Fahrcard
Nun ist es raus: Wie von Datenschützern befürchtet und vom VBB dementiert, werden bei der VBB-Fahrcard, die hunderttausende Berliner und Brandenburger Abo-Kunden zwangsweise nutzen müssen, tatsächlich Bewegungsdaten gespeichert. Das fand der Berliner Fahrgastverband IGEB bei einem Praxistest heraus.
6. Jan 2016
Bereits 2012 begann die schrittweise Einführung der elektronischen Fahrkarte als Ersatz für den Papierfahrschein – zunächst für ausgewählt Abo-Kunden und dann schrittweise für alle Kunden mit Zeitkarten. Dabei wurde immer beschwichtigt, wenn Fragen zum Datenschutz aufkamen. Auch heute noch steht auf allen Webseiten und in alle Infobroschüren zu dem Thema:
„[…] Kann mein Verkehrsunternehmen oder der VBB nun alle meine Fahrten nachverfolgen?
Nein, es ist weder technisch noch organisatorisch möglich, sogenannte Bewegungsprofile auf der Karte oder im System zu speichern. [ ]“
sowie:
„[ ] Bei der Kontrolle wird Ihre persönliche Chipkartennummer nur gegen eine Sperrliste geprüft, um festzustellen, ob Ihre Fahrtberechtigung noch gültig ist. Es werden keine personenbezogenen Daten gespeichert. [ ]“
Bei den Kontrollen soll also nichts Personenbezogenes gespeichert werden. Diese Aussage müssen Kunden und Skeptiker einfach glauben. Denn die Möglichkeit, dies zu überprüfen, gibt es nicht – zumindest nicht ungefiltert. Denn:
„[…] Wie erfahre ich, was auf dem Chip gespeichert ist?
Sie können die Daten an speziellen Kundenterminals in allen BVG-Kundenzentren und BVG-Verkaufsstellen auslesen. Das Auslesen der fahrCard ist auch in den Kundenzentren der anderen teilnehmenden Verkehrsunternehmen möglich. […]”
Das haben wir ausprobiert. In mehreren Kundenzentren verschiedener Verkehrsunternehmen haben wir nachgefragt, was denn auf der Karte gespeichert sei. „Nur, was da steht!“ war immer die einheitliche Antwort. Wir fragten etwas genauer nach: „Sind vielleicht Standorte gespeichert? Oder Datum und Uhrzeit, wann ich kontrolliert wurde oder in einen Bus eingestiegen bin?“ Auch hier immer die eindeutige Antwort: „Natürlich nicht! Das wäre ja ein Bewegungsprofil. So etwas machen wir nicht.“
Der Kunde muss dem also Glauben schenken. Äußerst praktisch für den VBB und die Verkehrsunternehmen. Doch glücklicherweise gibt es inzwischen für alles eine App. „MyTraq“, so der Name eines Handyprogramms, erlaubt es jedem, mit dem eigenen Smartphone beliebige elektronische Fahrkarten auszulesen. Es wurde ursprünglich für das Kontrollpersonal entwickelt. Was diese App anzeigt, ist doch überraschend.
Die Kontrolldaten, die alle angeblich nicht existieren und die niemals gespeichert würden, kann man ganz deutlich schwarz auf weiß sehen. Datum und Uhrzeit sowie die Station, an der die Fahrcard an einem Kontrollgerät vorbeigeführt wurde, ergeben ein ganz klares Bewegungsprofil des Benutzers. Im Screenshot auf Seite 11 ist ein Beispiel zu sehen:
Hier sehen wir die letzten Transaktionen:
Die mit der Nummer 1 bis 4 sind alle vom
7. Dezember 2015 in zeitlich umgekehrter
Reihenfolge. Los geht´s um 11.53 Uhr.
Die „OrtNr“ verrät, dass man am Berliner
Alexanderplatz in den Bus gestiegen ist,
und zwar an der Bus-Haltestelle in der
Karl-Liebknecht-Straße. Etwa 50 Minuten
später dann der nächste Einstieg in einen
Bus am U-Bahnhof Turmstraße, genauer
an der Haltestelle in Alt-Moabit, wo die Linien
245, TXL (nur Richtung Alex) und die
dort endende 187 verkehren. Der Besitzer
der Fahrcard ist also am Alex in den TXL
gestiegen und dann am U-Bahnhof Turmstraße
nach einigen Minuten Aufenthalt in
den 245er Richtung Zoo umgestiegen, da
der nächste Kontrollpunkt am U-Bahnhof
Ernst-Reuter-Platz um 14.16 Uhr ist – also
etwa eine Stunde Aufenthalt am Standort
der Technischen Universität. Weitere 20 Minuten
später ist die Person dann am Zoo in
einen weiteren Bus umgestiegen. Da dies
der letzte Kontrollpunkt an diesem Tag war,
höchst wahrscheinlich in Richtung des Ausgangspunktes
Alexanderplatz.
Wenn das nach Definition des VBB kein Bewegungsprofil sein soll, was dann? Besonders erschreckend: Jeder, der diese Kontrollapp auf seinem Smartphone oder Tablet installiert hat, kann diese Daten auslesen – berührungslos, wie auch die Kontrollgeräte. Egal, ob nun bei Kollegen auf Arbeit, den eigenen Kindern, dem Ehepartner oder bei Wildfremden. Das kurze unauffällige Vorbeiführen des Handys an der Tasche oder dem Portemonnaie mit der Fahrcard darin genügt, und schon sind alle Daten überspielt. Später lässt sich die Fahrtbewegung anhand der Kontrolldaten ungestört nachverfolgen.
„[ ] Es ist weder technisch noch organisatorisch möglich, sogenannte Bewegungsprofile auf der Karte oder im System zu speichern. [ ]“
Diese noch immer vom VBB verbreitete Aussage ist damit ganz klar falsch. Es ist technisch möglich. Und nicht nur das! Es wird auch entgegen aller Verlautbarungen aktuell praktiziert.
Bereits 2013, als die IGEB das erste Mal auf diese technische Möglichkeit aufmerksam machte, lud der VBB zum persönlichen Gespräch ein. Alles wurde dementiert, den IGEB-Vertretern technisches Unwissen vorgeworfen. Der Projektleiter beim VBB widersprach allen Kritikpunkten. Es wäre technisch gar nicht möglich, dass solche Daten entstünden. Und selbst wenn, dann wären sie sicher.
Beides stimmt nicht. Auf der Karte ist nachweislich ein Bewegungsprofil gespeichert. Was im Hintergrundsystem passiert, können wir nicht einsehen. Die Infrastruktur, das Bewegungsprofil von jeder Kontrolle im Hintergrundsystem zu speichern, auf das Dritte Zugang besitzen, ist vorhanden. Es ist davon auszugehen, dass diese auch genutzt wird.
Die Frage ist jetzt: Wusste der VBB dies und hat die Kunden absichtlich belogen? Oder wusste er es nicht, wurde selber getäuscht und hat ein System eingeführt, das er weder versteht noch beherrscht? Die Fahrgäste erwarten jetzt jedenfalls eine Aufklärung. Und eine Reaktion des VBB, die zeigt, dass man die Panne ernst nimmt und entsprechende Konsequenzen zieht. Und wo ist eigentlich der Datenschutz-Beauftragte des Landes Berlin? (hm)
Berliner Fahrgastverband IGEB
aus SIGNAL 6/2015 (Dezember 2015/Januar 2016), Seite 10-11