Die SBB haben über Jahre hinweg heimlich Kundeninformationen gehortet und damit gegen das Datenschutzgesetz verstossen. Dies berichtet die «SonntagsZeitung». Das Ausmass ist enorm: Rund 250'000 Passagiere sind betroffen.

Der Eidgenössische Datenschützer (EDÖB) stellte im vergangenen Jahr anlässlich einer Kontrolle der SBB-Schwarzfahrerdatenbank fest, dass diese seit mehr als zwei Jahren registriert waren, was laut EDÖB unverhältnismässig ist. Insgesamt umfasste die Datenbank über eine halbe Million ÖV-Nutzer.

Auch Kunden mit gültigen Billett fichiert

Gegenüber der Öffentlichkeit beteuerten die SBB stets, dass sie die Daten von fichierten Billettsündern nach spätestens zwei Jahren automatisch löschen. Doch der Datenschützer stiess auf Kundeninformationen, die über zehn Jahre alt waren. Besonders pikant: Die SBB behielten sogar widerrechtlich Informationen von Kunden, die ein gültiges Billett besassen, es aber vergessen hatten.

Für den EDÖB ist der Fall klar: «Die lange Aufbewahrungsdauer verstösst gegen das Verhältnismässigkeitsprinzip und somit gegen das Datenschutzgesetz», sagt Sprecherin Eliane Schmid gegenüber der «SonntagsZeitung».

SBB-Sprecher Stephan Wehrle bestätigt, dass die SBB noch nie Kundendaten gelöscht haben. Er führt die langjährige Datenspeicherung auf Fehler im System zurück: «Wir hatten ein technisches Problem beim entsprechenden Tool, was leider erst spät bemerkt wurde.»

Der Bund will Löschfrist gesetzlich verankern

Wie spät, zeigt eine Notiz im aktuellen Jahresbericht des EDÖB. Demnach enthielt die Datenbank Kundenangaben, die bis ins Jahr 1999 zurückreichten.

Auf Druck des EDÖB haben die SBB jetzt reagiert. Die Verantwortlichen löschten laut eigenen Angaben sämtliche Daten, die älter als zwei Jahre sind. Gemäss Wehrle handelte es sich dabei um etwa die Hälfte aller gespeicherten Personen.

Der Fall rief auch das Bundesamt für Verkehr (BAV) auf den Plan. Die Aufsicht der SBB will auf Anraten des EDÖB eine zweijährige Aufbewahrungsfrist für Personendaten gesetzlich verankern. Dazu soll das Strassentransportunternehmens- und Verkehrsstrafrecht angepasst werden. Eine entsprechende Botschaft mit der Änderung wurde vom Bundesrat am 4. September beschlossen und ans Parlament geschickt. Demnach müssen die SBB künftig alle erledigten Fälle von Grau- und Schwarzfahrern nach zwei Jahren vollumfänglich löschen.

Keine rechtlichen Konsequenzen für SBB

Parallel dazu haben die SBB ein internes Konzept erstellt, das ebenfalls eine zweijährige Aufbewahrungsfrist festschreibt. Damit will der Bundesbetrieb ähnliche Datenskandale verhindern. Dank der schnellen Reaktion der SBB wird der Fall für die Bundesbahnen wohl keine rechtlichen Konsequenzen nach sich ziehen.