Datenschutzrichtlinie
In unserer Datenschutzrichtlinie erläutern wir, wie wir Ihre personenbezogenen Daten erfassen und verwenden, wenn Sie mit uns reisen, unsere Website besuchen, unsere mobile App nutzen oder anderweitig mit uns interagieren. Bitte lesen Sie die Richtlinie sorgfältig durch.
Über diese Datenschutzrichtlinie
1. Über uns
2. Welche personenbezogenen Daten werden von KLM erhoben und verwendet?
3. Wie werden Ihre Daten eingeholt?
4. Für welche Zwecke verwenden wir Ihre Daten?
4.1. Hauptziele für die Verwendung Ihrer personenbezogenen Daten (A) Zur Bereitstellung unserer Serviceleistungen an Sie Wir nutzen die unter 2.1 (A) bis (G) beschriebenen Daten zur Abwicklung Ihrer Reservierungen und Buchungen sowie zur Durchführung Ihrer Reisevorbereitungen und Einkäufe. So verwenden wir zur Ausstellung Ihres Tickets beispielsweise Ihren Namen, Ihre Reisepassnummer und sonstige Daten zur Identifizierung. Wir verwenden Ihre Kontaktdaten, um Sie über Änderungen Ihres Fluges zu benachrichtigen.
(G) Unangebrachtes Verhalten i. Passagiere, die sich am Boden oder an Bord unseres Flugzeugs unangebracht verhalten oder unsere Serviceleistungen missbraucht haben, können wir für einen maximalen Zeitraum von fünf Jahren ausschließen oder nur unter bestimmten Bedingungen an Bord willkommen heißen. KLM führt eine Liste von Personen, die sich bereits unangebracht verhalten haben (siehe 2.1 (J) weiter oben. Die auf diesen Listen geführten Personen werden persönlich (nach Möglichkeit schriftlich) über die Aufnahme und den Grund für die Aufnahme in diese Liste informiert sowie über die Dauer der besonderen KLM-Sicherheitsmaßnahmen. Für mehr Informationen über den Zugang oder das Löschen dieser Daten, siehe unter 8 „Ihre Rechte“ weiter unten. ii. Illegale Drogen:KLM erhält von der niederländischen Regierung die Namen von Passagieren, die am Flughafen Amsterdam-Schiphol angekommen sind und bei denen bei Durchsuchungen durch die Königliche Gendarmerie (Koninklijke Marechaussee) illegale Drogen gefunden wurden. Die KLM kann den Abschluss von Beförderungsverträgen mit diesen Personen für eine Periode von drei Jahren für Direktflüge vom Flughafen Amsterdam-Schiphol nach Surinam, Aruba, Bonaire, St. Martin oder Curaçao und Direktflüge aus diesen Ländern nach Schiphol verweigern. Sie können einen Antrag auf Einsichtnahme in diese Daten oder Löschen dieser Daten stellen, indem Sie einen schriftlichen Antrag an Royal Netherlands Marechaussee, Postfach 90615, 2509 LP Den Haag, Niederlande, richten. Wenn Sie auf Aruba, den niederländischen Antillen, in Surinam oder in Venezuela wohnen, müssen Sie Ihrer schriftlichen Anfrage eine Kopie Ihres Reisepasses beilegen.
