Dieser Artikel stammt von Netzpolitik.org.Der Autor ist…
Bei der Kontrolle von Deutschlandtickets wird haltestellengenau gespeichert, welches Ticket wann kontrolliert oder eingelesen wurde. Recherchen von netzpolitik.org zeigen die massiven Datenschutzrisiken der personalisierten Fahrkarte.
Das Deutschlandticket auf einem Smartphone. – Alle Rechte vorbehalten IMAGO / Emmanuele ContiniSeit dem 1. Mai ist das Deutschland-Ticket hierzulande verfügbar. Die Nachfrage ist immens: Rund sieben Millionen Fahrgäste haben inzwischen ein Ticket-Abonnement gekauft, darunter sind zwei Millionen Neukunden, wie der Verband Deutscher Verkehrsunternehmen (VDV) am Montag in einer ersten Zwischenbilanz bekanntgab.
Anders als das erfolgreiche Vorgängermodell, das 9-Euro-Ticket, ist das Deutschlandticket mit 49 Euro pro Monat nicht nur deutlich teurer, sondern birgt – wegen des personalisierten Abo-Modells – Probleme beim Datenschutz. Denn es kann nicht anonym am Automaten gekauft und händisch mit einem Namen versehen werden.
Darüber hinaus ist für das Deutschlandticket eine Bezahlung mit Bankeinzug nötig, einen Offline-Verkauf gibt es nicht immer. Das schließt Menschen ohne Bankkonto und Menschen, die nicht ins Internet gehen, von der Nutzung aus.
Warum braucht es ein Abo-Modell?
Angesichts dessen wollten wir zunächst herausfinden, warum das Deutschlandticket ausschließlich als personalisiertes Abo-Modell und mit Bankeinzug auf den Markt gebracht wurde. Wir haben dafür das Bundesministerium für Digitales und Verkehr (BMDV), den VDV und die Deutsche Bahn angeschrieben.
Das Verkehrsministerium antwortete uns, dass das Deutschlandticket neue Reisende dauerhaft an den öffentlichen Personennahverkehr binden soll. Daher gäbe es ein Abo-Modell. Inwiefern ein Abo-Modell zu dauerhafter ÖPNV-Nutzung motiviert, erklärte das Ministerium nicht.
Der VDV antwortete auf unsere Anfrage, dass bereits heute rund 70 Prozent und damit die „überwiegende Mehrzahl der Fahrgäste im ÖPNV“ ein Abonnement hätten. Das habe sich für die Kund:innen und die Branche bewährt. Ein Verkauf ohne Abo käme die Verkehrsbetriebe sinngemäß teurer.
Die Deutsche Bahn hat unsere Fragen zu diesem Thema ignoriert.
„Verbraucherfalle Abo-Ticket“
Die Antworten zeigen eines deutlich: Offenkundig hat sich keiner der Anbieter im Vorfeld ausreichend Gedanken über die Folgen eines Abo-Modells gemacht. Denn bundesweit haben etwa 500.000 Menschen kein Bankkonto. Hinzu kommen bis zu 3,4 Millionen Menschen, die in Deutschland noch nie das Internet genutzt haben. Auch für sie wird es schwierig, an ein Deutschland-Ticket zu gelangen.
Das Verkehrsministerium sagte auf Nachfrage von netzpolitik.org zwar, dass der Erwerb des Deutschlandtickets ohne eigene Kontoverbindung möglich sei – allerdings nur, wenn der jeweilige Verkehrsverbund Guthabenkarten anbiete oder das Ticket erst nach Zahlungseingang ausgebe. Menschen ohne Bankkonto hängen damit aber von den Geschäftsbedingungen der einzelnen Verkehrsunternehmen ab – und schauen vermutlich oftmals in die Röhre.
Der Offline-Verkauf wird jedenfalls nicht überall angeboten. Laut eines „Marktchecks“ (PDF) der Verbraucherzentrale Bundesverband (vzbv) von Anfang April schließt ein Drittel der Anbieter die Möglichkeit explizit aus, das Deutschlandticket am Schalter zu erwerben; ein gutes Viertel erteilt dazu keine eindeutige Auskunft.
„Fahrgäste, die das Deutschlandticket online nicht kaufen können oder wollen, haben in diesen Fällen das Nachsehen“, so das Fazit des vzbv. Der Verband sieht das Deutschlandticket als „Verbraucherfalle“ und fordert: „Das Deutschlandticket muss einfach und flexibel für alle erwerbbar sein – und das auch ohne Smartphone oder Internet.“ Niemand dürfe ausgeschlossen werden.
Fahrscheinkontrollen werden im „nationalen Monitoring“ gespeichert
Haben die Kund:innen ein Deutschlandticket erstanden, taucht aber eine Reihe weitere Probleme auf. Denn die Personalisierung hat Folgen, vor allem mit Blick auf den Datenschutz.
