Datenschutz

Die HEAG mobilo GmbH freut sich über den Besuch unserer Webseite und Ihr Interesse an unserem Unternehmen. Wir nehmen den Schutz personenbezogener Daten ernst. Personenbezogene Daten sind alle Daten, die auf Sie persönlich beziehbar sind, z. B. Name, E-Mail-Adresse, Telefonnummer etc. 

Im Folgenden informieren wir Sie zunächst allgemein über die Verarbeitung Ihrer personenbezogenen Daten und Ihre Rechte als Betroffener. Danach informieren wir speziell über die Verarbeitung bei anderen, genannten Zwecken. Wir aktualisieren die vorliegenden Datenschutzinformationen laufend. Bitte informieren Sie sich regelmäßig! 

Allgemeine Hinweise zum Datenschutz  

§ 1 Verantwortliche Stelle 

§ 2 Betrieblicher Datenschutzbeauftragter, Datenschutz-Koordinatoren 

§ 3 Kontaktaufnahme 

§ 4 Ihre Rechte als Betroffener 

§ 5 Beschwerde bei einer Aufsichtsbehörde 

§ 6 Widerruf oder Widerspruch gegen die Verarbeitung Ihrer Daten 

§ 7 Keine automatisierte Entscheidungsfindung  

§ 8 Keine Übertragung der Daten in Drittländer 

A. Datenschutzinformationen zum Besuch der Website www.heagmobilo.de 

§ 1 Erhebung personenbezogener Daten bei Besuch unserer Website, Cookies 

§ 2 Weitere Funktionen und Angebote unserer Website 

§ 3 Tracking -Einsatz von Matomo 

§ 4 Newsletter 

§ 5 Google Maps 

§ 6 Google reCAPTCHA 

§ 7 Mehrsprachigkeit – Polylang  

§ 8 All In One WP Security 

§ 9 Einsatz von Social-Media-Plattformen 

§ 10 Facebook-Fanpage 

§ 11 Einbindung von YouTube-Videos 

§ 12 Instagram 

B. Datenschutzinformation zum erhöhten Beförderungsentgelt (EBE) 

C. Datenschutzinformation zum SEPA-Mandat 

D. Datenschutzinformationen zur Besucherverwaltung 

E. Datenschutzinformation zur Videoüberwachung in den Fahrzeugen, Haltestellen und Betriebsstätten der HEAG mobilo GmbH 

F. Datenschutzinformation zur Datenverarbeitung bei Bewerbungen 

G. Datenschutzinformation zur Nutzung von Zeitkarten als eTicket Rhein-Main (z.B. Deutschlandticket, Schülerticket, Seniorenticket) 

H. Datenschutzinformation zum Projekt mobiSmart – Erfassung von Mobilfunkdaten in Bussen und Bahnen 

§ 1 Verantwortliche Stelle 

Soweit nicht anders angegeben ist verantwortliche Stelle gemäß Artikel 4 Nr. 7 EU-Datenschutz-Grundverordnung (DSGVO) die HEAG mobilo GmbH, vertreten durch die Geschäftsführung, Klappacher Straße 172, 64285 Darmstadt, info@heagmobilo.de (HEAG mobilo). 

Im Abschnitt B (Erhöhten Beförderungsentgelt) ist daneben für den Busbereich die HEAG mobiBus GmbH & Co. KG, vertreten durch die Geschäftsführung, Klappacher Straße 172, 64285 Darmstadt, info@heagmobibus.de (HEAG mobiBus) verantwortliche Stelle, im Abschnitt G (eTicket Rhein-Main) alle dort genannten Verkehrsunternehmen. Für die im Abschnitt F (Bewerbungen) beschriebene Tätigkeit kann auch die Stradadi GmbH, vertreten durch die Geschäftsführung, Klappacher Straße 172, 64285 Darmstadt info@stradadi.de (Stradadi) verantwortliche Stelle sein, wenn die Bewerbung an diese gerichtet ist. 

§ 2 Betrieblicher Datenschutzbeauftragter, Datenschutz-Koordinatoren 

Die HEAG mobilo, die HEAG mobiBus und die Stradadi haben einen gemeinsamen, betrieblichen Datenschutzbeauftragten bestellt. Das ist die CTM-COM GmbH, Marienburgstraße 27, 64297 Darmstadt, datenschutz@ctm-com.de oder Telefon 06151 3942-72. 

Bei allen Fragen rund um das Thema Datenschutz können Sie sich gerne auch an unsere internen Datenschutz-Koordinatoren wenden, datenschutz@heagmobilo.de.  

§ 3 Kontaktaufnahme 

Bei Ihrer Kontaktaufnahme werden uns die dabei mitgeteilten Daten (Ihre E-Mail-Adresse und Ihr Anliegen, ggf. Vor- und Nachname, Rückrufnummer etc.) von uns gespeichert, um Ihre Anfrage zu beantworten. Dabei anfallende Daten löschen wir, sobald die Speicherung nicht mehr erforderlich ist. Bestehen gesetzliche Aufbewahrungspflichten, schränken wir die Verarbeitung bis zur Löschung ein. 

§ 4 Ihre Rechte als Betroffener 

Sie haben bei den in den folgenden Abschnitten genannten Datenverarbeitungen gegenüber uns als verantwortlicher Stelle in Bezug auf Ihre personenbezogenen Daten stets die folgenden Rechte: 

• Recht auf unentgeltliche Auskunft 
• Recht auf Berichtigung oder Löschung 
• Recht auf Einschränkung der Verarbeitung, 
• Recht auf Widerspruch gegen die Verarbeitung, 
• Recht auf Datenübertragbarkeit. 

§ 5 Beschwerde bei einer Aufsichtsbehörde 

Außerdem können Sie sich bei der zuständigen Aufsichtsbehörde beschweren (Artikel 77 DSGVO). Die für uns zuständige Behörde ist 

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit 

Gustav-Stresemann-Ring 1, 65189 Wiesbaden 

Telefon 0611 1408-0 

https://datenschutz.hessen.de/.

Sie können sich alternativ an die für Sie örtlich zuständige Aufsichtsbehörde wenden. 

§ 6 Widerruf oder Widerspruch gegen die Verarbeitung Ihrer Daten  

(1) Haben Sie uns eine Einwilligung zur Verarbeitung Ihrer personenbezogenen Daten erteilt, können Sie diese jederzeit ganz oder teilweise ohne Angaben von Gründen widerrufen. Die Rechtmäßigkeit der Verarbeitung bis zu Ihrem Widerruf bleibt davon unberührt. 

(2) Stützen wir die Verarbeitung Ihrer personenbezogenen Daten auf die Wahrung berechtigter Interessen, können Sie jederzeit Widerspruch dagegen einlegen. Dabei bitten wir Sie um Darlegung der Gründe Ihres Widerspruchs. Diese dienen der Prüfung Ihres Widerspruchs und der Interessenabwägung. Je nach Ergebnis der Prüfung werden wir die Datenverarbeitung einstellen bzw. anpassen. Alternativ teilen wir Ihnen mit, warum uns die weitere Verarbeitung Ihrer personenbezogenen Daten trotz Widerspruchs gerechtfertigt erscheint. 

§ 7 Keine automatisierte Entscheidungsfindung  

Wir verzichten auf jede Art einer automatisierten Entscheidungsfindung einschließlich Profiling (Artikel 22 DSGVO).  

§ 8 Keine Übertragung der Daten in Drittländer 

Soweit nicht explizit anders angegeben, werden Ihre personenbezogenen Daten nicht an ein Drittland (Staaten außerhalb des Europäischen Wirtschaftsraums – EWR) übermittelt. 

§ 1 Erhebung personenbezogener Daten bei Besuch unserer Website, Cookies 
(1) Sie können unsere Webseite rein informatorisch (ohne Registrierung oder Kontaktaufnahme) nutzen. Dann erheben wir nur die personenbezogenen Daten, die Ihr Browser an unseren Server übermittelt. Die folgenden Daten sind technisch erforderlich, um Ihnen unsere Website anzuzeigen und die Stabilität und Sicherheit zu gewährleisten (Rechtsgrundlage ist Artikel 6 Absatz 1 S. 1 lit. f DSGVO): 

–  IP-Adresse 
–  Datum und Uhrzeit der Anfrage 
–  Zeitzonendifferenz zur Greenwich Mean Time (GMT) 
–  Inhalt der Anforderung (konkrete Seite) 
–  Zugriffsstatus/HTTP-Statuscode 
–  jeweils übertragene Datenmenge 
–  Website, von der die Anforderung kommt 
–  Browser, Sprache und dessen Version 
–  Betriebssystem und Bildschirmauflösung 

(2) Zusätzlich zu den zuvor genannten Daten werden beim Besuch unserer Website Cookies auf Ihrem Rechner gespeichert. Bei Cookies handelt es sich um kleine Textinformationen, die im Browser auf dem von Ihnen verwendeten Endgerät gespeichert werden. Durch den Cookie fließen uns bestimmte Informationen zu. Cookies dienen dazu, unser Internetangebot insgesamt nutzerfreundlicher und effektiver zu machen. 

(3) Einsatz von Cookies: 
a) Diese Website nutzt folgende Arten von Cookies, deren Umfang und Funktionsweise im Folgenden erläutert werden: 
–  Transiente Cookies (dazu b) 
–  Persistente Cookies (dazu c). 

b)  Transiente Cookies werden automatisiert gelöscht, wenn Sie den Browser schließen. Dazu zählen insbesondere die Session-Cookies. Diese speichern eine sogenannte Session-ID, mit welcher sich verschiedene Anfragen Ihres Browsers der gemeinsamen Sitzung zuordnen lassen. Dadurch kann Ihr Rechner wiedererkannt werden, wenn Sie auf unsere Website zurückkehren. Die Session-Cookies werden gelöscht, wenn Sie sich ausloggen oder den Browser schließen. 

c) Persistente Cookies werden automatisiert nach einer vorgegebenen Dauer gelöscht, die sich je nach Cookie unterscheiden kann. Sie können die Cookies in den Einstellungen Ihres Browsers jederzeit manuell löschen. 
 

§ 2 Weitere Funktionen und Angebote unserer Website 
(1) Daneben können Sie bei Interesse verschiedene Leistungen auf unserer Webseite nutzen. Dazu müssen Sie in der Regel weitere personenbezogene Daten angeben, die wir zur Erbringung der jeweiligen Leistung nutzen. Dafür gelten die wesentlichen Grundsätze der Datenverarbeitung nach Artikel 5 der DSGVO. 

(2) Teilweise bedienen wir uns zur Verarbeitung Ihrer Daten externer Dienstleister. Diese wurden von uns sorgfältig ausgewählt und beauftragt, sind an unsere Weisungen gebunden und werden regelmäßig kontrolliert. 

(3) Weiterhin können wir Ihre personenbezogenen Daten an Dritte weitergeben, wenn Aktionsteilnahmen, Gewinnspiele, Vertragsabschlüsse oder ähnliche Leistungen von uns angeboten werden. Details dazu erhalten Sie beim jeweiligen Angebot. 

(4) Soweit unsere Dienstleister oder Partner ihren Sitz in einem Staat außerhalb des Europäischen Wirtschaftsraumen (EWR) haben, informieren wir Sie darüber im jeweiligen Angebot. 

§ 3 Tracking – Einsatz von Matomo 
(1) Diese Website nutzt den Webanalysedienst Matomo. Rechtsgrundlage für die Nutzung von Matomo ist Artikel 6 Absatz 1 S. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt darin, über die gewonnenen Statistiken die Nutzung unserer Website analysieren und für Sie als Nutzer regelmäßig verbessern zu können. 

(2) Um dem Grundsatz der Datensparsamkeit zu genügen, verzichten wir dabei auf den Einsatz von Cookies. Stattdessen verwendet Matomo eine sog. Config_ID. Details zum technischen Ablauf finden Sie unter https://matomo.org/faq/general/how-is-the-visitor-config_id-processed/. 

(3) Diese Website verwendet Matomo mit der Erweiterung „AnonymizeIP“. Dabei wird die IP-Adresse vor der Speicherung anonymisiert. Sie wird nicht mit anderen von uns erhobenen Daten zusammengeführt. 

(4) Die erhobenen Informationen speichert der Verantwortliche ausschließlich auf Servern in Deutschland. Dabei handelt es sich um folgende Daten: 

• Anzahl und Uhrzeit der Besucher 

• Durchschnittliche Aufenthaltsdauer 

• Abgesprungene Besucher (Verlassen der Webseite nach einer Seite) 

• Aktionen pro Besuch (Seitenansichten, Downloads, ausgehende Verweise, interne Suchen) 

• (Eindeutige) Seitenansichten 

• Verwendete Geräte und installierte Software der Besucher 

• Aktionen pro Besuch (Seitenansichten, Downloads, ausgehende Verweise, interne Suchen), (Eindeutige) Seitenansichten, Benutzerverhalten (Einstiegsseiten, Ausstiegsseiten, Ursprung der Besucher z.B. Suchmaschine etc.) 

• Verwendete Geräte und installierte Software der Besucher 

(5) Das Programm Matomo ist ein Open-Source-Projekt. Informationen des Drittanbieters zum Datenschutz erhalten Sie unter https://matomo.org/privacy-policy/. 

§ 4 Newsletter 
(1) Sie haben die Möglichkeit, sich für unsere Newsletter zu registrieren (Pressemeldungen, Verkehrsmeldungen etc.). Dafür ist nur die Angabe Ihrer E-Mail-Adresse erforderlich. Optional können Sie weitere Daten angeben. Beim Klicken auf „Newsletter abonnieren“ senden wir zunächst eine Benachrichtigung an die angegebene E-Mail-Adresse mit der Bitte, diese zu bestätigen. Erst danach erhalten Sie tatsächlich unseren Newsletter (Double-Opt-In). 

(2) Sie können Ihre Einwilligung zum Erhalt unserer Newsletter jederzeit ohne Angabe von Gründen widerrufen. Eine Möglichkeit dazu finden Sie am Ende jedes Newsletters. Daneben können Sie per Post (HEAG mobilo GmbH, Klappacher Straße 172, 64285 Darmstadt) oder per E-Mail (kommunikation@heagmobilo.de) widersprechen. 

(3) Wir verwenden zum Versand unserer Newsletter das Newsletter-Tool Brevo der Sendinblue GmbH aus Berlin. Mit dieser haben wir einen Vertrag zur Auftragsverarbeitung geschlossen. Die von Ihnen bei der Newsletteranmeldung erhobenen Daten werden durch Brevo verarbeitet. Sie werden gelöscht, sobald Sie sich vom Newsletter abgemeldet haben. 

§ 5 Google Maps 

(1) Diese Seite nutzt den Kartendienst Google Maps. Anbieter ist die Google Ireland Limited („Google“), Gordon House, Barrow Street, Dublin 4, Irland. Mit Hilfe dieses Dienstes können wir Kartenmaterial auf unserer Website einbinden. 