(H) Zur Ausführung unserer Geschäftstätigkeit oder zur Einhaltung satzungsmäßiger Pflichten Wir sammeln, verwenden und bewahren Ihre personenbezogenen Daten, um unsere Geschäftstätigkeit auszuführen, zum Beispiel für Aufzeichnungen, um Betrug vorzubeugen oder zu bekämpfen oder um Streitfälle zu schlichten. Im Falle eines Betrugs oder eines Missbrauchs unserer Serviceleistungen können wir Ihre personenbezogenen Daten in unsere internen Betrugskontroll- und Warnsysteme eingeben. Infolgedessen können Ihre Buchungen strengen Sicherheitsvorkehrungen unterliegen und in besonderen Fällen abgelehnt oder storniert werden, oder es kann sein, dass Sie an Bord unseres Flugzeugs nicht länger willkommen sind oder nur unter bestimmten Bedingungen (siehe 4.1 (G) weiter oben). Des Weiteren erheben und verwenden wir Ihre personenbezogenen Daten, um unsere gesetzlichen und steuerlichen Verpflichtungen zu erfüllen. 4.2 Besondere Serviceleistungen, Apps, Veranstaltungen, Wettbewerbe oder Kampagnen Für besondere Serviceleistungen, Apps, Veranstaltungen, Wettbewerbe oder Kampagnen können wir Ihre personenbezogenen Daten für andere Zwecke als die in dieser Datenschutzrichtlinie beschriebenen sammeln. Wir werden Sie über diese Zwecke informieren, wenn Sie sich für die Serviceleistung, Veranstaltung, den Wettbewerb oder das Preisausschreiben anmelden oder die entsprechende App herunterladen. 4.3 Gesetzliche Grundlage Wir dürfen Ihre personenbezogenen Daten nur aufgrund einer gesetzlichen Grundlage erheben und verwenden. In vielen Fällen benötigen wir Ihre personenbezogenen Daten, um Ihre Buchung zu empfangen, Ihren Flug oder Einkäufe zu organisieren, Ihre Treueprogramm-Mitgliedschaft zu koordinieren oder um Ihre Fragen zu beantworten (siehe 4.1 (A) bis (B) und (F) oben). In diesen Fällen ist die rechtliche Grundlage für die Verarbeitung Ihrer Daten die „Notwendigkeit für die Ausführung eines Vertrags“. Wenn Sie der Erhebung und Verwendung Ihrer personenbezogenen Daten zugestimmt haben (dessen Zustimmung Sie jederzeit widerrufen können, siehe unter 8 unten „Ihre Rechte“), erheben und verwenden wir Ihre Daten auf der Grundlage dieser Zustimmung. In bestimmten Fällen können wir Ihre personenbezogenen Daten verwenden, wenn wir oder Drittparteien ein berechtigtes Interesse daran haben. Wir werden immer alle Interessen sorgfältig abwägen: Ihre Interessen, die Interessen der anderen und die Interessen von KLM. Auf dieser gesetzlichen Grundlage erheben und verwenden wir Ihre Daten zum Beispiel aus Sicherheitsgründen, für statistische Untersuchungen oder Direktmarketingzwecke oder, um personalisierte Rabatte und Angebote anzubieten (siehe 4.1 (C), (D) und (G) oben für weitere Informationen). Es kann sein, dass wir eine gesetzliche Verpflichtung haben, Ihre Daten zu erheben und zu verwenden, beispielsweise um Einwanderungsformalitäten einzuhalten (siehe 4.1 (H)). Falls Sie sich weigern, personenbezogene Daten bereitzustellen, die wir für die Erfüllung des mit Ihnen eingegangenen Vertrags oder zur Einhaltung einer Rechtsvorschrift benötigen, werden wir unter Umständen nicht in der Lage sein, alle der von Ihnen angeforderten Serviceleistungen an Sie bereitzustellen. Infolgedessen werden wir ggf. Ihren Flug stornieren müssen oder wir werden mitunter nicht in der Lage sein, Ihnen die von Ihnen angeforderten Zusatzleistungen bereitzustellen. Falls Sie falsche oder unvollständige Daten bereitstellen, werden wir unter Umständen gezwungen sein, Sie nicht zum Boarding oder zur Einreise in ein fremdes Staatsgebiet zuzulassen.
