taz_archiv_2045751433754

Datenschutz zum halben Preis

■ Kooperation zwischen Deutscher Bahn und Citibank hinsichtlich der BahnCard verstieß gegen den Datenschutz. Humanistische Union ruft zu Protesten auf

Rund drei Millionen Bundesbürger besitzen eine BahnCard, jenes Halbpreisticket, daß einst auf Initiative des Verkehrsclubs Deutschland nach Schweizer Vorbild auch bei uns eingeführt wurde. Die exakte Zahl der Inhaber kennt man in den Rechenzentren der Citibank in South Dakota und in Nevada, USA. Dort weiß man auch, wie die Bahnfahrer heißen, wo sie wohnen, wann sie geboren wurden – und wie sie aussehen. Sämtliche Daten der Karteninhaber inklusive ihrer Paßfotos werden nämlich in den Vereinigten Staaten verarbeitet und gespeichert. Der BahnCard-Antrag enthält die entsprechende Zustimmungserklärung.

Die Humanistische Union ruft nun dazu auf, mit Briefen an die Deutsche Bahn AG gegen diese Praxis zu protestieren und das Einverständnis zur Datenweitergabe zurückzuziehen. Auf entsprechende Beschwerden hin hatte die Bahn nämlich erklärt, sie könne das Verfahren nicht für einzelne Kunden ändern. Also, so der logische Schluß, muß man die Zustimmung eben möglichst massenweise widerrufen.

Grundlage für den transatlantischen Informationstransfer ist ein zwischen Bahn AG und Citibank geschlossenes Kooperationsabkommen, wonach die Bank (beziehungsweise ihr Tochterunternehmen Citicorp Card Operations, CCO) die Herstellung der Karten, die Kundenbetreuung sowie die dazu notwendige Datenverarbeitung übernimmt und im Gegenzug die Kombination von BahnCard und Kreditkarte anbieten darf.

In ihrer ursprünglichen Version rief diese im Sommer 1995 bekanntgemachte Allianz derartige Proteststürme und Sanktionsandrohungen der Datenschutzbehörden hervor, daß Bahn und Bank ein neues Abkommen schlossen. Besonders das in Reisebüros und Bahnschaltern ausgegebene Antragsformular stieß auf heftige Kritik, weil aus ihm überhaupt nicht hervorging, daß die BahnCard auch weiterhin ohne irgendeine Zahlungsfunktion zu haben war.

Das erste Antragsformular stieß überall auf Kritik

Entsprechend sauer reagierten viele Kunden, daß sie ausgerechnet der wegen ihrer Geschäftsmethoden nicht gerade gut beleumundeten Citibank umfangreiche Auskünfte – unter anderem ihre private Bankverbindung, das monatliche Haushaltseinkommen und die Adresse des Arbeitgebers – erteilen sollten, um auch weiterhin „ganz Deutschland für die Hälfte“ (Bahn-Werbeslogen) bereisen zu können.

Das hat sich glücklicherweise geändert. Der Berliner Datenschutzbeauftragte Hansjürgen Garstka, seit August 1995 für den Unternehmenssitz der Bahn in der Hauptstadt zuständig, handelte einen neuen Kooperationsvertrag aus, der nicht nur einen überarbeiteten Vordruck mit deutlich getrennten Feldern für BahnCards mit und ohne Zahlungsfunktion zur Folge hatte, sondern auch die Zusicherung der Citibank, daß die Berliner Behörde jederzeit in den Rechenzentren der Bank die Einhaltung der deutschen Datenschutzbestimmungen kontrollieren darf. Zudem garantiert das Unternehmen, die Daten ihrer Kunden in den USA ausschließlich zur Herstellung der Karten zu verwenden und sie nicht etwa an andere Abteilungen des Konzerns – und erst recht nicht an Dritte – weiterzureichen. Innerhalb Deutschlands darf die Citibank nur die Informationen über diejenigen Kunden für ihre Zwecke verwenden, die sich für eine BahnCard mit Zahlungsfunktion entschieden haben. Und, besonders wichtig: alle Karteninhaber können ihre Datenschutzrechte – einschließlich Schadensersatzansprüche – gegenüber der Bahn AG oder Citibank Deutschland auch dann geltend machen, wenn ein Verstoß nicht hier, sondern in den USA begangen wurde.

Aufgrund dieser Nachbesserungen äußerte Garstka in seinem Jahresbericht 1995, „keine datenschutzrechtlichen Bedenken mehr“. Das Verfahren wird im Gegenteil als „vorbildlich für die EU- Datenschutzrichtlinie“ bezeichnet. Diese verbietet in ihrem Artikel 25 einen Export von Daten für den Fall, daß im Empfängerland – wie in den USA – kein dem Herkunftsland vergleichbarer Datenschutz gewährleistet wird. Artikel 26 hingegen erlaubt Ausnahmen wie den Deal zwischen Bahn und Citibank, wenn ein entsprechender Vertrag die Vertraulichkeit der gelieferten Informationen sichert.

Garstkas Plazet ist indes alles andere als unumstritten. In Fachkreisen werden Bedenken laut, daß der Datenschutzkontrakt zwar formal den EU-Bestimmungen genüge, aber gleichzeitig die eigentliche Zielsetzung unterlaufe. Im Konfliktfall, so die Befürchtung, kann der Vertrag den womöglich geschädigten Bürgern nämlich nicht die Rechtssicherheit verschaffen, die sie bei einer unmittelbaren Anwendung der deutschen Gesetze hätten. Vor allem aber haben die Kunden der Monopolistin Bahn AG keine Möglichkeit, sich dieser fragwürdigen Lösung zu entziehen – es sei denn, sie verzichten auf den Preisvorteil. Ansonsten müssen sie auf die Effektivität der Kontrollen vertrauen, die Garstka oder seine Bevollmächtigten in den USA vornehmen.

Erste Inspektion ergab keinerlei Beanstandungen

Angesichts der oft schmerzlichen Erfahrungen, die Datenschützer selbst mit einheimischen Firmen sammeln mußten, empfindet dies nicht nur die Humanistische Union als Zumutung.

Die erste Inspektion eines Citibank-Rechenzentrums durch den Behördenchef persönlich – der wegen einer Fachtagung gerade in der Nähe zu tun hatte – ergab jedenfalls keine Beanstandungen. „Selbstverständlich“, versichert Garstkas Stellvertreterin Claudia Schmid, wird die Behörde ihre Kontrollbefugnis auch weiterhin ausüben, „aber wir bitten um Verständnis dafür, daß wir nicht öffentlich verkünden, in welchen Intervallen wir das tun“. J. Siemer

Die Humanistische Union hat ein Schreiben zum Widerruf der Datenweitergabe ins Ausland vorbereitet. Kontakt: Humanistische Union e.V., Bräuhausstraße 2, 80331 München. Tel.: 089/226441.