Freundliche Grüße

*************

Datenschutz (P.DHP)

  DB Vertrieb GmbH

Koppenstr. 3

Berlin Ostbahnhof

10243 Berlin

Tel. +49 30 297 *****

Wir sind zertifiziert nach DIN EN ISO 9001.

Pflichtangaben anzeigen

Nähere Informationen zur Datenverarbeitung im DB-Konzern finden Sie hier:

www.deutschebahn.com/de/konzern/datenschutz

Sehr geehrte Damen und Herren bei der Aufsicht, sehr geehrter ************,

ich beschwere mich bei der Aufsicht über den DB-Konzern wegen unvollständiger Auskunft (Artikel 15 DSGVO) und – wegen dem Navigator – wegen Verstoß gegen Artikel 7. Damit Sie ein aussagekräftiges Bild von der Kommunikation bekommen, habe ich diese auf https://blog.lindenberg.one/BeschwerdeBahn gestellt.

Da zwei Probleme durchweg auftreten will ich Sie vorab nennen: Ich muss mir Informationen zusammensuchen, statt die Informationen von der Verantwortlichen Stelle im Rahmen der Auskunft zu erhalten, und die Auskünfte sind erkennbar unvollständig – das verstößt nicht nur gegen Artikel 15 sondern auch gegen Artikel 5.

Zur unten zitierten und kommentierten Mail: die Punkte stammen aus meiner Mail vom 23.10.2022, die Kursivschrift stammt von ************* (29.11.) und „beantwortet“ meine Fragen – leider oft nicht wirklich. Die Kritik habe ich fett gesetzt. Wenn ich dabei Sie schreibe, dann meine ich die DB/Herrn *******, aber gleichzeitig ist das auch eine Substantiierung meiner Beschwerde.

Mit freundlichen Grüßen

Joachim Lindenberg

Guten Tag Joachim Lindenberg,

nachfolgend möchten wir auf Ihre Kritikpunkte eingehen.

·       "DB Vertrieb GmbH und ggf. weiterer beteiligten Gesellschaften gem. Art. 26" - können Sie die bitte benennen?

Hierbei handelt es sich um die DB Fernverkehr AG, DB Regio AG und die DB Vertrieb GmbH. Nachzulesen ist dies und wer von diesen welche datenschutzrechtlichen Verpflichtungen erfüllt auch unter https://www.bahn.de/datenschutz/datenschutz-kundenkonto.

In einer Auskunft erwarte ich vollständige Angaben. Das „ggfs.“ ist dabei m.E. im Einzelfall konkret zu benennen oder immer aufzuführen und dann bei Fehlen negativ zu beauskunften. Unklare, diffuse Angaben sind weder transparent noch fair.

·       "Wir verarbeiten Ihre Daten ausschließlich zu bestimmten Zwecken." und nennen dann im Konjunktiv Beispiele. Artikel 15 DSGVO verlangt von Ihnen konkrete Angaben, die kann ich nicht erkennen.

Die konkreten Verarbeitungszwecke lassen sich aus den in der Auskunft dann folgenden tabellarischen Ausführungen ableiten. So heißt es im Freitext z.B. „Zahlungsabwicklungen“, und in der tabellarischen Auflistung sind die Angaben dazu in der Datengruppe „Zahlungsart“ aufgeführt. Die Zwecke der Verarbeitungen sind darüber hinaus in den Datenschutzhinweisen unter https://www.bahn.de/datenschutz/datenschutz-kundenkonto erläutert.

S.o.: in einer Auskunft erwarte ich vollständige Angaben, keine Beispiele und keinen Konjunktiv.

·       "Eine Übermittlung in Drittstaaten außerhalb der EU/des EWR oder an eine internationale Organisation findet nur statt, wenn angemessene Garantien vorliegen." - auch diese Angaben sind in meinen Augen zu unspezifisch. Können Sie das bitte konkretisieren?

Eine Übermittlung identifizierender, personenbezogener Daten findet nicht statt. Dies trifft auch auf jegliche Nutzungsdaten zu. Soweit im Rahmen eines Besuchs der Seite www.bahn.de Nutzungsdaten zu unseren Dienstleistern übertragen werden, wird zum Verbindungsaufbau die IP-Adresse angewendet. Die Verarbeitung erschöpft sich mit dem Ende des Verbindungsvorgangs. Alle Dienstleister sind für uns als Auftragsverarbeiter tätig.

