Reisende ohne gültigen Fahrausweis - Kontrolle der SBB-Datenbank

Wir führten bei der SBB eine Kontrolle der Datenbearbeitungen der Reisenden ohne gültigen Fahrausweis durch. Dabei stellten wir fest, dass für das Informationssystem selbst noch eine formellgesetzliche Grundlage geschaffen werden muss. Das Bundesamt für Verkehr hat sich bereit erklärt, die entsprechenden gesetzgeberischen Schritte in die Wege zu leiten. Zum Zeitpunkt unserer Kontrolle vor Ort hatte die SBB die geplante Löschung der Daten in ihrem Informationssystem noch nicht umgesetzt. Wir sind daran, das inzwischen erstellte Konzept für die Löschung samt Umsetzung zu prüfen.

Wir erhielten verschiedene Anfragen in Zusammenhang mit der Datenbearbeitung, welche die SBB zu Reisenden ohne gültigen Fahrausweis vornimmt. Die Presse berichtete verschiedentlich darüber. Da auch die Passagiere erfasst werden, die ihr Abonnement vergessen haben, sind von dieser Datenbearbeitung viele Personen betroffen. Deshalb führten wir bei der SBB eine entsprechende Kontrolle durch.

Die Daten der Reisenden ohne gültigen Fahrausweis werden von der SBB in ihrem Informationssystem RogF bearbeitet. Es stützt sich insbesondere auf das Personenbeförderungsgesetz (PBG) und die Tarife der schweizerischen Transportunternehmen. Tarif 600 enthält die allgemeinen Bedingungen zum Personenverkehr, Tarif 600.5 Richtlinien für die Behandlung von Reisenden ohne gültigen Fahrausweis. Auch letzterer stützt sich hauptsächlich auf das Personenbeförderungsgesetz, gemäss welchem Personen, die keine gültige Fahrkarte vorweisen, einen Zuschlag bezahlen müssen. Dieser kann erhöht werden, wenn die reisende Person zum wiederholten Mal kein gültiges Billet vorweist. Weiter besitzt die SBB eine Konzernweisung zum Datenschutz. Die SBB konnte uns zwar darlegen, welche Daten in RogF zu welchem Zweck bearbeitet werden; die Details (wie Zweck, Datenkategorien, Zugriffe, Datenbearbeitungen, Löschung der Daten usw.) sind jedoch weder in einer gesetzlichen Grundlage noch in einem Papier der SBB genau umschrieben.

Nach Angaben der SBB läuft die Datenbearbeitung wie folgt ab: Der Zugbegleiter führt seine Kontrollen mit seinem Zugpersonalgerät (ZPG) durch. Zwischen dem Gerät und RogF besteht keine Onlineverbindung, vielmehr werden die im ZPG erfassten Datensätze der Reisenden ohne gültigen Fahrausweis jeweils nach Dienstschluss in die RogF-Datenbank übermittelt. Stösst der Zugbegleiter auf einen Passagier ohne gültige Fahrkarte, füllt er zudem das Formular 7000 aus, das als Fahrausweis dient und von den SBB gescannt wird. Dieses Formular wird ausgestellt, wenn eine Person ihr persönliches Abonnement (z.B. GA) vergessen hat und sich nicht ausweisen kann, oder wenn sie eine Fahrkarte besitzt, aber ihr Halbtax-Abonnement nicht dabei hat. In beiden Fällen hat die betroffene Person zehn Tage Zeit, ihr vergessenes Abonnement vorzuweisen, womit der Vorfall abgeschlossen ist.

Die SBB handelt im Rahmen ihrer konzessionierten Tätigkeit als Bundesorgan im Sinne des Datenschutzgesetzes und braucht für die Bearbeitung von Personendaten eine gesetzliche Grundlage. Bei besonders schützenswerten Personendaten muss es sich um eine gesetzliche Grundlage im formellen Sinn (etwa ein vom Parlament verabschiedetes Bundesgesetz) handeln. Das PBG regelt die Erhebung des Zuschlags, nicht dagegen das Informationssystem selbst. Gleichzeitig hält das Datenschutzgesetz fest, dass besonders schützenswerte Personendaten ohne gesetzliche Grundlage bearbeitet werden dürfen, wenn es ausnahmsweise für eine in einem Gesetz im formellen Sinn klar umschriebene Aufgabe unentbehrlich ist. Wir kamen zum Schluss, dass die SBB ein Informationssystem führen muss, um ihre gesetzlichen Aufgaben, insbesondere die Erhöhung des Zuschlags für Wiederholungstäter, überhaupt erfüllen zu können. Allerdings darf eine solche Datenbearbeitung nur ausnahmsweise gestützt auf das Datenschutzgesetz erfolgen. Eine solche Ausnahme liegt hier nicht vor.

Aufgrund der im PBG klar umschriebenen gesetzlichen Aufgabe konnten wir von einem Verbot des Informationssystems RogF bis zur Schaffung der gesetzlichen Grundlage dennoch absehen. Allerdings bleibt die Grundlage mangelhaft, weshalb das System nur für eine beschränkte Dauer weitergeführt werden kann. Die fehlende gesetzliche Grundlage muss so rasch als möglich geschaffen werden. Die Schwierigkeit für uns bestand darin, dass wir dies von der SBB nicht verlangen konnten, da die Bahn einen Gesetzgebungsprozess nicht direkt auslösen kann. Sie kann aber beispielsweise beim Bundesamt für Verkehr (BAV) vorstellig werden, damit dieses den Prozess auslöst. Aus diesem Grund schlugen wir der SBB vor, uns in Zusammenarbeit mit dem BAV mitzuteilen, ob die notwendigen Schritte zur Schaffung einer gesetzlichen Grundlage für die Führung solcher Informationssysteme unternommen würden. Gleichzeitig behielten wir uns vor, der SBB zu empfehlen, die Datenbearbeitung in RogF zu unterlassen, falls diese Schritte ausblieben. Weiter schlugen wir der SBB vor, bis zur Schaffung der gesetzlichen Grundlagen die genauen Datenbearbeitungen in Weisungen oder Richtlinien festzuhalten.

Die SBB hatte ursprünglich geplant, die Daten in RogF grundsätzlich nach zwei Jahren zu löschen. Bei unserer Kontrolle vor Ort mussten wir jedoch feststellen, dass noch gar keine Daten gelöscht worden waren. So waren auch Angaben aus den Jahren 1999 und 2000 darin enthalten. Eine so lange Aufbewahrung verstösst gegen das Verhältnismässigkeitsprinzip. Zum Zeitpunkt unserer Kontrolle war die SBB daran, ein Konzept für die Löschung der Daten auszuarbeiten. Darin soll geklärt werden, welche Daten für welche Zwecke wie lange aufbewahrt werden sollen, und wie die Löschung umgesetzt werden kann. Wir empfahlen der SBB, das Konzept bis Ende 2012 auszuarbeiten, uns zu unterbreiten und gleichzeitig die Löschung der nicht mehr erforderlichen Daten sicherzustellen. Auch die gescannten Formulare 7000 waren zum Zeitpunkt unserer Kontrolle nicht gelöscht worden. Wir fanden Dokumente, die bis auf das Jahr 2006 zurückgingen. Auch hier empfahlen wir das gleiche Vorgehen wie für die Löschung der Daten in RogF. Weitere Empfehlungen betrafen das Ausarbeiten eines Bearbeitungsreglements für die Datenbank und die Generierung eines Passwortes.

Die SBB hat unsere Vorschläge und Empfehlungen angenommen, und das BAV hat uns gegenüber festgehalten, die nötigen Schritte zur Schaffung der fehlenden gesetzlichen Grundlagen zu unternehmen. Wir haben das Konzept für die Löschung und das Bearbeitungsreglement erhalten und werden diese Dokumente sowie die effektive Löschung der Daten prüfen. Desgleichen werden wir die gesetzgeberischen Schritte verfolgen.

https://www.edoeb.admin.ch/content/edoeb/de/home/dokumentation/taetigkeitsberichte/20--taetigkeitsbericht-2012-2013/reisende-ohne-gueltigen-fahrausweis---kontrolle-der-sbb-datenban.html