Datenschutzhinweise zum Kundenkonto

Bei Nutzung des Kundenkontos verarbeiten die Unternehmen DB Vertrieb GmbH, DB Fernverkehr AG und DB Regio AG Ihre Daten als gemeinsam Verantwortliche. Diese haben in einer Vereinbarung festgelegt, wer von ihnen welche datenschutzrechtlichen Verpflichtungen erfüllt. Das Wesentliche dieser Vereinbarung finden Sie in diesem Datenschutzhinweis.

Sollten Sie Fragen oder Anregungen zum Datenschutz haben, kontaktieren Sie bitte eine der aufgeführten Verantwortlichen:

DB Vertrieb GmbH
Europa-Allee 70-76
60486 Frankfurt

p.d-datenschutz@deutschebahn.com

DB Fernverkehr AG
Europa-Allee 78-84
60486 Frankfurt

fv‐datenschutz@deutschebahn.com

DB Regio AG
Europa-Allee 70-76
60486 Frankfurt

datenschutz.regio@deutschebahn.com

Die bestellte Datenschutzbeauftragte für alle drei genannten Verantwortlichen ist Frau Dr. Marein Müller.

Weitere Details zur Ausgestaltung des Kundenkontos entnehmen Sie bitte auch unseren Kundenkonto-Nutzungsbedingungen.

Die aufgeführten Unternehmen haben in einer Vereinbarung festgelegt, wer von ihnen welche Aufgaben bei der gemeinsamen Verarbeitung wahrnimmt. Das Wesentliche dieser Vereinbarung ist nachfolgend für Sie aufgeführt.

Für die folgenden Zwecke liegen die Verantwortlichkeiten bei der DB Vertrieb GmbH

• Zahlungsabwicklung in Zusammenhang mit den Vertriebsdienstleistungen und Einspruchsbehandlung 
• Bonitätsprüfung und Maßnahmen zur Betrugsprävention 

Für die folgenden Zwecke liegen die Verantwortlichkeiten bei der DB Fernverkehr AG

• Bereitstellung, Betrieb und Störungsmanagement der Vertriebsinfrastruktur
• Loyalitätsprogramm (BahnBonus)
• Verkauf von Fahrkarten im Fernverkehr inklusive digitaler Bereitstellung sowie Bestellung und Verkauf von BahnCard und BahnBonus 
• Marketing, Kommunikation und Kundenbetreuung 
• Durchführung von statistischen Analysen 

Für die folgenden Zwecke liegen die Verantwortlichkeiten bei der DB Vertrieb GmbH und der DB Regio AG

• Kundenschreiben (z.B. Abo-Kundinnen und -kunden) und Werbemaßnahmen
• Regionale Angebote

Für die folgenden Zwecke liegen die Verantwortlichkeiten bei der DB Vertrieb GmbH, der DB Fernverkehr AG und der DB Regio AG

• Nutzung von Websites und Apps für den Vertrieb von Produkten und Services und die Bereitstellung von Informationen für Marketing-Kommunikation
• Prozesse im Zug (z.B. Fahrkartenverkauf und -kontrolle, Fahrpreisnacherhebung)
• Abwicklung und Auszahlung von Kulanzen und Entschädigungen (z.B. bei Störungen, unvorhergesehenen Ereignissen)
• Umsetzung der Betroffenenrechte, Beschwerdemanagement, Serviceanliegen und Kundendialog

Wir erheben und verarbeiten Ihre Daten aus dem Kundenkonto ausschließlich zu bestimmten Zwecken. Diese können sich aus technischen Notwendigkeiten, vertraglichen Erfordernissen oder Ihren ausdrücklichen Wünschen ergeben.

Die Verarbeitung Ihrer Daten im Rahmen Ihres Kundenkontos erfolgt auf Basis von Art. 6 Abs. 1 lit. b) DSGVO. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind, etwa in Fällen von Anfragen zu unseren Produkten oder Leistungen.

Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung von Ihnen einholen (z.B. wenn Sie den Newsletter bestellen oder die 'Angemeldet-bleiben'-Option nutzen), dient diese nach Artikel 6 Absatz 1 lit. a) DSGVO als Rechtsgrundlage.

Unterliegt unser Unternehmen einer rechtlichen Verpflichtung, durch welche eine Verarbeitung von personenbezogenen Daten erforderlich wird, wie beispielsweise zur Erfüllung steuerlicher Pflichten, so basiert die Verarbeitung auf Art. 6 Abs. 1 lit. c) DSGVO.

Wir möchten Ihnen auf Basis vorheriger und aktueller Nutzung des Kundenkontos personalisierte Inhalte zeigen, um unser Angebot für Sie interessanter auszugestalten. Hierzu speichern und analysieren wir Nutzungsdaten aus dem Online-Bereich auf pseudonymer Basis. Bei einer weiteren Ticketbuchung können wir Ihnen dann besondere Vorteile wie Fahrvergünstigungen und kostenlose Sitzplatzreservierungen anbieten. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. f) DSGVO.

Im Folgenden finden Sie diejenigen Datenverarbeitungen näher beschrieben, die bei der Registrierung zum Kundenkonto und bei dessen Nutzung stattfinden.

Dies betrifft im Einzelnen:

Anlegen des Kundenkontos
Um ein Kundenkonto anzulegen werden folgende Pflichtangaben erhoben:

• Benutzername (E-Mail-Adresse) und Passwort

Ohne Angabe dieser Daten kann kein persönliches Konto erstellt werden. Weitere Angaben zu Ihrer Person und Ihrem Reiseprofil sind freiwillig oder können erforderlich werden, wenn Sie bestimmte Funktionen des Kundenkontos in Anspruch nehmen wollen (z.B. die Angabe von Vor- und Nachname für die Buchung von Fahrkarten). Wir speichern Ihre Buchungs- und Anmeldedaten in Ihrem Kundenkonto und nutzen diese zu internen Analyse- und Marktforschungszwecken.

Sicherheitsfunktion Zwei-Faktor-Authentifizierung
Zur Erhöhung des Zugriffsschutzes auf Ihr Kundenkonto können Sie im Account-Manager Ihres Kundenkontos die Zwei-Faktor Authentifizierung (2FA) einrichten. Sie beruht auf einem zusätzlichen Einmal-Passwort, welches bei jeder Anmeldung neu generiert wird und zur Anmeldung im Kundenkonto angegeben werden muss. Sie können hierfür eine Mobilfunknummer hinterlegen, auf welche dieses Einmal-Passwort per SMS gesendet wird, oder eine Authentifizierungs-App einrichten, mit welcher Sie sich das Einmal-Passwort in der Regel in Form eines 6-stelligen Zahlencodes generieren und anzeigen lassen.

Komfortfunktion Gerät merken
Für mehr Komfort im Zusammenhang mit der Zwei-Faktor-Authentifizierung können Sie bei der Anmeldung mit dem Einmal-Passwort unser Feature "Gerät merken" aktivieren. Dadurch wird das verwendete Gerät für den angegebenen Zeitraum mit einem Datenpaket/Browser-Cookie (KC_2FA_TRUSTED_DEVICE) als vertrauenswürdiges Gerät gekennzeichnet. Während dieses Zeitraums pausiert die Zwei-Faktor-Authentifizierung an diesem Gerät. Sie wird erneut angefordert nach Ablauf dieses Zeitraums oder nachdem Sie dieses Gerät im Account-Manager aus der Liste der vertrauenswürdigen Geräte entfernt haben oder falls das Cookie gelöscht wurde. Sie können zugleich mehrere vertrauenswürdige Geräte merken lassen. Zu Ihrer Orientierung wird jedes gemerkte Gerät mit einer automatisch generierten Benennung und dem Datum im Account-Manager gelistet. Die Benennung kann nach eigenem Belieben angepasst werden.

Benachrichtigung über Kontovorgänge per E-Mail
Bei bestimmten Änderungen an personenbezogenen Daten in Ihrem Kundenkonto, z.B. der Angaben über hinterlegte Zahlungsmittel, erhalten Sie eine E-Mail-Benachrichtigung, damit Sie informiert sind und Maßnahmen ergreifen können, falls diese Änderung nicht erwünscht war. Dieser Benachrichtigungsdienst erfolgt aus Sicherheitsgründen, hat keine werblichen Zwecke und wird weiter ausgebaut.

Buchung eines Digitalen Tickets
Bei der Buchung von Digitalen Tickets werden Adressdaten sowie Name und Vorname aus dem Kundenkonto übernommen. Bei Buchung von internationalen Fahrkarten über international-bahn.de/bahn.com und einigen regionalen Angeboten wird zusätzlich das Geburtsdatum, falls im Kundenkonto hinterlegt, übernommen. Im Zug werden bei der Kontrolle diejenigen Informationen im Kontrollgerät angezeigt, die sich auf dem Ticket befinden.

