Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) berichtet in seinem 32. Tätigkeitsbericht 2022 vom 14.06.2023 u. a. über E-Tickets im Öffentlichen Personennahverkehr (ÖPNV) und den damit verbundenen datenschutzrechtlichen Grundsatz der Datenminimierung.
Die in ihrer Mehrheit kommunalen Unternehmen des ÖPNV bieten neben dem klassischen Papierfahrschein zunehmend auch sogenannte E-Tickets an. Hierbei handelt es sich um eine Form der Digitalisierung, mit der viele Bürgerinnen und Bürger tagtäglich bei der Fahrt mit den Verkehrsmitteln des ÖPNV in Berührung kommen.
Nach den langjährigen Erfahrungen des BayLfD verleiten solche elektronischen Angebote aufgrund ihrer systemimmanenten „Einfachheit“ dazu, mehr an Daten zu verarbeiten, als zur Erreichung des verfolgten Zwecks erforderlich ist; dies verstößt allerdings gegen den europarechtlichen Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchst. C Datenschutz-Grundverordnung – DSGVO).
Vor diesem Hintergrund hat der BayLfD im aktuellen Berichtszeitraum 2022 mehrere bei ihm in diesem Zusammenhang eingegangene Eingaben zum Anlass einer eingehenden Überprüfung der Datenverarbeitungen eines bayerischen kommunalen Verkehrsunternehmens genommen, welches solche E-Tickets an seine Abonnentinnen und Abonnenten ausgab.
Seine dabei gewonnenen Erkenntnisse referiert der BayLfD in seinem Bericht unter Nr. 5.2. wie folgt:
Sachverhalt
„Konkret bestand das E-Ticket aus einer Chipkarte, wobei der Chip folgende Informationen speicherte: Maskierter Vor- und Nachname (erster und letzter Buchstabe von Vor- und Nachnamen sowie die jeweilige Gesamtzahl der Zeichen), Geburtsdatum, Geschlecht, gewähltes Tarifprodukt (insbesondere Tarifzone, Preisstufe, zeitliche Gültigkeit, Ticketnummer) sowie die letzten 10 Transaktionen (etwa Kontrollen, Ticketkäufe oder Ticketänderungen).
Aufgedruckt auf der Chipkarte waren Vor- und Nachname sowie ein Lichtbild, das von der Kundin oder dem Kunden im Rahmen des Bestellvorgangs zu übermitteln war und beim Unternehmen auch nach Aushändigung des E-Tickets weiterhin gespeichert blieb.“
Zentrale Ergebnisse der Prüfung
„Vor der Darstellung der zentralen Prüfergebnisse skizziere ich zum besseren Verständnis kurz den rechtlichen Rahmen der Überprüfung.
Öffentliche Stellen, wie kommunale Verkehrsunternehmen, benötigen für die Verarbeitung von personenbezogenen Daten eine Rechtsgrundlage (vgl. Art. 6 Abs. 1 DSGVO). Die Erbringung von Verkehrsdienstleistungen im ÖPNV und die Direktwerbung für diese Dienstleistungen ist eine Teilnahme als Unternehmen am Wettbewerb gemäß Art. 1 Abs. 3 BayDSG. Daher gelten insoweit die Vorschriften für nicht öffentliche Stellen, das heißt die Datenschutz-Grundverordnung und nachrangig das Bundesdatenschutzgesetz …
Mögliche Rechtsgrundlagen für die Verarbeitung personenbezogener Daten im Rahmen des E-Tickets sind daher neben der Einwilligung (Art. 6 Abs. 1 Unterabs. 1 Buchst. A DSGVO) die Vertragserfüllung (Art. 6 Abs. 1 Unterabs. 1 Buchst. B), die Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 Unterabs. 1 Buchst. C) und die Wahrnehmung berechtigter Interessen (Art. 6 Abs. 1 Unterabs. 1 Buchst. F). Datenschutzverstöße können aufgrund der Wettbewerbsteilnahme zur Verhängung von Geldbußen führen (Art. 22 BayDSG, Art. 83 DSGVO).“
Datenspeicherungen im Chip
„Nichts einzuwenden hatte ich gegen die Speicherung des (maskierten) Vor- und Nachnamens, des Geburtsdatums und des Tarifprodukts im Chip. Die Verarbeitung dieser Daten war für das Verkehrsunternehmen erforderlich, um den mit der Kundin oder dem Kunden geschlossenen Beförderungsvertrag, der auch die Kontrolle der Fahrtberechtigung einschließt, zu erfüllen.
Dabei war zu beachten, dass es sich beim E-Ticket um ein personalisiertes Produkt handelt. Es wird nur eine bestimmte Person (Abonnentin oder Abonnent) durch das E-Ticket zur Fahrt im ÖPNV berechtigt und legitimiert. Somit konnte sich das Unternehmen auf Art. 6 Abs. 1 Unterabs. 1 Buchst. B DSGVO als Rechtsgrundlage berufen.
