Datenschutz-Bestimmungen der Stadtwerke Eutin GmbH
für die gOHolstein – App

1 Allgemeines

Als Anbieter des Fahrzeugnutzungsangebot gOHolstein nehmen wir den Schutz Ihrer persönlichen Daten sehr ernst. Mit den nachfolgenden Informationen möchten wir Sie darüber aufklären, wie die Stadtwerke Eutin GmbH, Holstenstraße 6, 23701 Eutin (im Folgenden „Stadtwerke Eutin“, „Stadtwerke“ oder „wir“) mit Ihren personenbezogenen Daten umgehen. Wir beschreiben Ihnen z.B. welche Daten zu welchem Zweck aufgrund welcher Rechtsgrundlage erhoben, verarbeitet und gespeichert werden.

2 Verantwortliche Stelle

2.1 Verantwortliche Stelle im Hinblick auf sämtliche personenbezogene Daten, die wie nachfolgend beschrieben, verarbeitet werden, sind die

Stadtwerke Eutin GmbH,
Holstenstraße 6,
23701 Eutin
Tel.: 04521 / 705 300
Fax: 04521 / 705 305
E-Mail: info@stadtwerke-eutin.de

2.2 Die Kontaktdaten unseres betrieblichen Datenschutzbeauftragten lauten

Stadtwerke Eutin GmbH,
Datenschutzbeauftrager
Holstenstraße 6
23701 Eutin
Tel.: 04521 / 705 300
Fax: 04521 / 705 305
E-Mail: datenschutz@stadtwerke-eutin.de

3 Erhebung, Verarbeitung und Nutzung personenbezogener Daten

Die Stadtwerke werden personenbezogene Daten nach Maßgabe der einschlägigen datenschutzrechtlichen Regelungen – insbesondere der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) in ihrer jeweils aktuellen Fassung – erheben und verarbeiten.

Dabei handelt es sich um folgende Kategorien personenbezogener Daten:

  • IT-Daten (Referrer, Suchbegriffe, IP-Adresse, Rechnerdaten, Aufenthaltszeit auf Webseite)
  • Personenstammdaten (Vorname, Name, Geburtsdatum)
  • Kontaktdaten (Telefon, EMail, Straße + Nr., PLZ, Stadt)
  • Vertragsdaten (Username, Passwort, bei Bedarf: Bestehen einer Fahrerlaubnis)
  • Bankdaten (Bankverbindung, Kreditkarte, Zahlungssumme)
  • Abrechnungsdaten (Datum / Zeitdauer Fahrzeugnutzung, Kilometerleistung, Tankkosten,
  • Fahrzeugtyp + ggf. Nummernschild)
  • Geodaten (Standort Mieter/Fahrzeug bei Fahrzeugübernahme und -rückgabe)
  • Ausweis-, Führerscheindaten (Fotos bei Authentifizierung)

Die Kundin/der Kunde wird darauf hingewiesen, dass die Angaben, die sie/er in der Mobilen App der Stadtwerke macht, in dem für die Begründung, inhaltliche Ausgestaltung oder Änderung des Vertragsverhältnisses erforderlichen Umfang im automatisierten Verfahren erhoben, verarbeitet oder genutzt werden. Pflichtangaben und freiwillige Angaben sind entsprechend in der Eingabeoberfläche gekennzeichnet.

4 Zwecke und Rechtsgrundlagen

Als Fahrzeugnutzungsanbieter erbringen die Stadtwerke über eine Mobilitätsplattform im Internet mittels einer Mobilen App die Leistung des Mietangebots zur Nutzung von Personenkraftwagen, Motorroller und Fahrräder.
In Bezug auf die Zwecke, für die personenbezogene Daten in diesem Zusammenhang verarbeitet werden sollen und den jeweiligen Rechtsgrundlagen dazu gemäß DSGVO, gilt das Folgende:

4.1 Datenverarbeitung zur Vertragsanbahnung und -erfüllung
(Art. 6 Abs. 1 lit. b DSGVO)

Für die Nutzung der Mobilitätsplattform gOHolstein ist der Abschluss eines Rahmenvertrags und für das Anmieten/Nutzen von Fahrzeugen ein Individualmietvertrag erforderlich, bei der Sie als betroffene Person aus Sicht des Datenschutzes jeweils eine Vertragspartei sind.
Für die Anbahnung (vorvertragliche Maßnahmen, z.B. Authentifizierung), Begründung, Durchführung und Abwicklung der Verträge sind die unter 3. genannten, von Ihnen zur Verfügung gestellten personenbezogene Daten nötig. Ohne diese ist eine Vertragserfüllung nicht möglich.

4.2 Datenverarbeitung aufgrund gesetzlicher sowie behördlicher Vorgaben
(Art. 6 Abs. 1 lit. c DSGVO)

Als Fahrer eines Personenkraftwagens oder Motorrollers benötigen sie als unser Kunde gemäß Straßenverkehrsordnung eine gültige Fahrerlaubnis. Der Nachweis (Verifizierung) hierzu erfolgt Online bei der Registrierung (über einen Dienstleister, siehe auch 7.2.c) anhand Ihres Führerscheins.

4.3 Datenverarbeitung aufgrund der Einwilligung der betroffenen Person
(Art. 6 Abs. 1 lit. a DSGVO)

Soweit wir von Ihnen eine Einwilligung zur Verarbeitung von personenbezogenen Daten für bestimmte Zwecke eingeholt haben, verarbeiten wir die Daten auf dieser Basis.
Eine erteilte Einwilligung kann jederzeit widerrufen werden (siehe auch 6.).

4.4 Datenverarbeitung aus berechtigtem Interesse vom Verantwortlichen oder Dritten
(Art. 6 Abs. 1 lit. f DSGVO)

Bei jedem Zugriff auf die Internetpräsenz werden Protokolle zu statistischen Zwecken erstellt, wobei die betroffene Person anonym bleibt. Die unter 3. genannten IT-Daten werden auf Basis unseres berechtigten Interesses durch unseren Dienstleister zu folgenden Zwecken verarbeitet:

  • Gewährleistung eines reibungslosen Verbindungsaufbaus der Internetpräsenz
  • Gewährleistung einer komfortablen Nutzung unserer Internetpräsenz
  • Auswertung der Systemsicherheit und -stabilität sowie
  • zu weiteren administrativen Zwecken

Wir behalten uns vor, diese Daten nachträglich zu prüfen, wenn uns konkrete Anhaltspunkte für eine rechtswidrige Nutzung bekannt werden. Die Daten werden umgehend gelöscht, wen sie zur Zweckerreichung nicht mehr erforderlich sind, spätestens jedoch nach sechs Monaten.

5 Widerspruchsrecht:

Sofern die Stadtwerke Eutin eine Verarbeitung von Daten zur Wahrung berechtigter Interessen vornehmen, hat die Kundin/der Kunde aus Gründen, die sich aus ihrer/seiner besonderen Situation ergeben, jederzeit das Recht, gegen diese Verarbeitung Widerspruch einzulegen. Das umfasst insbesondere auch das Recht, Widerspruch gegen die Verarbeitung zu Werbezwecken einzulegen. Der Widerspruch gilt mit Wirkung für die Zukunft. Rechtsgrundlage ist Art. 21 DSGVO.

6 Widerruf Ihrer Einwilligung zur Datenverarbeitung

Einige Datenverarbeitungsvorgänge sind nur mit Ihrer ausdrücklichen Einwilligung möglich. Sie können eine bereits erteilte Einwilligung jederzeit widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt.

7 Weitergabe von Daten

Innerhalb der Stadtwerke Eutin erhalten diejenigen Stellen, Abteilungen und Mitarbeitenden die personenbezogenen Daten, die diese zur Erfüllung der vertraglichen und gesetzlichen Pflichten und der oben genannten Zwecke benötigen.

7.1 Einsatz von Dienstleistern zur Verarbeitung personenbezogener Daten

Dies gilt auch für von den Stadtwerken Eutin zu diesen Zwecken (im Rahmen einer Autragsdatenverarbeitung gemäß Art. 28 DSGVO) eingesetzte externe Dienstleister. Dies sind insbesondere Unternehmen in den Kategorien
IT-Dienstleistungen, z.B.

  • Hub2Go GmbH
    als Betreiber der für die Stadtwerke Eutin individualisierten Mobilitätsplattform gOHolstein
    Die Datenschutzerklärung von Hub2Go finden Sie hier:
    => https://hub2go.de/impressum/#datenschutzerklaerung
  • Jumio Corporation
    zur Authentifizierung bzw. Überprüfung der Fahrerlaubnis

Darüber hinaus kann eine Datenweitergabe an externe Personen (z. B. Rechtsbeistände) erfolgen, wenn dies zur Durchsetzung rechtlicher Interessen erforderlich ist.
Von uns eingesetzte Dienstleister, die personenbezogenen Daten im Rahmen unserer Weisung verarbeiten, sind vertraglich mittels einer Auftragsverarbeitungsvereinbarung (AVV) zur Einhaltung der Anforderungen der DSGVO verpflichtet.

Eine Datenweitergabe an weitere Empfänger außerhalb der Stadtwerke Eutin erfolgt nur, wenn gesetzliche Bestimmungen dies gebieten oder die Kundin/der Kunde eingewilligt hat. Unter diesen Voraussetzungen können Empfänger personenbezogener Daten insb. öffentliche Stellen und Institutionen (Umweltbundesamt, Aufsichtsbehörden, Finanzbehörden, Sozialversicherungsträger) bei Vorliegen einer gesetzlichen oder behördlichen Verpflichtung sein oder diejenigen Empfänger, die die Stadtwerke Eutin im Rahmen der Erteilung der Einwilligung zur Datenübermittlung angegeben haben.

7.2 Verarbeiten von Daten in Ländern außerhalb des Europäischen Wirtschaftsraums

7.2.1 Google Maps

Um Standorte und Routen in einer Karte darstellen zu können, verwendet die Mobile App Google Maps, ein Dienst des Anbieters

Google Ireland Limited, Gordon House, BarrowStreet, Dublin 4, Irland.

Diese auf Geodaten basierenden Funktionen benötigen eine Übertragung der IP-Adresse und Standortdaten ihres mobilen Endgeräts, der Sie zustimmen müssen. Ihre Einwilligung dazu können Sie im Regelfall in den Einstellungen Ihres Mobilgerätes erteilen.
Die Daten können in den USA verarbeitet werden.

7.2.2 Zahlungsdienstleister

Wir binden Zahlungsdienste von Drittunternehmen in der Mobilen App ein. Wenn Sie ein Fahrzeug bei uns mieten, werden Ihre Zahlungsdaten (z. B. Name, Zahlungssumme, Kontoverbindung, Kreditkartennummer) an den Zahlungsdienstleister weitergeleitet und von ihm zum Zwecke der Zahlungsabwicklung verarbeitet. Er übermittelt diese Daten unter Umständen zur Identitäts- und Bonitätsprüfung an Wirtschaftsauskunfteien. Möglicherweise gibt Stripe Ihre Daten an Dritte weiter, falls es zur Erfüllung der vertraglichen Verpflichtungen notwendig ist oder die Daten im Auftrag verarbeitet werden sollen. Für diese Transaktionen gelten die jeweiligen Vertrags- und Datenschutzbestimmungen des jeweiligen Anbieters.
Der Einsatz der Zahlungsdienstleister erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragsabwicklung) sowie im Interesse eines möglichst reibungslosen, komfortablen und sicheren Zahlungsvorgangs (Art. 6 Abs. 1 lit. f DSGVO).
Soweit für bestimmte Handlungen Ihre Einwilligung abgefragt wird, ist Art. 6 Abs. 1 lit. a DSGVO Rechtsgrundlage der Datenverarbeitung; Einwilligungen sind jederzeit für die Zukunft widerrufbar.
Folgende Zahlungsdienste / Zahlungsdienstleister setzen wir im Rahmen der Mobilen App ein:

Stripe

Anbieter für Kunden innerhalb der EU ist die Stripe Payments Europe, Ltd.,1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland (im Folgenden „Stripe“).
Die Datenübertragung in die USA wird auf die Standardvertragsklauseln der EU-Kommission gestützt. Details können Sie unter folgenden Links nachlesen:

7.2.3 Jumio Corporation

Für die Verifizierung (Bestätigung oder Überprüfung), dass Sie im Besitz einer gültigen Fahrerlaubnis sind, verwendet die Mobile App im Rahmen der Registrierung den Service der

Jumio Corporation, 268 Lambert Avenue, Palo Alto, Ca94306, USA.