(2) Zur Nutzung der Funktionen von Google Maps ist es notwendig, Ihre IP-Adresse zu speichern. Diese Informationen werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Wir haben keinen Einfluss auf diese Datenübertragung. Wenn Google Maps aktiviert ist, kann Google zum Zwecke der einheitlichen Darstellung der Schriftarten Google Fonts verwenden. Beim Aufruf von Google Maps lädt Ihr Browser die benötigten Web Fonts in ihren Browsercache, um Texte und Schriftarten korrekt anzuzeigen. 

(3) Aufgrund der Datenübertragung ist der Dienst Google Maps standardmäßig deaktiviert. Sofern Sie ihn nutzen möchten, müssen Sie uns eine dahingehende Einwilligung erteilen. Die Verarbeitung Ihrer personenbezogenen Daten erfolgt dann auf Grundlage von Artikel 6 Absatz 1 lit. a DSGVO und § 25 Absatz 1 TDDDG, soweit die Einwilligung die Speicherung von Cookies oder den Zugriff auf Informationen im Endgerät des Nutzers (z. B. Device-Fingerprinting) im Sinne des TDDDG umfasst. Ihre Einwilligung ist jederzeit widerrufbar (s.o.). 

(4) Google verarbeitet Ihre personenbezogenen Daten auch in den USA. Die Datenübertragung erfolgt auf Grundlage der Zertifizierung nach dem „EU-US Data Privacy Framework“ (DPF). Der DPF ist ein Übereinkommen zwischen der Europäischen Union und den USA, der die Einhaltung europäischer Datenschutzstandards bei Datenverarbeitungen in den USA gewährleisten soll.  

(5) Details finden Sie hier: https://privacy.google.com/businesses/gdprcontrollerterms/ und 

https://privacy.google.com/businesses/gdprcontrollerterms/sccs/.

Mehr Informationen zum Umgang mit Nutzerdaten finden Sie in der Datenschutzerklärung von Google: https://policies.google.com/privacy?hl=de. 

§ 6 Google reCAPTCHA 

(1) Wir nutzen „Google reCAPTCHA“ (im Folgenden „reCAPTCHA“) auf dieser Website. Anbieter ist die Google Ireland Limited („Google“), Gordon House, Barrow Street, Dublin 4, Irland. Mit reCAPTCHA soll überprüft werden, ob die Dateneingabe auf dieser Website (z. B. in einem Kontaktformular) durch einen Menschen oder durch ein automatisiertes Programm erfolgt. Hierzu analysiert reCAPTCHA das Verhalten des Websitebesuchers anhand verschiedener Merkmale.  

(2) Zur Analyse wertet reCAPTCHA verschiedene Informationen aus und leitet diese an Google weiter (z. B. Seite, die reCAPTCHA einbindet, Seite, von welcher der Nutzer kommt, IP-Adresse des Nutzers, Einstellungen des Endgeräts wie Sprache, Browser, Standort, Verweildauer, Mausbewegungen und Tastaturanschläge, Bildschirm- und Fensterauflösung, Zeitzone und Installation von Browser Plugins.).

(3) Die reCAPTCHA-Analysen laufen vollständig im Hintergrund, sofern Sie uns eine dahingehende Einwilligung erteilt haben. Die Verarbeitung erfolgt dann auf Grundlage von Artikel 6 Absatz 1 lit. a DSGVO und § 25 Abs. 1 TDDDG, soweit die Einwilligung die Speicherung von Cookies oder den Zugriff auf Informationen im Endgerät des Nutzers (z. B. Device-Fingerprinting) im Sinne des TDDDG umfasst. Ihre Einwilligung ist jederzeit widerrufbar (s.o.). 

(4) Weitere Informationen zu Google reCAPTCHA entnehmen Sie den Google-Datenschutzbestimmungen und den Google Nutzungsbedingungen unter https://policies.google.com/terms?hl=de.  

(5) Google verarbeitet Ihre Daten auch in den USA. Details dazu entnehmen Sie bitte dem Abschnitt A § 5 Absätze 4 und 5 (s.o.). 

§ 7 Mehrsprachigkeit – Polylang 

(1) Wir möchten Ihnen unsere Webseite mehrsprachig anbieten. Dazu nutzen wir das WordPress-Plugin Polylang. Anbieter ist die WP SYNTEX, 8, rue Joseph Cugnot 38307 Bourgoin Jallieu, Frankreich. Weitere Informationen finden Sie unter https://polylang.pro/doc/is-polylang-compatible-with-the-eu-cookie-law/ und https://polylang.pro/doc/is-polylang-gdpr-compliant/. 

(2) Das Cookie von Polylang (‘pll_language’) speichert ausschließlich Ihre Sprachauswahl. Es bleibt für ein Jahr gespeichert und wird danach gelöscht. Es werden keine Daten an den Anbieter gesendet. 

(3) Rechtsgrundlage für die Nutzung ist Artikel 6 Absatz 1 lit. f DSGVO. Unser berechtigtes Interesse liegt darin, Ihnen unsere Webseite mehrsprachig anbieten zu können. Sie haben die Möglichkeit, dem Einsatz zu widersprechen (vgl. dazu Allgemeine Hinweise zum Datenschutz, dort § 6).  

§ 8 All In One WP Security 

(1) Für die Sicherheit unserer Website benutzen wir das Plugin „All-In-One Security (AIOS) – Security and Firewall“. Anbieter ist Team Updraft bzw. die Updraft WP Software Ltd. Details finden Sie unter https://de.wordpress.org/plugins/all-in-one-wp-security-and-firewall/.  

(2) Dieses Plugin kann Cookies setzen und dadurch IP-Adressen erheben und speichern. Diese werden ausschließlich auf unseren Servern gespeichert. Empfänger der Daten sind ggf. technische Dienstleister, die für den Betrieb und die Wartung unserer Webseite als Auftragsverarbeiter tätig werden. 

(3) Rechtsgrundlage für die Nutzung ist Artikel 6 Absatz 1 lit. f DSGVO. Unser berechtigtes Interesse liegt darin, unsere Webseite gegen böswillige Software, Brute-Force-Angriffe, Spam und weitere, bösartige Aktivitäten abzusichern. Sie haben die Möglichkeit, dem Einsatz zu widersprechen (vgl. dazu Allgemeine Hinweise zum Datenschutz, dort § 6). 

§ 9 Einsatz von Social-Media-Plattformen 
(1) Wir nutzen zu Informations- und Marketingzwecken derzeit folgende Social-Media-Plattformen: YouTube, Facebook und Instagram. Rechtsgrundlage dafür ist Artikel 6 Absatz 1 Satz 1 lit. f DSGVO. Technisch sind unsere jeweiligen Auftritte über einen einfachen Link eingebunden. Personenbezogene Daten werden erst an einen Plattformbetreiber übertragen, wenn Sie den jeweiligen Link anklicken. Die Links zu den Plattformen finden Sie in der Kopfzeile unserer Webseite. Bitte beachten Sie, dass die genannten Plattformen in den USA ansässig sind. Beim Besuch von deren Webseiten werden Ihre personenbezogenen Daten daher ggf. dorthin übermittelt und gespeichert. Wir haben keinen Einfluss auf die Vorgänge der Datenverarbeitung, der volle Umfang der Datenerhebung, die Zwecke der Verarbeitung, die Speicherfristen oder Details zur Löschung sind uns nicht bekannt. Die Datenerhebung erfolgt unabhängig davon, ob Sie ein Konto beim Plattformbetreiber besitzen und dort eingeloggt sind. Wenn Sie auf der Plattform eingeloggt sind, werden Ihre bei uns erhobenen Daten direkt Ihrem bestehenden Konto zugeordnet. Wenn Sie dies nicht wünschen, sollten Sie sich nach Nutzung der jeweiligen Plattform ausloggen. 

