RFID-Chips auf Festivals – Business as usual?

Immer mehr Festivals werden „cashless“ und setzen auf bargeldloses Bezahlen per im Festivalbändchen integriertem RFID-Chip. Neben den angepriesenen kürzeren Schlangen, weniger Wartezeit und der höheren Sicherheit bringt diese Methode den Festivalbetreiben vor allem eines: jede Menge Daten.

Foto: Brainbitch [CC BY-NC 2.0]

In den letzten Jahren zeigt sich ein Trend bei Musik-Festivals, Bezahlmethoden einzuführen, die auf die Eintrittsbändchen und darin integrierte Funk-Chips setzen. Die „radio-frequency identification“ (RFID) erlaubt die Übertragung von Daten via Funk im Nahbereich.

Das „Hurricane Festival“ wollte 2012 als erstes deutsches Festival die bargeldlose Bezahlung einführen, stoppte den Erstversuch aber kurz vor Beginn des Festivals. Der zweite Anlauf wurde 2015 unternommen, nur um 2016 aufgrund von technischen Problemen mit dem RFID-System wieder beerdigt zu werden.

Andere Festivals wie beispielsweise das „splash!“ oder das „Helene Beach“ nutzten das cashless-System jedoch auch in diesem Jahr. Das kleine Stückchen Plastik am Handgelenk soll vor allem Vorteile bieten: schnelles, bequemes Zahlen – keine unnötigen Taschen oder Geldbörsen. Nicht einmal eine Hosentasche braucht es mehr, um die ganze Nacht Bier und Co. zu konsumieren.

Nehmen wir als Beispiel das „Helene Beach“. Der Technologie-Partner, die Glownet Limited mit Sitz in London, stellt verschiedene technische Hilfsmittel zur Verfügung, unter anderem gPay für bargeldloses Bezahlen und gPass als „check-in and access control“-Tool.

Der Besucher kauft sich also ein Ticket für das Event, erstellt sich einen „Festival Account“ und kann dann das Bändchen im Voraus online mit Geld aufladen. Während des Festivals kann man per EC-Karte oder Bargeld weiteres Geld auf den Chip transferieren. Je nachdem, wie man es handhabt, erhalten die Veranstalter also im Regelfall die persönlichen Daten.

Foto: Anirudh Koul  [CC BY-NC 2.0]
Foto: Anirudh Koul
[CC BY-NC 2.0]

Das Festival beginnt, Essen und Getränke werden genossen: Der Chip sammelt nebenbei Informationen darüber, was der Festivalbesucher wann und wo konsumiert hat. Oder anders gesagt: Der Verlauf des vergangenen Abends, welcher am nächsten Morgen vielleicht nicht mehr für jeden vollkommen nachvollziehbar erscheint, ist detailgenau gespeichert.

Sollte am Ende des Spektakels noch Guthaben auf dem Bändchen verblieben sein, hat der Besucher die Möglichkeit, sich das Geld gegen eine Gebühr von einem Euro zurückerstatten zu lassen – vorausgesetzt, man gibt seine Kontodaten in das hierfür vorgesehene Onlineformular ein und somit an unbekannte Dritte weiter. Ist das Festival zuende, sind die Daten immernoch beim Veranstalter und auf dem Chip vorhanden.

Was passiert mit den gesammelten Daten?

Mit wem haben die Festivalbesucher jetzt eigentlich einen Vertrag geschlossen? Und das Datenschutzgesetz welchen Landes gilt eigentlich?

Aus den AGB des „Helene Beach“-Festivals geht hervor, dass ein Verhältnis zwischen der DG Helene Event GmbH und dem Festivalbesucher entsteht, sobald das Bändchen aufgeladen wird. Gleichzeitig gelten jedoch die Datenschutzbestimmungen der Glownet Limited, in denen sich unter anderem Folgendes findet:

5.2. Wir dürfen Ihre personenbezogenen Daten preisgeben:
5.2.1. an alle Tochterunternehmen oder dritte Parteien, wenn dies für die Erbringung einer von Ihnen über die Site bestellten Leistung, für die von Ihnen über die Site bestellte Lieferung eines Produktes oder für die Abrechnung eines über die Site abgeschlossenen Vertragsverhältnisses nötig ist; solche Leistungen oder Produkte dürfen von diesen Tochterunternehmen oder dritten Parteien zur Verfügung gestellt werden;
5.2.2. an den jeweiligen Veranstalter oder Zahlungsdiensteanbieter mit Bezug auf sämtliche Erstattungsanforderungen, die Sie über die Site tätigen.

Die oben genannten Daten sind für den elektronischen Zahlungsverkehr unabdingbar, wandern jedoch gegebenenfalls noch weiter als auf den ersten Blick ersichtlich ist. Auch die Einverständniserklärung enthält interessante Details:

Gegebenenfalls werden bestimmte Daten über Ihren Computer, Ihr Smartphone oder Ihren Tablet-PC (nachfolgend „Gerät“ bzw. „Geräte“) und deren Zusammenspiel mit anderen Geräten erhoben, gespeichert und verwendet (nachfolgend „Datennutzung“).

Die Datennutzung betrifft unter anderem die Identifikationsnummer, die IP-Adresse, den Standort, Inhalte, Spracheinstellungen, die IMEI-Nummer, die Marke, das Modell, den Batteriestand, das Hardwaremodell, die Betriebssystemversion, die SIM-Nummer, den Netzwerkanbieter, den Arbeitsspeicherstatus und geografische Informationen auf Grundlage der GPS/WiFi-Netzwerkposition Ihres Geräts bzw. Ihrer Geräte. Zusätzlich erheben wir auch Kontaktinformationen, die unter anderem Ihren Namen, Ihre Adresse, Ihre Telefonnummer, Ihre E-Mail-Adresse, Ihre Bankdaten für den Lastschrifteinzug (SEPA), Kreditkarteninformationen und andere Informationen einschließen, die zu Ihrer Identifizierung verwendet werden können.

