Abo- und Clubkarten und Schließfach-Chips der Jenaer Bäder und Freizeit GmbH und die DSGVO

Anfrage an:
Stadtwerke Jena GmbH
Verwendete Gesetze:
Status dieser Anfrage:
Anfrage eingeschlafen
Frist:
9. Februar 2019 - 7 Monate, 2 Wochen her Wie wird das berechnet?
Zusammenfassung der Anfrage

Antrag nach dem ThürIFG/ThürUIG/VIG/DSGVO

Sehr geehrteAntragsteller/in

die Jenaer Bäder und Freizeit GmbH ist nach https://www.jena.de/fm/1727/Beteiligu... eine 100%ige Enkelin der Stadt Jena und deren BürgerInnen und übernimmt im Auftrag des Stadtrates wichtige Aufgaben der Daseinsvorsorge für alle Menschen in und um Jena. Hierdurch fallen Sie meiner Meinung nach nicht nur voll umfänglich unter das ThürIFG, IFG und IWG, sondern tragen auch im besonderen Maße eine Verantwortung Recht, Gesetz, soziale Verantwortung und unternehmerisches Handeln in Einklang zu bringen und hierbei als positives Beispiel für die gesamte Region zu dienen (Leuchtturmcharakter).

Vor geraumer Zeit haben die Stadtwerke Energie Jena-Pößneck GmbH eine Galaxsea-Abokarte für alle deren Kunden herausgebracht. Als Kunde erhält man vor Ort eine RFID- bzw. NFC-Karte mit der man sich ausweisen kann. Diese Karte ist personenbezogen und es werden auch Photos des jeweiligen Kunden erstellt und gespeichert. Nach https://www.tlfdi.de/mam/tlfdi/datens... sieht der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit in jeder Anwendung dieser Technologien ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen. Dieses Risiko ist um so schwerwiegender anzusehen, da das Informations- und Machtgefälle zwischen Unternehmen und Kunden bei diesen funkbasierten Technologien besonders groß ist.

Senden Sie mir deshalb bitte folgendes zu:

1) Informations- und Aufklärungsmaterial mit eindeutigen Hinweisen an Ihre Kunden, dass es sich bei den Abo- und Clubkarten, aber auch bei den Schließfach-Chips, um RFID- bzw. NFC-Karten handelt und wie der Kunde hiermit umzugehen hat um sein Recht auf informationelle Selbstbestimmung zu waren. Leider bin ich weder beim Beantragen (m)einer Abokarte, noch später im Internet, z.B. unter https://www.jenaer-baeder.de/fileadmi... hierzu fündig geworden.

2) Handbücher und Schulungsmaterial für Ihre Mitarbeiter zum datenschutzkonformen Umgang mit diesen Abo- und Clubkarten und Schließfach-Chips und Ihren Datenverarbeitungsystemen.

3) Eine vollständige Liste aller auf den Abo- und Clubkarten und Schließfach-Chips gespeicherten Daten und eine Erläuterung wie die Zuordnung einer Abo- und Clubkarte und eines Schließfach-Chips zu einem Kunden erfolgt. Wie wird sichergestellt, dass der Kunde mit der Person am Eingang des Schwimmbades übereinstimmt? Welche Rückschlüsse von einer Karte/einem Chip auf eine Person sind technisch möglich?

4) Eine vollständige Liste aller in Ihren Datenverarbeitungsanlagen gespeicherten personenbezogenen Kundendaten, insbesondere Fotos und Protokolldaten, z.B. wann ein Kunde das Schwimmbad oder die Sauna besucht und welche Käufe während seines Besuches auf dem Chip oder im Ihrem Datenverarbeitungssystem gespeichert werden.

5) Eine vollständige Auskunft über all _meine_ Daten nach Art. 15 DSGVO inkl. der Speicher und Verarbeitungszwecke, deren geplante Speicherdauer und die Kriterien für die Festlegung dieser Dauer. Die Herkunft dieser Daten, sofern Sie diese nicht selbst erhoben, sondern von Dritten oder anderen Firmen in der Unternehmensgruppe erhalten haben (siehe https://www.jenaer-baeder.de/fileadmi... ). Diese meine Daten sind natürlich auch weiterhin als _nicht öffentlich_ zu betrachten, auch wenn diese Anfrage via FragDenStaat gestellt wurde. Bitte senden Sie mir diese gesondert zu... all meine Kontaktdaten haben Sie ja bereits ;)

6) Eine Liste aller Dritten, welche vollständigen oder teilweisen Zugriff auf diese Daten haben. Empfänger bzw. Kategorien von Empfängern, die diese Daten bereits erhalten haben oder
künftig noch erhalten werden. Insbesondere sind hier Scoring-Unternehmen wie die SCHUFA gemeint und die Zeitpunkte, wann Sie Daten an diese übermitteln oder bei diesen abfragen.