Maskierter Vor- und Nachname sowie Geburtsdatum waren erforderlich, um eine Person eindeutig zu identifizieren. Keine Rechtsgrundlage konnte ich dagegen für die Speicherung des Geschlechts erkennen. Zwar machte das Unternehmen geltend, dass es sich auch insoweit um ein Identifikationsmerkmal handle. Dem trat ich jedoch entgegen, da eine eindeutige Identifizierung bereits durch Vor- und Nachname sowie Geburtsdatum gelingt.
Das Unternehmen verzichtet daher künftig auf die Speicherung des Geschlechts. Chipkarten von Bestandskundinnen und Bestandskunden sollen sukzessive, aber zeitnah in einem rollierenden Verfahren bei Vertragsverlängerungen gegen die neuen, datensparsameren Chipkarten ausgetauscht werden.
Kritisch bewertete ich daneben die Speicherung der Transaktionsdaten im Chip, da hiervon auch Zeitpunkt, Ort, Fahrt und Linie umfasst sein können. Zwar speichert der Chip nur zehn Transaktionen, die elfte überschreibt also die erste Transaktion. Dennoch ist es theoretisch nicht ausgeschlossen, dass Bewegungsprofile gebildet werden können.
Zu berücksichtigen war insoweit aber auch, dass die Möglichkeit einer solchen Profilbildung von der Dichte der Fahrscheinkontrollen abhängt. Bei nur zehn gespeicherten Transaktionen und einer lediglich gelegentlichen Kontrolle durch mobile Teams scheint diese Möglichkeit kaum zu bestehen. Wird jedoch das E-Ticket regelhaft beim Einstieg in Fahrzeuge des ÖPNV kontrolliert, so ist durchaus eine Profilbildung denkbar.
Das geprüfte Unternehmen hatte zwar bei Fahrten mit Bussen solche Kontrollen vorgesehen, es versicherte mir jedoch, beim Betrieb des E-Tickets würden die kritischen Datenkategorien Ort, Fahrt und Linie mit Nullen oder anonymisierten Nummern gefüllt, was eine Bewegungsprofilbildung verhindere. Im Hinblick auf die Zusicherung, dass dies nicht geändert würde, stellte ich meine Einwände zurück.
Gleichwohl wies ich das Unternehmen darauf hin, dass das rechtliche Fundament, auf dem die Speicherung der Transaktionsdaten zum Zeitpunkt meiner Prüfung beruhte, ,brüchig‘ war. Das Verkehrsunternehmen rechtfertigte die Speicherung des Transaktionslogbuchs vor allem mit dem Gesichtspunkt der Kundentransparenz.
Allerdings war nach meiner Auffassung die Speicherung von zehn Transaktionsdaten zur Erfüllung des Beförderungsvertrags nicht erforderlich, da dieser keine solche Transparenzpflicht des Unternehmens vorsah. Daraufhin passte das Unternehmen den Vertragsinhalt an.
Ich erläuterte dem Unternehmen jedoch auch, dass der Grundsatz der Transparenz (Art. 5 Abs. 1 Buchst. A DSGVO) nach der Systematik der Datenschutz-Grundverordnung im Wesentlichen durch Informationspflichten (Art. 13 f. DSGVO) und das Recht auf Auskunft (Art. 15 DSGVO) verwirklicht wird, nicht aber durch zusätzliche Datenspeicherungen.
Daher begrüßte ich die Zusage des Unternehmens, in wenigen Jahren eine neue Chipkartengeneration einzuführen, welche keine Transaktionsdaten mehr speichert.“
Chipkarte: Aufdruck von Lichtbild sowie Vor- und Nachname
„Nach den Tarifbestimmungen des Verkehrsunternehmens diente das auf der Chipkarte aufgedruckte Lichtbild dem Zweck, sich bei Kontrollen als Abonnentin oder Abonnent auszuweisen. Ein Personalausweis musste dann während der Fahrt nicht zwecks Identifizierung mitgeführt werden. Dies war nur erforderlich, wenn Kundinnen oder Kunden im Bestellprozess kein Foto zur Verfügung gestellt hatten.
Allerdings kam ich bei der Prüfung der im Rahmen des Bestellprozesses übermittelten Informationen zu dem Ergebnis, dass über die genannten Umstände und Folgen nicht transparent aufgeklärt wurde. Im Gegenteil: Nach meiner Wahrnehmung wurde Kundinnen und Kunden vielmehr der Eindruck vermittelt, sie müssten stets ein Lichtbild zur Verfügung stellen.