5. Gewährung von Zugang zu oder Offenlegung von Daten gegenüber Drittparteien
5.1. Allgemein Ihre persönlichen Daten können wir für folgende Zwecke an Drittparteien weitergeben: (A) Zur Ermöglichung Ihrer Buchungen und Reisen Zur Abwicklung Ihrer Reservierungen und Buchungen und zur Durchführung Ihrer Reisearrangements und Einkäufe müssen wir Ihre personenbezogenen Daten häufig an unsere Partnerfluggesellschaften, Flughafenbetreiber und sonstige Unternehmen, die an der Durchführung Ihrer Reise beteiligt sind, weitergeben (siehe 3.1 (B) oben „Wie werden Ihre Daten eingeholt?“). (B) Für unser bluebiz-Treueprogramm Für weitere Informationen siehe „Über uns“ und 3.1 (C) unter „Wie werden Ihre Daten eingeholt?“. (C) Geschäftskonten Wenn Sie einen Flug über Ihr Mitarbeiterkonto buchen, hat Ihr Mitarbeiter Zugang zu bestimmten Buchungsdaten wie den Ticketpreis, Reisedaten und Ihren Bestimmungsort. Ihr Mitarbeiter ist unabhängig verantwortlich dafür, wie Ihre personenbezogenen Daten eingeholt und verwendet werden und informiert Sie darüber. (D) Für Unterstützung oder zusätzliche Serviceleistungen Um unsere Serviceleistungen bereitzustellen verwenden wir die Hilfs- oder zusätzliche Serviceleistungen von Drittparteien, wie IT-Lieferanten, soziale Medien-Anbieter, Marketingagenturen und Screening-Dienstleistungsanbieter. Alle solche Drittparteien unterliegen einer Pflicht der angemessenen Wahrung Ihrer personenbezogenen Daten, die von den betreffenden Drittparteien nur gemäß unseren Anweisungen verwendet werden. Die Air France-KLM-Gruppe führt ihre Geschäftstätigkeiten mithilfe von zentralen Datenbanken und Systemen aus. Diese zentralen Datenbanken und Systeme können von einer unserer Konzerngesellschaften für andere Konzerngesellschaften gehostet oder verwaltet werden. Außerdem können bestimmte betriebliche Funktionen aus Gründen der Effizienz von einer Konzerngesellschaft für andere Konzerngesellschaften ausgeführt werden. Dies bedeutet, dass unsere Konzerngesellschaften für diese Zwecke Zugriff auf Ihre personenbezogenen Daten haben können. Unsere Konzerngesellschaften dürfen Ihre personenbezogenen Daten ausschließlich entsprechend ihrer relevanten geschäftlichen Funktion und konform dieser Datenschutzrichtlinie verwenden. (E) Zahlungsdienste Um Zahlungen für Ihre Reisen und Einkäufe zu verarbeiten, können wir mit Drittparteien zusammenarbeiten, die Zahlungsdienstleistungen anbieten. In vielen Fällen führen solche Zahlungsdienstleister auch Betrugskontrollen durch. Sie handhaben ihre eigenen Datenschutzrichtlinien für die Art und Weise, wie Ihre personenbezogenen Daten verwendet werden. (F) Personalisiertes Marketing über Plattformen sozialer Medien Für mehr Informationen siehe 4.1 (E) unter „Für welche Zwecke verwenden wir Ihre Daten?