Deutsche Bahn Fahrpreisnacherhebung leitet ungefragt Daten aus

Während sich normale Selbstständige intensiv um das Thema Datenschutz kümmern müssen, scheint Datenschutz für die „Großen“ noch immer keine Rolle zu spielen. Doch alleine der protokollierte Besuch ganz bestimmter Webseiten könnte für Besucher/Innen durchaus Nachteile im echten Leben mit sich bringen. Am Beispiel der DB-fahrpreisnacherhebung.de wird dies besonders deutlich.

Ein Gespräch von Dipl.-Ing. Univ. Christian Seebauer mit Rechtsanwalt Robert Tille.

 

Christian Seebauer	Herr Tille, wer die Webseite der Stichwort „DEUTSCHEN BAHN“ DB-Fahrpreisnacherhebung.de besucht, könnte sich schnell dem Verdacht aussetzen, …
Rechtsanwalt Tille	z.B. Schwarzfahrer, schlechte Bonität, schlechter Mensch, nicht kreditwürdig etc. Oder ein Rechtsanwalt, der bei der Fallbearbeitung das Tool der DB verwendet, um einen Sachverhalt zu klären. Da können ganz schnell Missverständnisse entstehen.
Christian Seebauer	Im Fall meiner Tochter wollte der durchaus höfliche Kontrolleur wohl keine 2 Minuten auf die Suche nach der Fahrkarte im Schulrucksack warten und bezichtigte meine Tochter des Schwarzfahrens. Obwohl sie als Schülerin eine Jahreskarte hat und diese auch dabei hatte und diese letztendlich sogar am Hauptbahnhof vorzeigen konnte, kam es überraschenderweise trotzdem zu einem schriftlichen Mahnverfahren über 60,00 zuzüglich 5,00 Mahnkosten. Dem wollte ich als Erziehungsberechtigter natürlich mit Fakten widersprechen und besuchte hierfür die Webseite der DB-Fahrpreisnacherhebung.de (auf dem DB-Mahnschreiben fehlte eine Faxnummer oder Emailadresse). Vor dem Besuch der Webseite kann man nur warnen. Denn ohne Wissen und ohne Einverständnis des Besuchers werden unmittelbar personenbezogene Daten wie meine IP-Adresse ausgeleitet, zum Beispiel an den Zahlungsdienstleister/ Auskunftei Klarna. Keine gute Sache, oder?
Rechtsanwalt Tille	Der Datenschutz hatte in den vergangenen Jahren bereits einen durchaus hohen Stellenwert. Spätestens mit der Datenschutz-Grundverordnung (DSGVO) vom Mai 2018 wurde dieses Thema europaweit „vertieft“ und „verbreitert“. Das bedeutet, diverse schon bestehende Regelungen haben mehr Tiefe durch mehr Details erhalten und sind für mehr Anwendungsfälle relevant. Insbesondere wurde die Pflicht zur Vorhaltung einer Datenschutzerklärung bei Internetauftritten flächendeckend eingeführt. Ähnlich der schon früher eingeführten Pflicht, ein Impressum vorzuhalten.
Christian Seebauer	Ich habe dann einmal in der Datenschutzerklärung der DB Fahrpreisnacherhebung nachgesehen. Hier war nichts davon zu lesen. Aber selbst wenn… Eine Datenausleitung an Dritte noch vor jeglicher Zustimmung kann es doch einfach nicht sein, oder?
Rechtsanwalt Tille	In der DSGVO ist klar geregelt, dass der Nutzer einer Internetseite informiert werden muss, was mit seinen Daten geschieht und wohin diese gegebenenfalls weiter geleitet werden. Bei diversen Sachverhalten ist dies ohne Einverständnis des Nutzers – zumindest rechtlich – zulässig, etwa, wenn es für die Vertragserfüllung zwingend erforderlich ist. In anderen Fällen ist eine Einwilligung erforderlich. Das ist auch der Grund warum überall beim Besuch von Webseiten der Hinweis zur Verwendung von Cookies erscheint. Das sind dann Weiterleitungen von weniger heiklen Nutzerdaten z. B. zu Google wegen der Verwendung von Analysetools o.ä.. Allerdings muss ein Nutzer keinesfalls damit rechnen, dass irgendwelche Daten von seinem Besuch zu einem Zahlungs- oder Inkassodienstleister, der SchuFa o.ä. weiter geleitet werden.
