1. Allgemeines
Die Graz-Köflacher Bahn und Busbetrieb GmbH (im Folgenden auch „GKB“) verarbeitet Daten gemäß den Bestimmungen der europäischen Datenschutzgrundverordnung (DSGVO), des Datenschutzgesetzes (DSG) und des Telekommunikationsgesetzes 2021 (TKG 2021).
Die vorliegende Datenschutzerklärung beschreibt, wie die GKB Ihre personenbezogenen Daten verarbeitet.
2. Was sind personenbezogene Daten?
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (z.B. Name, Kontaktdaten, Adressdaten, Rechnungsdaten, IP-Adressen etc.).
3. Wie werden Ihre personenbezogenen Daten von uns verarbeitet?
Je nachdem, ob Sie unsere Webseite besuchen, eine Dienstleistung von uns in Anspruch nehmen oder in eine sonstige Beziehung mit uns treten, verarbeiten wir Ihre Daten auf verschiedene Art und Weise. Die einzelnen Datenverarbeitungen werden nachfolgend angeführt:
3.1. Umfang und Zweck der Datenverarbeitung beim Besuch unserer Webseiten
Die Informationen in diesem Abschnitt gelten für unsere folgenden Webseiten und deren Unterseiten:
- https://www.gkb.at/
- https://gkb.vemap.com/home/willkommen/
- https://bmd.gkb.at/bmdweb2nsso/bmdweb2.dll/EXEC/exukeiyecpvvbfhyozoi/
3.1.1. Protokolldaten auf den Webservern
Unsere Webseiten-Provider erheben und speichern auf ihren Web-Servern temporär automatisch Informationen in sogenannten Protokolldateien, die Ihr Browser automatisch an uns übermittelt. Dies erfolgt auf Basis unseres überwiegend berechtigten Interesses (Art 6 Abs 1 lit f DSGVO) zum Zweck der Systemsicherheit und Betriebsstabilität, und beinhaltet folgende Datenkategorien:
- Domain-Namen
- Browsertyp und Browserversion
- verwendetes Betriebssystem
- Referrer URL
- Hostname des zugreifenden Rechners
- Uhrzeit und Datum der Serveranfrage
- IP-Adresse des anfragenden Rechners
- http Antwort-Code
- Anzahl der im Rahmen der Verbindung transferierten Datenmengen
Bei jedem Zugriff von Nutzer:innen auf unsere Seiten und bei jedem Abruf einer Datei werden Daten über diesen Vorgang in einer Protokolldatei gespeichert. Wir behalten uns vor, diese Protokolldatei anonymisiert auszuwerten und auf Basis unseres überwiegend berechtigten Interesses (Art 6 Abs 1 lit f DSGVO) zum Zweck der Verbesserung unseres Internetangebotes zu nutzen.
Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen.
Die oben genannten personenbezogenen Daten in Protokolldateien werden 7 Tage gespeichert.
Für den Betrieb unserer Webseiten kann es notwendig sein, dass wir Ihre Daten den folgenden Empfänger:innen offenlegen:
Empfänger:innen |
Tätigkeit |
Rechtsgrundlage |
Geschäftssitz |
Marcher Event- & Werbeagentur GmbH |
Website-Hosting, Wartung der Website |
Art 6 Abs 1 lit f DSGVO |
Österreich |
ALL-INKL.COM - Neue Medien Münnich |
Website-Hosting, Betrieb der Webseite |
Art 6 Abs 1 lit f DSGVO |
Deutschland |
Cloudflare Germany GmbH mit Cloudflare, Inc. |
CDN Netzwerk, Website-Firewall und Schutz vor Schadsoftware |
Art 6 Abs 1 lit f DSGVO |
Deutschland, |
3.1.2. Datensicherheit und weitere Sicherungsmaßnahmen iSd Art 28 DSGVO
Zum Schutz der Webseiten setzt unser Auftragsverarbeiter Neue Medien Muennich GmbH eine Web Application Firewall seines Subauftragsverarbeiters Cloudflare Germany GmbH ein. Diese Web Application Firewall arbeitet als Filter und somit als Schutzmechanismus zwischen unseren Servern und potenziell bösartigen Datenverkehr aus dem Internet. Sie schützt vor betrügerischen Aktivitäten wie Bad Bots oder Hacking-Versuchen. Mit der dabei eingesetzten CDN-basierten Technologie eines global verteilten Anycast-Netzwerks ist eine hohe Verfügbarkeit und Redundanz bei Netzwerkausfällen garantiert. CDNs bieten oft Sicherheitsfunktionen wie HTTPS-Verschlüsselung, Bot-Schutz und Web Application Firewall (WAF)-Funktionen, um Websites vor verschiedenen Arten von Bedrohungen zu schützen.
Damit verbunden kann es allerdings vorkommen, dass personenbezogene Daten der Webseitenbesucher:innen auch außerhalb der EU/EWR und sicheren Drittstaaten verarbeitet werden. Wir senden aktiv keine persönlichen Informationen an die Cloudflare Germany GmbH, jedoch kann die Cloudflare Germany GmbH im Zuge der Überprüfung des Datenverkehrs auf potenziell bösartige Inhalte auch personenbezogene Informationen der Webseitenbesucher:innen verarbeiten, wie beispielsweise IP-Adressen.