Mithin fehlte es an einer wirksamen – insbesondere informierten und freiwilligen – Einwilligung für die Datenverarbeitung. Auch eine andere Rechtsgrundlage für die Datenverarbeitung lag nicht vor. Für die Ticketkontrolle war das Foto nämlich nicht zwingend zur Vertragsabwicklung erforderlich. So war nach den Tarifbestimmungen eine Kontrolle auch durch Abgleich mit einem – dann verpflichtend mitzuführenden – Lichtbildausweis möglich.
Daher war eine Verarbeitung des Fotos zu Kontrollzwecken nicht im datenschutzrechtlichen Sinne erforderlich. Zwar mag ein aufgedrucktes Foto dazu dienen, das eigene E-Ticket von denen anderer Fahrgäste oder Familienmitglieder schnell zu unterscheiden. Allerdings ist es für diesen Zweck ausreichend und vorzugswürdig, wenn die Chipkarte ein unbeschriebenes Notizfeld enthält, in welches freiwillig der Name eingetragen werden kann.
Auch für den Aufdruck von Vor- und Nachnamen auf der Chipkarte lag keine Rechtsgrundlage vor. Im Hinblick auf die Individualisierung der eigenen Karte gilt das eben Gesagte entsprechend. Ein unbeschriebenes Notizfeld auf der Karte, in welches freiwillig der Name eingetragen werden kann, ist insoweit ausreichend und vorzugswürdig.
In Bezug auf die Identifikationsmöglichkeit bei Fahrscheinkontrollen wies ich das Unternehmen darauf hin, dass Vor- und Nachname bereits im Chip des E-Tickets maskiert enthalten sind und bei Kontrollen ausgelesen werden können. Insoweit konnte mir nicht hinreichend begründet werden, welchen Sinn der Vergleich der aufgedruckten Namensdaten mit den im Chip enthaltenen maskierten Daten durch das Kontrollpersonal haben soll.
Im Gegenteil führt doch der Aufdruck des Klarnamens auf der Chipkarte die Maskierung des Namens bei der Speicherung im Chip ad absurdum. Auch genügt der Abgleich des maskierten Namens mit einem mitgeführten amtlichen Ausweis für eine Identitätskontrolle. Daher begrüßte ich es, dass das Verkehrsunternehmen eine neue Chipkarte eingeführt hat, bei der keine Namen mehr aufgedruckt sind.
Auch der Aufdruck des Fotos ist für die Kundinnen und Kunden jetzt im datenschutzrechtlichen Sinne freiwillig, da sie im Bestellprozess nun transparent aufgeklärt werden. Während Neukundinnen und Neukunden diese neue datensparsame Chipkarte sofort erhalten, wird diese an Bestandskundinnen und Bestandskunden wiederum in einem rollierenden Verfahren ausgegeben.“
Speicherung des Fotos auch nach Aushändigung des E-Tickets
„Das im Rahmen des Bestellprozesses von einer Kundin oder einem Kunden zur Verfügung gestellte Porträtfoto wurde von dem geprüften Unternehmen über die Erstellung des konkreten E-Tickets hinaus weiterhin gespeichert, um etwa im Falle einer Ersatzausstellung bereits ein Foto vorrätig zu haben.
Auch für diese Datenverarbeitung lag keine Rechtsgrundlage, insbesondere keine wirksame Einwilligung, vor. Eine solche hatte das Unternehmen im Bestellvorgang nicht eingeholt, sondern nur auf die Löschmöglichkeit verwiesen.
Allerdings ersetzt der Verweis auf das Recht auf Löschung (Art. 17 DSGVO) nicht die Einholung einer Einwilligung (Art. 6 Abs. 1 Unterabs. 1 Buchst. A, Art. 7 DSGVO). Das Unternehmen kündigte insoweit an, zukünftig im Bestellprozess wirksame Einwilligungen für die weitere Speicherung, etwa für die Ausstellung von Ersatzkarten oder neuer Karten, einzuholen.
Bestandskundinnen und Bestandskunden würden angeschrieben und um Einwilligung zur weiteren Speicherung gebeten. Wird diese nicht erteilt, würden die bislang gespeicherten Fotos gelöscht.“
Fazit
„Bei der Digitalisierung im ÖPNV müssen kommunale Verkehrsunternehmen insbesondere den Grundsatz der Datenminimierung beachten, dürfen also bei der Verwendung von E-Tickets grundsätzlich nur solche Daten verarbeiten, die zur Erreichung des verfolgten Zwecks erforderlich sind. Soll die Datenverarbeitung auf eine Einwilligung gestützt werden, ist auf deren wirksame Einholung zu achten.“
32. Tätigkeitsbericht des Bayerischen Landesbeauftragten für den Datenschutz v. 14.06.2023
Entnommen aus der Fundstelle Bayern 2/2024, Rn. 22.
