Ende Juni habe ich einen Brief der Wiener Linien erhalten, in dem sie mir mitteilten dass ich am 22. Mai ohne Fahrausweis in Wien in der U-Bahn angetroffen wurde, und die daraus resultierende Mehrgebühr nicht bezahlt hätte. Ich war einigermaßen verwundert, da ich ein Klimaticket Österreich besitze und außerdem an diesem Tag bei meiner Familie in der Steiermark verbracht habe und gar nicht in Wien war. Nach kurzer Recherche im Internet scheint es üblich bei den Wiener Linien zu sein, die Ausrede “Ich habe keinen Ausweis/keine Geldbörse dabei” durchgehen zu lassen und darauf zu verzichten, einen Ausweis zu kontrollieren. Jemand hat sich also anscheinend mit meinem Namen und meinem Geburtsdatum als ich ausgegeben, und irgendwann haben die Wiener Linien dann eine ZMR Abfrage gemacht und sind so an meine Adressdaten gelangt. Ich ging daher davon aus, dass es sich um eine Verwechslung handelte und teilte das den Wiener Linien mit. Tags darauf reagierten sie und forderten eine Kopie meines Klimatickets und eines amtlichen Lichtbildausweises. Am selben Tag habe ich einen Scan des Klimatickets versandt, woraufhin der Fall geschlossen wurde. Mit der Übermittlung der Kopie verlangte ich auch Löschung des Klimatickets nach Abschluss des Falls. Ich habe auch ein Löschbegehren nach Art. 17 DSGVO1 über die Daten, die aus diesem Fall entstanden sind gestellt. Eine Woche später haben mir die Wiener Linien mitgeteilt, dass sie meine Daten aus dem Fall nicht löschen werden und begründen das mit einer Aufbewahrungspflicht nach § 212 Abs. 1 UGB2. Trotzdem gelöscht haben sie aber, wie verlangt, die Kopie des Klimatickets.
Artikel 17 DSGVO - Recht auf Löschung #
Nach Artikel 17 der DSGVO hat jede Person das Recht, unter bestimmten Voraussetzungen die Löschung von personenbezogenen Daten zu verlangen.
Warum finde ich, dass das ein Problem ist? #
- Die Mehrgebührennachforderung beruht auf einem Missverständnis. Zu Beginn waren die Wiener Linien der Überzeugung, dass die Forderung tatsächlich mich betrifft, damit wäre eine Datenverarbeitung wohl auch gerechtfertigt. Nach der Übermittlung meines Klimatickets ist aber geklärt, dass dieser buchhalterische Vorgang nicht hätte ausgelöst werden sollen.
- Dementsprechend war in diesem Moment auch klar, dass meine personenbezogenen Daten nicht hätten verarbeitet werden sollen. Nachdem die Wiener Linien mein Klimaticket gelöscht haben, sehen sie dies auch so.
- Auch wenn ich kein Buchhaltungsexperte bin, muss natürlich dennoch eine vollständige Buchhaltung geführt werden, also hier die Ausstellung der Rechnung bzw. der Mehrgebühr sowie die Stornierung derselben. Diese Daten müssen die Wiener Linien natürlich auch speichern. Gemäß § 190 Abs. 4 UGB3 gilt, dass eine Eintragung oder eine Aufzeichnung nicht in einer Weise verändert werden darf, dass der ursprüngliche Inhalt nicht mehr feststellbar ist.
- Dies bedeutet, dass Belege und andere Aufzeichnungen durchaus verändert werden können, sollte dies erforderlich werden. Allerdings sollte der ursprüngliche Inhalt, also gewöhnlich auch Rechnungsempfänger, nachvollziehbar bleiben.
- In meinem Fall sehe ich dies allerdings anders, da die die Datenverarbeitung unbeabsichtigt stattfand (und auch nicht hätte stattfinden dürfen). In diesem Fall ist zumindest vor dem Grundsatz der Datenminimierung4 davon auszugehen, dass meine personenbezogenen Daten in den jeweiligen Belegen geschwärzt werden können (mit der entsprechenden Erklärung, weshalb diese Daten geschwärzt wurden).
- Außerdem vermute ich, dass die die Daten ohne Rechtsgrundlage verarbeitet werden, da keiner der Gründe nach Art. 6 DSGVO5 vorliegt, und die Daten daher nach Art. 17 Abs. 1 lit. d DSGVO zu löschen sind. Da die Forderung mich nicht betrifft, kann nicht davon ausgegangen werden, dass es zulässig ist, dass meine Daten durch die Wiener Linien verarbeitet werden. Die Wiener Linien haben durch Fahrlässigkeit (durch die offenbar nicht erfolgte Kontrolle eines Ausweises) den Buchungsvorgang und damit die Verarbeitung meiner Daten überhaupt erst ausgelöst, daher war die Rechtmäßigkeit der Verarbeitung zu keinem Zeitpunkt gegeben.
Und jetzt? #
Ich habe bei der österreichischen Datenschutzbehörde Beschwerde gegen die Wiener Linien nach Art. 77 Abs. 1 DSGVO6 sowie § 24 Abs. 1 DSG7 geltend gemacht. In dieser Beschwerde begehre ich, dass die DSB die Verletzung meiner Rechte feststellt sowie gemäß Art. 58 Abs. 2 lit. c, g DSGVO8 in Verbindung mit § 24 Abs. 5 DSG die Wiener Linien anweist, meinem Begehren zu entsprechen und die Daten zu löschen. Sobald die DSB zu einer Entscheidung gelangt ist, werde ich den Blogpost updaten.