Zur Sicherstellung eines angemessenen Datenschutzniveaus im Zuge des Einsatzes der Web Application Firewall von Cloudflare Germany GmbH wurde eine entsprechende Vereinbarung abgeschlossen. Ein angemessenes Datenschutzniveau bei Verarbeitungstätigkeiten in Drittländern ist durch die Nutzung der EU-Standardvertragsklauseln (2010/87/EU) der Europäischen Kommission garantiert. Seit Juli 2023 ist Cloudflare, Inc. im EU-U.S. Data Privacy Framework als zertifiziertes Unternehmen eingetragen und ist somit gem. Angemessenheitsbeschluss der europäischen Kommission einer Verarbeitung innerhalb der EU/EWR gleichgestellt.
Für die Umsetzung der technischen Sicherheitsmaßnahmen unserer Webseiten kann es also notwendig sein, dass wir Ihre Daten den folgenden Empfänger:innen offenlegen:
Empfänger:innen |
Tätigkeit |
Rechtsgrundlage |
Geschäftssitz |
Neue Medien Muennich GmbH |
Website-Hosting, Wartung der Website |
Art 6 Abs 1 lit f DSGVO |
Deutschland |
Cloudflare Germany GmbH mit Cloudflare, Inc. |
CDN Netzwerk, Website-Firewall und Schutz vor Schadsoftware |
Art 6 Abs 1 lit f DSGVO |
Deutschland, |
3.1.3. Technische Daten in Cookies
Wenn Sie unsere Webseiten besuchen, können weiters folgende Daten als technische Cookies verarbeitet werden:
- Eindeutige ID für CDN Funktionalität
- Eindeutige ID für Cookie Zusimmung/Ablehnung
- STATUS für Cookie Zusimmung/Ablehnung
Die eingesetzten „technischen“ Cookies sind aktiviert, sobald Sie unsere Webseiten besuchen. Sie dienen dazu, unser Angebot nutzer:innenfreundlicher und effektiver zu machen. Cookies sind kleine Textdateien, die auf Ihrem Rechner abgelegt werden und die Ihr Browser speichert.
Sie können das Speichern von Cookies in ihrem Browser entweder deaktivieren oder eine Benachrichtigung aktivieren, sobald Cookies gesendet werden. Wenn Sie keine Cookies verwenden, kann es zu Beeinträchtigungen bei der Nutzung unserer Websites kommen.
Cookies ermöglichen eine Analyse der Benutzung der Webseite. Sie dienen zur Wiedererkennung und Speicherung temporärer Daten der Webseitenbesucher:innen. Wir nutzen Cookies grundsätzlich nur im erforderlichen minimalen Umfang, um über die Website mit Ihnen zu kommunizieren.
Folgende Cookies (First Party) werden auf Basis unseres überwiegend berechtigten Interesses (Art 6 Abs 1 lit f DSGVO) auf unserer Webseite eingesetzt:
Cookie |
Zweck, |
Speicherdauer |
Empfängerin, Geschäftssitz |
b17fbae38e2452bb5387… |
technisches Cookie; |
Session |
GKB, Österreich |
EUCookieConsent |
technisches Cookie; |
6 Monate |
GKB, Österreich |
reDimCookieHint |
technisches Cookie; |
Session |
GKB, Österreich |
Folgende Cookies und Drittanfragen (Third-Party) werden auf Basis unseres überwiegend berechtigten Interesses (Art 6 Abs 1 lit f DSGVO) auf unserer Webseite eingesetzt:
Drittanfrage an Host |
Zweck, |
Geschäftssitz |
cdnjs.cloudflare.com |
CDN Netzwerk, |
Deutschland, USA |
3.1.4. Links auf externe Anbieter:innen
Einzelne Seiten können Links auf andere Anbieter:innen außerhalb unseres Einflussbereichs enthalten, auf die sich die Datenschutzerklärung nicht erstreckt, d. h., für diese Inhalte können wir keinerlei Haftung übernehmen. Wir wählen die verlinkten Inhalte sorgfältig aus, sollte aber ein Link fehlerhaft sein, informieren Sie uns bitte. Wir werden ihn umgehend entfernen oder aktualisieren.
3.2. Umfang und Zweck der Datenverarbeitung auf Social Media Plattformen
3.2.1. Facebook und Instagram
Wir verwenden auf unserer Website die Dienste „Facebook“ und „Instagram“ der Meta Platforms Ireland Limited, 4 Grand Canal Square Grand Canal Harbour, Dublin 2, Ireland, ein Unternehmen von „Meta“. Wir weisen Sie darauf hin, dass Sie diese Dienste sowie die Facebook- und Instagram-Seite in eigener Verantwortung nutzen. Beim Besuch unserer Website erfasst „Meta“ u.a Ihre IP-Adresse sowie weitere Informationen, die in Form von Cookies auf Ihrem Endgerät gespeichert sind.
