Startseite Datenschutzkonferenz Datenschutzkonferenzen 64. DSK Elektronisches Fahrgeldmanagement (EFM) - Datenschutzrechtliche Grundanforderungen

Elektronisches Fahrgeldmanagement (EFM) - Datenschutzrechtliche Grundanforderungen

  1. Transparenz
    Die Datenverarbeitung durch das EFM muss transparent sein (§ 6 c Abs. 1 Nr.2 und 3 BDSG).
    Dies erfordert die
    • Festlegung der Zwecke,
    • Beschreibung der einzelnen Datenverarbeitungsvorgänge differenziert nach den jeweiligen für den Fahrgast zutreffenden Geschäftsprozessen und die dabei zu verarbeitenden Daten,
    • Angaben der Identitäten und Anschriften der Stellen, die zu den genannten Zwecken personenbezogene Daten verarbeiten und/oder bei denen die jeweiligen Rechtsansprüche geltend gemacht und Verfahrensbeschreibungen gem. § 4g Abs. 2 Satz 2 BDSG eingesehen werden können.
    • Einbeziehung der Unterrichtungspflichten der Kundenvertragspartner. Dazu sollte ein Merk- oder Informationsblatt erstellt werden, in dem der Fahrgast in allgemein verständlicher Form über die vorgesehene Datenverarbeitung - auch durch zentrale Servicestellen oder andere autorisierte Dritte - und über seine Rechte nach §§ 34,35 BDSG unterrichtet wird.

  2. Widerspruchsrecht
    Der Verband der Deutschen Verkehrsunternehmen sollte mit seinen Kundenvertragspartnern verabreden, dass der Kunde bei Vertragsabschluss schriftlich erklärt, ob er der Übermittlung oder Nutzung seiner Daten zu Zwecken der Werbung und der Markt- und Meinungsforschung widersprechen möchte oder nicht. Es ist sicherzustellen, dass auch autorisierte Dritte diese Beschränkung beachten.

  3. Wahlmöglichkeit
    Den Fahrgästen muss nach Information über die vertraglich bedingte Datenverarbeitung eine freie Entscheidung zwischen anonymer Fahrt und besonderen Leistungsangeboten (bspw. best pricing) überlassen bleiben.

  4. Datensparsamkeit
    Alle Leistungsmerkmale und Geschäftsprozesse sind nach dem Prinzip der Datenvermeidung und Datensparsamkeit (§ 3 a Bundesdatenschutzgesetz) zu gestalten. Insbesondere ist auszuschließen, dass kundenbezogene Bewegungsprofile erstellt werden. Das bedeutet:
    • Daten für Planungszwecke und zur Optimierung des Angebots sind anonym zu erheben oder zu anonymisieren;
    • soweit Daten für besondere Leistungsangebote oder das Reklamationsmanagement benötigt werden, sind diese pseudonym zu erheben und zu speichern, so dass ohne Wissen und Wollen des betroffenen Fahrgastes eine Zuordnung zu seiner Person ausgeschlossen ist;
    • werden zu Zwecken des Reklamationsmanagements nutzungsbezogene Daten auf mobile Speichermedien (Chipkarte) geschrieben, muss es dem Fahrgast ermöglicht werden, diese Daten auf eigene Verantwortung zu löschen.

  5. Getrennte Verarbeitung
    Es müssen die jeweils erforderlichen technischen und organisatorischen Maßnahmen getroffen werden, um zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können (Nr.8 der Anlage zu § 9 BDSG).

  6. Zweckbindung der Ticketdaten
    Darüber hinaus dürfen keine kunden- oder kartenbezogenen Auswertungen zu fremden Zwecken erfolgen. Zu Abrechnungszwecken im Verkehrsverbund dürfen allenfalls (pseudonyme) kartenbezogene Daten übermittelt werden.

  7. Vorabkontrolle
    Von dem oder der betrieblichen Datenschutzbeauftragten ist vor Inbetriebnahme des EFM eine Vorabkontrolle durchzuführen (§ 4 d Abs. 5 und 6 BDSG) und zu dokumentieren.

  8. Zugriffsberechtigung
    Der Lesezugriff für Kontrollpersonal muss auf die zur Kontrolle notwendigen Daten beschränkt sein, insbesondere auf dem Speichermedium des Fahrgastes.

  9. Datenschutzgerechte Gestaltung der Systemkomponenten
    Die Systemkomponenten, die von Fahrgästen bedient werden, sind datenschutzgerecht so zu gestalten, dass
    • keine Möglichkeit für Unbefugte besteht, an Terminals für bargeldlose Zahlung die Eingabedaten, insbesondere Authentifikationsdaten zur Kenntnis zu nehmen,
    • Fehlermeldungen der Zugangs-Erfassungssysteme die Betroffenen nicht öffentlich diskriminieren,
    • die Fahrgäste in angemessenem Umfang die Möglichkeit haben, den Inhalt der Chipkarte jederzeit auslesen zu können.

  10. Schutz gegen Missbrauch
    Es müssen Vorkehrungen (beispielsweise Sperrung, Verschlüsselung) getroffen werden, die den Fahrgast in angemessener Weise gegen missbräuchliche Verwendung der Daten durch Dritte bei Verlust des Speichermediums schützen.
  11. Löschung
    Die Dauer der für die bestimmte Geschäftsprozesse erfolgenden Speicherung personenbezogener Daten muss so kurz wie möglich sein. Für die jeweiligen Geschäftsprozesse sind Regelfristen für die Löschung der Daten festzulegen (§ 4e Satz 1 Nr. 7 BDSG). In den Terminals gespeicherte Daten sind nach erfolgreicher Datenübertragung an den Rechner des Kundenvertragspartners zu löschen.