Ein Artikel der Datenschutzinitiative freiheitsfoo.org hatte dies erstmals herausgestellt. Weitere Recherchen von netzpolitik.org belegen nun, dass bei jeder Fahrscheinkontrolle eines Deutschlandtickets die Uhrzeit und die Haltestelle digital gespeichert werden – zentral und zeitlich befristet in einer bundesweiten Datenbank.
Die VDV eTicket Service GmbH & Co. KG stellt für den Verband deutscher Verkehrsunternehmen den Standard für elektronische Tickets und die passende interoperable Software her. In einem Dokument (PDF) erläutert das Unternehmen sein Vorgehen.
Demnach soll es ein „nationales Monitoring“ geben, das die Nutzung des Deutschlandtickets auswertet. „Hierbei werden keine Kundendaten erfasst, sondern nur pseudonymisiert IDs, die dem PV [Produktverantwortlichen] eine Übersicht zur Grundgesamtheit aller Tickets und der Kontrollsituation geben“, heißt es in dem Dokument. Die Kundendaten selbst liegen beim jeweiligen Verkehrsunternehmen, bei dem Kund:innen ihre Ticket gekauft haben.
Zusammenführung der Daten technisch möglich
Der VDV erklärte gegenüber netzpolitik.org, dass bei dem nationalen Monitoring zunächst überprüft werde, ob das Ticket echt sei. Zusätzlich erfolge eine „Plausibilitätsprüfung“. Hierbei werden die zurückliegenden Kontrollen miteinander abgeglichen.
Laut dem VDV lasse sich so ermitteln, ob ein Ticket innerhalb kurzer Zeit in weit auseinanderliegenden Orten wie Hamburg und München genutzt wurde – und ob es sich damit möglicherweise um eine illegale Kopie handele. „Das Monitoring erkennt Fälschungen, Kopien, kompromittierte Schlüssel zu Ticketausgabe und liefert Daten für die Einnahmeaufteilung“, erklärt ein Sprecher des VDV gegenüber netzpolitik.org. Laut einem Bericht der Berliner Zeitung kommt es bei der Überprüfung aber zu massiven Problemen.
Mit Hilfe der pseudonymisierten ID werden dann nicht nur der Verkehrsverbund, der das Ticket verkauft hat, sondern auch für einen Zeitraum von maximal drei Monaten alle Fahrkartenkontrollen gespeichert – inklusive Uhrzeit und Haltestelle.
Weil das Deutschlandticket nur über ein personalisiertes Abo-Modell verfügbar ist, besteht damit prinzipiell die Gefahr, dass die pseudonymisierten IDs mit den Ticketkäufer:innen wieder in Verbindung gebracht werden können. Rein technisch ist diese Datenverknüpfung offenbar möglich, wie der VDV gegenüber netzpolitik.org erklärte. Allerdings sei sichergestellt, „dass Kundendaten und Kontrolltransaktionsdaten nur zum Zweck der Abrechnung, bzw. Reklamationsbearbeitung zusammengeführt werden dürfen“.
Die Haltestelle sind jeweils durchnummerierten Geosegmenten zugeordnet, haben aber noch eine eigene ID. – Alle Rechte vorbehalten Screenshot einer Präsentation des VDV
Datenschutzbehörden sind bislang außen vor
Es gibt noch ein weiteres Einfallstor, um die Tickets zu de-anonymisieren. Weil bei Fahrscheinkontrollen deren Zeitpunkt und die jeweilige Haltestellen-ID über einen längeren Zeitraum gespeichert werden, lassen auch diese Daten potentiell Rückschlüsse auf Personen zu.
Der VDV weist gegenüber netzpolitik.org zwar darauf hin, dass das Datum und der Ort der Kontrolle nach maximal drei Monaten gelöscht würden. Danach lägen den Verkehrsverbünden nur noch „Basisdaten“ ohne Geodaten vor. Doch wir wollten es genauer wissen und haben auch die Deutsche Bahn, das BMDV sowie den hessischen, den nordrhein-westfälischen und den Berliner Landesdatenschutzbeauftragten befragt.
Die Deutsche Bahn hat unsere Fragen zu Geodaten ausweichend oder gar nicht beantwortet. Die Hessische Datenschutzbehörde sieht das Projekt trotz des Firmensitzes der Deutschen Bahn in Frankfurt nicht in ihrer Zuständigkeit. Der Landesdatenschutzbeauftragte NRW war nach eigener Aussage nicht bei den Planungen zum Deutschlandticket eingebunden, obwohl die zuständige eTicket Deutschland in NRW sitzt. Und der Bundesdatenschutzbeauftragte gab ebenfalls an, nicht an den Planungen beteiligt gewesen zu sein.
