3. Schwerpunkte im Berichtsjahr3.1 BahnCardMit der Übernahme der Aufgaben der Aufsichtsbehörde am 1. August war die bislang ungeklärte Frage zu beantworten, welche Aufsichtsbehörde für die Deutsche Bahn AG zuständig sein sollte. Die Senatsverwaltung für Inneres hatte zuvor unter Hinweis auf die öffentlichen Aufgaben der Bahn den Bundesbeauftragten für die richtige Kontrollstelle gehalten, dieser seine Kompetenz für die privatisierten Teile der früheren Bundesbahn jedoch nicht für gegeben betrachtet. Um diesen leidigen Kompetenzkonflikt zu Lasten des Bürgers zu beenden, haben wir im Hinblick auf den Unternehmenssitz der Bahn AG in Berlin in Abstimmung mit den anderen Aufsichtsbehörden die Zuständigkeit übernommen. Damit übernahmen wir ein Problem, das bereits Wochen zuvor die Öffentlichkeit intensiv beschäftigt hatte: die datenschutzrechtliche Bewertung der neuen BahnCard. Die neue Karte, die ebenfalls zum Kauf von Fahrkarten zum halben Preis berechtigt, unterscheidet sich von der alten dadurch, daß sie auf Wunsch des Kunden zusätzlich zum BahnCard-Teil eine Kreditkartenfunktion hat. Hinzu kam das Angebot einer Electron-Guthabenkarte, mit der man nur über ein vorher eingezahltes Guthaben verfügen kann. Hierfür hatte die Bahn AG einen Kooperationsvertrag mit der Citibank abgeschlossen, die ihrerseits Lizenznehmerin von VISA International ist. Die Abwicklung wurde einer Tochter der Citibank, der Citicorp Card Operations GmbH (CCO) übertragen; die Herstellung der Karten einschließlich der hierfür erforderlichen Datenverarbeitung erfolgt im wesentlichen in Rechenzentren der Citibank in den USA. Dieses Projekt sorgte aus verschiedenen Gründen für heftige öffentliche Diskussionen. Auch wenn die Bahnkunden lediglich eine einfache BahnCard ohne Kreditkartenteil beantragen wollten, wurden sie anfangs aufgefordert, Formulare auszufüllen, bei denen eine Reihe privater Informationen des Kunden angegeben werden sollte. Gegen dieses Verfahren hatten sich andere Aufsichtshehörden von Anfang an gewandt. In einer Presseerklärung zeigten sie die Probleme auf und führten erste Verhandlungen mit der Deutschen Bahn AG. Dies führte zum Entwurf neuer Formulare, in denen vor allem für die drei BahnCard-Typen BahnCard pur, BahnCard mit VISA-Kreditkartenteil und Electron-Guthabenkarte drei optisch getrennte Bereiche vorgesehen waren. Nachdem der Berliner Datenschutzbeauftragte für die private Datenverarbeitung in Berlin und damit auch für die Deutsche Bahn AG zuständig geworden war, wurde sofort das Gespräch mit der Deutschen Bahn AG, der Citibank NA, New York, der Citibank-Privatkunden AG und der CCO aufgenommen. Neben einigen weiteren Problemen des Formulars selbst wurden vor allem die auf der Rückseite des Formulars abgedruckten Geschäftsbedingungen und die Voraussetzungen geprüft, unter denen Citibank die Daten der BahnCard-Kunden in die USA übermitteln darf. Diese Verhandlungen führten zu weiteren Erfolgen. Nach einer zweiten Gesprächsrunde wurden auch für die ausstehenden Probleme Zusicherungen gemacht, so daß keine datenschutzrechtlichen Bedenken mehr gegen das Verfahren bestehen.
|
||
Gegen das BahnCard-Verfahren haben sich viele Bürgerinnen und Bürger
schriftlich und telefonisch an mich gewandt. Viele Kunden sich darüber
beschwert, daß die Bahn sich zur Herstellung der BahnCard der Citibank
bedient und daß diese wiederum die Daten zur Herstellung der Karte
in die USA übermittelt. Ich mußte sie darauf hinweisen, daß
es nicht die Aufgabe der Aufsichtsbehörde ist, private Datenverarbeiter
bei der Auswahl ihrer Kooperationspartner zu beschränken. Auch der
Datenfluß über die Grenzen Deutschlands und Europas hinaus
kann nicht von vornherein unterbunden werden, vielmehr kann die
Aufsichtsbehörde lediglich die Datenübermittlung an Dritte und
ins Ausland so mitzugestalten versuchen, daß kein deutsches
Datenschutzrecht verletzt wird. Soweit die Daten in Länder wie die USA
übermittelt werden, wo ein dem deutschen Datenschutzrecht entsprechendes
Datenschutzniveau fehlt, ist diese Aufgabe besonders schwierig.
