Die nach deinem Vorschlag zweite Kennung auf der Karte ist ja auch mit der Karte verknüpft, weil sie eben auf der Karte ist!
Eben, sie ist mit der *Karte* verknüpft, aber nicht mit der *Person*.
Und in Wien ist die Karte personengebunden, also bestünde hier auch eine 1:1-Beziehung zwischen Person und Karte.
Lies nochmal was ich geschrieben habe. Die Daten sind dann, und nur dann, personenbezogen, wenn die Kartennummer zusammen mit den persönlichen Daten des Besitzers ausgewertet wird. Wenn die Software zur Erstellung der Bewegungsprofile aber *nur* die Nummer (oder eine daraus mit einem nicht-reversiblen verfahren abgeleitete Kennung) kennt und auf die restlichen Daten keinen Zugriff hat, dann sind das eben *keine* persönlichen Daten. Da fährt halt Fahrgast 123456789 von Grinzing nach Simmering.
Das Herstellen der Beziehung "Fahrgast 123456789 = invisible" würde dann zumindest einen zusätzlichen Schritt erfordern, der wiederum Zugang zu den Kundendaten erfordern würde - womit den Anforderungen des Datenschutzes genüge getan ist (sofern dieser zweite Schritt eben entsprechend abgesichert ist).
Das ist so ähnlich wie z.B. bei der Section Control, wo ja auch das Kennzeichen erfasst wird, aus dem man genauso mit hinreichender Eindeutigkeit auf den Fahrer schließen könnte - wenn man Zugriff auf die Zulassungsdaten hätte, was die Rechner der SC eben nicht haben. Die Nummer allein nützt einem da recht wenig.
Nachtrag: vor einem ähnlichen Problem stehen auch Webseitenbetreiber, die Kundendaten erfassen. Nach EU-recht ist es z.B. nicht einfach so zulässig, dass personenbezogene Geschäftsdaten außerhalb der EU gespeichert werden. Das wird spätestens dann problematisch, wenn man seine Services z.B. in die Amazon-Cloud legt; da werden die Daten nämlich vollautomatisch dorthin verschoben, wo gerade genug Rechen- und Speicherkapazität vorhanden ist (und im Falle von Amazon kann das *irgendwo* sein, die betreiben ja weltweit zig Rechenzentren). Das kann man im Grunde auch nur so lösen, dass die tatsächlich personenbezogenen Daten eben *nicht* in der Cloud liegen (oder speziell als "nicht-verschiebbar" gekennzeichnet werden, was aber halt wieder dem Sinn der Cloud widerspricht), sondern nur eine Benutzerkennung.