Zurück zur Übersicht
19.10.2022

Datenverarbeitung im Rahmen von Fahrkartenkontrollen

Datenverarbeitung im Rahmen von Fahrkartenkontrollen

Nach dem in Artikel 5 Abs. 1 lit. c DSGVO niedergelegten Grundsatz der Datenminimierung (Datensparsamkeit) muss die Verarbeitung personenbezogener Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Es handelt sich bei diesem Grundsatz letztlich um eine Ausprägung des jeder Datenverarbeitung zugrundeliegenden allgemeinen Erforderlichkeitsprinzips, welches besagt, dass personenbezogene Daten nur insoweit und solange verarbeitet werden dürfen, wie sich dies für die Erreichung des Verarbeitungszweckes auch tatsächlich als notwendig erweist.

In der aufsichtsbehördlichen Praxis der letzten Jahre hat sich gezeigt, dass sich die betroffenen Personen in zunehmendem Maße diesem Grundsatz bewusst zu werden scheinen und sich auch in privatwirtschaftlichen Vertragsverhältnissen vermehrt die Frage stellen, welche Daten sie ihrem Vertragspartner überhaupt offenbaren sollen bzw. offenbaren müssen. Vor diesem Hintergrund hatte sich die Datenschutzbehörde mit einer Datenverarbeitung des Saarländischen Verkehrsverbundes (saarVV) im Rahmen des Ticket- und Abonnementmanagements für den öffentlichen Personennahverkehr zu beschäftigen. Hierbei ging es um die Frage, inwiefern bei der Nutzung des „saarVV eTickets“ auch die Geburtsdaten der Ticketinhaber gespeichert und im Zuge einer Fahrkartenkontrolle ausgelesen werden dürfen.

Bei dem eTicket des saarVV handelt es sich um eine scheckkartengroße Plastikkarte mit einem integrierten Mikrochip. Auf diesem Chip sind neben den Informationen zur Beförderungsleistung (Ticketart, räumliche/zeitliche Gültigkeit, Übertragbarkeit, Kartennummer) im Falle eines personengebundenen Tickets auch der Vor- und Zuname sowie das Geburtsdatum des jeweiligen Ticketinhabers gespeichert. Im Falle einer Fahrkartenkontrolle wird das eTicket durch das kontrollierende Personal elektronisch ausgelesen, welchem sodann bereits vor Ort die auf der Karte gespeicherten Daten auf einem Lesegerät angezeigt werden. Diese Form der Datenverarbeitung erachten wir als rechtskonform und von der Verarbeitungsgrundlage des Art. 6 Abs. 1 S. 1 lit. b DSGVO erfasst. In Bezug auf die Geburtsdaten der Ticketinhaber stellt sie insbesondere keinen Verstoß gegen den Grundsatz der Datenminimierung dar.

Das personengebundene eTicket berechtigt vertraglich nur den jeweiligen Ticketinhaber zur Beförderung. Zwecks eindeutiger Identifizierung dieser Person im Rahmen einer Fahrkartenkontrolle zeigt sich die Verarbeitung von Vor- und Zuname sowie Geburtsdatum als erforderlich. Insbesondere aufgrund des Umstands, dass auf dem Äußeren des eTickets nur der Name des Ticketinhabers vermerkt, jedoch kein weiteres Personenmerkmal – etwa ein Lichtbild – aufgedruckt ist, genügt eine äußere Inaugenscheinnahme des Tickets für sich genommen noch nicht, um eine hinreichende Identifizierung zu gewährleisten; vor allem in Bezug auf häufig vorkommende Vor- und Nachnamen. Das die Fahrkarten kontrollierende Personal ist in diesen Fällen darauf angewiesen, auf ein zusätzliches eindeutiges Identifizierungsmerkmal – wie das Geburtsdatum einer Person – zurückgreifen zu können, um die Fahrberechtigung zu prüfen und gegebenenfalls mittels eines Abgleichs mit einem amtlichen Ausweisdokument (Personalausweis) verifizieren zu können.

Quelle: LfDI Saarland

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks