Stellwerksstörung Rathenauplatz bis ca. 20:00 Uhr: Auf Linie U2 und U3 in beiden Richtungen Verzögerungen.    +++

Abo / Jobticket (eTicket)

Datenschutzhinweise der VAG Verkehrs-Aktiengesellschaft
für den Abonnementvertrag bzw. Jobticket-Abonnementvertrag (inkl. Onlinebefragung interessierter Firmen)

zur Erfüllung der Informationspflichten nach Art. 13 und Art. 14 der Datenschutz-Grundverordnung (DSGVO) zum Schutz der personenbezogenen Daten von natürlichen Personen

1. Verantwortlicher
VAG Verkehrs-Aktiengesellschaft
Vorstand
Südliche Fürther Straße 5
90429 Nürnberg

Telefon: 0911 283-4646
Telefax: 0911 283-4800
E-Mail: service(at)vag.de

2. Datenschutzbeauftragter
VAG Verkehrs-Aktiengesellschaft
Datenschutzbeauftragter
Südliche Fürther Straße 5
90429 Nürnberg

Telefon: 0911 283-4646
Telefax: 0911 283-4800
E-Mail: datenschutz(at)vag.de

3. Verarbeitungszwecke und Rechtsgrundlagen

3.1. Verarbeitung zum Zweck der Vertragsanbahnung und -abwicklung (Art. 6 Abs. 1 b DSGVO)
Im Rahmen der Abonnement- und Jobticket-Verwaltung ist eine Verarbeitung für die Vertragsanbahnung, -durchführung und Abrechnung erforderlich.
Auf Wunsch des anfragenden Unternehmens erfolgt vor Abschluss eines Jobticket-Vertrags mit der Firma eine Onlinebefragung unter den Mitarbeitern des entsprechenden Unternehmens mit dem Ziel der Ermittlung des aktuellen Interesses der Mitarbeiter an einer Nutzung des ÖPNV. 

Der große Vorteil eines elektronischen Tickets ist dessen Eigenschaft, dass es nach der Ausgabe nur von authentisierten Terminals, kryptografisch gesichert, nachträglich verändert werden kann. Bei derartigen Änderungen, die als Transaktionen bezeichnet werden, handelt es sich um Ticketkäufe, Sperrungen, Entsperrungen und Rücknahmen sowie Kontrollerfassungen. Diese Transaktionen (Transaktionsdaten) verändern den Status eines Tickets und müssen in diesem gespeichert werden. Eine Sperrung führt zum Beispiel dazu, dass das Ticket nicht mehr gültig ist. Dies muss im Rahmen einer Kontrolle erkennbar sein. Jeder Vorgang (Transaktion), den mit dem eTicket ausgelöst wird (max. 10), wird darauf mindestens solange gespeichert, bis eine neue Transaktion mit dem elektronischen Fahrschein ausgeführt wird. Die Speicherung der letzten 10 Transaktionen dient der Erfüllung vertraglicher Transparenzverpflichtung gegenüber den Kunden. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b) DSGVO. Die letzten 10 ausgeführten Transaktionen auf dem Nutzermedium (eTicket) können durch ein NFC-fähiges Smartphone mit entsprechender App (z.B. mytraQ) ausgelesen werden. Bei der aktuellen Chipkartengeneration, die gegenwärtig bei der VAG im Einsatz ist, ist die Löschung des Transaktionsspeichers nur in unserem KundenCenter möglich.

3.2. Verarbeitung aufgrund Ihrer Einwilligung (Art. 6 Abs. 1 a DSGVO)
Soweit die VAG Verkehrs-Aktiengesellschaft von Ihnen eine Einwilligung zur Verarbeitung für bestimmte Zwecke (z. B. Werbezwecke) eingeholt hat, ist die Verarbeitung auf dieser Basis rechtmäßig.

3.3. Verarbeitung aus berechtigtem Interesse (Art. 6 Abs. 1 f DSGVO)
Die VAG Verkehrs-Aktiengesellschaft verarbeitet Ihre Daten in zulässiger Weise zur Wahrung ihrer berechtigten Interessen. Dies umfasst folgende Zwecke:

  • Werbung und Öffentlichkeitsarbeit (z. B. Versand Abo-Newsletter, Gewinnspiel-Abwicklung, Neubürger-Mailing, Service-Aktion in den Stadtteilen, Mailings zu bestimmten Themen)
  • Analysen, Statistiken, Systemsicherheitstests
  • Erfüllung von Nachweispflichten
  • bedarfsgerechte Gestaltung der Produkte
  • Markt- und Meinungsforschung
  • Konsultation und Datenaustausch mit Auskunfteien (Bonitätsprüfung)
  • Durchführung des Forderungsmanagements und ggf. der Abgabe an ein beauftragtes Inkassounternehmen
  • Vertriebskooperationen mit dem VGN und weiterer Verkehrsunternehmen im Verbund
  • Geltendmachung rechtlicher Ansprüche
  • Durchführung von Adressermittlungen
  • Aufklärung oder Verhinderung von Straftaten

Ein von der VAG Verkehrs-Aktiengesellschaft ausgegebenes eTicket basiert auf einem Produkt, das vom VGN Verkehrsverbund Großraum Nürnberg definiert worden ist. Somit sind zwei Organisationen die „Eltern“ dieses Tickets. Diese Organisationen müssen immer den aktuellen Zustand eines Tickets kennen, um ein entsprechendes Monitoring durchführen bzw. Zahlvorgänge (VAG Verkehrs-Aktiengesellschaft ) steuern zu können. Dies wird durch die Weiterleitung der Transaktionsdaten sichergestellt. Die Weiterleitung der pseudonymisierten Transaktionsdaten an die Hintergrundsysteme dient zur Wahrung des berechtigten Interesses der VAG Verkehrs-Aktiengesellschaft , Missbrauch von Fahrscheinerstattungen zu verhindern bzw. die Einnahmen vor Manipulationen zu schützen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f) DSGVO (Berechtigtes Interesse).


3.4. Verarbeitung aufgrund gesetzlicher Vorgaben (Art. 6 Abs. 1 c DSGVO) oder öffentlichen Interesse (Art. 6 Abs. 1 e DSGVO)
Als Unternehmen unterliegt die VAG Verkehrs-Aktiengesellschaft diversen Verpflichtungen (z. B. Steuergesetze, Handelsgesetzbuch), die eine Verarbeitung Ihrer Daten zur Gesetzeserfüllung erforderlich machen.

4. Datenkategorien
Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenkategorien:

für den Abo-/Jobticket-Vertrag:

  • Anrede (Geschlecht), Titel, Vorname, Name, Geburtsdatum
  • Adressdaten (Wohnort, Postleitzahl, Straße, Hausnummer, ggf. Adresszusatz, Postfach)
  • Kontaktdaten (u. a. Telefonnummer, E-Mail-Adresse)
  • Personalnummer (Jobticket)
  • Reisegewohnheiten (nur bei FirmenAbo, zur Kontrolle der Neukundenqoute gemäß des Gemeinschaftstarifs, Abschnitt C, Absatz 3.2.1)
  • Nürnberg-Pass-ID  (Deutschlandticket Nürnberg-Pass)
  • Zahlungsdaten (Bankverbindung, IBAN), Zahlungsmittel (u. a. Lastschriftverfahren)
  • Daten zur Bonitätsprüfung, Daten zum Zahlungsverhalten (z. B. Mahndaten)
  • Berechtigungshinweise bei besonderen Ticketarten
  • persönliche Mitteilungen (z. B Schriftwechsel, E-Mails)
  • Vertragsdaten (z. B. Kundennummer)
  • Abrechnungs- und Bankdaten sowie vergleichbare Daten
  • Kontrolldaten (aus der elektronischen Chipkarte gelesene Daten bei der Fahrausweiskontrolle)
    • Zeitpunkt
    • Ort ID, Fahrt ID, Linien ID (Werden bei der VAG mit Nullen bzw. mit anonymisierten Nummern gefüllt. Somit kann nicht nachvollzogen werden, an welchem Ort, auf welcher Linie oder auf welcher Fahrt eine Transaktion ausgeführt wurde.)
    • Terminaltyp & Terminalnummer
    • Terminal ID
    • SAM ID
    • Produkt ID
    • Berechtigungs-ID
    • Daten der MAC Sicherung (Message Authentication Code/Prüfzahl)
  • sofern eine Einwilligung vorliegt, das Foto des Fahrkarteninhabers


für die Onlinebefragung:

  • Name, Vorname, Postleitzahl
  • Vertragsdaten (z. B. Kundennummer)

Die VAG sowie die kontrollierenden Verkehrsunternehmen im VGN verarbeiten im Rahmen eines Kontrollvorgangs personenbeziehbaren Daten und übermitteln diese an den VGN bzw. den jeweiligen Kundenvertragspartner. Dies dient der Überprüfung der Funktionalität und der Sicherheit eines gesamten EFM-Systems. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b) DSGVO. Beim Kontrollvorgang kann es sich um folgende Geschäftsprozesse handeln:

  • Ausgabe, Rücknahme und Änderung einer Berechtigung
  • Sperrung oder Entsperrung einer Chipkarte oder einer Berechtigung
  • Erfassung einer gültigen Berechtigung (Positivkontrolle)
  • Erfassung einer ungültigen/gesperrten Berechtigung oder Chipkarte (Negativkontrolle)


