Beantwortung zur Anfrage
146/2016
Landeshauptstadt Stuttgart Stuttgart,
08/17/2016
Der Oberbürgermeister
GZ:
OB 8220 - 06.06
Beantwortung zur Anfrage
Stadträtinnen/Stadträte - Fraktionen
Fraktionsgemeinschaft SÖS-LINKE-PluS
Datum
05/04/2016
Betreff
Informationelle Selbstbestimmung und Datenschutz bei polygo sicherstellen
Anlagen
Text der Anfragen/ der Anträge
Beantwortung/ Stellungnahme:
1. Warum werden diese Daten erfasst und auf der Karte gespeichert?
Für die eTicket-Systeme in Deutschland wurde ein bundesweiter Standard, die VDV- Kernapplikation, entwickelt. Verantwortlich für die Entwicklung des Standards ist die eTicket- Servicegesellschaft (ets), die vom Verband Deutscher Verkehrsunternehmen getragen wird.
Die Verkehrsministerkonferenz von Bund und Ländern hat bereits 2008 beschlossen, eTicket-Projekte nur dann zu fördern, wenn der Standard der VDV-Kernapplikation eingehalten wird. Um die Kompatibilität des eTickets des VVS (polygoCard) deutschlandweit sicherzustellen, wurde auch in der Region Stuttgart die Anwendung des Standards der VVS-Kernapplikation als Anforderung definiert.
Dieser Standard sieht als Servicefunktion für die Kunden vor, dass auf der Chipkarte bis zu zehn Transaktionen gespeichert werden. Dabei handelt es sich in der Regel um so genannte Kontrollnachweise, die dem Entwertungsaufdruck auf einem Papierfahrschein entsprechen. Diese Speicherung ist sinnvoll für Tickets des Gelegenheitsverkehrs, damit der Kunde eine Übersicht über seine Kaufvorgänge erhält und seine Abrechnung nachvollziehen kann. Solche Tickets werden z. B. in den Nachbarräumen Heilbronn und Schwäbisch Hall auf der Chipkarte gespeichert. Die Tickets werden dort nicht im Voraus gekauft und bezahlt, sondern in einem Check-in-check-out-System erzeugt und im Nachhinein abgerechnet (so genannte EFM-Stufe 3). Dem Grundsatz der Datensparsamkeit ist dadurch Rechnung getragen, dass lediglich die letzten zehn Transaktionen gespeichert und die vorherigen überschrieben werden. Die datenschutzrechtlichen Aspekte sind nach Auskunft der ets mit dem Datenschutzbeauftragten des Bundes und der Länder abgestimmt.
Im VVS werden auf absehbare Zeit nur Zeittickets auf der polygoCard gespeichert (so genannte EFM-Stufe 2). Der VVS hält die im Standard der VDV-Kernapplikation vorgesehene Speicherung von Kontrollnachweisen auf der Chipkarte nicht zwingend für notwendig, wenn lediglich Zeitkarten als eTicket ausgegeben werden. Er ist daher derzeit mit der ets in Abstimmung über einen so genannten „Change Request“, also eine Anpassung des Standardverfahrens.
Bis zur Klärung dieses Sachverhalts hat der VVS die Verkehrsunternehmen im Verbundgebiet gebeten, auf eine Speicherung von Kontrollnachweisen zu verzichten. Bei den Kontrollen in den Schienenfahrzeugen über mobile Terminals sowie beim Vordereinstieg im Bus über Einstiegskontrollsysteme und Fahrscheindrucker werden daher im VVS – mit einer Ausnahme – keine Kontrollnachweise auf der Karte gespeichert. Die SSB und die DB hatten ohnehin keine Kontrollnachweise auf der Karte gespeichert, die regionalen Verkehrsunternehmen verzichten seit Februar 2016 darauf.
Die einzige Ausnahme ist begründet: Der Regiobus Stuttgart (RBS) fährt nicht nur im VVS, sondern auch in anderen Verbundräumen, unter anderem in Heilbronn und Schwäbisch Hall wo eine Speicherung der Kontrollnachweise auf der Karte sinnvoll und ausdrücklich erwünscht ist. Seine Busse werden verbundübergreifend eingesetzt. Die Speicherung der Kontrollnachweise entspricht außerdem – wie oben ausgeführt – dem bundesweiten Standard. Insoweit ist das Vorgehen des RBS nicht zu beanstanden.
Im VVS werden keine Bewegungsprofile erfasst. Eine Kontrolle findet im Schienenverkehr ohnehin nur stichprobenweise statt (der Kontrollgrad beträgt zwischen 1% und 3%). Beim Vordereinstieg im Bus kann in den Hauptverkehrszeiten auch nicht jedes Ticket elektronisch kontrolliert werden. Ein Ausstieg wird ebenfalls nicht erfasst. Die Daten wären daher selbst bei vollständiger Speicherung aller Kontrollnachweise für die Erstellung von Bewegungsprofilen nicht verwertbar. Bei dieser Datenlage ist es auch nicht möglich, die Daten in anonymisierter Form für Planungszwecke zu verwenden.
