Entscheidende Behörde

Datenschutzbehörde

Entscheidungsdatum

01.08.2023

Geschäftszahl

2023-0.544.853

Anfechtung beim BVwG/VwGH/VfGH

Dieser Bescheid ist rechtskräftig.

Text

GZ: 2023-0.544.853 vom 1. August 2023 (Verfahrenszahl: DSB-D124.1093/23)

[Anmerkung Bearbeiter/in: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

BESCHEID

SPRUCH

Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde von Lena A*** (Beschwerdeführerin) vom 10. Mai 2023 gegen die N*** Eisenbahnbetriebs-AG (Beschwerdegegnerin) wegen Verletzung im Recht auf Geheimhaltung wie folgt:

-      Die Beschwerde wird als unbegründet abgewiesen.

Rechtsgrundlagen: Artikel 5,, Artikel 6,, Artikel 51, Absatz eins,, Artikel 57, Absatz eins, Litera f, sowie Artikel 77, Absatz eins, der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 4.5.2016 S. 1; Paragraphen eins,, 18 Absatz eins, sowie 24 Absatz eins und Absatz 5, des Datenschutzgesetzes (DSG), Bundesgesetzblatt Teil eins, Nr. 165 aus 1999, idgF.

BEGRÜNDUNG

A. Vorbringen der Parteien und Verfahrensgang

1. Mit verfahrenseinleitender Eingabe vom 10. Mai 2023 brachte die Beschwerdeführerin zusammengefasst vor, sie erachte sich in ihrem Recht auf Geheimhaltung als verletzt. Als Fahrgast der Beschwerdegegnerin sei bei Benutzung der ***bahn im Bereich zwischen ***dorf und ***dorf ihre ***-Verkehrsverbund Jahreskarte elektronisch überprüft worden. Das bloße Aushändigen der Jahreskarte sei von den Kontrollorganen nicht akzeptiert worden. Vielmehr werde die Beschwerdeführerin genötigt, die Jahreskarte mittels tragbarer elektronischer Gerätschaft scannen zu lassen. Dabei seien insbesondere Daten über den Ort und Zeitpunkt der Kontrolle betroffen, mögliche Rückschlüsse über den Einstiegs- und Aufenthaltsort, die aktuelle Fahrtrichtung und andere persönliche Daten. Ein einfacher Fahrschein enthalte keine personenbezogenen Daten. Eine Zustimmung habe die Beschwerdeführerin nicht erteilt. Sie habe als Arbeitspendlerin keine Alternative zur ***bahn und sei gezwungen, dieses Verkehrsmittel zu benützen.

2. Mit Stellungnahme vom 3. Juli 2023 führte die Beschwerdegegnerin im Wesentlichen aus, die Datenschutzbehörde habe sich mit dem Thema der Vornahme von Validierung in Personenzügen bereits zur GZ: D124.3279 beschäftigt. Die rechtliche Situation bzw. Handhabung habe sich in der Praxis nicht verändert.

Gegenständlich sei zusätzlich zur Sichtkontrolle eine elektronische Validierung erfolgt. Dabei werden die im Barcode hinterlegten Daten am Kontrollgerät des Zugbegleiters angezeigt, um sie mit jenen auf der Karte vergleichen zu können, die Signatur/Echtheit des Codes geprüft sowie ein Abgleich mit den Daten im Hintergrundsystem vollzogen, um den Auftragsstatus der Karte sowie der letzten Validierungen anzuzeigen. Im Verdachtsfall könne so geprüft werden, ob ein anderer Reisender mit einem Duplikat der Karte in einem anderen Zug unterwegs sei. Die Validierung des Tickets eines Kunden diene grundsätzlich der Überprüfung und Echtheit der Dokumente. Diese Standards seien dabei international implementiert bzw. europaweit etabliert und werden von der European Railway Agency, der International Union of Railways und des Internationalen Eisenbahntransportkomitees definiert.

Die Grundsätze der Verarbeitung nach Artikel 5, DSGVO werden eingehalten. Entsprechend Artikel 5, Absatz eins, Litera a, DSGVO gäbe es gegenständlich eine Rechtsgrundlage iSd Artikel 6, Absatz eins, Litera b, DSGVO sowie werde dies den Kunden gegenüber transparent dargestellt. Die Validierung (Prüfung der Gültigkeit) basiere auf Grundlage des mit den Kunden geschlossenen Beförderungsverhältnisses.

