Titelthema Sicherheit und Datenschutz

„Sammelt sie alle!”

Verkehrsunternehmen auf Datenfang im Internet


Berliner Fahrgastverband IGEB

30. Okt 2013

Persönliche Portale auf den Internetseiten der Verkehrsunternehmen bieten dem angemeldeten Kunden Mehrwerte. Und wollen dafür verdächtig viel wissen.

„Sie möchten per E-Mail über Störungen informiert werden? Dann teilen Sie uns doch Ihren vollen Namen, Ihre Adresse und Ihr Geburtsdatum mit!” Das erscheint wenig nachvollziehbar und lässt die hochtrabenden Datenschutzerklärungen wenig glaubwürdig erscheinen.

Datenschutz fängt nicht erst mit einer verschlüsselten Passwortspeicherung an. Vielmehr beginnt es bereits bei der Datenerhebung. Denn die sichersten Daten sind die,

ANZEIGE

die gar nicht erst entstehen. Dieses Prinzip nennt man Datensparsamkeit, und es nimmt in den Prioritäten des Datenschutzes den obersten Platz ein.

Doch das scheint einigen Verkehrsunternehmen eher fremd. Wer nur eine Störungsbenachrichtigung per E-Mail abonnieren möchte, sieht sich dafür unverhältnismäßig vielen äußerst persönlichen Fragen ausgesetzt. Betrachten wir die beiden Dienste im Einzelnen.

„Meine BVG“

Hinter der Registrierschranke auf der BVG-Website warten auf den Nutzer diverse Dienste. So kann man sich verschiedene E-Mail-Newsletter zuschicken lassen. Darunter befinden sich wichtige Verkehrsmeldungen für einzelne Linien und die besonders für Mobilitätseingeschränkte nützlichen Störungsmeldungen für Aufzüge. Zusätzlich gibt es unter dem Namen „Meine Augenblicke” auch noch eine rudimentäre Datingplattform.

Möchte man auf der BVG-Seite beispielsweise die E-Mail-Adresse für seinen Newsletter ändern, muss plötzlich ein Geburtsdatum für das persönliche Profil angegeben werden. www.bvg.de

Wollte man zum Start des Dienstes vor wenigen Jahren noch die volle Adresse und das Geburtsdatum wissen, begnügt man sich bei der BVG, nachdem es Kritik gab, inzwischen mit dem vollen Vor- und Zunamen als Pflichtfeld. Gründlich war man bei der Überarbeitung jedoch nicht. Will der Kunde sein Profil ändern, beispielsweise durch eine geänderte E-Mail-Adresse, fragt die Website wieder nach der Adresse und verlangt sogar die Eingabe eines Geburtsdatums.

Versucht man als Kunde nun herauszufinden, wozu dies erhoben wird, sitzt man etwas ratlos vor dem Bildschirm. Denn die BVG hat es versäumt, für den Dienst „Meine BVG” gesonderte detaillierte Nutzungs- und Datenschutzbestimmungen zu veröffentlichen.

Es gibt nur die allgemeinen Nutzungsbedingungen. Dort steht unter Punkt 7 Datenschutz nur:

„Die BVG beachtet die gesetzlichen Datenschutzbestimmungen. Daten der Nutzer werden vertraulich behandelt. Eine Weitergabe an Dritte erfolgt nur, soweit dies die Datenschutzbestimmungen gestatten oder der Nutzer hierin einwilligt.”

Das ist so unvollständig wie schwammig.

S-Bahn Berlin: „Mein B und ich”

Auch die S-Bahn fordert zu viel, selbst wenn man nur einen Newsletter bestellen will. www.s-bahn-berlin.de

Unter dem bemüht wirkenden Namen „Mein B und ich” bietet die Berliner S-Bahn personalisierte Newsletter, Rabatte, Gewinnspiele und die Fahrkarten-Abo-Verwaltung an, jedoch keine E-Mails zu akuten Störungen im Betriebsablauf oder gestörten Aufzügen. Die E-Mails zu Bauarbeiten lassen sich aber auf genutzte Linien und Linienabschnitte beschränken. Dafür möchte man bei der Registrierung dann ebenfalls gern den kompletten Namen und eine Alterseinstufung in Kind, Jugendlicher oder Erwachsener haben, was vermutlich der Aboverwaltung und den Gewinnspielen geschuldet ist und daher nachvollziehbar wirkt.

Die Datenschutzerklärungen sind vollständig und ausführlich. Es wird sogar ausdrücklich auf die Datensparsamkeit eingegangen. Dennoch: Auch hier sind unnötige Angaben auch dann verpflichtend, wenn man nur den E-Mail-Newsletter abonnieren möchte.

Fazit

Nimmt man den Datenschutz ernst, so dürfte man für Registrierungen zu E-Mail-Benachrichtigungen nur die Daten abfragen, die dazu nötig sind. Und das sind einzig und allein die E-Mail-Adressen. Beiden Unternehmen ist anzuraten, ihre Dienste dahingehend schleunigst zu überarbeiten.

Bis dahin bleibt dem Nutzer nur, entweder auf professionellen Umgang der Verkehrsunternehmen mit den Daten zu vertrauen oder sich besser nach alternativen Angeboten umzuschauen. Bei der ODEG genügt es beispielsweise, allein die E-Mail-Adresse anzugeben, um über Störungen informiert zu werden. Anonym, einfach, nutzerfreundlich.

Für informationssuchende Fahrgäste eignet sich jedenfalls folgender Grundsatz: Bei jeder Dateneingabe sollte man sich fragen, wozu jede einzelne Angabe benötigt wird und wofür sie missbraucht werden könnte. Im Zweifel ist es ratsamer, auf Abstand zu gehen. Wie gesagt: Die sichersten Daten sind die, die gar nicht erst entstehen. (hm)

Berliner Fahrgastverband IGEB

aus SIGNAL 5/2013 (November 2013), Seite 8