Mobilität + App: Jelbi und der Datenschutz – an wen verkauft die BVG unsere Daten?, aus Senat

www.berlin.de

Frage 1:
Welche Schlüsse und Konsequenzen hat der Senat bzw. die BVG aus der Anhörung zu #Datenschutz bei der
BVG im Ausschuss KTDat gezogen?
Frage 5:
Wann haben Gespräche mit der Datenschutzbeauftragten stattgefunden, welche Kritikpunkte wurden dabei
geäußert und welche Änderungen an #Jelbi wurde im Anschluss vorgenommen?
Antwort zu 1 und zu 5:
Hierzu teilt die BVG mit:
„In der Sitzung des Ausschusses für Kommunikationstechnologie und Datenschutz am
18.03.2019 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit (#BlnBDI)
der BVG ein Schreiben mit Datenschutzfragestellungen in Aussicht gestellt, welches bei
der BVG auch einging und eingehend beantwortet wurde. Im Nachgang des
Antwortschreibens hat die BVG am 10.04.2019 der BlnBDI Jelbi praktisch und detailliert
vorgestellt (einschl. #Userflow, Rechtsgrundlagen der Datenverarbeitungen, genauer
#Datenfluss usw.). Anschlussfragen wurden von der BVG schriftlich am 30.04.2019
beantwortet. Hierzu gab es keine weiteren Beanstandungen oder Änderungswünsche
seitens der BlnBDI.“
2
Frage 2:
Wie bewertet der Senat die Zusage der BVG, fehlende Informationen zum Umgang mit den bei Jelbi
entstehenden Daten und zum Zahlungsdienstleister schriftlich nachzureichen?
Antwort zu 2:
Hierzu teilt die BVG mit:
„Ihre Zusage hat die BVG gegenüber der BlnBDI eingehalten.“
Frage 3:
Was hat die BVG bewogen, mit Jelbi zu starten, bevor wesentlichen Fragen des Datenschutzes wenigstens
dem Parlament gegenüber beantwortet wurden?
Antwort zu 3:
Hierzu teilt die BVG mit:
„Am 30.04.2019 hat die BVG alle noch verbliebenen #Datenschutzfragen ausführlich
beantwortet. Der Launch von Jelbi fand am 11.06.2019 statt.“
Frage 4:
Liegt inzwischen eine Datenschutz-Folgenabschätzung für Jelbi vor und wo lässt sich diese nachlesen /
nachvollziehen?
Antwort zu 4:
Hierzu teilt die BVG mit:
„Eine Datenschutzfolgeabschätzung liegt bei der BVG vor. Anträge auf Einsichtnahme
können direkt bei der BVG gestellt werden.“
Frage 6:
Welche Daten durch die Nutzung von Jelbi werden von wem erhoben und wie lange gespeichert?
Frage 7:
Welche Daten erhält #Deezer #nextbike durch die Nutzung von Jelbi und wie schließt der Senat – über verbale
Versprechen hinaus – aus, dass dort ein Bewegungsprofil des Nutzers entstehen kann (Bitte ergänzend um
Angabe der entsprechenden vertraglichen Grundlage inklusive der vereinbarten Möglichkeiten zur
Kontrolle)?
Frage 8:
Welche Daten erhält Emmy durch die Nutzung von Jelbi und wie schließt der Senat – über verbale
Versprechen hinaus – aus, dass dort ein Bewegungsprofil des Nutzers entstehen kann (Bitte ergänzend um
Angabe der entsprechenden vertraglichen Grundlage inklusive der vereinbarten Möglichkeiten zur
Kontrolle)?
Frage 9:
Welche Daten erhält MILES durch die Nutzung von Jelbi und wie schließt der Senat – über verbale
Versprechen hinaus – aus, dass dort ein Bewegungsprofil des Nutzers entstehen kann (Bitte ergänzend um
Angabe der entsprechenden vertraglichen Grundlage inklusive der vereinbarten Möglichkeiten zur
Kontrolle)?
3
Frage 10:
Welche Daten erhält Trafi (als Plattform) durch die Nutzung von Jelbi und wie schließt der Senat – über
verbale Versprechen hinaus – aus, dass dort ein Bewegungsprofil des Nutzers entstehen kann (Bitte
ergänzend um Angabe der entsprechenden Vertraglichen Grundlage inklusive der vereinbarten
Möglichkeiten zur Kontrolle)?
Antwort zu 6 bis zu 10:
Hierzu teilt die BVG mit:
„Bei der Buchung und Inanspruchnahme von Mobilitätsangeboten über die Jelbi-App
kommt es zwischen den Nutzenden und dem jeweiligen Mobilitäts-Anbieter zum
Abschluss eines Mobilitätsvertrages. Die Nutzenden können über die Jelbi-App entweder
Mobilitätsangebote der BVG oder von Drittanbietern in Anspruch nehmen. Die für
Vertragsschluss und -abwicklung erforderlichen Daten werden von der BVG ausschließlich
an den von den Nutzenden ausgewählten Mobilitätsanbieter übermittelt bzw. bei
Inanspruchnahme von BVG-Angeboten von der BVG verarbeitet. Die Übermittlung erfolgt
zum Zweck von Vertragsschluss und -abwicklung. Bei den dafür erforderlichen Daten
handelt es sich um folgende Informationen:
 Name
 Nachname
 E-Mail-Adresse
 Adresse
 Mobilfunknummer
 Informationen zum verwendeten mobilen Endgerät
 Angaben zum gewählten Zahlungsmittel (LogPay, Token oder PayPal)
 Konkrete Buchungs- bzw. Reservierungsanfrage
 Standort- und Positionsdaten (Start- und Zieladresse)
 ggf. Ergebnis der Führerscheinvalidierung, inklusive der jeweiligen
Führerscheindaten (siehe unter 3)
Die Rechtmäßigkeit der Verarbeitung dieser Daten ergibt sich aus Art. 6 Abs. 1 S. 1 lit. b
DSGVO, da sie für das Zustandekommen und die Abwicklung von Verträgen zwischen
den Nutzenden und dem jeweiligen Mobilitätsanbieter erforderlich ist. Die Daten werden
für die Bearbeitung der Buchungs- und/oder Reservierungsanfrage des Nutzenden von
der BVG an den jeweiligen Mobilitäts-Anbieter übermittelt und ermöglichen das
Zustandekommen und die Durchführung des Vertrages. In diesem Fall dienen sie aber
auch der Abwicklung weitergehender Ansprüche (z.B. Abwicklung entstandener Schäden
oder Bearbeitung von Strafzetteln bei Nutzung eines Carsharing-Angebots). Zur
Abrechnung der in Anspruch genommenen Mobilitätsleistung werden keine vollständigen
Zahlungsinformationen (siehe V.3) übermittelt, sondern lediglich Informationen zum
gewählten Zahlungsdienst. Die für die Abrechnung benötigten Daten werden vom
jeweiligen Mobilitäts-Anbieter im Zuge des Bezahlvorgangs an LogPay oder PayPal (den
von ihnen gewählten Zahlungsdienstleister) übermittelt.
Die BVG und der jeweilige Mobilitäts-Anbieter sind für die Verarbeitung der Daten
gemeinsam verantwortlich und haben eine Vereinbarung im Sinne des Art. 26 DSGVO
geschlossen (siehe dazu unter V.5).
Die Daten werden nach Beendigung der Geschäftsbeziehung von der BVG für eine Dauer
von drei weiteren Jahren aufbewahrt. Die Aufbewahrung der Daten dient dazu, mögliche
Gewährleistungs- oder Regressansprüche erfüllen zu können. Die Frist beginnt mit dem
Ende des Jahres, in dem die Daten verarbeitet wurden. Nach Ablauf dieser Fristen werden
sämtliche Daten des Nutzenden gelöscht, es sei denn, dass dem gesetzliche
Bestimmungen entgegenstehen.
Die Daten der Nutzenden werden insbesondere dann nicht gelöscht, wenn die BVG
gesetzliche Aufbewahrungspflichten (z.B. handels- oder steuerrechtlicher Natur) erfüllen
4
muss oder die Verarbeitung der jeweiligen personenbezogenen Daten zur
Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist,
z.B., wenn rechtliche Schritte gegen die Nutzenden wegen Fehlverhaltens bei der
Leistungsnutzung oder bei Zahlungsproblemen eingeleitet werden müssen. In einem
solchen Fall wird die BVG die Nutzenden bei der Ausübung des Löschrechts über die
entgegenstehenden Gründe entsprechend informieren.“
Frage 11:
Welche Daten erhält der Zahlungsdienstleister? Aus welchem Grund für Jelbi nicht auf den vorhandenen
Basisdienst E-Payment zurückgegriffen? Welche zusätzlichen Kosten entstehen dem Land ggf. zusätzlich?