(2) Die Plattformen speichern die über Sie erhobenen personenbezogenen Daten als Nutzungsprofile und nutzen diese für Zwecke der Werbung, Marktforschung und/oder bedarfsgerechten Gestaltung ihrer Website. Ihnen steht ein Widerspruchsrecht gegen die Bildung von Nutzungsprofilen zu. Details entnehmen Sie bitte der jeweiligen Datenschutzinformation der Plattform. 

§ 10 Facebook-Fanpage 
(1) Auf unserer Website sind Links zum sozialen Netzwerk Facebook integriert. Anbieter dieses Dienstes ist die Meta Platforms Ireland Limited, Merrion Road, Dublin 4, D04 X2K5, Irland. Die erfassten Daten werden nach Aussage von Facebook jedoch auch in die USA und in andere Drittländer übertragen. Eine Übersicht über die Facebook Social-Media-Elemente finden Sie hier: 

https://developers.facebook.com/docs/plugins/?locale=de_DE.

(2) Wenn Sie den Link anklicken, wird eine direkte Verbindung zwischen Ihrem Endgerät und dem Facebook-Server hergestellt. Facebook erhält dadurch die Information, dass Sie mit Ihrer IP-Adresse unsere Website besucht haben. Wenn Sie den Facebook „Like-Button“ anklicken, während Sie in Ihrem Facebook- Account eingeloggt sind, können Sie die Inhalte dieser Website auf Ihrem Facebook-Profil verlinken. Dadurch kann Facebook den Besuch dieser Website Ihrem Benutzerkonto zuordnen. Wir weisen darauf hin, dass wir als Anbieter der Seiten keine Kenntnis vom Inhalt der übermittelten Daten sowie deren Nutzung durch Facebook erhalten. Weitere Informationen hierzu finden Sie in der Datenschutzerklärung von Facebook unter: https://de-de.facebook.com/privacy/explanation. 

(3) Die Nutzung dieses Dienstes erfolgt auf Grundlage Ihrer Einwilligung nach Artikel 6 Absatz 1 lit. a DSGVO und § 25 Absatz 1 TDDDG. Die Einwilligung ist jederzeit widerrufbar.  

(4) Soweit personenbezogene Daten auf unserer Website erfasst und an Facebook weitergeleitet werden, sind wir und die Meta Platforms Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland gemeinsam für diese Datenverarbeitung verantwortlich (Art. 26 DSGVO). Die gemeinsame Verantwortlichkeit beschränkt sich dabei ausschließlich auf die Erfassung der Daten und deren Weitergabe an Facebook. Die nach der Weiterleitung erfolgende Verarbeitung erfolgt allein durch Facebook. Die uns gemeinsam obliegenden Verpflichtungen wurden in einer Vereinbarung über gemeinsame Verarbeitung festgehalten. Den Wortlaut der Vereinbarung finden Sie unter: https://www.facebook.com/legal/controller_addendum. Laut dieser Vereinbarung sind wir für die Erteilung der Datenschutzinformationen beim Einsatz von Facebook und für die datenschutzrechtlich sichere Implementierung auf unserer Website verantwortlich. Für die Datensicherheit der Facebook-Produkte ist Facebook verantwortlich.  

(5) Betroffenenrechte (z. B. Auskunftsersuchen) hinsichtlich der bei Facebook verarbeiteten Daten können Sie direkt bei Facebook geltend machen. Wenn Sie die Betroffenenrechte bei uns geltend machen, sind wir verpflichtet, diese an Facebook weiterzuleiten. 

(6) Facebook / Meta verarbeitet Ihre personenbezogenen Daten auch in den USA. Die Datenübertragung erfolgt auf Grundlage der Zertifizierung nach dem „EU-US Data Privacy Framework“ (DPF). Der DPF ist ein Übereinkommen zwischen der Europäischen Union und den USA, der die Einhaltung europäischer Datenschutzstandards bei Datenverarbeitungen in den USA gewährleisten soll. 

§ 11 Einbindung von YouTube-Videos 
(1) Wir haben den Videodienst YouTube.com in unser Online-Angebot eingebunden. YouTube ist eine Plattform, auf der Nutzer Videos einstellen und öffentlich zugänglich machen können. Betreiber der Plattform ist die Google Inc., 1600 Amphitheater Parkway, Mountainview, California 94043, USA. Ansprechpartner für Kunden in Europa ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. 

(2) Die Videos sind auf unserer Website direkt abspielbar und alle im „erweiterten Datenschutz-Modus“ eingebunden, d. h., dass keine Daten über Sie als Nutzer an YouTube übertragen werden, wenn Sie die Videos nicht abspielen. Erst wenn Sie die Videos abspielen, werden die in Absatz 3 genannten Daten übertragen. Auf diese Datenübertragung haben wir keinen Einfluss. 

(3) Durch das Abspielen eines Videos erhält YouTube die Information, dass Sie die entsprechende Unterseite unserer Website aufgerufen haben. Dies erfolgt unabhängig davon, ob YouTube ein Nutzerkonto bereitstellt, über das Sie eingeloggt sind, oder ob kein Nutzerkonto besteht. Wenn Sie bei Google eingeloggt sind, werden Ihre Daten direkt Ihrem Konto zugeordnet. Wenn Sie die Zuordnung mit Ihrem Profil bei YouTube nicht wünschen, müssen Sie sich vor Aktivierung des Buttons ausloggen. YouTube speichert Ihre Daten als Nutzungsprofile und nutzt sie für Zwecke der Werbung, Marktforschung und/oder bedarfsgerechten Gestaltung seiner Website. Eine solche Auswertung erfolgt insbesondere (selbst für nicht eingeloggte Nutzer) zur Erbringung von bedarfsgerechter Werbung und um andere Nutzer des sozialen Netzwerks über Ihre Aktivitäten auf unserer Website zu informieren. Ihnen steht ein Widerspruchsrecht zu gegen die Bildung dieser Nutzerprofile, wobei Sie sich zu dessen Ausübung an YouTube wenden müssen. 

(4) Weitere Informationen zu Zweck und Umfang der Datenerhebung und ihrer Verarbeitung durch YouTube erhalten Sie in der Datenschutzerklärung. Dort erhalten Sie auch weitere Informationen zu Ihren Rechten und Einstellungsmöglichkeiten zum Schutze Ihrer Privatsphäre: https://policies.google.com/privacy?hl=de&gl=de. 

(5) Google verarbeitet Ihre personenbezogenen Daten auch in den USA. Die Datenübertragung erfolgt auf Grundlage der Zertifizierung nach dem „EU-US Data Privacy Framework“ (DPF). Der DPF ist ein Übereinkommen zwischen der Europäischen Union und den USA, der die Einhaltung europäischer Datenschutzstandards bei Datenverarbeitungen in den USA gewährleisten soll. 

§ 12 Instagram 

(1) Auf dieser Website sind Funktionen des Dienstes Instagram eingebunden. Diese Funktionen werden angeboten durch die Meta Platforms Ireland Limited, Merrion Road, Dublin 4, D04 X2K5, Irland. Weitere Informationen hierzu finden Sie in der Datenschutzerklärung von Instagram: https://privacycenter.instagram.com/policy/. 

