Nicht egal: Berliner Verkehrsbetriebe spielen Datenschutz-Panne bei elektronischem Fahrausweis weiter herunter

Die elektronische Fahrkarte VBB-fahrCard des Verkehrsverbundes Berlin-Brandenburg (VBB) konnte entgegen offizieller Angaben Bewegungsprofile speichern, wie Ende 2015 bekannt wurde. Mit der Aufarbeitung und den nötigen Konsequenzen tut man sich jedoch schwer. Das zeigen erneut die Antworten der Berliner Verkehrsbetriebe (BVG) auf eine Schriftliche Anfrage des Piratenabgeordneten Gerwald Claus-Brunner, die der Berliner Senat übermittelte.

Die Kontrollgeräte für Fahrkarten in Bussen konnten bis zur Abschaltung der Funktion 2015 den Zeitpunkt der Prüfung, die Haltestellennummer und die Nummer des prüfenden Terminals auf die Karte schreiben. So ließen sich Bewegungsprofile erstellen, zumindest für die Nutzer von Nahverkehrsbussen. Dafür erhielt die BVG sogar den diesjährigen BigBrotherAward in der Kategorie Technik.

Die BVG verkaufte dieses Datenschutzproblem in einer vorangegangenen Anfrage der Piraten im Februar 2016 als „spezifikationskonform in das Testsystem implementierte“ Funktion, die jedoch nicht in Auftrag gegeben wurde. Diese Argumentation wird nun wiederholt, wie es dazu kommen konnte, erklärt die BVG nicht, auch wenn sie an der Entwicklung der fahrCard beteiligt war:

Sowohl die BVG als auch der VBB waren in Teilbereichen Entwicklungspartner bei der Gestaltung des Standards und haben umsetzungsbezogene Kompetenzen im Vorfeld aufgebaut.

In den Kosten für das fahrCard-Projekt, die sich für die BVG immerhin auf mittlerweile 7,2 Millionen Euro und den VBB auf 8,5 Millionen Euro summieren, sei die Implementierung der Funktion nie aufgetaucht. Im Lastenheft sei sie nicht gefordert gewesen.

Anfragesteller Claus-Brunner bedauert, dass die „BVG nicht die Chance wahrnimmt, hier reinen Tisch zu machen und dass sich der Senat wieder einmal um Antworten drückt“:

Ich würde ja gerne sagen, dass ich so ein Herumgedruckse schon lange nicht mehr gelesen habe, aber dafür habe ich einfach schon zu viele Antworten seitens des Senats erhalten. Sowohl die BVG als auch der VBB wussten nicht nur seit 2012, was die fahrCard kann, sondern waren auch an deren Entwicklung beteiligt, wie aus den Antworten auf die mitterweile drei Anfragen hervorgegangen ist. Die teils widersprüchlichen Antworten und der erneute Versuch, dem Hersteller den schwarzen Peter zuzuschieben, deutet für mich darauf hin, dass hier darüber hinweggetäuscht werden soll, dass die BVG dem Datenschutz bis dahin keine große Rolle haben zukommen lassen.

Wenn man der BVG glaubt, ist nun alles gut. Die Chips speichern keine Fahrttransaktionen mehr und die Betroffenen seien im Februar informiert worden, dass sie ihre bisher gespeicherten Daten an den Informationsterminals der BVG löschen können. Der Anfragesteller, selbst Inhaber einer fahrCard, sieht das anders, denn er persönlich wurde nicht in Kenntnis gesetzt. Laut BVG erfolgte die Information nicht persönlich, sondern „über alle öffentlichen Kanäle und die Internetseiten der BVG, S-Bahn Berlin und des VBB.“

Dann suggeriert die BVG, die Prüfung des Vorgangs durch die Datenschutzbeauftragten der Länder Berlin und Brandenburg abgeschlossen sei. Auf die Frage, wann die „datenschutzrechtlichen Aspekte gemeinsam mit dem Landesdatenschutz der Länder Berlin und Brandenburg untersucht“ werden behauptet man, die in der Antwort auf eine vorige Anfrage angekündigten Maßnahmen seien bereits erfolgt. Wir haben bei den Datenschutzbehörden Berlin und Brandenburg nachgefragt. Die Auskunft aus beiden Behörden: Die Prüfung ist noch nicht abgeschlossen, wenngleich weit fortgeschritten. Man habe „sehr überzeugend dargelegt“, dass der Fehler behoben sei. Leider hat die Glaubwürdigkeit solcher überzeugender Darlegungen gelitten, denn auch während die Datenspeicherung stattfand, beteuerte man, es sei „weder technisch noch organisatorisch möglich, Bewegungsprofile auf der Karte oder im System zu speichern.“ Beides hat sich – zumindest bis zur Abschaltung der Funktion – als Unwahrheit herausgestellt.

Die Berliner Datenschutzbeauftragte teilt außerdem mit:

Unabhängig von der noch andauernden Prüfung können wir Ihnen aber Folgendes mitteilen: Die VBB-fahrCard soll nur dem Nachweis dienen, dass der Kunde bzw. die Kundin über ein gültiges Abonnement verfügt. Da über die VBB-fahrCard keine streckenabhängige Tarifierung erfolgt, war die (unbeabsichtigte) Erfassung der Transaktionsdaten folglich für die Aufgabenerfüllung des VBB bzw. der beteiligten Verkehrsunternehmen nicht erforderlich und damit unzulässig.

Auf unsere Nachfrage bei der Berliner Datenschutzbeauftragten teilte man uns bereits im Februar mit, dass man der BVG noch weitere Ideen für mehr Datenschutz auf den Weg gegeben hat:

Wir haben zur Vermeidung erneuter Datenschutzrisiken zusätzlich angeregt, dass der Zugriff auf die gespeicherten Daten nur für das Kontrollpersonal und den Karteninhaber möglich sein soll, wahlweise durch Eingabe einer PIN, welche nur dem Kunden bekannt ist und von diesem auch selbst gewählt werden kann. Darüber hinaus haben wir vorgeschlagen, dass die Verkehrsunternehmen den Kunden die Chipkarten zusammen mit einer Metallhülle aushändigen (vergleichbar den Hüllen, welche Banken für EC- und Kreditkarten ausgeben), da durch eine metallene Hülle ein unbefugtes Auslesen wirksam verhindert wird.

Jetzt ist es an der BVG und den übrigen Verbänden, Datenschutz endlich ernst zu nehmen und zu handeln. Denn wenn das Thema weiter so heruntergespielt wird, ist es nur eine Frage der Zeit, bis wieder eine unbeauftragte Funktion ein Datenleck verursacht. Also: Datenschutz? Is nich‘ egal!