ÖBB: Scannen der Vorteilscard

Wie hält es die ÖBB mit unserer Privatsphäre? Kann man noch günstig und zugleich anonym per Bahn reisen?

Als ich nach dem ersten Corona-Lockdown mit dem Zug meine Eltern besuchen fuhr, wurde ich im letzten Streckenabschnitt noch nach meiner Fahrkarte kontrolliert. Ich hatte diese am Schalter gelöst und sie dem Schaffner ausgehändigt, meine Vorteilscard und der Lichtbildausweis hielt ich zudem sichtbar parat. Dann bat mich der Schaffner den QR-Code auf meiner Vorteilscard scannen zu dürfen. Dies verweigerte ich. Ich fragte, welchen Grund das Scannen den hätte, worauf er mir keine Antwort gab, sondern mir unerwartet schnell drohte mich “aus dem Zug zu schmeißen”. Ich blieb Stur und nach einer längeren Debatte durfte ich meine Fahrt ohne das Einscannen fortsetzen. 4 Tage später las ich in der Zeitung, dass jener Schaffner positiv auf SARS-Cov-2 getestet wurde. Zum Glück ist dies, trotz unseres längeren Streites, für mich auch in dieser Hinsicht gut ausgegangen.

Wieso so stur?

Ich bin wahrscheinlich einer der wenigen Kunden der ÖBB, der die AGB inkl. Datenschutzerklärung zur Vorteilscard zum damaligen Zeitpunkt gelesen hatte. Daher wusste ich, dass dort kein Wort über das Einscannen und die Datenverarbeitung dabei darin zu finden war.

Handeln

Also verfasste ich ein E-Mail an die Datenschutzverantwortlichen. Es wurde darauf reagiert. Leider hatte ich erst ein Jahr später Zeit den Text daraufhin genauer zu lesen. Die neue Version der Datenschutzerklärung ist ein guter Anfang, jedoch taten sich mir nach wie vor viele Fragen auf und ich beschloss die ÖBB erneut zu kontaktieren:

Sehr geehrte Damen und Herren,

ich wollte mich in ihrer Datenschutzerklärung erneut zur Datenverarbeitung, den Zweck der Datenerhebung, der Speicherung der erhobenen Daten etc, in Bezug auf das Einscannen meiner Vorteilscard durch das Personal in den Zügen der ÖBB innerhalb Österreichs informieren.

Erfreulicherweise haben sie seit meiner letzten Beschwerde vor circa 16 Monaten nachgebessert, damals waren dazu keinerlei Informationen in ihrer Datenschutzbestimmung zu finden. Heute (Version gültig ab 1.8.2021) sind diese jedoch meines Erachtens immer noch lückenhaft.

  1. Als Zweck des Einscannens der Vorteilscard wird die Validierung dieser angeführt. Wieso ist eine optische, nicht elektronische Validierung durch das Personal nicht ausreichend, obwohl diese Jahrzehnte lang ausreichend war? (Frage am Rande: Gab es in der Vergangenheit eine wesentliche Anzahl an Betrug diesbezüglich?)

  2. Wenn der Zugbegleiter meine Vorteilscard scannt, machen er oder sie das dann, im Falle dass ein Smartphone verwendet wird und kein Spezialgerät der ÖBB mit einem von der OEBB ausgehändigten Dienstgerät, auf welchen der Schutz der Verarbeiteten Daten unter anderem dadurch sichergestellt wird, dass nur Geräte verwendet werden, welche die neuesten Sicherheitsaktualisierungen verfügen?

  3. Wird die elektronische Signatur des QR-Codes lokal am Gerät des Zugpersonals verifiziert? Wenn nein, weswegen ist aus technischer Sicht eine Datenübermittlung an zentrale Server der ÖBB zwingend notwendig?

  4. Wie lange werden die bei der Validierung erhobenen Daten gespeichert? Ich lese drei Jahre aus ihrer Datenschutzerklärung, kann aber keine Begründung erkennen, wieso diese überhaupt länger als bis der Zugbegleiter die Validierung geprüft hat, gespeichert werden sollten müssten.

Ich bitte sie mir innerhalb der nächsten 2-4 Wochen zu antworten. Falls sie noch weitere Kundendaten von mir benötigen, um meine Anfrage zu beantworten teilen sie mir dies bitte umgehend mit.

Ich hoffe die ÖBB auch in Zukunft guten Gewissens als den Partner meiner Wahl in Sachen Mobilität begrüßen zu dürfen.

mit besten Grüßen,

Die Antwort

Die Antwort kam dann ziemlich genau nach vier Wochen:

Sehr geehrter Herr *,

vielen Dank für Ihre Nachricht.

