19.1 Weitergabe an Dritte und Zugriffsmöglichkeit Dritter
Ohne die Unterstützung anderer Unternehmen könnten wir unsere Produkte und Dienstleistungen nicht in der gewünschten Form erbringen. Damit wir die Dienstleistungen dieser Unternehmen nutzen können, ist in einem gewissen Umfang auch eine Weitergabe Ihrer personenbezogenen Daten an diese Unternehmen erforderlich. Eine Weitergabe erfolgt an ausgewählte Drittdienstleister und nur in dem Umfang, der für die optimale Bereitstellung unserer Dienstleistungen erforderlich ist.
Verschiedene Drittdienstleister werden in dieser Datenschutzerklärung bereits explizit erwähnt. Es handelt sich im Übrigen um folgende Dienstleister:
SKIDATA (Schweiz) GmbH
Soodstrasse 53, 8143 Adliswill, Schweiz. Weitere Informationen über die Datenverarbeitung in Verbindung mit SKIDATA finden Sie hier.
Infoniqa Schweiz AG
Platz 10, 6039 Root D4, Schweiz. Weitere Informationen über die Datenverarbeitung in Verbindung mit Infoniqa finden Sie hier.
DocuWare GmbH
Planegger Strasse 1, 82110 Germering, Deutschland. Weitere Informationen über die Datenverarbeitung in Verbindung mit DocuWare finden Sie hier.
OCOM AG
Kantonsstrasse 51, 3902 Brig-Glis, Schweiz. Weitere Informationen über die Datenverarbeitung in Verbindung mit DocuWare finden Sie hier.
Bei diesen Weitergaben ist die Erforderlichkeit zur Erfüllung eines Vertrags im Sinne von Art. 6 Abs. 1 lit. b DSGVO die Rechtsgrundlage.
Eine Weitergabe Ihrer Daten erfolgt ferner, soweit dies zur Abwicklung des Vertragsverhältnisses erforderlich ist, d.h. z.B. an Dienstleister, welche die von Ihnen bestellten Produkt übermitteln oder anfertigen, oder an Anbieter anderer Leistungen, die mit unseren Produkten verknüpft sind. Bei diesen Weitergaben ist die Erforderlichkeit zur Erfüllung eines Vertrags im Sinne von Art. 6 Abs. 1 lit. b DSGVO die Rechtsgrundlage.
Auch für die Nutzung und Verwaltung unserer Infrastruktur und die Erfüllung von internen Aufgaben ist ein Rückgriff auf weitere Dienstleister unverzichtbar und es können daher auch in dem für die Nutzung der Dienste erforderlichen Umfang weitere Dritte Zugriff auf Ihre Daten haben, wie z.B. Anbieter von Software-Lösungen (z.B. zur Textverarbeitung oder zum E-Mail-Versand), Anbieter von IT-Dienstleistungen (z.B. Hosting-Provider, Telekommunikations-Anbieter wie Internetzugangsdiensten), Agenturen (z.B. im Bereich des Marketings) oder Sicherheitsdienste. Für diese Datenverarbeitungen bildet unser berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO am Rückgriff auf Dienste Dritter die Rechtsgrundlage.
Darüber hinaus kann eine Weitergabe Ihrer Daten, insbesondere an Behörden, Rechtsberater oder Inkassounternehmen erfolgen, wenn wir hierzu gesetzlich verpflichtet sind oder dies zur Wahrung unserer Rechte, insbesondere zur Durchsetzung von Ansprüchen aus dem Verhältnis zu Ihnen, notwendig ist. Daten können auch dann weitergegeben werden, wenn ein anderes Unternehmen beabsichtigt, unser Unternehmen oder Teile davon zu erwerben, und eine solche Weitergabe zur Durchführung einer Due Diligence Prüfung oder für den Vollzug der Transaktion erforderlich ist.
Für diese Datenverarbeitungen bildet unser berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO an der Wahrung unserer Rechte und Einhaltung unserer Pflichten bzw. der Veräusserung unseres Unternehmens oder Anteile davon die Rechtsgrundlage.
19.2 Gemeinsame Verantwortlichkeit im ÖV
Wir sind als Unternehmen des Öffentlichen Verkehrs von Gesetzes wegen verpflichtet, gemeinsam mit anderen Transportunternehmen und Verbünden Transportleistungen zu erbringen («Direkter Verkehr», Art. 16 und 17 Personenbeförderungsgesetz). Um dies zu ermöglichen, werden beispielsweise Daten, die aus der Kontaktaufnahme mit Ihnen oder von Ihren gekauften Leistungen stammen, innerhalb des Nationalen Direkten Verkehr (NDV), einem Zusammenschluss von über 240 Transportunternehmen (TU) und Verbünden des öffentlichen Verkehrs, auf nationaler Ebene weitergegeben. Die einzelnen Transportunternehmen und Verbünde sind hier aufgeführt: www.allianceswisspass.ch/de/informationen-ov-nutzende/Datenschutz.
Die Daten werden in der zentralen Datenbank NOVA (Netzweite ÖV-Anbindung) gespeichert, die von der SBB im Mandat des NDV betreut wird und für die wir gemeinsam mit den anderen Unternehmen und Verbünden des NDV verantwortlich sind. NOVA ist eine technische Plattform für den Vertrieb von Angeboten des öffentlichen Verkehrs. Sie beinhaltet alle zentralen Elemente für den Verkauf von öV-Leistungen wie beispielsweise die Kundendatenbank. Der Umfang des Zugriffs auf die gemeinsamen Datenbanken durch die einzelnen Transportunternehmen und Verbünde wird durch eine gemeinsame Vereinbarung geregelt. Die mit der zentralen Speicherung erfolgende Weitergabe der Daten und deren Bearbeitung durch die Transportunternehmen und Verbünde ist auf die folgenden Zwecke beschränkt:
- Erbringung der Transportdienstleistung: Damit Ihre Reise nahtlos verlaufen kann, werden innerhalb des NDV Ihre Reise- und Kaufdaten weitergeleitet.
- Vertragsabwicklung: Diese Daten werden für die Aufnahme, Verwaltung und Abwicklung von Vertragsbeziehungen bearbeitet.
- Pflege Kundenbeziehung und -support: Zu diesen Zwecken werden Ihre Daten im Zusammenhang mit der Kommunikation mit Ihnen bearbeitet, insbesondere zur Beantwortung von Anfragen und der Geltendmachung Ihrer Rechte und um Sie bei Anliegen oder Schwierigkeiten ÖV-übergreifend zu identifizieren und bestmöglich unterstützen zu können, sowie um allfällige Entschädigungsansprüche abzuwickeln.
- Fahrausweiskontrolle und Einnahmensicherung: Kunden- und Abonnementsdaten werden zur Einnahmesicherung (Kontrolle der Gültigkeit der Fahr- oder Ermässigungsausweise, Inkasso, Missbrauchsbekämpfung) benötigt und bearbeitet.
- Für das nationale Schwarzfahrerregister: In diesem Register können Vorfälle von Reisen ohne gültigen oder mit teilgültigem Fahrausweis erfasst werden.
- Einnahmenverteilung: Die Geschäftsstelle der Alliance SwissPass, geführt durch chintegral, nimmt den im Schweizer Personenbeförderungsgesetz definierten gesetzlichen Auftrag wahr, Reisedaten für die korrekte Einnahmenverteilung zu erheben. Die Geschäftsstelle fungiert dabei als Mandatsnehmerin für die Einnahmenverteilung im Nationalen Direkten Verkehr im Auftrag der Unternehmen, die dem NDV angehören.
- Identifikation im Rahmen der Authentifizierung des SwissPass-Logins (SSO): Bei Leistungen, die Sie unter Verwendung des SwissPass-Logins erwerben, werden die Daten sodann in der zentralen Kundendatenbank (NOVA) gespeichert. Um Ihnen das sogenannte Single Sign-On (SSO) zu ermöglichen (ein Login für alle Anwendungen, welche eine Nutzung ihrer Dienstleistungen mit dem SwissPass-Login anbieten), werden im Rahmen der Authentifizierung ferner die erwähnten Login-, Karten-, Kunden- und Leistungsdaten zwischen der zentralen Login-Infrastruktur des SwissPasses und uns ausgetauscht (s. dazu auch Abschnitt 6.3).
- Gemeinsame Marketing- und Marktforschungsaktivitäten: Darüber hinaus werden die Daten, welche beim Erwerb von öV-Leistungen erhoben werden, in bestimmten Fällen auch zu Marketingzwecken bearbeitet. Sofern Ihre Einwilligung vorliegt und zu diesem Zweck eine Bearbeitung oder eine Kontaktaufnahme mit Ihnen erfolgt, wird diese grundsätzlich nur durch dasjenige Transportunternehmen bzw. denjenigen Verbund ausgeführt, bei welchem Sie die entsprechende öV-Leistung erworben haben. Eine Bearbeitung oder Kontaktaufnahme durch die anderen am NDV beteiligten Transportunternehmen und Verbünde erfolgt nur in Ausnahmefällen und unter strengen Vorgaben sowie nur dann, wenn sich aus der Auswertung der Daten ergibt, dass ein bestimmtes Angebot des öffentlichen Verkehrs für Sie als Kundin oder Kunde einen Mehrwert bringen könnte. Eine Ausnahme bildet dabei die Bearbeitung und Kontaktaufnahme durch die SBB. Die SBB führt im Auftrag des NDV das Marketing-Mandat für die Leistungen des NDV (z.B. GA und Halbtax) und kann in dieser Rolle regelmässig mit Ihnen in Kontakt treten. Weiter bearbeiten wir Ihre Daten zur Marktforschung, zur Verbesserung unserer Dienstleistungen und zur Produktentwicklung.
- Weiterentwicklung der ÖV-Systeme mit anonymen Daten: Ihre Daten werden anonym ausgewertet, um das Gesamtsystem des öV bedürfnisorientiert weiterentwickeln zu können.
- Kundeninformation: Bei grenzüberschreitenden Reisen benachrichtigen wir Sie via EMail oder SMS über die bevorstehende Reise sowie allfällige Verspätungen oder Ausfälle. Von diesen Benachrichtigungen können Sie sich abmelden. Bei Gruppenreisen benachrichtigen wir Sie via SMS über Ihre Gruppenreservation sowie allfällige Verspätungen oder Ausfälle. Ob Sie diese Benachrichtigungen erhalten möchten, können Sie bei der Reservierung einer Gruppenreise selbst entscheiden.
19.3 Andere Datenweitergaben im Zusammenhang mit dem ÖV
Sofern von Ihrer Reise ausländische Transportunternehmen betroffen sind, erfolgt sodann auch eine Weitergabe an die jeweiligen ausländischen Anbieter / Transportunternehmen. Diese erfolgt jedoch nur in dem Umfang, der für eine Kontrolle der Gültigkeit der Fahrausweise und zur Verhinderung von Missbräuchen erforderlich ist.
Zudem kann eine Daten-Weitergabe auch an andere SwissPass-Partner (im Umfang gem. Abschnitt 6.3) sowie Anbieter erfolgen, welchen von den Unternehmen des öffentlichen Verkehrs, gestützt auf eine vertragliche Vereinbarung, die Freigabe zur Vermittlung von Leistungen des öffentlichen Verkehrs erteilt wurde. Diese Vermittler erhalten nur dann Zugriff auf Ihre Personendaten, wenn Sie über diese eine Leistung des öffentlichen Verkehrs beziehen wollen und diesen Ihre Einwilligung für den Zugriff erteilt haben. Selbst in diesem Fall erhalten sie nur in dem Umfang Zugriff auf Ihre Daten, der erforderlich ist zur Feststellung, ob Sie für den geplanten Reisezeitraum bereits Tickets oder Abonnemente haben, die für Ihre Reise oder die von Ihnen gewünschte Dienstleistung des Dritten relevant sind. Rechtsgrundlage dieser Datenbearbeitungen bildet somit Ihre Einwilligung im Sinne von Art. 6 Abs. 1 lit. a DSGVO. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.
19.4 Übermittlung personenbezogener Daten ins Ausland
Wir sind berechtigt, Ihre personenbezogenen Daten auch an Dritte im Ausland zu übertragen, sofern dies zur Durchführung der in dieser Datenschutzerklärung genannten Datenverarbeitungen erforderlich ist. Einzelne Datentransfers sind vorangehend erwähnt worden (s. Ziff. 17 und 19.3). Dabei werden die gesetzlichen Vorschriften zur Bekanntgabe von personenbezogenen Daten an Dritte selbstverständlich eingehalten. Zu den Staaten, in welche Daten übermittelt werden, gehören solche, die gemäss Beschluss des Bundesrats und der EU-Kommission über ein angemessenes Datenschutzniveau verfügen (wie z.B. die Mitgliedstaaten des EWR oder aus Sicht der EU auch die Schweiz), aber auch solche Staaten (wie z.B. die USA), deren Datenschutzniveau nicht als angemessen betrachtet wird (vgl. dazu Anhang 1 der Datenschutzverordnung (DSV) sowie die Webseite der EU-Kommission). Sofern das betreffende Land über kein angemessenes Datenschutzniveau verfügt, gewährleisten wir, soweit bei der einzelnen Datenverarbeitung nicht im Einzelfall eine Ausnahme (vgl. Art. 49 DSGVO) angegeben wird, durch geeignete Garantien, dass Ihre Daten bei diesen Unternehmen angemessenen geschützt sind. Es handelt sich dabei, soweit nichts anderes angegeben wird, um die Wahl von Unternehmen, die unter dem Privacy Framework-Abkommen zertifiziert sind oder um Standardvertragsklauseln im Sinne von Art. 46 Abs. 2 lit. c DSGVO, die auf den Webseiten des Eidg. Datenschutz und Öffentlichkeitsbeauftragten (EDÖB) und der EU-Kommission abgerufen werden können. Falls Sie Fragen zu den getroffenen Massnahmen haben, wenden Sie sich an unseren Ansprechpartner für Datenschutz (vgl. Ziffer 3).
19.5 Hinweise zu Datenübermittlungen in die USA
Einzelne der in dieser Datenschutzerklärung genannten Drittdienstleister können ihren Sitz in den USA haben. Aus Gründen der Vollständigkeit weisen wir für Nutzer mit Wohnsitz oder Sitz in der Schweiz oder der EU darauf hin, dass in den USA Überwachungsmassnahmen von US-Behörden bestehen, die generell die Speicherung aller personenbezogenen Daten sämtlicher Personen, deren Daten aus der Schweiz bzw. der EU in die USA übermittelt wurden, ermöglicht. Dies geschieht ohne Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels und ohne ein objektives Kriterium, das es ermöglicht, den Zugang der US-Behörden zu den Daten und deren spätere Nutzung auf ganz bestimmte, strikt begrenzte Zwecke zu beschränken, die den sowohl mit dem Zugang zu diesen Daten als auch mit deren Nutzung verbundenen Eingriff zu rechtfertigen vermögen. Ausserdem weisen wir darauf hin, dass in den USA für die betroffenen Personen aus der Schweiz bzw. der EU keine Rechtsbehelfe bzw. kein wirksamer gerichtlicher Rechtsschutz gegen generelle Zugriffsrechte von US-Behörden vorliegen, die es ihnen erlauben, Zugang zu den sie betreffenden Daten zu erhalten und deren Berichtigung oder Löschung zu erwirken. Wir weisen Sie explizit auf diese Rechts- und Sachlage hin, um Ihnen eine entsprechend informierte Entscheidung zur Einwilligung in oder Widerspruch gegen die Verwendung ihrer Daten zu ermöglichen.
Nutzer mit Wohnsitz in der Schweiz oder einem Mitgliedstaat der EU weisen wir zudem darauf hin, dass die USA aus Sicht der Europäischen Union und der Schweiz – unter anderem aufgrund der in dieser Ziffer gemachten Ausführungen– nicht über ein ausreichendes Datenschutzniveau verfügt. Soweit wir in dieser Datenschutzerklärung erläutert haben, dass Empfänger von Daten ihren Sitz in den USA haben, werden wir durch die Wahl von Unternehmen, die unter dem Privacy-Framework-Abkommen zertifiziert sind, oder vertragliche Regelungen mit diesen Unternehmen sowie ggf. zusätzliche erforderliche geeignete Garantien gewährleisten, dass Ihre Daten bei unseren Drittdienstleistern angemessenen geschützt sind.
20. Aufbewahrungsfristen
Wir speichern personenbezogene Daten nur so lange, wie es erforderlich ist, um die in dieser Datenschutzerklärung erläuterten Verarbeitungen im Rahmen unseres berechtigten Interesses durchzuführen. Bei Vertragsdaten wird die Speicherung durch gesetzliche Aufbewahrungspflichten vorgeschrieben. Vorgaben, die uns zur Aufbewahrung von Daten verpflichten, ergeben sich aus den Bestimmungen zur Rechnungslegung und aus steuerrechtlichen Vorschriften. Gemäss diesen Vorschriften sind namentlich geschäftliche Kommunikation, abgeschlossene Verträge und Buchungsbelege bis zu 10 Jahren aufzubewahren. Soweit wir diese Daten nicht mehr zur Durchführung der Dienstleistungen für Sie benötigen, werden die Daten gesperrt. Dies bedeutet, dass die Daten dann nur noch verwendet werden dürfen, wenn dies zur Erfüllung der Aufbewahrungspflichten oder zur Verteidigung und Durchsetzung unserer rechtlichen Interessen erforderlich ist. Eine Löschung der Daten erfolgt, sobald keine Aufbewahrungspflicht und kein berechtigtes Interesse an der Aufbewahrung mehr bestehen.
21. Datensicherheit
Wir bedienen uns geeigneter technischer und organisatorischer Sicherheitsmassnahmen, um Ihre bei uns gespeicherten personenbezogenen Daten gegen Verlust und unrechtmässige Verarbeitungen, namentlich unbefugten Zugriff Dritter, zu schützen. Unsere Mitarbeitenden und die von uns beauftragten Dienstleistungsunternehmen sind von uns zur Verschwiegenheit und zur Wahrung des Datenschutzes verpflichtet. Überdies wird diesen Personen der Zugriff auf personenbezogene Daten nur so weit gewährt, wie es zur Erfüllung ihrer Aufgaben notwendig ist.
Unsere Sicherheitsmassnahmen werden entsprechend der technologischen Entwicklung fortlaufend angepasst. Jedoch birgt die Übermittlung von Informationen über das Internet und elektronische Kommunikationsmittel stets gewisse Sicherheitsrisiken und wir können daher für die Sicherheit von Informationen, die auf diese Weise übermittelt werden, keine absolute Garantie übernehmen.
22. Ihre Rechte
Sofern die gesetzlichen Voraussetzungen erfüllt sind, haben Sie als von einer Datenverarbeitung betroffene Person die folgenden Rechte:
Recht auf Auskunft: Sie haben das Recht, jederzeit unentgeltlich Einsicht in Ihre bei uns gespeicherten personenbezogenen Daten zu verlangen, wenn wir diese verarbeiten. So haben Sie die Möglichkeit, zu prüfen, welche personenbezogene Daten wir über Sie verarbeiten, und ob wir diese gemäss den geltenden Datenschutzbestimmungen verarbeiten.
Recht auf Berichtigung: Sie haben das Recht, unrichtige oder unvollständige personenbezogene Daten berichtigen zu lassen und über die Berichtigung informiert zu werden. Wir informieren in diesem Fall auch die Empfänger der betroffenen Daten über die von uns vorgenommenen Anpassungen, sofern dies nicht unmöglich oder mit unverhältnismässigem Aufwand verbunden ist.
Recht auf Löschung: Sie haben das Recht, dass Ihre personenbezogenen Daten unter bestimmten Umständen gelöscht werden. Im Einzelfall, insbesondere bei gesetzlichen Aufbewahrungspflichten, kann das Recht auf Löschung ausgeschlossen sein. In diesem Fall kann bei gegebenen Voraussetzungen an die Stelle der Löschung eine Sperrung der Daten treten.
Recht auf Einschränkung der Verarbeitung: Sie haben das Recht zu verlangen, dass die Verarbeitung Ihrer personenbezogenen Daten eingeschränkt wird.
Recht auf Datenübertragung: Sie haben das Recht, von uns die personenbezogenen Daten, die Sie uns bereitgestellt haben, unentgeltlich in einem lesbaren Format zu erhalten.
Widerspruchsrecht: Sie können Datenverarbeitungen jederzeit widersprechen, insbesondere bei Datenverarbeitungen im Zusammenhang mit Direktmarketing (z.B. Marketing-E-Mails).
Widerrufsrecht: Sie haben grundsätzlich das Recht, eine erteilte Einwilligung jederzeit zu widerrufen. In der Vergangenheit auf Ihre Einwilligung gestützte Verarbeitungstätigkeiten werden durch Ihren Widerruf allerdings nicht unrechtmässig.
Zur Ausübung dieser Rechte senden Sie uns bitte eine E-Mail an folgende Adresse: info@aletschbahnen.ch.
Beschwerderecht: Sie haben das Recht, bei einer zuständigen Aufsichtsbehörde, z.B. gegen die Art und Weise der Verarbeitung Ihrer personenbezogenen Daten, Beschwerde einzureichen.