(2) Wenn Sie den Link anklicken, wird eine direkte Verbindung zwischen Ihrem Endgerät und dem Instagram-Server hergestellt. Instagram erhält dadurch Informationen über den Besuch dieser Website durch Sie. Wenn Sie in Ihrem Instagram-Account eingeloggt sind, können Sie durch Anklicken des Instagram-Buttons die Inhalte dieser Website mit Ihrem Instagram-Profil verlinken. Dadurch kann Instagram den Besuch unserer Website Ihrem Benutzerkonto zuordnen. Wir weisen darauf hin, dass wir als Anbieter der Seiten keine Kenntnis vom Inhalt der übermittelten Daten sowie deren Nutzung durch Instagram erhalten. 

(3) Die Nutzung dieses Dienstes erfolgt auf Grundlage Ihrer Einwilligung nach Artikel 6 Absatz 1 lit. a DSGVO und § 25 Absatz 1 TDDDG. Die Einwilligung ist jederzeit widerrufbar.  

(4) Soweit personenbezogene Daten auf unserer Website erfasst und an Meta bzw. Instagram weitergeleitet werden, sind wir und die Meta Platforms Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland gemeinsam für diese Datenverarbeitung verantwortlich (Artikel 26 DSGVO). Die gemeinsame Verantwortlichkeit beschränkt sich dabei ausschließlich auf die Erfassung der Daten und deren Weitergabe an Meta bzw. Instagram. Die nach der Weiterleitung erfolgende Verarbeitung erfolgt allein durch Instagram. Die uns gemeinsam obliegenden Verpflichtungen wurden in einer Vereinbarung über gemeinsame Verarbeitung festgehalten. Den Wortlaut der Vereinbarung finden Sie unter: https://www.facebook.com/legal/controller_addendum. Laut dieser Vereinbarung sind wir für die Erteilung der Datenschutzinformationen beim Einsatz von Instagram und für die datenschutzrechtlich sichere Implementierung auf unserer Website verantwortlich. Für die Datensicherheit der Instagram-Produkte ist Meta alleine verantwortlich.  

(5) Betroffenenrechte (z. B. Auskunftsersuchen) hinsichtlich der bei Instagram verarbeiteten Daten können Sie direkt bei Meta geltend machen. Wenn Sie die Betroffenenrechte bei uns geltend machen, sind wir verpflichtet, diese an Meta weiterzuleiten. 

(6) Facebook / Meta verarbeitet Ihre personenbezogenen Daten auch in den USA. Die Datenübertragung erfolgt auf Grundlage der Zertifizierung nach dem „EU-US Data Privacy Framework“ (DPF). Der DPF ist ein Übereinkommen zwischen der Europäischen Union und den USA, der die Einhaltung europäischer Datenschutzstandards bei Datenverarbeitungen in den USA gewährleisten soll. 

Erhebung und Verarbeitung der personenbezogenen Daten 
(1) Zur Abwicklung Ihres erhöhten Beförderungsentgelts erheben wir die folgenden personenbezogenen Daten: 

• Vorname und Name 

• Geschlecht 

• Geburtsdatum 

• Anschrift (Straße, Hausnummer, Postleitzahl, Wohnort) 

• Staatsangehörigkeit 

• Vorfalldaten (EBE-Vorfall-Nr., Datum, Zeit, Fahrgastposition im Fahrzeug, Beanstandung, Richtung, Kontrollhaltestelle, Einstiegshaltestelle, Zielhaltestelle, Ausweisart, Fahrscheinnummer, Ticketart, Bemerkung, Anmerkung Fahrgast, Fahrgastverhalten, Prüfer Nummer, Fahrzeugnummer, Linie) 

• Geleistete Zahlung 

• Bei Minderjährigen ggf. Daten der Erziehungsberechtigten (Vorname, Name, Geschlecht, Anschrift) 

(2) Rechtsgrundlage für die Verarbeitung Ihrer personenbezogenen Daten ist Artikel 6 Absatz 1 Satz 1 lit. b und f DSGVO. Die gemeinsamen Beförderungsbedingungen des RMV gestatten den verantwortlichen Verkehrsunternehmen von Fahrgästen, die ohne gültigen Fahrausweis angetroffen werden, die Erhebung und Beitreibung eines erhöhten Beförderungsentgelts. Die Daten werden zudem zur Erfassung von Wiederholungsfällen gespeichert. In diesen Fällen behalten wir uns vor, strafrechtliche Schritte einzuleiten. 

Datenlöschung 
Ihre personenbezogenen Daten löschen wir, sobald diese nicht mehr erforderlich sind. Darüber hinaus unterliegen wir verschiedenen Aufbewahrungs- und Dokumentationspflichten (z. B. HBG, BGB, etc.). Die dort vorgegebenen Fristen zur Aufbewahrung bzw. Dokumentation betragen bis zu zehn Jahren.  

Datenweitergabe an Dritte 
(1) Grundsätzlich geben wir Ihre personenbezogenen Daten nicht an Dritte weiter. Externe Dienstleister, die für uns im Auftrag Daten verarbeiten, sind im Rahmen des Artikel 28 DSGVO vertraglich zur Einhaltung des Datenschutzes verpflichtet und zählen deshalb nicht zu Dritten.  

(2) Zur Beitreibung offener EBE-Forderungen ist die BHS Bad Homburger Servicegesellschaft mbH bzw. Bad Homburger Inkasso GmbH (Adresse jeweils: Konrad-Adenauer-Allee 1-11, 61118 Bad Vilbel) beauftragt.  

(3) Müssen die Personalien des Betroffenen festgestellt werden oder liegt ein wiederholter EBE-Fall vor, behalten wir uns vor, die Daten zur Strafverfolgung an die zuständige Behörde weiterzugeben. 

Erhebung und Verarbeitung der personenbezogenen Daten 
(1) Wir erheben und verarbeiten im Rahmen der Erteilung eines SEPA-Mandats die folgenden Daten: 

• Name, Vorname 

• Geburtsdatum 

• Anschrift (Wohnort, Postleitzahl, Straße, Hausnummer) 

• Telefonnummer 

• E-Mail-Adresse 

• IBAN und ggf. BIC 

(2) Die Verarbeitung der Daten erfolgt auf der vertraglichen Grundlage eines erteilten SEPA-Lastschriftmandates gem. Artikel 6 Absatz 1 lit. a DSGVO. 

Datenweitergabe an Dritte 
(1) Grundsätzlich geben wir Ihre personenbezogenen Daten nicht an Dritte weiter. Externe Dienstleister, die für uns im Auftrag Daten verarbeiten, sind im Rahmen des Artikel 28 DSGVO vertraglich zur Einhaltung des Datenschutzes verpflichtet und zählen deshalb nicht zu Dritten.  

(2) Die Daten werden an die beteiligten Kreditinstitute übermittelt, damit die Lastschriften erfolgen können. 

Datenlöschung 
Ihre personenbezogenen Daten löschen wir, sobald diese nicht mehr für die Erfüllung unserer Vertragsbeziehung erforderlich sind. Darüber hinaus unterliegen wir verschiedenen Aufbewahrungs- und Dokumentationspflichten (z. B. HBG, BGB, etc.). Die dort vorgegebenen Fristen zur Aufbewahrung bzw. Dokumentation betragen bis zu zehn Jahren. 

Mit den folgenden Informationen möchten wir Sie als Besucher in unserem Unternehmen über die Verarbeitung Ihrer personenbezogenen Daten informieren. 