5. Kategorien der Empfänger personenbezogener Daten
Zur Erfüllung der genannten Zwecke kann es erforderlich sein, dass die VAG Verkehrs-Aktiengesellschaft personenbezogene Daten an Konzernunternehmen (verbundene Unternehmen i.S. von § 15 AktG) oder an beauftragte Dienstleistungsgesellschaften folgender Kategorien aufgrund von gesetzlichen Vorschriften oder im Rahmen einer Auftragsverarbeitung übermittelt:

  • IT-Dienstleister
  • Dienstleister für Abwicklungszwecke
  • Werbeagenturen, Mailingagenturen, Druckereien, Planungsbüros
  • Dienstleister für Akten- und Datenvernichtung
  • Berater (Rechtsanwälte, Wirtschaftsprüfer)
  • Behörden
  • Inkassounternehmen

Die VAG Verkehrs-Aktiengesellschaft verpflichtet die Konzernunternehmen und die Dienstleistungsgesellschaften in diesem Fall zur Einhaltung der geltenden Datenschutzbestimmungen.

6. Drittstaatentransfer
Sollte die VAG Verkehrs-Aktiengesellschaft oder einer unserer externen Dienstleister personenbezogene Daten an Dienstleister außerhalb des Europäischen Wirtschaftsraums (EWR) übermitteln, erfolgt die Übermittlung nur, soweit dem Drittland durch die EU-Kommission ein angemessenes Datenschutzniveau bestätigt wurde oder andere angemessene Datenschutzgarantien (z. B. verbindliche unternehmensinterne Datenschutzvorschriften oder EU-Standardvertragsklauseln) vorhanden sind. 

7. Speicherdauer
Personenbezogene Daten werden bis zur Beendigung des jeweiligen Vertragszwecks (z. B. Vertragskündigung) bzw. Verarbeitungszwecks (z. B. Gewinnspiel, Service-Aktion) gespeichert. Im Anschluss findet unter Berücksichtigung einer angemessenen Nachbearbeitungsfrist die Löschung der Daten statt. Dabei sind gesetzliche Aufbewahrungsfristen (z. B. des Handels- und Steuerrechtes) von in der Regel zehn Jahren zu berücksichtigen. Die erhobenen Daten im Rahmen der Onlinebefragung werden nach Beendigung der Vertragsverhandlungen und einer angemessenen Nachbearbeitungsfrist (spätestens nach einem Jahr) gelöscht. 

8. Pflicht zur Bereitstellung der Daten
Der Abschluss eines Vertrages bzw. die Anforderung einer Dienstleistung erfordert die individuelle Angabe personenbezogener Daten. Die Mindestinformationen (Pflichtfelder) müssen angegeben werden. Bei Nichtbereitstellung der personenbezogenen Daten kommt grundsätzlich kein Vertrag zustande, es sei denn, dass eine rechtliche Verpflichtung vorliegt. Beantragte Dienstleistungen (z. B. Auskunfts- oder Beratungsleistung) können bei fehlenden Daten gegebenenfalls nicht durchgeführt werden.

9. Datenquelle
Die VAG Verkehrs-Aktiengesellschaft erhebt personenbezogene Daten grundsätzlich bei den Betroffenen direkt. Werden die Daten nicht bei der betroffenen Person erhoben, stammen diese aus folgenden Quellen:

  • Konzernunternehmen
  • VGN Onlineshop


10. Betroffenenrechte
Bei Fragen oder Beschwerden zum Datenschutz können Sie sich gerne an die VAG Verkehrs-Aktiengesellschaft wenden. Das umfasst das Recht auf Auskunft über die gespeicherten personenbezogenen Daten (Art. 15 DSGVO), das Recht auf Berichtigung (Art. 16 DSGVO), das Recht auf Löschung (Art. 17 DSGVO), das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO), das Recht auf Widerspruch (Art. 21 DSGVO) sowie das Recht auf Datenübertragung (Art. 20 DSGVO). Darüber hinaus haben Sie das Recht auf Beschwerde bei der zuständigen Aufsichtsbehörde (Art. 13 DSGVO).

11. Widerspruchsrecht
Sofern die VAG Verkehrs-Aktiengesellschaft eine Verarbeitung von Daten zur Wahrung ihrer berechtigten Interessen vornimmt, haben Sie aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit das Recht, gegen diese Verarbeitung Widerspruch einzulegen. Das umfasst auch das Recht, Widerspruch gegen die Verarbeitung zu Werbezwecken einzulegen.

12. Widerrufsrecht bei einer Einwilligung
Eine erteilte Einwilligung kann jederzeit widerrufen werden. Der Widerruf der Einwilligung erfolgt für die Zukunft und berührt nicht die Rechtmäßigkeit der bis zum Widerruf verarbeiteten Daten.

13. Änderungsklausel
Da die Datenverarbeitung der VAG Verkehrs-Aktiengesellschaft Änderungen unterliegt, wird sie auch ihre Datenschutzinformationen von Zeit zu Zeit anpassen. Die jeweils aktuelle Version unserer Datenschutzhinweise halten wir hier vor.