Die Datenschutzerklärung zur ioki-App

 

1 Anbieter und Datenschutzbeauftragte

Anbieter dieser ioki-App (nachfolgend: „App“) und Verantwortliche im Sinne des Datenschutzrechts ist die Verkehrsbetrieben Hamburg-Holstein GmbH (VHH), Curslacker Neuer Deich 37, 21029 Hamburg.

Unsere Datenschutzbeauftragte erreichen Sie unter datenschutz@vhhbus.de

 


 

2 Datenverarbeitung und Zweck

Je nach konkreter Nutzung der App werden personenbezogene Daten für den nachfolgend angegebenen Zweck verarbeitet. Rechtsgrundlage ist, sofern nicht anders angegeben, Art. 6 Abs. 1 S. 1 lit. b DSGVO.

 

2.1 Fahrtenbuchung

2.1.1 Download der App

Bei Download der App werden die dafür notwendigen Informationen an den App Store übertragen, d.h. insbesondere Nutzername, E-Mail-Adresse und Kundennummer Ihres Accounts, Zeitpunkt des Downloads und individuelle Gerätekennziffer. Auf diese Datenerhebung haben wir keinen Einfluss und sind nicht dafür verantwortlich. Wir verarbeiten diese bereitgestellten Daten, soweit dies für das Herunterladen der App auf Ihr Smartphone notwendig ist. Sie werden darüber hinaus nicht weiter gespeichert.

 

2.1.2 Geräte- und Verbindungsdaten

Bei Aufbau einer Verbindung Ihres Endgerätes mit unserem Server werden das Betriebssystem sowie die genutzte Version unserer App verarbeitet und an uns übermittelt. Dies erfolgt zur Verbesserung der App und zur Fehlerbehebung. Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Verbesserung der App.

 

2.1.3 Berechtigung für Ortungsdienste

Für eine optimale Funktionsweise benötigt die App die Berechtigung, Ortungsdienste des Endgerätes zu nutzen. Die Berechtigung wird bei der erstmaligen Nutzung der App abgefragt. Ortungsdienste können genutzt werden, um eine aktuelle Beförderungsmöglichkeit in der Umgebung zu finden.
Sie sind nicht verpflichtet diese Berechtigung zu erteilen. Stimmen Sie der Berechtigung nicht zu, ist die Funktionsweise der App insofern beeinträchtigt, dass Sie Ihre Startadresse manuell eingeben müssen. Sie können Berechtigung jederzeit in den Einstellungen Ihres Endgerätes widerrufen oder erlauben.

 

2.1.4 Login- und Benutzerdaten

Benutzerdaten werden zur erstmaligen Registrierung und später wiederholten Anmeldung benötigt.

Im Rahmen Ihrer Registrierung wird ein Kundenkonto angelegt. Sie haben die Möglichkeit neben diversen Pflichtangaben, die für die Registrierung und Nutzung benötigt werden, weitere freiwillige Angaben zu machen. Pflichtangaben sind Handynummer, Name und Vorname. Freiwillige Angaben nach Anlegen eines Accounts sind E-Mailadresse und Zahlungsdaten (Kreditkartenummer, Gültigkeit) und Rechnungsanschrift.

Rechtsgrundlage für die Verarbeitung dieser Daten ist Artikel 6 (1) a) und b) DSGVO.

 

2.1.5 Kartendarstellung durch Google Maps

Die App nutzt die von Google Ireland Limited Gordon House, Barrow Street Dublin 4 Irland betriebene („Google“) Google Maps API Anwendung.

Damit können wir Ihnen Karten in der App anzeigen lassen und ermöglichen Ihnen auch die Karten zu nutzen. Ohne die Google Maps API Anwendung funktioniert die App nicht. Die Nutzungsbedingungen für Google Maps finden Sie unter: https://www.google.com/help/terms_maps.html. Dort finden Sie auch einen Hinweis auf die Datenschutzerklärung von Google: https://policies.google.com/privacy?hl=de. Wir nutzen Google Maps, um das voraussichtliche Entgelt für Ihre Fahrt auszurechnen und um Ihnen interaktiv die Entfernung zu dem Fahrzeug anzuzeigen, welches Ihre Fahrt durchführt. Dabei verarbeiten wir, sofern Sie der Nutzung zugestimmt haben, Ihre GPS-Standortdaten gemäß Artikel 6 Abs. 1 lit. a) DSGVO. Ihre GPS-Standortdaten geben wir nur anonymisiert an Google weiter. Die Identifikation Ihrer Person ist ausgeschlossen.