Auf dreierlei Weise wurde die datenschutzrechtliche Zulässigkeit des Verfahrens herbeigeführt:
Die wichtigste Veränderung bei den Formularen stellt die klare Wahlmöglichkeit zwischen der Visa-Kreditkarte, der Electron-Guthabenkarte und der BahnCard ohne jede Zahlungsfunktion dar. Soweit die Citibank durch die Erhebung nach dem alten Formular von Erwerbern der einfachen BahnCard unzulässig auch Daten zum Kreditkartenteil erhalten hatte, hat sich die Citibank verpflichtet, diese Daten so schnell wie möglich zu löschen. Überflüssige Fragen auf dem Formular sind gestrichen oder modifiziert und die Einteilung zwischen Angaben zur BahnCard und notwendigen Angaben zur Ausstellung der VISA-Kreditkartenfunktion deutlich durch rote Überschriften herausgestellt worden. Das gilt auch für den Teil des Formulars, wo auf die jeweiligen Datenschutzklauseln hingewiesen wird. Gegen die Gestaltung des Antragsformulars bestehen damit keine datenschutzrechtlichen Bedenken mehr. Allerdings wäre es kundenfreundlicher und übersichtlicher, wenn es für jede Version der Karte ein gesondertes Formular gäbe. Mißverständnisse könnten hierdurch vermieden werden. Auf der Rückseite des Formulars sind unter anderem die Wesentlichen Bestimmungen der Bahn zum Gebrauch der BahnCard und die Nutzungsbedingungen für die VISA-Kreditkartenfunktion und Electron-Guthabenkartenfunktion der Citibank Privatkunden AG abgedruckt. Danach willigt der BahnCard-Kunde ein, daß die CCO die in dem Kartenantrag enthaltenen Daten zur Aufnahme und Abwicklung des BahnCard-Vertrages erhält, verarbeitet und speichert. Außerdem willigt er ein, daß seine Antragsdaten zur Aufstellung und Abwicklung der BahnCard an die Rechenzentren der Citibank in den USA übermittelt sowie dort verarbeitet und gespeichert werden. Bemerkenswert ist in beiden Klauseln, daß die Rechenzentren der Citibank in den USA sich verpflichten, die Daten auf einem dem Datenschutzgesetz vergleichbar hohen Schutzniveau zu verarbeiten. Die in diesen Klauseln vorgesehene Geltendmachung der Rechte der Bahnkunden ist nicht nur gegenüber der Citibank, sondern auch gegenüber der Deutschen Bahn AG möglich.Die Übermittlung der Kreditkartenabrechnungsdaten an die VISA-International-Association wurde transparent gemacht und ihre Zulässigkeit an die Einwilligung des BahnCard-Kunden geknüpft. Die größte Bedeutung haben eine
sowie eine
Darin verpflichten sich die Vertragspartner,
Der BahnCard-Kunde kann seine Rechte auf Auskunft, Löschung, Sperrung oder Schadensersatz gegenüber der Deutschen Bahn AG oder der Citibank geltend machen, auch wenn der Schaden nicht in Deutschland, sondern in den USA entstanden ist. Schließlich kann der Berliner Datenschutzbeauftragte als für die Deutsche Bahn AG zuständige Datenschutzaufsichtsbehörde in den USA vor Ort selbst Datenschutzprüfungen vornehmen oder durch einen Beauftragten vornehmen lassen. Im Hinblick auf die dargestellten Datenschutzmaßnahmen sind sowohl die Übermittlung der Daten von der Deutschen Bahn AG an die CCO als auch die Übermittlung der Daten an die Rechenzentren in den USA zulässig. Diese grundsätzliche Bewertung des BahnCard-Verfahrens schließt natürlich nicht aus, daß es bei der konkreten Umsetzung des Verfahrens zu weiteren, z. B. technisch bedingtem Datenschutzproblemen kommt. Die Bedeutung dieses Falles liegt vor allem darin, daß es gelungen ist, bei grenzüberschreitendem Datenverkehr mit den USA hinreichende Datenschutzregelungen zu treffen. Sie sind insoweit vorbildlich für die Umsetzung der EU-Datenschutzrichtlinie die einen Datenexport nur dann erlaubt, wenn ein angemessener Datenschutz im Empfängerland sichergestellt ist. Dessenungeachtet ist zu hoffen, daß auch der Gesetzgeber der USA sich des Datenschutzes im privaten Sektor annimmt.
|
Zuletzt geändert:
am 08.02.97