Warum kann die Deutsche Bahn keinen Datenschutz?

bahn 02
News

Bei der Bahn gilt Datenschutz als ein “kundenorientiertes Qualitätsmerkmal”. Dennoch ermöglicht das Unternehmen nach SWR-Berichten einer umstrittenen Auskunftei die Verarbeitung von sensiblen Daten ihrer Kunden. Die Deutsche Bahn gibt im Zuge der sog. Fahrpreisnacherhebung Kundendaten, E-Mails, Telefonanrufe und auch Briefe an die Arvato Infoscore GmbH in Baden-Baden weiter, eine Tochtergesellschaft des Bertelsmann-Konzerns.

Fahrkartenkontrolle mit unerwarteten Folgen

Anscheinend hat das Unternehmen nichts aus vorherigen Skandalen zum Datenschutz gelernt. Wer in der Bahn tatsächlich oder vermeintlich ohne gültige Fahrkarte unterwegs ist, bekommt nach einer Kontrolle einen Brief im Design der Deutschen Bahn, in dem er zur Begleichung der offenen Rechnung aufgefordert wird. Für den Betroffenen ist nicht ersichtlich, dass es sich bei dem Absender des Briefs, nicht um die Bahn handelt, sondern um einen externen Dienstleister, die Firmengruppe Arvato Infoscore in Baden-Baden.

Es wurden also Daten weitergegeben und es ist nicht eindeutig ersichtlich. Nach Ansicht des Rechtsexperten Karl-Nikolaus Peifer werden die Kunden dadurch in die Irre geführt.

Kooperation zwischen Deutsche Bahn und Auskunftei

Eine solche Kooperation zwischen einem Unternehmen wie der Deutschen Bahn, welches unvorstellbare Datenschätze auf seinen Servern liegen hat und einer Auskunftei ist deshalb gefährlich, weil bei einer Auskunftei durch ein geheimes Verfahren die Kreditwürdigkeit von Verbrauchern errechnet wird.

Gerade das Zusammenführen der Bahn-Daten und den Daten der Auskunftei kann extrem negative Auswirkungen auf die Betroffenen haben, denn auf Basis verschiedener Daten wird eine Bonitätsnote berechnet. Das Ergebnis dieser streng geheimen Berechnung kann z.B. darüber entscheiden,

  • welche Zahlungsart beim Online-Kauf möglich ist,
  • ob ein neuer Handy-Vertrag abgeschlossen werden kann oder
  • ob jemand eine Mietwohnung bekommt.

Das alles ohne Wissen der Betroffenen.

Problematisches Scoring

Das Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein zum Scoring:

“Problematisch ist dabei, dass die statistischen Auswertungen soziodemographischer Merkmale zu absoluten Fehlbewertungen führen können. Aufgrund von individuellen Umständen könnte eine reale Bewertung des Verbrauchers von der statistischen Auswertung vollkommen abweichend sogar gegenteilig ausfallen. So kann z. B. eine Person das schlechte Bahnhofsviertel als Wohnort gewählt haben, weil sie/er berufsbedingt häufig reisen muss und deshalb in der Nähe des Bahnhofs wohnen möchte.”

Arvato Infoscore – kein Vorzeigeunternehmen

Walter Krämer von der Aufsichtsbehörde Baden-Württemberg hat in den letzten Jahren einen umfassenden Einblick in die Tätigkeit der Arvato Infoscore GmbH bekommen:

“Bei Infoscore hat man den Verdacht, dass alles gespeichert wird, was von Dritten reinkommt, oftmals völlig undifferenziert.”

Im Durchschnitt sei jede zweite Beschwerde, die Verbraucher bei ihm gegen Infoscore einreichten, berechtigt gewesen.

Auch in Sachen IT-Sicherheit war die Auskunftei bislang kein Vorzeigeunternehmen. Vor einem Jahr fanden sich bei Infoscore gespeicherte sensible Verbraucherdaten öffentlich zugänglich im Internet. 2012 stand die Auskunftei wegen der Nutzung von veralteten Daten für die Berechnung der Kreditwürdigkeit von Verbrauchern in der Kritik. Zudem lag auch der Vorwurf im Raum, dass notwendige Informationen für ein belastbares Scoring bei Nichtvorliegen teilweise geschätzt würden, aber bei der Übermittlung als Tatsachen qualifiziert würden.

Was sagt / schreibt die Deutsche Bahn?