“. (G) Um unseren Partnern zu ermöglichen, ihre Serviceleistungen auf Ihre Reise abzustimmen Wir können Ihre nicht personalisierten Daten (Reiseziel, Reisedatum und Reisedauer) an Partner weitergeben, die zusätzliche Serviceleistungen anbieten (z. B. Hotelunterkünfte, Autovermietungsserviceleistungen), damit diese Ihnen auf Ihre Reise abgestimmte Angebote erteilen können. Unsere Partner haben ihre eigenen Datenschutzrichtlinien, in denen die Art und Weise der Verwendung Ihrer personenbezogenen Daten geregelt ist. 5.2. Besondere Serviceleistungen, Apps, Veranstaltungen, Wettbewerbe oder Kampagnen Für besondere Serviceleistungen, Apps, Veranstaltungen, Wettbewerbe oder Kampagnen können wir Ihre Daten an Drittparteien weiterleiten, die nicht in dieser Datenschutzrichtlinie beschrieben werden, beispielsweise, wenn wir eine Kampagne oder eine Veranstaltung in Zusammenarbeit mit einem Partner organisieren oder wenn wir deren Serviceleistungen in unsere Apps integrieren. Bei Ihrer Anmeldung für die spezifische Serviceleistung oder das spezifische Ereignis, den Wettbewerb oder die Kampagne oder beim Herunterladen der Mobilgeräte-App werden wir Sie entsprechend informieren. 5.3. Staatliche Behörden (A) Allgemein Wir können gesetzlich verpflichtet sein, Ihre personenbezogenen Daten einzuholen, bevor Sie in ein anderes Land reisen und diese mit den stattlichen Behörden in den Ländern Ihrer Reiseroute zu teilen. Wir können beispielsweise gesetzlich verpflichtet sein, Ihre identifizierenden Daten und Ihre Buchungs- und Reisedaten zu Zwecken der Grenzkontrolle, Einwanderungsformalitäten, Einreise oder zur Terrorismusbekämpfung oder zur Bekämpfung einer anderen schwerwiegenden Kriminalität an diese Behörden weiterzuleiten (siehe 5.3 (B) unten). Wir können ebenfalls gesetzlich verpflichtet sein, Ihre gesundheitlichen Daten den staatlichen Behörden der Länder Ihrer Reiseroute zum Schutz des öffentlichen Gesundheitswesens weiterzuleiten (siehe 2.1 (D) oben). (B) PNR- und API-Daten i. Allgemein: Im Rahmen der EU-Richtlinien 2016/679 und 2004/82 und gemäß den geltenden örtlichen Gesetzen und Vorschriften müssen wir PNR- und API-Daten an Behörden, einschließlich Passagierinformationseinheiten (Passenger Information Units (PIUs)) verschiedener Länder, weiterleiten. API (Advance Passenger Information/Erweiterte Fluggastdaten) betreffen Informationen über Ihren Flug und Ausweisdaten. PNR (Passenger Name Record/Aufzeichnung von Passagiernamen) betreffen alle Informationen über Ihre Buchungen, wie Flugdaten, Passagiere innerhalb der Buchung und Zahlungsinformationen. Wir geben diese PNR-Daten für alle Flüge an die niederländische PIU (Pi-NL) weiter. Wenn wir dazu verpflichtet sind, leiten wir auch den Behörden in anderen Ländern die API- und PNR-Daten weiter. ii. Landesspezifisch: - Frankreich: Es kann sein, dass KLM gemäß Artikel L 237 -7 des Französischen Homeland Security Codes verpflichtet ist, Ihre Reservierung, Check-in- und Boardingdaten (API/PNR) gemäß den Bedingungen der Verordnung Nr. 2014-1095 vom 26. September 2014, sowie Verordnung Nr. 2018/714 vom 3. August 2018 an die französischen nationalen öffentlichen Dienste und zuständigen Behörden weiterzuleiten. 5.4. Websites von Drittparteien Unsere Websites und Mobilgeräte-Apps enthalten Links zu Websites von Drittparteien. Wenn Sie diese Links anklicken, verlassen Sie unsere Websites oder Mobilgeräte-Apps. Diese Datenschutzrichtlinie bezieht sich nicht auf die Websites von Drittparteien. Für weitere Informationen über die Verwendung Ihrer personenbezogenen Daten durch diese Drittparteien prüfen Sie bitte deren jeweiligen Datenschutz- und/oder Cookie-Richtlinien (falls verfügbar).
