VBB im Gespräch
In ersten Gesprächen mit dem VBB war der Erkenntnisgehalt
noch sehr überschaubar und
unbefriedigend. Die Tatsache, dass es sich
bei dem geplanten System um einen Datenschutzalptraum
mit diversen Unbekannten
handelt, wurde mit einem „Betrachten Sie das
doch mal aus dem Bauch heraus.“ abgetan.
Das Vorliegen personenbezogener Daten, die
Möglichkeit der Erstellung von Bewegungsprofilen
oder auch die mangelnde Transparenz
der Prozesse wurden teils energisch bestritten.
Es wurde lediglich auf die VBB-Infobroschüre
verwiesen, deren Fehlerhaftigkeit bereits
mehrmals erläutert wurde.
Informationen Stück für Stück
Ein Fragenkatalog zur allseitigen Erleuchtung
wurde schließlich im März (nach 5 Monaten)
beantwortet. Von einer vollständigen Erleuchtung
kann wie selbstverständlich niemand
ausgehen. Hinter teils sehr verklausulierten
Formulierungen verstecken sich neue Fragen,
aber auch Bestätigungen bereits geäußerter
Vermutungen.
Während zu Beginn der Gespräche noch alle
Daten durch den Kunden an zentralen Terminals
kontrolliert werden konnten und die Verschlüsselung
nur dem Schutz vor bösen Buben
diente, sind jetzt „einige Datenfelder
nicht verschlüsselt“.
„Der Kunde erhält hierbei nur die Informationen,
die auch bisher von einem Papierabschnitt
zu entnehmen waren.“ Die Transaktionsdatensätze
(z. B. Kontrollen) mit Karten-ID (Person),
Zeitpunkten und Linieninformationen sind
doch auch vom Kunden einsehbar. Genau diese
Daten sind also nicht verschlüsselt, obwohl
es sich natürlich um personenbezogene Daten
handelt. Mit einem geeigneten Smartphone
kann bereits jetzt jeder die Karten auslesen,
Herstellerapp sei dank. Der VBB nimmt das
Thema Datenschutz und Sicherheit sehr ernst,
deswegen sind alle Bestandteile des Systems
hochgradig verschlüsselt und redundant. Nur
die Kundendaten nicht. Ein Schelm wer dabei
Böses denkt. Die Frage des Tages lautet nun:
Was wird denn noch gespeichert und auch
verschlüsselt? Sicher gehören dazu auch die
zentralen/technischen Bestandteile der Applikation,
was völlig verständlich ist. Aber wie
sieht es mit anderen Daten, eventuell versteckten
Daten, aus?
Am Anfang wurden auch keine Transaktionsdaten
(Stichwort Bewegungsprofil) gespeichert
(Aussage VBB), dann waren es nur
die letzten beiden Transaktionen, dann 5 und
letztendlich sind es 10.
Wie bereits berichtet verfügt die VDV-Kernapplikation
über eine Vielzahl von
Datenfeldern, deren Zweck nicht geklärt
werden konnte. Der VBB sieht aktuell keine
Bestrebungen, weitere Informationen über
die Fahrcard zu erheben und verweist auf die
vertragliche Bindung zum VDV bzw. seinen
Unternehmen. Die Möglichkeit, später zusätzliche
Datenfelder einzuführen, wird aber
bewusst offen gelassen. Bleibt nur zu hoffen,
dass sich die Datenfelder nicht ähnlich vermehren
wie die Datensätze.
Zum Thema Datentransfer gibt es einen
ebenso bunten Blumenstrauß an Verlautbarungen
und Möglichkeiten. Aktuell finden
diese Aktionen aufgrund der fehlenden Hintergrundsysteme
wohl nicht statt. In Zukunft
werden die Kontrolleure über die mobilen
Kontrollgeräte sämtliche Transaktionen erfassen
und auch weiterleiten. Bei der Übertragung
ist der VBB sehr offen und überlässt
einem die Wahl zwischen Dockingstation,
WLAN und Mobilfunk. Drei sehr unterschiedliche
Möglichkeiten mit teils sehr unterschiedlichen
Sicherheitsmerkmalen und Gefahren.
Inwieweit Zugriffsmöglichkeiten durch das
Kontrollpersonal bestehen, lässt man lieber
unbeantwortet. In jedem Fall bewegen sich
dann unzählige mobile Datensammelstellen/Datenbanken
durch das Verbundgebiet.