Erhebung und Verarbeitung personenbezogener Daten 
(1) Die Verarbeitung Ihrer personenbezogenen Daten erfolgt, soweit dies im Rahmen Ihres Besuches erforderlich ist. Die erhobenen Daten werden für den Zweck der Dokumentation der aktuellen Besucher im Hause der HEAG mobilo GmbH erhoben und gespeichert. Die Daten werden schriftlich hinterlegt, damit intern das Anliegen des Besuchers zugeordnet und somit sichergestellt werden kann, dass sich niemand unbefugt Zutritt zu unseren Betriebsgeländen verschafft. 
(2) Die Rechtsgrundlage für die Erhebung und Verarbeitung ihrer personenbezogenen Daten im Rahmen des Besuches kann sich aus Artikel 6 Absatz 1 Satz 1 lit. a, b und/oder f DSGVO ergeben. Unsere berechtigten Interessen ergeben sich daraus, aus Gründen der Sicherheit Ihrer Person und unseres Betriebsablaufs stets zu wissen, welche externen Personen sich wo auf unserem Betriebsgelände aufhalten. 

(3) Personenbezogene Daten für die Dokumentation Ihres Besuches sind Ihre Kontaktdaten, Name, Aufenthaltstag + Zeit, Telefonnummer und E-Mail-Adresse, ggf. Kfz-Kennzeichen, sofern Sie das Betriebsgelände befahren. 

(4) Unser Betriebsgelände wird teilweise videoüberwacht. Diese Bereiche sind durch Beschilderung erkennbar. Betreten oder befahren Sie diese Bereiche, verarbeiten wir auch Videodaten zu Ihrer Person (siehe dazu den folgenden Abschnitt F). 

Empfänger oder Kategorien von Empfängern der Daten 
(1) Innerhalb unseres Unternehmens erhalten diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung unserer vertraglichen Pflichten sowie des berechtigten Interesses benötigen. Auch von uns eingesetzte Auftragsverarbeiter (Artikel 28 DSGVO) können zu diesen Zwecken Daten erhalten. Diese Auftragsverarbeiter sind Unternehmen in den Kategorien IT-Dienstleistungen, Bewachungsunternehmen und Telekommunikation. 

(2) An Dritte zur eigenen Nutzung geben wir Ihre Daten nur, wenn und soweit eine Einwilligung vorliegt oder vertragliche und/oder gesetzliche Regelungen dies vorsehen. Dritte im vorstehenden Sinn sind öffentliche Stellen/Behörden und privatwirtschaftliche Unternehmungen. Darüber hinaus können wir, Ihre personenbezogenen Daten im Unternehmensinteresse an Behörden (Strafverfolgungsbehörden) und Gerichte im In- und Ausland übermitteln. 

Dauer der Datenspeicherung 
Die im Rahmen Ihres Besuches von uns erhobenen personenbezogenen Daten werden für die Dauer des Aufenthalts und darüber hinaus 1 Jahr gespeichert und danach gelöscht, es sei denn, dass wir: 
– nach Artikel 6 Absatz 1 lit. c DSGVO aufgrund von Aufbewahrungs- und Dokumentationspflichten (z. B. aus HGB, StGB oder AO) zu einer längeren Speicherung verpflichtet sind 
– oder wenn ein berechtigtes Interesse an der Speicherung nach Artikel 6 Absatz 1 lit. f DSGVO besteht, z. B. während der laufenden Verjährungsfrist, die in der Regel drei Jahre beträgt, in bestimmten Fällen aber auch bis zu 30 Jahren betragen kann, 
– oder Sie in eine darüberhinausgehende Speicherung nach Artikel 6 Absatz 1 lit. a DSGVO eingewilligt haben. 
Sobald die Speicherung der Daten nicht mehr zur Durchführung der genannten Speicherzwecke erforderlich ist oder bei Widerruf einer von Ihnen erteilten Einwilligung werden Ihre Daten unverzüglich gelöscht. 

Grund der Bereitstellung Ihrer Daten und mögliche Folgen der Nichtbereitstellung 
Bei Nichtbereitstellung Ihrer personenbezogenen Daten ist das Betreten unseres Betriebsgeländes leider nicht gestattet. 

Zweck und Rechtsgrundlage der Datenverarbeitung 

Ihre personenbezogenen Daten werden durch uns nach den Bestimmungen der Europäischen Datenschutzgrundverordnung (DSGVO) und des neuen Bundesdatenschutzgesetzes (BDSG-neu) verarbeitet. 

Die Videoüberwachung in den Fahrzeugen, an den Haltestellen und in den Betriebsstätten der HEAG mobilo GmbH erfolgt auf Grundlage des Artikels 6 Absatz 1 S. 1 f) DSGVO zur Wahrung unserer und weiterer berechtigter Interessen. Die Videoüberwachung gewährleistet den Schutz unserer Kunden, Mitarbeiter und sonstiger Dritter, dient der Wahrnehmung und Durchsetzung unseres Hausrechts und der Aufklärung zivil- und strafrechtlicher Sachverhalte (insbesondere Diebstahl, Einbruch, Sachbeschädigung, Vandalismus und illegale Müllentsorgung). Beim Einsatz an den Haltestellen dient die Videoüberwachung zusätzlich der Anschlusskontrolle sowie der Analyse des derzeitigen Betriebsablaufs (Busse und Bahnen), um bei auftretenden Störungen oder Unfällen weitere Schritte veranlassen zu können. 

Dauer der Datenspeicherung 

Die Videoaufzeichnungen werden in den Fahrzeugen für maximal 48 Stunden gespeichert und anschließend automatisiert überschrieben und damit gelöscht. 
Bei der Überwachung unserer Betriebsstätten beträgt die Speicherfrist bis zu 72 Stunden. 
Die Bilder der Videokameras unserer Haltestellen werden nicht gespeichert, sondern nur live in unsere Verkehrsleitstelle am Böllenfalltor übertragen. 
Für die Überwachung nicht benötigte Erfassungsbereiche der Kameras sind technisch unkenntlich gemacht (Schwärzung). 

Sofern Daten im Rahmen eines Vorfalls (z.B. Strafanzeige oder Unfall) ausgewertet werden, unterliegen sie den gesetzlichen Aufbewahrungs- und Dokumentationsfristen. 

Datenweitergabe 

Innerhalb der HEAG mobilo GmbH erhalten nur diejenigen Stellen und Abteilungen Zugriff auf gespeicherte personenbezogene Daten, die diese Daten zur Erfüllung ihrer Aufgaben benötigen. Der Zugriff erfolgt nur im unbedingt erforderlichen Umfang. 
Grundsätzlich geben wir Ihre personenbezogenen Daten nicht an Dritte weiter. Es ist aber theoretisch möglich, dass externe Dienstleister im Rahmen der Pflege unserer IT-Systeme Zugriff auf die Daten erlangen könnten. Diese Dienstleister sind als Auftragsverarbeiter (Artikel 28 DSGVO) vertraglich zur Einhaltung des Datenschutzes verpflichtet worden. 
Personenbezogene Daten über Betroffene können im Einzelfall zudem weitergegeben werden, wenn gesetzliche Bestimmungen dies vorschreiben, eine Einwilligung vorliegt oder wir zur Erteilung einer Auskunft befugt oder verpflichtet sind. In diesem Zusammenhang ist auch eine Weitergabe der personenbezogenen Daten an Strafverfolgungsbehörden (Polizei und Staatsanwaltschaft) möglich. 

Erhebung der Daten 
Durch Ihre Dateneingaben stellen Sie den oben genannten Unternehmen Ihre persönlichen Daten über eine konkrete Bewerbung zum Zweck der Stellensuche selbst zur Verfügung. 

Rechtsgrundlage für die Verarbeitung personenbezogener Daten 
Als Rechtsgrundlage für die Datenverarbeitung legen wir Artikel 6 Abs 1 lit. b DSGVO i.V.m § 26 BDSG-neu zugrunde. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind. 