Standardmäßig finden alle Verarbeitungen auf europäischen Servern des jeweiligen Anbieters statt, wie in allen Verträgen vereinbart. Für den Fall, dass trotzdem aufgrund technischer „failover-Mechanismen“ eine Verbindung zu außereuropäischen Servern eintritt, haben wir Standardvertragsklauseln für die Absicherung des Verbindungsvorgangs abgeschlossen.

bahn.de wird überwiegend bei AWS betrieben, insofern wäre meines Erachtens der Verarbeiter und der mögliche Transfer in Drittstaaten zu beauskunften, ja schon bei Kontaktaufnahme darüber zu informieren und eine Einwilligung einzuholen. Ich kann mich an keine derartige Einwilligung erinnern, und Einwilligungen hat die DB auch nicht beauskunftet, obwohl sie mich auch im Browser eindeutig identifizieren kann.

·       Zur Auskunft der DB Fernverkehr: in dieser erläutern Sie verschiedene Datenarten, nicht jedoch die Transaktionsdaten. Können Sie dazu bitte Angaben nach Artikel 15 I nachreichen?

Eine Liste Ihrer Transaktionen (BahnBonus-Punkte-Gutschriften und Einlösungen) wurde Ihnen übermittelt (Seite 6-8 der Datenauskunft vom 20. Oktober 2022 der DB Fernverkehr AG).

Die Liste ist eine Datenkopie nach Artikel 15 Absatz 3, keine Information nach Absatz 1, und beantwortet damit kein warum.

·       Da mir als Betroffener unklar ist, welche Tochtergesellschaft welche Daten und warum verarbeitet, empfinde ich mehrere Auskünfte, die sich überlappen und widersprechen als intransparent, ja sogar unfair im Sinne von Artikel 5 DSGVO. Ich würde erwarten, dass Sie das zusammenführen und einheitlich präsentieren.

Da es sich bei den für die Datenverarbeitung zuständigen Konzernunternehmen um verschiedene Verantwortliche handelt, die die Daten jeweils zu eigenen Zwecken in verschiedenen Systemen verarbeiten, wäre eine Zusammenführung der Auskünfte nicht sachgerecht. So ist z.B. der Zweck der Verarbeitung durch die DB Fernverkehr AG speziell auf die Vertragsführung von BahnCard-Verträgen und das Kundenbindungsprogramm ausgerichtet. Als Dienstleister ist die DB Vertrieb GmbH für den Vertrieb von Bahnleistungen und die Zahlungsabwicklung zuständig. Die verarbeiteten Daten unterliegen daher anderen Anforderungen als bei der DB Fernverkehr AG. Gleichzeitig verarbeiten mehrere Unternehmen dieselben Daten im Rahmen der Gemeinsamen Verantwortung gem. Art.26 DSGVO. Da jedes Unternehmen über seine spezifischen Verarbeitungen im Zusammenhang Auskunft geben muss, kann es zu Mehrfachnennungen und Überlappungen kommen.

Das ist in meinen Augen nur verwirrend. Erwarten kann man dann zumindest einen einheitlichen Aufbau und wie oben schon geschrieben vollständige Angaben nach Artikel 15 Absatz 1.

·       Ich weiß z.B. nicht, wen ich dazu fragen soll:

Weitergabe bzw. Nutzung von Daten zu Befragungen.

Bitte konkretisieren Sie, zu welcher Art von Befragungen Sie Rückfragen haben.

Z.B. Kundenzufriedenheitsumfragen wie in der Mail vom 6.7. – offensichtlich auch eine Weitergabe an Dritte außerhalb der EU.

·       ich vermisse Angaben dazu, was und zu welchem Zweck Ihr Schnüffelnavigator Daten sammelt,

Der DB Navigator dient genauso wie www.bahn.de der Verarbeitung der personenbezogenen Auftrags-, Zahlungs- und Kundendaten, die wir Ihnen bereits beauskunftet haben.

Eine Erfassung weiterer identifizierender, personenbezogener Daten findet nicht statt.

Zur Datenverarbeitung im DB Navigator finden Sie die Informationen unter https://m.bahn.de/de/db-navigator/info/agb/datenschutz. Diesen Hinweis finden Sie auch im installierten DB Navigator, bzw. bereits im Google-Playstore/Apple-Store vor dem Download.

