Titelthema Fahrgastinformation
Wir berichteten in der Vergangenheit ausführlich zum Thema VBB-Fahrcard und den damit verbundenen Fragen und Bedenken. Nach den bisherigen Informationsmaterialien und Stellungnahmen muss man mit Ernüchterung feststellen, dass sich kein einheitliches Bild abzeichnet. Seitens der Beteiligten, vor allem des VBB, wurden die aufgeworfenen Fragen nur zögerlich, teils mangelhaft und in hohem Maße widersprüchlich beantwortet.
20. Jun 2014
In ersten Gesprächen mit dem VBB war der Erkenntnisgehalt noch sehr überschaubar und unbefriedigend. Die Tatsache, dass es sich bei dem geplanten System um einen Datenschutzalptraum mit diversen Unbekannten handelt, wurde mit einem „Betrachten Sie das doch mal aus dem Bauch heraus.“ abgetan. Das Vorliegen personenbezogener Daten, die Möglichkeit der Erstellung von Bewegungsprofilen oder auch die mangelnde Transparenz der Prozesse wurden teils energisch bestritten. Es wurde lediglich auf die VBB-Infobroschüre verwiesen, deren Fehlerhaftigkeit bereits mehrmals erläutert wurde.
Ein Fragenkatalog zur allseitigen Erleuchtung wurde schließlich im März (nach 5 Monaten) beantwortet. Von einer vollständigen Erleuchtung kann wie selbstverständlich niemand ausgehen. Hinter teils sehr verklausulierten Formulierungen verstecken sich neue Fragen, aber auch Bestätigungen bereits geäußerter Vermutungen.
Während zu Beginn der Gespräche noch alle Daten durch den Kunden an zentralen Terminals kontrolliert werden konnten und die Verschlüsselung nur dem Schutz vor bösen Buben diente, sind jetzt „einige Datenfelder nicht verschlüsselt“.
„Der Kunde erhält hierbei nur die Informationen, die auch bisher von einem Papierabschnitt zu entnehmen waren.“ Die Transaktionsdatensätze (z. B. Kontrollen) mit Karten-ID (Person), Zeitpunkten und Linieninformationen sind doch auch vom Kunden einsehbar. Genau diese Daten sind also nicht verschlüsselt, obwohl es sich natürlich um personenbezogene Daten handelt. Mit einem geeigneten Smartphone kann bereits jetzt jeder die Karten auslesen, Herstellerapp sei dank. Der VBB nimmt das Thema Datenschutz und Sicherheit sehr ernst, deswegen sind alle Bestandteile des Systems hochgradig verschlüsselt und redundant. Nur die Kundendaten nicht. Ein Schelm wer dabei Böses denkt. Die Frage des Tages lautet nun: Was wird denn noch gespeichert und auch verschlüsselt? Sicher gehören dazu auch die zentralen/technischen Bestandteile der Applikation, was völlig verständlich ist. Aber wie sieht es mit anderen Daten, eventuell versteckten Daten, aus?
Am Anfang wurden auch keine Transaktionsdaten (Stichwort Bewegungsprofil) gespeichert (Aussage VBB), dann waren es nur die letzten beiden Transaktionen, dann 5 und letztendlich sind es 10.
Wie bereits berichtet verfügt die VDV-Kernapplikation über eine Vielzahl von Datenfeldern, deren Zweck nicht geklärt werden konnte. Der VBB sieht aktuell keine Bestrebungen, weitere Informationen über die Fahrcard zu erheben und verweist auf die vertragliche Bindung zum VDV bzw. seinen Unternehmen. Die Möglichkeit, später zusätzliche Datenfelder einzuführen, wird aber bewusst offen gelassen. Bleibt nur zu hoffen, dass sich die Datenfelder nicht ähnlich vermehren wie die Datensätze.
Zum Thema Datentransfer gibt es einen ebenso bunten Blumenstrauß an Verlautbarungen und Möglichkeiten. Aktuell finden diese Aktionen aufgrund der fehlenden Hintergrundsysteme wohl nicht statt. In Zukunft werden die Kontrolleure über die mobilen Kontrollgeräte sämtliche Transaktionen erfassen und auch weiterleiten. Bei der Übertragung ist der VBB sehr offen und überlässt einem die Wahl zwischen Dockingstation, WLAN und Mobilfunk. Drei sehr unterschiedliche Möglichkeiten mit teils sehr unterschiedlichen Sicherheitsmerkmalen und Gefahren. Inwieweit Zugriffsmöglichkeiten durch das Kontrollpersonal bestehen, lässt man lieber unbeantwortet. In jedem Fall bewegen sich dann unzählige mobile Datensammelstellen/Datenbanken durch das Verbundgebiet.
Aufgrund der zeitlichen Verzögerungen zwischen Erfassung, Auswertung und einer angekündigten Speicherdauer von 60 Tagen ergibt sich eine recht geringe Wahrscheinlichkeit, Inkonsistenzen rechtzeitig zu entdecken. Da ja weder Kartenclone noch sonstige kriminelle Nutzungsmöglichkeiten denkbar sind (Aussage VBB), scheint die Datensammelaktion doch unnötig zu sein. Andere Verwendungszwecke bestehen ja angeblich nicht.
