Informationsmaterial zum Datenschutz
Homepage

Wir über Uns
Berlin
National
Europäische Union
International
Recht
T.O Maßnahmen
Aktuelles
Kontrolle
Materialien
Service
Themen

3. Schwerpunkte im Berichtsjahr

3.1 BahnCard

Mit der Übernahme der Aufgaben der Aufsichtsbehörde am 1. August war die bislang ungeklärte Frage zu beantworten, welche Aufsichtsbehörde für die Deutsche Bahn AG zuständig sein sollte. Die Senatsverwaltung für Inneres hatte zuvor unter Hinweis auf die öffentlichen Aufgaben der Bahn den Bundesbeauftragten für die richtige Kontrollstelle gehalten, dieser seine Kompetenz für die privatisierten Teile der früheren Bundesbahn jedoch nicht für gegeben betrachtet. Um diesen leidigen Kompetenzkonflikt zu Lasten des Bürgers zu beenden, haben wir im Hinblick auf den Unternehmenssitz der Bahn AG in Berlin in Abstimmung mit den anderen Aufsichtsbehörden die Zuständigkeit übernommen.

Damit übernahmen wir ein Problem, das bereits Wochen zuvor die Öffentlichkeit intensiv beschäftigt hatte: die datenschutzrechtliche Bewertung der neuen BahnCard. Die neue Karte, die ebenfalls zum Kauf von Fahrkarten zum halben Preis berechtigt, unterscheidet sich von der alten dadurch, daß sie auf Wunsch des Kunden zusätzlich zum BahnCard-Teil eine Kreditkartenfunktion hat. Hinzu kam das Angebot einer Electron-Guthabenkarte, mit der man nur über ein vorher eingezahltes Guthaben verfügen kann. Hierfür hatte die Bahn AG einen Kooperationsvertrag mit der Citibank abgeschlossen, die ihrerseits Lizenznehmerin von VISA International ist. Die Abwicklung wurde einer Tochter der Citibank, der Citicorp Card Operations GmbH (CCO) übertragen; die Herstellung der Karten einschließlich der hierfür erforderlichen Datenverarbeitung erfolgt im wesentlichen in Rechenzentren der Citibank in den USA. Dieses Projekt sorgte aus verschiedenen Gründen für heftige öffentliche Diskussionen.

Auch wenn die Bahnkunden lediglich eine einfache BahnCard ohne Kreditkartenteil beantragen wollten, wurden sie anfangs aufgefordert, Formulare auszufüllen, bei denen eine Reihe privater Informationen des Kunden angegeben werden sollte. Gegen dieses Verfahren hatten sich andere Aufsichtshehörden von Anfang an gewandt. In einer Presseerklärung zeigten sie die Probleme auf und führten erste Verhandlungen mit der Deutschen Bahn AG. Dies führte zum Entwurf neuer Formulare, in denen vor allem für die drei BahnCard-Typen BahnCard pur, BahnCard mit VISA-Kreditkartenteil und Electron-Guthabenkarte drei optisch getrennte Bereiche vorgesehen waren.

Nachdem der Berliner Datenschutzbeauftragte für die private Datenverarbeitung in Berlin und damit auch für die Deutsche Bahn AG zuständig geworden war, wurde sofort das Gespräch mit der Deutschen Bahn AG, der Citibank NA, New York, der Citibank-Privatkunden AG und der CCO aufgenommen. Neben einigen weiteren Problemen des Formulars selbst wurden vor allem die auf der Rückseite des Formulars abgedruckten Geschäftsbedingungen und die Voraussetzungen geprüft, unter denen Citibank die Daten der BahnCard-Kunden in die USA übermitteln darf. Diese Verhandlungen führten zu weiteren Erfolgen. Nach einer zweiten Gesprächsrunde wurden auch für die ausstehenden Probleme Zusicherungen gemacht, so daß keine datenschutzrechtlichen Bedenken mehr gegen das Verfahren bestehen.

Seitenanfang Gegen das BahnCard-Verfahren haben sich viele Bürgerinnen und Bürger schriftlich und telefonisch an mich gewandt. Viele Kunden sich darüber beschwert, daß die Bahn sich zur Herstellung der BahnCard der Citibank bedient und daß diese wiederum die Daten zur Herstellung der Karte in die USA übermittelt. Ich mußte sie darauf hinweisen, daß es nicht die Aufgabe der Aufsichtsbehörde ist, private Datenverarbeiter bei der Auswahl ihrer Kooperationspartner zu beschränken. Auch der Datenfluß über die Grenzen Deutschlands und Europas hinaus kann nicht von vornherein unterbunden werden, vielmehr kann die Aufsichtsbehörde lediglich die Datenübermittlung an Dritte und ins Ausland so mitzugestalten versuchen, daß kein deutsches Datenschutzrecht verletzt wird. Soweit die Daten in Länder wie die USA übermittelt werden, wo ein dem deutschen Datenschutzrecht entsprechendes Datenschutzniveau fehlt, ist diese Aufgabe besonders schwierig.

Auf dreierlei Weise wurde die datenschutzrechtliche Zulässigkeit des Verfahrens herbeigeführt:

  • Die Betreiber des Verfahrens wurden veranlaßt, die Formulare mit ihren Fragen und Erklärungen datenschutzgerecht zu gestalten;
  • die auf der Rückseite der Formulare abgedruckten allgemeinen Geschäftsbedingungen wurden verbessert;
  • in Vereinbarungen zwischen der Deutschen Bahn AG und den beteiligten Citibank-Unternehmen in Deutschland und den USA wird ein umfassender Datenschutz der BahnCard-Kunden in den USA, aber auch in Deutschland gewährleistet.

