Erstaunlich viele Menschen antworten auf die Bemühungen zu mehr Datenschutz und digitaler Privatsphäre immer noch mit der Floskel, sie hätten doch eigentlich nichts zu verbergen. Dahinter steht eine Unkenntnis, was sich schon aus einer kleinen Datensammlung ableiten lässt.
Ich habe vorgestern eine Anfrage nach Datenauskunft gemäß §15 DSGVO an die Bahn geschickt. Ich bin sicherlich kein Freund davon, dieses Recht auf Auskunft als Mittel zur Schikane einzusetzen, aber nach der Geschichte mit dem DB Navigator wollte ich dann doch mal wieder wissen, was die Bahn so speichert und teilt.
Die Auskunft wurde mir bereits gestern erreicht. In zwei separaten Mails gab es ein passwortgeschütztes Archiv und das Passwort. Die Briefe lagen teilweise als Word-Dateien vor, die Daten in Excel-Dateien. Die Geschwindigkeit ist löblich, der Ablauf und die Formate sicher noch optimierungswürdig, aber das sind Klagen auf einem Niveau, das viele Firmen nicht erreichen.
Die Bahn schreibt selbst, dass die Daten unter Umständen nicht vollständig sind, weil das eben ein großer Konzern ist und man ggf. bei der entsprechenden Firmentochter noch separate Anfragen stellen kann. Wirklich belastbar ist die Auskunft wohl vor allem für die DB Vertrieb GmbH. Aber die Daten reichen schon, um hier als Beispiel herzuhalten.
Ich habe eine BahnCard und ich sammle Punkte. Ich kalkuliere Datenschutz immer als Faktor ein, wenn ich überlege, ein Angebot zu nutzen, aber ich bin kein Dogmatiker und es kann dementsprechend auch mal der Vorteil den Datenschutz schlagen. Kostenlose Freifahren alle 1.000 Punkte und der BahnComfort-Status sind so ein Vorteil.
Die DSGVO-Auskunft ergab, dass die Bahn neben den Stammdaten, die für den Vertrag notwendig sind, vor allem die Bahnreisen der letzten drei Jahre zum Quartalsende speichert. Buchungszeit, Transaktionszeit (korreliert scheinbar mit dem Fahrtdatum), gebuchte Klasse, Umsatz und vor allem Start- und Zielbahnhof. Persönlich möchte ich doch erheblich bezweifeln, dass man diese Daten für die Verifikation der Punktezahlen so speichern muss. Da würden auch das Kaufdatum und der Kaufbetrag der Tickets reichen.
Die „Ich hab doch nichts zu verbergen“-Vertreter würden nun sagen: Meine Touren mit der Bahn sind doch unverfänglich.
Das sind sie nur auf den ersten Blick. Selbst aus meinem kleinen Datensatz mit Einträgen (Corona hat hier dankenswerterweise auch für weniger Fahrten gesorgt) lässt sich unfassbar viel ableiten:
- Pendler zwischen zwei Städten
- Vorlaufzeit mit der ich Buche und folglich meine Termine kenne
- Fahrtzeit am Freitag spricht gegen eine 38,5 Std./Woche
- Fahrten innerhalb der Woche, gerne Flexpreis (vielleicht Dienstreisen)
- Zeiträume in denen ich nicht fahre
- Zeiträume in denen ich andere Ziele ansteuere (vielleicht Urlaub)
- Ein kleines Dorf im Norden wird Rund um Weihnachten und Ostern, sowie 1-2 weitere Male im Jahr angefahren (Eltern?)
- Ein Netz von Städten, das ich vorzugsweise Freitagsnachmittags bis Samstag/Sonntag anfahre (Freunde?)
Und das sind Erkenntnisse auf absolut banalem Niveau, bei dem man keine Next-Generation KI auf die Daten losgelassen hat. Dazu kommen all die ganzen Informationen, die sich mittelbar aus Buchungsverhalten, Reiseverhalten und Reisesystemtatik ableiten lassen. Dabei wurden die Daten noch nicht mal mit weiteren Datensätzen der Bahn oder Datensätzen Dritter zusammen geführt.
Mein Mobilitätsverhalten ist nicht sonderlich seltsam und nichts davon ist objektiv gefährlich für die Sicherheit meiner Person (ich pendle ja nicht zwischen Afghanistan und Pakistan) aber ich möchte trotzdem nicht, dass diese Daten erhoben und ggf. sogar noch mit anderen Daten verknüpft werden. Das ist Teil meiner (digitalen) Privatsphäre.
Die Bahn sichert zu, diese Daten nicht mit Dritten zu teilen. Dem muss man vertrauen. Datenschutz durch Datensparsamkeit würde aber bedeuten, diese Daten gar nicht erst zu erheben.
Die Schutzmaßnahmen gegen so eine Datenerhebung sind schwierig. Man kann aufhören, BahnBonus-Punkte zu sammeln und muss dann darauf vertrauen, dass die Bahn die Daten nicht sowieso im Hintergrund erhebt. Man kann nur noch am Automaten mit Bargeld kaufen, was erstens beim Pendeln schwierig ist und zweitens an vielen Provinzbahnhöfen (siehe Dorf im Norden) am fehlenden Automaten scheitert. Ausweichen auf andere Verkehrsmittel bringt nichts. Autos haben heute Unmengen Sensoren und erheben sogar noch mehr Daten. Bei Fluglinien habe ich bisher noch nie eine DSGVO-Anfrage gemacht, weil ich so gut wie nie fliege, aber es besteht wenig Grund zur Hoffnung, dass es ausgerechnet im überwachten internationalen Flugverkehr besser sein sollte.
