Datenverarbeitung im DB-Konzern

Wir erheben und verarbeiten persönliche Daten ausschließlich zu bestimmten Zwecken. Letztlich halten diese sich im Rahmen des Geschäftszwecks der Deutschen Bahn.

Die Deutsche Bahn ist insbesondere in folgenden Geschäftsfeldern tätig:

1. Betreiben und Vermarkten der Eisenbahninfrastruktur, insbesondere Planung, Bau, Unterhaltung sowie Führung von Betriebsleit- und Sicherheitssystemen;

2. Verkehrsleistungen zur Beförderung von Gütern und Personen, insbesondere auf dem Gebiet des Schienenverkehrs;

3. Logistikleistungen aller Art, insbesondere Transport-, Speditions-, Fracht- und Lagerleistungen; sowie

4. Beratungs- und Dienstleistungen aller Art, insbesondere in den Bereichen Verkehr, Logistik und IT.

Bei der Deutschen Bahn AG als Konzernobergesellschaft sind wichtige Zentralfunktionen angesiedelt, die personenbezogene Daten verarbeiten und dabei ggf. auch für Tochtergesellschaften des Konzerns tätig werden. In diesen Zentralfunktionen werden personenbezogene Daten zu folgenden Zwecken verarbeitet:

• Konzernkommunikation und Marketing 
• Zentrale Verwaltung, z. B. Rechtsabteilung, zentraler Personalbereich, Compliance, Revision, Konzernsicherheit, Datenschutzorganisation
• Beschaffung, siehe eVergabeportal  und Lieferantenportal
• Vertragliche Überlassung von Immobilien
• Verkauf bahneigener Immobilien, siehe www.bahnliegenschaften.de
• Umwelt

Innerhalb des DB-Konzerns sind für einzelne Geschäftsfelder ebenfalls Holdinggesellschaften tätig, die ähnlich wie hier beschrieben zentrale Funktionen für das Geschäftsfeld wahrnehmen. Soweit diese Holdinggesellschaften auf Geschäftsfeldebene personenbezogene Daten verarbeiten, sind sie datenschutzrechtlich hierfür verantwortlich. Andere Funktionen werden wiederum von den einzelnen Konzerngesellschaften selbst wahrgenommen, die dann die datenschutzrechtliche Verantwortung dafür tragen.

Die Verarbeitung Ihrer Daten kann in diversen Zusammenhängen notwendig werden und beruht jeweils auf unterschiedlichen Rechtsgrundlagen im Sinne von Artikel 6 oder 9 Datenschutzgrundverordnung (DSGVO). Dies sind insbesondere:

• eine vorab von uns eingeholte Einwilligung für bestimmte Zwecke (z. B. für den Erhalt von Werbung);
• ein Vertragsverhältnis oder, auf Ihre Anfrage hin, vorvertragliche Maßnahmen (z. B. bei Durchführung eines Auftrags, wenn Ihre Firma für Unternehmen der DB tätig ist);
• gesetzliche Verpflichtungen zur Datenverarbeitung (z. B. im Fall eines begründeten Auskunftsersuchens von Behörden wie dem Eisenbahnbundesamt)
• in besonderen Fällen, etwa bei Unfällen, die Rechtsgrundlage, dass wir Daten verarbeiten, um lebenswichtige Interessen einer Person zu schützen,
• das überwiegende berechtigte Interesse von uns oder Dritten (z. B. im Fall der Verarbeitung personenbezogener Daten im Rahmen von Videoüberwachung).
• Die Verarbeitung besonderer Arten personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO („sensibler“ Daten, insbesondere von Gesundheitsdaten) erfolgt nur auf der Grundlage der Rechtsgrundlagen, die in Art. 9 DSGVO benannt sind; d.h. insbesondere auf Grundlage einer Einwilligung der:des Betroffenen, oder sofern dies für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Uns ist grundsätzlich daran gelegen, nur die Daten zu erheben, die für die Erfüllung der Zwecke erforderlich sind. Darüber hinaus erheben wir gegebenenfalls auch Daten, die den Vertragszweck fördern, aber nicht zwingend erforderlich sind, z. B. im Zusammenhang mit bestimmten Komfortfunktionen. Dies machen wir transparent, indem wir z. B. in Online-Formularen Pflichtfelder als solche kennzeichnen.

Verantwortlich für die Verarbeitung der personenbezogenen Daten ist grundsätzlich dasjenige Konzernunternehmen, mit dem Sie in Kontakt sind oder in Vertragsbeziehungen oder vertragsähnlichen Beziehungen stehen.

Sofern die Deutsche Bahn AG persönliche Daten von Ihnen verarbeitet oder dies durch Dritte weisungsgebunden im Auftrag tun lässt, ist sie Verantwortliche im Sinne der DSGVO und Sie können Ihre Betroffenenrechte ihr gegenüber geltend machen.

Die bestellte Datenschutzbeauftragte ist Frau Dr. Marein Müller.

Kontakt:

Deutsche Bahn AG
Konzerndatenschutz
Potsdamer Platz 2
10785 Berlin
konzerndatenschutz@deutschebahn.com

Sofern es Ihnen um eine Datenverarbeitung durch ein anderes Konzernunternehmen geht, können Sie Namen und Kontaktadresse der jeweils verantwortlichen Gesellschaft in der Regel Ihren Vertragsunterlagen bzw. Ihrer bisherigen Korrespondenz entnehmen.

Die Kontaktdaten der/des jeweiligen Datenschutzbeauftragten finden Sie hier.

In jedem Fall können Sie sich auch an den Konzerndatenschutz unter konzerndatenschutz@deutschebahn.com wenden.

Wir geben Daten nur dann an Dritte weiter, wenn es entweder für die Geschäftsbeziehung erforderlich oder im Rahmen der gesetzlichen Vorschriften zulässig ist. Für die Abwicklung von Ansprüchen oder die Bearbeitung von Compliance-Vorgängen ist in der Regel eine Weitergabe der Informationen innerhalb des DB-Konzerns an die betroffenen Konzernunternehmen und Organisationseinheiten erforderlich. Auch Behörden, Gerichte, Rechtsanwaltskanzleien und Versicherungsunternehmen können zu den Empfängern von Daten gehören.

Typische Dienstleister:innen, die Daten erhalten, sind IT- und Druckdienstdienstleister:innen oder Call-Center. In der Regel handelt es sich dabei um DB-Konzernunternehmen. Es können aber auch externe Unternehmen sein. Damit diese die Daten ausschließlich in Erfüllung unseres Auftrages verarbeiten, werden sie durch uns entsprechend vertraglich verpflichtet.

Der DB-Konzern ist ein international aufgestellter Konzern mit Gesellschaften innerhalb und außerhalb Europas. Daher kann in bestimmten Fällen eine Datenübermittlung in ein Drittland außerhalb der EU/des EWR erforderlich sein. Wir übermitteln Daten in ein Drittland nur weiter, wenn die gesetzlichen Voraussetzungen hierfür vorliegen. Die Betroffenen werden vorab entsprechend informiert. In der Regel schließen wir mit den Empfängern im Drittland so genannte Standarddatenschutzklauseln ab, die angemessene Garantien zum Schutz personenbezogener Daten vorsehen.

Die Daten werden grundsätzlich nur solange gespeichert, wie sie benötigt werden. Die Dauer der Speicherung richtet sich also nach dem jeweiligen Zweck. Der Zweck kann sich ergeben aus dem Vertrag oder auch aus gesetzlichen Vorschriften zur Aufbewahrung von Geschäftsunterlagen oder sonstigen Unterlagen. Daher lässt sich an dieser Stelle keine allgemeingültige Speicherfrist angeben.

• Sie haben das Recht auf Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung (Sperrung).
• Sie haben das Recht auf Datenübertragbarkeit, wenn Sie uns die Daten zur Erfüllung des Vertrages oder auf der Basis einer Einwilligung zur Verfügung gestellt haben.
• Wenn die Verarbeitung auf einem berechtigten Interesse beruht, können Sie der Datenverarbeitung aus Gründen, die sich aus ihrer besonderen Situation ergeben, widersprechen.
• Sie können außerdem der Datenverarbeitung zum Zwecke der Direktwerbung widersprechen.
• Wenn Sie uns eine Einwilligung gegeben haben, können Sie diese jederzeit widerrufen.
• Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen Datenschutzrecht verstößt, haben Sie insbesondere gemäß Art. 77 Abs. 1 DSGVO das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren.
  Für die Deutsche Bahn AG zuständige Aufsichtsbehörde ist:
  Berliner Beauftragte für Datenschutz und Informationssicherheit
  Alt-Moabit 59-61
  10555 Berlin
   

Sie können Ihre Rechte entweder bei dem jeweils verantwortlichen Konzernunternehmen geltend machen oder aber direkt bei der Konzerndatenschutzbeauftragten.

Die jeweils verantwortliche Gesellschaft können Sie in der Regel Ihren Vertragsunterlagen bzw. Ihrer Korrespondenz entnehmen. In jedem Fall können Sie sich auch an den Konzerndatenschutz unter konzerndatenschutz@deutschebahn.com wenden.

Wir verarbeiten Ihre Daten zuallererst im Rahmen der Geschäftsbeziehung mit Ihnen. Das kann beispielsweise Ihre Kund:innenbeziehung im Rahmen einer Reise mit dem Personenverkehr sein. Zweck der Datenverarbeitung ist dabei die Erfüllung des Vertrages - vom Vertragsabschluss, der Durchführung und Abwicklung des Vertrages bis hin zur Abrechnung und Geltendmachung etwaiger Ansprüche. In diesen Fällen ist nach Art. 6 Abs. 1 lit. b) DSGVO die Rechtsgrundlage der Vertrag mit Ihnen.

Auf den verschiedenen Seiten des DB-Konzerns und auf unseren Social-Media-Auftritten haben Sie die Möglichkeit, mit uns in Kontakt zu treten oder an Gewinnspielen oder sonstigen Aktionen teilzunehmen. In diesen Fällen werden Sie konkret über die dort stattfindenden Datenverarbeitungen informiert. Auch hier gilt der Grundsatz:  Es werden nur die für die Kontaktaufnahme oder die Durchführung der Gewinnspiele oder sonstigen Aktionen erforderlichen Daten verarbeitet und dies lediglich in dem erforderlichen Umfang. Rechtsgrundlage hierfür ist grundsätzlich Art. 6 Abs. 1 lit. b) DSGVO. Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung von Ihnen einholen, dient diese nach Artikel 6 Absatz 1 lit. a) DSGVO als Rechtsgrundlage.

Zudem unterliegen die Gesellschaften des DB-Konzerns zahlreichen gesetzlichen Pflichten, die eine Verarbeitung von personenbezogenen Daten erforderlich machen. Dazu gehören z. B. die Sicherstellung gesetzlicher Dokumentationspflichten und die Zusammenarbeit mit Behörden wie Eisenbahnbundesamt und Bundesnetzagentur, aber auch die Abwicklung von eigenen oder fremden Ansprüchen. Rechtsgrundlage dieser Datenverarbeitung ist in erster Linie Art. 6 Abs. 1 lit. c) DSGVO.

Um unser Angebot ständig zu verbessern, speichern und analysieren wir gegebenenfalls Nutzungsdaten aus dem Online-Bereich auf pseudonymer Basis. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. f) DSGVO. In diesem Fall weisen wir Sie auf der jeweiligen Webseite auf diese Verarbeitung hin.

Wir sind zudem daran interessiert, die Kundenbeziehung mit Ihnen zu pflegen und Ihnen Informationen und Angebote zukommen zu lassen, von denen wir glauben, dass sie zu Ihren Reisewünschen und Interessen passen. Deshalb verarbeiten wir auf Grundlage von Artikel 6 Abs. 1 lit. f) DSGVO (auch mit Hilfe von Dienstleister:innen) gegebenenfalls Ihre Daten, um Ihnen Informationen und Angebote zuzusenden. Wir verwenden Ihre Kontaktdaten (Name, Vorname, Postanschrift) für Werbung per Post und für Marktforschung, sofern Sie einer solchen Verwendung nicht widersprechen. Ebenso kann auch die E-Mail-Adresse, die wir aus einer Geschäftsbeziehung mit Ihnen von Ihnen erhalten haben, zur werblichen Ansprache verwendet werden.   

Dieser werblichen Verwendung Ihrer Daten können Sie jederzeit mit Wirkung für die Zukunft widersprechen. Nähere Informationen hierzu finden Sie im jeweiligen Datenschutzhinweis der jeweiligen Webseite.

Uns ist grundsätzlich daran gelegen, nur diejenigen Daten zu erheben, die für die Erfüllung der Zwecke erforderlich sind. Darüber hinaus erheben wir gegebenenfalls auch Daten, die den Vertragszweck fördern, aber nicht zwingend erforderlich sind, z. B. im Zusammenhang mit bestimmten Komfortfunktionen. Dies machen wir transparent, indem wir z. B. in Online-Formularen Pflichtfelder als solche kennzeichnen.

Datenschutzinformationen zu unseren wichtigsten Produkten

Im Folgenden finden Sie einen Überblick über unsere wichtigsten Produkte und deren Datenschutzinformationen, aus denen sich auch die jeweiligen Kontaktdaten ergeben:

• Buchung über bahn.de
• App DB Navigator
• Bahncard
• Bahnbonus
• Flinkster
• Call a bike
• (Online-) Bewerbungen
• Social-Media-Kanäle

Wir passen den Datenschutzhinweis an veränderte Funktionalitäten oder geänderte Rechtslagen an. Daher empfehlen wir, den Datenschutzhinweis in regelmäßigen Abständen zur Kenntnis zu nehmen. Sofern Ihre Einwilligung erforderlich ist oder Bestandteile des Datenschutzhinweises Regelungen des Vertragsverhältnisses mit Ihnen enthalten, erfolgen die Änderungen nur mit Ihrer Zustimmung.

Stand: Juli 2022