 

2.1.6 Standortdaten

Sowie die Berechtigung bei Installation der App erteilt und nicht wieder ausgeschaltet wurde, werden Standortdaten erhoben und genutzt, um Beförderungsmöglichkeiten in der Nähe zu finden und anzuzeigen. Hierbei wird Ihre Position nicht zwischengespeichert und lediglich genutzt, um mögliche Abholorte in der Umgebung zu finden.

Buchen Sie eine Fahrt, erhebt die VHH folgende Daten: zum Zeitpunkt der Buchung Startort (Adresse), Abholort (Adresse), Absatzort (Adresse) und Zielort (Adresse), Informationen zu Ihrem Endgerät (Betriebssystem) sowie Zahlungsart und ggf. gewährte Rabatte, während beziehungsweise nach Ende der Fahrt Fahrtdauer in Minuten und gefahrene Kilometer. Sofern von Ihnen im Rahmen der Buchung angegeben wird, speichern wir Anzahl der benötigten Plätze (falls eine Buchung für mehrere Personen vorliegt), die Angabe zum Nahverkehrsticket und ob Sie Rollstuhlfahrer sind.

Rechtsgrundlage für die Verarbeitung Ihrer GPS-Standortdaten ist Artikel 6 Abs. 1 S. 1 lit. a DSGVO, die übrigen Daten werden zur Vertragsabwicklung aufgrund Artikel 6 Abs. 1 S. 1 lit. b DSGVO erhoben.

 

2.1.7 Fahrthistorie

Über Bereich „Account“ werden Ihre Daten zu gebuchten Fahrten (Fahrstrecke, Einstiegszeit und –ort, Routenführung, Fahrzeug, Ausstieg, Buchungscode, Preis) angezeigt.

 

2.1.8 Abrechnung/Zahlung

Sofern Sie als Zahlungsmittel eine Kreditkarte hinterlegt haben werden zur Abwicklung der Zahlung Vor- und Nachname des Kreditkarteninhabers, Aussteller der Kreditkarte, die ersten sechs und letzten vier Stellen der Kreditkartennummer, Ablaufdatum der Kreditkarte.

Kreditkartenzahlungen werden durch den Dienstleister  Stripe Payments Europe, Ltd., The One Building, 1 Grand Canal Street, Lower, Dublin 2, Ireland abgewickelt. Dessen Datenschutzerklärung finden Sie unter https://stripe.com/de/privacy.

Der Zahlungsdienstleister ist PCI DSS zertifiziert (Payment Card Industry Data Security Standard). Bei Angabe Ihrer Kreditkartendaten werden diese, über eine verschlüsselte Verbindung, direkt an den von uns eingesetzten Zahlungsdienstleister übermittelt. Unser Zahlungsdienstleister führt dann eine sog. Authentifizierung Ihres Zahlungsmittels durch. Dadurch wird sichergestellt, dass es sich bei Ihrem Zahlungsmittel um ein aktives Zahlungsmittel handelt. Aus Sicherheitsgründen werden an uns nur die ersten sechs und die letzten vier Ziffern Ihrer Kreditkarte übermittelt und wir speichern diese zu Identifikationszwecken und Nachweiszwecken.

 


 

2.2 Newsletter

Melden Sie sich zu einem Newsletter von uns an, senden wir den Newsletter an die durch Sie hinterlegte E-Mail-Adresse. Ihre E-Mail-Adresse kann in diesem Fall von uns für werbliche Zwecke genutzt werden. Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 a) DSGVO.

Bei der Anmeldung zum Newsletter speichern wir die vom Internet-Service-Provider (ISP) vergebene IP-Adresse Ihres zum Zeitpunkt der Anmeldung verwendeten Computersystems sowie das Datum und die Uhrzeit der Anmeldung. Die Erhebung dieser Daten ist erforderlich, um den (möglichen) Missbrauch der E-Mail-Adresse einer betroffenen Person zu einem späteren Zeitpunkt nachvollziehen zu können und dient deshalb unserer rechtlichen Absicherung.