Die in diesem Zusammenhang über Sie erhobenen Daten werden von der Meta Platforms Ireland Limited verarbeitet und dabei gegebenenfalls auch in Länder außerhalb der Europäischen Union übertragen. Welche Informationen „Meta“ erhält und wie diese verwendet werden, beschreibt „Meta“ in allgemeiner Form in seinen Datenverwendungsrichtlinien. Dort finden Sie auch Informationen über Kontaktmöglichkeiten zu „Meta“ sowie zu den Einstellmöglichkeiten. Die Datenverwendungsrichtlinie ist unter folgendem Link verfügbar: http://de-de.facebook.com/about/privacy
Zudem hat die US-amerikanische Meta Platforms, Inc. ihre Teilnahme am EU-U.S. Data Privacy Framework (Datenschutzrahmen zwischen der EU und den USA, „DPF“) gegenüber dem US-Handelsministerium zertifizieren lassen. Diese Zertifizierung bezieht sich auf die Verarbeitung personenbezogener Daten durch Meta USA, die ggf. aus dem Europäischen Wirtschaftsraum („EWR“) im Rahmen des DPF übermittelt werden, und ermöglicht eine solche Übermittlung.
Wir weisen jedoch darauf hin, dass wir keine Kenntnis vom vollständigen Inhalt der übermittelten Daten sowie deren Nutzung durch „Meta“ haben. Wenn Sie nicht möchten, dass „Meta“ den Besuch unserer Seiten Ihrem Account zuordnen kann, sollten Sie sich bei Ihrem „Meta“-Account abmelden beziehungsweise die Funktion „angemeldet bleiben“ aktivieren, die auf Ihrem Gerät vorhandenen Cookies löschen sowie Ihren Browser beenden und neu starten.
3.2.2. YouTube
Wir verwenden auf unserer Website den Dienst „YouTube“ des Unternehmens Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.
Wir weisen Sie darauf hin, dass Sie die YouTube-Seite in eigener Verantwortung nutzen. Beim Besuch unserer YouTube-Seite erfasst YouTube u.a. Ihre IP- Adresse sowie weitere Informationen, die in Form von Cookies auf Ihrem Endgerät gespeichert sind. Nähere Informationen finden Sie unter folgendem Link: https://www.youtube.com/static?gl=DE&template=terms&hl=de
Die in diesem Zusammenhang über Sie erhobenen Daten werden von der Google Ireland Limited verarbeitet und dabei gegebenenfalls in Länder außerhalb der Europäischen Union übertragen. Welche Informationen Google erhält und wie diese verwendet werden, beschreibt Google in allgemeiner Form in seinen Datenverwendungsrichtlinien unter folgendem Link: https://policies.google.com/privacy
In welcher Weise Google bzw. YouTube die Daten aus dem Besuch von YouTube-Seiten für eigene Zwecke verwendet, in welchem Umfang Aktivitäten auf der YouTube-Seite einzelnen Nutzern zugeordnet werden, wie lange YouTube diese Daten speichert und ob Daten aus einem Besuch der YouTube-Seite an Dritte weitergegeben werden, wird von YouTube nicht abschließend und klar benannt und ist uns nicht bekannt.
Die US-amerikanische Google LLC hat jedoch ihre Teilnahme am EU-U.S. Data Privacy Framework (Datenschutzrahmen zwischen der EU und den USA, „DPF“) gegenüber dem US-Handelsministerium zertifizieren lassen. Diese Zertifizierung bezieht sich auf die Verarbeitung personenbezogener Daten durch Google USA, die ggf. aus dem Europäischen Wirtschaftsraum („EWR“) im Rahmen des DPF übermittelt werden, und ermöglicht eine solche Übermittlung.
Wenn Sie als Nutzer:in aktuell bei YouTube angemeldet sind, ist auf Ihrem Endgerät aufgrund der Anmeldung ein Cookie mit Ihrer YouTube-Kennung gespeichert. Dadurch ist YouTube in der Lage nachzuvollziehen, dass Sie diese Seite aufgesucht und wie Sie sie genutzt haben. Über in Webseiten eingebundene YouTube-Buttons ist es YouTube möglich, Ihre Besuche auf diesen Webseiten zu erfassen und Ihrem YouTube-Profil zuzuordnen.
Wenn Sie nicht möchten, dass YouTube den Besuch unserer Seiten Ihrem Account zuordnen kann, sollten Sie sich bei Ihrem „YouTube“-Account abmelden, die auf Ihrem Gerät vorhandenen Cookies löschen sowie Ihren Browser beenden und neu starten. Informationen dazu, wie Sie über Sie vorhandene Informationen verwalten oder löschen können, finden Sie auf der YouTube Support-Seite unter https://support.google.com/youtube/answer/9315727
3.3. Umfang und Zweck der Datenverarbeitung im Magazin der GKB (Drehscheibe)
Das Magazin Drehscheibe dient lediglich zu Informationszwecken von Mitarbeitern, Kunden und Interessierten. Leserbriefe oder personalisierte Umfragen und dgl. sind nicht enthalten.
Das Magazin unterteilt sich in einen internen und externen Teil. Der interne Teil wird nur an Mitarbeiter:innen übermittelt, sodass getrennte Empfängerkreise vorliegen. Werden personenbezogene Daten wie etwa Fotos von Mitarbeiter:innen abgedruckt, wurden entsprechende Einwilligungen vorab eingeholt.
3.4. Umfang und Zweck der Datenverarbeitung bei Beschwerden an die GKB
Um unseren Service laufend zu verbessern, bieten wir Ihnen die Möglichkeit, telefonisch oder per Formular auf unserer Website Beschwerden an uns zu richten. Wenn Sie von dieser Möglichkeit Gebrauch machen, verarbeiten wir die von Ihnen im Rahmen der Beschwerde an uns übermittelte Daten.
