Ein Ticket ist nicht mehr nur ein Ticket

Das Faehrenticket wirkt einfach: Name, Ziel, Abfahrtszeit, Kabine oder Deck. In der digitalen Zeit ist jedes Ticket aber auch ein kleines Datenpaket. Es zeigt, wohin wir reisen, wann wir reisen, auf welche Weise, mit welchem Fahrzeug, gegebenenfalls mit welchem Haustier, und in manchen Faellen ist es mit Rabatten, Subventionen oder Sozialleistungen verbunden.

Die Stellungnahme 5/2026 der griechischen Datenschutzbehoerde zum neuen System fuer die Ausstellung von Faehrentickets legt genau dieses Thema auf den Tisch. Die Modernisierung des Seeverkehrs ist legitim. Die Datenerhebung muss aber einen klaren Zweck, Verhaeltnismaessigkeit, Sicherheit und Grenzen haben.

Was das neue System ist

Der Plan betrifft die Schaffung und den Betrieb eines integrierten Informationssystems fuer Platzbuchungen, Ausstellung von Passagiertickets, Belege fuer Fahrzeugtransporte und sonstige Belege des Seeverkehrs. Das System soll Daten von Passagieren, Saeuglingen, Fahrzeugen, grossen Haustieren und Gegenstaenden umfassen.

Einfach gesagt wollen Staat und beteiligte Stellen ein besser organisiertes digitales Umfeld fuer Faehrverbindungen. Das kann bei Sicherheit, Platzverwaltung, Identitaetspruefung, statistischer Verarbeitung und politischen Massnahmen wie dem Ausgleich der Insellagekosten helfen. Das Problem ist nicht die Digitalisierung. Das Problem ist, wie weit sie reicht.

Warum die Datenschutzbehoerde reagierte

Die Behoerde sagte nicht, das System sei als Idee nutzlos oder rechtswidrig. Sie erkannte legitime Zwecke des oeffentlichen Interesses an. Sie verlangte jedoch eine klarere Bestimmung der Verarbeitungszwecke, eine Begrenzung der erhobenen Daten, besondere Dokumentation fuer Nutzungen, die mit Praevention und Verfolgung von Straftaten verbunden sind, und eine erneute Pruefung der fuenfjaehrigen Aufbewahrung der Angaben.

Im GDPR ist der Grundsatz einfach: Daten werden nicht erhoben, weil sie vielleicht irgendwann nuetzlich sein koennten. Erhoben wird, was fuer einen bestimmten, rechtmaessigen und klaren Zweck erforderlich ist. Wenn die Zwecke zahlreich und unterschiedlich sind - Sicherheit der Schifffahrt, Statistik, Subventionen, Identitaetskontrolle, Praevention von Straftaten -, muss erklaert werden, welche Daten fuer welchen Zweck erforderlich sind.

Die Reise als sensibles Lebensmuster

Bewegungsdaten koennen mehr offenbaren, als sichtbar ist. Haeufige Fahrten zu einer bestimmten Insel koennen Arbeitsort, familiaere Beziehung, medizinische Notwendigkeit, Eigentum oder persoenliche Wahl anzeigen. Reisen an bestimmten Daten koennen mit politischer, religioeser oder gewerkschaftlicher Taetigkeit verbunden sein. Der Fahrzeugtransport sagt mehr ueber Identitaet und Gewohnheiten des Passagiers.

Das bedeutet nicht, dass all dies automatisch besondere Kategorien von Daten sind. Es bedeutet aber, dass die Sammlung und lange Speicherung von Bewegungsdaten Profile erzeugt. Und wenn ein Profil entsteht, darf der Schutz nicht bei allgemeinen Versicherungen stehen bleiben.

Selten, aber nuetzlich: Selbst das Haustier kann zum Datum werden

Ein Detail, das fast unbemerkt blieb, ist, dass das System auch Belege fuer grosse Haustiere abdeckt. Fuer die meisten Menschen wirkt das lustig oder belanglos. Im Datenschutz koennen aber selbst solche Informationen mit anderen Angaben kombiniert werden und ein Passagierprofil verstaerken.

Das Problem ist nicht, dass der Tiertransport verborgen werden muss. Das Schiff muss rechtmaessige und sichere Befoerderung organisieren. Das Problem ist, ob diese Information zentral gespeichert werden muss, wie lange, mit welchem Zugriff und fuer welche Zwecke ueber den Transport selbst hinaus.

