Kein Auskunftsanspruch auf Kontrolldaten der Bahn – DS News KW 32/2025

Moderation:

David Schmidt

Gregor Wortberg

Was ist in der KW 32 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?

Unangekündigte Vor-Ort-Kontrollen bei öffentlichen Stellen durch den LfDI Mecklenburg-Vorpommern
Grenzen des Auskunftsanspruchs nach Art. 15 DSGVO und die Frage, wann Daten als „personenbezogen“ gelten (AG Frankfurt, Urteil vom 08.05.2025, Az. 30087 C 102/24)
Meta-Nutzer wissen kaum vom KI-Opt-out
Aufsichtsbehörde Spanien stellt Anforderungen an Datenminimierung bei Erfassung von Gastdaten klar

Veröffentlichungen & Veranstaltungen

Angebot BaWü: Übersicht über bestehende Zugangsrechte zu behördlichen Informationen
Schulungsangebote: So geht es nach der Sommerpause mit den Angeboten aus BaWü weiter

Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

Twitter: https://twitter.com/DS_Talk

Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/

(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

Instagram: https://www.instagram.com/datenschutztalk_podcast/

Folge hier kommentieren: https://migosens.de/kein-auskunftsanspruch-auf-kontrolldaten-der-bahn-ds-news-kw-32-2025/↗

Schreibe einen Kommentar Antworten abbrechen

Transkript zur Folge:

Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update.
Heute ist Freitag, der 8. August 2025.
Mein Name ist David Schmidt und an meiner Seite begrüße ich heute Gregor Wortberg.
Hallo David.
Hallo Gregor, grüß dich. Unser Redaktionsschluss war heute wie üblich um 10 Uhr.
Gregor, was hat es bei dir auf den Zettel geschafft?
Zwei Themen tatsächlich nur und ein Lesetipp. Einmal gibt es vor Ort Kontrollen
durch die Datenschutzaufsichtsbehörde in Mecklenburg-Vorpommern und eine Umfrage
durch Neub zeigt die geringe Akzeptanz des KI-Trainings durch Meta mit Nutzerdaten.
Ich habe heute auch zwei Themen mitgebracht. Zum einen gibt es ein Urteil zu
Kontrolldaten der Deutschen Bahn und die spanische Aufsichtsbehörde hat sich
zum Thema Ausweiskopien in Hotels geäußert.
Dann starte ich doch auch gerne mit meiner ersten Nachricht.
Und zwar hat das LFDI Mecklenburg-Vorpommern aktuell unangekündigte Vor-Ort-Kontrollen
bei öffentlichen Stellen durchgeführt, nachdem die Zahl gemeldeter Datenschutzverletzungen,
wie zum Beispiel durch Cyberangriffe,
gestiegen ist und generell eine hohe Bedrohungslage angenommen wird.
Vor-Ort-Kontrollen wurden laut der veröffentlichten Pressemitteilung insbesondere
deshalb erforderlich, da es zunehmend auch Täterinnen und Tätern gelinge,
sich Zugang zu den Räumlichkeiten und auch IT-Einlagen zu erschleichen und somit
dann auch unbefugt Zugriff auf personenbezogene Daten erhalten würden.
Die Effizienz getroffener Maßnahmen sollte folglich mit den Vorortkontrollen überprüft werden.
Sebastian Schmidt, der Landesbeauftragte für Datenschutz und Informationsfreiheit
Mecklenburg-Vorpommern, betonte,
dass das Ziel der Kontrollen nicht die Sanktionierung, sondern vielmehr die
Sensibilisierung sei und bei festgestellten Mängeln Abhilfemaßnahmen angeordnet werden sollten.
Die Prüfungen umfassten unter anderem Zugangsregelungen, Passwortrichtlinien,
gesperrte Arbeitsplätze, Datenschutzdokumente und IT-Sicherheitsmaßnahmen.
Das Ergebnis, auf dem Papier existieren Konzepte, im Alltag hapert es oft an der Umsetzung.
Das genannte Ziel der Sensibilisierung sei somit umso wichtiger,
so Sebastian Schmidt, denn nur wer verstehe, wie real letztlich die Bedrohungslage
sei, wende Maßnahmen, welche zum Teil in der Praxis als umständlich empfunden werden, konsequent an.
Was nehmen wir aus dieser Meldung mit? Der Blick ins eigene Unternehmen lohnt sich.
Selbst wenn Datenschutzkonzepte formal vorhanden sind, sollte durch regelmäßige
interne Kontrollen deren Umsetzung und natürlich dann auch der tatsächliche
Alltag im Unternehmen überprüft werden.
Denn die Kontrollen stärken natürlich auch bei den Beschäftigten den Praxisbezug
und sensibilisieren zum gelebten Datenschutz.
Das Amtsgericht Frankfurt hat einen gegen die Bahn gerichteten Anspruch auf
Auskunft über Kontrolldaten abgelehnt.
Die Begründung lautet, dass die Kontrolldaten nicht personenbezogen sind.
In dem zugrunde liegenden Fall hatte ein freier Journalist, der zu IT- und Datenschutzthemen
berichtet und selbst auch als externer Datenschutzbeauftragter tätig ist,
ein Auskunftsersuchen nach Artikel 15 DSGVO an die Deutsche Bahn gerichtet.
Die Auskunft hatte er auch bekommen. Es war seines Erachtens aber nicht vollständig,
da es keine Angabe zu Daten enthielt, die im Rahmen von Fahrscheinkontrollen erhoben wurden.
Eine solche Kontrolle hatte jedoch kurz vor dem Stellen des Auskunftsersuchens stattgefunden.
Der Journalist klagte deshalb vor dem Amtsgericht Frankfurt auf vollständige Beauskunftung.
Die Bahn legte in dem Verfahren dar, dass bei der Fahrscheinkontrolle grundsätzlich
nur die Auftragsnummer, die Zugnummer und der Zeitpunkt der Kontrolle erfasst
werden, der Name des Reisenden hingegen erst einmal nicht.
Eine Verknüpfung des Tickets mit der kontrollierten Person bzw.
Dem Konto, mit dem das Ticket gekauft wurde, fände hingegen nur bei Unstimmigkeiten statt.
Aufgrund dieser Sachlage kam das Gericht zu dem Ergebnis,
dass der Kontrolldatensatz nicht personenbezogen und somit auch nicht vom Auskunftsanspruch
nach Artikel 15 erfasst ist, obwohl die Auftragsnummer dem Fahrgast theoretisch zuordnenbar ist.
Ich denke, das kann man auch anders sehen und man sollte auf jeden Fall auch
berücksichtigen, dass es sich hier nur um die Entscheidung eines Amtsgerichts handelt.
Gleichzeitig zeigt es aber auch ganz gut den Gedanken hinter dem relativen und
dynamischen Bezug von personenbezogenen Daten auf, mit dem sich durchaus immer argumentieren lässt.
Und im Übrigen hat die Deutsche Bahn in letzter Zeit ja die ein oder andere
Schwierigkeit in Bezug auf den Datenschutz gehabt.
Hier bei diesem Prozessdesign wurden aber eigentlich vorbildlich,
finde ich, die Grundsätze der Datenminimierung und des Datenschutzes durch Technikgestaltung
nach Artikel 25 bedacht.
Eine von Neub, der Datenschutzorganisation von Max Schrems, in Auftrag gegebene
Umfrage von 1000 Personen hat ergeben, dass nur 7% der befragten Meta-Nutzer
es gutheißen, wenn ihre persönlichen Daten für das Training von KI verwendet werden.
66% der Befragten gaben an, das KI-Training abzulehnen.
In einer Veröffentlichung auf der Webseite von diesem Donnerstag, dem 7.
August, wird die Kritik an der Vorgehensweise anhand der Umfrageergebnisse nochmal
verstärkt. Kurz zum Hintergrund.
Meta hatte seinerzeit ja angekündigt, öffentliche Inhalte wie Beiträge,
Fotos und Kommentare von Nutzern für das Training seiner KI-Systeme zu nutzen.
Die Widerspruchsfrist dafür lief bereits am 26.
Mai ab. Das Problem, was damals festgestellt wurde, war, dass die Möglichkeit
schlecht auffindbar gewesen ist und in der Kommunikation auch eher versteckt
behandelt wurde, obwohl das mediale Interesse dann letztlich ja doch groß war.
Neub hatte daraufhin Beschwerden bei mehreren Datenschutzbehörden eingelegt
und parallel eben diese Umfrage beauftragt, um da auch nochmal die Akzeptanz
der Vorgehensweise zu messen.
Und das bestätigt sich dadurch jetzt natürlich auch so ein bisschen durch diese
Umfrage, die 7% der Zustimmung und 66% der Ablehnung sagen es oder lassen es
vielleicht auch schon ein bisschen erkennen.
Insbesondere in der Kritik steht die Informationspolitik von Meta selbst in Bezug auf das Vorhaben,
denn obwohl 73% der Befragten von Meta das Vorhaben mitbekommen haben,
also eben über Medien und Ähnliches, konnten sich nur gut 40% der App-Nutzer
und 39% der Facebook-Nutzer daran erinnern,
eine entsprechende Mitteilung vom Konzern selbst bekommen zu haben.
Und dementsprechend, wenn man das jetzt umrechnen würde, 27% haben es eben gar nicht mitbekommen.
Das entspricht laut Neub in etwa 68,5 Millionen Menschen, deren Daten da jetzt
mal schön zum KI-Training benutzt werden.
Eine Antwortmöglichkeit möchte ich noch aufgreifen. Dem Screenshot auf der Webseite,
den man da sehen konnte, gab es die Antwortmöglichkeiten.
Ja, ich stimme dem oder ich bin damit einverstanden. Nein, ich lehne es ab.
Und die dritte war I don't care.
Das kann man jetzt natürlich interpretieren ein bisschen. Was heißt das?
27 Prozent haben nämlich I don't care gesagt.
Heißt es, mir ist es völlig egal, was mit meinen Daten passiert oder ich habe
davon nichts mitbekommen.
So wurde es nämlich von Neub in dem Artikel interpretiert. Das möchte ich jedem
selbst überlassen, aber den Verweis möchte ich einmal anbringen.
Losgelöst von der Umfrage untermauerte Neub die Kritik, dass die Nutzung von
Nutzerdaten zum KI-Training ohne Einwilligung grundsätzlich eben auch rechtswidrig sei.
Meta stützt die Verarbeitung ja auf sein berechtigtes Interesse.
Neub habe jetzt infolge der Umfrage Meta nochmal ein Abmahnschreiben geschickt
und prüfe derzeit auch die Möglichkeit einer Verbandsklage. da kommt nochmal
Musik rein wie ich sage ja.
Never ending story zwischen Neub und Meta natürlich.
Ja, eine Fortsetzung, Teil,
Weiß ich nicht.
Passend zur Urlaubssaison hat die spanische Datenschutzbehörde in einer veröffentlichten
Erklärung klargestellt, dass Hotels keine Kopien der Ausweise ihrer Gäste verlangen dürfen.
Zwar gibt es in Spanien, ähnlich wie auch in Deutschland, ein Gesetz,
das verlangt, bestimmte Gästedaten zu erfassen.
Gleichzeitig ist aber nicht verlangt, Kopien von Ausweisdokumenten anzufertigen,
wobei das immer noch in vielen Hotels Best Practice ist und gleichzeitig aber
gegen das Prinzip der Datenminimierung verstößt.
Wichtig ist das natürlich erstmal für alle Reiseveranstalter und Hoteliers zu berücksichtigen.
Vielleicht hilft es aber auch dem einen oder anderen, der gerade noch Urlaub
bucht oder noch in den Urlaub fährt.
Ich selbst war auch schon mal in der Situation, wo ich auf Spanglisch versucht
habe zu erklären, dass der Ausweis bitte nicht kopiert werden soll.
Da wäre ich ganz froh gewesen, wenn ich diese Veröffentlichung in der Hand gehabt
hätte auf Spanisch, um das besser darzulegen.
Ich dachte schon, du wärst froh gewesen, besser Spanisch sprechen zu können.
Ja, aber der Weg dahin ist dann doch ein bisschen länger.
Gut, dann komme ich schon zu meinem ersten Lesetipp. Die Datenschutzaufsichtsbehörde
in Baden-Württemberg, LFDI,
hat eine Übersicht veröffentlicht, in der die Zugangsrechte zu behördlichen
Informationen, welche es gibt, neben dem Landesinformationsfreiheitsgesetz aufgeführt werden.
Also ganz bewusst eine Information als praktisches Informationsangebot gedacht,
das ein bisschen über den Datenschutz hinaus gibt und was besonders Bürgerinnen
und Bürgern, aber eben vielleicht auch Datenschutzbeauftragten Informationen
an die Hand geben soll, welche wissen möchten, welchen rechtlichen Weg sie gehen
können, wenn sie eine bestimmte Auskunft wünschen.
Neben den Auskunftsrechten nach der DSGVO gibt es auch Hinweise auf das Umweltverwaltungsgesetz,
Landesverwaltungsverfahrensgesetz und so weiter.
Und ich möchte nochmal auf das Schulungsangebot ebenfalls von der Datenschutzaufsichtsbehörde
aus Baden-Württemberg hinweisen.
Das geht nach der Sommerpause weiter und vertieft zum einen den Beschäftigten-Datenschutz
und in einer anderen Veranstaltung das Datenpannenmanagement mit Grundlagen und Praxishinweisen.
Die Veranstaltungen finden im Oktober und November statt, können entweder vor
Ort in Stuttgart besucht werden oder es kann auch online teilgenommen werden.
Und Zielgruppe sind alle Datenschutzbeauftragten, Personalverantwortliche und
Mitarbeitende im Personalwesen sowie alle Interessierten.
Und das war's dann auch schon für diese Woche. Es sei denn, dir ist noch was eingefallen, Gregor?
Ich habe keine weiteren Demo für den Zettel. Danke.
Dann verbleiben wir mit lieben Grüßen, wünschen euch ein schönes Wochenende,
falls ihr uns heute schon hört.
Ansonsten einen guten Start in die nächste Woche, falls ihr uns erst am Montag
hört und bleibt uns gesonnen. Bis bald.
Bis bald.