Rechtsgrundlage für die Verarbeitung ist Art 6 Abs 1 lit b sowie lit f DSGVO.
Die oben genannten personenbezogenen Daten werden 7 Jahre gespeichert.
Bei dieser Verarbeitungstätigkeit kann es notwendig sein, dass wir Ihre Daten den folgenden Empfänger:innen offenlegen:
Empfänger:innen |
Tätigkeit |
Rechtsgrundlage |
Geschäftssitz |
Verkehrsverbund Steiermark |
Verwaltung |
Art 6 Abs 1 lit b und lit f DSGVO |
Österreich |
Dritte |
von der Beschwerde Betroffene |
Art 6 Abs 1 lit b und lit f DSGVO |
Österreich, |
3.5. Umfang und Zweck der Datenverarbeitung bei der Schüler- und Lehrlingsfreifahrt
Zur Erstellung der Fahrausweise für die Freifahrten laut Vereinbarung zur Regelung von Ausgabe und Abrechnung von Freifahrauseisen an Schüler- und Lehrlingsfreifahrt und zur Verrechnung mit den Verbundverrechnungstarifen im Verkehrsverbund Steiermark, ist es notwendig Ihre diesbezüglich bekanntgegebenen Daten zu verarbeiten.
Rechtsgrundlage für die Verarbeitung ist Art 6 Abs 1 lit b und lit c DSGVO.
Die diesbezüglichen personenbezogenen Daten werden 7 Jahre gespeichert. Die Daten in Papierform werden nach Erteilung der Entlastung (7 Jahre) ebenfalls vernichtet.
Bei dieser Verarbeitungstätigkeit kann es notwendig sein, dass wir Ihre Daten den folgenden Empfänger:innen offenlegen:
Empfänger:innen |
Tätigkeit |
Rechtsgrundlage |
Geschäftssitz |
Verkehrsverbund |
Verwaltung |
Art 6 Abs 1 lit b und lit c DSGVO |
Österreich |
Schulen, Lehrbetriebe |
Berechtigungsüberprüfung |
Art 6 Abs 1 lit b und lit c DSGVO |
Österreich |
3.6. Umfang und Zweck der Datenverarbeitung bei Ausschreibungen
Wir verarbeiten Ihre Daten im Rahmen von Ausschreibungen für Beschaffungen von Material und Dienstleistungen, wenn Sie freiwillig an solchen teilnehmen.
Rechtsgrundlage für die Verarbeitung ist Art 6 Abs 1 lit b und lit c DSGVO.
Die diesbezüglichen personenbezogenen Daten werden für 7 Jahre nach § 212 UGB bzw. im Anwendungsfall 10 Jahre gem. den geltenden Förderrichtlinien bzw. des Bundesvergabegesetz 2018 auf der Beschaffungsplattform „vemap“ gespeichert.
Bei dieser Verarbeitungstätigkeit kann es notwendig sein, dass wir Ihre Daten an folgende Empfänger:innen übermitteln:
Empfänger:innen |
Tätigkeit |
Rechtsgrundlage |
Geschäftssitz |
Ziviltechniker |
Anbotsprüfung |
Art 6 Abs 1 lit b und c DSGVO |
Österreich |
3.7. Umfang und Zweck der Datenverarbeitung für die jeweiligen Services der Abteilung Regionalmobilität
Die GKB betreibt regioMOBIL im Auftrag der Regionalmanagement Südweststeiermark GmbH als bedarfsorientiertes, regionales Anruf-Sammeltaxisystem („Mikro-ÖV System“), zur Anbindung zum öffentlichen Linienverkehr (Bahn und Bus).
Nähere Informationen finden Sie in der → regioMOBIL Datenschutzerklärung
Die GKB betreibt SAM Oststeiermark im Auftrag der Regionalentwicklung Oststeiermark als bedarfsorientiertes, regionales Anruf-Sammeltaxisystem („Mikro-ÖV System“), zur Anbindung zum öffentlichen Linienverkehr (Bahn und Bus).
Nähere Informationen finden Sie in der → SAM Oststeiermark Datenschutzerklärung
Die GKB betreibt LAVmobil im Auftrag der Gemeinden Wolfsberg, Sankt Andrä im Lavanttal und Frantschach-St. Gertraud als bedarfsorientiertes, regionales Anruf-Sammeltaxisystem („Mikro-ÖV System“), zur Anbindung zum öffentlichen Linienverkehr (Bahn und Bus).
Nähere Informationen finden Sie in der → LAVmobil Datenschutzerklärung
Die GKB betreibt flux im Auftrag der Regionalmanagement Steirischer Zentralraum GmbH als bedarfsorientiertes, regionales Anruf-Sammeltaxisystem („Mikro-ÖV System“), zur Anbindung zum öffentlichen Linienverkehr (Bahn und Bus).
Nähere Informationen finden Sie in der → flux Datenschutzerklärung
Wir weisen darauf hin, dass bei der Verarbeitungstätigkeit ggf. auch zur Verarbeitung besonderer Kategorien personenbezogener Daten kommt, da mit Einwilligung etwaige Mobilitätseinschränkungen von Fahrgästen (Behinderungen) erhoben werden. Dies sind Pflegestufe, Daten des Behindertenausweises/-pass und ärztliche Atteste.