Sie können sich jederzeit vom Newsletter wieder abmelden, indem Sie in der App die Einstellung für den Newsletter anpassen oder eine Email an service.ioki@vhhus.de senden. Außerdem enthält jeder Newsletter am Ende einen Link zur Abmeldung.

 


 

2.3 Einsatz von Firebase

In unserer App wird Firebase, ein Dienst der Google Inc. (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA), eingesetzt. Mit Hilfe dieses Werkzeugs werden uns Informationen im Fall eines App-Absturzes anonymisiert übertragen, um die Ursache des jeweiligen Absturzes nachvollziehen und schneller beheben zu können. Hierbei werden bestehende Fehler analysiert und identifiziert sowie die Qualität der App gesichert. Weiterhin wird Firebase zur Erfolgsmessung einzelner Funktionen der App eingesetzt. Hierbei analysiert Firebase die Akzeptanz der Funktionen durch den Nutzer.

Die übertragenen Daten sind rein technischer Ausprägung und besitzen keinen personenbezogenen Kontext.

Sofern Sie Push-Benachrichtigungen erhalten wollen, müssen Sie in den Erhalt der Push-Benachrichtigungen explizit einwilligen. Ihre Einwilligung können Sie jederzeit widerrufen. Im Rahmen der Installation bzw. beim ersten Verwenden werden Sie nach der Einwilligung zum Erhalt von Push-Benachrichtigungen gefragt.

Wir verwenden für die Push-Benachrichtigungen die Dienste Firebase Cloud Messaging der Firma Google (Android) und Apple Push Notifications (iOS). Dabei generieren Firebase und Apple einen berechneten Schlüssel, der sich aus der Kennung der App und ihrer Geräte-Kennung zusammensetzt. Dieser Schlüssel wird auf unserer Push-Plattform von mit den von Ihnen gewählten Einstellungen hinterlegt, um Ihnen die Inhalte Ihren Wünschen entsprechend zur Verfügung zu stellen. Die Firebase- bzw. Apple-Server können keinerlei Rückschluss auf die Anfragen von Nutzenden ziehen oder sonstige Daten ermitteln, die mit einer Person im Zusammenhang stehen. Firebase bzw. Apple dienen ausschließlich als Übermittler.

 


 

3 Weitergabe Ihrer Daten an Dritte

Teilweise bedienen wir uns externer Dienstleister, um Ihre Daten zu verarbeiten (z.B. Fehlersuche, Erstellung von Mailings, Druck- oder Versanddienstleister, Rechenzentrumdienstleistungen). Dazu ist es erforderlich, dass wir unseren externen Dienstleister zweckbedingt (beschränkt auf den jeweiligen Zweck) Ihre personenbezogenen Daten übermitteln. Unsere Dienstleister wurden von uns sorgfältig ausgewählt und schriftlich beauftragt. Sie sind an unsere Weisungen gebunden und wir haben uns über deren technische und organisatorische Maßnahmen zur Sicherheit der Verarbeitung von personenbezogenen Daten informiert. Des Weiteren fordern wir von unseren Dienstleistern die Einhaltung der jeweils gültigen datenschutzrechtlichen Vorschriften. Wir arbeiten mit Dienstleistern aus der EU zusammen. Hierzu haben wir mit unseren externen Dienstleistern innerhalb der EU oder des Europäischen Wirtschaftsraums Auftragsverarbeitungsverträge gemäß Artikel 28 Absatz 3 DSGVO abgeschlossen, sofern dies aufgrund des Vertragszwecks erforderlich ist.

Eine Übermittlung Ihrer Daten erfolgt im Übrigen nur, wenn Sie uns dazu eine ausdrückliche Einwilligung erteilt haben oder aufgrund einer gesetzlichen Regelung.