Wir, die ÖBB-Personenverkehr AG als datenschutzrechtlich Verantwortliche, legen größten Wert auf Transparenz. Es sei Ihnen versichert, dass wir die Rechte und die Privatsphäre unserer Kund:innen sehr ernst nehmen.

Vorweg zum juristischen Hintergrund:

Die gegenständliche Datenverarbeitung basiert auf zwei unterschiedlichen gleichwertigen Rechtsgrundlagen, nämlich (1) auf dem mit Ihnen geschlossenen Beförderungsvertrag, d. h. auf Artikel 6 Abs. 1 lit. b DSGVO sowie (2) auf überwiegenden berechtigten Interessen im Sinne Artikel 6 Abs. 1 lit. f DSGVO.

Nach den Vorgaben der DSGVO ist eine Datenverarbeitung rechtmäßig, wenn diese zur Erfüllung eines Vertrags erfolgt, dessen Vertragspartei die betroffene Person ist. Die Berechtigungsprüfung basiert auf Grundlage des geschlossenen Vertragsverhältnisses. Ebenso ist eine Datenverarbeitung zulässig, wenn diese durch überwiegende berechtigte Interessen der Verantwortlichen gerechtfertigt ist. Unsere berechtigten Interessen bestehen in der Durchführung einer notwendigen Berechtigungsprüfung, außer Verkehr bringen von nicht mehr gültigen Kundenkarten und Hintanhaltung von Missbrauchsfällen.

Zu Ihren Fragen:

  1. Eine Validierung stellt kein neues Unterfangen dar, sondern wird schon mit Start der elektronischen Ticketverwendung vorgenommen. Die Validierungsprüfung, die mit dem Einscannen des Tickets, Kunden- oder Jahreskarte einhergeht, dient berechtigten Interessen:

Die Validierung dient der Prüfung, ob ein Ticket, eine Kunden- oder Jahreskarte gültig ist und damit zu Recht verwendet wird. Das Einscannen erlaubt eine elektronische Kontrolle der Karten und ermöglicht uns insbesondere manipulierte Karten oder zu Unrecht verwendete Karten (beispielsweise dann, wenn die Gültigkeitsdauer bereits abgelaufen ist oder die Karte gesperrt wurde) aus dem Verkehr zu ziehen. Mit einer bloßen Sichtkontrolle wäre dies jedoch nicht möglich.

  1. Ja, es handelt sich dabei natürlich um von den ÖBB ausgehändigte Dienstgeräte.

Auf unseren Geräten befinden sich die aktuellsten Sicherheitsupdates, da wir Enterprise Geräte von Samsung benutzen.

  1. Die elektronische Signatur des Aztec-Codes wird lokal am Gerät des Zugpersonals verifiziert.

Eine Datenübermittlung an zentrale Server der ÖBB ist dennoch erforderlich, um gesperrte (gestohlene, stornierte, etc.) Karten zu identifizieren, sowie um ungerechtfertigte Mehrfachverwendungen zu vermeiden.

  1. Validierungsdaten werden spätestens nach Ende der Dienstschicht unseres Zugbegleitpersonals in unsere sichere IT-Umgebung übertragen und dort für die Dauer von maximal 3 Jahren zugriffssicher gespeichert. Die Datenspeicherung wurde mit dem Ablauf der anwendbaren gesetzlichen Verjährungsfrist beschränkt. Die gesamte Datenverarbeitung wird unter Beachtung der datenschutzrechtlichen Grundsätze nach Artikel 5 DSGVO vorgenommen. Insbesondere wurde der Datenumfang auf das unbedingt erforderliche Ausmaß eingeschränkt.

Bei weiteren Fragen können Sie sich gerne an mich wenden.

Freundliche Grüße

Meine Einschätzung

Zunächst war ich positiv überrascht, dass die Schaffner alle mit Smartphones, welche über die aktuellsten Sicherheitspatches verfügen, ausgestattet werden.

Welche Daten dabei gespeichert werden, darüber bin ich ebenfalls noch nicht im klaren: Zugnummer? Uhrzeit? Vorteilscardnummer? Kundennummer? Name? Geburtsdatum? Schaffner? GPS-Daten?

Auf meine Frage, wie schwer die Gründe für Betrug und gesperrte Karten denn wiegen, wurde nicht eingegangen. Geht die ÖBB von 10 Betrugsfällen aus und speichert deswegen Vorratsdaten von Millionen anderen Kund*innen?

Aber am gravierendsten finde ich, dass diese Daten drei Jahre gespeichert werden. Um welche Daten es sich dabei genau handelt geht aus

Insbesondere wurde der Datenumfang auf das unbedingt erforderliche Ausmaß eingeschränkt

nicht hervor.

Fazit

Ich für mich sehe allen Grund nochmal genauer nach zu forschen. Momentan habe ich jedoch wenig Zeit und werde deswegen erst zu Weihnachten hin mich wieder damit auseinandersetzen.