Datenschutzhinweise
Die Hessische Landesbahn GmbH behandelt Ihre personenbezogenen Daten vertraulich unter
Einhaltung der datenschutzrechtlichen Vorschriften. Unabhängig davon in welcher
Geschäftsbeziehung Sie mit uns stehe oder in welchem Kontext Sie mit uns in Kontakt treten,
möchten wir Ihnen nachfolgend erläutern wie wir Ihre Daten verarbeiten und für deren Schutz Sorge
tragen.
Wir bitten um Verständnis, aus Gründen der besseren Lesbarkeit auf geschlechtsbezeichnende
Ausdrucksweisen zu verzichten und männliche Personenbezeichnungen stellvertretend für alle
Geschlechter zu verwenden
1. Allgemeine Informationen zur Datenverarbeitung
1.1. Verantwortlicher für die Datenverarbeitung
Für die Datenverarbeitung verantwortliche Stelle ist die
Hessische Landesbahn GmbH
Erlenstraße 2
60325 Frankfurt am Main
Kontakt:
Telefon: 0800 44 33 700 (kostenfrei)
mail@hlb-online.de
1.2. Datenschutzbeauftragter
Uns ist wichtig, dass die Datenverarbeitung datenschutzrechtlich einwandfrei und sicher ist. Um dies
nachweislich auch nach außen zu dokumentieren, haben wir einen externen
Datenschutzbeauftragten benannt.
Datenschutzberatung Moers GmbH
Neue Straße 22
34369 Hofgeismar
Bei Fragen zum Datenschutz steht Ihnen unser Datenschutzbeauftragter unter hlb-online@dsb-
moers.de gerne zur Verfügung. Weitere Kontaktdaten finden Sie unter www.dsb-moers.de.
1.3. Zwecke und Rechtsgrundlagen der Datenverarbeitung
Zwecke der Datenverarbeitungen durch die HLB sind die Erbringung von Dienstleistungen, Erfüllung
von Verträgen, Erfüllung rechtlicher Verpflichtungen, Bereitstellung von Informationen über
Leistungen der HLB, Videoüberwachung in unseren Fahrzeugen sowie die Möglichkeit, mit uns in
Kontakt zu treten.
Im Übrigen werden personenbezogene Daten auf Basis einer der folgenden Rechtsgrundlagen
verarbeitet:
- Art. 6 Abs. 1 lit. a DSGVO für die Verarbeitung von personenbezogenen Daten mit
Einwilligung der betroffenen Person. - Art. 6 Abs. 1 lit. b DSGVO für die erforderliche Verarbeitung von personenbezogenen Daten
zur Erfüllung eines Vertrages mit der betroffenen Person sowie zur Durchführung
entsprechender vorvertraglicher Maßnahmen. - Art. 6 Abs. 1 lit. c DSGVO für die erforderliche Verarbeitung von personenbezogenen Daten
zur Erfüllung einer rechtlichen Verpflichtung, der wir gemäß allenfalls anwendbarem Recht
der EU oder gemäß allenfalls anwendbarem Recht eines Landes, in dem die DSGVO ganz oder
teilweise anwendbar ist, unterliegen. - Art. 6 Abs. 1 lit. f DSGVO für die erforderliche Verarbeitung von personenbezogenen Daten,
um die berechtigten Interessen von uns oder von Dritten zu wahren, sofern nicht die
Grundfreiheiten und Grundrechte sowie Interessen der betroffenen Person überwiegen.
Berechtigte Interessen unsererseits sind insbesondere unser betriebswirtschaftliches
Interesse, die Informationssicherheit auf unseren Webseiten und in unseren Systemen zu
gewährleisten, über unser Leistungsangebot zu informieren, für Sicherheit in unseren
Fahrzeugen zu sorgen und unsere rechtlichen Ansprüche sowie die Einhaltung weiterer
Rechtsvorschriften durchzusetzen.
1.4. Empfänger von Daten
1.4.1. Gemeinsame Verantwortung mit Unternehmen des Personennahverkehrs
Zur flächendeckenden Einführung eines elektronischen Fahrgeldmanagement (e-Tickets) werden
Daten von Fahrgästen im verbundweiten System der Unternehmen (vHGS) des Personennahverkehrs
gemeinsam verarbeitet.
Im Rahmen dieser Verarbeitung sind wir gemeinsame Verantwortliche nach Art. 26 DSGVO mit den
Unternehmen des Personennahverkehrs. Die gemeinsamen Prozesse betreffen insbesondere den
Betrieb und die Nutzung gemeinsam verwendeter Datenbanken, Plattformen und IT-Systeme. Hierzu
haben wir uns in einer Vereinbarung zur gemeinsamen Verantwortlichkeit festgelegt, wie die
jeweiligen Aufgaben und Zuständigkeiten bei der Verarbeitung personenbezogener Daten
ausgestaltet sind und wer welche datenschutzrechtlichen Verpflichtungen erfüllt. Wir haben
insbesondere festgelegt, wie ein angemessenes Sicherheitsniveau und Ihre Betroffenenrechte
sichergestellt werden können.
1.4.2. Externe Empfänger von Daten
Bei unseren Datenverarbeitungen setzen wir zur Verschwiegenheit und auf den Datenschutz
verpflichte Dienstleistungsunternehmen ein. Hierunter zählen insbesondere Firmen zur technischen
Unterstützung, zum Hosting von Servern, Wartung von Software, Betriebe des Personenverkehrs,
Inkassounternehmen sowie externe Beratungsunternehmen. Eine Weitergabe an Behörden erfolgt
ausschließlich bei Vorliegen vorrangiger Rechtsvorschriften. Eine Übermittlung von Daten in
Drittstaaten erfolgt nur bei Erfüllung der Voraussetzungen aus den Bestimmungen in Art. 44 ff.
DSGVO.
1.5. Speicherdauer und Löschung personenbezogener Daten
Wir verarbeiten personenbezogene Daten nur so lange wie für die Zweckerreichung erforderlich.
Entfällt der Verarbeitungszweck löschen wir die Daten gemäß den Vorschriften des Art. 17 DSGVO.
Nach Entfall des Verarbeitungszwecks bewahren wir die Daten entsprechend den gesetzlichen
Aufbewahrungsfristen auf. Eine darüber hinaus gehende Aufbewahrung erfolgt nur bei Vorliegen
einer Ausnahme nach Art. 17 Abs. 3 DSGVO.
1.6. Ihr Recht auf Auskunft, Berichtigung, Löschung, Widerspruch und Datenübertragbarkeit
Sie können jederzeit Ihr Recht auf Auskunft, Berichtigung und Löschung von Daten wahrnehmen.
Kontaktieren Sie uns einfach auf den oben beschriebenen Wegen. Sofern Sie eine Datenlöschung
wünschen, wir aber noch gesetzlich zur Aufbewahrung verpflichtet sind, wird der Zugriff auf Ihre
Daten eingeschränkt (gesperrt). Gleiches gilt bei einem Widerspruch. Ihr Recht auf
Datenübertragbarkeit können Sie wahrnehmen, soweit die technischen Möglichkeiten beim
Empfänger und bei uns zur Verfügung stehen.
Haben wir Ihre ausdrückliche Einwilligung für eine Datenverarbeitung eingeholt, können Sie Ihre
Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Hierzu stehen Ihnen die oben
beschriebenen Kontaktmöglichkeiten zur Verfügung.
1.7. Beschwerderecht
Sollten Sie sich hinsichtlich der Verarbeitung Ihrer Daten beschweren wollen, haben Sie stets die
Möglichkeit, uns direkt telefonisch 0800 44 33 700 oder per Mail an mail@hlb-online.de zu
kontaktieren. Alternativ stehen Ihnen der direkte Weg zu unserem Datenschutzbeauftragten über
hlb-online@dsb-moers.de oder die Möglichkeit, eine Beschwerde bei einer Datenschutz-
Aufsichtsbehörde einzureichen offen.
1.8. Bereitstellungspflicht
Ohne richtige Angaben von Ihnen ist die Inanspruchnahme unserer Dienstleistungen, die
Durchführung von vertraglichen Vereinbarungen oder die Bearbeitung Ihres Anliegens nicht möglich.
Daher kommt Ihnen die Pflicht zu, uns im Rahmen Ihrer Kenntnisse richtige Informationen
bereitzustellen.
1.9. Aktualität und Änderung dieser Datenschutzhinweise
Stand dieser Datenschutzhinweise ist der 18. September 2023. Die Datenschutzhinweise werden
regelmäßig überprüft und weiterentwickelt. Die aktuelle Version unserer Datenschutzinformationen
ist abrufbar unter: https://www.hlb-online.de/datenschutz.
2. Datenschutzinformationen für Besucher unserer Webseiten
Zwecke der Datenverarbeitung auf unseren Webseiten sind die Information über Leistungen unseres
Unternehmens, verbunden mit der Möglichkeit für Sie, einen Service nachzufragen und dazu
zielgerichtet mit den Ansprechpartnern im Haus Kontakt aufnehmen zu können.
Bei Ihrem Besuch der Webseiten wird eine Verbindung mit Ihrem Browser hergestellt. Diese
nachstehenden dabei erhobenen Informationen werden temporär Systemdateien abgelegt und
automatisch erfasst: IP-Adresse Ihres Geräts, Datum und Uhrzeit des Zugriffs, Name und URL von
abgerufenen Dateien, Webseite, von welcher der Zugriff erfolgt bzw. von welcher Sie auf unsere
Seite geleitet wurden (Referrer-URL), verwendeter Browser und ggf. das Betriebssystem Ihres Geräts
sowie der Name Ihres Providers.
Die genannten Daten werden durch uns zu Zwecken des reibungslosen Verbindungsaufbaus und der
Systemsicherheit verarbeitet. Die anfallenden Verbindungsdaten werden automatisch gelöscht.
Sofern die Webseiten missbräuchlich genutzt werden, werden Log-Daten, deren weitere
Aufbewahrung zu Beweiszwecken erforderlich ist, bis zur Klärung des Vorfalls aufgehoben.
2.1. Cookies
Diese Webseite verwendet Speichertechnologien („Cookies“ und/oder Speicher Ihres Browsers), um
eine Speicherung der Benutzung der Webseite durch Sie zu ermöglichen. Sofern ein Einsatz von
Cookies für die Funktionalität der Webseiten nötig ist, setzen wir Cookies auf Basis unserer
berechtigten Interessen ein. Die Rechtsgrundlage für die Datenverarbeitung ist dann Art. 6 Abs. 1 lit.
f DSGVO (berechtigte Interessen) in Verbindung mit § 25 Abs. 2 Nr. 2 TTDSG. Die Cookies werden
nach Ende der Session gelöscht. Sie können die Installation der Cookies durch eine entsprechende
Einstellung Ihrer Browser Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem
Fall gegebenenfalls nicht sämtliche Funktionen der Webseiten vollumfänglich nutzen können. Die
Datenerhebung erfolgt anonymisiert; die erhobenen Daten sind nicht auf Ihre Person beziehbar.
Sofern ein Einsatz von nicht für den Betrieb der Webseiten nötigen Cookies erfolgt, bitten wir vorab
um Ihre Einwilligung; Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 lit. a DSGVO in
Verbindung mit § 25 Abs. 1 TTDSG (Einwilligung). Die Cookies werden spätestens nach zwei Jahren
gelöscht.
2.2. Kontaktformular
Wenn Sie uns über unser Kontaktformular anschreiben, werden Ihre Daten aus dem Formular zur
Bearbeitung Ihres Anliegens verarbeitet. Rechtsgrundlage für die Übermittlung an uns ist eine
Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Sie können Ihre Einwilligung jederzeit mit Wirkung für die
Zukunft widerrufen. Die Daten werden dann gelöscht. Sofern aus Ihrer Anfrage keine
Aufbewahrungspflicht entsteht (z.B. bei einer Bestellung), werden die Daten nach Ablauf von drei
Jahren gelöscht. Ihre Daten werden intern an den zuständigen Ansprechpartner zur Bearbeitung
Ihres Anliegens weitergeleitet. Eine Weitergabe an Dritte erfolgt nicht ohne Ihre Freigabe.
2.3. Einsatz von Google Analytics
Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Ireland Ltd., Gordon
House, Barrow Street, Dublin 4, Irland („Google“). Rechtsgrundlage für diese Verarbeitung ist Ihre
Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO.
Google Analytics verwendet zudem „Cookies“, Textdateien, die auf Ihrem Endgerät gespeichert
werden und die eine Analyse der Benutzung der Website ermöglichen. Dabei ist nicht
ausgeschlossen, dass die durch das Cookie erzeugten Informationen über Ihre Benutzung dieser
Website an einen Server von Google in den USA übertragen und dort gespeichert werden. Eine
Datenübertragung in die USA erfolgt nur, wenn die Anforderungen der Art. 44 ff. DSGVO erfüllt sind.
Die Übermittlung personenbezogener Daten in die USA wurde durch das EU-U.S. Data Privacy
Framework als zulässig erklärt. Google Inc. beteiligt sich an diesem Framework. Die im Rahmen von
Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von
Google zusammengeführt. Die Nutzerdaten werden spätestens nach 24 Monaten gelöscht.
Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, und die Nutzung von
Daten durch Google verhindern, indem Sie das verfügbare Browser-Plugin herunterladen und
aktivieren: http://tools.google.com/dlpage/gaoptout?hl=de.
Sie können darüber hinaus die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer
Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall
gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können.
Weitere Informationen zum Datenschutz bei Google finden Sie unter
https://policies.google.com/privacy.
2.4. Datensicherheit/ Verschlüsselung
Unsere Webseiten nutzen „Hypertext Transfer Protocol Secure“ (https). Die Verbindung zwischen
Ihrem Browser und unserem Server erfolgt verschlüsselt.
3. Datenschutzinformationen im Kundenverhältnis
Zweck der Datenverarbeitung ist die regelmäßige Vertragsdurchführung auf Basis Art. 6 Abs. 1 lit. b.
DSGVO in Verbindung mit unseren Beförderungsbedingungen. Unsere Beförderungsbedingungen
finden Sie unter https://www.hlb-online.de/service/befoerderungsbedingungen.
3.1. eTicket System
Im Rahmen des eTicket RheinMain betreibt die HLB in gemeinsamer Verantwortung mit allen
teilnehmenden Verkehrsunternehmen und von Verkehrsunternehmen eingesetzten
Vertriebsdienstleistern (nachstehend alle gemeinsam „Kundenvertragspartner“ genannt) sowie dem
Rhein-Main-Verkehrsverbund GmbH (RMV) eine Datenbank, das „verbundweite Hintergrundsystem“
(vHGS), zur Verwaltung und Abwicklung des eTicket RheinMain.
Die jeweiligen Kundenvertragspartner erheben und verarbeiten im Rahmen Ihres verantworteten
Wirkungsbereiches eigenverantwortlich Kundendaten. Der RMV ist für den technischen und
fachlichen Betrieb des vHGS verantwortlich und ist berechtigt, sich weiterer Unternehmen (Auftragsverarbeiter) zu bedienen, die ihn beim fachlichen und technischen Betrieb der Datenbank unterstützen, beispielsweise auch für die Erstellung und den Versand der eTickets und Papierfahrkarten.
Die gemeinsame Verantwortung bei der Datenverarbeitung, insbesondere die Zuständigkeiten und
Verantwortlichkeiten der Beteiligten, sind gemäß Art. 26 DSGVO (Joint Controllership) schriftlich
vereinbart. Die wesentlichen Inhalte dieser Vereinbarung und eine aktuelle Liste der am vHGS
beteiligten Kundenvertragspartner wird unter www.rmv.de/vhgs-joint-controllership zur Verfügung
gestellt.
Folgende Empfänger sind an der betrieblichen Abwicklung beteiligt:
• Rhein-Main-Verkehrsverbund GmbH – Technischer Betreiber des vHGS als wesentlicher
Bestandteil des eTicket RheinMain. Betreiber des Kundenportals meinRMV (Nach
freiwilliger Registrierung des eTicket RheinMain auf rmv.de über meinRMV können
Kunden ihre Daten direkt online verwalten.)
• Rhein-Main-Verkehrsverbund Servicegesellschaft (rms GmbH) – Vom Auftragsverarbeiter
des RMV für den fachlichen und technischen Betrieb des vHGS
• Cubic Transportation Systems (Deutschland) GmbH – Auftragsverarbeiter der rms GmbH
für das Hosting und den technischen Betrieb des vHGS
• IDENTA Ausweissysteme GmbH – Vom RMV eingeschalteter Auftragsverarbeiter für sog.
„Massenpersonalisierung“ (d. h. Erstellung und Versand von Chipkarten und
Papiertickets)
• Am vHGS beteiligte Kundenvertragspartner, die über das vHGS Fahrkarten vertreiben
und untereinander den jeweiligen Kunden gegenüber bestimmte Serviceleistungen
erbringen (z. B. Änderungen der Adresse oder der räumlichen Gültigkeit). Eine aktuelle
Liste jener Kundenvertragspartner kann bei Bedarf unter www.rmv.de/vhgs-joint-
controllership eingesehen werden
• Wirtschaftsauskunfteien, die vom Kundenvertragspartner zur Prüfung der Bonität des
Kunden eingeschaltet werden können
• Inkassounternehmen, die bei Zahlungsausfall des Kunden eingeschaltet werden können.
Mit allen Auftragsverarbeitern wurden gemäß Art. 28 DSGVO Auftragsverarbeitungsverträge
abgeschossen. Eine Datenübermittlung in Drittstaaten gemäß Artikel 45 – 49 DSGVO findet nicht
statt.
Die Datenverarbeitung ist für die Erfüllung eines Abonnementvertrages mit dem Besteller sowie, falls
abweichend, mit dem Kontoinhaber und die spätere Nutzung der Fahrkarte durch den Besteller bzw.
Nutzer zum Nachweis einer gültigen Fahrtberechtigung bei Nutzung der Verbundverkehrsmittel
erforderlich. Die Rechtsgrundlage hierfür ist die Vertragserfüllung gem. Art. 6 Abs. 1 lit. b DSGVO. Die
Verarbeitung der Daten erfolgt zum Zweck der Verwaltung, der Pflege und des Vertriebs
elektronischer Fahrscheine auf Chipkarten (eTicket RheinMain) sowie von Papierfahrkarten über das
verbundweite Hintergrundsystem (vHGS).
Die Datenverarbeitung umfasst:
- die Erstellung und Bereitstellung eines Datensatzes für die Ausgabe der Fahrkarte oder für
die Ausgabe eines Berechtigungsnachweises auf einer Chipkarte über ein Schreib-/Lesegerät
(Akzeptanzterminal), - die Erstellung und Bereitstellung eines Datensatzes für den Druck der Fahrkarte in
Papierform, - die Ausstellung und Übersendung der Fahrkarte und weiterer Vertragsinformationen,
- die Korrektur der bereits zuvor übermittelten personenbezogenen Daten wegen Änderung
der Kontaktdaten oder vergleichbarer Gründe, - die Bearbeitung von Kunden- und Interessentenanfragen,
- die Abwicklung der Bezahlung der Fahrkarte,
- die Kontrolle der Fahrkarte,
- die Überprüfung von Missbrauch, wie bspw. Manipulationen, Duplikate oder
Doppelanmeldungen mit einer Chipkarte, - soweit datenschutzrechtlich zulässig, die Bewerbung von Produkten und Marketingaktionen,
u. a. Bonusprogramm RMV-Smiles sowie Customer Relationship Management (CRM)- und E-
Mail-Marketing und - zusätzliche Kundenservices im Rahmen der Registrierung des Endkunden im RMV-
Kundenportal meinRMV, bspw. durch Anmeldung und Nutzung von meinRMV-Diensten, u. a.
„RMV-TicketShop und Chipkarte eTicket RheinMain verwalten“.
Nach Registrierung der Chipkarte in meinRMV wird der Datenzugriff von meinRMV auf das vHGS
ermöglicht. Registrierte meinRMV-Kunden können in der Folge ihre auf der Chipkarte gespeicherten
Fahrtberechtigungen sowie dazugehörige Rechnungen in meinRMV einsehen.
Auf der Chipkarte werden darüber hinaus die letzten 10 Transaktionen gespeichert. Unter einer
Transaktion wird der Vorgang des Datenaustauschs zwischen Chipkarte, Akzeptanzterminal und
Hintergrundsystem verstanden, der beispielsweise während der Kontrolle der Fahrkarte entsteht.
Dabei handelt es sich um die Zeit, den Ort und die Art der Transaktion sowie die Terminalnummer
und die Ticket-/Produktnummer.
Die aktuell auf der Chipkarte gespeicherten Transaktionen sind ausschließlich dort gespeichert und
können bei den RMV-Mobilitätszentralen eingesehen und auf Wunsch gelöscht werden. Zusätzlich
sendet bei einer Kontrolle der Fahrkarte das Kontrollgerät einen Kontrolldatensatz zum eTicket-
Hintergrundsystem des RMV. Damit erfolgt eine Missbrauchsüberprüfung.
Die personenbezogenen Daten werden routinemäßig gelöscht, wenn sie nicht mehr zur
Vertragserfüllung notwendig sind (Art. 17 Abs. 1 lit. a DSGVO) und auch nicht mehr den gesetzlichen
(insb. steuerrechtlichen) Aufbewahrungsfristen unterfallen (Art. 17 Abs. 1 lit. e DSGVO).
Die im Zusammenhang mit dem eTicket RheinMain entstehenden Nutzungsdaten werden sechs
Monate nach erfolgreichem Zahlungseingang der Transaktionen im vHGS gelöscht, können aber nach
vorheriger Pseudonymisierung vom RMV für verkehrliche Zwecke (z. B. zur Bewertung der
Nachfrageentwicklung auf bestimmten Verbindungen) ausgewertet werden. Zur
Missbrauchsüberprüfung an das Hintergrundsystem übermittelte Kontrolldatensätze werden
spätestens 14 Tage nach Erhebung aus dem Hintergrundsystem gelöscht.
Auswertungen und Missbrauchsprüfungen erfolgen gemäß berechtigter Interessen nach Art. 6 lit. f
DSGVO. Eine automatische Entscheidungsfindung inklusive Profiling gemäß Artikel 22 DSGVO findet
nicht statt.
Die Bereitstellung der Daten ist für Abschluss und Abwicklung von personalisierten Fahrkarten sowie
die Nutzung des eTickets oder von papierbasierten Fahrkarten erforderlich. Ohne die Bereitstellung
der Daten ist der Abschluss von Verträgen für personalisierte Fahrkarten nicht möglich. Alternativ
besteht bei Barzahlung im Voraus die Möglichkeit des Erwerbs einer nicht personalisierten,
übertragbaren und anonym nutzbaren Fahrkarte.
3.2. Zahlungsabwicklung
Zahlungsinformationen werden auf Basis von Art. 6 Abs. 1 lit. b DSGVO zur Vertragserfüllung
verarbeitet. Sofern bei Kauf einer Fahrkarte Personendaten erfasst werden, handelt es sich um
Personenstammdaten, Abrechnungs- und Leistungsdaten sowie Bankverbindungsdaten.
3.3. EBE Fahrpreisnacherhebung
Zweck der Datenverarbeitung zur Erhebung eines erhöhten Beförderungsentgeltes ist, die Sicherheit
der Fahrgeldeinnahmen zu gewährleisten. Die Daten werden auf Basis von Art. 6 Abs. 1 lit. b DSGVO
verarbeitet sowie auf Basis von § 12 EVO. Es werden folgende Datenkategorien verarbeitet: Name,
Adressdaten, Geburtsdatum und Geburtsort, Geschlecht, Zahlungsdaten, Datumsangaben
Zeitangaben und Angaben zum Fahrgastverhalten im Rahmen des Verstoßes gegen die
Beförderungsbedingungen. An der Datenverarbeitung beteiligt ist ein Inkasso Unternehmen, welches
uns bei Durchführung der Fahrpreisnacherhebung unterstützt.
Erfasste Daten können im Rahmen des berechtigten Interesses zur Verhinderung von Betrug gem.
Art. 6 Abs. 1 lif. f DSGVO an folgende Personengruppen weitergegeben werden: Anwälte, Gerichte,Polizeibehörden, Finanzbehörden, Gutachter, Versicherungen, Steuer- und Wirtschaftsprüfer und sonstige Auskunftsberechtigte, die ein berechtigtes Interesse nachweisen.
3.4. Fundsachen
Sofern Sie als Fahrgast in unseren Fahrzeugen einen Gegenstand verloren haben, haben Sie die
Möglichkeit uns über den Verlust über unser Kontaktformular für Fundsachen über https://www.hlb-
online.de/service/fundsachen zu informieren. Die von Ihnen im Kontaktformular eingegebenen
Daten sind erforderlich, um zu prüfen, ob Ihr verlorener Gegenstand gefunden und bei uns
abgegeben wurde und werden auf Basis Ihrer Einwilligung an uns übermittelt.
Zweck der Verarbeitung ist die Dokumentation von Fundsachen und deren Übergabe an den
nachgewiesenen Besitzer. Die erhobenen Daten umfassen produktspezifische Angaben bzw.
personenbezogene Daten, die einer Identifikation des Nutzers dienen. Die Datenverarbeitung findet
auf Basis von Art. 6 Abs. 1 lit. c DSGVO, § 965 Abs. 2 BGB statt.
3.5. Datenschutzinformationen für Nutzer der Rufbusbestellung (AST)
Im Rahmen des Linienangebots setzt die HLB Hessenbus GmbH auch sog. Rufbusse ein. Der Fahrgast
muss in diesen Fällen seinen Fahrtwunsch bei unserem Dienstleister (RMS GmbH) mit Namen und E-
Mail-Adresse anmelden und erhält daraufhin eine Buchungsbestätigung per E-Mail zugesandt. Die
Buchungsbestätigung fungiert als Nachweis gegenüber dem Fahrer und schränkt die
Missbrauchsmöglichkeiten ein. Die Angabe der E-Mail-Adresse ist nicht verpflichtend. Sofern eine E-
Mail-Adresse nicht angegeben wird, wird die Fahrt als „anonym“ im System aufgenommen.
Zweck der Datenverarbeitung ist die Bereitstellung des Dienstes der Rufbusbestellung im Rahmen
des Linienangebots der HLB Hessenbus GmbH und die damit zusammenhängende Kontrolle des
Buchungsnachweises auf Basis des Art. 6 Abs. 1 lit. b DSGVO.
4. Datenschutzinformationen zur Videoüberwachung in den Fahrzeugen
Die Videoüberwachung erfolgt zum Zweck der Prävention und Aufklärung strafrechtlich relevanten
Verhaltens, der Vandalismus-Prävention und der Ausübung des Hausrechts. Die Rechtsgrundlage der
Datenverarbeitung ist das berechtigte Interesse gem. Art. 6 Abs. 1 lit. f DSGVO. Die verfolgten,
berechtigten Interessen sind der Schutz der körperlichen Unversehrtheit von Kunden und Personal
sowie der Schutz des Eigentums.
Die Videoaufzeichnungen werden spätestens nach 98 Stunden überschrieben, wenn kein Anlass für
eine weitere Speicherung oder Übermittlung an Strafverfolgungsbehörden oder Versicherungen
gegeben ist.
5. Datenschutzinformationen für unsere Geschäftspartner und Dritte
Zweck der Datenverarbeitung ist die Vertragsanbahnung und Vertragsdurchführung auf Basis Art. 6
Abs. 1 lit. b DSGVO und unser berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO zur
Aufrechterhaltung unserer Geschäftsbeziehungen. Unter anderem werden zur Abwicklung unserer
Geschäftsvorgänge Kontaktdaten von Ansprechpartnern unserer Geschäftspartner verarbeitet.
Weiterhin werden die Daten zur Bonitätsprüfung, Planung, Steuerung, Kontrolle der
Unternehmensbereiche und Qualitätsstandards, zur Abrechnung, zu Verkaufszwecken und zur Pflege
der Geschäftsbeziehungen verarbeitet.
6. Datenschutzinformationen für Nutzer des Presseverteilers
Zweck der Datenverarbeitung ist die Nutzung der über das Kontaktformular angegebenen Daten zur
Pressearbeit der HLB. Die Rechtsgrundlage der Verarbeitung ist Art. 6 Abs. 1 lit. a DSGVO, welche sich
auf die Einwilligung, welche im Zuge der Anmeldung des Formulars erteilt wurde bezieht.
Die Einwilligung kann nach Punkt 1.6 jederzeit widerrufen werden.
7. Datenschutzinformationen für Social Media
7.1. Zu unserem Xing Auftritt
Zweck der Datenverarbeitung unseres Xing-Auftritts ist die Information über die Tätigkeiten und
Stellenanzeigen der HLB, verbunden mit der Möglichkeit der Besucher, zielgerichtet mit uns in
Interaktion zu treten. Rechtsgrundlage für die Datenverarbeitung ist unser berechtigtes Interesse auf
Basis von Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse ist insbesondere unser
betriebswirtschaftliches Interesse, Informationen zu unserem Unternehmen mit Kunden,
Interessenten, Bewerbern und Dritten zu teilen und mit diesen kommunizieren zu können.
Sofern wir Bild- und Tonaufnahmen von Personen veröffentlichen, erfolgt dies auf Basis einer
Einwilligung (Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO) oder auf Basis einer vertraglichen
Nutzungsrechteabtretung (Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO).
Wir verarbeiten über unseren XING-Account selbst personenbezogene Daten, gleichzeitig findet eine
Datenverarbeitung durch New Work SE statt. Bei der Kommentierungsfunktion erfolgt die
Rechtsgrundlage per Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO.
Ihre Daten werden für die Dauer der Bearbeitung Ihres Anliegens gespeichert; in der Regel erfolgt
eine Weiterleitung in die hierfür vorgesehenen Kanäle außerhalb von XING. Die Daten werden
regelmäßig in XING durch unser Social Media Team geprüft und gelöscht, wenn der Zweck entfallen
ist.
Datenverarbeitung durch XING
Bei Besuch unseres Xing-Auftritts werden von XING über den Einsatz von Cookies personenbezogene
Daten der Nutzer erhoben. Eine solche Datenerhebung durch XING kann auch bei Besuchern
erfolgen, die nicht bei XING eingeloggt oder registriert sind.
Angaben darüber, welche Daten durch New Work SE verarbeitet, und zu welchen Zwecken genutzt
werden, finden Sie im Datenschutzhinweis von XING:
https://privacy.XING.com/de/datenschutzerklaerung
Weiterhin haben Sie die Möglichkeit, über das XING-Datenschutzformular oder die
Archivanforderungen Informationen anzufordern: www.XING.com/settings/privacy/data/disclosure
Es ist nicht ausgeschlossen, dass Daten von den Nutzern auf Systeme außerhalb der Europäischen
Union verarbeitet werden. XING hat sich verpflichtet, die Datenschutzstandards der EU einzuhalten.
Eine Datenübertragung auf Systeme außerhalb der EU findet nur statt, wenn die Anforderungen der
Art. 44 ff. DSGVO eingehalten werden. Mehr dazu finden Sie unter:
https://privacy.XING.com/de/datenschutzerklaerung/wer-erhaelt-daten-zu-ihrer-person/drittlaender
Eine Weitergabe Ihrer Daten an Behörden erfolgt ausschließlich bei Vorliegen vorrangiger
Rechtsvorschriften.
Sofern Ihre Rechte gegenüber XING geltend gemacht werden müssen, werden wir Ihr Anliegen an
XING weiterleiten. Weitere Informationen auf welche Art und Weise Sie direkt gegenüber XING Ihre
Betroffenenrechte geltend machen bzw. umsetzen können, erhalten Sie unter:
https://privacy.XING.com/de/datenschutzerklaerung/welche-rechte-koennen-sie-geltend-machen
Nutzung Ihrer Daten von uns
Wir erhalten aufgrund unseres Vertrags mit der New Work SE sowie berechtigten Interesses der New
Work SE anonyme Statistiken zur Verwendung und Nutzung der Webseite. Folgende Informationen
werden bereitgestellt:
- Follower: Anzahl an Personen, die uns folgen – inklusive Zuwächse und Entwicklung über
einen definierten Zeitrahmen. - Reichweite: Anzahl an Personen, die einen spezifischen Beitrag sehen. Anzahl der
Interaktionen auf einen Beitrag. Daraus lässt sich zum Beispiel ableiten, welcher Inhalt in der
Community besser ankommt als andere. - Anzeigenperformance: zeigt, wie viele Personen mit einem Beitrag bzw. einer bezahlten
Anzeige erreicht oder hiermit interagiert haben.
Diese Statistiken, aus denen wir keinen Rückschluss auf individuelle Nutzer ziehen können, nutzen
wir dazu, um unser Online-Angebot auf XING ständig zu verbessern und auf die Interessen unsere
Nutzer besser einzugehen. Wir können die statistischen Daten nicht mit den Profildaten unserer Fans
verknüpfen. Sie können über Ihre XING-Einstellungen darüber entscheiden, in welcher Form Ihnen
zielgerichtete Werbung angezeigt wird.
Wir erhalten über XING personenbezogenen Daten, wenn Sie uns diese aktiv über eine persönliche
Nachricht auf XING mitteilen (z. B. über eine mögliche Chatfunktion). Wir nutzen Ihre Daten (z.B.
Vorname, Name) zur Beantwortung Ihres Anliegens in unserer Kundenbetreuung. Wir erhalten über
XING auch personenbezogene Daten, wenn Sie zur Übermittlung der Daten an uns ein Formular mit
vorab ausgefüllten Feldern mit Daten aus Ihrem Profil verwenden und die Daten mit Klick auf einen
Button aktiv an uns senden.
7.2. Zu unserem YouTube Auftritt
Wir verwenden YouTube, einen Dienst der Google Ireland Ltd., Gordon House, 4 Barrow St, Dublin,
Irland, für das Einbetten von Videos. Rechtsgrundlage für die Datenverarbeitung ist Ihre Einwilligung
nach Art. 6 Abs. 1 lit. a DSGVO.
Dabei ist nicht ausgeschlossen, dass diese Informationen an einen Server von Google in den USA
übertragen werden. Die Übermittlung personenbezogener Daten in die USA wurde durch den EuGH
ohne weitere Sicherheitsmaßnahmen als grundsätzlich unsicher beurteilt, da nicht auszuschließen ist,
dass US-amerikanische Sicherheitsbehörden auf diese Daten Zugriff erhalten. Eine Datenübertragung
in die USA erfolgt nur, wenn die Anforderungen der Artt. 44 ff. DSGVO erfüllt sind. Bei Nutzung des
Dienstes gelten die Nutzungsbestimmungen von YouTube
(https://www.youtube.com/static?gl=DE&template=terms&hl=de).
Informationen zum Datenschutz bei der Nutzung dieses Dienstes finden Sie in der ausführlichen Datenschutzerklärung von Google
(https://www.google.com/policies/privacy).
7.3. Zu unserem LinkedIn Auftritt
Zur Information über unser Unternehmen, unsere Produkte und Leistungen, verbunden mit der
Möglichkeit der Nutzer, zielgerichtet mit uns in Interaktion zu treten, nutzen wir unseren LinkedIn-
Auftritt. Rechtsgrundlage für die Datenverarbeitung ist unser berechtigtes Interesse auf Basis von
Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse ist insbesondere unser
betriebswirtschaftliches Interesse, Informationen zu unserem Unternehmen mit Kunden,
Interessenten, Bewerbern und Dritten zu teilen und mit diesen Kontakt aufnehmen zu können.
Sofern wir Bild- und Tonaufnahmen von Personen veröffentlichen, erfolgt dies auf Basis einer
Einwilligung (Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO) oder auf Basis einer vertraglichen
Nutzungsrechteabtretung (Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO).
Zwischen uns und der LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland besteht
eine Vereinbarung zur Auftragsverarbeitung, die hier abrufbar ist: https://legal.linkedin.com/dpa/DE.
Es ist nicht ausgeschlossen, dass Daten von den Nutzern auf Systemen außerhalb der Europäischen
Union verarbeitet werden. LinkedIn hat sich verpflichtet, die Datenschutzstandards der EU
einzuhalten. Eine Datenübertragung auf Systeme außerhalb der EU findet nur statt, wenn die
Anforderungen der Art. 44 ff. DSGVO eingehalten werden. Mehr dazu finden Sie unter:
https://www.linkedin.com/help/linkedin/answer/62533?trk=microsites-frontend_legal_privacy-
policy&lang=de
Die Datenschutzrichtlinie von LinkedIn finden Sie hier: https://www.linkedin.com/legal/privacy-
policy?trk=homepage-basic_footer-privacy-policy.
Eine Weitergabe Ihrer Daten an Behörden erfolgt ausschließlich bei Vorliegen vorrangiger
Rechtsvorschriften.
Sofern Ihre Rechte gegenüber LinkedIn geltend gemacht werden müssen, werden wir Ihr Anliegen an
LinkedIn weiterleiten. Weitere Informationen bezüglich der Wahrnehmung Ihrer Betroffenenrechte
gegenüber LinkedIn erhalten sie in der Datenschutzrichtlinie von LinkedIn:
https://www.linkedin.com/legal/privacy-policy?trk=homepage-basic_footer-privacy-policy.
Weitere Informationen auf welche Art und Weise Sie direkt gegenüber LinkedIn Ihre
Betroffenenrechte geltend machen bzw. umsetzen können (z.B. Kontoeinstellungen, Downloads oder
Anträge) erhalten Sie unter: https://www.linkedin.com/help/linkedin/answer/50191?trk=microsites-
frontend_legal_privacy-policy&lang=de.
Nutzung von Insight-Daten
Wir schalten Werbung auf LinkedIn und nutzen von LinkedIn zur Verfügung gestellte Insight-Daten,
um das Verhalten unserer Zielgruppe bzw. Nutzern im Rahmen der Interaktion mit unserer Seite
auszuwerten. Die zielgruppengenaue Steuerung von Werbung ist ein berechtigtes Interesse unseres
Unternehmens. Die Nutzer von LinkedIn sind hierüber informiert; die Verantwortung für die
Datenerhebung liegt in erster Linie bei LinkedIn. Eine Vereinbarung zur gemeinsamen Verantwortung
mit LinkedIn ist abgeschlossen. Gegenläufige schutzwürdige Interessen der Nutzer (Anzeige von
individueller zielgruppenoptimierter Werbung) sind nicht überwiegend.
Rechtsgrundlage für uns ist Art. 6 Abs. 1 lit. f DSGVO in Verbindung mit der gemeinsamen Verantwortung mit LinkedIn.
Die Vereinbarung zur gemeinsamen Verantwortung finden Sie hier: https://legal.linkedin.com/pages-
joint-controller-addendum. Sofern Sie Ihre Betroffenenrechte gegenüber uns geltend machen,
werden wir sie entsprechend der Vereinbarung an LinkedIn weiterleiten.
7.4. Zu unserem Instagram Auftritt
Zweck der Datenverarbeitung auf unserem Instagram-Auftritt ist die Information über unsere
Produkte und Leistungen, verbunden mit der Möglichkeit der Nutzer, zielgerichtet mit uns in
Interaktion zu treten. Rechtsgrundlage für die Datenverarbeitung ist unser berechtigtes Interesse auf
Basis von Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse ist insbesondere unser
betriebswirtschaftliches Interesse, Informationen zu unserem Unternehmen mit Kunden,
Interessenten, Bewerbern und Dritten zu teilen und mit diesen Kontakt aufnehmen zu können.
Instagram ist ein Dienst, der von Meta Platforms Ireland Ltd. zur Verfügung gestellt wird. Mit Meta
Platform Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Ireland) ist eine
Vereinbarung zur Gemeinsamen Verantwortung geschlossen worden, die Sie hier abrufen können:
https://www.facebook.com/legal/terms/dataprocessing
https://www.facebook.com/legal/terms/page_controller_addendum
Meta Platform Ireland Ltd. übernimmt die primäre Verantwortung gemäß EU-
Datenschutzgrundverordnung (DSGVO).
Die Datenschutzrichtlinie von Instagram finden Sie hier:
https://help.instagram.com/155833707900388/?helpref=hc_fnav&bc[0]=Instagram-
Hilfe&bc[1]=Datenschutz%20und%20Sicherheitsbereich
Es ist nicht ausgeschlossen, dass Daten von den Nutzern auf Systemen außerhalb der Europäischen
Union verarbeitet werden. Eine Datenübertragung in die Drittländer erfolgt nur, wenn die
Anforderungen der Artt. 44 ff. DSGVO erfüllt sind.
Zum Betrieb der Fanpage werden wir durch gesondert zur Verschwiegenheit und auf den
Datenschutzverpflichte Dienstleistungsunternehmen unterstützt. Eine Weitergabe an Behörden
erfolgt ausschließlich bei Vorliegen vorrangiger Rechtsvorschriften.
Sofern wir Bild- und Tonaufnahmen von Personen veröffentlichen, erfolgt dies auf Basis einer
Einwilligung (Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO) oder auf Basis einer vertraglichen
Nutzungsrechteabtretung (Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO).
Sofern Ihre Rechte gegenüber Meta Platforms Ireland Ltd. geltend gemacht werden müssen, werden
wir Ihr Anliegen an Meta Platform Ireland Ltd. weiterleiten.
Nutzung von Instagram-Insights
Wir schalten Werbung auf Instagram und nutzen Instagram-Insights, um das Verhalten unserer
Zielgruppe im Rahmen der Interaktion mit unserer Seite auszuwerten. Die zielgruppengenaue
Steuerung von Werbung ist ein berechtigtes Interesse unseres Unternehmens. Die Nutzer von
Instagram sind hierüber informiert; die Verantwortung für die Datenerhebung liegt in erster Linie bei
Meta Platform Ireland Ltd.. Gegenläufige schutzwürdige Interessen der Nutzer (Anzeige von
individueller zielgruppenoptimierter Werbung) sind nicht überwiegend. Rechtsgrundlage für uns ist
Art. 6 Abs. 1 lit. f DSGVO.
7.5. Zu unserem Facebook Auftritt
Zweck der Datenverarbeitung auf unserer Fanpage ist die Information über unsere Produkte und
Leistungen, verbunden mit der Möglichkeit der Nutzer, zielgerichtet mit uns in Interaktion zu treten.
Rechtsgrundlage für die Datenverarbeitung ist unser berechtigtes Interesse auf Basis von Art. 6 Abs.
1 lit. f DSGVO. Unser berechtigtes Interesse ist insbesondere unser betriebswirtschaftliches Interesse,
Informationen zu unserem Unternehmen mit Kunden, Interessenten, Bewerbern und Dritten zu
teilen und mit diesen Kontakt aufnehmen zu können.
Mit Meta Platforms Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Ireland) ist
eine Vereinbarung zur Gemeinsamen Verantwortung abgeschlossen worden, die Sie hier abrufen
können:
https://www.facebook.com/legal/terms/dataprocessing
https://www.facebook.com/legal/terms/page_controller_addendum
Meta Platforms Ireland Ltd. übernimmt die primäre Verantwortung gemäß EU-
Datenschutzgrundverordnung (DSGVO).
Die Datenrichtlinie von Meta Platforms Ireland Ltd. finden Sie hier:
https://www.facebook.com/privacy/explanation
Zum Betrieb der Fanpage werden wir durch gesondert zur Verschwiegenheit und auf den
Datenschutzverpflichte Dienstleistungsunternehmen unterstützt. Eine Weitergabe an Behörden
erfolgt ausschließlich bei Vorliegen vorrangiger Rechtsvorschriften. Es ist nicht ausgeschlossen, dass
Daten von den Nutzern auf Systemen außerhalb der Europäischen Union verarbeitet werden. Eine
Datenübertragung in Drittländer erfolgt nur, wenn die Anforderungen der Artt. 44 ff. DSGVO erfüllt
sind.
Sofern wir Bild- und Tonaufnahmen von Personen veröffentlichen, erfolgt dies auf Basis einer
Einwilligung (Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO) oder auf Basis einer vertraglichen
Nutzungsrechteabtretung (Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO).
Sofern Ihre Rechte gegenüber Meta Platforms Ireland Ltd. geltend gemacht werden müssen, werden
wir Ihr Anliegen an Meta Platforms Ireland Ltd. weiterleiten.
Nutzung von Facebook-Insights
Wir schalten Werbung auf Facebook und nutzen Facebook-Insights, um das Verhalten unserer
Zielgruppe im Rahmen der Interaktion mit unserer Seite auszuwerten. Die zielgruppengenaue
Steuerung von Werbung ist ein berechtigtes Interesse unseres Unternehmens. Die Nutzer von
Facebook-Insights sind hierüber informiert; die Verantwortung für die Datenerhebung liegt in erster
Linie bei Meta Platforms Ireland Ltd.. Gegenläufige schutzwürdige Interessen der Nutzer (Anzeige
von individueller zielgruppenoptimierter Werbung) sind nicht überwiegend. Rechtsgrundlage für uns
ist Art. 6 Abs. 1 lit. f DSGVO.
8. Datenschutzinformationen im Bewerbungsverfahren
8.1. Datenverarbeitung von Bewerbungsdaten
Wenn Sie sich bei uns bewerben, verarbeiten wir Ihre Daten im Rahmen der Anbahnung eines
Beschäftigungsverhältnisses auf Basis von § 26 BDSG. Eine Datenweitergabe an ein
Tochterunternehmen erfolgt ggf. aufgrund der Übernahme des Bewerbermanagements für dieses.
Zur Durchführung des Bewerbermanagements Nutzen wir eine Software, mit deren Anbieter wir
einen Vertrag zur Auftragsverarbeitung geschlossen haben.
Eine Weitergabe an Behörden erfolgt ausschließlich bei Vorliegen vorrangiger Rechtsvorschriften.
8.2. Speicherdauer von Bewerbungsdaten
Ihre Daten werden für die Dauer des Bewerbungsprozesses gespeichert; nehmen Sie das
Arbeitsverhältnis bei uns auf, werden Ihre Bewerbungsdaten bei uns für die Dauer Ihres
Arbeitsverhältnisses gespeichert. Führt die Entscheidung über Ihre Bewerbung zu einer Absage
bewahren wir Ihre Daten auf gesetzlicher Basis für weitere sechs Monate auf und löschen sie
anschließend; bei Initiativbewerbungen oder bei Ihrer Zustimmung, die Daten länger für eine
mögliche künftige Anstellung speichern zu dürfen, behalten wir Ihre Daten bis zu Ihrem Widerruf
oder längstens zwei Jahre.
