12. 03. 2024  Das Staatsunternehmen Bahn nimmt uns in Salamitaktik systematisch die Möglichkeiten Bahn zu fahren, ohne eine lange Datenspur zu hinterlassen. Deshalb habe ich nachgefragt und per Datenabfrage überprüft, welche Daten wie lange gespeichert werden. Presseanfragen beantwortet die Bahn verdächtig hinhaltend und ausweichend, die Datenabfrage offenbarte Diskrepanzen zur erklärten Speicherpraxis.

Wie berichtet hat die Bahn ohne vernünftigen geschäftspolitischen Grund die Möglichkeiten beseitigt, günstiger als zu den besonders teuren Flexpreisen Bahn zu fahren, ohne Namen und Kontaktdaten zu hinterlassen. Seit kurzem gibt es zudem die ProbeBahncard und künftig auch normale Bahncards nur noch mit Nutzung der datenschutzrechtlich mindestens fragwürdigen App DB Navigator.

Für letzteres kann ich mir immerhin noch einen geschäftspolitischen Grund ausdenken. Wenn es stimmt, was man immer wieder hört, dass Tickets, die über diese App verkauft werden, oft teurer sind, als wenn man sie über die Netzseite der Bahn kauft, dann würde das Möglichkeiten vermehren, Stammkunden über den Tisch zu ziehen.

Trotzdem finde ich es verdächtig, wenn ein Staatsunternehmen sich so dafür engagiert, anonyme Ortswechsel zu erschweren. Immerhin ist es ja auch ein mit Nachdruck verfolgtes Anliegen des Staates, legales anonymes Bezahlen im Internet selbst von Kleinbeträgen, schwer zu machen, und zunehmend auch anonymes Bezahlen im direkten Kontakt. Straßen werden mit Kameras mit Kennzeichenerkennung gepflastert, in Großbritannien schon flächendeckend, bei uns noch nicht ganz so extensiv, Parken kann man oft nicht mehr, ohne sich zu identifizeren. Das staatliche Interesse an umfassender Identifikation der Bürger, wenn sie selbst oder ihr Geld unterwegs sind, ist also unschwer zu erkennen.

Bestärkt wurde mein latentes Misstrauen bezüglich der Motive der Bahn durch die Zuschrift eines Lesers, der bei der Bahn gefragt hatte, wie lang seine Daten aufbewahrt werden, wenn er eine Fahrkarte von A nach B kauft. Im  Nachgang zu einem Bericht von Radio RBB, dass die Bahn günstigere Tickets nur noch gegen Angabe einer Mobilnummer oder E-Mail-Adresse verkauft, wollte er vom Datenschutz der Bahn wissen,

• inwiefern diese Daten unter Beachtung des Minimalprinzips des Datenschutzes zur Erbringung einer Beförderungsleistung zwingend erforderlich sind, und wenn sie es sind, wie die Bahn vor Oktober 2023 in der Lage war, Personen zu transportieren, deren Mobilnummer und Mailadresse sie nicht kannte,
• was mit Menschen geschieht, die kein Mobilfunkgerät oder keine E-Mail-Adresse besitzen und wie sich das mit dem “inklusiv-diversen” Firmenbild der Bahn verträgt,
• welche personenbezogenen Daten bei Ticketkäufen gespeichert werden und wie lange sie aufbewahrt werden,
• ob Behörden die Möglichkeit haben, z.B. im Rahmen eines richterlichen Beschlusses, von der Deutschen Bahn die Bewegungshistorie eines Bürgers nachzuvollziehen.

Die Antwort auf die recht präzisen Fragen fiel ausweichend bis irreführend aus. Der Mitarbeiter des Datenschutzes erklärt, die Bahn folge mit ihrer Maßnahme dem Trend zum digitalen Buchen. Die Kontaktdaten hätten für die Bahn den Vorteil, dass sie auf diese Weise den Kunden direkt über Fahrplanänderungen informieren könne. Das ist jedoch zur Erbringung der Leistung nicht erforderlich. Bucht man online, wird man gefragt, ob man über Fahrplanänderungen und Verspätungen informiert werden möchte. Man kann auch nein sagen. Die Daten sind also nur erforderlich, wenn man diese zusätzliche Leistung haben möchte.

Auch die weitere Begründung zieht nicht:

“Weiterhin benötigen wir zur Erfüllung eines Vertrages von Buchenden bestimmte personenbezogene Daten (z.B. bei digitalen Tickets die E-Mail-Adresse oder Handynummer).”