7) Eine vollständige und umfassende Datenschutzfolgeabschätzung der verwendeten Technologien und aller Prozesse rund um die Abo- und Clubkarten und Schließfach-Chips nach DSGVO zzgl. ThürIFG auf Grund Ihrer Sonderstellung als informations- und transparenzpflichtiges Unternehmen und Enkelin der Stadt Jena und ihrer BürgerInnen.

8) Sollte eine automatisierte Entscheidungsfindung einschließlich Profiling und Tracking stattfinden bitte ich um aussagekräftige Informationen über die dabei involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen solcher Verfahren.

9) Falls Datenübermittlungen in Drittländer, auch Backups oder Anfragen zur Anreicherung Ihrer eigenen Kundendatensätze, stattfinden, bitte ich um eine vollständige Liste dieser Vorgänge zzgl. einer Informationen, welche Garantien jeweils gemäß Art. 46 DSGVO vorgesehen sind.

10) Unter https://www.jenaer-baeder.de/fileadmi... sprechen Sie von:
"Darüber hinaus erfolgt eine Verarbeitung von personenbezogenen Daten nur, wenn Sie hierin gemäß Art. 6 Abs. 1 Buchstabe a) DS-GVO eingewilligt haben. Eine erteilte Einwilligung kann jederzeit widerrufen werden. Dies gilt auch für den Widerruf von Einwilligungserklärungen, die vor der Geltung des DS-GVO erteilt wurden. Der Widerruf der
Einwilligung berührt allerdings nicht die Rechtmäßigkeit der bis zum Widerruf verarbeiteten Daten."
Solche Einwilligungen sind rechtlich allerdings nur wirksam, wenn Sie die Kunden vorher umfassend über Ihre Datenverarbeitung und die potentiellen Risiken und Folgen für den Kunden aufgeklärt haben, damit dieser überhaupt erst mal in die Lage versetzt wird eine informierte Einwilligung abgeben zu können. Im Moment kann ich dies bei Ihren Angebot nicht erkennen und gehe deshalb von mehreren Verstössen gegen die DSGVO aus. Ich bitte um Stellungnahme.

11) Welche Korrespondenz und Unterredungen/Treffen gibt es mit dem TLfDI zu dieser Thematik? Bitte senden Sie mir, sofern vorhanden, deren Stellungnahme hierzu und mögliche Protokolle zu. Welche weiteren Schritte und Treffen mit dem TLfDI sind z.B. im Zuge der DSGVO für die Zukunft geplant?

Dies ist ein Antrag auf Aktenauskunft nach § 4 Abs. 1 des Thüringer Informationsfreiheitsgesetzes (ThürIFG) sowie § 3 Thüringer Umweltinformationsgesetz (ThürUIG), soweit Umweltinformationen im Sinne des § 2 Abs. 3 ThürUIG betroffen sind, sowie § 1 des Gesetzes zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Informationen im Sinne des § 1 Abs. 1 VIG betroffen sind.

Sollte die Aktenauskunft wider Erwarten gebührenpflichtig sein, bitte ich Sie, mir dies vorab mitzuteilen und dabei die Höhe der Kosten anzugeben.

Ich verweise auf § 6 Abs. 3 ThürIFG/§ 3 Abs. 3 Satz 2 Nr. 1 ThürUIG/§ 4 Abs. 2 VIG und bitte Sie, mir die erbetenen Informationen unverzüglich, spätestens nach Ablauf eines Monats zugänglich zu machen.

Sollten Sie für diesen Antrag nicht zuständig sein, bitte ich Sie, ihn an die zuständige Behörde weiterzuleiten und mich darüber zu unterrichten. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an Dritte.

Ich möchte Sie um eine Antwort in elektronischer Form (E-Mail) und um eine Empfangsbestätigung bitten. Vielen Dank für Ihre Mühe!

Mit freundlichen Grüßen


Korrespondenz

  1. 05. Jan 2019
  2. 12. Jan
  3. 19. Jan
  4. 26. Jan
  5. 09. Feb 2019
Von
<< Anfragesteller/in >>
Betreff
Abo- und Clubkarten und Schließfach-Chips der Jenaer Bäder und Freizeit GmbH und die DSGVO [#35564]
Datum
5. Januar 2019 07:26
An
Stadtwerke Jena GmbH
Status
Warte auf Antwort — E-Mail wurde erfolgreich versendet.

Antrag nach dem ThürIFG/ThürUIG/VIG/DSGVO Sehr geehrte Damen und Herren, die Jenaer Bäder und Freizeit GmbH ist nach https://www.jena.de/fm/1727/Beteiligungen%20der%20Stadt%20Jena%202017.352578.pdf eine 100%ige Enkelin der Stadt Jena und deren BürgerInnen und übernimmt im Auftrag des Stadtrates wichtige Aufgaben der Daseinsvorsorge für alle Menschen in und um Jena. Hierdurch fallen Sie meiner Meinung nach nicht nur voll umfänglich unter das ThürIFG, IFG und IWG, sondern tragen auch im besonderen Maße eine Verantwortung Recht, Gesetz, soziale Verantwortung und unternehmerisches Handeln in Einklang zu bringen und hierbei als positives Beispiel für die gesamte Region zu dienen (Leuchtturmcharakter). Vor geraumer Zeit haben die Stadtwerke Energie Jena-Pößneck GmbH eine Galaxsea-Abokarte für alle deren Kunden herausgebracht. Als Kunde erhält man vor Ort eine RFID- bzw. NFC-Karte mit der man sich ausweisen kann. Diese Karte ist personenbezogen und es werden auch Photos des jeweiligen Kunden erstellt und gespeichert. Nach https://www.tlfdi.de/mam/tlfdi/datenschutz/dsfa_muss-liste_04_07_18.pdf sieht der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit in jeder Anwendung dieser Technologien ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen. Dieses Risiko ist um so schwerwiegender anzusehen, da das Informations- und Machtgefälle zwischen Unternehmen und Kunden bei diesen funkbasierten Technologien besonders groß ist. Senden Sie mir deshalb bitte folgendes zu: 1) Informations- und Aufklärungsmaterial mit eindeutigen Hinweisen an Ihre Kunden, dass es sich bei den Abo- und Clubkarten, aber auch bei den Schließfach-Chips, um RFID- bzw. NFC-Karten handelt und wie der Kunde hiermit umzugehen hat um sein Recht auf informationelle Selbstbestimmung zu waren. Leider bin ich weder beim Beantragen (m)einer Abokarte, noch später im Internet, z.B. unter https://www.jenaer-baeder.de/fileadmin/user_upload/Downloads/Informationsblatt_zur_Verwendung_Ihrer_Daten.pdf hierzu fündig geworden. 2) Handbücher und Schulungsmaterial für Ihre Mitarbeiter zum datenschutzkonformen Umgang mit diesen Abo- und Clubkarten und Schließfach-Chips und Ihren Datenverarbeitungsystemen. 3) Eine vollständige Liste aller auf den Abo- und Clubkarten und Schließfach-Chips gespeicherten Daten und eine Erläuterung wie die Zuordnung einer Abo- und Clubkarte und eines Schließfach-Chips zu einem Kunden erfolgt. Wie wird sichergestellt, dass der Kunde mit der Person am Eingang des Schwimmbades übereinstimmt? Welche Rückschlüsse von einer Karte/einem Chip auf eine Person sind technisch möglich? 4) Eine vollständige Liste aller in Ihren Datenverarbeitungsanlagen gespeicherten personenbezogenen Kundendaten, insbesondere Fotos und Protokolldaten, z.B. wann ein Kunde das Schwimmbad oder die Sauna besucht und welche Käufe während seines Besuches auf dem Chip oder im Ihrem Datenverarbeitungssystem gespeichert werden. 5) Eine vollständige Auskunft über all _meine_ Daten nach Art. 15 DSGVO inkl. der Speicher und Verarbeitungszwecke, deren geplante Speicherdauer und die Kriterien für die Festlegung dieser Dauer. Die Herkunft dieser Daten, sofern Sie diese nicht selbst erhoben, sondern von Dritten oder anderen Firmen in der Unternehmensgruppe erhalten haben (siehe https://www.jenaer-baeder.de/fileadmin/user_upload/Downloads/Informationsblatt_zur_Verwendung_Ihrer_Daten.pdf ). Diese meine Daten sind natürlich auch weiterhin als _nicht öffentlich_ zu betrachten, auch wenn diese Anfrage via FragDenStaat gestellt wurde. Bitte senden Sie mir diese gesondert zu... all meine Kontaktdaten haben Sie ja bereits ;) 6) Eine Liste aller Dritten, welche vollständigen oder teilweisen Zugriff auf diese Daten haben. Empfänger bzw. Kategorien von Empfängern, die diese Daten bereits erhalten haben oder künftig noch erhalten werden. Insbesondere sind hier Scoring-Unternehmen wie die SCHUFA gemeint und die Zeitpunkte, wann Sie Daten an diese übermitteln oder bei diesen abfragen. 