Rechtsgrundlage für die Verarbeitung ist Art 6 Abs1 lit b und Art 9 Abs 2 lit a DSGVO.
Die personenbezogenen Daten werden nur im zur Vertragserfüllung erforderlichen Ausmaß erhoben und gespeichert. Fahrtdaten (z.B. GPS-Daten etc.) werden über den Zeitraum eines Jahres aufbewahrt.
Nach der Registrierung werden die erforderlichen Nutzerdaten im Falle eines Widerrufs bzw. spätestens nach Ablauf der Vertragsdauer mit dem Mikro-ÖV Auftraggeber gelöscht. Nutzerdaten registrierter Kunden werden zudem im Falle von Inaktivität über einen Zeitraum von drei Jahren ab Anmeldung automatisch gelöscht.
Bei dieser Verarbeitungstätigkeit kann es notwendig sein, dass wir Ihre Daten den folgenden Empfänger:innen offenlegen:
Empfänger:innen |
Tätigkeit |
Rechtsgrundlage |
Geschäftssitz |
Taxiunternehmen |
Personentransport |
Art 6 Abs 1 lit b DSGVO Art 9 Abs 2 lit a DSGVO |
Österreich |
Auftraggeber und Gemeinden |
Kundenmanagement/Bürgerservice |
Art 6 Abs 1 lit b DSGVO Art 9 Abs 2 lit a DSGVO |
Österreich |
3.8. Umfang und Zweck der Datenverarbeitung bei der Hausabholung der jeweiligen Mikro-ÖV Systeme
Wenn Sie dieses Angebot nutzen, werden jene Daten zum Zwecke der Hausabholung durch das jeweilige Mikro-ÖV System von der jeweiligen Gemeinde an die GKB sowie deren technische Partner zur Umsetzung übermittelt, welche für die Disposition (Fahrtvermittlung) an die im System teilnehmenden Verkehrsunternehmen (Taxiunternehmen) erforderlich sind.
Wir weisen darauf hin, dass bei der Verarbeitungstätigkeit ggf. auch zur Verarbeitung besonderer Kategorien personenbezogener Daten kommt, da mit Einwilligung etwaige Mobilitätseinschränkungen von Fahrgästen (Behinderungen) erhoben werden. Dies sind Pflegestufe, Daten des Behindertenausweises/-pass und ärztliche Atteste.
Wir stellen dabei den beauftragten Personentransportunternehmen für die Abwicklung der Personenbeförderungen für das jeweilige Mikro-ÖV System Tablets mit einem GPS-Ortungsmodul zur Verfügung.
Die GPS-Daten werden für die Tourenplanung von Fahrten für das jeweilige Mikro-ÖV System verwendet, um Fahrten effizient planen und die geforderten Auswertungen für die Abrechnung erstellen zu können. Diese werden an Dritte nicht weitergegeben.
Die personenbezogenen Daten werden nur im zur Vertragserfüllung erforderlichen Ausmaß erhoben und gespeichert. Fahrtdaten (z.B. GPS-Daten etc.) werden über den Zeitraum eines Jahres aufbewahrt und danach gelöscht.
Bei Registrierung werden die erforderlichen Nutzerdaten im Falle eines Widerrufs und bzw. spätestens nach Ablauf der Vertragsdauer mit dem Mikro-ÖV Auftraggeber gelöscht.
Nutzerdaten registrierter Kunden werden zudem im Falle von Inaktivität über einen Zeitraum von drei Jahren ab Anmeldung automatisch gelöscht.
Rechtsgrundlage für die Verarbeitung ist Art 6 Abs 1 lit b und lit f sowie Art 9 Abs2 lit a DSGVO.
Bei dieser Verarbeitungstätigkeit kann es notwendig sein, dass wir Ihre Daten den folgenden Empfänger:innen offenlegen:
Empfänger:innen |
Tätigkeit |
Rechtsgrundlage |
Geschäftssitz |
Taxiunternehmen |
Personentransport |
Art 6 Abs 1 lit b DSGVO Art 9 Abs 2 lit a DSGVO |
Österreich |
Auftraggeber und Gemeinden |
Kundenmanagement/Bürgerservice |
Art 6 Abs 1 lit b DSGVO Art 9 Abs 2 lit a DSGVO |
Österreich |
3.9. Umfang und Zweck der Datenverarbeitung von Kund:innen, potenziellen Interessent:innen und Geschäftspartner:innen
Im Zuge unserer Geschäftsbeziehung mit Kund:innen, potenziellen Interessent:innen und Geschäftspartner:innen verarbeiten wir Ihre personenbezogenen Daten aufgrund vertraglicher (vorvertragliche Verpflichtungen, Abwicklung des Vertragsverhältnisses mit Ihnen, Abrechnung von Leistungen, Kommunikation im Zuge der Abwicklung des Vertrages; Onlinebewerbungen; Art 6 Abs 1 lit b DSGVO) und gesetzlicher Verpflichtungen (gesetzlich erforderliche Aufbewahrung im Sinne des § 132 BAO und § 190 und 212 UGB; Art 6 Abs 1 lit c DSGVO) sowie aufgrund unserer berechtigten Interessen oder aufgrund von berechtigten Interessen Dritter (Art 6 Abs 1 lit f DSGVO), wobei diese Interessen in folgenden Positionen im erforderlichen Umfang rechtmäßig verarbeitet werden:
- Für die interne Administration und Verwaltung Ihres Geschäftsfalles im erforderlichen Umfang (z.B.: Bearbeitung Ihres Geschäftsfalles, Weitergabe Ihres Geschäftsfalles an verschiedene Abteilungen, Aktenablage, Archivierungszwecke, Bearbeitung Ihrer Bewerbung, Korrespondenz mit Ihnen);
- Für die Geltendmachung und Abwehr von Rechtsansprüchen;
Die Verarbeitung Ihrer Daten dient zum Zweck der Anbahnung, Aufrechterhaltung und Abwicklung unserer Geschäftsbeziehungen. Die konkreten Einzelheiten zu den zu erfassenden Datenarten können Sie den jeweiligen Vertragsunterlagen entnehmen. Wenn Sie uns diese Daten nicht zur Verfügung stellen, können wir Ihren Geschäftsfall nicht abwickeln.