Dafür sind aber erschreckend viele Systeme beteiligt: „Datenaustausche finden nur innerhalb der KA-Rollensysteme (AHS, KOSES, PVS, KVPS, DLS) sowie dem regionalen Vermittlungssystem des VBB (PRION) und der zentralen Vermittlungsstelle der VDV ETS KG statt.“
Bei so viel Kontroll- und Vermittlungssystemen kann einem schon schwindelig werden, zumal einem die Abkürzungen wenig Erleuchtung bescheren. Der ausgeschlossene Datenaustausch mit Dritten erscheint einem dann auch etwas gewagt bzw. gibt es bei so vielen Beteiligten wahrscheinlich keine „Dritten“ mehr. Diesbezüglich räumt der VBB in seinem Antwortschreiben ein, dass die Notwendigkeit der geplanten Erfassung erst noch durch die Datenschutzbeauftragten der Länder zu prüfen ist.
Wie nebulös die Informationslage beim Thema „Systeme“ ist, erschließt sich einem auch anhand der abweichenden Aussagen gegenüber dem Datenschutzbeauftragten des Landes Berlin und der Antwort auf eine kleine Anfrage im Berliner Abgeordnetenhaus.
Der VBB unterscheidet (wie auch der Berliner Datenschutzbeauftragte) in der „Kleinen Anfrage“ der Abgeordneten Katrin Vogel (CDU) vom 8. November 2013 (Antwort 14. Januar 2014) die Kontrollsysteme und das verbundweite Hintergrundsystem des VBB. Die Rede ist von zwei Systemen. Wenn aber nur Kontrollsysteme erforderlich sind, wozu dient dann das VBB-Hindergrundsystem? Zumal auch optische Sicherheitsmerkmale eingesetzt werden, was den Sinn dieser aufwendigen Systemlandschaft doppelt fragwürdig erscheinen lässt. Leider bleibt der VBB auch diese Antwort schuldig.
Eine weitere bemerkenswerte Antwort gibt der VBB zum Thema Kartendaten. Mit Verweis auf die VDV-Vertragsbestimmungen und die vorgegebene Datenstruktur wird eine nachträgliche Änderung oder Erweiterung durch die einzelnen Vertragsparteien (Verbund und Verkehrsunternehmen) ausgeschlossen. Ein genereller Verzicht auf nachträgliche Anpassungen ist damit nicht gemeint. Unter Berücksichtigung der bisherigen Erkenntnisse (vgl. auch SIGNAL 6/2013 – „E-Ticket beim Verkehrsverbund Rhein-Ruhr“) zum Thema Datenstruktur ergibt sich ein fast unbegrenzter Spielraum für potentielle Änderungen und Nutzungsmöglichkeiten.
Einen ersten Eindruck gab die Informationsbroschüre des VBB zum Thema VBB-Fahrcard. Unter dem Punkt Zusatzfunktionen wurden breit angelegte Kooperationen mit unterschiedlichsten Partnern in Aussicht gestellt. So viel zum Thema „kein Datenaustausch mit Dritten“.
Wenn man nicht mehr weiter weiß oder seine eigenen Schwächen verdecken möchte, führt jeder gern diverse ISO-Normen ins Feld. Jeder Arbeitnehmer kennt diese Vorgehensweise beim viel zitierten Qualitätsmanagement nach ISO-9001. Viel Papier, sehr ungenau und keine praktische Anwendung im Unternehmen. Auch der VBB versucht diese taktischen Manöver anzubringen. Die seitens des VBB (Signal Heft 6/2013 ) angeführten Normen trugen nicht zur Klärung bei.
Die genannten Standards (ISO 7816 und 14443) geben weder Auskunft über Sicherheitsaspekte der verwendeten Chiptechnologie noch räumen sie die im Raum stehenden Fragen aus. Zumindest beim Thema „Beschreiben der Karte“ gibt der VBB interessante Hinweise. So unterstützt die VBB-Fahrcard spezielle Kommandos der VDV-Kernapplikation und hat einen Speicherbedarf unter 8 kB in der derzeitigen Konfiguration.
Was sich nach detaillierten technischen Informationen anhört, liefert in Wirklichkeit keine eindeutigen Erkenntnisse. Vielmehr wird klar, dass die Applikation in keinem Fall abschließend ist und die derzeitige Einführung nur einen Zwischenstand darstellt. Zum angestrebten Ziel macht der VBB lediglich folgende Aussage:
„Zu einer Migration zu einer weiteren KA-Ausbaustufe 2b oder 3 gibt es bislang keine Willensbildung.“
Zur Erinnerung: Aktuell befindet sich der VBB in der Ausbaustufe 2a, d. h. Ausgabe der Fahrcard an alle Zeitkarteninhaber einschließlich Kontrollinstanzen.