Die Kontaktdaten müssen jedoch auch beim Kauf am Schalter zwingend angegeben werden, obwohl sie zur Erfüllung des Vertrags offenkundig nicht nötig sind. Bei Kauf von Karten zum Normalpreis am Automaten werden auch keine Kontaktdaten abgefragt. Der Kauf von Sparpreise am Automaten wurde von der Bahn eigens gestoppt, um die Kontaktdatenabfrage bei Sparpreistickets durchsetzen zu können.

Die Antwort nach der Art und Dauer der Datenspeicherung fiel vage aus (Fettung durch mich):

“Weiterhin speichern wir Daten zu Ticketkäufen nur so lange, wie sie für die Erfüllung des Zwecks, zu dem sie erhoben wurden (bspw. im Rahmen eines Vertragsverhältnisses) erforderlich sind oder sofern dies gesetzlich vorgesehen ist. So speichern wir im Rahmen eines Vertragsverhältnisses Ihre Daten mindestens bis zur vollständigen Beendigung des Vertrages. Anschließend werden die Daten für die Dauer der gesetzlichen Aufbewahrungsfristen aufbewahrt. Sofern bestimmte Daten einer gesetzlichen Aufbewahrungspflicht gemäß Abgabenordnung und Handelsgesetzbuch unterliegen, werden sie in unserem Archiv für die gesetzlich vorgeschriebene Frist abgelegt. Eine Beauskunftung dieser speziell geschützten Daten ist nicht möglich, da wir durch technische und organisatorische Maßnahmen sichergestellt haben, dass einzelne Betroffene im Archiv nicht mehr eindeutig identifiziert werden können. Hierdurch ist zudem eine anderweitige Verarbeitung in die dort gespeicherten Daten als durch die gesetzlich befugten Personen (z.B. Steuerprüfer) für den gesetzlich vorgeschriebenen Zweck ausgeschlossen. Aus diesem Grund unterliegen Archivdaten nicht der Beauskunftung,”

Was soll es wohl bedeuten, dass einzelne Betroffene in den Archivdaten nicht mehr “eindeutig” identifiziert werden können? Welches sind die “bestimmten Daten”, die aufbewahrt werden müssen und wie lange? Das sind Fragen, die leicht beantwortet werden können, wenn man Transparenz nicht scheut.

Der Leser fragte konkret nach, wie lange Daten über den Kauf eines Tickets ohne Bonusprogram von A nach B zu einem bestimmten Datum aufbewahrt werden. Er bekam keine Antwort mehr.

Anfrage an die Presseabteilung

Also wandte ich mich am 20.2. mit genau dieser konkreten Frage an die Presseabteilung der Bahn und ergänzte die Bitte, falls gesetzliche Regeln die Aufbewahrung derartiger personenbezogener Daten länger als zum Zweck der Vertragserfüllung notwendig erfordern, diese Vorschriften und die darin vorgeschiebene Aufbewahrungsfrist für Daten zu Ticketkäufen zu nennen.

Zunächst bekam ich keine Antwort. Auf telefonische Nachfrage am 26.2. wurde mir mitgeteilt, die Anfrage sei leider übersehen worden und ich könne am 27.2. mit einer Antwort rechnen. Auf Nachfrage am 28.2. wurde mir mitgeteilt, dass meine “konkrete Anfrage” etwas mehr Zeit erfordere und ich am 29.2. mit einer Antwort rechnen dürfe. Die Antwort, die ich dann tatsächlich am Abend des folgenden Tages erhielt, fiel dann aber gar nicht konkret aus, sondern bestand überwiegend aus allgemeinen Floskeln und dem vagen inhaltlichen Kern:

“Kundendaten im Zusammenhang mit Online-Tickets werden zur Erfüllung vertraglicher Ansprüche gemäß DSGVO erfasst. Nach 13 Monaten greifen die gesetzlichen Aufbewahrungspflichten gemäß §147 Abgabenordnung und §257 Handelsgesetzbuch. Die Löschung erfolgt automatisch nach Ablauf der gesetzlichen Archivierungsfrist.”

Aus den angeführten, langen Paragraphen kann ein Nicht-Experte nicht einmal ansatzweise herauslesen, welche Daten danach in welcher Form wie lange archiviert werden müssen. Nichts dazu, ob die Daten anonymisiert, pseudoanoymisiert oder personalisiert sind. Meine beste Schätzung nach Lektüre der Paragraphen ist, dass die Daten, in welcher Ausführlichkeit auch immer, zehn Jahre archiviert werden müssen.

Neun Tage nach meiner Anfrage bekam ich also  – und nur durch mehrmaliges Nachhaken – eine sehr unvollständige Antwort.