Christian Seebauer	Eine Auskunftei wie die SCHUFA oder Zahlungsdienstleister wie Klarna haben doch eine ganz erhebliche Macht. Sie entscheiden letztlich, welche Familie einen Mietvertrag bekommt und welche nicht. Ist es nicht krass, wenn hier ein solches Unternehmen meinen Besuch der db-fahrpreisnacherhebung.de ohne mein Wissen und ohne mein Einverständnis protokolliert? Hier kann man doch Menschen zu Unrecht verurteilen? Und: So was kann man ja nicht mehr zurückholen. Was sagt ein Rechtsanwalt eigentlich dazu?
Rechtsanwalt Tille	Es gibt diverse „Spielregeln“, v.a. durch das Bundesdatenschutzgesetz (BDSG) und die oben schon genannte DSGVO, die zu beachten sind. Das ist eine komplexe Materie. Eine Folge davon sind ellenlange Datenschutzerklärungen auf Internetseiten, die erläutern, was mit den Nutzerdaten geschieht. Eine weitere Folge ist die Erfordernis für sehr viele Unternehmen, einen Datenschutzbeauftragten vorzuhalten, egal ob intern oder extern, der sich auch um solche Sachverhalte kümmern muss und entsprechende Sachkenntnis vom Datenschutzrecht hat. Kommt das verpflichtet Unternehmen dem nicht nach, gibt es die Möglichkeit, die Datenschutzaufsicht des jeweiligen Bundeslandes in dem das Unternehmen seinen Sitz hat, einzuschalten. Die prüft dann den monierten Sachverhalt und kann für Abhilfe sorgen sowie Bußgelder verhängen. Durch die DSGVO ist der mögliche Bußgeldrahmen in empfindliche Höhen gestiegen. Es können bis zu 4% vom Jahresumsatz (nicht Gewinn!) verhängt werden. Ich bin kein Strafrechtler, aber die Weiterleitung von Nutzerdaten an Zahlungs- oder Inkassodienstleister, der SchuFa geht ja schon in Richtung Verläumdung.
Christian Seebauer	Normale Internetnutzer/Innen bekommen ja von den Schweinereien, die hier im Quelltext von der “DB Vertrieb GmbH“ implementiert wurden, gar nichts mit. Sie werden am Ende einfach nie erfahren, weshalb ihnen dies oder jenes gerade verweigert wurde…
Rechtsanwalt Tille	Man hat als Nutzer zwar das Recht, zu erfahren, was mit seinen Daten geschehen ist, aber der technische Laie, der einfach viel im Internet surft wird es möglicherweise kaum eingrenzen können, welcher Besuch einer Internetseite tatsächlich zu einem Bonitätsrisiko geführt hat. Der Anbieter von Handy-Verträgen, der Leasinggeber beim Kfz-Leasing oder das Möbelhaus, das den Verbraucherkredit ablehnt hat eventuell auch mehrere Quellen von Bonitätsauskünteien, die ihrerseits wiederum von unterschiedlichsten Quellen gespeist werden.
Christian Seebauer	Die DB Fahrpreisnacherhebung geht sogar noch viel weiter. In der Rubrik „Häufige Fragen“ empfiehlt sie bei der Frage „Wo kann ich meine Fahrkarte nachträglich vorzeigen?“ die Installation einer App aus dem Google Play Store oder dem Itunes App Store. Wörtlich: „DB Fahrpreisnacherhebung – jetzt kostenlos herunterladen. Sie haben eine Fahrpreisnacherhebung erhalten (…)? Dann sind Sie hier genau richtig. (…) Es ist keine Registrierung erforderlich.“ Mit anderen Worten: Jemand mit einem Fahrkartenproblem ist doch womöglich gleich für sein gesamtes Leben bei Google oder Apple und wer weiß sonst wo gebrandmarkt, oder?