Die wichtigste Veränderung bei den Formularen stellt die klare Wahlmöglichkeit zwischen der Visa-Kreditkarte, der Electron-Guthabenkarte und der BahnCard ohne jede Zahlungsfunktion dar. Soweit die Citibank durch die Erhebung nach dem alten Formular von Erwerbern der einfachen BahnCard unzulässig auch Daten zum Kreditkartenteil erhalten hatte, hat sich die Citibank verpflichtet, diese Daten so schnell wie möglich zu löschen. Überflüssige Fragen auf dem Formular sind gestrichen oder modifiziert und die Einteilung zwischen Angaben zur BahnCard und notwendigen Angaben zur Ausstellung der VISA-Kreditkartenfunktion deutlich durch rote Überschriften herausgestellt worden. Das gilt auch für den Teil des Formulars, wo auf die jeweiligen Datenschutzklauseln hingewiesen wird. Gegen die Gestaltung des Antragsformulars bestehen damit keine datenschutzrechtlichen Bedenken mehr. Allerdings wäre es kundenfreundlicher und übersichtlicher, wenn es für jede Version der Karte ein gesondertes Formular gäbe. Mißverständnisse könnten hierdurch vermieden werden.

Auf der Rückseite des Formulars sind unter anderem die Wesentlichen Bestimmungen der Bahn zum Gebrauch der BahnCard und die Nutzungsbedingungen für die VISA-Kreditkartenfunktion und Electron-Guthabenkartenfunktion der Citibank Privatkunden AG abgedruckt. Danach willigt der BahnCard-Kunde ein, daß die CCO die in dem Kartenantrag enthaltenen Daten zur Aufnahme und Abwicklung des BahnCard-Vertrages erhält, verarbeitet und speichert. Außerdem willigt er ein, daß seine Antragsdaten zur Aufstellung und Abwicklung der BahnCard an die Rechenzentren der Citibank in den USA übermittelt sowie dort verarbeitet und gespeichert werden. Bemerkenswert ist in beiden Klauseln, daß die Rechenzentren der Citibank in den USA sich verpflichten, die Daten auf einem dem Datenschutzgesetz vergleichbar hohen Schutzniveau zu verarbeiten. Die in diesen Klauseln vorgesehene Geltendmachung der Rechte der Bahnkunden ist nicht nur gegenüber der Citibank, sondern auch gegenüber der Deutschen Bahn AG möglich.Die Übermittlung der Kreditkartenabrechnungsdaten an die VISA-International-Association wurde transparent gemacht und ihre Zulässigkeit an die Einwilligung des BahnCard-Kunden geknüpft.

Die größte Bedeutung haben eine

  • Datenschutzvereinbarung in Ergänzung zum Kooperationsvertrag zwischen Deutscher Bahn AG und der Citibank Privatkunden AG

sowie eine

Darin verpflichten sich die Vertragspartner,

  • die Daten aller BahnCard-Kunden in den USA lediglich zur Herstellung der BahnCard - also nicht zu Marketingzwecken - zu nutzen.:
  • die Daten der Kunden von reinen BahnCards ohne VISA-Teil auch in Deutschland nicht zu Marketingzwecken zu verwenden; die Deutsche Bahn AG darf mit diesen Daten lediglich für die sog. "bessere" BahnCard, also die BahnCard mit VISA-Kreditkartenteil werben;
  • die Daten von Kunden von BahnCards mit Kreditkartenteil oder von Electron-Guthabenkarten nur für "financial services" in Deutschland zu nutzen; das bedeutet, daß die Citibank diese Daten innerhalb ihres Konzerns lediglich für Bank- und Versicherungsgeschäfte verwenden darf; weitere Angebote können derartigen Sendungen nur beigepackt werden;
  • eingehende im Vertrag im einzelnen beschriebene Datensicherungsmaßnahmen - insbesondere auch in den USA - zu treffen.

Der BahnCard-Kunde kann seine Rechte auf Auskunft, Löschung, Sperrung oder Schadensersatz gegenüber der Deutschen Bahn AG oder der Citibank geltend machen, auch wenn der Schaden nicht in Deutschland, sondern in den USA entstanden ist. Schließlich kann der Berliner Datenschutzbeauftragte als für die Deutsche Bahn AG zuständige Datenschutzaufsichtsbehörde in den USA vor Ort selbst Datenschutzprüfungen vornehmen oder durch einen Beauftragten vornehmen lassen.

Im Hinblick auf die dargestellten Datenschutzmaßnahmen sind sowohl die Übermittlung der Daten von der Deutschen Bahn AG an die CCO als auch die Übermittlung der Daten an die Rechenzentren in den USA zulässig.

Diese grundsätzliche Bewertung des BahnCard-Verfahrens schließt natürlich nicht aus, daß es bei der konkreten Umsetzung des Verfahrens zu weiteren, z. B. technisch bedingtem Datenschutzproblemen kommt.

Die Bedeutung dieses Falles liegt vor allem darin, daß es gelungen ist, bei grenzüberschreitendem Datenverkehr mit den USA hinreichende Datenschutzregelungen zu treffen. Sie sind insoweit vorbildlich für die Umsetzung der EU-Datenschutzrichtlinie die einen Datenexport nur dann erlaubt, wenn ein angemessener Datenschutz im Empfängerland sichergestellt ist. Dessenungeachtet ist zu hoffen, daß auch der Gesetzgeber der USA sich des Datenschutzes im privaten Sektor annimmt.

Zuletzt geändert:
am 08.02.97

mail to webmaster