Der Datenschutz muss in den Projekten des ÖPNV von Anfang an mitgedacht werden. Er ist ein gestaltender Begleiter, der das Interesse der Kund:innen an dem Schutz ihrer persönlichen Daten wahrt.
Höhere Sicherheit
bei zunehmender
Digitalisierung
14. September 2022
Datenschutzstandards für innovative Technikprojekte
Der Schutz personenbezogener Daten ist ein wichtiges Thema in allen Lebensbereichen – das gilt auch für den ÖPNV.
Um digitale Informationen sicher zu verarbeiten, müssen einheitliche Grundsätze geschaffen werden, die bereits in der Projektentwicklung greifen. Elektronische Tickets, Adressdaten in Mobilitätsapps und Mailadressen zur Verifizierung – Datenangaben sind für die digitale Nutzung des ÖPNV unerlässlich, wenn Fahrgäste sich nicht auf Käufe am Ticketschalter reduzieren wollen.
Den ÖPNV datensicher gestalten
Umso wichtiger ist es, grundsätzliche Datenschutzrechte auch auf der Ebene des Schienen- und Personennahverkehrs anzuwenden, entsprechende Standards festzulegen und diese bereits zu Beginn der digitalen Projektplanung zu beachten und umzusetzen. Auf alle Projekte der ÖPNV Digitalisierungsoffensive NRW anwendbar hat die Rechtsanwältin Katharina te Heesen eine schriftliche Agenda erarbeitet, die eine datenschutzkonforme Umsetzung von Digitalisierungsprojekten im NRW-Nahverkehr ermöglicht und die Vorgaben der Datenschutzgrundverordnung (DSGVO) sinnvoll ergänzt.
Vertrauen im digitalen Kundenkontakt sichern
Der Kontakt zwischen Verkehrsunternehmen oder -betreibern mit Kund:innen wird durch die Digitalisierung erheblich erleichtert. Fahrkarten werden via App gekauft. Kund:innen nutzen eTarife mit Check-in/Check-out-Verfahren. Beschwerde- und Support-Anfragen zwischen Unternehmen und Nutzenden erfolgen bereits seit Jahren über soziale Kanäle. Dabei werden – häufig unbewusst – eine Menge persönlicher Daten, wie Mailadressen, Telefonnummern oder Namen ausgetauscht. Hier setzt der NRW-Nahverkehr auf einen zweckgerichteten und sicheren Umgang mit sensiblen, personenbezogenen Informationen: sparsam, sicher, zweckgerichtet und transparent. Datenschutz ist dabei keine Mindestanforderung, sondern sichert das Vertrauen in der Kundenbeziehung.
Datenschutz zur Routine machen
Dass der Schutz personenbezogener Daten grundsätzlichen Vorrang hat, ist für alle Akteur:innen im NRW-Nahverkehr unumstritten. Richtlinien und Vorgaben sind allerdings häufig kompliziert und umfangreich gestaltet; in der Entwicklung und Planung von Projekten werden sie deshalb oftmals als hinderlich wahrgenommen. Das Best-Practice-Modell der ÖPNV Digitalisierungsoffensive NRW vollzieht den notwendigen Schritt zu leicht zugänglichen Nutzungsstandards. Sobald personenbezogene Daten innerhalb eines Projektes verarbeitet werden, ist der Datenschutz als gleichwertige Projektaufgabe in den Projektplan aufzunehmen und in jede Projektphase einzubinden. Die Erstellung eines Daten-Grundgerüsts ist signifikant. Dazu gehören ein Verarbeitungsverzeichnis, ein Rollen- und Berechtigungs- sowie ein Löschkonzept. So werden Projekte datenschutzkonform umgesetzt:
- Datenschutz implementieren:
Klare Ausschreibungsanforderungen definieren den konkreten Leistungsumfang, den alle Projektpartner:innen im Bereich des Datenschutzes erfüllen müssen. - Zeitliche und personelle Planung:
Nach den Vorgaben der DSGVO ist sicherzustellen, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird. - Frühzeitige Einbindung des Landesdatenschutzbeauftragten bei Innovationsprojekten:
Bei echten Innovationen ist das Projekt beim Landesbeauftragten für Datenschutz und Informationssicherheit vorzustellen und über eine weitere Begleitung zu beraten.
Der oder die Datenschutzbeauftragte
Eine wichtige Personalie innerhalb der Unternehmen ist der oder die Datenschutzbeauftragte. Bereits in den Anfängen der Konzeption sollte die- oder derjenige – oder eine Person, die die Einhaltung der Datenschutzvorgaben in einem Projekt beachtet und dem Datenschutzbeauftragen des Unternehmens berichtet – miteinbezogen werden. Damit eine frühe Integration in die Prozesse möglich wird, ist es notwendig, bereits die Konzeptionierung der Ausschreibung und deren öffentliche Dokumente sorgfältig prüfen zu lassen – als eigenständigen Part des Prozesses.
Verkehrsunternehmen wird geraten, einen internen Datenschutzbeauftragten zu bestimmen, der auf der Grundlage von ÖPNV-Kenntnissen geschult werden kann. So ist eine kurzfristige und unternehmensnahe Umsetzung eines Datenschutzstandards auf kurzen Arbeitswegen garantiert. Der oder die Datenschutzbeauftragte muss im Laufe des Projekts stets über Änderungen informiert werden, um die Maßnahmenschritte auf Rechtmäßigkeit und Richtigkeit zu prüfen.
Foto: © Joeprachatree / shutterstock.com (1); © Katharina te Heesen /privat (2)
