Mehr Komfort und Datenschutzbedenken...
Seit 1. Mai habhaft und heiß begehrt das Deutschlandticket. Das Deutschlandticket ist bundesweit gültig und ermöglicht deutschlandweite Fahrten im ÖPNV (Öffentlicher Personennahverkehr) und SPNV (Schienenpersonennahverkehr) aller teilnehmenden Verkehrsunternehmen und Verkehrsverbünde sowie im verbundfreien Raum.
Ausgenommen sind der Fernverkehr und Reisen erster Klasse. Anders als das Vorgängermodell, das 9-Euro-Ticket, ist das Deutschlandticket mit 49 Euro nicht nur wesentlich teurer, sondern wirft auch wegen des personalisierten Abonnement-Modells datenschutzrechtliche Probleme auf. Das Ticket kann nicht anonym an einem Automaten gekauft werden und anschließend mit einem Namen versehen werden. Das Deutschlandticket wird digital angeboten –also per App oder auf einer Chipkarte. In Ausnahmefällen können bis Ende des Jahres übergangsweise ein Papierticket mit QR-Code ausgeben werden. Die Bezahlung erfolgt monatlich per Bankeinzug. Laut Aussage der Bundesregierung bietet die Digitalisierung die Chance, die öffentlichen Verkehrsdienstleistungen für die Menschen attraktiver und passgenauer zu gestalten. Dazu werden die Fahrscheinkontrollen im nationalen Monitoring gespeichert. Bei jeder Fahrscheinkontrolle werden Uhrzeit und Haltestelle digital zeitlich befristet auf drei Monate in einer bundesweiten Datenbank gespeichert.
Die VDV eTicket Service GmbH & Co. KG stellt für den Verband deutscher Verkehrsunternehmen (VDV) den Standard für elektronische Tickets und die passende Software her. Das Unternehmen erläutert in einem Dokument sein Vorgehen: “Das Deutschlandticket macht erstmalig ein nationales PV-System (PV-Produktverantwortliche üblicherweise Verkehrsverbünde) notwendig. In diesem System laufen alle Ausgaben und Kontrolltransaktionen aller KVP (Kundenvertragspartner, das sind die Ticketverkäufer) und DL (Dienstleister, das sind die Beförderer und Kontrolleure) zusammen, so dass ein nationales Monitoring sichergestellt werden kann. Hierbei werden keine Kundendaten erfasst, sondern nur pseudonymisiert IDs, die dem PV eine Übersicht zur Grundgesamtheit aller Tickets und der Kontrollsituation geben. Beides erlaubt Aussagen darüber, ob das Gesamtsystem sicher ist und dient dazu Angriffs- und Manipulationsversuche zu erkennen und Gegenmaßnahmen zu ergreifen.“
Mit Hilfe der pseudonymisierten ID werden dann nicht nur der Verkehrsverbund, der das Ticket verkauft hat, sondern auch für einen Zeitraum von maximal drei Monaten alle Fahrkartenkontrollen mit Uhrzeit und Haltestelle gespeichert.
Gemäß Art 4 Nr.5 DSGVO ist „Pseudonymisierung“ die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet Uhrzeit und werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.
Und was ist mit Datenschutz?
Da das Deutschlandticket nur über ein personalisiertes Abonnement-Modell verfügbar ist, besteht damit prinzipiell die Gefahr, dass die pseudonymisierten IDs mit den Ticketkäufern wieder in Verbindung gebracht werden können. Rein technisch ist die Datenverknüpfung möglich. Der VDV versichert, dass sichergestellt ist, dass Kundendaten und Kontrolltransaktionsdaten nur zum Zweck der Abrechnung, bzw. Reklamationsbearbeitung zusammengeführt werden dürfen.
Aber auch weil bei Fahrscheinkontrollen der Zeitpunkt und die jeweilige Haltestellen-ID über einen längeren Zeitraum gespeichert werden, lassen auch diese Daten potentiell Rückschlüsse auf Personen zu. Wenn die Kontrollen nur sporadisch stattfinden, kann kein Bewegungsprotokoll erstellt werden, geschieht dies aber täglich beim Einlesen des Tickets beim Bus- oder U-Bahn-einstieg so kann man innerhalb von drei Monaten schon gute zuordenbare Bewegungsprofile erstellen.
In Berlin und Brandenburg wird daher auf Einschreiten der Landesdatenschutzbehörde nicht mehr die explizite Haltestelle sondern nur die Tarifzone eingespeichert.
Die Datenschutzproblematik wird sich in Zukunft noch verstärken, denn das System soll ab nächstem Jahr so umgestellt werden, dass alle Ausgabe- und Kontrolltransaktionen zentral abgeglichen werden. Das heißt ein zentrales Register das durch hunderte von Verkehrsverbünden hindurch ein ziemlich genaues Bild der mit dem Ticket getätigten Fahrten zeichnen kann. So wäre die Erstellung von Bewegungsprofilen noch leichter.
Unser Verkehrsminister Volker Wissing freut sich über den “Gamechanger” beim ÖPNV aber aus datenschutzrechtlicher Sicht sollten auch eine deutliche rote Linie vor der Fremdkontrolle gezogen werden. Wie viele personenbezogene Daten sind wirklich notwendig, um ein Verkehrsticket attraktiv und fälschungssicher zu gestalten? Muss es ein Abonnement mit Bankeinzug sein? Müssen genaue Fahrtzeiten und präzise Ortsangaben bei der Kontrolle gespeichert werden?