Der Navigator kommuniziert viel mehr als in der Datenschutzerklärung beschrieben und oft ohne Einwilligung des Betroffenen – das ergibt sich aus dem Gutachten von Mike Kuketz – https://www.kuketz-blog.de/db-navigator-datenschutz-faellt-heute-aus-app-check-teil1/.

·       ich vermisse auch, welche Daten Sie im Zusammenhang mit der Nutzung des Wifi@DB oder anderer WLANs sammeln.

An dieser Stelle ist die DB Systel GmbH die Verantwortliche Stelle. Unter der Adresse https://www.dbsystel.de/InternetService/Datenschutzhinweis finden Sie weiterführende Informationen.

·       Auch die Datenkopie (beide Auskünfte zusammen) ist in meinen Augen unvollständig:

alle Daten zu den Kategorien die schon bei den Angaben zu Artikel 15 I oben fehlen,

Bitte konkretisieren Sie, welche Daten Ihnen genau fehlen.

Müssten nicht Sie eine vollständige Liste aka Verzeichnis der Verarbeitungstätigkeiten haben? Ich vermisse insbesondere die gesamte Email- oder sonstige Kommunikation mit der DB, sowie die Erfassung und Speicherung meiner Zugfahrten im Rahmen der Fahrkartenkontrollen durch die Zugbegleiter, von der ich nur Aufgrund der Rückmeldung vom 18.10. überhaupt weiß.

·       die Kundenkarten sind unvollständig,

Die Auskunft der Kundenkarten ist, wie bereits weiter oben geschildert, den unterschiedlichen Verarbeitungszwecken geschuldet. (So ist z.B. der Zweck der Verarbeitung durch die DB Fernverkehr AG speziell auf die Vertragsführung von BahnCard-Verträgen und das Kundenbindungsprogramm ausgerichtet, weshalb die aktuell gültige BahnCard beauskunftet wurde. Als Dienstleister ist die DB Vertrieb GmbH für den Vertrieb von Bahnleistungen und die Zahlungsabwicklung zuständig. Die Verarbeiteten Daten unterliegen daher anderen Anforderungen als bei der DB Fernverkehr AG. Die DB Vertrieb GmbH hat über die Vorgänge berichtet, die noch nicht steuerrechtlich archiviert sind, so dass auch weiter zurückliegende Kaufvorgänge von BahnCards noch ausgewiesen wurden.)

Vollständige Angaben nach Artikel 15 Absatz 1 auch hinsichtlich der Speicherdauer wären geeignet diese Kritik zu vermeiden.

·       Tickets sind Rechnungen, die bewahren Sie sicher auf, fehlen aber trotzdem,

Ein digitales Ticket kann eigenständig in der Buchungsrückschau auf www.bahn.de (https://www.bahn.de/-fahrkarten/privatkunde/start/start.post?scope=bahnatsuche&lang=de) oder im Kundenkonto aufgerufen und ausgedruckt werden (ab Bestelldatum 14 Monate lang).  Darin enthalten sind als personenbezogenes Datum der Vor- und Nachname des Reisenden. Sofern Sie hiermit die Tickets meinen, die nicht mehr in Ihrem Kundenkonto ausgewiesen werden, so informieren wir Sie darüber, dass Daten, die ausschließlich zur Erfüllung rechtlicher Vorschriften wie HGB/GoBD in archivierter Form aufbewahrt werden müssen, der Einschränkung der Verarbeitung unterliegen.

Sofern bestimmte Daten einer gesetzlichen Aufbewahrungspflicht gemäß Abgabenordnung und Handelsgesetzbuch unterliegen, werden sie in unserem Archiv für die gesetzlich vorgeschriebene Frist abgelegt. Eine Beauskunftung dieser speziell geschützten Daten ist nicht möglich, da wir durch technische und organisatorische Maßnahmen sichergestellt haben, dass einzelne Betroffene im Archiv nicht mehr eindeutig identifiziert werden können. Hierdurch ist zudem eine anderweitige Verarbeitung in die dort gespeicherten Daten als durch die gesetzlich befugten Personen (z.B. Steuerprüfer) für den gesetzlich vorgeschriebenen Zweck ausgeschlossen.

Aus diesem Grund unterliegen Archivdaten nicht der Beauskunftung, vgl. §34 Absatz 1 Nr. 2 a) BDSG.

