Datenschutzerklärung

For English, click here.

Wie in der EU-Verordnung 2016/679 (“DSGVO”) vorgeschrieben, beschreiben die nachstehenden Informationen die Verarbeitungsvorgänge und den Zweck der Verarbeitung der personenbezogenen Daten der Fahrgäste (“Fahrgäste”) bei Flix.

Alle in dieser Datenschutzerklärung verwendeten Begriffe, die nicht ausdrücklich definiert sind, haben die in der DSGVO festgelegte Bedeutung.

1. Kontaktdaten des Verantwortlichen

Der für die Verarbeitung Verantwortliche ist die FlixBus DACH GmbH, Warschauer Platz 11-13, 10245 Berlin, Deutschland (“Flix” oder “Verantwortlicher”).

2. Kontaktdaten Datenschutzbeauftragter

Der Verantwortliche hat einen Datenschutzbeauftragten ernannt. Dieser hat seinen Sitz bei der Flix SE, Friedenheimer Brücke 16, 80639 München, Deutschland, und kann unter folgender Mail-Adresse kontaktiert werden:

data.protection@flixbus.com

3. Zwecke der Verarbeitung und Rechtsgrundlage

Der Verantwortliche verarbeitet die in Abschnitt 4 genannten Kategorien personenbezogener Daten im Rahmen der Vorgaben der DSGVO, um

a) der Erfüllung der dem Fahrgast gegenüber eingegangenen vertraglichen Verpflichtungen oder von bestimmten vertragliche Verpflichtungen gegenüber dem Fahrgast oder besonderen Wünschen des Fahrgastes vor Abschluss des Vertrages nachzukommen.

Rechtsgrundlage für die Verarbeitung ist die Erfüllung einer vertraglichen Verpflichtung, Art. 6 Abs. 1 b DSGVO.

b) die vom Fahrgast eingereichte Beschwerde in all ihren Phasen - einschließlich etwaiger Rechtsstreitigkeiten - zu untersuchen und angemessen zu bearbeiten.

Rechtsgrundlage für die Verarbeitung der Daten zu diesem Zweck ist wie folgt:

(i) Die Verarbeitung ist notwendig für die Erfüllung einer vertraglichen Verpflichtung. Dies ist zulässig gemäß Art. 6 Abs. 1 b DSGVO.

(ii) Die Verarbeitung ist notwendig zur Erfüllung von rechtlichen Verpflichtungen, denen FlixBus unterliegt. Dies ist zulässig gemäß Art. 6 Abs. 1 c DSGVO.

(iii) Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich, d. h. das Recht, Rechtsansprüche zu begründen, auszuüben oder zu verteidigen. Dies ist zulässig gemäß Art. 6 Abs. 1 f DSGVO.

c) im Einzelfall dem Fahrgast an Bord ein Ticket zu verkaufen.

Rechtsgrundlage für die Verarbeitung der Daten zu diesem Zweck ist wie folgt:

(i) Die Verarbeitung ist notwendig für die Erfüllung einer vertraglichen Verpflichtung, bzw. für die Durchführung vorvertraglicher Maßnahmen. Dies ist zulässig gemäß Art. 6 Abs. 1 b DSGVO.

(ii) Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich, d.h. insb. die Weiterleitung der Zahlungsdaten an den Zahlungsdienstleister zur Abwicklung der von Ihnen veranlassten Zahlung, Dies ist zulässig gemäß Art.6 Abs. 1 f DSGVO.

4. Kategorien personenbezogener Daten, die verarbeitet werden

Personenbezogene Daten sind alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Die personenbezogenen Daten der Fahrgäste, die im Zusammenhang mit den in Abschnitt 3 genannten Verarbeitungszwecken verarbeitet werden, sind die folgenden:

a) Identifikationsdaten und Kontaktangaben des Fahrgastes

b) Reisedaten, Art der Dienstleistung

Für die in Abschnitt 3 b) genannte Bearbeitung von Beschwerden zusätzlich:

c) Datum des Eingangs der Beschwerde, sowie Gründe für die Beschwerde, die in dem vom Fahrgast ausgefüllten Formular angegeben sind

d) alle zusätzlichen Informationen, die der Fahrgast zusammen mit der Beschwerde angibt, ggf. ein-schließlich besonderer Kategorien personenbezogener Daten (z. B. Daten über die Gesundheit).

