Ungewollter Datenfluss

Hand aufs Herz – stellen Sie sich folgende Situation vor: Zu Ihnen als Geschäftsreiseverantwortlicher eines großen Unternehmens wäre vor einigen Wochen ein Key Account Manager einer Fluggesellschaft gekommen, um mit Ihnen die Konditionen des Rahmenvertrages für 2011/2012 für Rabatte von Flugreisen zu verhandeln. Er hätte Ihnen in einer nett aufgemachten Tabelle gezeigt, dass Sie und Ihre Mitarbeiter in letzter Zeit zu bestimmten Destinationen, zu bestimmten Preisen und mit bestimmten Zuschlägen geflogen sind. Hätten Sie ihm geglaubt? Erstmal nicht. Wenn Sie ihm aber gesagt hätten, Sie würden auf einer bestimmten Strecke nicht mehr als 275,00 Euro net fare zahlen und er Ihnen auf Ihren Kopf zugesagt hätte, dass er das kaum glaube, weil er wisse, dass Sie an die Konkurrenz 325,00 Euro bezahlt hätten und demnächst noch einige Hundert weitere Flüge zur Destination XYZ abzuwickeln hätten, wären Sie dann nicht schlagartig wach geworden und hätten sich gefragt, weshalb ihr Gesprächspartner so verdächtig gut über Ihre Reiseverhalten Bescheid weiß

Aber woher hat er seine Informationen? MIDT, Kreditkartentracking, BSP-Daten und einiges mehr machen dies möglich. Denn die Fluggesellschaften lassen sich sehr häufig in ihren Rahmenverträgen ausbedingen, dass Sie die Daten Ihrer ausgeflogenen Flugcoupons an Ihren Rahmenvertragspartner preisgeben müssen, einschließlich Daten der Konkurrenz.

Ende April 2011 schreckte eine Meldung die Geschäftsreisebranche auf, wonach das Bundeskartellamt derzeit gegen die Lufthansa wegen einer möglichen Verletzung des Kartellrechts ermittele, da sich diese die Wettbewerberdaten von anderen Fluggesellschaften über eine Zustimmung seitens der Kunden zur Weitergabe dieser Daten durch Computerreservierungssysteme (CRS), Reisebüros und Kreditkartengesellschaften übermitteln lasse. Der Vorwurf lautet, dass in den Rahmenvereinbarungen mit den Großkunden, in denen diese Rabatte (Incentives) für eine gewisse Laufzeit – zumeist für ein Jahr – bei dem Erwerb von Flugscheinen für Flüge eingeräumt würden, Klauseln enthalten seien, die die Lufthansa in die Lage versetzen würde, alles über das Reiseverhalten der Mitarbeiter der Unternehmen sowie über die Nutzung anderer Fluglinien zu erfahren.

Woher stammen diese Daten?
Die Daten, derer sich die Fluggesellschaften bedienen, stammen aus unterschiedlichen Quellen. Fluggesellschaften schließen Vereinbarungen mit Reisebüros ab, in denen sich diese verpflichten, Ihre mit dem Reisebüro ausgeflogenen Flugcoupons – einschließlich die der Konkurrenzairlines – an diese zu übermitteln; hierfür zahlen die Fluggesellschaften an die Reisebüros pro Flugschein.

Die Fluggesellschaften kaufen sich auch so genannte MIDT (Marketing Information Data Tapes). Es handelt sich hierbei um Daten von Computerreservierungssystemen, die lediglich aggregierte Buchungsdaten der CRS enthalten sollen, die häufig – entgegen den gesetzlicher Regelungen wie dem Code of Conduct (VO EG/80/2009 über den Verhaltenskodex in Bezug auf Reservierungssysteme) – zwar keine personenbezogenen Daten mehr enthalten, aber über so genannte IATA-Nummer oder Office-ID eine Identifizierung Ihres Unternehmens zulassen.

Flugreisen müssen gekauft und bezahlt werden. Die Abrechnungsdaten fließen vom Reisebüro an Kreditkartengesellschaften unter Beteiligung der IATA über den so genannten Bank Settlement Plan. Hiermit werden die Flugreisen abgerechnet und etwaige Flugpreise beim Interlining, bei dem mehrere Fluggesellschaften für verschiedene Teilstrecken verantwortlich sind, zwischen den Airlines verteilt. Diese Abrechnungsdaten, deren Anonymisierungs- und Aggregierungsgrad niemand so genau kennt, landen auf wundersame Weise bei einem System namens PaxIS, das außerordentlich lukrativ von der IATA vertrieben wird und die Fluggesellschaften gegen gutes Geld ebenfalls mit Marketingdaten versorgt.

Dann gibt es das Kreditkartentracking, das derzeit dem Bundeskartellamt ins Auge sticht und vor allem von der Lufthansa betrieben wird. Hier ist von Ihnen als Travel Manager dem Reisebüro zu gestatten, Nummern von Kreditkarten, mit denen Flugcoupons bezahlt wurden, an Ihre Rahmenvertrags-Fluggesellschaft zu liefern, einschließlich sämtlicher Flüge, die Sie über andere Fluggesellschaften im gleichen Zeitraum abgewickelt haben.

Weitere Datenquellen sind Data Consolidators wie Prism, die aufgrund eines Rahmenvertrages – vornehmlich mit US-amerikanischen Airlines – von Ihrem Reisebüro die vollen Buchungsdaten erhalten, die ebenfalls der Abrechnung der Rahmenverträge dienen und vor Weitergabe an die Airlines maskiert werden sollen. Data Consolidators sind aber gleichzeitig in dem Milliardenmarkt der MIDT-Daten tätig, so dass Ihre Daten vermutlich ebenfalls im allgemeinen Datenpool landen.