Möglicherweise gibt Jumio Ihre Daten an Dritte weiter, falls es zur Erfüllung der vertraglichen Verpflichtungen notwendig ist oder die Daten im Auftrag verarbeitet werden sollen.
Informationen zur Datenschutzerklärung von Jumio finden Sie hier:
https://www.jumio.com/de/rechtsinformation/datenschutzhinweise/website-datenschutzerklaerung/

Darüber hinaus sind die Regeln zur Datenverarbeitung zwischen unserem Dienstleister Hub2Go und Jumio in Form einer Datenverarbeitungsvereinbarung (incl. Standardvertragsklauseln) festgelegt.

8 Aufbewahrung/Sperrung/Löschung von Daten

Wir verarbeiten und speichern Ihre personenbezogenen Daten nur für den Zeitraum, der zur Erreichung der unter 4. genannten Zwecke erforderlich ist oder sofern dies in Gesetzen oder Vorschriften, welchen wir als für die Verarbeitung Verantwortlicher unterliegen, gefordert ist.
Entfällt der Verarbeitungszweck oder läuft eine vom Europäischen Richtlinien- und Verordnungsgeber oder einem anderen zuständigen Gesetzgeber vorgeschriebene Speicherfrist ab, werden die personenbezogenen Daten routinemäßig und entsprechend den gesetzlichen Vorschriften gesperrt oder gelöscht.

9 Rechte betroffener Personen:

Im Zusammenhang mit unserer Verarbeitung Ihrer Daten haben Sie folgende Rechte:

  • Recht auf Auskunft gemäß Art. 15 DSGVO über die Verarbeitung Ihrer personenbezogenen Daten durch uns, zu Verarbeitungszweck, Kategorien verarbeiteter Daten, Empfänger oder Empfängerkategorien, Speicherungsdauer oder Kriterien für die Festlegung der Dauer, ggf. Informationen über die Herkunft der Daten und das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und ggf. Unterrichtung über Garantien gemäß Art. 46 DSGVO bei Übermittlung an ein Drittland oder internationale Organisationen.
  • Recht auf Berichtigung unrichtiger oder Vervollständigung unvollständiger personenbezogener Daten gemäß Art. 16 DSGVO.
  • Recht auf Löschung der gespeicherten personenbezogenen Daten gemäß Art. 17 DSGVO, wenn die Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind, wenn eine erteilte Einwilligung widerrufen wurde und es an einer anderweitigen Rechtsgrundlage fehlt, wenn Widerspruch gegen die Verarbeitung eingelegt wurde und die Daten gemäß Art. 21 Abs. 1 oder 2 DSGVO nicht mehr verarbeitet werden dürfen, wenn die Daten unrechtmäßig verarbeitet wurden, wenn die Löschung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist oder wenn die Daten in Bezug auf angebotene Dienste einer Informationsgesellschaft gemäß Art. 8 Abs. 1 DSGVO erhoben wurden.
  • Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO, wenn Sie die Richtigkeit der Daten bestreiten (und zwar für die Dauer, die für eine Überprüfung der Richtigkeit erforderlich ist), wenn die Verarbeitung unrechtmäßig ist, Sie aber die Löschung ablehnen und stattdessen die Einschränkung der Nutzung verlangen, wenn wir die Daten für die Zwecke der Verarbeitung nicht länger benötigen, Sie die Daten jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen, oder wenn Sie Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DSGVO eingelegt haben, solange noch nicht feststeht, ob unsere berechtigten Gründe Ihre berechtigten Gründe überwiegen.
  • Recht auf Datenübertragbarkeit gemäß Art. 20 DSGVO, d.h. auf Erhalt der Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format und auf Übermittlung an einen anderen Verantwortlichen.
  • Recht zum Widerruf einer erteilten Einwilligung gemäß Art. 7 Abs. 3 DSGVO. Der Widerruf hat zur Folge, dass wir ab diesem Zeitpunkt die Datenverarbeitung auf Grundlage der Einwilligung nicht mehr durchführen dürfen.
  • Recht zur Beschwerde bei einer Aufsichtsbehörde gemäß Art. 77 DSGVO. Sie können sich hierzu an folgende Aufsichtsbehörde wenden:
    Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein,
    Postfach 71 16, 24171 Kiel, Tel.: (0431) 988-1200, Fax: (0431) 988-1223,
    E-Mail: mail@datenschutzzentrum.de.
    Das Beschwerderecht gilt unbeschadet anderweitiger verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe.