Datenschutzhinweise BahnID

Übersicht

Diese Datenschutzhinweise gelten ausschließlich für die Website und den Single Sign-On-Dienst „BahnID“ der DB Fernverkehr AG (https://id.bahn.de/content/datenschutz ).

Diese Datenschutzhinweise betreffen diejenigen Datenverarbeitungen, die beim Besuch unserer Website und im Zuge der Nutzung der Dienste von BahnID (z.B. Anmeldung, Registrierung oder Stammdatenverwaltung) stattfinden. Bei Nutzung des Dienstes, über den sie auf die Website von BahnID gelangen bzw. der mit BahnID verbunden ist (z.B. DB Mobilitätsclient), werden typischerweise zusätzliche Daten verarbeitet. Sollten Sie Fragen zu Datenverarbeitungen haben, die einen solchen Dienst betreffen, so finden Sie Informationen hierzu in den jeweiligen Datenschutzhinweisen dieses Dienstes.

1. Wer ist Verantwortlicher für die Datenverarbeitung?

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) für die Verarbeitung Ihrer Daten durch diese Website und den Dienst BahnID ist die DB Fernverkehr AG, Europa-Allee, 60486 Frankfurt, E-Mail: bahnid-support@deutschebahn.com . Die bestellte Datenschutzbeauftragte des DB Konzerns ist Frau Dr. Marein Müller.

Die DB Fernverkehr AG verarbeitet Ihre personenbezogenen Daten im Rahmen von BahnID zusammen mit den jeweiligen Diensten ggfs. als Gemeinsam Verantwortliche i.S.d. Art. 26 DSGVO. Die DB Fernverkehr AG und der Anbieter des jeweiligen Dienstes haben in diesem Fall eine Vereinbarung gemäß Art. 26 DSGVO abgeschlossen, in der sie transparent festlegen, welche Partei welche Verpflichtung aus der DSGVO erfüllt. Die gemeinsame Verantwortung beschränkt sich auf diejenigen personenbezogenen Daten, die für die Nutzung der jeweiligen Dienste benötigt werden. Zweck der Verarbeitung dieser personenbezogenen Daten ist ein erleichterter Zugang zu dem jeweiligen Dienst.

Im Zusammenhang mit der Nutzung des 10er TagesTicket, des Online-Formulars zur Anmeldung von Hilfeleistungen für mobilitätseingeschränkte Reisende und DB MobiDig (MER) besteht eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO mit der DB Vertrieb GmbH, Europa-Allee 78-84, 60486 Frankfurt a. Main.

Im Zusammenhang mit der Nutzung des Produkts Bonvoyo sowie StadtRAD Hamburg besteht eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO mit der Deutsche Bahn Connect GmbH, Mainzer Landstraße 169, 60327 Frankfurt am Main.

Im Zusammenhang mit der Nutzung des Produkts DB Regio Guide eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO mit der DB DB Regio AG, Europa-Allee 70-76, 60486 Frankfurt am Main.

Im Zusammenhang mit der Nutzung der Produkte DB Rad+, Radfix und 24/7-Store besteht eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO mit der DB InfraGO AG, Adam-Riese-Straße 11-13, 60327 Frankfurt.

2. Welche Daten werden durch uns verarbeitet, zu welchen Zwecken verarbeiten wir Ihre Daten und aufgrund welcher Rechtsgrundlagen erfolgt dies?

Wenn Sie unsere Website besuchen und unseren Dienst BahnID benutzen, verarbeiten wir bestimmte personenbezogene Daten von Ihnen. Im Folgenden können Sie sich detailliert über die Datenverarbeitung informieren.

a. Serverlogdaten

Wenn Sie unsere Website besuchen, verarbeiten unsere Webserver standardmäßig zu Zwecken der Systemsicherheit und um Ihnen diese Seite zur Verfügung stellen zu können temporär die Verbindungsdaten des anfragenden Rechners, die Internetseiten, die Sie bei uns besuchen, das Datum und die Dauer des Besuches, die Erkennungsdaten des verwendeten Browser- und Betriebssystem-Typs sowie die Webseite, von der aus Sie uns besuchen (sog. Serverlogdaten). Darüber hinausgehende personenbezogene Angaben wie Ihr Name, Ihre Anschrift, Telefonnummer oder E-Mail-Adresse werden hierbei nicht erfasst. Zudem erfolgt keine Verknüpfung der Serverlogdaten mit personenbezogenen Daten. Die genannten Daten werden durch uns zu folgenden Zwecken verarbeitet:

• Gewährleistung eines reibungslosen Verbindungsaufbaus der Website,
• Gewährleistung einer ordnungsgemäßen Nutzung unserer Website,
• Auswertung der Systemsicherheit und -stabilität sowie
• zu weiteren administrativen Zwecken.

Die Rechtsgrundlage für diese Datenverarbeitung ist Art. 6 Abs. 1 S. 1 lit. f DSGVO. Unser berechtigtes Interesse im Rahmen des Art. 6 Abs. 1 S. 1 lit. f DSGVO folgt aus oben aufgelisteten Zwecken. In keinem Fall verwenden wir die erhobenen Daten zu dem Zweck, Rückschlüsse auf Ihre Person zu ziehen.

Die Daten werden streng zweckgebunden verarbeitet und von uns nach Wegfall der Erforderlichkeit gelöscht.

b. Cookies und ähnliche Technologien, die für die Nutzung bestimmter Funktionen der Website erforderlich sind

Cookies

Bei Cookies handelt es sich um kleine Datenpakete, die auf Ihrem Datenträger gespeichert werden und die bestimmte Einstellungen und Daten zum Austausch mit unserem System über Ihren Browser speichern. Sie haben den Zweck, unser Internetangebot insgesamt nutzerfreundlicher und effektiver zu gestalten.
Sie können Cookies in den Einstellungen Ihres Browsers jederzeit löschen und Ihre Browser-Einstellungen entsprechend Ihren Wünschen konfigurieren. In der Regel wird Ihnen in der Menüleiste Ihres Webbrowsers über die Hilfe-Funktion angezeigt, wie Sie neue Cookies abweisen und bereits erhaltene löschen können. Bitte beachten Sie jedoch, dass Sie dann eventuell nicht alle Funktionen unserer Website bestimmungsgemäß nutzen können.

Wir setzen Cookies ein, die für die Funktion unserer Website notwendig sind. Notwendige Cookies müssen zwingend verwendet werden, damit unsere Seiten ordnungsgemäß funktionieren und die von Ihnen gewünschte Funktionalität bereitgestellt werden kann. Um die Login-Funktion auf unserer Seite bereitstellen zu können, verwenden wir sogenannte Session-Cookies. Diese Session Cookies werden nach Ende der Browser-Sitzung automatisch wieder von Ihrer Festplatte gelöscht.

Wenn Sie unser Feature „E-Mail-Adresse merken“ verwenden, ist es hierfür erforderlich, Ihre E-Mail-Adresse in einem Cookie auf Ihrem Gerät zu speichern. Der Cookie wird 90 Tage gespeichert.

Wenn Sie unser Feature „Gerät merken“ verwenden, werden hierzu die ID Ihres Geräts, eine Referenz-ID sowie Zeitstempel hinsichtlich Erzeugung und Gültigkeit in einem Cookie gespeichert. Der Cookie wird 120 Tage gespeichert.

Die Sprache, in der Sie unsere Seiten nutzen möchten, wird in einem Cookie gespeichert, der beim ersten Besuch unserer Seite gesetzt wird. Der Cookie wird 1 Jahr gespeichert.

Diese Datenverarbeitung erfolgt im Rahmen der Rechtsgrundlage des Art. 6 Abs. 1 S. 1 lit. f DSGVO zum Zweck, den bestimmungsgemäßen Betrieb unserer Website zu ermöglichen und Ihnen Funktionen bereitstellen zu können, die Sie explizit angefordert haben.

hCaptcha von Intuition Machines Inc.
Um Ihre Privatsphäre und die Verfügbarkeit der Website vor automatisierten und missbräuchlichen Zugriffsversuchen noch zuverlässiger zu schützen, setzen wir die hCaptcha-Technologie des Anbieters Intuition Machines Inc. (350 Alabama St, San Francisco, CA 94110, USA) ein. Mittels Bot-Erkennung und Risikobewertungen wird durch das maschinelle Lernen und Prüfen festgestellt, ob eine menschliche Besucherin oder ein menschlicher Besucher unsere Website benutzt. Bei Bedarf wird bei der Nutzung der Website eine interaktive Aufgabe zur Validierung eingeblendet. Falls Sie sich für den Barrierefrei-Dienst des Anbieters registriert haben, wird anstatt der Validierungseingabe ein Cookie mit der Laufzeit eines Monats ausgewertet.

Rechtsgrundlage für den Einsatz der Technologie ist § 25 Abs. 2 Nr. 2 TTDSG in Verbindung mit Art. 6 Abs. 1 lit. f) DSGVO. Das berechtigte Interesse besteht im Schutz der Daten der betroffenen Personen und der Infrastruktur vor automatisierten und missbräuchlichen Zugriffsversuchen.

c. Datenverarbeitung bei der Registrierung für BahnID und beim Login in Ihr BahnID Konto

Wenn Sie sich auf unserer Seite für BahnID registrieren, verarbeiten wir Ihre E-Mail-Adresse sowie das von Ihnen gewählte Passwort, um ein Konto bei BahnID für Sie anzulegen. Wir senden Ihnen zu diesem Zweck per E-Mail einen einmaligen Bestätigungscode.

Wenn Sie bereits ein BahnID Konto besitzen und sich in dieses einloggen, verarbeiten wir zu diese Zweck Ihre E-Mail-Adresse sowie Ihr Passwort.

Wenn Sie die Möglichkeit der 2-Faktor-Authentifizierung nutzen, verarbeiten wir ebenfalls bestimmte Daten von Ihnen, abhängig von der genutzten Anmeldemethode.

• Bei Anmeldung über eine Authenticator App: Die von Ihnen genutzte App (z. B. Google Authenticator) verarbeitet hierzu einen QR Code, der ein von unseren Systemen generiertes Secret, eine Zuordnung zu BahnID und Ihren Nutzernamen enthält. Aus diesen Informationen sowie einem Zeitstempel wird dann jeweils durch die App und uns ein Passwort berechnet, welches Sie zur Anmeldung verwenden können.

• Bei Nutzung der Anmeldemethode mit SMS-Einmalpasswort: Wir verarbeiten hierzu die in Ihrem Profil hinterlegte Mobilfunknummer, an die wir Ihnen einen jeweils bei der Anmeldung generierten Code zusenden.

• Wenn Sie die „Gerät merken“-Funktion verwenden, werden die Daten zu Ihrem Gerät für 120 Tage gespeichert, so dass Sie sie erst nach Ablauf der Zeit wieder eingeben müssen.

• Bei Nutzung der Backup-Codes: Falls Sie Ihren 2. Faktor verloren haben und sich mittels Backup-Codes anmelden möchten, verarbeiten wir hierzu den von Ihnen ausgewählten Backup-Code (Einmalpasswort).

Die Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 S. 1 lit. b DSGVO. Die Datenverarbeitung ist erforderlich, um den mit Ihnen geschlossenen Vertrag zum Dienst BahnID erfüllen und den Vertrag anbahnen zu können.

d. Datenverarbeitung bei der Nutzung Ihres Kontos und der Nutzung im Zusammenhang mit dem Dienst eines Anbieters

Wenn Sie Ihr Konto nutzen oder den Dienst eines Anbieters im Zusammenhang mit Ihrem Konto nutzen, finden weitere Datenverarbeitungen durch uns statt.
Für Ihr BahnID Konto erstellen und verarbeiten wir eine pseudonyme Kennung.

