Im März haben wir im Ausschuss für Kommunikationstechnologie und Datenschutz die BVG zum Thema Datenschutz und Jelbi-App angehört. Ein Fazit der Anhörung ist, dass viele Fragen des Datenschutzes noch offen sind – hier hat die BVG eine enge Zusammenarbeit mit der Datenschutzbeauftragten angekündigt, sobald die Datenschutzfolgeabschätzung durch die BVG erstellt wurde. Die BVG hat auch zugesagt, die in der Anhörung offen gebliebenen Fragen zu beantworten. Da dies bis zum Beginn der parlamentarischen Sommerpause nicht erfolgt ist, Jelbi aber gestartet wurde, habe ich beim Senat nachgefragt (Drucksache 18/20005).

Die Antwort zeigt, dass Datenschutz und das Berliner Abgeordnetenhaus für die BVG keine große Relevanz haben. Das ist kein gutes Zeichen. Wünschenswert wäre, wenn sich die BVG von einem Transportunternehmen zu einem modernen Mobilitätsdienstleister entwickeln würde. Die Antwort auf die Frage nach den Zusagen gegenüber dem Ausschuss ist eine echte Frechheit. Demnach antwortet die BVG: „Ihre Zusage hat die BVG gegenüber der BlnBDI eingehalten.“ Wir werden das Thema BVG und Datenschutz weiter auf der Agenda behalten.

Frage 1: Welche Schlüsse und Konsequenzen hat der Senat bzw. die BVG aus der Anhörung zu Datenschutz bei der BVG im Ausschuss KTDat gezogen?
Frage 5: Wann haben Gespräche mit der Datenschutzbeauftragten stattgefunden, welche Kritikpunkte wurden dabei geäußert und welche Änderungen an Jelbi wurde im Anschluss vorgenommen?

Hierzu teilt die BVG mit: „In der Sitzung des Ausschusses für Kommunikationstechnologie und Datenschutz am 18.03.2019 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) der BVG ein Schreiben mit Datenschutzfragestellungen in Aussicht gestellt, welches bei der BVG auch einging und eingehend beantwortet wurde. Im Nachgang des Antwortschreibens hat die BVG am 10.04.2019 der BlnBDI Jelbi praktisch und detailliert vorgestellt (einschl. Userflow, Rechtsgrundlagen der Datenverarbeitungen, genauer Datenfluss usw.). Anschlussfragen wurden von der BVG schriftlich am 30.04.2019 beantwortet. Hierzu gab es keine weiteren Beanstandungen oder Änderungswünsche seitens der BlnBDI.“

Frage 2: Wie bewertet der Senat die Zusage der BVG, fehlende Informationen zum Umgang mit den bei Jelbi entstehenden Daten und zum Zahlungsdienstleister schriftlich nachzureichen?

Hierzu teilt die BVG mit: „Ihre Zusage hat die BVG gegenüber der BlnBDI eingehalten.“

Frage 3: Was hat die BVG bewogen, mit Jelbi zu starten, bevor wesentlichen Fragen des Datenschutzes wenigstens dem Parlament gegenüber beantwortet wurden?

Hierzu teilt die BVG mit: „Am 30.04.2019 hat die BVG alle noch verbliebenen Datenschutzfragen ausführlich beantwortet. Der Launch von Jelbi fand am 11.06.2019 statt.“

Frage 4: Liegt inzwischen eine Datenschutz-Folgenabschätzung für Jelbi vor und wo lässt sich diese nachlesen /nachvollziehen?

Hierzu teilt die BVG mit: „Eine Datenschutzfolgeabschätzung liegt bei der BVG vor. Anträge auf Einsichtnahme können direkt bei der BVG gestellt werden.“

Frage 6: Welche Daten durch die Nutzung von Jelbi werden von wem erhoben und wie lange gespeichert?
Frage 7: Welche Daten erhält Deezer nextbike durch die Nutzung von Jelbi und wie schließt der Senat – über verbale Versprechen hinaus – aus, dass dort ein Bewegungsprofil des Nutzers entstehen kann (Bitte ergänzend um Angabe der entsprechenden vertraglichen Grundlage inklusive der vereinbarten Möglichkeiten zur Kontrolle)?
Frage 8: Welche Daten erhält Emmy durch die Nutzung von Jelbi und wie schließt der Senat – über verbale Versprechen hinaus – aus, dass dort ein Bewegungsprofil des Nutzers entstehen kann (Bitte ergänzend um Angabe der entsprechenden vertraglichen Grundlage inklusive der vereinbarten Möglichkeiten zur Kontrolle)?
Frage 9: Welche Daten erhält MILES durch die Nutzung von Jelbi und wie schließt der Senat – über verbale Versprechen hinaus – aus, dass dort ein Bewegungsprofil des Nutzers entstehen kann (Bitte ergänzend um Angabe der entsprechenden vertraglichen Grundlage inklusive der vereinbarten Möglichkeiten zur Kontrolle)?
Frage 10: Welche Daten erhält Trafi (als Plattform) durch die Nutzung von Jelbi und wie schließt der Senat – über verbale Versprechen hinaus – aus, dass dort ein Bewegungsprofil des Nutzers entstehen kann (Bitte ergänzend um Angabe der entsprechenden Vertraglichen Grundlage inklusive der vereinbarten Möglichkeiten zur Kontrolle)?