Antwort zu 11:
Hierzu teilt die BVG mit:
a) „Datenverarbeitung LogPay Financial Services GmbH im Rahmen von Jelbi
Bei allen Zahlarten außer PayPal (also z.B. SEPA-Lastschrift, Kreditkarte) werden die
Zahlungsinformationen der Nutzenden (Vor- und Nachname, Geburtsdatum, Adresse,
Geschlecht, E-Mail-Adresse, Kontoverbindung, Kreditkartendaten, sowie Daten zu ihren
jeweiligen Ticketkäufen) an den externen Finanzdienstleister der BVG (derzeit die LogPay
Financial Services GmbH, Schwalbacher Straße 72, 65760 Eschborn, nachfolgend
„LogPay“) zum Zwecke der Bonitätsprüfung sowie des Verkaufes und der Abtretung der
durch die Inanspruchnahme von Mobilitätsdiensten entstandenen Forderungen gegen die
Nutzenden übertragen. Rechtsgrundlage für die Datenübermittlung ist Art. 6 Abs. 1 S. 1 lit.
b, f DSGVO. Die BVG hat ein berechtigtes Interesse daran, die Abwicklung von Zahlungen
und die Verwaltung von Forderungen für eine effiziente Rechnungslegung auszulagern, da
die Zahlungsabwicklung durch die Beteiligung einer Vielzahl an Mobilitäts-Anbietern mit
hohem Aufwand verbunden ist.
Die Verarbeitung der personenbezogenen Daten erfolgt durch LogPay als verantwortliche
Stelle. Weitere Informationen über die Datenverarbeitung durch LogPay erhalten Sie
unter: https://www.logpay.de/DE/datenschutzinformationen/
b) Datenverarbeitung PayPal im Rahmen von Jelbi
Sofern die Nutzenden Zahlungen über den Zahlungsdienstleister PayPal abwickeln
möchten, werden sie auf die Webseite des Anbieters dieses Zahlungsdienstes, der PayPal
(Europe) S.à.r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxembourg (nachfolgend:
„PayPal“) weitergeleitet. Dies ist bei den Zahlungsvarianten Kreditkarte via PayPal,
Lastschrift via PayPal oder „Kauf auf Rechnung“ via PayPal der Fall. Die von den
Nutzenden eingegebenen personenbezogenen Daten werden an PayPal verschlüsselt
übermittelt. Dies umfasst zumeist den Namen, die Adresse, die Telefonnummer, die IPAdresse
und E-Mail-Adresse der Nutzenden oder sonstige zur Zahlungsabwicklung
erforderliche Informationen einschließlich solcher zu den Buchungen der Nutzenden.
Rechtsgrundlage für die Weiterleitung der Daten ist Art. 6 Abs. 1 S. 1 lit. b DSGVO, da
diese Datenverarbeitung zur Zahlungsabwicklung für die in Anspruch genommenen
Leistungen notwendig ist. Die Verarbeitung der personenbezogenen Daten erfolgt durch
PayPal als verantwortliche Stelle.
Weitere Informationen über die Datenverarbeitung durch PayPal erhalten Sie unter
https://www.paypal.com/de/webapps/mpp/ua/privacy-full?locale.x=de_DE
5
c) Basisdienst E-Payment
Die BVG ist gemäß § 1 Abs. 1 Nr. 2 Berliner Betriebegesetz eine vollrechtsfähige Anstalt
des öffentlichen Rechts (AöR) und somit nicht Teil der Berliner Verwaltung nach § 2
Gesetz über die Zuständigkeiten in der Allgemeinen Berliner Verwaltung (Allgemeines
Zuständigkeitsgesetz – AZG).
Der Basisdienst E-Payment wird jedoch gemäß § 5 i.V.m. § 1 (der auf § 2 Allgemeines
Zuständigkeitsgesetz – AZG verweist) Gesetz zur Förderung des E-Government
(E-Government-Gesetz Berlin – EGovG Bln) nur der Berliner Verwaltung für Online-
Verwaltungsverfahren zur Verfügung gestellt.“
Berlin, den 05.07.2019
In Vertretung
Ingmar Streese
Senatsverwaltung für Umwelt,
Verkehr und Klimaschutz