Datenschutz und Vertraulichkeit 
Datenschutz ist uns ein wichtiges Anliegen. Die Unternehmen der HEAG haben die notwendigen organisatorischen und technischen Maßnahmen unternommen, um die Vertraulichkeit Ihrer Bewerbung sicherzustellen. Sämtliche Mitarbeiterinnen und Mitarbeiter der Personalabteilung sind im Rahmen ihres arbeitsvertraglichen Beschäftigungsverhältnisses zur Verschwiegenheit über persönliche Daten verpflichtet. Bei der Datenverarbeitung werden die allgemeinen Standards zur Datensicherheit gemäß aktuellem Stand der Technik berücksichtigt. 

Arten der Daten und deren Verwendung 
Wir verarbeiten Daten, die mit Ihrer Bewerbung in Zusammenhang stehen. Während des Bewerbungsverfahrens werden zum Zwecke Ihrer Bewerbung neben Anrede, Namen und Vornamen, die üblichen Korrespondenzdaten wie Postanschrift, E-Mailadresse und Telefonnummern in der Bewerberdatenbank gespeichert. Zudem werden Bewerbungsunterlagen wie Anschreiben, Lebenslauf, Berufs-, Aus- und Weiterbildungsabschlüsse sowie Arbeitszeugnisse gespeichert. Hierbei handelt es sich um die Daten, Unterlagen und Angaben, die Sie uns im Zusammenhang mit Ihrer Bewerbung übermitteln. 

Empfänger 
Diese Daten werden ausschließlich im Rahmen Ihrer Bewerbung ausgewertet, bearbeitet oder intern weitergeleitet. Sie sind nur Mitarbeiterinnen und Mitarbeitern der Personalabteilung und den für die Auswahl verantwortlichen Personen zugänglich. 

Ihre Daten werden auf keinen Fall an Dritte, Unternehmen oder Personen außerhalb weitergegeben oder für andere Zwecke verwendet. Die Daten können in anonymisierter Form für statistische Zwecke (z.B. Reporting) bearbeitet werden. Dabei sind keine Rückschlüsse auf einzelne Personen möglich. 

Betroffenenrechte 
Sie können jederzeit Ihre Rechte als Betroffene/r wahrnehmen. Diesbezüglich richten Sie sich bitte an unsere Personalabteilung (personal@heagmobilo.de) oder unseren Datenschutzbeauftragten. 

Widerrufsrecht 
Sie haben das Recht, erteilte Einwilligungen gem. Artikel 7 Absatz 3 DSGVO mit Wirkung für die Zukunft zu widerrufen. Diesbezüglich richten Sie sich bitte an unsere Personalabteilung (personal@heagmobilo.de). Ab dem Eingang Ihres Widerrufs verarbeiten wir Ihre Daten nicht mehr für die im Rahmen der Einwilligung angegebenen Zwecke. 

Datenlöschung und Speicherdauer 
Ihre personenbezogenen Daten werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Eine Speicherung kann darüber hinaus erfolgen, wenn dies durch den europäischen oder nationalen Gesetzgeber in unionsrechtlichen Verordnungen, Gesetzen oder sonstigen Vorschriften, denen der Verantwortliche unterliegt, vorgesehen wurde. Eine Sperrung oder Löschung der Daten erfolgt auch dann, wenn eine durch die genannten Normen vorgeschriebene Speicherfrist abläuft, es sei denn, dass eine Erforderlichkeit zur weiteren Speicherung der Daten für einen Vertragsabschluss oder eine Vertragserfüllung besteht. 
 
Treten Sie eine Arbeitsstelle bei der HEAG an, werden Ihre Daten (Profil, Bewerbung und ggf. Testergebnisse eines Einstellungstests) zu Ihrer Personalakte gelegt. 
 
Eine Löschung Ihrer persönlichen Bewerbungsdaten erfolgt grundsätzlich automatisch sechs Monate nach Abschluss des Bewerbungsverfahrens. Hintergrund ist die Notwendigkeit einer umfassenden Dokumentation des Bewerbungsprozesses für den Fall der Geltendmachung und/oder Abwehr von arbeitsrechtlichen Ansprüchen ehemaliger Bewerber*innen. Rechtsgrundlage für diese Datenverarbeitung ist unser überwiegendes berechtigtes Interesse an einer vollumfänglichen Rechtsverteidigung nach Artikel 6 Absatz 1 f) DSGVO. Es erfolgt keine Mitteilung über die Löschung der Daten. 
 
Eine längere Aufbewahrungsfrist bzw. eine spätere erneute Kontaktaufnahme durch die HEAG bei neuen Stellenoptionen bedarf der Einwilligung der Bewerberin/des Bewerbers. Diese ist gegenüber der HEAG ausdrücklich schriftlich oder mittels entsprechender Einwilligung auf dem Online-Bewerbungsformular der HEAG zu erklären. 

Name und Kontaktdaten der verantwortlichen Stelle sowie des betrieblichen Datenschutzbeauftragten 

Gemeinsame Verantwortung bei der Datenverarbeitung 
Im Rahmen des eTicket RheinMain betreiben die HEAG mobilo und die HEAG mobiBus in gemeinsamer Verantwortung mit allen teilnehmenden Verkehrsunternehmen und von Verkehrsunternehmen eingesetzten Vertriebsdienstleistern (= Kundenvertragspartner) sowie dem Rhein-Main-Verkehrsverbund GmbH (= RMV) eine Datenbank, das „verbundweite Hintergrundsystem“ (vHGS), zur Verwaltung und Abwicklung des eTicket RheinMain. 
 
Die jeweiligen Kundenvertragspartner erheben und verarbeiten im Rahmen Ihres verantworteten Wirkungsbereichs eigenverantwortlich Kundendaten. Der RMV ist für den technischen und fachlichen Betrieb des vHGS verantwortlich und ist berechtigt, sich weiterer Unternehmen (Auftragsverarbeiter) zu bedienen, die ihn beim fachlichen und technischen Betrieb der Datenbank unterstützen, beispielsweise auch für die Erstellung und den Versand der eTickets und Papierfahrkarten. 
Die gemeinsame Verantwortung bei der Datenverarbeitung, insbesondere die Zuständigkeiten und Verantwortlichkeiten der Beteiligten, ist gemäß Artikel 26 DSGVO (Joint Controllership) schriftlich vereinbart. Die wesentlichen Inhalte dieser Vereinbarung und eine aktuelle Liste der am vHGS beteiligten Kundenvertragspartner wird unter www.rmv.de/vhgs-joint-controllership zur Verfügung gestellt. 

Zweck der Datenverarbeitung 
Die Verarbeitung der Daten erfolgt zum Zweck der Verwaltung, der Pflege und des Vertriebs elektronischer Fahrscheine auf Chipkarten (eTicket RheinMain) sowie von Papierfahrkarten über das verbundweite Hintergrundsystem (vHGS). 
Dies umfasst: 

• die Erstellung und Bereitstellung eines Datensatzes für die Ausgabe der Fahrkarte oder für die Ausgabe eines Berechtigungsnachweises auf einer Chipkarte über ein Schreib-/ Lesegerät (Akzeptanzterminal) 
• die Erstellung und Bereitstellung eines Datensatzes für den Druck der Fahrkarte in Papierform 
• die Ausstellung und Übersendung der Fahrkarte und weiterer Vertragsinformationen 
• die Korrektur der bereits zuvor übermittelten personenbezogenen Daten wegen Änderung der Kontaktdaten oder vergleichbarer Gründe 
• die Bearbeitung von Kunden- und Interessentenanfragen 
• die Abwicklung der Bezahlung der Fahrkarte 
• die Kontrolle der Fahrkarte 
• die Überprüfung von Missbrauch, wie bspw. Manipulationen, Duplikate oder Doppelanmeldungen mit einer Chipkarte

Auf der Chipkarte werden darüber hinaus die letzten 10 Transaktionen gespeichert. Unter einer Transaktion wird der Vorgang des Datenaustauschs zwischen Chipkarte, Akzeptanzterminal und Hintergrundsystem verstanden, der beispielsweise während der Kontrolle der Fahrkarte entsteht. Dabei handelt es sich um die Zeit, den Ort und die Art der Transaktion sowie die Terminalnummer und die Ticket-/Produktnummer. 
Die aktuell auf der Chipkarte gespeicherten Transaktionen sind ausschließlich dort gespeichert und können bei den RMV-Mobilitätszentralen eingesehen und auf Wunsch gelöscht werden. Zusätzlich sendet bei einer Kontrolle der Fahrkarte das Kontrollgerät einen Kontrolldatensatz zum eTicket-Hintergrundsystem des RMV. Damit erfolgt eine Missbrauchsüberprüfung. 