Aufgrund der zeitlichen Verzögerungen zwischen
Erfassung, Auswertung und einer angekündigten
Speicherdauer von 60 Tagen ergibt
sich eine recht geringe Wahrscheinlichkeit, Inkonsistenzen
rechtzeitig zu entdecken. Da ja
weder Kartenclone noch sonstige kriminelle
Nutzungsmöglichkeiten denkbar sind (Aussage
VBB), scheint die Datensammelaktion doch
unnötig zu sein. Andere Verwendungszwecke
bestehen ja angeblich nicht.
|
Diese Tabelle fasst die wichtige Positionen und bekannte Auskünfte zusammen. |
|
Dafür sind aber erschreckend viele Systeme
beteiligt: „Datenaustausche finden nur innerhalb
der KA-Rollensysteme (AHS, KOSES, PVS,
KVPS, DLS) sowie dem regionalen Vermittlungssystem
des VBB (PRION) und der zentralen
Vermittlungsstelle der VDV ETS KG statt.“
Bei so viel Kontroll- und Vermittlungssystemen
kann einem schon schwindelig werden,
zumal einem die Abkürzungen wenig Erleuchtung
bescheren. Der ausgeschlossene Datenaustausch
mit Dritten erscheint einem dann
auch etwas gewagt bzw. gibt es bei so vielen
Beteiligten wahrscheinlich keine „Dritten“
mehr. Diesbezüglich räumt der VBB in seinem
Antwortschreiben ein, dass die Notwendigkeit
der geplanten Erfassung erst noch durch die
Datenschutzbeauftragten der Länder zu prüfen
ist.
Wie nebulös die Informationslage beim
Thema „Systeme“ ist, erschließt sich einem
auch anhand der abweichenden Aussagen
gegenüber dem Datenschutzbeauftragten
des Landes Berlin und der Antwort auf eine
kleine Anfrage im Berliner Abgeordnetenhaus.
„Kleine Anfrage“ aus dem
Abgeordnetenhaus Berlin
Der VBB unterscheidet (wie auch der Berliner
Datenschutzbeauftragte) in der „Kleinen Anfrage“
der Abgeordneten Katrin Vogel (CDU) vom
8. November 2013 (Antwort 14. Januar 2014)
die Kontrollsysteme und das verbundweite
Hintergrundsystem des VBB. Die Rede ist von
zwei Systemen. Wenn aber nur Kontrollsysteme
erforderlich sind, wozu dient dann das
VBB-Hindergrundsystem? Zumal auch optische
Sicherheitsmerkmale eingesetzt werden,
was den Sinn dieser aufwendigen Systemlandschaft
doppelt fragwürdig erscheinen lässt. Leider
bleibt der VBB auch diese Antwort schuldig.
Eine weitere bemerkenswerte Antwort gibt
der VBB zum Thema Kartendaten. Mit Verweis
auf die VDV-Vertragsbestimmungen und die
vorgegebene Datenstruktur wird eine nachträgliche
Änderung oder Erweiterung durch
die einzelnen Vertragsparteien (Verbund
und Verkehrsunternehmen) ausgeschlossen.
Ein genereller Verzicht auf nachträgliche
Anpassungen ist damit nicht gemeint. Unter
Berücksichtigung der bisherigen Erkenntnisse
(vgl. auch SIGNAL 6/2013 – „E-Ticket beim
Verkehrsverbund Rhein-Ruhr“) zum Thema
Datenstruktur ergibt sich ein fast unbegrenzter
Spielraum für potentielle Änderungen und
Nutzungsmöglichkeiten.
Einen ersten Eindruck gab die Informationsbroschüre
des VBB zum Thema VBB-Fahrcard.
Unter dem Punkt Zusatzfunktionen wurden
breit angelegte Kooperationen mit unterschiedlichsten
Partnern in Aussicht gestellt.
So viel zum Thema „kein Datenaustausch mit
Dritten“.
ISO-Standards –
Schutzschild der Ahnungslosen
Wenn man nicht mehr weiter weiß oder seine
eigenen Schwächen verdecken möchte, führt
jeder gern diverse ISO-Normen ins Feld. Jeder
Arbeitnehmer kennt diese Vorgehensweise
beim viel zitierten Qualitätsmanagement
nach ISO-9001. Viel Papier, sehr ungenau und
keine praktische Anwendung im Unternehmen.
Auch der VBB versucht diese taktischen
Manöver anzubringen. Die seitens des
VBB (Signal Heft 6/2013 ) angeführten Normen trugen
nicht zur Klärung bei.
Die genannten Standards (ISO 7816 und
14443) geben weder Auskunft über Sicherheitsaspekte
der verwendeten Chiptechnologie
noch räumen sie die im Raum stehenden
Fragen aus. Zumindest beim Thema „Beschreiben
der Karte“ gibt der VBB interessante Hinweise.
So unterstützt die VBB-Fahrcard spezielle
Kommandos der VDV-Kernapplikation und
hat einen Speicherbedarf unter 8 kB in der
derzeitigen Konfiguration.
Was sich nach detaillierten technischen
Informationen anhört, liefert in Wirklichkeit
keine eindeutigen Erkenntnisse. Vielmehr
wird klar, dass die Applikation in keinem Fall
abschließend ist und die derzeitige Einführung
nur einen Zwischenstand darstellt. Zum angestrebten
Ziel macht der VBB lediglich folgende
Aussage:
„Zu einer Migration zu einer weiteren KA-Ausbaustufe
2b oder 3 gibt es bislang keine
Willensbildung.“
Zur Erinnerung: Aktuell befindet sich der
VBB in der Ausbaustufe 2a, d. h. Ausgabe der
Fahrcard an alle Zeitkarteninhaber einschließlich
Kontrollinstanzen.