Ebenso überwiegen die berechtigten Interessen der Beschwerdegegnerin. Sie verfüge über berechtigtes Interesse an der notwendigen Berechtigungsprüfung, am Ausserverkehrbringen von nicht mehr gültigen Karten sowie an der Hintanhaltung von Missbrauchsfällen (Generalprävention). Darüber hinaus bestehen Vertragspflichten der Beschwerdegegnerin als Eisenbahnunternehmen aus den mit der ***Dienstleistungsgesellschaft mbH geschlossenen Verkehrsdiensteverträgen, in denen der Beschwerdegegnerin Kontrollverpflichtungen auferlegt werden.

Der Zweckbindungsgrundsatz werde eingehalten, da die Validierung ausschließlich für Zwecke der Berechtigungsprüfung, Ausserverkehrbringen von nicht mehr gültigen Karten sowie Hintanhalten von Missbräuchen und Einhaltung der vertraglichen Verpflichtungen verwendet werde. Die erhobenen Daten (auf der Kundenkarte ersichtliche Daten, Geburtsdatum, Gültigkeit, Angaben zum Kontrollorgan, Zeitpunkt der Validierung und das Validierungsergebnis) seien auf das erforderliche Ausmaß beschränkt.

Entgegen dem Vorbringen der Beschwerdeführerin werden Reisebewegungen nicht automatisiert ausgewertet. Eine Auswertung erfolge lediglich im Rahmen eines Artikel 15, DSGVO Antrages oder im Anlassfall bei der Verteidigung von Rechtsansprüchen. Für eine Auswertung allfälliger Validierungsdaten werde überdies die Jahreskartennummer benötigt, die der Beschwerdegegnerin nicht bekannt sei, zumal diese von einer anderen Verantwortlichen ausgegeben werde.

Mit dem gelinderen Mittel der bloßen Sichtkontrolle könne nicht Auslangen gefunden werden, zumal nur durch elektronische Prüfung die Authentizität des Ausstellers geprüft werden könne.

Als Beilagen übermittelte die Beschwerdegegnerin die DSFA zur Durchführung der Validierung in Personenzügen, einen Auszug aus dem Verzeichnis von Verarbeitungstätigkeiten betreffend die Durchführung von Validierungen in Personenzügen sowie ein Dokument der European Railway Agency mit dem Titel „Electronic seat/berth reservation and electronic production of transport documents - Transport documents (RCT2 Standard)“ sowie ein Dokument zur technischen Beschreibung der Validierungstätigkeit.

3. Mit Stellungnahme vom 23. Juli 2023 führte die Beschwerdeführerin im Wesentlichen aus, die Ausführungen der Beschwerdegegnerin zur Validierung von Tickets seien nicht nachvollziehbar. Vorverkaufstickets wie etwa Einzelfahrscheine werden mittels Sichtkontakt auf ihre Gültigkeit geprüft. Sie lehne die elektronische Prüfung ihrer Jahreskarte ab. Sie fühle sich diskriminiert gegenüber ihren Sitznachbarn mit anderen Fahrscheinen. Eine elektronische Überprüfung sei überschießend. Beim Vorgehen der Beschwerdegegnerin handle es sich um keinen etablierten Standard. Es könne nicht dem Gesetz entsprechen, dass das Geburtsdatum der Beschwerdeführerin dem Kontrollorgan elektronisch übermittelt werde. Ihr Geburtsdatum sei ihr höchstpersönliches Gut und dürfe keinem bekannt gegeben werde.

Die Beschwerdeführerin sehe sich durch Aufzeichnung ihrer Standortdaten und Reisedaten in ihren Rechten als verletzt. Die Aufzeichnung der Reisebewegungen habe mit einer Fahrscheinkontrolle nichts zu tun. Es können sehr wohl Bewegungsprofile erstellt werden; Stichwort KI. Die Verknüpfung der Daten mit dem Ausgeber der Jahreskarte, dem ***-Verkehrsverbund, werde befürchtet. Die Gefahr von Datenlecks sei vorhanden. Sie sehe kein Problem der Validierung der Fahrkarte mittels Sichtkontrolle und habe die Beschwerdegegnerin kein überwiegend berechtigtes Interesse. Es handle sich um einen unzulässigen Eingriff in ihr Grundrecht auf Datenschutz. Es liege keine rechtmäßige Verarbeitung vor.

B. Beschwerdegegenstand

Beschwerdegegenstand ist die Frage, ob die Beschwerdegegnerin die Beschwerdeführerin durch die elektronische Validierung ihrer ***-Verkehrsverbund Jahreskarte im Recht auf Geheimhaltung verletzt.

C. Sachverhaltsfeststellungen

1. Der Beschwerdeführerin ist Inhaberin einer ***-Verkehrsverbund Jahreskarte.

Beweiswürdigung: Die Feststellung ergibt sich aus dem Vorbringen der Beschwerdeführerin.