All diesen Datenquellen gemein ist, das sie ursprünglich aus CRS stammen und Ihrer Kontrolle weitgehend entzogen sind, obwohl es hierfür gesetzliche Grundlagen wie den Datenschutz, den Code of Conduct und das Recht des Unternehmens an eigenen Betriebs- und Geschäftsgeheimnissen gibt. Die aktuelle Diskussion mit beteiligten Reisebüros, Kreditkartengesellschaften und Fluggesellschaften zeigt ganz klar, dass keine große Bereitschaft besteht, an einer Aufklärung dieses sensiblen Bereichs mitzuwirken. Gerne beruft man sich im Gespräch auf vereinbarte Vertraulichkeitsregeln.

Warum ist die unkontrollierte Weitergabe von Daten aus Buchungssystemen problematisch?
• Buchungs- und Abrechnungsdaten sind zunächst personenbezogene Daten. Ein Reisebüro, bei dem Sie eine Reise buchen, das wiederum CRS einsetzt, verarbeitet die Daten im Auftrag Ihres Unternehmens gemäß § 11 BDSG (Bundesdatenschutzgesetzes). Hierbei haben Sie als Auftraggeber darauf zu achten, dass der Datenschutz eingehalten wird. Eine solche Kontrolle können Sie aber gar nicht ausüben, wenn Sie den Weg der Verarbeitung und das weitere Schicksal der Daten nicht kennen.

• Selbst wenn die Daten infolge einer Aggregierung nicht mehr als personenbezogene Daten im Sinne des BDSG eingestuft werden können, enthalten sie genügend Daten zur Identifizierung Ihres Unternehmens. Dies kann eine schwerwiegende Bedrohung Ihrer Unternehmenssicherheit darstellen, zurzeit eines der ganz heiß diskutierten Themen bei Unternehmenssicherheit und Werkschutz. Besonders kritisch wird es, wenn Reisemuster neue Geschäfte verraten, weil Destinationen angeflogen werden, in denen bestimmte Investitionen getätigt werden, die aus Internet und Wirtschaftspresse leicht recherchierbar sind. (Frage: Was verrät uns ein Reisemuster, wenn eine der weltgrößten Softwarefirmen plötzlich ein Joint Venture mit einem Handyhersteller eingeht?)

• Ihre Einkaufsstrategie wird torpediert, wenn plötzlich Ihre Fluggesellschaft genau Ihr Reiseverhalten einschließlich Ihres Einkaufsverhaltens bei ihrer Konkurrenz sowie deren Preise kennt.

• Last but not least: Sie können sich als modernes Unternehmen, das sich dem heutigen Standard der Corporate Governance und der Compliance unterwirft, schlechterdings nicht mehr erlauben, die Daten Ihrer Mitarbeiter und die über Ihr Unternehmen ruhigen Gewissens Dritten frei Haus zu liefern, ohne sich selbst ein genaues Bild über die Datenverarbeitung und die weitere Verwendung der Daten gemacht zu haben. Hierzu werden Sie vom BDSG, dem Arbeitnehmerdatenschutz sowie der Compliance gezwungen – spätestens dann, wenn Arbeitnehmervertreter Ihren Vorstand fragen, was mit den Daten geschieht.

Was können Sie dagegen tun?
• Einiges. Prüfen Sie sorgfältig den Rahmenvertrag in Bezug auf Datenlieferungen und weitere juristische Fallstricke. Lassen Sie sich von Ihrer Rechtsabteilung oder einem spezialisierten Rechtsanwalt hierbei unterstützen. Sind Sie in Bezug auf einzelne Datenlieferungsklauseln unsicher, informieren Sie Ihre Vorgesetzten, gegebenenfalls den Vorstand, Datenschutzbeauftragte, Unternehmenssicherheit und Compliance Officer. Werden Ihre Bedenken nicht gehört oder ernst genommen, machen Sie sich einen Vermerk oder lassen Sie sich eine Anweisung zum Abschluss des Vertrages erteilen.

• Verlangen Sie alternative Abrechnungsmethoden mit Verweis auf das Verfahren beim Bundeskartellamt, behalten Sie sich ein Sonderkündigungsrecht für den Fall vor, dass gewisse Klauseln als kartellrechtlich unzulässig erklärt werden. Verlangen Sie von Ihrem Reisebüro und Ihrer Kreditkartengesellschaften den positiven Nachweis – einschließlich einer vertraglichen Zusicherung –, dass die Datensätze, die vom Reisebüro an die Kreditkartengesellschaft geliefert werden, bezüglich etwaiger Office-IDs und/oder IATA-Nummern bei Implants eindeutig so aggregiert werden, dass Ihr Unternehmen nicht mehr re-identifiziert werden kann; Ihr gutes Recht nach Art. 7 Abs. 3 des Code of Conduct.

• Achten Sie bei Verträgen mit US-amerikanischen Fluggesellschaften darauf, dass über die Prism-Klausel nicht auch ihre europäischen Umsätze mitgeliefert werden.

Sie sind nicht mehr allein. Immer mehr Unternehmen verhalten sich den Verträgen gegenüber kritisch und versuchen, ihre Vorstellungen durchzusetzen – was durchaus im Einzelfall gelingt.

RA Dieter Koeve, Lehrbeauftragter FH Worms, FB Touristik/Verkehrswesen
Koeve + Koeve Rechtsanwälte PartG, Hessenring 120, 61348 Bad Homburg