Welche Ihrer personenbezogenen Daten wir darüber hinaus jeweils verarbeiten, hängt davon ab, welche Daten Sie uns zur Verfügung stellen.
Wenn Sie Ihr BahnID Konto in Verbindung mit einem Anbieter nutzen, erfordert die Nutzung der Dienste desselben die Angabe bestimmter Stammdaten. Ohne die Angabe dieser Stammdaten ist die Nutzung des jeweiligen Dienstes des Anbieters nicht möglich.

Den konkreten Umfang der für den Dienst verarbeiten Daten können Sie den Datenschutzhinweisen des jeweiligen Anbieters für den Dienst sowie dem diesbezüglichen Nutzungsvertrag entnehmen.

Die jeweils für den Anbieter notwendigen Daten kennzeichnen wir als Pflichtangaben.

Daten können sein:

• Anrede

• Titel

• Vorname

• Name

• Geburtsdatum

• Straße

• Hausnummer

• Postleitzahl

• Ort

• Region

• Land

• Mobilfunknummer

• E-Mail

Im Profil Ihres BahnID-Accounts (unter "Persönliche Daten ") sehen Sie die Stammdaten, welche wir über Sie gespeichert haben und können dort Änderungen vornehmen. Wir teilen diese Änderungen automatisiert den Anbietern aller Dienste mit, bei denen Sie sich mit Ihrem BahnID Konto registriert oder angemeldet haben.

Wenn Sie sich mit Ihrem BahnID Konto bei einem Dienst angemeldet haben, so ist dieser Dienst mit Ihrem BahnID Konto verbunden. Der Dienst hat dann Zugriff auf diejenigen Stammdaten aus Ihrem BahnID Konto, die er für die Erfüllung des mit Ihnen geschlossenen Vertrags benötigt.

Ein mit Ihrem BahnID Konto verbundener Dienst eines Anbieters kann maximal 180 Tage auf die Daten Ihrer BahnID zugreifen, ohne dass eine Aktion Ihrerseits erforderlich ist. Nach diesem Zeitraum müssen Sie sich aktiv in Ihr BahnID Konto einloggen und die Verbindung zu diesem Dienst erneuern, um weiteren Zugriff zu ermöglichen. Die maximale Zugriffsdauer kann von Dienst zu Dienst variieren. Sie haben jederzeit die Möglichkeit in den Einstellungen Ihres BahnID Kontos dem Dienst den Zugriff aktiv zu entziehen und damit die Verbindung zum jeweiligen Dienst aufzuheben.

Die Rechtsgrundlage für die Erhebung und Verarbeitung Ihrer Daten im Rahmen von BahnID stellt Art. 6 Abs. 1 S. 1 lit. b DSGVO dar. Die Datenverarbeitung ist erforderlich, um den zwischen uns geschlossenen Vertrag sowie den zwischen Ihnen und dem Anbieter geschlossenen Vertrag zu erfüllen oder anzubahnen.

3. Was sind die Grundsätze der Verarbeitung und wann werden die Daten gelöscht?

Ihre Daten werden strikt nach den Grundsätzen des Art. 5 DSGVO, insbesondere der Erforderlichkeit und der Datenminimierung, verarbeitet.

Die Datenverarbeitung erfolgt im Einklang mit Artikel 32 DSGVO. So werden etwa Verfahren der Verschlüsselung, Pseudonymisierung und/oder Anonymisierung eingesetzt, um für größtmöglichen Datenschutz zu sorgen.

Auch wenn wir Ihre personenbezogenen Daten für die Dauer des Vertragsverhältnisses mit uns verarbeiten, geschieht dies grundsätzlich nur so lange, wie dies für die Erfüllung der Zwecke, zu denen Ihre Daten erhoben wurden, erforderlich und/oder sofern dies gesetzlich vorgesehen ist.

Wenn Sie BahnID nicht mehr wünschen, genügt eine Kündigung des Vertrages und wir löschen alle personenbezogenen Daten unverzüglich, sofern diese für die jeweiligen Verarbeitungszwecke nicht länger erforderlich sind und der Löschung keine Aufbewahrungspflichten entgegenstehen oder sie aus anderen Gründen, etwa zur Verfolgung rechtlicher Ansprüche, noch erforderlich sind.

4. Wer sind mögliche Empfänger meiner Daten?

Wir übermitteln Ihre Daten an diejenigen Anbieter, die Sie mit Ihrer BahnID verbunden haben und die Ihre Daten benötigen, um Ihnen die Nutzung des konkreten Dienstes zu ermöglichen.

Sie haben hierbei immer die Hoheit über Ihre Daten, d.h. Sie stimmen relevanten Datenübermittlungen jeweils zu.

Etwaige Änderungen Ihrer Stammdaten in Ihrem Profil (unter "Persönliche Daten") teilen wir automatisiert den Diensten mit, die Sie mit Ihrem BahnID Konto verbunden haben. Auch hierbei übermitteln wir ausschließlich diejenigen Daten, die der jeweilige Anbieter für die Erfüllung des jeweiligen Dienstes benötigt.

Um Ihnen unsere Produkte und Dienstleistungen aufgrund unserer vertraglichen Verpflichtungen anbieten zu können, setzen wir sogenannte Auftragsverarbeiter ein.

Diese werden von uns sorgfältig ausgewählt und vertraglich streng verpflichtet. Die Dienstleister arbeiten nach unserer Weisung, was durch strenge vertragliche Regelungen, durch technische und organisatorische Maßnahmen und durch ergänzende Kontrollen sichergestellt wird.

Eine Übermittlung Ihrer Daten an den jeweiligen Empfänger erfolgt auch dann, wenn Sie uns dazu eine ausdrückliche Einwilligung erteilt haben.

Personenbezogene Daten können ggf. auch an Drittländer oder internationale Organisationen übermittelt werden. Diese Übermittlung erfolgen unter strenger Beachtung der Bedingungen der DSGVO (Artikel 44 ff.), insbesondere der Verwendung von EU-Standardvertragsklauseln oder dem Vorhandensein eines Angemessenheitsbeschlusses.

Es kann auch Fälle geben, in denen wir gesetzlich dazu verpflichtet sind, deutschen und internationalen Behörden Ihre personenbezogenen Daten zur Verfügung zu stellen. Die Rechtsgrundlage in diesem Fall ist Art. 6 Art. 1 S. 1 lit. c DSGVO in Verbindung mit lokalen und internationalen Verordnungen und Vereinbarungen.

In jedem Fall stellen wir sicher, dass die Datenweitergabe in Übereinstimmung mit den Anforderungen der DSGVO erfolgt.

5. Bin ich verpflichtet, personenbezogene Daten bereitzustellen?

Sie sind nicht verpflichtet, uns Ihre personenbezogenen Daten bereitzustellen; dies ist weder gesetzlich noch vertraglich vorgeschrieben. Ohne Ihre personenbezogenen Daten können wir allerdings den Vertrag über BahnID Ihnen gegenüber nicht erfüllen.

6. Ihre Rechte im Sinne der DSGVO

Die DB Fernverkehr AG verpflichtet sich zu einer fairen und transparenten Abwicklung. Deshalb ist es uns wichtig, dass die betroffenen Personen ihre Betroffenenrechte effektiv ausüben können, soweit die jeweiligen gesetzlichen Anforderungen dieser Rechte erfüllt sind:

• a. Recht auf Auskunft: Unter den Voraussetzungen des Art. 15 DSGVO können Sie Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten verlangen. Insbesondere können Sie Verarbeitungszwecke, die Kategorie der personenbezogenen Daten, die Kategorien von Empfängern, gegenüber denen Ihre Daten wurden oder werden, die geplante Speicherdauer, das Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch, das Bestehen eines Beschwerderechts, die Herkunft ihrer Daten, sofern diese nicht bei uns erhoben wurden, sowie über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und ggf. aussagekräftigen Informationen zu deren Einzelheiten verlangen;

  
  

• b. Berichtigung: Unter den Voraussetzungen des Art. 16 DSGVO können Sie die unverzügliche Berichtigung unrichtiger oder Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten verlangen;

  
  

• c. Löschung: Unter den Voraussetzungen des Art. 17 DSGVO Sie die Sie die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten verlangen („Recht auf Vergessenwerden“), soweit nicht die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist;

  
  
• d. Einschränkung der Verarbeitung: Unter den Voraussetzungen des Art. 18 DSGVO können Sie die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten verlangen, wenn entweder
  • die Richtigkeit der Daten von Ihnen bestritten wird oder
  • die Verarbeitung unrechtmäßig ist, Sie aber deren Löschung ablehnen und stattdessen verlangen, dass wir die Nutzung der personenbezogenen Daten einstellen oder
  • wir die Daten nicht mehr benötigen, Sie jedoch diese zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen oder
  • Sie gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung eingelegt haben;
  
  

• e. Recht auf Datenübertragbarkeit: Unter den Voraussetzungen Art. 20 DSGVO haben Sie das Recht, Ihre personenbezogenen Sie uns Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesebaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen;

  
  
• f. Recht auf Widerruf von Einwilligungserklärungen und Recht auf Widerspruch:
  1. Sie haben das Recht, eine einmal erteilte Einwilligung jederzeit mit Wirkung für die Zukunft – vollständig oder teilweise – zu widerrufen; die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung, bleibt hiervon unberührt. Die Möglichkeit, die Daten auf Basis einer anderen Rechtsgrundlage weiterzuverarbeiten, z.B. zur Vertragsabwicklung (Art. 6 Abs. 1 S. 1 lit. b DSGVO) bleibt Widerruf unberührt.
  2. Wenn eine Datenverarbeitung gemäß Art. 6 Abs. 1 S. 1 lit. e oder f DSGVO erfolgt, haben Sie das Recht, dieser Verarbeitung unter den Voraussetzungen des Art. 21 DSGVO zu widersprechen. Im Fall eines Widerspruchs haben wir jede weitere Verarbeitung Ihrer Daten zu unterlassen, es sei denn, (i) es liegen zwingende, schutzwürdige Gründe für eine Verarbeitung vor, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder (ii) die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich.

7. Ausübung Ihrer Rechte

Zur Ausübung Ihrer Rechte haben Sie mehrere Möglichkeiten.

Geltendmachung beim Verantwortlichen
Sie können darüber hinaus sämtliche Rechte direkt bei uns geltend machen. Wenden Sie sich dann bitte an:

DB Fernverkehr AG
Europa-Allee 78-84
60486 Frankfurt

E-Mail: bahnid-support@deutschebahn.com
Stichwort: „Datenschutz BahnID“

8. Recht auf Beschwerde bei der Aufsichtsbehörde

Gemäß Art. 77 DSGVO haben Sie auch das Recht, eine Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde gemäß Art. 77 DSGVO einzureichen. Die zuständige Aufsichtsbehörde ist:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Gustav-Stresemann-Ring 1
65189 Wiesbaden

9. Sonstiges

Diese Datenschutzhinweise gelten für die Website und den Dienst „BahnID“ der DB Fernverkehr AG. Änderungen an unserer Website und Plattform oder gesetzliche Änderungen können es notwendig machen, diese Datenschutzhinweise anzupassen. Die aktuellen Datenschutzhinweise können jederzeit unter https://id.bahn.de/content/datenschutz abgerufen werden.