Für den unter 3 c. genannten Zweck zusätzlich zu 4 a, b:

e) Zahlungsdaten

Die Bereitstellung seiner personenbezogenen Daten durch den Fahrgast ist freiwillig. Es besteht grundsätzlich auch keine gesetzliche oder vertragliche Verpflichtung, Flix personenbezogene Daten zur Verfügung zu stellen. Es kann jedoch sein, dass Flix bestimmte Dienstleistungen nur eingeschränkt oder gar nicht erbringen kann, wenn der Fahrgast die dafür erforderlichen Daten nicht bereitstellt.

Soweit die personenbezogenen Daten nicht direkt vom Fahrgast bereitgestellt worden sind, hat Flix sie grundsätzlich im Rahmen des Buchungsprozesses auf der Flix-Webseite erhalten.

5. Kategorien von Empfänger

a) Interne Verantwortliche

Unter bestimmten Voraussetzungen geben wir personenbezogene Daten von Ihnen zum Zwecke der internen Verwaltung innerhalb der Gesellschaften von FlixBus weiter, soweit dies zulässig ist.

Z.B. können personenbezogene Daten auch auf Grundlage des berechtigten Interesses des für die Verarbeitung Verantwortlichen - d.h. der Notwendigkeit einer korrekten und angemessenen Bearbeitung und Abwicklung von Fahrgastbeschwerden - an die Flix SE weitergegeben werden. Weitere Einzelheiten finden Sie auch in der Datenschutzerklärung der Flix SE unter dem folgenden Link: Datenschutz | FlixBus

b) Externe Verantwortliche

Wie bei jedem größeren Unternehmen, setzen auch wir darüber hinaus zur Abwicklung unseres Geschäftsverkehrs auch externe in- und ausländische Dienstleister ein und arbeiten mit Partnerunternehmen im In- und Ausland zusammen.

Hierzu zählen etwa:

  • Vertriebspartner
  • Shopbetreiber
  • Sicherheitsunternehmen
  • Weitere für unseren Geschäftsbetrieb eingesetzte Partner (z.B. Auditoren, Banken, Versicherungen, Zahlungsdienstleister Rechtsanwälte, Aufsichtsbehörden, andere Beteiligte bei Unternehmenskäufen)

c) Interne Auftragsverarbeiter

  • Kundenserviceanbieter (intern)
  • (IT-)Dienstleister

d) Externe Auftragsverarbeiter

  • Kundenserviceanbieter (extern)
  • (IT-)Dienstleister
  • Betriebspartner (eine Übersicht der aktuellen Beförderer finden Sie hier)

Soweit die Empfänger als Auftragsverarbeiter für uns arbeiten, schließen wir einen Auftragsverarbeitungsvertrag mit ihnen ab und sie müssen Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen vorliegen, die Verarbeitung die rechtlichen Anforderungen erfüllt und die Rechte der betroffenen Personen gewahrt werden.

Personenbezogene Daten von Fahrgästen sind nur Personen zugänglich, die im Auftrag des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters handeln.

Öffentlichen Stellen und Institutionen (z. B. Polizei, Staatsanwaltschaft, Aufsichtsbehörden) geben wir personenbezogene Daten bei Vorliegen einer entsprechenden Verpflichtung/Berechtigung weiter.

6. Datenübermittlung ins Ausland

Im Zusammenhang mit den in Abschnitt 3 genannten Verarbeitungen können personenbezogene Daten in ein Drittland (insbesondere in die USA) übermittelt werden. Ein Drittland ist ein Land außerhalb der Europäischen Union (EU) und außerhalb des Europäischen Wirtschaftsraums (EWR). In diesem Fall stellen wir durch geeignete Maßnahmen sicher, dass das in der EU/EWR geltende Datenschutzniveau durch den Empfänger/das Empfängerland nicht unterschritten wird.

Geeignete Maßnahmen können hier z.B. sein:

7. Dauer der Datenspeicherung und Löschung

Die personenbezogenen Daten der Fahrgäste werden nur so lange aufbewahrt, wie es für die in Abschnitt 3 genannten Zwecke, für die die Daten erhoben und anschließend verarbeitet werden, erforderlich ist.

Der Verantwortliche kann in jedem Fall verpflichtet und/ oder berechtigt sein, die personenbezogenen Daten der Fahrgäste ganz oder teilweise länger aufzubewahren - beispielsweise, aber nicht ausschließlich, für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen innerhalb der jeweils geltenden Verjährungsfrist.