Sie haben diese Daten vollständig zu beauskunften auch wenn ich selbst nachsehen kann. Archivdaten dürfen Sie zwar weglassen, müssen aber den Grund dafür aufführen, mithin korrekte Angaben nach Artikel 15 Absatz 1 machen. Beides ergibt sich aus Artikel 5 und Erwägungsgrund 63.

·       die Kommunikation mit Ihrem Callcenter und Bots fehlt,

Sofern Sie auf Telefongespräche abzielen (Mithören/temporäre Aufzeichnung für Schulungszwecke), so sind hier alle Maßnahmen ergriffen, dass wir diese Gesprächsdaten NICHT Betroffenen zuordnen können, sowie keine identifizierenden Daten enthalten sind.

Virtuelle Chatassistenten (Bots) verarbeiten keinerlei identifizierende Daten, so dass die Grundlage für eine Beauskunftung nicht gegeben ist. Informationen hierzu können Sie den Hinweisen auf https://www.bahn.de/datenschutz unter „Welche Daten erheben wir und wie und warum verarbeiten wir Ihre Daten?“ im Punkt „Virtuelle Chatassistenten“ entnehmen, sowie unter den Datenschutzhinweisen der Kundenkontaktcenter https://www.db-vertrieb.com/datenschutz/datenschutz-callcenter und https://www.db-vertrieb.com/datenschutz/kundenkontaktcenter-fernverkehr.

Dass Sie die Daten nicht zuordnen könnten wage ich zu bezweifeln. Aber da ich nach 20 Minuten Wartezeit aufgelegt habe, haben Sie keine Aufzeichnung von mir. Auch bei den Chatbots halte ich diese Aussage für Unsinn. Aber ich meine konkret die Kommunikation mit dem Service via Kontaktformular und Email – es kann nicht sein dass Sie das nicht haben.

·       Erstattungsanträge und Buchungen nach Fahrgastrechten fehlen,

Die Verarbeitung Ihrer Fahrgastrechtsansprüche ist nicht dem Kundenkonto zugeordnet und wird im Servicecenter Fahrgastrechte (60647 Frankfurt/Main), durch die DB Dialog GmbH, einer eigenständig verantwortlichen Stelle, gleichzeitig und einheitlich für viele Eisenbahnverkehrsunternehmen abgewickelt.

Siehe https://www.db-vertrieb.com/datenschutz/datenschutz-sc_fgr

Es muss aber zumindest eine Überleitung in die Buchhaltung der DB stattfinden, welcher Teil des Konzerns auch immer das erledigt. Auch die Daten in der Buchhaltung sind personenbezogene Daten, oft Kopien, aber nicht immer. Wegen der DB Dialog – die hätte ja dann irgendwo zumindest als Empfänger der Daten auftauchen müssen, denn meine Fahrgastrechte nehme ich eigentlich immer aus bahn.de heraus in Anspruch. Oder ist dafür auch noch jemand anderes zuständig?

Wie bekomme ich denn jetzt Gutschriften auf denen die Umsatzsteuer korrekt ausgewiesen ist?

·       welche Fahrkarten durch Kontrolle entwertet wurden finde ich nicht.

Die sogenannten Kontrolldatensätze werden in Abstimmung mit der für uns zuständigen Datenschutzaufsichtsbehörde grundsätzlich nicht beauskunftet. Die Behörde bat allerdings darum, dass Kunden auf Anfrage die Kontrolldatensätze mitgeteilt werden, bei denen Auffälligkeiten entstanden. Dies ist nach unserer Information bei Aufträgen zu Ihrer Person nicht der Fall.

Auf Basis welcher Rechtsgrundlage sowohl bei der DB als auch bei der Aufsicht?

Wir hoffen, dass wir Ihnen mit dieser Information weitergeholfen haben.

Freundliche Grüße

*************

Datenschutz (P.DHP)

  DB Vertrieb GmbH

Koppenstr. 3

Berlin Ostbahnhof

10243 Berlin

Tel. +49 30 297 *****

Wir sind zertifiziert nach DIN EN ISO 9001.

Pflichtangaben anzeigen

Nähere Informationen zur Datenverarbeitung im DB-Konzern finden Sie hier:

www.deutschebahn.com/de/konzern/datenschutz

Pflichtangaben anzeigen

Nähere Informationen zur Datenverarbeitung im DB-Konzern finden Sie hier: https://www.deutschebahn.com/de/konzern/datenschutz