Wir werden Ihre Daten nur so lange speichern, wie es für jene Zwecke erforderlich ist, für die wir Ihre Daten erhoben haben. In diesem Zusammenhang sind gesetzliche Aufbewahrungspflichten zu berücksichtigen (so sind etwa aus steuerrechtlichen Gründen Verträge und sonstige Dokumente aus unserem Vertragsverhältnis grundsätzlich für die Dauer von sieben Jahren aufzubewahren (§ 132 BAO)). In begründeten Einzelfällen, etwa zur Geltendmachung und Abwehr von Rechtsansprüchen, können wir Ihre Daten auch bis zu 30 Jahre nach Beendigung der Geschäftsbeziehung speichern.
Im Zuge unserer geschäftlichen Beziehung kann es erforderlich sein, dass wir Ihre Daten folgenden Empfängern:innen übermitteln:
Empfänger:innen |
Rechtsgrundlage |
Geschäftssitz |
Buchhaltung, Lohnverrechnung, Steuerberatung, Personalabteilung |
Art 6 Abs 1 lit c und f DSGVO |
Österreich |
Webseiten Hoster (Website, Dokumentationssystem, Webbasierte Datenbank) |
Art 6 Abs 1 lit a, b und f DSGVO |
Österreich |
IT-Provider, IT-Support |
Art 6 Abs 1 lit f DSGVO |
Österreich |
Software-Dienstleister |
Art 6 Abs 1 lit a, b und f DSGVO |
Österreich |
Telefonprovider |
Art 6 Abs 1 lit f DSGVO |
Österreich |
Banken zur Abwicklung des Zahlungsverkehrs |
Art 6 Abs 1 lit b DSGVO |
Österreich, |
Gerichte, Notar:innen, Sachverständige, Rechtsvertreter:innen |
Art 6 Abs 1 lit c und f DSGVO |
Österreich, |
Versicherungen aus Anlass des Eintritts des Versicherungsfalles |
Art 6 Abs 1 lit a und c DSGVO |
Österreich |
Vertrags- oder Geschäftspartner:innen, die an der Leistung mitwirken bzw. mitwirken sollen (z.B. Vermittler:innen) |
Art 6 Abs 1 lit b DSGVO |
Österreich, |
Wirtschaftstreuhand- und Wirtschaftsprüfungsunternehmen (zum Zweck der Prüfung) |
Art 6 Abs 1 lit. c DSGVO |
Österreich |
Dienstleistungsbetriebe (wie Post, Paketdienste, etc.) |
Art 6 Abs 1 lit. b DSGVO |
Österreich, |
Öffentliche Stellen bei Vorliegen einer gesetzlichen oder aufsichtsrechtlichen Verpflichtung (Ministerien, RH, NR, EU-Stellen) |
Art 6 Abs 1 lit. c DSGVO |
Österreich, |
3.10. Umfang und Zweck der Datenverarbeitung als Fahrgast
Um unsere Dienstleistung zu erbringen, verarbeiten wir Ihre Daten ggf. als Fahrgast, im Rahmen des Gelegenheitsverkehrs, zur Rechnungslegung oder im Falle von Schwarzfahren.
Rechtsgrundlage für die Verarbeitung ist Art 6 Abs 1 lit b und lit c DSGVO.
Die diesbezüglichen personenbezogenen Daten werden 7 Jahre gespeichert.
Bei dieser Verarbeitungstätigkeit kann es notwendig sein, dass wir Ihre Daten den folgenden Empfänger:innen offenlegen:
Empfänger:innen |
Tätigkeit |
Rechtsgrundlage |
Geschäftssitz |
Behörden, Gerichte |
Justiz und Verwaltung |
Art 6 Abs 1 lit c DSGVO |
Österreich |
Versicherungen |
Schadensabwicklungen |
Art 6 Abs 1 lit b DSGVO |
Österreich |
3.11. Umfang und Zweck der Datenverarbeitung bei der Videoüberwachung
Unsere Züge sind mit Videoüberwachung ausgestattet. Die jeweils überwachten Bereiche sind entsprechend gekennzeichnet. Die Videoüberwachung erfolgt zum Zweck der Eindämmung von Vandalismusschäden, der Erhöhung des Schutzes von MitarbeiterInnen und Fahrgästen sowie zur Optimierung betrieblicher Abläufe zum Einsatz. Dabei werden Videodateien erstellt, welche verschlüsselt gespeichert werden. Eine entsprechende Betriebsvereinbarung liegt vor.