2. Die Zugbegleiter der Beschwerdegegnerin validieren Kundenkarten zum Zweck der Berechtigungsprüfung, der Ausserverkehrbringung von nicht mehr gültigen Kundenkarten sowie der Hintanhaltung von Missbrauchsfällen und der Einhaltung von vertraglichen Verpflichtungen.

Die Beschwerdegegnerin informiert die Kunden über die elektronische Validierung der Kundenkarte im Rahmen eines abgeschlossenen Beförderungsvertrags.

Beweiswürdigung: Die Feststellungen ergeben sich aus dem Vorbringen der Beschwerdegegnerin sowie den diesbezüglichen Ausführungen in der Datenschutzerklärung der N*** AG („Wann gilt diese Datenschutzerklärung?“ und „Alles rund um die Validierung von Kundenkarten, Jahreskarten und Tickets inkl. Boardingpässen (Airailpässen)“, abrufbar unter https://n***.com/datenschutz) sowie den Ausführungen in A.2.1.1.1 und A.3.1.5.2. im Handbuch für Reisen mit den N*** in Österreich, abrufbar unter https://n***.com/reisen).

3. Im Rahmen der Validierung von Jahreskarten von Kunden, die einen Personenzug benutzen, werden von der Beschwerdegegnerin die folgenden Daten verarbeitet:

      Validierungs-ID

      Art der Validierung (online/offline/manuell)

      Zeitpunkt der Validierung

      Ergebnis der Validierung (gültig, ungültig, Warnung, keine online Validierung möglich)

      Revisions- und Sequenznummer der Karte

      letzte Haltestelle nach der vorgenommenen Validierung und letzte Haltestelle bevor die Validierung durchgeführt wurde

      vierstelliger Bahncode

      Personalnummer des Zugbegleiters, der die Validierung vornimmt

      Angaben, die im erzeugten Aztec-Code gespeichert sind (im Einzelfall Name, Geburtsdatum, Ausweisnummer, KfZ-Kennzeichen, Kartentyp, Komfortklasse)

      Kartennummer

      Gültigkeitszeitraum der Karte

Die Beschwerdegegnerin erstellt im Rahmen der Validierung keine Bewegungsprofile ihrer Kunden.

Beweiswürdigung: Die Feststellungen ergeben sich aus dem Vorbringen der Beschwerdegegnerin, den vorgelegten Unterlagen, insbesondere dem Auszug aus dem Verzeichnis von Verarbeitungstätigkeiten betreffend die Durchführung von Validierungen in Personenzügen.

D. In rechtlicher Hinsicht folgt daraus:

1. Das in Paragraph eins, DSG verankerte Grundrecht auf Datenschutz, nach dessen ersten Absatz jedermann, insbesondere im Hinblick auf die Achtung seines Privat- und Familienlebens, einen Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten hat, soweit daran ein schutzwürdiges Interesse besteht, beinhaltet den Schutz des Betroffenen vor der Ermittlung seiner Daten und der Weitergabe der über ihn ermittelten Daten.

Nach Paragraph eins, Absatz 2, DSG sind Beschränkungen des Geheimhaltungsanspruchs nur zulässig, wenn die Verwendung personenbezogener Daten im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, bei überwiegenden berechtigten Interessen eines anderen oder bei Vorhandensein einer qualifizierten gesetzlichen Grundlage.

Die Datenschutz-Grundverordnung und insbesondere auch die darin verankerten Grundsätze sind zur Auslegung des Rechts auf Geheimhaltung heranzuziehen vergleiche den Bescheid der DSB vom 31. Oktober 2018, GZ: DSB-D123.076/0003-DSB/2018).

2. Die Beschwerdegegnerin bringt mitunter vor, die Daten auf Grundlage ihrer überwiegenden berechtigten Interessen zu verarbeiten.

Festzuhalten ist in diesem Zusammenhang, dass als berechtigtes Interesse im Sinne von Paragraph eins, Absatz 2, DSG bereits vom OGH in der Entscheidung zu Zl. 2 Ob 244/99t vom 26.08.1999 „u.a. subjektive, auf gesetzlicher oder vertraglich vereinbarter Grundlage beruhende Ansprüche anerkannt sind“.

Daher ist das Vorliegen des Eingriffstatbestandes iSd Artikel 6, Absatz eins, Litera f, DSGVO zu prüfen. Sohin hat eine Bewertung der berechtigten Interessen der Beschwerdeführerin zu erfolgen und sind diese den berechtigten Interessen der Beschwerdegegnerin sowie Dritter gegenüberzustellen. Im Rahmen dieser Interessenabwägung ist zu berücksichtigen, dass zwei kumulative Voraussetzungen gegeben sein müssen, damit sich die Beschwerdegegnerin auf diesen Erlaubnistatbestand stützen kann:

Zum einen muss die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich sein, zum anderen dürfen Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, nicht überwiegen vergleiche zu Artikel 7, Litera f, der Richtlinie 95/46/EG das Urteil des EuGH vom 24. November 2011, C-468/10 und C-469/10 [ASNEF und FECEMD] Rz. 38) vergleiche dazu den Bescheid der DSB vom 4.7.2019, GZ: DSB-D123.652/0001-DSB/2019, RIS, Kennzeichenerfassung).

3. Die Validierung der Jahreskarte erfolgt im Rahmen des Beförderungsvertrags zwischen den Kunden der Beschwerdegegnerin und der Beschwerdegegnerin. Einerseits ist der Beschwerdeführerin ein berechtigtes Interesse an der Geheimhaltung ihrer Daten zuzugestehen. Andererseits ist auf Seiten der Beschwerdegegnerin ein berechtigtes Interesse daran zu erkennen, dass sich ihre Vertragspartner vertragskonform verhalten und sohin ein Interesse daran, dass die Einhaltung der Vertragsbedingungen durch Kontrollen überwacht werden, um etwaige Missbräuche hintanzuhalten. Dabei erscheint die elektronische Validierung einer Jahreskarte geeignet, diesen Zweck zu erreichen. Eine bloße Sichtkontrolle – wie die Beschwerdeführerin dies vermeint – stellt aus Sicht der Datenschutzbehörde kein gelinderes Mittelt dar, zumal damit etwa nicht evaluiert werden könnte, ob ein anderer Reisender mit einem Duplikat der Karte in einem anderen Zug unterwegs ist. So die Beschwerdeführerin ausführt, dass bei einfachen Fahrscheinen keine elektronische Validierung erfolge ist anzumerken, dass – so dies den Tatsachen entspricht - bei einfachen Fahrscheinen das Risiko der Anfertigung eines Duplikates aufgrund der geringeren Geltungsdauer als vernachlässigbarer anzusehen wäre, als bei Jahreskarten. Die elektronische Validierung erscheint aus Sicht der Datenschutzbehörde durchaus geeignet, eine effektive Überprüfung der Echtheit von Jahreskarten zu gewährleisten, um etwaige Missbräuche hintanzuhalten und gestaltet sich folglich als erforderlich.

Dabei ist weiters in Rechnung zu stellen, dass gemäß ErwGr. 47 erster Satz DSGVO die vernünftige Erwartungshaltung einer betroffenen Person im Hinblick auf die Verwendung ihrer Daten im Rahmen einer Interessenabwägung als gewichtiger Faktor zu berücksichtigen ist vergleiche Heberlein in Ehmann/Selmayr, Datenschutz-Grundverordnung Kommentar2 [2018] Artikel 6,, Rz 28). Wie den Feststellungen zu entnehmen ist, informiert die Beschwerdegegnerin ihre Kunden in transparenter Weise in ihrer Datenschutzerklärung sowie im Handbuch für Reisen mit den N*** in Österreich. Folglich hat die Beschwerdeführerin damit zu rechnen, dass bei Benützung von Personenverkehrszügen der Beschwerdegegnerin ihre Jahreskarte elektronisch validiert wird.

4. Aufgrund der obigen Ausführungen kommt die Datenschutzbehörde zu dem Schluss, dass hier die berechtigten Interessen der Beschwerdegegnerin jenen der Beschwerdeführerin überwiegen, weshalb sich die Beschwerdegegnerin im Ergebnis zurecht auf ihre berechtigten Interessen als Grundlage für die Rechtmäßigkeit der Verarbeitung entsprechend Artikel 6, Absatz eins, Litera f, DSGVO beruft.

Da die Beschwerdegegnerin die im Rahmen der Validierung erhobenen Daten, wie festgestellt, auch ausschließlich zum Zweck der Berechtigungsprüfung, der Ausserverkehrbringung von nicht mehr gültigen Kundenkarten und Tickets sowie der Hintanhaltung von Missbrauchsfällen und der Einhaltung von vertraglichen Verpflichtungen verwendet und die erhobenen Daten auch zu keinem anderen Zweck weiterverarbeitet, entspricht sie den in Artikel 5, DSGVO niedergelegten Grundsätzen für die Verarbeitung von personenbezogenen Daten.

5. Die Beschwerde hat sich daher als nicht berechtigt erwiesen und war sie somit gemäß Paragraph 24, Absatz 5, DSG abzuweisen.

Es war spruchgemäß zu entscheiden.

European Case Law Identifier

ECLI:AT:DSB:2023:2023.0.544.853