Ich schrieb deshalb am 29.2. zurück, dass ich wegen der nur indirekten Beantwortung meiner Fragen sicherstellen möchte, dass ich die Antwort korrekt interpretiere, und fragte:

• Trifft es zu, dass personenbezogene Daten zu Fahrkartenkauf und – nutzung, von der Bahn aufgrund der genannten gesetzlichen Vorschriften zehn Jahre lang in im Archiv vorgehalten werden?
• Trifft es zu, dass diejenigen, die Zugang zu diesem Archiv bekommen können, etwa Strafverfolgungsbehörden, aus den Archivdaten die Bahnreisen von individuellen Bürgern herauslesen können?

Am 4.3. erhielt ich als Antwort auf meine erste Frage die Nichtauskunft:

“Die Archivierung entsprechender Datensätze erfolgt unter den geltenden Regelungen des HGB und nach den Grundsätzen der ordnungsgemäßen Buchführung (§140 ff. AO i.V.m. GoBD). Eine direkte Zuordnung zu identifizierbaren Kund:innen im Archiv ist nicht mehr zweifelsfrei möglich.”

Da war es wieder, dieses geheimnisvolle “zweifelsfrei”. Die Antwort auf die zweite Frage lautete:

Aus den Archivdaten kann nicht auf ein tatsächliches Reiseverhalten bestimmbarer Personen referenziert werden. Ausnahmsweise können Behörden bei Vorliegen entsprechender Ermächtigungsgrundlagen einen Zugriff beantragen, im Rahmen dessen ggf. Daten rekonstruiert werden könnten.

Mit anderen Worten. Behörden können also offenbar doch, entgegen dem oben vermittelten Eindruck, anhand der Daten Bewegungsprofile der letzten zehn Jahre rekonstruieren, auch wenn das vielleicht auf die eine oder andere Art mühsam ist.

Abfrage meiner Daten bei der Bahn

Die Bahn ist wie jedes Unternehmen verpflichtet, auf Anfrage mitzuteilen, welche Daten sie über Kunden gespeichert hat. Auf eine entsprechende Anfrage erhielt ich recht flott Auskunft.

Aus dieser geht hervor, dass die Bahn einen Kundendatensatz mit einer früheren Adresse noch gespeichert hat, die bis 2008 galt, obwohl sie diesen Datensatz 2008 durch einen neuen mit der neuen Adresse und einer neuen Kundennummer ersetzt hatte. Das ist immerhin 15 Jahre her.

Bei den Transaktionsdaten war der älteste gespeicherte Ticketkauf von Januar 2021. Das ist drei Jahre her, was mit der Gültigkeitsdauer von BahnBonus-Punkten harmoniert.

Gespeichert werden jeweils Kaufdatum, Transaktionsdatum (mutmaßlich erstes Gültigkeitsdatum), Bahncard-Nr., Klasse, Preis, Bonuspunkte, Verkaufsstelle und Fahrstrecke.

Keine Auskunft bekam ich über die im Archiv der Bahn gespeicherten Daten über mich, weil diese – wie in der oben zitierten Bahn-Auskunft an meinen Leser erwähnt –  nicht “beauskunftet” werden müssen.

Meine Rückfrage, warum ein 15 Jahre alter Kundendatensatz mit einer früheren Wohnanschrift von mir nicht gelöscht wurde, wurde nicht beantwortet.

Fazit

Es ist unbefriedigend und nicht vertrauenerweckend, dass die Bahn sich hinsichtlich der archivierten Mobiltätsdaten ihrer Kunden, die sie diesen mit immer neuen Tricks abnötigt, so bedeckt hält. Denn es ist denkbar, dass sie mehr Daten archiviert als nur die steuerrelevanten Sachverhalte und Buchungsbelege, auf die HGB und Abgabenordnung abzielen. Die Fahrstrecke würde dazu sicher nicht gehören. Die Antwort der Bahn auf die konkrete Frage, wie lange etwa Strafverfolgungsbehörden noch eine Bewegungsprofil erstellen können, deutet darauf hin, dass die Fahrstrecke und das Datum der Fahrt unnötiger Weise mit archiviert werden. Ob das gesetzeskonform ist, sollen Fachleute beurteilen. Ich habe große Zweifel. Wenig Zweifel habe ich, dass eine seit 15 Jahren veraltete Kundenadresse nicht mehr gespeichert sein dürfte.

Wenn sie ihre Aufsichtsfunktion auch als Dienst an der Allgemeinheit ernst nehmen würden, wären die Vertreter des Staates im Aufsichtsrat der Bahn, die von FDP, Grünen und SPD gestellt werden, gefordert, sich das Datengebaren des Monopolisten genauer anzuschauen.