Jeder Mensch hat etwas zu verbergen, denn es ist sein Leben und nur seines!
„Wir sind doch eh alle Gläsern“ -> Und darum mache ich alles dafür, dass diese Satz auch stimmt.
Finde ich auch eine oft gehört Aussage. Also der erste Teil 🙂
Hallo Gerrit,
wenn ich deinen Beitrag Bekannten zeige, höre ich Kommentare wie:
* „Die Bahn kann ruhig wissen das ich Pendler bin, wann ich fahre und wohin ich fahre.“
* „Wo ist das Problem, wenn die Bahn das weiß?“
* „Ich habe nichts zu verbergen. Das kann doch ruhig jeder wissen.“
Was antwortest du diesen Menschen? Welche möglichen Nachteile können ihnen entstehen?
Viele Grüße
Jörg
Gehen wir vom ersten Szenario aus, dass die Daten bei der Bahn bleiben: Die Zeiten von transparenten Festpreisen sind schon lange vorbei (sieht man bei Amazon) und das Tarifsystem der Bahn war schon immer unübersichtlich. Wenn die Bahn weiß, dass du am Freitagabend immer einen von – sagen wir – drei Zügen nehmen musst. Was hindert sie die Preisschraube bis zu dem Moment zu drehen, an dem du auf andere Züge ausweichst. Auch das können sie messen. Schon jetzt sind Fahrten ja am Freitagabend teurer als an anderen Tagen. Das kann man ja auch individualisieren.
Gehen wir vom zweiten Szenario aus, dass die Daten geteilt werden: Pendeln macht erwiesenermaßen krank. Wer schon mal eine PKV abschließen wollte oder vielleicht eine Lebensversicherung kennt das Prozedere. Was, wenn auch noch dein Mobilitätsverhalten dazu kommt? Nur mal so als Beispiel.
Das kann ich alles gut nachvollziehen. Für viele Menschen bleibt es aber fürchte ich zu abstrakt. Gerade nicht IT-affine Personen fühlen sich häufig wehrlos und ergeben sich in ihr Schicksal.
Gleichzeitig gibt es IMHO noch zu wenig Urteile, um besser einschätzen zu können, ob es sich nicht stets um ein berechtigtes Interesse z.B. zur Gewinnmaximierung handelt. Soweit ich weiß, gibt es noch viel Zank um das „berechtigte Interesse“ aus Art. 6 DSGVO.
Da hast du leider recht. Es gibt insgesamt noch erstaunlich wenig Rechtsprechung im Kontext der DSGVO. Hier halten sich scheinbar viele Parteien noch zurück.
Das Theme interessiert mich als Vielfahrer brennend.
Wo fordere ich meine DB-Daten an und wie formuliere ich das?
Danke für kurze Auskunft.
Hier sind die Informationen: https://www.bahn.de/datenschutz Im Abschnitt „Welche Rechte haben…“ stehen Adresse und E-Mail Adresse. Einen Musterbrief bietet z.B. die Verbraucherzentrale https://www.verbraucherzentrale.de/sites/default/files/2019-10/Auskunft_nach_Art._15_DSGVO.pdf
Danke dir, ich hab’s mal losgeschickt…
Ich bin BC50-Benutzer der ersten Stunde, kaufe meine Fahrkarten stets anonym am Schalter und sammle keine Tracking-Punkte.
Ich habe von Anfang an eine BC ohne Foto, das war jahrelang ein Zirkus, weil die Datenkrake DB nicht darauf verzichten wollte. Letztendlich haben sie dann doch jedes Jahr gekniffen und mir die BC50 ohne Foto ausgestellt…
Fotos gibt es schon länger nicht mehr auf den BahnCards.
Grade sind beide Antwortmails gekommen. Leider kann ich das Archiv nicht enpacken…
Das ging bei mir mit Ark problemlos.
Mein Ubuntu sagt: Beim Entpacken ist ein Fehler aufgetreten…
Keine Ahnung was Ubuntu momentan nutzt und ob das mit Passwörtern umgehen kann.
Archivverwaltung heißt das Prog.
Ich habe den Verdacht, das idiotisch lange PW macht da Stress…
Das ist aber kein Problem der Bahn, sondern von Ubuntu. Bei mir ging es mit openSUSE bzw. Ark schließlich auch problemlos.
Da musst du dich halt in einem Supportforum deiner Wahl nach Hilfe erkundigen.
Danke für diesen Hinweis! Ich habe auch gleich mal nachgefragt. Ich nutze die Bonuspunkte nicht. Aber ich habe mehrere Auslandsreisen unternommen. Da bin ich gespannt, ob und wie diese in der Datenübertragung zu Dritten auftauchen.
Die meisten der ‚Ich habe ja nix zu verbergen‘- Freunde werden hellhörig, wenn es ans Geld geht. Mit den Infos, die Du oben beschreibst, kann und wird der Konzern Dir den (für ihn und nicht für Dich) besten Preis ganz leicht anbieten können. Wenn die wissen, was Du willst und was Du _musst_, kannst Du auf gute Preise nicht mehr hoffen. Selbst, wenn die das aus technischen Gründen jetzt vielleicht noch gar nicht hinkriegen, es ist eine Frage der Zeit…
…und wenn Deine Krankenversicherung erstmal weiss, dass Du jede Woche 2 Kästen Bier kaufst, dann wird auch die Versicherung teuer.
Mit beiden Sätzen habe ich in solchen Diskussionen gute Erfahrungen gemacht.
Viele Grüße
Marcus