8. Rechte der betroffenen Personen

Der Fahrgast als betroffene Person im Sinne der DSGVO hat folgende Rechte:

Recht auf Auskunft

Der Fahrgast kann Auskunft gem. Art. 15 DSGVO über seine von Flix verarbeiteten personenbezogenen Daten verlangen. Im Auskunftsantrag sollte der Fahrgast sein Anliegen präzisieren, um dem Verantwortlichen das Zusammenstellen der erforderlichen Daten zu erleichtern. Auf Verlangen stellt der Verantwortliche dem Fahrgast eine kostenfreie Kopie der Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Der Verantwortliche kann von dem Fahrgast einen Identitätsnachweis verlangen, um sicherzustellen, dass der Fahrgast zum Zugriff auf die personenbezogenen Daten berechtigt ist.

Auf die Anfrage hin stellt der Verantwortliche dem Fahrgast eine Kopie der Daten zur Verfügung, die Gegenstand der Verarbeitung sind. Fahrgäste müssen keine Gebühr zahlen, um auf ihre personenbezogenen Daten zugreifen zu können (oder eines der anderen Rechte auszuüben). Flix kann jedoch dann eine angemessene Gebühr erheben, wenn die Anfrage offensichtlich unbegründet, häufig wiederholt oder exzessiv erfolgt. Flix kann sich auch weigern, einem solchen Auskunftsersuchen nachzukommen.

Recht auf Berichtigung

Sollten die den Fahrgast betreffenden Angaben nicht (mehr) zutreffend sein, kann der Fahrgast nach Art. 16 DSGVO eine Berichtigung verlangen. Sollten Daten des Fahrgastes unvollständig sein, kann der Fahrgast eine Vervollständigung verlangen.

Recht auf Löschung

Der Fahrgast kann unter den Bedingungen des Art. 17 DSGVO die Löschung seiner personenbezogenen Daten verlangen. Dieser Anspruch auf Löschung hängt u. a. davon ab, ob die den Fahrgast betreffenden Daten von dem Verantwortlichen zur Erfüllung seiner gesetzlichen Aufgaben noch benötigt werden.

Recht auf Einschränkung der Verarbeitung

Der Fahrgast hat im Rahmen der Vorgaben des Art. 18 DSGVO das Recht, eine Einschränkung der Verarbeitung der ihn betreffenden Daten zu verlangen.

Recht auf Datenübertragbarkeit

Der Fahrgast hat im Rahmen der Vorgaben des Art. 20 DSGVO das Recht, Daten, die er dem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen.

Recht auf Widerspruch

Der Fahrgast hat nach Art. 21 Abs. 1 DSGVO das Recht, aus Gründen, die sich aus seiner besonderen Situation ergeben, jederzeit der Verarbeitung der ihn betreffenden Daten zu widersprechen, die nach Art. 6 Abs. 1 f DSGVO erhoben wurden. Eine Verarbeitung der Daten des Fahrgastes zu diesen Zwecken erfolgt dann nur noch, wenn Flix für die Verarbeitung zwingende schutzwürdige Gründe nachweist, die die Interessen, Rechte und Freiheiten des Fahrgastes überwiegen, oder die Verarbeitung der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen seitens Flix dient.

Der werblichen Ansprache kann der Fahrgast nach Art. 21 Abs. 2 DSGVO jederzeit mit Wirkung für die Zukunft widersprechen (Werbewiderspruch bei Direktwerbung).

Recht auf Beschwerde

Wenn der Fahrgast der Auffassung ist, dass der Verantwortliche bei der Verarbeitung seiner Daten datenschutzrechtliche Vorschriften nicht beachtet hat, kann der Fahrgast sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung seiner personenbezogenen Daten beschweren.

Recht auf Widerruf einer Einwilligung (falls gegeben)

Der Fahrgast kann eine Einwilligung zur Verarbeitung seiner Daten jederzeit für die Zukunft widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Zeitpunkt des Widerrufs erfolgten Verarbeitung bleibt vom Widerruf unberührt.

Dies gilt auch für Einwilligungserklärungen, die vor der Geltung der DSGVO, also vor dem 25.05.2018, erteilt wurden.