7) Eine vollständige und umfassende Datenschutzfolgeabschätzung der verwendeten Technologien und aller Prozesse rund um die Abo- und Clubkarten und Schließfach-Chips nach DSGVO zzgl. ThürIFG auf Grund Ihrer Sonderstellung als informations- und transparenzpflichtiges Unternehmen und Enkelin der Stadt Jena und ihrer BürgerInnen. 8) Sollte eine automatisierte Entscheidungsfindung einschließlich Profiling und Tracking stattfinden bitte ich um aussagekräftige Informationen über die dabei involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen solcher Verfahren. 9) Falls Datenübermittlungen in Drittländer, auch Backups oder Anfragen zur Anreicherung Ihrer eigenen Kundendatensätze, stattfinden, bitte ich um eine vollständige Liste dieser Vorgänge zzgl. einer Informationen, welche Garantien jeweils gemäß Art. 46 DSGVO vorgesehen sind. 10) Unter https://www.jenaer-baeder.de/fileadmin/user_upload/Downloads/Informationsblatt_zur_Verwendung_Ihrer_Daten.pdf sprechen Sie von: "Darüber hinaus erfolgt eine Verarbeitung von personenbezogenen Daten nur, wenn Sie hierin gemäß Art. 6 Abs. 1 Buchstabe a) DS-GVO eingewilligt haben. Eine erteilte Einwilligung kann jederzeit widerrufen werden. Dies gilt auch für den Widerruf von Einwilligungserklärungen, die vor der Geltung des DS-GVO erteilt wurden. Der Widerruf der Einwilligung berührt allerdings nicht die Rechtmäßigkeit der bis zum Widerruf verarbeiteten Daten." Solche Einwilligungen sind rechtlich allerdings nur wirksam, wenn Sie die Kunden vorher umfassend über Ihre Datenverarbeitung und die potentiellen Risiken und Folgen für den Kunden aufgeklärt haben, damit dieser überhaupt erst mal in die Lage versetzt wird eine informierte Einwilligung abgeben zu können. Im Moment kann ich dies bei Ihren Angebot nicht erkennen und gehe deshalb von mehreren Verstössen gegen die DSGVO aus. Ich bitte um Stellungnahme. 11) Welche Korrespondenz und Unterredungen/Treffen gibt es mit dem TLfDI zu dieser Thematik? Bitte senden Sie mir, sofern vorhanden, deren Stellungnahme hierzu und mögliche Protokolle zu. Welche weiteren Schritte und Treffen mit dem TLfDI sind z.B. im Zuge der DSGVO für die Zukunft geplant? Dies ist ein Antrag auf Aktenauskunft nach § 4 Abs. 1 des Thüringer Informationsfreiheitsgesetzes (ThürIFG) sowie § 3 Thüringer Umweltinformationsgesetz (ThürUIG), soweit Umweltinformationen im Sinne des § 2 Abs. 3 ThürUIG betroffen sind, sowie § 1 des Gesetzes zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Informationen im Sinne des § 1 Abs. 1 VIG betroffen sind. Sollte die Aktenauskunft wider Erwarten gebührenpflichtig sein, bitte ich Sie, mir dies vorab mitzuteilen und dabei die Höhe der Kosten anzugeben. Ich verweise auf § 6 Abs. 3 ThürIFG/§ 3 Abs. 3 Satz 2 Nr. 1 ThürUIG/§ 4 Abs. 2 VIG und bitte Sie, mir die erbetenen Informationen unverzüglich, spätestens nach Ablauf eines Monats zugänglich zu machen. Sollten Sie für diesen Antrag nicht zuständig sein, bitte ich Sie, ihn an die zuständige Behörde weiterzuleiten und mich darüber zu unterrichten. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an Dritte. Ich möchte Sie um eine Antwort in elektronischer Form (E-Mail) und um eine Empfangsbestätigung bitten. Vielen Dank für Ihre Mühe! Mit freundlichen Grüßen
Antragsteller/in Antragsteller/in <<E-Mail-Adresse>> Postanschrift Antragsteller/in Antragsteller/in << Adresse entfernt >> << Adresse entfernt >>