Abotyp, Gültigkeit und der verfremdete Name werden auf der Karte gespeichert zur Ticketkontrolle, zur Kontrolle beim Einstieg in Busse und zur Information der Kunden, welches Ticket auf seiner Karte gespeichert ist (durch Auslesen am Automaten).
2. Wie beurteilt die SSB diese Datenerfassung aus datenschutzrechtlicher Sicht und in Bezug auf das Grundrecht auf informationelle Selbstbestimmung?
Die SSB speichert keine Kontrollnachweise auf der polygoCard. Es sind lediglich wie unter Frage 1 erläutert der Abotyp, die Gültigkeit und der verfremdete Name des Kunden auf der Karte gespeichert, jedoch ist beim Auslesen der Daten der tatsächliche Name des Ticketinhabers nicht erkennbar/feststellbar. Die Möglichkeit zur Auslesung der Ticketdaten bei der Einstiegskontrolle stellt ein berechtigtes Interesse der SSB (und aller anderen Verkehrsunternehmen) dar gemäß 28 Abs. 1 Nr. 2 BDSG. Für den Kunden wird durch die Auslesemöglicheit der Ticketdaten zudem Transparenz geschaffen.
3. Warum ist nur von „Lesegeräten“ die Rede, obwohl diese auch auf die polygoCard Daten schreiben?
Bei den eTicket-Systemen in Deutschland werden zu Kontrollzwecken mobile Terminals, Einstiegskontrollsysteme und Fahrscheindrucker verwendet, die die Karten auslesen und auf ihre räumliche und zeitliche Gültigkeit prüfen können. Diese Geräte können auch Berechtigungen und Kontrollnachweise auf die Karte schreiben. Der Begriff des Lesegerätes hat sich allgemein einbürgert, obwohl die Geräte eine Lese- und Schreibfunktionalität aufweisen.
4. Warum kann jedermann ohne Authentifizierung oder technische Hürden polygoCards auslesen?
Die polygoCard löst sukzessive den Verbundpass mit Wertmarke ab. Auf diesem waren bisher in Klarschrift die Kundenstammdaten und die Produktinformationen lesbar.
Die Information, welches Ticket mit welcher Gültigkeit auf der polygoCard gespeichert ist, soll für den Kunden auch beim eTicket so einfach wie möglich zugänglich sein. Durch die Verfremdung des Kundennamens ist beim Auslesen der Karte kein Rückschluss auf den tatsächlichen Kunden möglich.
Wie in den Antworten auf Frage 1 und 2 beschrieben, werden Kontrollnachweise derzeit von der SSB nicht gespeichert.
5. Werden diese oder ähnliche Daten auch in den Lesegeräten oder zentral gespeichert? Wenn ja, welche Daten werden erfasst, wer hat auf diese Zugriff und auf welche Dauer werden sie gespeichert?
Die Kontrollnachweise können grundsätzlich in den Prüfgeräten oder in Hintergrundsystemen der Verkehrsunternehmen gespeichert werden. Dies erfolgt im VVS jedoch nicht, bis auf die Ausnahme beim RBS. Nach dem Standard der VDV-Kernappli-kation muss jedoch die Löschung der Daten von jedem Systembetreiber garantiert werden. Im VVS findet keine personenbezogene Auswertung von irgendwelchen in Zusammenhang mit den eTicket-Systemen erfassten Daten statt.
Nach dem Sicherheitskonzept der VDV-Kernapplikation ist es vorgesehen, Kontrolldatensätze in anonymisierter Form an das Produktverantwortlichen-System (PVS) weiterzuleiten, um Angriffe auf das eTicket-System erkennen zu können. „Produktverantwortlicher“ im Rollenmodell der VDV-Kernapplikation ist der VVS. Das PVS namens „VIP-BW“ wird von der Nahverkehrsgesellschaft Baden-Württemberg zentral für alle eTicket-Systeme in Baden-Württemberg betrieben. Diese Daten müssen nach den Datenschutzregelungen des VVS spätestens nach 72 Stunden gelöscht werden. Da sich das System erst noch im Aufbau befindet, erfolgt die Weiterleitung an das PVS derzeit noch nicht.
6. Ist es technisch möglich diese Datenerfassung (das Schreiben auf die Karte) zu deaktivieren?
Es ist technisch möglich, das Schreiben auf die Karte nach dem Standard der VDV-Kernapplikation zu deaktivieren. Allerdings – wie unter Punkt 1 ausgeführt - nicht vorgesehen.
7. Ist die Deaktivierung der Datenerfassung geplant oder bereits in der Umsetzung?
Wie unter Punkt 1 ausgeführt, wird bis auf Weiteres auf die Speicherung der Kontrollnachweise auf der Chipkarte bei allen Verkehrsunternehmen im VVS verzichtet, mit der begründeten Ausnahme des RBS.
8. Welche der gespeicherten Informationen werden an die polygoCard-Projektpartner weitergegeben?
Es werden keine Kontrollnachweise an „kommerzielle“ Projektpartner weitergeleitet.
Fritz Kuhn
zum Seitenanfang