Seine Rechte kann der Fahrgast dem Verantwortlichen gegenüber jederzeit insbesondere über die Kontaktdaten in den Abschnitten 1 und 2 geltend machen.

9. Änderung

Der vorliegende Datenschutzhinweis kann von Zeit zu Zeit aufgrund der Einführung neuer Zwecke und Methoden der Verarbeitung geändert werden. Der für die Verarbeitung Verantwortliche wird die Fahrgäste nach eigenem Ermessen rechtzeitig und in angemessener Weise darüber informieren.

Version 1.0


Privacy Policy

As required by EU Regulation 2016/679 (“GDPR”), the information below describes the processing operations and the purpose of the processing of the personal data of passengers (“Passengers”) at Flix.

All terms used in this Privacy Policy that are not explicitly defined shall have the meaning set in the GDPR.

1. Contact details of the controller

The data controller is FlixBus DACH GmbH, Karl-Liebknecht-Str. 33, 10178 Berlin, Germany (“Flix” or “Controller”).

2. Contact details of the data protection officer

The Controller has designated a Data Protection Officer (DPO). The DPO is located at the offices of Flix SE, Friedenheimer Brücke 16, 80639 Munich, Germany, and can be contacted via the following e-mail-address:

data.protection@flixbus.com

3. Purposes of processing and legal basis

The Controller shall process the categories of personal data referred to in Section 4 in order to:

a) fulfil the contractual obligations entered into with the passengers or certain contractual obligations towards the passengers or special requests of the passengers made before conclusion of the contract.

The legal basis for processing data for this purpose is that it is necessary for the fulfilment of a contractual obligation. This is lawful under Article 6 para. 1 lit. b GDPR.

b) investigate and appropriately deal with complaints filed by the passenger in all its stages, including any litigation.

The legal basis for the processing of data for this purpose is as follows:

(i) processing is necessary for the fulfilment of a contractual obligation. This is lawful under Article 6 para. 1 lit. b GDPR.

(ii) processing is necessary for compliance with a legal obligations to which FlixBus is subject. This is lawful under Article 6 para. 1 lit. c GDPR.

(iii) processing is necessary for the purposes of the legitimate interests pursued by the Controller, i.e. the right to establish, exercise or defend legal claims. This is lawful under Article 6 para. 1 lit. f GDPR.

c) sell tickets to the passenger on board in individual cases.

The legal basis for the processing of data for this purpose is as follows:

(i) processing is necessary for the fulfilment of a contractual obligation or for the implementation of pre-contractual measures. This is lawful under Article 6 para. 1 lit. b GDPR.

(ii) processing is necessary for the legitimate interests pursued by the controller, i.e. in particular the forwarding of payment data to the payment service provider for processing the payment you have arranged. This is lawful under Article 6 para. 1 lit. f GDPR.

4. Categories of personal data that are processed

Personal data includes all information that refers to a specific or identifiable natural person. The personal data of passengers processed in connection with the processing purposes mentioned in section 3 are the following:

a) identification data and contact details of the passenger.

b) travel data, type of service.

For the in section 3 b) aforementioned processing of complaints additionally:

c) date of receipt of any complaints and the reasons for the complaint indicated in the form filled in by the passenger.

d) any additional information provided by the passenger together with a complaint, including, if applicable, special categories of personal data (e.g. data on health).

For the purpose mentioned under section 3 c) in addition to section 4 a, b:

e) payment data

The provision of personal data by passengers is voluntary. There is no legal or contractual obligation for the passenger to provide Flix with personal data. However, Flix may only be able to provide certain services to a limited extent or not at all, if the passenger does not provide the data required for this purpose.

Insofar as the personal data may not have been provided directly by the passenger, Flix has generally received this data as part of the booking process on the Flix-website.

5. Categories of recipients

a) Internal controllers

Under certain conditions, we share personal data about you for the purpose of internal management within the companies of FlixBus, as far as this is permissible.

For example, personal data can also be forwarded to Flix SE for the purpose of internal management on the basis of the legitimate interest of the controller of the processing - e.g. the need for correct and appropriate processing and handling of passenger complaints. Further details can also be found in the Flix SE privacy policy at the following link Data Privacy → FlixBus

b) External controller

As with any major company, we also use external domestic and foreign service providers to handle our business transactions and work with partner companies at home and abroad.