Rechtsgrundlagen für die Datenverarbeitung 
Die Datenverarbeitung ist für die Erfüllung eines Abonnementvertrages mit dem Besteller sowie, falls abweichend, mit dem Kontoinhaber und die spätere Nutzung der Fahrkarte durch den Besteller bzw. Nutzer zum Nachweis einer gültigen Fahrtberechtigung bei Nutzung der Verbundverkehrsmittel erforderlich (Vertragserfüllung gemäß Artikel 6 Absatz 1 lit. b) DSGVO). 

Empfänger oder Kategorien von Empfängern der personenbezogenen Daten 
Folgende Empfänger sind an der betrieblichen Abwicklung beteiligt: 

• Rhein-Main-Verkehrsverbund GmbH – Technischer Betreiber des vHGS als wesentlicher Bestandteil des Teil des eTicket RheinMain sowie dessen Auftragsverarbeiter für den fachlichen und technischen Betrieb des vHGS, die Rhein-Main-Verkehrsverbund Servicegesellschaft (rms GmbH) und dessen Auftragsverarbeiter für das Hosting und den technischen Betrieb des vHGS, die Cubic Transportation Systems (Deutschland) GmbH 
• Am vHGS beteiligte Kundenvertragspartner, die über das vHGS Fahrkarten vertreiben und untereinander den jeweiligen Kunden gegenüber bestimmte Serviceleistungen erbringen (z. B. Änderungen der Adresse oder der räumlichen Gültigkeit). Eine aktuelle Liste kann unter www.rmv.de/vhgs-joint-controllership eingesehen werden 
• Wirtschaftsauskunfteien, die vom Kundenvertragspartner zur Prüfung der Bonität des Kunden eingeschaltet werden können 
• Inkassounternehmen, die bei Zahlungsausfall des Kunden eingeschaltet werden können. 

Mit allen Auftragsverarbeitern wurden gemäß Artikel 28 DSGVO Auftragsverarbeitungsverträge abgeschossen. 
Eine Datenübermittlung in Drittstaaten gemäß Artikel 45 – 49 DSGVO findet nicht statt. 

Dauer der Datenspeicherung 
Die personenbezogenen Daten werden routinemäßig gelöscht, wenn sie nicht mehr zur Vertragserfüllung notwendig sind und auch nicht mehr den gesetzlichen (insb. steuerrechtlichen) Aufbewahrungsfristen unterfallen (Artikel 17 Absatz 1 lit. a) und e) DSGVO). 
Die im Zusammenhang mit dem eTicket RheinMain entstehenden Nutzungsdaten werden sechs Monate nach erfolgreichem Zahlungseingang der Transaktionen im vHGS gelöscht, können aber nach vorheriger Pseudonymisierung vom RMV für verkehrliche Zwecke (z. B. zur Bewertung der Nachfrageentwicklung auf bestimmten Verbindungen) ausgewertet werden. Zur Missbrauchsüberprüfung an das Hintergrundsystem übermittelte Kontrolldatensätze werden spätestens 14 Tage nach Erhebung aus dem Hintergrundsystem gelöscht. 
Auswertungen und Missbrauchsprüfungen erfolgen gemäß berechtigtem Interesse nach Artikel 6 lit. f DSGVO. 

Erforderlichkeit der Datenbereitstellung 
Die Bereitstellung der Daten ist für Abschluss und Abwicklung von personalisierten Fahrkarten sowie die Nutzung des eTickets oder von papierbasierten Fahrkarten erforderlich. Ohne die Bereitstellung der Daten ist der Abschluss von Verträgen für personalisierte Fahrkarten nicht möglich. 
Alternativ besteht bei Barzahlung im Voraus die Möglichkeit des Erwerbs einer nicht personalisierten, übertragbaren und anonym nutzbaren Fahrkarte. 

Zweck der Datenverarbeitung 
Die Erhebung und Verarbeitung Ihrer personenbezogenen Daten erfolgt zur Messung von Bewegungsströmen in unserem Liniennetz und zur Bestimmung von Auslastungsgraden unserer Busse und Bahnen. 

Rechtsgrundlagen und Erforderlichkeit der Datenverarbeitung 
Rechtsgrundlage ist unser berechtigtes Interesse nach Artikel 6 Absatz 1 Satz 1 lit. f DSGVO. Die berechtigten Interessen der HEAG mobilo ergeben sich aus dem dargestellten Zweck. Für ein attraktives Mobilitätsangebot benötigt die HEAG mobilo die erhobenen Informationen über die tatsächliche Nachfrage ihrer Fahrgäste nach Verkehrsmitteln. Demgegenüber sind keine überwiegenden Interessen der Fahrgäste ersichtlich, von einer Datenerhebung abzusehen. 

Empfänger oder Kategorien von Empfängern / Datenübermittlung 
Innerhalb unseres Unternehmens werden ausschließlich Daten verarbeitet, die zuvor anonymisiert wurden. Das gilt in gleicher Weise für unseren technischen Dienstleister. 
Es erfolgt keine Datenübermittlung in Staaten außerhalb der EU (sog. Drittstaaten). 

Dauer der Datenspeicherung 
Wir erheben eine oder mehrere MAC-Adressen (eindeutige Nummer zur Identifizierung mobiler Endgeräte) der von unseren Fahrgästen mitgeführten, mobilen Endgeräte. Diese MAC-Adressen werden im Arbeitsspeicher der in Bussen und Bahnen eingebauten Erfassungsgeräte innerhalb von Millisekunden anonymisiert. Es findet darüber hinaus keine Speicherung der MAC-Adressen statt. Dies gilt nicht im Rahmen der Erteilung eines Widerspruchs (s.u.). 

RECHT ZUM WIDERSPRUCH GEGEN DIE VERARBEITUNG 
Sie können der Verarbeitung jederzeit ohne Angabe von Gründen widersprechen. Wir schließen Ihre MAC-Adresse(n) dann dauerhaft von der Weiterverarbeitung aus. Wenden Sie sich dazu bitte unter Angabe Ihrer E-Mail- und MAC-Adresse(n) und Ihres Namens (optional) an datenschutz@heagmobilo.de. 
Eine Erfassung Ihrer MAC-Adresse(n) können Sie zudem praktisch über das Einschalten des Flugmodus an Ihren mobilen Endgeräten verhindern. Bitte achten Sie darauf, dass Ihre Endgeräte wieder erfasst werden, wenn Sie im Flugmodus manuell das WLAN wieder aktivieren. Bei Nichtbereitstellung oder Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten entstehen Ihnen keinerlei Nachteile.