2002 fand die schweizerische Landesausstellung Expo.02 statt. Meinen damaligen Saisonpass hatten die Schweizerischen Bundesbahnen (SBB) mehr als 20 Jahre später immer noch gespeichert.
Diese überraschend lange Aufbewahrungsdauer meiner Personendaten ergab ein datenschutzrechtliches Auskunftsbegehren an die SBB.
Die fristgerecht erteilte Auskunft der SBB bestand aus einem einleitenden Schreiben und aus vorhandenen Daten in ausgedruckter Form.
Einleitendes Schreiben: SBB rechtfertigen Datenschutzverletzung
Das einleitende Schreiben lautete im Wesentlichen wie folgt:
«Sie sind bei uns in der Datenbank über die Abonnementsinhaber sowie in der Kunden- und Vertragsdatenbank verzeichnet. Die Ausdrucke der Sie betreffenden Daten aus unseren Datenbanken erhalten Sie in der Beilage.»
Und:
«Die bearbeiteten Daten haben wir jeweils direkt bei Ihnen erhoben. Der Zweck der Bearbeitung der Daten über die Abonnementsinhaber sowie der Kunden- und Vertragsdatenbank ist die Administration der Abonnementsinhaber, Kunden und Verträge (Art. 54 Abs. 1 des Bundesgesetzes über die Personenbeförderung in Verbindung mit Art. 13 Abs. 2 Bst. a DSG).»
Art. 54 Abs. 1 PBG hält fest, dass die SBB dem Datenschutzgesetz (DSG) unterstehen.
Art. 13 DSG nennt Gründe, mit denen sich eine widerrechtliche persönlichkeitsverletzende Bearbeitung von Personendaten rechtfertigen lässt.
Mit Ihrem Verweis auf Art. 13 Abs. 2 lit. a DSG erklären die SBB, mich in meiner Persönlichkeit widerrechtlich zu verletzen, diese Datenschutzverletzung aber mit ihrem überwiegenden Interesse an der Bearbeitung meiner Daten «in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags» zu rechtfertigen:
«Eine Verletzung der Persönlichkeit ist widerrechtlich, wenn sie nicht […] durch ein überwiegendes privates […] Interesse […] gerechtfertigt ist. Ein überwiegendes Interesse der bearbeitenden Person fällt insbesondere in Betracht, wenn diese […] in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags Personendaten über ihren Vertragspartner bearbeitet […].»
Unklar ist, worin die widerrechtliche Verletzung meiner Persönlichkeit durch die SBB bestehen könnte. Wieso sollten die SBB meine Daten nicht bearbeiten können, ohne eine Datenschutzverletzung rechtfertigen zu müssen?
Ausgedruckte Daten: «Geniesser» mit Klassenwechsel und SwissPass
Die ausgedruckten Daten beginnen mit «Kundenstammdaten» wie Name, Adresse, Geschlecht und Geburtsdatum. Die SBB haben in diesem Rahmen unter anderem vermerkt, dass ich keine Werbung wünsche und zum «Kundenwertsegment» «Die Geniesser» zähle.
Danach folgen auf über 50 Seiten ausgedruckte Daten über Verträge, Abonnements und Einzeltickets. Die Daten gehen zurück bis Anfang 2000, wurden also teilweise über 20 Jahre gespeichert.
In den Daten enthalten ist beispielsweise, dass ich am 13. März 2000 ein Generalabonnement gekauft oder am 22. Juni 2018 einen Klassenwechsel von Zürich nach Basel gelöst hatte. Den erwähnten Saisonpass für die Expo.02 hatte ich am 28. Januar 2002 gekauft.
Schliesslich folgen weitere ausgedruckte Daten unter anderem über die «Kundenkommunikation», über meinen SwissPass und über meine Zahlungen («Debitorenkonto»).
In diesen weiteren Daten enthalten sind beispielsweise meine frühere Mobility-Mitgliedschaft und die Chip-UIDs meiner SwissPass-Karte. Die «Kundenkommunikation» umfasst in erster Linie eine summarische Auflistung von Erinnerungen und Rechnungen.
Auskunft: So erhält man die eigenen Daten von den SBB
Mein Auskunftsbegehren hatte ich per Briefpost an die SBB gerichtet. Wer sich den Aufwand für ein eigenes Schreiben sparen möchte, kann den Generator der Digitalen Gesellschaft für Auskunftsbegehren nutzen.
Mit diesem Generator kann man auch Auskunft über Daten verlangen, die ich nicht erhalten hatte. Dazu gehören beispielsweise die Daten aus der Vorratsdatenspeicherung für das WLAN der SBB.
Die SBB verweisen in ihrer Datenschutzerklärung für Auskunftsbegehren auf ein Onlineformular bei OneTrust. Bei OneTrust handelt es sich um einen bekannten amerikanischen Anbieter von Cloud-Lösungen, mit denen Unternehmen den Datenschutz gewährleisten können sollen.
SBB: Überwachung auf Schritt und Tritt mit Gesichtserkennung an Bahnhöfen?
Siehe auch:
- Datenspuren: Staatsanwälte lieben Cumulus-Karte, Supercard und SwissPass
- SBB: Kunden-Tracking für zielgenaue Werbung mit anonymisierten Personendaten?
- SBB: Gratis-WLAN im Tausch gegen Personendaten
Bild: Pixabay / 46173, Public Domain-ähnlich.