In den folgenden Stufen werden Check-in/out-Systeme und ein vollständiges elektronisches Fahrgeldmanagement eingeführt. Mit anderen Worten verschwindet der Papierschein völlig, alle Kundenbewegungen werden erfasst und die Tarife bis hin zur streckengenauen Abrechnung umgestellt. Der VDV testet diese Ausbaustufen bereits in anderen Verkehrsverbünden.
Wenn nun also der VBB durch das Tal der Ahnungslosen schreiten möchte, wirkt dies eher wie ein sehr schlechtes Schauspiel.
Erfreulicherweise weckten die Berichte im SIGNAL das Interesse des Berliner Datenschutzbeauftragten Alexander Dix. Nach Gesprächen mit dem VBB wurde ein kurzer Leserbrief im SIGNAL 2/2014 veröffentlicht.
Leider ist der Informationsgehalt sehr gering und die Formulierung ausgesprochen vorsichtig. Auch der Datenschutzbeauftragte hält das derzeitige System für sicher, verweist jedoch auf potentielle negative Entwicklungen. Der VBB sei hier in der Pflicht, zukünftige Entwicklungen zu beobachten und zeitnah zu handeln, möglichst durch die Ausgabe neuer Karten und nicht durch Bewegungsprofile. Interessant ist an dieser Stelle wieder die Unterscheidung zwischen VDV-Kernapplikation (System) und VBB-Hintergrundsystem (Produktverantwortlichensystem der VBB GmbH). Während die VDV-Applikation mit den Datenschutzbeauftragten des Bundes und der Länder abgestimmt worden ist, scheint beim Hindergrundsystem und dem Austausch personenbezogener Daten noch Klärungsbedarf zu bestehen. Auch der Hinweis, dass ein spurloses Nutzen des öffentlichen Personennahverkehrs weiterhin möglich sein muss, verbessert das bestehende Unbehagen nicht. Das hier einzuführende System wurde offensichtlich ohne abschließende und eindeutige Planung beschlossen. Andernfalls wären Rückfragen zu technischen Details und Datenschutzaspekten nicht erforderlich.
Im Wesentlichen sind die Ausführungen des Berliner Datenschutzbeauftragten ebenso unpräzise wie die des VBB. Es entsteht der Eindruck, dass lediglich eine reine Dokumentensichtung auf Basis der VBB-Unterlagen stattgefunden hat. Eine Prüfung der Planung und der bereits bestehenden Systeme vor Ort oder gar eine permanente Beteiligung im Entwicklungsprozess ist nicht ersichtlich.
Abgesehen von der kleinen Anfrage wirken die Politiker und Fachverantwortlichen der Länder Berlin und Brandenburg bisher relativ teilnahmslos. Der VBB ist eine Schöpfung der Länder zur Verbesserung der Qualitätsstandards im öffentlichen Personennahverkehr und zur Einnahmenverteilung. Ein effizienter Umgang mit den bereitgestellten Finanzmitteln und ein Augenmerk auf die Kundenbelange sind zentraler Bestandteil des VBB. Daher liegt es im Interesse der jeweiligen Verantwortlichen, dass der VBB diese Aufgaben auch wahrnimmt. Ob die Fahrcard und die damit verbundenen Strukturen von dieser Aufgabenstellung gedeckt sind, müssen die Länder beantworten. Die Bürger bezahlen durch die Fahrpreise und die öffentlichen Zuschüsse schließlich doppelt. Betrachtet man die Zielsetzung des elektronischen Fahrgeldmanagements – Verbesserung der Einnahmesituation – so scheint die Zurückhaltung der Politik durchaus einen Sinn zu haben. Die eventuelle Entlastung der Landeshaushalte entbindet aber nicht von der Verantwortung zur Kontrolle und Steuerung.
Der öffentliche Personennahverkehr wird zu einem erheblichen Teil aus Steuergeldern finanziert. Um diesen Anteil zu vermindern, scheint jedes Mittel recht. Ob der Kunde dies nun durch steigende Fahrpreise (streckengenaue Abrechnung) oder mit seinen Daten bezahlt, scheint den Verantwortlichen relativ egal zu sein.
Wer seine Persönlichkeitsrechte wirksam schützen möchte, wird in folgedessen auf das private Auto, das Fahrrad oder das Taxi als Verkehrsmittel zurückgreifen müssen. Damit wird die Verkehrspolitik ad absurdum geführt und der Datenschutz auch zu einer Frage des Geldes. Nur wer Geld hat, kann sich Datenschutz leisten. Vielleicht wird aber auch der ÖPNV für den normalen Kunden unerschwinglich.
Letztendlich will es wieder keiner gewusst haben. Dem Fahrgast bleibt nur die Hoffnung, dass die Umsetzung ähnlich erfolgreich voranschreitet wie bei allen anderen Großprojekten.
Berliner Fahrgastverband IGEB
aus SIGNAL 3/2014 (Juni/Juli 2014), Seite 10-11