Hierzu teilt die BVG mit: „Bei der Buchung und Inanspruchnahme von Mobilitätsangeboten über die Jelbi-App kommt es zwischen den Nutzenden und dem jeweiligen Mobilitäts-Anbieter zum Abschluss eines Mobilitätsvertrages. Die Nutzenden können über die Jelbi-App entweder Mobilitätsangebote der BVG oder von Drittanbietern in Anspruch nehmen. Die für Vertragsschluss und -abwicklung erforderlichen Daten werden von der BVG ausschließlich an den von den Nutzenden ausgewählten Mobilitätsanbieter übermittelt bzw. bei Inanspruchnahme von BVG-Angeboten von der BVG verarbeitet. Die Übermittlung erfolgt zum Zweck von Vertragsschluss und -abwicklung. Bei den dafür erforderlichen Daten handelt es sich um folgende Informationen:

  • Name
  • Nachname
  • E-Mail-Adresse
  • Adresse
  • Mobilfunknummer
  • Informationen zum verwendeten mobilen Endgerät
  • Angaben zum gewählten Zahlungsmittel (LogPay, Token oder PayPal)
  • Konkrete Buchungs- bzw. Reservierungsanfrage
  • Standort- und Positionsdaten (Start- und Zieladresse)
  • ggf. Ergebnis der Führerscheinvalidierung, inklusive der jeweiligen
    Führerscheindaten (siehe unter 3)

Die Rechtmäßigkeit der Verarbeitung dieser Daten ergibt sich aus Art. 6 Abs. 1 S. 1 lit. bDSGVO, da sie für das Zustandekommen und die Abwicklung von Verträgen zwischen den Nutzenden und dem jeweiligen Mobilitätsanbieter erforderlich ist. Die Daten werden für die Bearbeitung der Buchungs- und/oder Reservierungsanfrage des Nutzenden von der BVG an den jeweiligen Mobilitäts-Anbieter übermittelt und ermöglichen das Zustandekommen und die Durchführung des Vertrages. In diesem Fall dienen sie aber auch der Abwicklung weitergehender Ansprüche (z.B. Abwicklung entstandener Schäden oder Bearbeitung von Strafzetteln bei Nutzung eines Carsharing-Angebots). Zur Abrechnung der in Anspruch genommenen Mobilitätsleistung werden keine vollständigen Zahlungsinformationen (siehe V.3) übermittelt, sondern lediglich Informationen zum gewählten Zahlungsdienst. Die für die Abrechnung benötigten Daten werden vom jeweiligen Mobilitäts-Anbieter im Zuge des Bezahlvorgangs an LogPay oder PayPal (den von ihnen gewählten Zahlungsdienstleister) übermittelt. Die BVG und der jeweilige Mobilitäts-Anbieter sind für die Verarbeitung der Daten gemeinsam verantwortlich und haben eine Vereinbarung im Sinne des Art. 26 DSGVO geschlossen (siehe dazu unter V.5).

Die Daten werden nach Beendigung der Geschäftsbeziehung von der BVG für eine Dauer von drei weiteren Jahren aufbewahrt. Die Aufbewahrung der Daten dient dazu, mögliche Gewährleistungs- oder Regressansprüche erfüllen zu können. Die Frist beginnt mit dem Ende des Jahres, in dem die Daten verarbeitet wurden. Nach Ablauf dieser Fristen werden sämtliche Daten des Nutzenden gelöscht, es sei denn, dass dem gesetzliche Bestimmungen entgegenstehen.
Die Daten der Nutzenden werden insbesondere dann nicht gelöscht, wenn die BVG gesetzliche Aufbewahrungspflichten (z.B. handels- oder steuerrechtlicher Natur) erfüllen muss oder die Verarbeitung der jeweiligen personenbezogenen Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist, z.B., wenn rechtliche Schritte gegen die Nutzenden wegen Fehlverhaltens bei der Leistungsnutzung oder bei Zahlungsproblemen eingeleitet werden müssen. In einem solchen Fall wird die BVG die Nutzenden bei der Ausübung des Löschrechts über die entgegenstehenden Gründe entsprechend informieren.“

Frage 11: Welche Daten erhält der Zahlungsdienstleister? Aus welchem Grund für Jelbi nicht auf den vorhandenen Basisdienst E-Payment zurückgegriffen? Welche zusätzlichen Kosten entstehen dem Land ggf. zusätzlich?