Wir werden Ihre Daten nur so lange speichern, wie es für jene Zwecke erforderlich ist, für die wir Ihre Daten erhoben haben. Erfolgt keine dem Zweck entsprechende Auswertung und damit Entschlüsselung der Bilddaten, werden diese in der Regel nach 72 Stunden automatisch gelöscht. Zugang zum Bildmaterial haben nur berechtigte Dienstnehmer:innen. Jeder Zugriff auf das Bildmaterial wird protokolliert. Die Auswertung erfolgt nur anlassbezogen durch eine Spezialsoftware, die durch Passwörter geschützt ist. Nur im sachlich gerechtfertigten Anlassfall erfolgt eine Datenauswertung und -übermittlung durch befugte und besonders geschulte Mitarbeiter.
Im Zuge der Videoüberwachung verarbeiten wir Ihre personenbezogenen Daten auf Grundlage unseres berechtigten Interesses (Art 6 Abs 1 lit f DSGVO). Weitere gesetzliche Grundlagen sind das Sicherheitspolizeigesetz, die Strafprozessordnung, das Eisenbahngesetz, das ArbeitnehmerInnenschutzgesetz und das Allgemeine Bürgerliche Gesetzbuch (§§ 353 ff ABGB).
Bei der Durchführung der Videoüberwachung kann es erforderlich sein, dass wir die Daten an folgende Empfänger:innen übermitteln:
Empfänger:innen |
Rechtsgrundlage |
(Geschäfts)sitz |
Behörden, Gerichte |
Art 6 Abs 1 lit c DSGVO |
Österreich |
Rechtsvertreter im Bedarfsfall |
Art 6 Abs 1 lit f DSGVO |
Österreich |
Versicherungen |
Art 6 Abs 1 lit c und f DSGVO |
Österreich |
IT-Provider, IT-Support |
Art 6 Abs 1 lit f DSGVO |
Österreich |
3.12. Umfang und Zweck der Datenverarbeitung von Bewerber:innen
Wir verarbeiten Ihre personenbezogenen Daten entweder zur Anbahnung und Durchführung vorvertraglicher Maßnahmen (Abschluss eines (freien) Dienstvertrags, Art 6 Abs 1 lit b DSGVO), basierend auf Ihrer ausdrücklichen Einwilligung (Art 6 Abs 1 lit a DSGVO), wenn wir Sie als Bewerber:in weiter in Evidenz halten möchten, oder zur Erfüllung unserer gesetzlichen Verpflichtungen (Anmeldung als Arbeitnehmer:in bei der Sozialversicherung, Art 6 Abs 1 lit c DSGVO).
Die Verarbeitung Ihrer personenbezogenen Daten dient der Abwicklung des Bewerbungsverfahrens und der Anmeldung bei der Sozialversicherung, wenn wir Sie einstellen. Wenn Sie uns Ihre Daten nicht zur Verfügung stellen, können wir Ihre Bewerbung nicht bearbeiten. Die konkreten Einzelheiten zu den zu erfassenden Datenarten können Sie den jeweiligen von Ihnen zur Verfügung gestellten bzw. befüllten Bewerbungsunterlagen entnehmen.
Wir speichern Ihre personenbezogenen Daten entweder für die Dauer des Bewerbungsprozesses oder bis zum Widerruf Ihrer Einwilligung (für den Fall, dass Sie Ihre Einwilligung dazu erteilt haben, dass wir Ihre Bewerbung in Evidenz halten). Hiervon unabhängig speichern wir Ihre Daten so lange gesetzliche Aufbewahrungspflichten bestehen und löschen diese, für den Fall, dass Sie keine Einwilligung zur Evidenzhaltung erteilt haben, nach sieben Monaten.