Nach den Datenschutzgrundsätzen auf ihrer Website versteht die Deutsche Bahn „Datenschutz als kundenorientiertes Qualitätsmerkmal“. Die Bahn versichert hingegen, dass „weder eine Weiterverarbeitung Ihrer Daten noch eine Weitergabe an Dritte außerhalb der DB“ erfolge. Anschließend werden Ausnahmen aufgeführt, in denen Auskunftei aber nicht auftaucht. Hierbei impliziert die Aufzählung der Datenübertragungen an externe Partner eine Vollständigkeit, die aber offensichtlich aufgrund des Datentransfers an die Arvato Infoscore nicht gegeben ist.

In der extra Datenschutzerklärung auf der Website www.db-fahrpreisnacherhebung.de, die im Deutsche Bahn Design gehalten ist, wird gleich am Anfang klar gemacht:

„Datenschutz schützt Menschen, nicht Daten!“

„Ihre personenbezogenen Daten werden grundsätzlich nicht an Dritte außerhalb des DB-Konzerns weitergegeben. Externe Dienstleister, die für uns im Auftrag Daten verarbeiten, sind im Sinne des Bundesdatenschutzgesetzes vertraglich streng verpflichtet und zählen datenschutzrechtlich nicht zu Dritten“.

Angeblich werden zur Abwicklung der Fahrpreisnacherhebung lediglich folgende Daten verarbeitet:

  • Anrede, Vorname, Name, Geburtsdatum
  • Straße, Hausnummer, Postleitzahl, Wohnort
  • Geleistete Zahlung
  • Vorgang eingestellt

Auch werden die Daten angeblich „innerhalb eines Jahres gelöscht, wenn kein Wiederholungsfall festgestellt wurde“. Bei einer „nachträglichen Vorlage“ eines gültigen Tickets werden die Daten angeblich sogar nach 30 Tagen gelöscht.

Ob diese Löschfristen tatsächlich auch bei der Arvato Infoscore GmbH eingehalten werden, darf bezweifelt werden. Nun liegt der Spielball bei der Aufsichtsbehörde, die sich sicherlich mit dem Unternehmen diesbezüglich in Verbindung setzen wird. Nach Unternehmensangaben verwaltet Infoscore mehr als 40 Millionen Negativmerkmale zu 7,8 Mio. risikobehafteten Verbrauchern und zu 450.000 Firmen.

Welche Rechte haben die Betroffenen?

Gemäß § 34 BDSG besteht eine gesetzliche Pflicht für alle Auskunfteien, die Betroffenen über die bei ihnen gespeicherten Daten zu informieren. Sie können Auskunft darüber verlangen, welche Daten über Sie und vor allem bei wem gespeichert sind. Zudem können sie bei unrichtigen oder veralteten Daten Berichtigung und sogar Löschung dieser Daten verlangen. Den konkreten Umfang der Auskunftspflicht der Auskunfteien hat der BGH kürzlich konkretisiert. Für die Ausübung Ihrer Rechte reicht ein Schreiben unter Angabe der Fahrpreisnacherhebungsnummer oder ihrem Namen auf dem Postweg an:

DB Vertrieb GmbH
Fahrpreisnacherhebung
76518 Baden-Baden

oder per E-Mail an info@noSpamsc-fahrpreisnacherhebung.de

Machen Sie Gebrauch von ihren Rechten!

22 Kommentare zu diesem Beitrag

  1. Wobei die Auswirkungen für den einzelnen Verbraucher durchaus existenziell sein können – ohne dass er die Hintergründe überhaupt mitbekommt. So steht auf dem Interessentenbogen der LEG NRW: Ich wurde darüber unterrichtet, dass der Vermieter vor Abschluss eines Mietvertrages gegebenenfalls Bonitätsauskünfte über mich bei Auskunfteien einholt.
    https://www.leg-wohnen.de/fileadmin/user_upload/Assets/PDFs/Downloads/30-1100_Fragebogen_fu__r_Wohnungsinteressenten_14_12_2015.pdf

  2. Jungs, auch wenn ich eure artikel wirklich gut und bereichernd finde (wirklich ich bin fan:-)), hier muss euch bahnhashing und dementsprechenden eklekzitismus unterstellen. Dann auch noch das in Datenschutzkreisen als extremistisch bekannte “Unabhängige” Landeszentrum für Datenschutz zu zitieren….ähm na ja.

    Aber ich behalte euren Newsletter trotzdem weiter!

    • Das Thema Scoring – und vor allem die intransparente Datenweitergabe an die Auskunfteien – ist und bleibt datenschutzrechtlich eine umstrittene Sache. Hier finden Sie weitergehende Informationen und Denkanstöße zu der Thematik. Vielleicht können Sie noch etwas näher erklären, wie die Anspielung auf die Methode des Eklektizismus auf unseren Beitrag zu verstehen ist. Finden Sie denn das Vorgehen der Bahn in diesem Fall nicht auch ein wenig befremdlich?

