Kreditkarte

Die dazugehörigen Ermittlungsberichte und die darin enthaltenen personenbezogenen Daten hob die Deutsche Bahn AG jahrelang auf - auch nachdem der Korruptionsverdacht sich nicht bestätigte. Das Grundrecht auf informationelle Selbstbestimmung schützt aber auch vor einer solchen latenten Dauerverdächtigung.

In dem gegen die Deutsche Bahn AG erlassenen Bußgeldbescheid haben wir über diese und weitere datenschutzrechtliche Gesetzesverletzungen entschieden und jeweils gesonderte Geldbußen festgesetzt. In der Summe ergab sich damit ein Gesamtbetrag von rund 1,12 Millionen Euro. Dies ist das höchste Bußgeld, das eine einzelne deutsche Datenschutzaufsichtsbehörde bisher gegen ein Unternehmen festgesetzt hat. Die Deutsche Bahn AG hat den Bußgeldbescheid akzeptiert und das Bußgeld gezahlt.

Das Bußgeldverfahren hat auch dazu geführt, dass die Deutsche Bahn AG technische und organisatorische Maßnahmen als Vorkehrung gegen datenschutzrechtliche Verstöße im Unternehmen eingeleitet hat.

Der neue Unternehmensvorstand hat den Datenschutz zu einer seiner obersten Prioritäten erklärt.

Datenschutz wurde auf höchster Managementebene in einem eigenen Vorstandsressort „Compliance, Datenschutz und Recht" angesiedelt. Die Zahl der Mitarbeiterinnen und Mitarbeiter im Bereich Datenschutz soll auf 25 erhöht werden.

FAZIT

Die Deutsche Bahn AG hat sich zum Ziel gesetzt, beim Datenschutz insbesondere für Beschäftigte künftig positive Maßstäbe zu setzen. Wir werden sie hierbei nach Kräften unterstützen.

Dem ist zu entgegnen, dass während der Vertragsdauer sowohl Maßnahmen zur Vertragsabwicklung als auch zur Kundenbetreuung stattfinden. Will das Unternehmen die in §28 Abs. 3 BDSG genannten Daten der Kundschaft zu Werbeoder Rückgewinnungszwecken nutzen, so hat sie ein Widerspruchsrecht. Dies gilt erst recht für Daten, die über den in §28 Abs. 3 BDSG genannten Datenkatalog hinausgehen. Daher ist die Kundin oder der Kunde erneut darüber in Kenntnis zu setzen, dass seine Vertragsdaten (Gültigkeitstermin, Klasse, BahnCard-Art sowie das Geburtsdatum) weiterhin für Werbezwecke gespeichert werden sollen. Kreditkarte bei der Kontrolle im Zug vorlegen müsse. Das Unternehmen teilte dazu mit, bei der Fahrkartenkontrolle müsse geprüft werden, ob das ausgedruckte Ticket nur einmal verwendet wird. Dies werde über die Vorlage der gültigen Kreditkarte, ECKarte oder (falls vorhanden) einer BahnCard gewährleistet, die der Kunde bei der Buchung als Identifikationsmittel angegeben hat. Beim Auslesen des Tickets mit dem mobilen Terminal und der Legitimationskarte werde die Übereinstimmung geprüft. Maßgeblich sei nicht, mit welcher Kreditkarte die Zahlung erfolge, sondern die hinterlegte IDKartennummer des angemeldeten Kunden.

Prozesstechnisch sei dies so festgelegt, da das OnlineTicket eine personalisierte Fahrkarte darstelle.

Diese Vorgehensweise stieß auf datenschutzrechtliche Bedenken. Die Vorlage der EC- oder Kreditkarte dient weder der Zweckbestimmung des Vertragsverhältnisses noch war sie zur Wahrung der berechtigten Interessen der Deutschen Bahn AG erforderlich.

Bezahlt werden muss das Online-Ticket (mit EC-, Kreditkarte oder im Lastschriftverfahren) ohnehin, bevor es ausgedruckt werden kann. Es gibt aber keinen Grund, den Bahnkunden ohne BahnCard zu zwingen, sich im Zug mit einer EC- oder Kreditkarte auszuweisen. Die Voraussetzungen einer zulässigen Datenverarbeitung nach §28 Abs. 1 Satz 1 Nr. 1 und 2 BDSG waren deshalb nicht gegeben.

FAZIT

Wir haben der Deutschen Bahn AG mitgeteilt, dass wir die Vorlage der gültigen Kredit- oder EC-Karte (falls der Kunde keine BahnCard besitzt) nicht für erforderlich halten, und darum gebeten, auch die Personalausweisnummer als Identifikationsmittel zu akzeptieren. Diesen Vorschlag hat die Deutsche Bahn aufgenommen; sie plant, kurzfristig auch die Nutzung des Personalausweises zu ermöglichen.

Datenübermittlung an Finanzdienstleister AUS DER PRAXIS

Die Kundinnen und Kunden einer Berliner Bank erhielten auf einem Kontoauszug die Information, dass die Bank mit ihrem IT-Dienstleister eine Servicegesellschaft gegründet habe. Diese werde zukünftig bestimmte Dienstleistungen ­ insbesondere die Konto- und Depotverwaltung und Kreditsachbearbeitung ­ aus dem sog. Back Office Center der Bank erbringen. Ziel der Auslagerung war es, Kosten zu sparen, da die Beschäftigten der Servicegesellschaft nicht mehr unter den Bankentarif fallen. Außerdem sollte die Servicegesellschaft versuchen, weitere Banken als Kunden für ihre Dienstleistung zu gewinnen. Die Bank hat dem Servicecenter alle Kundendaten zugeleitet, soweit diese für die Arbeit des Servicecenters erforderlich sind.