Buchung einer BahnCard
Beim Erwerb einer BahnCard werden Kontakt- und Identifizierungsdaten aus dem Kundenkonto übernommen. Nähere Informationen zur Datenverarbeitung im Zusammenhang mit der BahnCard finden Sie unter: https://www.db-fernverkehr.com/datenschutzhinweise/datenschutz-bahncard.

Zahlungsdaten im Kundenkonto
Ihre Zahlungsinformationen verarbeiten wir zum Zwecke der Zahlungsabwicklung z.B. wenn Sie ein Produkt über bahn.de/bahn.com erwerben. Je nach Bezahlmethode leiten wir Ihre Zahlungsinformationen an Dritte weiter: Im Rahmen des Angebots einzelner Bezahlmethoden arbeiten wir mit Partnerunternehmen zusammen. Die Möglichkeit zur Zahlung über „PayPal“ stehen Ihnen zur Verfügung, ohne dass dafür Zahlungsinformationen in Ihrem Kundenkonto gespeichert werden.

• Anmeldung zum SEPA-Lastschriftverfahren
  Bei der Anmeldung zum SEPA Lastschriftverfahren erteilen Sie uns ein SEPA-Mandat, auf dessen Basis wir die Zahlungen von Ihrem Bankkonto mittels SEPA-Lastschrift einziehen, wenn Sie dieses Zahlungsmittel auswählen. Rechtsgrundlage hierfür ist Art. 6 lit. b) DSGVO.
   
• Online-Freischaltung des SEPA-Lastschriftverfahrens 
  Für die sichere Zahlung mit dem SEPA-Lastschriftverfahren stellen wir Ihnen Methoden zur Online-Überprüfung des Kontozugriffs per OpenBanking über die Tink Germany GmbH (Gottfried-Keller-Straße 33, 81245 München) oder Verimi GmbH (Oranienstraße 91, 10969 Berlin) oder zur Online-Identitätsprüfung über die Verimi GmbH bereit. An Abhängigkeit davon, welche Prüfmethode Sie auswählen, werden Ihre personenbezogenen Daten (die angegebene Bankverbindung, Name und Email-Adresse) unter Ihrer Anleitung an den Dienstleister übermittelt. Im sich automatisch öffnenden Dialog des Dienstleisters werden Sie durch die ausgewählte Funktion geführt und über jeden einzelnen Schritt der Datenverarbeitung informiert. Sobald Sie die Prüfung erfolgreich durchgeführt haben, können Sie mit dem Lastschriftverfahren bezahlen. Beide Dienstleister sind selbständig als Verantwortliche tätig. Die Verimi GmbH wird Ihnen die Nutzung Ihres Verimi-Kundenkontos, falls vorhanden, oder die Anlage eines neuen Kundenkontos anbieten, dass Ihnen später auch bei anderen Identitätsprüfungsverfahren behilflich ist. Die Tink Germany GmbH und Verimi GmbH sind zugelassene Kontoinformationsdienste, die auch für Banken tätig sind, und verarbeiten Ihre Daten nur für die wenigen Minuten der Kontozugriffsprüfung. 
  Weitere Informationen erhalten Sie auch im Datenschutzhinweis im Dialogfenster des jeweiligen Anbieters.
   
• Zahlung mittels Kreditkarte
  Für die sichere Abwicklung der von Ihnen veranlassten Zahlungen werden die erforderlichen Zahlungsdaten (Betrag, Buchungsreferenz, Buchungsbeschreibung, Zahlungspflichtiger) aus dem Kundenkonto an einen Zahlungsdienstleister übermittelt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b) DSGVO. Unser Zahlungsdienstleister für die Abwicklung von Kreditkartenzahlungen ist die PAYONE GmbH, Lyoner Straße 9, 60528 Frankfurt am Main. Wie Payone Ihre Daten verarbeitet, finden Sie im Datenschutzhinweis von Payone: https://www.payone.com/dsgvo/. Die Verarbeitung der Daten Ihrer Kreditkarte für die Zahlung oder für die Hinterlegung im eigenen Kundenkonto sowie die Anwendung der Sicherheitsmaßnahmen des Herausgebers Ihrer Kreditkarte wie 3D-Secure und starke Authentifizierung erfolgen unmittelbar beim Zahlungsdienstleister. Wir erhalten keinen Zugang zu Ihren vollständigen Kreditkartendaten und speichern nur eine Referenz in Form einer gekürzten Kreditkartennummer, damit Sie diese wiedererkennen können. Für Zwecke der Betrugsprävention wird mithilfe eines Auftragsverarbeiters ein sogenannter "Fingerprint" Ihres Gerätes oder Browsers zusammen mit den Zahlungsdaten verarbeitet. Dies dient Ihrem und unserem Schutz, um der missbräuchlichen Verwendung Ihres Zahlungsmittels zur Zahlung bei bahn.de/bahn.com vorbeugen zu können. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. f) DSGVO.