In den folgenden Stufen werden Check-in/out-Systeme
und ein vollständiges elektronisches
Fahrgeldmanagement eingeführt. Mit
anderen Worten verschwindet der Papierschein
völlig, alle Kundenbewegungen werden
erfasst und die Tarife bis hin zur streckengenauen
Abrechnung umgestellt. Der VDV
testet diese Ausbaustufen bereits in anderen
Verkehrsverbünden.
Wenn nun also der VBB durch das Tal der Ahnungslosen
schreiten möchte, wirkt dies eher
wie ein sehr schlechtes Schauspiel.
Berliner Datenschutzbeauftragter
hakt nach
Erfreulicherweise weckten die Berichte im
SIGNAL
das Interesse des Berliner Datenschutzbeauftragten
Alexander Dix. Nach Gesprächen
mit dem VBB wurde ein kurzer Leserbrief im
SIGNAL 2/2014 veröffentlicht.
Leider ist der Informationsgehalt sehr gering
und die Formulierung ausgesprochen
vorsichtig. Auch der Datenschutzbeauftragte
hält das derzeitige System für sicher, verweist
jedoch auf potentielle negative Entwicklungen.
Der VBB sei hier in der Pflicht, zukünftige
Entwicklungen zu beobachten und zeitnah zu
handeln, möglichst durch die Ausgabe neuer
Karten und nicht durch Bewegungsprofile.
Interessant ist an dieser Stelle wieder die Unterscheidung
zwischen VDV-Kernapplikation
(System) und VBB-Hintergrundsystem (Produktverantwortlichensystem
der VBB GmbH).
Während die VDV-Applikation mit den Datenschutzbeauftragten
des Bundes und der Länder
abgestimmt worden ist, scheint beim Hindergrundsystem
und dem Austausch personenbezogener
Daten noch Klärungsbedarf zu
bestehen. Auch der Hinweis, dass ein spurloses
Nutzen des öffentlichen Personennahverkehrs
weiterhin möglich sein muss, verbessert das
bestehende Unbehagen nicht. Das hier einzuführende
System wurde offensichtlich ohne
abschließende und eindeutige Planung beschlossen.
Andernfalls wären Rückfragen zu
technischen Details und Datenschutzaspekten
nicht erforderlich.
Im Wesentlichen sind die Ausführungen
des Berliner Datenschutzbeauftragten ebenso
unpräzise wie die des VBB. Es entsteht der
Eindruck, dass lediglich eine reine Dokumentensichtung
auf Basis der VBB-Unterlagen
stattgefunden hat. Eine Prüfung der Planung
und der bereits bestehenden Systeme vor Ort
oder gar eine permanente Beteiligung im Entwicklungsprozess
ist nicht ersichtlich.
Ländersache
Abgesehen von der kleinen Anfrage wirken die
Politiker und Fachverantwortlichen der Länder
Berlin und Brandenburg bisher relativ teilnahmslos.
Der VBB ist eine Schöpfung der Länder
zur Verbesserung der Qualitätsstandards
im öffentlichen Personennahverkehr und zur
Einnahmenverteilung. Ein effizienter Umgang
mit den bereitgestellten Finanzmitteln und
ein Augenmerk auf die Kundenbelange sind
zentraler Bestandteil des VBB. Daher liegt es
im Interesse der jeweiligen Verantwortlichen,
dass der VBB diese Aufgaben auch wahrnimmt.
Ob die Fahrcard und die damit verbundenen
Strukturen von dieser Aufgabenstellung gedeckt
sind, müssen die Länder beantworten.
Die Bürger bezahlen durch die Fahrpreise
und die öffentlichen Zuschüsse schließlich
doppelt. Betrachtet man die Zielsetzung des
elektronischen Fahrgeldmanagements – Verbesserung
der Einnahmesituation – so scheint
die Zurückhaltung der Politik durchaus einen
Sinn zu haben. Die eventuelle Entlastung der
Landeshaushalte entbindet aber nicht von der
Verantwortung zur Kontrolle und Steuerung.
Zukunfsaussichten
Der öffentliche Personennahverkehr wird zu
einem erheblichen Teil aus Steuergeldern
finanziert. Um diesen Anteil zu vermindern,
scheint jedes Mittel recht. Ob der Kunde dies
nun durch steigende Fahrpreise (streckengenaue
Abrechnung) oder mit seinen Daten
bezahlt, scheint den Verantwortlichen relativ
egal zu sein.
Wer seine Persönlichkeitsrechte wirksam
schützen möchte, wird in folgedessen auf das
private Auto, das Fahrrad oder das Taxi als Verkehrsmittel
zurückgreifen müssen. Damit wird
die Verkehrspolitik ad absurdum geführt und
der Datenschutz auch zu einer Frage des Geldes.
Nur wer Geld hat, kann sich Datenschutz
leisten. Vielleicht wird aber auch der ÖPNV für
den normalen Kunden unerschwinglich.
Letztendlich will es wieder keiner gewusst
haben. Dem Fahrgast bleibt nur die Hoffnung,
dass die Umsetzung ähnlich erfolgreich voranschreitet
wie bei allen anderen Großprojekten.
Berliner Fahrgastverband IGEB
|