6. Sicherheit und Rückhalt
6.1. Sicherheit (A) Unsere Verpflichtung Die Gewährleistung der Sicherheit und Vertraulichkeit Ihrer personenbezogenen Daten hat unsere Priorität. Unter Berücksichtigung der Art Ihrer personenbezogenen Daten und der Verarbeitungsrisiken haben wir sämtliche adäquaten technischen und organisatorischen, gesetzlich vorgeschriebenen Maßnahmen (insbesondere Artikel 32 der Datenschutz-Grundverordnung (DSGV)) getroffen, um ein adäquates Sicherheitsmaß sicherzustellen und insbesondere, um irgendeine zufällige oder ungesetzliche Vernichtung, Verlust, Änderung, Freisetzung, Einbruch oder unautorisierten Zugang zu diesen Daten zu verhindern. (B) Wir haben die folgenden Sicherheitsmaßnahmen getroffen i. Banktransaktionen: Wir sind verpflichtet, dem Datensicherheitsstandard der Zahlungskartenbranche (dem PCI DSS Standard), ausgegeben vom PCI Security Standards Council (PCI SSC) zu entsprechen. Dieser Standard wurde erstellt, um mehr Kontrolle über Kartenhalterdaten zu erhalten und den Missbrauch von Zahlungsinstrumenten zu reduzieren. Alle KLM-Serviceprovider, die an der Verarbeitung von Bankkartendaten beteiligt sind, müssen dem PCI DSS Standard entsprechen. Wir streben danach Identitätsdiebstahl im Internet zu bekämpfen. Aus diesem Grund verwenden wir beispielsweise ein Gerät zur Erkennung betrügerischer Zahlungen, um Sie im Falle eines Verlusts oder Diebstahls Ihrer Bankkarte zu schützen. ii. Organisatorische Maßnahmen: Wir haben verschiedene organisatorische Maßnahmen eingeführt und handhaben diese, um das Bewusstsein und die Zuverlässigkeit unserer Mitarbeiter zu fördern. Wir handhaben Programme, die sowohl das Bewusstsein schärfen als auch gute Verhaltensweisen und Sicherheitsstandards vermitteln. In diesem Rahmen wurde unseren Mitarbeitern eine umfangreiche Auswahl an Dokumenten zum Umgang mit Sicherheitsthemen und Datenschutz bereitgestellt. iii. Technische Maßnahmen: Wir überwachen strikt den physischen und logischen Zugang zu internen Servern, die Ihre personenbezogenen Daten hosten oder verarbeiten. Wir schützen unser Netzwerk mit modernen Hardwaresystemen (Firewall, IDS, DLP usw.) sowie mit Architekturen (einschließlich Sicherheitsprotokollen wie TLS 1.2), um dem Risiko der Cyberkriminalität vorzubeugen und es einzuschränken. (C) Die Entwicklung unserer Sicherheitssysteme Um ein angemessenes Sicherheitsniveau zu halten, handhaben wir interne Prozesse, die auf den besten Standards (insbesondere der ISO 27000-Standardreihe) basieren. Wir verlassen uns auf ausgewiesene Experten, um den bestmöglichen Schutzgrad zu garantieren. Diesbezüglich halten wir eine besondere Beziehung zum NCSC (National Cyber Security Centre).