Im Zuge des Bewerbungsverfahrens kann es erforderlich sein, dass wir Ihre Daten folgenden Empfänger:innen übermitteln:
Empfänger |
Rechtsgrundlage |
(Geschäfts)sitz |
Sozialversicherungsträger |
Art 6 Abs 1 lit c DSGVO |
Österreich |
IT-Provider, IT-Support |
Art 6 Abs 1 lit f DSGVO |
Österreich |
Buchhaltung, Steuerberatung, Lohnverrechnung |
Art 6 Abs 1 lit b DSGVO |
Österreich |
Finanzamt |
Art 6 Abs 1 lit c DSGVO |
Österreich |
Rechtsvertreter im Bedarfsfall |
Art 6 Abs 1 lit c und f DSGVO |
Österreich |
Firmenbuch |
Art 6 Abs 1 lit f DSGVO |
Österreich |
Öffentliche Stellen |
Art 6 Abs 1 lit c DSGVO |
Österreich |
Personaldienstleister |
Art 6 Abs 1 lit f DSGVO |
Österreich |
4. Erhebung von personenbezogenen Daten aus anderen Quellen als der betroffenen Person selbst (Art 14 DSGVO)
Im Zuge einer Geschäftsbeziehung, oder einer diesbezüglichen Anbahnung kann es erforderlich sein, Recherchen über Geschäftspartner:innen anzustellen. Dies erfolgt ausschließlich im dafür minimal erforderlichen Umfang zur Anbahnung und Durchführung vorvertraglicher Maßnahmen (Abschluss eines Vertrags, Art 6 Abs 1 lit b DSGVO). In diesem Zusammenhang können Daten von folgenden öffentlichen Quellen abgerufen und verarbeitet werden:
Informationsquelle |
Datenarten |
Zweck/Begründung |
Firmenbuch |
Kontaktdaten, Adressdaten, Status der Firma |
Prüfung der Geschäftsanschrift und Bonität |
Webseite Ihres Unternehmens oder Ihrer Institution, für die Sie tätig sind |
Kontaktdaten, Adressdaten, Lebenslauf |
Kontaktaufnahme für Geschäftszwecke |
Diverse Online-Branchenverzeichnisse |
Kontaktdaten, Adressdaten |
Kontaktaufnahme für Geschäftszwecke |
5. Welche Rechte stehen Ihnen hinsichtlich der Datenverarbeitung zu?
Sie haben, sofern die gesetzlichen Voraussetzungen dafür vorliegen, das Recht auf
- unentgeltliche Auskunft über die zu Ihrer Person bei uns verarbeiteten Daten (Art 15 DSGVO), auf
- Berichtigung oder Vervollständigung Sie betreffender unrichtiger oder unvollständiger Daten (Art 16 DSGVO), auf
- Löschung Ihrer Daten (Art 17 DSGVO) sowie auf
- Einschränkung der Verarbeitung Ihrer personenbezogenen Daten, wenn Sie
- die Richtigkeit der personenbezogenen Daten von der Ihnen bestritten wird, und zwar für eine Dauer, die es uns ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen oder die Verarbeitung unrechtmäßig ist und Sie die Löschung der personenbezogenen Daten ablehnen und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangen,
- die Daten von uns für den vorgesehenen Zweck nicht mehr benötigt werden,
- Sie diese Daten aber noch zur Geltendmachung oder Verteidigung von Rechtsansprüchen brauchen könnten oder
- Sie ihr Widerspruchsrecht ausüben. (Art 18 DSGVO)
Bei Verarbeitungstätigkeiten, die zur Wahrung unserer berechtigten Interessen oder eines Dritten erforderlich sind, haben Sie das Recht einen Widerspruch einzulegen, sofern Sie ein Geheimhaltungsinteresse an Ihren Daten haben, welches unser Interesse überwiegt, Ihre Daten weiter zu verarbeiten (Art 21 DSGVO).
Sie haben auch das Recht auf Übertragung der von Ihnen bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten (Art 20 DSGVO).
Sofern wir Ihre Daten auf Basis Ihrer Einwilligung verarbeiten, haben Sie das Recht, diese Einwilligung jederzeit per E-Mail zu widerrufen. Dadurch wird die Rechtmäßigkeit der bis zu diesem Zeitpunkt erfolgten Datenverarbeitung nicht beeinträchtigt (Art 7 Abs 3 DSGVO).
6. Bestehen einer automatisierten Entscheidungsfindung
Die GKB verzichtet als verantwortungsbewusstes Unternehmen auf eine automatische Entscheidungsfindung oder Profiling.
7. Welche Beschwerderechte stehen Ihnen zu?
Sollte es, wider Erwarten, zu einer Verletzung Ihres Rechtes auf rechtmäßige Verarbeitung Ihrer Daten kommen, setzen Sie sich bitte mit uns per E-Mail oder postalisch in Verbindung. Wir werden uns bemühen, Ihr Anliegen umgehend zu bearbeiten. Sie haben aber auch das Recht, eine Beschwerde bei der für Sie zuständigen Aufsichtsbehörde für Datenschutzangelegenheiten zu erheben. Die zuständige Aufsichtsbehörde ist in Österreich die Datenschutzbehörde, die Kontaktinformationen finden Sie unter www.dsb.gv.at.
8. Wie können Sie mit uns Kontakt aufnehmen?
Sollten Sie weitere Fragen zur Verarbeitung Ihrer Daten haben, können Sie sich gerne an unsere Rechtsabteilung wenden:
Graz-Köflacher Bahn und Busbetrieb GmbH
Köflacher Gasse 35-41
8020 Graz
Tel.: +43 316 5987-0
E-Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
Website: www.gkb.at
Eine betroffene Person kann sich auch direkt an den Datenschutzbeauftragten der GKB wenden:
Raffling Tenschert Lassl Griesbacher & Partner Rechtsanwälte GmbH
Dr. Rainer Lassl, MA
Lendkai 43/EG
8020 Graz
E-Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
Tel.: +43 316 93 12 39
9. Verantwortliche im Sinne der DSGVO und des DSG
Verantwortliche im Sinne des Art 4 Z 7 DSGVO für die Verarbeitung Ihrer Daten in den unter Punkt 3 gelisteten Verarbeitungstätigkeiten ist:
Graz-Köflacher Bahn und Busbetrieb GmbH
Köflacher Gasse 35 - 41, 8020 Graz
Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
Version 1.0 von 29.11.2023