These include, for example:

  • sales partners
  • shop operators
  • security companies
  • other partners engaged for our business operations (e.g. auditors, banks, insurance companies, payment service providers, lawyers, supervisory authorities, other parties participating in company acquisitions)

c) Internal Processors

  • customer service providers (internal)
  • (IT) service providers

d) External Processors

  • customer service providers (external)
  • (IT) service providers
  • operating partners (you can find an overview of the current carriers here)

To the extent that the recipients work for us as processors, we enter into a contract with them and they must provide guarantees that appropriate technical and organizational measures are in place, that the processing meets legal requirements and that the rights of the data subjects are respected.

Passenger personal data is only accessible to persons acting on behalf of the controller or Processor.

We may also transmit personal data to public bodies and institutions (e.g. police, public prosecutor’s office, supervisory authorities) if there is a corresponding obligation/authorization.

6. Transfer of data abroad

In connection with the processing referred to in section 3, personal data may be transferred to a third country (in particular the USA). A third country is a country outside the European Union (EU) and outside the European Economic Area (EEA). In this case, we ensure through suitable measures that the level of data protection of the recipient/recipient country is not lower than the level of protection applicable in the EU/EEA.

Suitable measures can be, for example:

7. Duration of data storage and deletion

Passengers’ personal data will be stored only as long as necessary for the purposes according to section 3 for which the data is collected and subsequently processed.

In any case, the Controller may be obliged and/or entitled to keep the passengers’ personal data, in whole or in part, for a longer period of time - for example, but not exclusively, for the establishment, exercise or defense of legal claims within the respective applicable limitation period.

8. Rights of affected persons

The passenger as an affected person according to the GDPR has the following rights:

Right to information

The passenger may request information under Art. 15 GDPR about his personal data processed by Flix. In the request for information, the passenger should clarify his concern in order to make it easier for the Controller to compile the necessary data. The Controller may require information to confirm the passenger’s identity to ensure they have the right to access the personal data.

Upon request, the Controller will provide the passenger with a copy of the data that is the subject of the processing. Passengers will not have to pay a fee to access their personal data (or to exercise any of the other rights). However, Flix may charge a reasonable fee if the request is clearly unfounded, repetitive or excessive. Flix may also refuse to comply with such a request.

Right to rectification

If the information concerning the passenger is not (or no longer) accurate, the passenger may request a correction in accordance with Art. 16 GDPR. If the passengers’ data is incomplete, the passenger may request its completion.

Right to deletion

The passenger can demand the deletion of his personal data under the conditions of Art. 17 GDPR. This right to erasure depends, among other things, on whether the data concerning the passenger is still needed by the controller to fulfill his legal duties.

Right to restriction of processing

Within the framework of the requirements of Art. 18 GDPR, the passenger has the right to request a restriction of the processing of the data concerning the passenger.

Right to data portability

Under the specifications of Art. 20 GDPR, the passenger has the right to receive data that the passenger has provided to the controller in a structured, common and machine-readable format or to demand that it is transferred to another responsible party.

Right to object

In accordance with Art. 21 para. 1 GDPR, the passenger has the right to object at any time to the processing of data relating to him, that was collected under Art. 6 para. 1 lit. f GDPR, for reasons arising from the passengers’ particular situation. Afterwards, processing of that passenger’s data can then only take place if Flix is able to prove that there are legitimate reasons for the processing, which take precedence over the interests, rights and freedoms of the passenger, or in the case that the processing serves for the establishment, exercise or defense of legal claims by Flix.

In accordance with Art. 21 para. 2 GDPR, the passenger can object to being approached by advertising at any time with effect for the future (objection to advertising in the case of direct advertising).

Right of complaint

If the passenger is of the opinion that the controller has not complied with data protection regulations when processing his data, the passenger can complain about the processing of his personal data to a data protection supervisory authority.

Right to revoke consent (where provided)

The passenger can revoke the consent to the processing of his data at any time for the future. The lawfulness of the processing based on the consent prior to its revocation remains unaffected by the revocation.

This also applies to declarations of consent given before the GDPR came into force, i.e. before 25.05.2018.

The passenger may assert his rights as an affected person against the Controller at any time, in particular by using the contact details provided in sections 1 and 2 above.

9. Amendment

This Privacy Notice may be amended from time to time due to the introduction of new purposes and methods of processing. The Controller, at his own discretion, will inform the passengers in a timely and appropriate manner of any such amendments.

Version 1.0