Datenschutzbeauftragter für Bahn & ÖPNV

Warum brauchen Bahn- und ÖPNV-Unternehmen einen Datenschutzbeauftragten?

Bahn- und ÖPNV-Unternehmen zählen zu den Betrieben mit den umfangreichsten Datenverarbeitungen im Verkehrssektor. Täglich werden Millionen von Fahrgastdaten erhoben: durch elektronische Fahrausweise, Abonnement-Systeme, Videoüberwachung in Fahrzeugen und an Haltestellen sowie über mobile Ticket-Apps. Die schiere Menge und Sensibilität dieser Daten stellt besondere Anforderungen an den Datenschutz.

Neben der DSGVO und dem BDSG gelten für den öffentlichen Personennahverkehr zusätzliche bereichsspezifische Regelungen. Das Personenbeförderungsgesetz (PBefG) und das Allgemeine Eisenbahngesetz (AEG) enthalten Vorgaben zur Datenverarbeitung im Verkehrsbereich. Zudem müssen die Anforderungen der EU-Fahrgastrechteverordnungen berücksichtigt werden, die Auskunfts- und Informationspflichten gegenüber Reisenden vorsehen.

Als externer Datenschutzbeauftragter für Bahn- und ÖPNV-Unternehmen unterstützt DATUREX Sie bei der rechtskonformen Gestaltung Ihrer Fahrgastdatenverarbeitung, der datenschutzkonformen Videoüberwachung und der Einhaltung aller branchenspezifischen Vorschriften. Unsere TÜV-zertifizierten Experten kennen die besonderen Herausforderungen des öffentlichen Personenverkehrs.

Besondere Datenschutzanforderungen im Bahn- und ÖPNV-Bereich

Der öffentliche Personenverkehr steht vor der einzigartigen Herausforderung, Massenverkehrsmittel mit individuellem Datenschutz in Einklang zu bringen. Moderne Verkehrssysteme setzen zunehmend auf Digitalisierung: elektronische Fahrausweise, Check-in/Check-out-Systeme und Echtzeit-Fahrgastinformationen erzeugen dabei detaillierte Bewegungsprofile.

Die Videoüberwachung in Fahrzeugen und an Haltestellen ist aus Sicherheitsgründen weit verbreitet, unterliegt jedoch strengen datenschutzrechtlichen Vorgaben. Die Speicherfristen, der Zugang zu Aufnahmen und die Beschilderung müssen sorgfältig geregelt werden. Besonders kritisch ist die Zusammenführung von Videodaten mit Fahrgastidentitäten aus Abonnement-Systemen.

Typische Datenkategorien im ÖPNV

• Abonnement- und Kundenkartendaten: Name, Anschrift, Lichtbild, Tarifzone, Gültigkeitsdauer
• Elektronische Fahrausweise: Nutzungshistorie, Ein- und Ausstiegshaltestellen, Uhrzeiten
• Videoüberwachung: Aufnahmen aus Bussen, Straßenbahnen, Bahnhöfen und Haltestellen
• Mobile Apps: Standortdaten, Buchungshistorie, Zahlungsinformationen, Gerätekennungen
• Beschwerdemanagement: Beschwerdeinhalte, Kontaktdaten, Verspätungsdokumentation
• Mitarbeiterdaten: Dienstpläne, GPS-Ortung von Fahrzeugen, Fahrtenschreiberdaten
• Barrierefreiheitsdaten: Informationen über Mobilitaetseinschraenkungen für Assistenzleistungen

DSGVO-Checkliste für Bahn und ÖPNV

• Videoüberwachungskonzept: Dokumentation aller Kamerapositionen, Rechtsgrundlagen, Speicherfristen und Zugangsberechtigungen gemäß Art. 6 Abs. 1 lit. f DSGVO
• Beschilderung: DSGVO-konforme Hinweisschilder an allen videoüberwachten Bereichen mit Angabe des Verantwortlichen und des Verarbeitungszwecks
• Elektronische Fahrausweise: Datenschutzkonzept für Check-in/Check-out-Systeme, Minimierung der Datenerfassung, Pseudonymisierung von Bewegungsdaten
• Mobile Ticket-Apps: Privacy-by-Design bei der App-Entwicklung, transparente Datenschutzerklärung in der App, Einwilligung für Standortdaten
• Auftragsverarbeitungsverträge: AVV mit IT-Dienstleistern, Ticket-Systemanbietern, Cloud-Speicherdiensten und Zahlungsdienstleistern
• Fahrgastrechte: Prozesse zur Beantwortung von Auskunftsersuchen gemäß Art. 15 DSGVO unter Berücksichtigung der Videodaten
• Datenschutz-Folgenabschätzung: DSFA für Videoüberwachung, Bewegungsprofile aus elektronischen Fahrausweisen und Echtzeit-Ortung
• Kooperationsverträge: Datenschutzregelungen bei Verkehrsverbünden und gemeinsamer Datenverarbeitung mit anderen Verkehrsunternehmen

Was kostet ein externer Datenschutzbeauftragter für Bahn und ÖPNV?