(D) Wie Sie sich schützen können Der Schutz personenbezogener Daten und der Vertraulichkeit hängt von der richtigen Verhaltensweise des Einzelnen ab. Wenn Sie eine Reservierung tätigen, senden Sie Dateireferenzen. Diese Buchungsreferenzen müssen jederzeit vertraulich bleiben. Die Weitergabe an andere Passagiere ermöglicht diesen den Zugang zu Ihren Buchungsdaten über unsere Systeme oder die Systeme der Drittparteien, die an der Durchführung Ihrer Reise beteiligt sind (z. b. Reisebüros oder Online-Such- und Buchungsseiten). Wenn Sie mit anderen reisen und nicht möchten, dass diese Einsicht in Ihre personenbezogenen Daten haben, empfehlen wir Ihnen, separate Reservierungen durchzuführen. Außerdem empfehlen wir Ihnen, die für den Zugang zu unseren Serviceleistungen verwendeten Passwörter nicht an Dritte weiterzugeben, sich systematisch aus Ihrem Profil und sozialem Konto abzumelden (insbesondere bei verlinkten Konten) und das Browserfenster am Ende Ihrer Sitzung zu schließen, insbesondere wenn Sie den Internetzugang an einem öffentlichen Computer nutzen. Dies beugt vor, dass andere Nutzer Zugang zu Ihren personenbezogenen Daten erhalten. Um vor dem Hackerrisiko zu schützen empfehlen wir die Nutzung verschiedener Passwörter für jeden von Ihnen verwendeten online Service. Wir können für Diebstahl Ihrer Daten auf einer Plattform, die nicht von uns verwaltet wird, nicht haftbar gemacht werden. Ergänzend empfehlen wir sehr, keine von KLM ausgestellten Dokumente mit Ihren personenbezogenen Daten (Ihre Bordkarte, Ticketnummer usw.) oder andere Information zu Ihrer Reise an dritte Parteien weiterzuleiten oder diese in sozialen Netzwerken zu posten. Wenn Sie sich entscheiden, diese Dokumente in sozialen Medien zu veröffentlichen, sind Sie für die Konsultation und das Verstehen der Allgemeinen Geschäftsbedingungen in Bezug auf die Nutzung, Sicherheitsverfahren und Datenschutzrichtlinien, die für die sozialen Netzwerke dieser Drittparteien gelten, selbst verantwortlich. Wir können nicht haftbar gemacht werden für die Art und Weise, in der auf diesen Plattformen Daten verarbeitet, gespeichert oder freigegeben werden. Um mehr über unsere IT-Sicherheitsmaßnahmen zu erfahren, nutzen Sie bitte unser IT-Sicherheitsportal. (E) Verwaltung sicherheitsrelevanter Zwischenfälle Es gibt kein „Nullrisiko“ und selbst wenn wir alle als adäquat betrachteten Sicherheitsmaßnahmen treffen, kann Unvorhersehbares passieren. Wir handhaben spezielle Verfahren und Ressourcen, um Sicherheitsereignisse zu den bestmöglichen Bedingungen zu verwalten. Wir haben außerdem ein spezielles Verfahren für die Prüfung eventueller Sicherheitsverstöße errichtet, die zur plötzlichen oder ungesetzlichen Vernichtung, Verlust, Änderung, unautorisierter Veröffentlichung führen oder zu unautorisiertem Zugriff auf Ihre Daten, um die zuständige Aufsichtsbehörde innerhalb der gesetzlich vorgeschriebenen Zeit zu informieren und Sie zu warnen, wenn ein Verstoß ein hohes Risiko für Ihre Rechte und Ihre Freiheit darstellt. Es werden regelmäßig Tests durchgeführt, um die Funktionstüchtigkeit der Sicherheitssysteme und die Eignung der entwickelten Verfahren und Geräte zu verifizieren. 6.2. Aufbewahrung
Wir bewahren Ihre personenbezogenen Daten nicht länger als notwendig auf. Wie lang Ihre personenbezogenen Daten aufbewahrt werden, hängt von den Zwecken ab, zu denen die Daten verarbeitet werden und von den geltenden Aufbewahrungsfristen.
7. Internationale Datentransfers
8. Ihre Rechte
9. Wie wird diese Datenschutzrichtlinie aktualisiert?
9.1. Diese Datenschutzrichtlinie ist am 20. August 2020 in Kraft getreten und ersetzt unsere vorhergehende Datenschutzrichtlinie vom 20. September 2019. Diese Datenschutzrichtlinie wird gelegentlich geändert. Wir werden Sie nicht über jede in Kraft tretende Änderung informieren.