  3. Während Sie hier über das “böse” deutsche Unternehmen Bahn wegen seiner Zusammenarbeit mit dem “bösen” deutschen Unternehmen InfoScore herziehen, die sich beide an deutsche Gesetze halten, nutzen Sie Google-Analytics eines “guten” US-Unternehmens, welches natürlich insbesondere für herausragenden Datenschutz nach deutscher Gesetzeslage bekannt ist. Natürlich haben Sie keinen Grund zur Annahme, dass dieses US-Unternehmen irgendetwas anderes tun könnte mit den Daten der Nutzer, die Sie durch Ihre journalistische Tätigkeit auf Ihre website locken.

    • Wir wollen mit unserem Blog lediglich aus aktuellem Anlass auf die Scoring-Thematik und den Umgang mit Kundendaten hinweisen. In verschiedenen Situationen rechnet der Verbraucher u.U. mit einer Übermittlung seiner Daten an eine Auskunftei. Bei der Fahrpreisnacherhebung der Deutschen Bahn werden die wenigsten Verbraucher von der Aufnahme ihrer Kundendaten in eine Bonitätsdatenbank ausgehen. Dieses allgemeine Problem der Intransparenz ist losgelöst vom Sitz des Unternehmens zu sehen.

      • Meinenen Sie mit “Übermittlung seiner Daten an eine Auskunftei” den dahinter verborgenen datenschutzrechtlich präzisen Vorgang? Wollen Sie wirklich behaupten, dass hier bewusst Datenschutzrecht gebrochen würde von Firmen, die damit ihre Existenz riskieren würden? Übrigens, war der im zweiten Abschnitt erwähnte “Skandal zum Datenschutz” nicht genauso eine Zeitungsente, wie Ihr aktueller Beitrag? Zumindest lese ich so die dort am Ende veröffentlichte Stellungnahme. Haben Sie etwa auch “nichts aus vorherigen Skandalen zum Datenschutz gelernt”?

        • Mangels Details zur rechtlichen Ausgestaltung der Kooperation zwischen der Deutschen Bahn und der Arvato Infoscore GmbH können wir uns keine rechtlich belastbare Bewertung des Vorgangs erlauben. Zumindest kam es in dem erwähnten “Skandal zum Datenschutz” nie zum Verkauf von Kundendaten der Bahn an Banken, Versicherungen und Fast-Food-Ketten, wohl auch aufgrund der Berichterstattung darüber im Vorfeld.

    • Was hat denn Arvato mit Google Analytics zu tun? Lächerlich!

      Haben Mitarbeiter der Bahn-PR-Abteilung nichts besseres zu tun?

  4. Wenn Arvato nach § 11 BDSG als Lettershop für die Bahn tätig wurde, ist die Sache ok und datenschutzrechtlich zulässig. Und genau so sieht das für mich auch aus. Das hätte dann nichts mit dem Auskunfteiengeschäft zu tun. Also besser erst mal abwarten, was da wirklich Sache war, bevor vorschnell ge- und verurteilt wird. Nur meine Meinung.

    • Ich gebe Ihnen unter der Bedingung Recht, dass auch Arvato alle gesetzlichen Vorgaben erfüllt. Wir wollen niemanden vorschnell verurteilen, sondern lediglich aufgrund der uns zur Verfügung stehenden Informationen auf etwaige Ungereimtheiten aufmerksam machen.

      • Gut, dass Sie das klargestellt haben! Sonst hätte man den Beitrag fast mit Fachinformation verwechseln können.
        “niemanden vorschnell verurteilen” und “auf etwaige Ungereimtheiten aufmerksam machen” sind ansonsten die Kernkompetenz gewisser Presseerzeugnisse aus großbuchstabigen Überschriften, vielen Bildern und wenig Text. Gute Datenschützer lassen sich aufgrund der mäßigen Qualität der “zur Verfügung stehenden Informationen” eher nicht dazu hinreißen.

  5. “Etwaige Ungereimtheiten” – Ok. Zum Glück sieht die Überschrift “Warum kann die Deutsche Bahn keinen Datenschutz?” ja nun auch gar nicht nach Vorverurteilung aus ;-)

    Werde Ihre Beiträge trotzdem weiterhin lesen. Bin – ansonsten – auch ein Fan Ihres NL. Meistens sehr sachkundig, schlau und gewitzt. Manchmal sogar noch mit etwas Humor. Weiter so! Nur bitte nicht so platt wie hier vorliegend. Nur meine Meinung.