Die Kosten variieren je nach Größe des Verkehrsunternehmens, der Anzahl der Linien und der Komplexität der technischen Systeme erheblich. Für kleinere Verkehrsunternehmen mit regionalen Buslinien beginnen unsere Betreuungspakete ab 300 Euro monatlich. Größere Unternehmen mit Schienenverkehr, umfangreicher Videoüberwachung und elektronischen Fahrgastsystemen erfordern individuelle Kalkulationen.

Ein externer Datenschutzbeauftragter bietet gegenüber einer internen Lösung wesentliche Vorteile: spezialisiertes Fachwissen im Verkehrsbereich, keine personalrechtlichen Bindungen, kalkulierbare Kosten und die Möglichkeit, bei Bedarf zusätzliche Expertise für Sonderprojekte wie die Einführung neuer Ticketing-Systeme hinzuzuziehen.

Unsere Leistungen umfassen die vollständige Betreuung als DSB, die Begleitung bei der Einführung neuer digitaler Systeme, die Überwachung der Videoüberwachungskonzepte und die regelmäßige Schulung Ihrer Mitarbeiter im Umgang mit Fahrgastdaten.

§ 38 BDSG und die Auswirkung auf Verkehrsunternehmen

Bahn- und ÖPNV-Unternehmen überschreiten die Schwelle von 20 Beschäftigten, die regelmäßig personenbezogene Daten verarbeiten, in aller Regel deutlich. Zu den betroffenen Personen zählen nicht nur die Verwaltungsmitarbeiter, sondern auch Fahrer und Lokführer mit Zugang zu Bordcomputern, Kundenbetreuer, Sicherheitspersonal mit Zugang zu Videoüberwachungssystemen und Werkstattmitarbeiter mit Zugang zu Fahrzeugdaten.

Darüber hinaus besteht für Verkehrsunternehmen fast immer eine Benennungspflicht aufgrund der systematischen Videoüberwachung öffentlich zugänglicher Räume. Diese löst gemäß Art. 35 DSGVO in Verbindung mit der Positivliste der Datenschutzaufsichtsbehörden eine Pflicht zur Datenschutz-Folgenabschätzung aus, die wiederum einen DSB erfordert.

Auch kommunale Eigenbetriebe und privatrechtlich organisierte Verkehrsgesellschaften unterliegen dieser Pflicht. Die öffentlich-rechtliche Trägerschaft ändert nichts an den datenschutzrechtlichen Anforderungen – im Gegenteil verstärkt die besondere Verantwortung gegenüber der Allgemeinheit die Notwendigkeit eines kompetenten DSB.

Datenschutz-Folgenabschätzung (DSFA) für Bahn und ÖPNV

Verkehrsunternehmen müssen in mehreren Bereichen DSFAs durchführen:

• Videoüberwachung: Die flächendeckende Überwachung von Fahrzeugen, Bahnhöfen und Haltestellen stellt eine systematische Überwachung öffentlich zugänglicher Bereiche dar und erfordert zwingend eine DSFA
• Elektronisches Ticketing: Check-in/Check-out-Systeme und elektronische Fahrausweise ermöglichen die Erstellung detaillierter Bewegungsprofile der Fahrgaeste
• Echtzeit-Fahrgastinformation: Systeme, die Fahrgastströme zählen, Auslastungen messen und Bewegungsmuster analysieren
• WLAN in Fahrzeugen: Öffentliches WLAN-Angebot mit Registrierungspflicht und Protokollierung der Nutzungsdaten
• GPS-Flottenmanagement: Echtzeit-Ortung aller Fahrzeuge zur Betriebssteuerung mit gleichzeitiger Mitarbeiterüberwachungsmöglichkeit

DATUREX begleitet die Durchführung Ihrer DSFAs von der Risikobewertung bis zur Implementierung geeigneter Schutzmaßnahmen. Wir berücksichtigen dabei die aktuellen Orientierungshilfen der Datenschutzkonferenz zur Videoüberwachung und die Empfehlungen des Bundesbeauftragten für den Datenschutz.

Häufige Fragen: Datenschutzbeauftragter für Bahn und ÖPNV

Wie lange dürfen Videoüberwachungsaufnahmen gespeichert werden?