Anfragen rund um Ihre Buchung
Bei Anfragen rund um Ihre Buchung mittels des Kontaktformulars / Chatbot werden Ihre Angaben aus dem Kundenkonto inklusive der von Ihnen dort angegebenen Kontaktdaten zwecks Bearbeitung der Anfrage und für den Fall von Anschlussfragen durch uns übernommen.

Abo-Online-Bestellung
Bei der Bestellung einer Zeitkarte im Abo werden Kontakt- und Zahlungsdaten aus dem Kundenkonto übernommen. Je nach Angebot können auch Identifizierungsdaten wie z.B. Geburtsdatum oder Lichtbild erforderlich sein. Ihr bestehendes Abonnement wird im Kundenkonto angezeigt.

Anmeldung zum Newsletter
Melden Sie sich in Ihrem Kundenkonto zu einem Newsletter an, werden die erforderlichen Daten aus dem Kundenkonto übernommen.
Bei der Anmeldung zum Newsletter speichern wir zudem die vom Internet-Service-Provider (ISP) vergebene IP-Adresse Ihres zum Zeitpunkt der Anmeldung verwendeten Endgerätes sowie das Datum und die Uhrzeit der Anmeldung. Die Erhebung dieser Daten ist erforderlich, um den (möglichen) Missbrauch der E-Mail-Adresse einer betroffenen Person zu einem späteren Zeitpunkt nachvollziehen zu können und dient deshalb unserer rechtlichen Absicherung. Um Ihnen ansprechende und für Sie relevante Inhalte anbieten zu können, erfassen wir Ihr Interesse an den Inhalten des Newsletters anhand des Anklickens und der Anzeige von Inhalten mittels individualisierter Links. Sie können sich jederzeit vom Newsletter wieder abmelden, indem Sie den Abmelde-Link unten in Ihrem Newsletter anklicken.

Teilnahme an Gewinnspielen
Im Rahmen von Gewinnspielen werden Daten zu deren Abwicklung erhoben. Die Einzelheiten hierzu, wie z.B. welche Daten zu welchem Zweck erhoben werden, finden Sie auf der Seite des jeweiligen Gewinnspiels.

Für die Vertragsabwicklung ist in der Regel die Einschaltung weisungsabhängiger Auftragsverarbeiter erforderlich, wie z. B. von Rechenzentrumsbetreibern, Druck- oder Versanddienstleistern oder sonstigen an der Vertragserfüllung Beteiligten. 

Externe Dienstleister, die für uns im Auftrag Daten verarbeiten, werden von uns sorgfältig ausgewählt und vertraglich streng verpflichtet. Die Dienstleister arbeiten nach unserer Weisung, was durch strenge vertragliche Regelungen, durch technische und organisatorische Maßnahmen und durch ergänzende Kontrollen sichergestellt wird.

Eine Übermittlung Ihrer Daten erfolgt im Übrigen nur, wenn Sie uns dazu eine ausdrückliche Einwilligung erteilt haben oder aufgrund einer gesetzlichen Regelung. Eine Übermittlung in Drittstaaten außerhalb der EU/des EWR oder an eine internationale Organisation findet nicht statt, es sei denn, es liegen angemessene Garantien vor. Dazu gehören die EU-Standardvertragsklauseln sowie ein Angemessenheitsbeschluss der EU-Kommission. Eine Weitergabe kann beispielsweise in folgenden Konstellationen zum Zwecke der Vertragsabwicklung bei Buchung auf bahn.de/bahn.com erforderlich sein:

• Abschluss von Reiseversicherungen
• Kauf von Hotelleistungen
• Nutzung des Mietwagenangebots
• Bei der Inanspruchnahme des Mobilitätsservice werden Ihre Daten an die jeweiligen Stellen im DB-Konzern weitergegeben, die daran beteiligt sind
• Bonitätsprüfung bei Anmeldung zum Lastschriftverfahren durch die Experian Solutions GmbH
• Im Falle von Zahlungsunregelmäßigkeiten / Zahlungsausfall können Forderungsdaten an ein Inkassounternehmen weitergegeben werden

Die Partnerangebote, die Sie auf bahn.de/bahn.com finden, buchen Sie direkt bei diesen Partnerunternehmen. Weitere Informationen dazu finden Sie unter dem Punkt "Werden Inhalte von Dritten eingebunden?".