Rechtsanwalt Tille	Neben dieser bedenklichen Folge des Herunterladens der beschriebenen Apps kommt ja noch ein ganz mieser Service-Gedanke hinzu: Der Nutzer glaubt im 1. Moment „…ach, das ist ja praktisch! Ich kann alles selbst eingeben und meinen Fall quasi life und in Echtzeit selbst mitverfolgen. In Wirklichkeit erledigt der App-Nutzer aber einen Teil der Fahrpreisnacherhebung für die DB gleich mit. Er gibt allerlei Daten selbst ein, was früher ein Sachbearbeiter gemacht hat. Der hatte wiederum einen Abteilungsleiter. Die Dateneingabe und Qualitätssicherung wird auf den Kunden verlagert. Das Unternehmen benötigt weniger Personal. Es gibt aber auch weniger Prüfungen auf Korrektheit, Plausibilität etc. Dafür sind die Daten sofort digital verfügbar und können ausgewertet oder weiter geleitet werden. So blöd das klingt, aber im Ergebnis „schaufelt der App-Nutzer sein eigenes Grab“!
Christian Seebauer	Einem Betroffenen könnte man eigentlich nur empfehlen, die Webseite der db-fahrpreisnacherhebung.de augenblicklich NICHT oder nur mit Schutzmaßnahmen wie einem VPN-Tunnel zu besuchen?
Rechtsanwalt Tille	Ja klar. Jetzt wird der technisch wenig versierte Nutzer aber direkt fragen: “Was ist ein VPN-Tunnel? Und wo bekomme ich den her?“ Er muss zum Eigenschutz zunächst einen EDV- und Internet-Spezialisten wie Christian Seebauer engagieren und sich wegen des Datenschutzes vom Anwalt beraten lassen. Ein absolut unerwünschter Zusatzaufwand, noch dazu, wenn man zu Unrecht ins falsche Licht gerückt wurde, wie in dem eingangs beschriebenen Fall.
Christian Seebauer	Ich selbst habe Beschwerde eingereicht, bei dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit. Link: https://datenschutz.hessen.de/service/beschwerde. Macht eine solche Beschwerde überhaupt Sinn aus der Sicht eines Rechtsanwalts? Und was könnte man sonst noch tun, um solche Mißstände abzustellen?
Rechtsanwalt Tille	Die Beschwerden beim Datenschutzbeauftragten des betreffenden Bundeslandes macht durchaus Sinn, ist schnell erledigt und kostenfrei. Dort wird dann die Prüfung solcher Fälle vorgenommen und die Ahndung von Verstößen erledigt. Das ist dann aber alles eine Frage der Zeit. Die Pflichten der Unternehmen sind seit Einführung der DSGVO enorm gestiegen, die Zahl der Beschäftigten bei den Aufsichtsbehörden aber nicht im selben Maße. Zudem macht es Sinn, Missstände publik zu machen. Das geschieht durchaus in Online-Foren und manchmal auch in Fernsehbeiträgen oder bei ganz krassen Fällen in den Mainstream-Medien in den Nachrichten zur besten Sendezeit (Stichwort „Tagesschau“). Letztendlich wird es auch in Fachkreisen intensiv diskutiert, also Fachzeitschriften für IT/ EDV/ Interne oder in Rechtsanwaltsfortbildungen.
Christian Seebauer	Herr Tille, als Rechtsanwalt helfen Sie auch Menschen, die nicht mehr weiter wissen. Engagieren Sie sich auch für soziale Projekte oder sozial schwache Menschen?
Rechtsanwalt Tille	Zu einem gewissen Prozentsatz arbeite ich quasi „pro bono“, also ohne oder ohne gewinnbringende Vergütung. Das liegt meist am Einzelfall, der Person des Ratsuchenden oder der Materie, die ein zeitintensive Bearbeitung erfordert. Das war schon vor Zeiten der Corona-Krise manchmal nötig und ist es zurzeit erst Recht. Außerdem bin ich Sponsor im Sportbereich (Volleyball), aber das hat weniger mit rechtlichen Themen zu tun. Aber auch der Sport ist förderbedürftig.

 

Das könnte Sie auch interessieren