  6. @ Dr. Datenschutz

    Wussten Sie, dass es PR-Agenturen gibt, die im Auftrag ihrer Kunden positive oder negative Kommentare im Interesse ihrer Kunden z.B. in Blogs platzieren?

    Falls Sie dies bisher nicht wussten, dann wissen Sie es jetzt. Die ungewöhnlich schnell auftauchenden und zahlreichen Kommentatoren, die Ihnen kritisch gegenüber stehen und die Bahn verteidigen, haben sicher nichts mit einer plötzlich angewachsenen Beliebtheit der Bahn zu tun.

    Aber wer jemand so Skrupelloses wie Herrn Pofalla im Vorstand sitzen hat, dem sind (mindestens) auch bezahlte Kommentatoren zuzutrauen.

  7. Ich bin, zugegebenen, aufgrund der etwas reißerischen Überschrift hier gelandet. Was ich inhaltlich vorfinde, ist allerdings keine gelungene Bewerbung als externer Datenschutzbeauftragter, Herr Dr.Datenschutz, sondern eine ebenfalls nicht gut gelungene PR-Aktion – die obendrein schlechter wird mit jedem Kommentar, den Sie als Entgegnung auf die teils guten dargelegten fachlichen Zweifel an Ihrer Position ablassen. Zum Glück lässt sich mein Datenschutzbeauftragter nicht so von Verdächtigungen und journalistischen Ergüssen beeinflussen, sondern nur von belastbaren Informationen. Warum machen Sie das? Weil Bahn und InfoScore groß genug sind, dass da für jeden ein Flecken zum Draufschlagen da ist? Ziemlich billig! Schade, das ist wieder mal ein Ausreißer zwischen den ansonsten oft auch wertvollen Inhalten Ihrer Seite.

  8. @Bahnabas: Es geht nicht um Verschwörungstheorien. Es geht auch nicht um die “Beliebtheit der Bahn”. Es geht um fachlich seriöse Berichterstattung jenseits von Spekulation. Und es geht um Rechtmäßigkeit. Also insbesondere um die Frage, ob ein Vertrag nach § 11 BDSG existiert und ob sich ggfls. dann auch alle Vertragspartner (also auch Arvato!) daran halten bzw. daran gehalten haben. Nur meine Meinung.

  9. Köstlich!

    “Laura Weber”
    “H.Sievert”
    “Datenschutzkunde”
    “Hyhtlodeus”

    Merkmale:
    – immer zu normalen Büroarbeitszeiten gepostet
    – ähnlicher Schreibstil und Tonfall
    – ähnliches “Argumentationsmuster”
    – ähnlicher Verweis auf vorher positive Meinung über den Blog und jetzt eingetretene Enttäuschung (= Aufbau moralischen Drucks auf Blogbetreiber)
    – Anwendung von Rabulistik
    – Rückgriff auf “Rechtmäßigkeit” (als wäre das der einzige Maßstab für unternehmerisches Handeln)
    – Kritik an PR-Postings als “Verschwörungstheorie” diffamieren
    – Blogbetreiber mit Methoden und Stil von Boulevardmedien in einen Topf werfen

    An alle beteiligten bezahlten Sockenpuppen der Bahn-PR (Oder ist es ein einzelner Praktikant?):
    Danke für dieses Paradebeispiel für moderne Krisen-PR! Jedem Studenten der Kommunikationswissenschaften sind diese Kommentare hier sehr zu empfehlen.

  10. PS @ Bahn-PR:

    Das nächste Mal nicht übertreiben mit der Anzahl der Sockenpuppen.

    Vermeintliche Meinungsführerschaft einer vermeintlichen Mehrheit der Kommentatoren vortäuschen schön und gut, aber man sollte es nicht so offensichtlich machen.

  11. Wow, jetzt geht’s aber ab! Nichts inhaltliches beitragen, aber Kommentatoren mit Unterstellungen diffamieren. Na, wenn das kein PR-Profi ist? Das ist doch nicht etwa ein (bezahlter?) “Freundschaftsdienst” für den Blogbetreiber? Dann wiederum wäre es doch eine inhaltliche Bewertungshilfe für obigen Beitrag. Insofern danke ich für die Rückmeldung mit persönlicher Widmung.

  12. @ H.Sievert:

    Es wird nicht besser. Sie werden es in diesem Kommentar-Thread nicht mehr schaffen, das Publikum für Sie zu gewinnen. Game over. Sie haben verloren. Lassen Sie es einfach und ziehen zum nächsten “Auftrag”. Sie müssen übrigens noch einiges lernen, um nicht sofort aufzufliegen.

    PS: Die inhaltlichen Beiträge hat Dr. Datenschutz zu genüge geliefert.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.