Wir speichern Ihre Daten nur so lange, wie sie für die Erfüllung des Zwecks, zu dem sie erhoben wurden (bspw. im Rahmen eines Vertragsverhältnisses) erforderlich sind oder sofern dies gesetzlich vorgesehen ist. So speichern wir im Rahmen eines Vertragsverhältnisses Ihre Daten mindestens bis zur vollständigen Beendigung des Vertrages. Anschließend werden die Daten für die Dauer der gesetzlichen Aufbewahrungsfristen aufbewahrt.

Ihr Zugang zum Kundenkonto kann nach 24 Monaten Inaktivität automatisch gelöscht werden.

Neben den beim Besuch der Webseite eingesetzten Cookies können bei Nutzung des Kundenkontos folgende Cookies angewendet werden:

CrossEngage
Wenn Sie Inhaber eines bahn.de-Kundenkontos sind, können Ihnen persönliche Angebote und Aktionen angezeigt werden, nachdem Sie sich eingeloggt haben. Falls Sie dem Einsatz von Marketing-Cookies zugestimmt haben, wird zusätzlich Ihr Online-Nutzungsverhalten berücksichtigt. Für die Gestaltung der persönlichen Inhalte auf bahn.de werden Cookies mit einer Laufzeit von 13 Monaten in Ihrem Browser gesetzt. Die hierbei verwendeten Daten werden pseudonymisiert auf Servern unseres Dienstleisters CrossEngage GmbH (Bertha-Benz-Str. 5, 10557 Berlin) verarbeitet. Rechtsgrundlage für den Einsatz der Technologie ist § 25 Abs. 2 Nr. 2 TDDDG in Verbindung mit Art. 6 Abs. 1 lit. b) DSGVO.

• Sie können Auskunft darüber verlangen, welche Daten über Sie gespeichert sind.
• Sie können Berichtigung, Löschung und Einschränkung der Verarbeitung (Sperrung) ihrer personenbezogenen Daten verlangen, solange dies gesetzlich zulässig und im Rahmen eines bestehenden Vertragsverhältnisses möglich ist.
• Sie haben das Recht, Beschwerde bei einer Aufsichtsbehörde einzulegen. Die für die aufgeführten Verantwortlichen zuständige Aufsichtsbehörde ist: Der Hessische Beauftragte für Datenschutz und Informationsfreiheit, Gustav-Stresemann-Ring 1, 65189 Wiesbaden
• Sie haben das Recht auf Übertragbarkeit derjenigen Daten, die Sie uns auf der Basis einer Einwilligung oder eines Vertrages bereitgestellt haben (Datenübertragbarkeit).
• Wenn Sie uns eine Einwilligung zur Datenverarbeitung erteilt haben, können Sie diese jederzeit auf demselben Weg widerrufen, auf dem Sie sie erteilt haben. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.
• Sie können der Datenverarbeitung aus Gründen, die sich aus Ihrer besonderen Situation ergeben, widersprechen, wenn die Datenverarbeitung aufgrund unserer berechtigten Interessen erfolgt oder für die Wahrnehmung einer öffentlichen Aufgabe erforderlich ist.
• Sie können der werblichen Ansprache jederzeit mit Wirkung für die Zukunft widersprechen (Werbewiderspruch).

Zwischen DB Vertrieb, DB Fernverkehr und DB Regio besteht eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO. In einer Vereinbarung haben die Parteien festgelegt, wer welche Verpflichtungen aus der DSGVO erfüllt. Unabhängig davon können Sie Ihre Rechte jederzeit gegenüber den oben genannten Vertragspartnern geltend machen. Sofern Sie uns anschreiben, Ihr Anliegen aber den Verantwortungsbereich des von Ihnen genutzten Dienstes betrifft, leiten wir dieses an ihn weiter. 

Für die Ausübung Ihrer Rechte reicht ein Schreiben auf dem Postweg an:

DB Vertrieb GmbH
Europa-Allee 70-76
60486 Frankfurt

oder per E-Mail an p.d-datenschutz@deutschebahn.com.

Wir passen den Datenschutzhinweis an veränderte Funktionalitäten oder geänderte Rechtslagen an. Daher empfehlen wir, den Datenschutzhinweis in regelmäßigen Abständen zu Kenntnis zu nehmen.

Aktueller Stand: Februar 2025