Pseudonymisierte Daten und Auskunftsanspruch: Entscheidung des AG Frankfurt

In der aktuellen #DatenschutzWoche haben wir u. a. eine Entscheidung des AG Frankfurt zur Fahrkartenkontrolle bei der Deutschen Bahn erwähnt.

Der Kläger ist der Ansicht, dass die von der Beklagten – der Deutschen Bahn – erteilte Auskunft unvollständig sei, da sie keine Angaben zur Entwertung seiner Fahrscheine enthalte. Er verlangt daher, die Beklagte zur Herausgabe einer vollständigen Kopie sämtlicher ihn betreffender personenbezogener Daten zu verurteilen. Konkret möchte er Auskunft darüber, wie, wann und mit welchen Zügen er ein Bahnticket mit einer bestimmten Auftragsnummer genutzt hat. Dies umfasst insbesondere Informationen darüber, ob, wann und auf welche Weise das jeweilige Ticket entwertet wurde – also Daten, die im Rahmen der Fahrkartenkontrolle durch die Beklagte erfasst wurden.

Nach Darstellung der Beklagten werden bei der Fahrkartenkontrolle im Zug sogenannte Kontrolldatensätze erzeugt. Diese entstehen, wenn das Ticket vom Zugbegleiter mittels eines Scanners geprüft wird. Im Zuge dieser Kontrolle wird das Ticket mit einem zentralen Hintergrundsystem abgeglichen. Die dabei erfassten Daten umfassen die Auftragsnummer des Tickets, den Zeitpunkt der Kontrolle, die jeweilige Zugnummer sowie die Gerätenummer des verwendeten Scanners.

Diese Daten werden im Hintergrundsystem automatisch auf ihre Plausibilität überprüft – etwa, um eine missbräuchliche Mehrfachnutzung oder den Einsatz eines stornierten Tickets zu erkennen. Dabei erfolgt jedoch keine Speicherung des Namens des Fahrgastes; die Prüfung erfolgt ausschließlich auf Basis der Auftragsnummer. Bei den Kontrollen des Klägers wurden keine Auffälligkeiten festgestellt. Der Kläger besteht dennoch auf vollständige Auskunft über alle personenbezogenen Daten, aus denen sich die tatsächliche Nutzung und Entwertung seines Tickets ergibt.

Kirsten Bock (Stiftung Datenschutz) erklärt:

„Aus den Urteilsgründen ergibt sich, dass die DB für die Ticket-Kontrolle einen pseudonymisierten Datensatz nutzt. Als Zuordnungsdatum dient die Auftragsnummer, ein personenbezogenes Datum nach Art. 4 Nr. 1 DSGVO. Bei der Verantwortlichen liegen die Zuordnungsregeln vor. Das Gericht ist der Auffassung, dass sich der Auskunftsanspruch aus Art. 15 DSGVO nicht auf den pseudonymisierten Kontrolldatensatz bezieht.“

Aus dem Urteil: Der Name der kontrollierten Person ist im Kontrolldatensatz nicht ersichtlich. Die Kontrolldaten bestehen aus Auftragsnummer, Zeitpunkt der Kontrolle, Zugnummer und Schalternummer. Zwar stellt die im Kontrolldatensatz gespeicherte Auftragsnummer ein Datum dar, über das die Zuordnung zu einer konkreten Person erfolgen kann. Diese Zuordnung ist aber erst dann möglich, wenn ein Bezug zu den Buchungsdatensätzen, in welcher auch die Namen vorgehalten werden, erfolgt. Im Fall des Klägers gab es keine diese Zuordnung auslösenden Auffälligkeiten bei der Fahrkartenkontrolle, so dass keine Zuordnung der Kontrolldatensätze zu den Buchungsdatensätzen erfolgte […]. Die getrennte Speicherung der Kontroll- und Buchungsdatensätze diene gerade dem Datenschutz.

Das Gericht begründet seine Entscheidung damit, dass zum Zwecke der Auskunft keine Pflicht zur Zusammenführung der Datensätze besteht:

Offenbleiben kann für die Entscheidung des Rechtsstreits, ob der Beklagten im Nachhinein eine Zusammenführung der Kontrolldatensätze und der Buchungsdatensätze ohne zu große Erschwernisse möglich wäre. Denn aus dem Auskunftsanspruch nach Art. 15 DS-GVO resultiert keine Pflicht der Beklagten, die getrennt gespeicherten Kontrolldatensätze mit den Buchungsdatensätzen zu verbinden und so den Auskunftsanspruch des Klägers zu erweitern.

Kirsten Bock ordnet die Auslegung wie folgt ein: „Eine solche Auslegung schränkt den Auskunftsanspruch ein. Der BGH beispielsweise ist der Auffassung, dass der Auskunftsanspruch sich auf alle Informationen umfasst, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen bzw. mit ihr verknüpft sind. Dies ist durch die Auftragsnummer vorliegend der Fall. Insofern besteht bei der Bahn auch die Möglichkeit diese Daten zu verknüpfen.

Auch stellt Erwägungsgrund (ErwGr.) 26 S. 2 der DSGVO klar, das pseudonymisierte Daten vollständig der DSGVO unterfallen. Vor dem Hintergrund der ‚Rijkeboer‘-Entscheidung des EuGH ist von der Verantwortlichen zwar nicht zu verlangen, dass sie zu Zwecken der Auskunft Daten vorhält, die nicht mehr erforderlich sind (s. ErwGr. 64 DSGVO), jedoch hat sie umfänglich über die bei ihm vorhandenen Daten Auskunft zu geben.

Weiterhin darf die Verantwortliche Daten auch nicht löschen, um sich der Auskunft zu entziehen. Im vorliegenden Fall erscheint es zumindest fraglich, ob sich die Verantwortliche darauf zurückziehen konnte, den Datensatz bei der Kontrolle nicht verknüpft zu haben und darum über den Umstand der Kontrolle und des Abgleichs nicht auskunftspflichtig zu sein. Aus der Systematik der DSGVO ergibt sich nämlich nicht, dass technische Maßnahmen – wie die Pseudonymisierung von personenbezogenen Daten – die Rechte der Betroffenen einschränken sollen. 

Um Missverständnisse zu vermeiden, sollten Auskunftspflichtige bei der Erteilung der Auskunft nach Art. 15 DSGVO stets ‚gestuft‘ vorgehen und beim Betroffenen erfragen, welcher Detaillierungsgrad der Auskunft neben den Basisdaten erwünscht sei (vgl. Erw. 63 DSGVO ). Weitere Hinweise zum Auskunftsrecht geben die Leitlinien 01/2022 des Europäischen Datenschutzausschusses.“