Die fuenfjaehrige Aufbewahrung unter der Lupe

Die Aufbewahrungsdauer ist eines der kritischsten Elemente. Wenn ein Datum fuer den Abschluss der Reise erforderlich ist, endet der Bedarf vielleicht schnell. Wenn es fuer einen steuerlichen oder buchhalterischen Zweck gebraucht wird, kann laengere Aufbewahrung gerechtfertigt sein. Wenn es fuer Statistik erforderlich ist, koennen vielleicht Anonymisierung oder Pseudonymisierung genutzt werden.

Die Datenschutzbehoerde verlangt, dass die Dauer mit jedem Zweck verbunden wird. Das ist richtig. Es gibt nicht eine Zeit, die fuer alles passt. Fuenf Jahre koennen fuer bestimmte Angaben rechtmaessig und fuer andere uebermaessig sein. Das richtige System muss unterscheiden.

Wer antwortet, wenn etwas schiefgeht

Der entscheidende Punkt ist nicht, ob das Ticket einen Namen enthaelt. Entscheidend ist, wer bestimmt, was gesammelt wird, warum es gesammelt wird, wie lange es bleibt und wer es sehen kann. An einem System fuer Faehrbuchungen sind Staat, Hafenbehoerden, Unternehmen, Plattformen, technische Anbieter und moegliche Verbindungen zu anderen Datenbanken beteiligt. Wenn der Buerger nicht weiss, an wen er sich wenden muss, werden Zugangs-, Berichtigungs- oder Loeschungsrechte theoretisch.

Praktisch betrachtet: Ein Passagier reist haeufig auf eine Insel, weil er einen aelteren Elternteil betreut. Im Ticket erscheinen Daten, Haefen, Routen, Begleitpersonen, vielleicht Fahrzeug oder Haustier. Jedes Element allein wirkt harmlos. Zusammen und ueber Zeit koennen sie eine Lebenskarte bilden: wann jemand nicht zu Hause ist, welche Familie er besucht, ob er wegen Gesundheit, Arbeit oder persoenlicher Notwendigkeit reist.

Hier liegt der Kern der Stellungnahme und des GDPR: Ein Sicherheitsgrund reicht nicht aus. Der Grund muss konkret, erforderlich und verhaeltnismaessig sein. Es ist etwas anderes, Angaben fuer die Ticketausstellung und die Einstiegskontrolle zu halten, als sie jahrelang ohne klaren Zweck, klaren Zugriff, dokumentierte Notwendigkeit und echte Kontrollmoeglichkeit des Buergers aufzubewahren.

Was ein ernstes Gesetz vorsehen muss

Ein ernstes Gesetz muss zuerst das Ueberfluessige abschneiden. Es darf nur die Daten verlangen, die fuer die konkrete Phase der Reise erforderlich sind, und es muss die Zwecke trennen: Ticketausstellung, Sicherheit, Statistik, Kontrolle, Notfall. Nicht alles darf in dieselbe Schachtel gelegt werden, nur weil es administrativ bequem ist.

Zweitens muss es eine klare Aufbewahrungsdauer je Datenkategorie bestimmen. Fuenf Jahre koennen fuer eine einfache Reisespur uebermaessig sein und fuer einen anderen Zweck vielleicht unzureichend oder irrelevant. Die richtige Loesung ist nicht eine Zahl fuer alles, sondern Begruendung: warum dieses Datum, fuer diesen Zweck, fuer diese Zeit.

Drittens braucht es rollenbasierten Zugriff und eine Kontrollspur. Der Mitarbeiter, der ein Ticket ausstellt, ist nicht dasselbe wie die Hafenbehoerde in einem Vorfall oder der technische Anbieter. Jeder Zugriff muss eine Spur hinterlassen; sonst verwandelt sich Sicherheit leicht in allgemeine Ueberwachung ohne Rechenschaft.

Datenschutz wird verstaendlich, wenn der Leser sich selbst im Hafen sieht, mit dem Mobiltelefon in der Hand, und Angaben macht, an die er sich morgen vielleicht nicht einmal erinnert. Technologie macht den Verkehr schneller. Das Gesetz muss dafuer sorgen, dass er nicht undurchsichtiger wird.

Quellen und Pruefpunkte