSGVO) sowie ein Recht auf Datenübertragbarkeit (Art. 20 DSGVO) nach Maßgabe der gesetzlichen Regelungen zum Datenschutz. Diese Rechte kann der Kunde per E-Mail an kundendialog-swipe@mvv-muenchen.de geltend machen.
(2) Neben den vorgenannten Verarbeitungszwecken werden die personenbezogenen Daten des Kunden zudem für die folgenden Zwecke verarbeiten:
(3) Gemäß Art. 77 DSGVO hat der Kunde unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat seines Aufenthaltsorts, seines Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn er der Ansicht ist, dass die Verarbeitung der ihn betreffenden personenbezogenen Daten gegen die Datenschutzgrundverordnung verstößt.
(4) Zuständige Aufsichtsbehörde für die MVV GmbH ist der Bayerische Landesbeauftragte für den Datenschutz, Postfach 22 12 19, 80502 München, www.datenschutz-bayern.de.