Soweit für unsere Zwecke erforderlich, übermitteln wir Ihre Daten ggf. in Einzelfällen auch an Empfänger außerhalb der EU. Wenn wir Daten in Drittstaaten übermitteln, stellen wir sicher, dass der Empfänger ein angemessenes Datenschutzniveau im Sinne von Art. 45 DSGVO oder geeignete Garantien im Sinne von Art. 46 Abs. 2 und Abs. 3 DSGVO implementiert hat und keine anderen schutzwürdigen Interessen gegen die Datenübermittlung sprechen.

 


 

4 Speicherdauer/Löschfristen

Ihre personenbezogenen Daten werden von uns so lange gespeichert, wie es für die vorgenannten Zwecke der Verarbeitung erforderlich ist, im Falle eines Widerspruchs keine zwingenden schutzwürdigen Gründe der VHH entgegenstehen oder im Falle eines Widerrufs keine sonstige Rechtsgrundlage für die Datenverarbeitung besteht. In bestimmten Fällen, z.B. wenn eine gesetzliche Aufbewahrungspflicht besteht, werden Ihre personenbezogenen Daten jedoch nicht unmittelbar gelöscht, sondern zunächst gesperrt.

 


 

5 Sicherheitsmaßnahme zum Schutz Ihrer personenbezogenen Daten

Wir schützen Ihre Daten durch technische und organisatorische Maßnahmen vor unberechtigtem Zugriff, Verlust oder Zerstörung. Unsere Sicherheitsmaßnahmen werden entsprechend der technologischen Entwicklung fortlaufend verbessert. Unsere Mitarbeiter und alle an der Datenverarbeitung beteiligten Personen sind zur Einhaltung datenschutzrelevanter Gesetze und dem vertraulichen Umgang mit personenbezogenen Daten verpflichtet. Unsere Mitarbeiter sind entsprechend geschult.

Die Übertragung Ihrer personenbezogenen Daten von Ihrem Endgerät (z.B. Smartphone) an uns erfolgt grundsätzlich verschlüsselt.

 


 

6 Ihre Rechte

Im Rahmen der gesetzlichen Vorgaben haben Sie uns gegenüber grundsätzlich Anspruch auf eine

  • Bestätigung, ob Sie betreffende personenbezogenen Daten durch uns verarbeitet werden,
  • Auskunft über diese Daten und die Umstände der Verarbeitung,
    Berichtigung, soweit diese Daten unrichtig sind,
  • Löschung, soweit für die Verarbeitung keine Rechtfertigung und keine Pflicht zur Aufbewahrung (mehr) besteht,
  • Einschränkung der Verarbeitung in besonderen gesetzlich bestimmten Fällen,
  • Widerspruch im Falle einer Datenverarbeitung auf Basis von Art. 6 Abs. 1 lit. f. DSGVO und
  • Übermittlung Ihrer personenbezogenen Daten – soweit Sie diese bereitgestellt haben – an Sie oder einen Dritten in einem strukturierten, gängigen und maschinenlesbaren Format.

Ob und inwieweit diese Rechte im Einzelfall vorliegen und welche Bedingungen dafür gelten, ergibt sich aus der DSGVO. Die DSGVO gewährt Ihnen zudem unter bestimmten Umständen ein Recht auf Datenübertragbarkeit. Soweit Sie eine datenschutzrechtliche Einwilligung erteilt haben, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Sie haben ferner ein Recht zur Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde.

Soweit sie Fragen oder Beschwerden zum Datenschutz bei der VHH haben, empfehlen wir Ihnen jedoch, sich zunächst an unsere Datenschutzbeauftragte zu wenden. Zur zügigen Bearbeitung Ihres Anliegens empfehlen wir, dass Sie uns neben Ihrer E-Mailadresse auch Ihren Namen und Vornamen mitteilen.

 


 

7 Keine automatisierte Einzelentscheidung

Wir verwenden Ihre personenbezogenen Daten nicht für automatisierte Einzelentscheidungen.

 


 

8 Änderung der Datenschutzerklärung

Neue rechtliche Vorgaben, unternehmerische Entscheidungen oder die technische Entwicklung erfordern gegebenenfalls Änderungen in unserer Datenschutzerklärung. Die Datenschutzerklärung wird dann entsprechend angepasst. Bei Änderungen der Datenschutzerklärung werden Sie entsprechende benachrichtigt.

 

Stand: April 2020