Das Bundesverkehrsministerium hat erst nach mehrmaliger Nachfrage und nach Ablauf der Frist eine allgemein gehaltene Antwort geschickt, die sich in weiten Teilen an der Antwort auf eine Frage von Anke Domscheit-Berg vom 5. April orientiert. Laut Ministerium liegt die Zuständigkeit für die Definition des Einnahmeaufteilungsverfahrens bei den Ländern und wurde im Rahmen einer Arbeitsgruppe unter Beteiligung der Branche entwickelt. Eine Sprecherin des Verkehrsministeriums schrieb uns, dass bei dem Verfahren „keine personenbezogenen Daten erhoben oder verarbeitet“ würden. Für die Ausgabe und Kontrolle des Deutschlandtickets würden die Bedingungen des jeweiligen Verkehrsunternehmens gelten, eine Zuständigkeit des Bundes sei nicht gegeben.
Dabei hätte mehr Datenschutz dem Deutschlandticket gut getan. Während viele Verkehrsunternehmen tatsächlich die Haltestelle speichern, wird in Berlin und Brandenburg nach Drängen der Berliner Datenschutzbehörde nur die Tarifzone der Kontrolle gespeichert. Die Geodaten sind dann weniger genau und lassen somit weniger Rückschlüsse auf die Nutzer:innen zu. Die Anzahl der Daten hängt zudem von der Art der Kontrolle ab: Wenn ich nur sporadisch in der U-Bahn kontrolliert werde, ansteht eher kein genaues Bewegungsprofil. Muss ich allerdings jeden Tag mein Ticket im Bus beim Einstieg einlesen, kann man auch innerhalb von drei Monaten Rückschlüsse auf meine Bewegungen haben.
Geplante Zentralisierung verschärft das Problem
Das Datenschutzproblem könnte sich künftig noch verschärfen. Denn das bestehende „nationale Monitoring“ soll langfristig nicht der Einnahmeverteilung dienen. Darunter versteht man, vereinfacht gesagt, Ausgleichszahlungen. Sie beruhen auf dem Anteil der erworbenen Tickets und Personenkilometern in den einzelnen Verkehrsbünden und werden entsprechend unter den Verkehrsunternehmen verteilt.
Hintergrund ist, dass bestimmte Verkehrsunternehmen mehr Tickets verkaufen werden als andere. Zugleich fällt die Nutzung mancher Verkehrsverbände überproportional zu den von ihnen ausgegebenen Tickets aus. So könnten zum Beispiel mehr Menschen, die ein Ticket bei der Berliner BVG kaufen, im öffentlichen Nahverkehr des einwohnerschwachen, aber touristisch starken Mecklenburg-Vorpommern unterwegs sein. Solche überproportional beanspruchten Verkehrsunternehmen sollen „entschädigt“ werden, indem sie etwa mehr Einnahmen aus dem Verkauf des Deutschlandtickets erhalten.
Derzeit übernimmt der Staat die Ausgleichszahlungen an die einzelnen Verkehrsverbünde. Das „nationale Monitoring“ liefert laut dem VDV bislang nur Daten über die Grundgesamtheit aller ausgegeben Deutschlandtickets sowie Angaben darüber, welches Unternehmen wie viele dieser Tickets verkauft hat.
Dieses Verfahren soll in Zukunft durch ein System abgelöst werden, das alle Ausgabe- und Kontrolltransaktionen zentral abgleicht. Die Entwicklung dieses Systems erfolgt laut VDV allerdings nicht vor dem kommenden Jahr. Das künftige Verfahren, dessen Architektur noch nicht bekannt ist, stünde dann vor der datenschutzrechtlichen Herausforderung, dass es – quer durch hunderte Verkehrsverbünde hindurch – ein recht genaues Bild der mit dem Deutschlandticket getätigten Fahrten zeichnen muss. Eine Erstellung von Bewegungsprofilen wäre dann aller Voraussicht nach noch leichter möglich.
Vermeidbares Problem
So erfreulich der Boom ist, das Deutschlandticket birgt eine Vielzahl an Problemen – und zwar sowohl in sozialer als auch in datenschutzrechtlicher Hinsicht.
Diese Probleme wären vermeidbar gewesen. So wäre ein Ticket ohne Abo- und Kontozwang deutlich datensparsamer und würde darüber hinaus auch keine Menschen ausschließen. Und bei Fahrkartenkontrollen müssen bundesweit keine Haltestellen vermerkt werden, sondern für die Abrechnung reicht es aus, nur die größeren Tarifbereiche zu speichern – so wie es bereits in Berlin und Brandenburg der Fall ist. Damit ließe das Deutschlandticket auch keine genauen Rückschlüsse auf die Reisebewegungen einzelner Personen zu.
Verkehrsminister Volker Wissing hat das Deutschlandticket bei dessen Einführung als „echten Gamechanger für den ÖPNV“ gepriesen. Tatsächlich aber ist das Ticket auch ein Gamechanger beim Datenschutz. Denn mit ihm ist auch das Ende des anonymen Personennahverkehrs ein ordentliches Stück nähergerückt.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Zur Quelle wechseln
Zur CC-Lizenz für diesen Artikel
Author: Markus Reuter