Die Speicherfrist hängt vom Zweck der Videoüberwachung ab. Für die Beweissicherung bei Straftaten und Vandalismusschäden empfehlen die Aufsichtsbehörden eine maximale Speicherdauer von 48 bis 72 Stunden. Längere Fristen bedürfen einer besonderen Begründung. Aufnahmen, die nicht mehr benötigt werden, müssen automatisch überschrieben oder gelöscht werden.

Dürfen Fahrgastbewegungen über elektronische Tickets nachverfolgt werden?

Die Nachverfolgung individueller Bewegungsmuster ist nur mit Einwilligung des Fahrgastes zulässig. Für die reine Fahrpreisberechnung bei Bestpreissystemen dürfen Ein- und Ausstiegsdaten verarbeitet werden, müssen jedoch zeitnah pseudonymisiert werden. Anonymisierte Auslastungsdaten für die Fahrplanoptimierung sind hingegen datenschutzrechtlich unbedenklich.

Welche Anforderungen gelten für WLAN in Bussen und Bahnen?

Das Angebot von Fahrgast-WLAN erfordert eine transparente Datenschutzerklärung auf der Anmeldeseite. Die Erfassung der MAC-Adressen und Nutzungsdaten muss auf das technisch Notwendige beschränkt werden. Eine Verknuepfung der WLAN-Nutzungsdaten mit Ticketing-Daten ist ohne ausdrückliche Einwilligung unzulässig.

Müssen Verkehrsverbünde einen gemeinsamen DSB haben?

Nein. Jedes beteiligte Verkehrsunternehmen bleibt eigenständig verantwortlich und benötigt einen eigenen DSB. Bei gemeinsamer Verantwortlichkeit gemäß Art. 26 DSGVO, etwa bei einem gemeinsamen Tarifsystem, muss zusätzlich eine Vereinbarung über die jeweiligen Pflichten geschlossen werden.

Kostenlose Erstberatung für Verkehrsunternehmen

Ist Ihr Verkehrsunternehmen datenschutzrechtlich auf der sicheren Seite? Unsere TÜV-zertifizierten Datenschutzexperten analysieren Ihre bestehenden Datenverarbeitungsprozesse – von der Videoüberwachung über das Ticketing-System bis zur Fahrgast-App. Nutzen Sie unsere kostenlose Erstberatung für eine fundierte Einschätzung Ihres Handlungsbedarfs.

Kontaktieren Sie uns telefonisch unter 0351 205 314 83 oder per E-Mail an kontakt@daturex.de.

Unsere Datenschutz-Leistungen für Bahn und ÖPNV

• Externer Datenschutzbeauftragter: Spezialisierte Betreuung für kommunale und privatwirtschaftliche Verkehrsunternehmen
• Videoüberwachungskonzept: Erstellung und Überprüfung DSGVO-konformer Konzepte für Fahrzeuge und Infrastruktur
• DSFA-Durchführung: Datenschutz-Folgenabschätzungen für Ticketing-Systeme, Videoüberwachung und Fahrgast-Apps
• Digitalisierungsbegleitung: Datenschutzkonforme Einführung neuer Systeme wie E-Ticketing, Echtzeitinformation und autonomes Fahren
• Mitarbeiterschulungen: Schulungen für Fahrpersonal, Sicherheitsdienst und Verwaltung zum Umgang mit Fahrgastdaten
• Kooperationsverträge: Gestaltung datenschutzkonformer Vereinbarungen innerhalb von Verkehrsverbünden
• Datenpannenmanagement: Sofortmaßnahmen bei Datenschutzvorfällen und Meldung an die Aufsichtsbehörde

Verwandte Branchen

Erfahren Sie mehr über Datenschutz in verwandten Branchen:

• Datenschutzbeauftragter für Logistik
• Datenschutzbeauftragter für Speditionen
• Datenschutzbeauftragter für Stadtwerke

• Datenschutz logistik
• Datenschutz energieversorger
• Datenschutz behörden

Häufig gestellte Fragen

Braucht mein Unternehmen einen Datenschutzbeauftragten?

Wenn mindestens 20 Personen ständig mit personenbezogenen Daten arbeiten, besondere Datenkategorien verarbeitet werden oder eine Datenschutz-Folgenabschätzung erforderlich ist, müssen Sie einen DSB bestellen.

Was kostet ein externer Datenschutzbeauftragter?

Bei der DATUREX GmbH beginnen die Kosten ab 250 €/Monat als Pauschale. Darin enthalten sind alle gesetzlichen Pflichtaufgaben, Schulungen und laufende Beratung. Alle Preise im Überblick →

Was passiert bei einem Datenschutzverstoß?

Bußgelder bis zu 20 Millionen Euro oder 4% des Jahresumsatzes drohen. Dazu kommen Reputationsschäden und mögliche Schadensersatzansprüche Betroffener.