Hierzu teilt die BVG mit:

a) „Datenverarbeitung LogPay Financial Services GmbH im Rahmen von Jelbi

Bei allen Zahlarten außer PayPal (also z.B. SEPA-Lastschrift, Kreditkarte) werden die Zahlungsinformationen der Nutzenden (Vor- und Nachname, Geburtsdatum, Adresse, Geschlecht, E-Mail-Adresse, Kontoverbindung, Kreditkartendaten, sowie Daten zu ihren jeweiligen Ticketkäufen) an den externen Finanzdienstleister der BVG (derzeit die LogPay Financial Services GmbH, Schwalbacher Straße 72, 65760 Eschborn, nachfolgend „LogPay“) zum Zwecke der Bonitätsprüfung sowie des Verkaufes und der Abtretung der durch die Inanspruchnahme von Mobilitätsdiensten entstandenen Forderungen gegen die Nutzenden übertragen. Rechtsgrundlage für die Datenübermittlung ist Art. 6 Abs. 1 S. 1 lit.b, f DSGVO. Die BVG hat ein berechtigtes Interesse daran, die Abwicklung von Zahlungen und die Verwaltung von Forderungen für eine effiziente Rechnungslegung auszulagern, da die Zahlungsabwicklung durch die Beteiligung einer Vielzahl an Mobilitäts-Anbietern mit hohem Aufwand verbunden ist. Die Verarbeitung der personenbezogenen Daten erfolgt durch LogPay als verantwortliche Stelle. Weitere Informationen über die Datenverarbeitung durch LogPay erhalten Sie unter: https://www.logpay.de/DE/datenschutzinformationen/

b) Datenverarbeitung PayPal im Rahmen von Jelbi

Sofern die Nutzenden Zahlungen über den Zahlungsdienstleister PayPal abwickeln möchten, werden sie auf die Webseite des Anbieters dieses Zahlungsdienstes, der PayPal (Europe) S.à.r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxembourg (nachfolgend: „PayPal“) weitergeleitet. Dies ist bei den Zahlungsvarianten Kreditkarte via PayPal, Lastschrift via PayPal oder „Kauf auf Rechnung“ via PayPal der Fall. Die von den Nutzenden eingegebenen personenbezogenen Daten werden an PayPal verschlüsselt übermittelt. Dies umfasst zumeist den Namen, die Adresse, die Telefonnummer, die IPAdresse und E-Mail-Adresse der Nutzenden oder sonstige zur Zahlungsabwicklung erforderliche Informationen einschließlich solcher zu den Buchungen der Nutzenden. Rechtsgrundlage für die Weiterleitung der Daten ist Art. 6 Abs. 1 S. 1 lit. b DSGVO, da diese Datenverarbeitung zur Zahlungsabwicklung für die in Anspruch genommenen Leistungen notwendig ist. Die Verarbeitung der personenbezogenen Daten erfolgt durch PayPal als verantwortliche Stelle.
Weitere Informationen über die Datenverarbeitung durch PayPal erhalten Sie unter
https://www.paypal.com/de/webapps/mpp/ua/privacy-full?locale.x=de_DE

c) Basisdienst E-Payment

Die BVG ist gemäß § 1 Abs. 1 Nr. 2 Berliner Betriebegesetz eine vollrechtsfähige Anstalt des öffentlichen Rechts (AöR) und somit nicht Teil der Berliner Verwaltung nach § 2 Gesetz über die Zuständigkeiten in der Allgemeinen Berliner Verwaltung (Allgemeines Zuständigkeitsgesetz – AZG). Der Basisdienst E-Payment wird jedoch gemäß § 5 i.V.m. § 1 (der auf § 2 Allgemeines Zuständigkeitsgesetz – AZG verweist) Gesetz zur Förderung des E-Government (E-Government-Gesetz Berlin – EGovG Bln) nur der Berliner Verwaltung für Online-Verwaltungsverfahren zur Verfügung gestellt.“

Print Friendly, PDF & Email