Ein Großteil der oben genannten Daten sind nicht für den Zahlungsverkehr notwendig, der Sinn und Zweck ihrer Erhebung und Verarbeitung bleibt also schleierhaft.

Moderne Technik, aber sicher!

Aus welcher Entfernung man die Daten auslesen kann und wie diese gespeichert werden, hängt von der Art des Chips ab. Bei der einfachsten Variante der RFID-Technik werden die benötigten Daten einmalig auf dem Chip gespeichert und verbleiben dort. Der Nutzer des Armbands müsste also eigentlich nach Ende der Veranstaltung selbst dafür sorgen, dass der jeweilige Chip und somit die Daten zerstört werden.

Eine weitere Möglichkeit sind programmierbare Chips, welche die Daten nur für einen begrenzten Zeitraum speichern und danach selbsttätig überschreiben. Auch verschlüsselte Chips, für deren Auslesen eine Autorisierung notwendig ist, sind eine sichere Alternative.

Auf die Frage, wie lange die Daten des „Helene Beach“-Festivals auf den Bändchen gespeichert werden, erhielten wir keine Antwort. Anonyme Bezahlkarten werden vom Veranstalter nicht angeboten. Das „Helene Beach“-Festival erklärt gegenüber netzpolitik.org zu den Bezahlkarten:

Karten kann man aus dem Grund nicht verwenden, da wahrscheinlich jeder diese Karte verlieren würde. Die Bänder sind fest am Handgelenk platziert.

Der Selbsttest zeigt: Die Daten sind auch Wochen nach Ende des Festivals auf dem Chip (in diesem Fall vom Typ MIFARE Ultralight C) gespeichert und bei Auslesen mit dem Handy sichtbar. Der Pluspunkt: Im Klartext liegen die Daten dank Verschlüsselung (erstmal) nicht vor.

Foto: Das Innenleben des MIFARE Ultralight Remko van Dokkum  [CC BY 2.0]
Foto: Das Innenleben des MIFARE Ultralight Remko van Dokkum
[CC BY 2.0]

Ein Trend, der schon keiner mehr ist

Während manche Festivals wie beispielsweise das Summer Breeze Festival noch mit bargeldlosen Bezahlsystemen liebäugeln, kehren andere zu Münzen und Scheinen zurück, wie beispielsweise das Melt! Festival und das Lollapalooza Berlin. Dass Datenschutz und Überwachung auf Festivals immer häufiger zu einem Problem werden, zeigen verschiedene Beispiele:

  • Im Rahmen des Berlin-Festivals 2015 hatte die Landesdatenschutzbehörde von Berlin Bedenken am eingesetzten bargeldlosen Zahlungsverkehr geäußert. Bemängelt wurde unter anderem die Sicherheit der eingesetzten RFID-Chips, wie die Behörde gegenüber netzpolitik.org erklärte.
    Kritik, die möglicherweise Gehör gefunden hat, da alle drei genannten Festivals von der Hörmann Gruppe veranstaltet werden. Denn auch wenn das Berlin-Festival 2016 nicht stattfand, wurden auf den anderen beiden Events keine RFID-Chips mehr eingesetzt. Vielleicht lag es aber auch daran, dass die Technik anscheinend noch nicht ausgereift ist und eher mehr als weniger Schlangen entstehen.
  • Die englische Polizei hat das Download Festival 2015 in Leicestershire als Experimentierfeld für Massenüberwachung benutzt. Ohne ihr Wissen wurden die Festivalbesucher von einer strategischen Gesichtserkennungstechnologie erfasst, bevor die gescannten Daten mit einer Datenbank europäischer Straftäter verglichen wurde.
  • Das Fusion Festival hatte 2012 versucht, den illegalen Handel mit Tickets zu stoppen und eine Kartenlotterie eingeführt, an der man nur mit namentlicher Registrierung teilnehmen konnte, was den Veranstaltern eine tadelnde Erwähnung bei den Big Brother Awards einbrachte.

In jedem Falle gilt: Wer die vollständige Kontrolle über seine Daten behalten möchte, muss sich vorab informieren und entscheiden. Hat er erst einmal voller Vorfreude über den bevorstehenden Musikgenuss den Nutzungsbedingungen zugestimmt, ist es bereits zu spät.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

9 Ergänzungen

  1. das melt baut cashless zurück? das kann ich mir kaum vorstellen, habt ihr da ne quelle? das wurde doch 2015 erst eingeführt und die letzten beiden male als das beste seit geschnitten brot gepriesen. lange schlangen interessieren festivalveranstalter übrigens einen feuchten kehricht, vermarktungsoptionen hingegen gingen mit cash wieder verloren, mal ganz abgesehen davon, dass cashless aus sicht des veranstalters ein erheblich geringeres sicherheitsrisiko vor ort bedeutet.

      1. mh, k. hab ich trotz suche nicht gefunden und wiederspricht auch dieser aussage (http://meltfestival.de/celebrate-your-heroes/):

        „Auch das erfolgreich und reibungslos eingeführte Cashless-Bezahlsystem wurde diskutiert. “

        aber gut, die einmalige einführung hat zur konsequenz dass ich da trotz jahrelanger tradition leider nie wieder hinfahren kann, egal wie’s künftig sein wird. und was für’s melt gilt, gilt i.d.R. ja auch für’s splash und auch da war das 2015er fazit genauso „positiv“, scheint aber ebenfalls 2016 nicht mehr eingesetzt worden zu sein.

        das hurricane hingegen verzichtet augenscheinlich nur temporär:

        http://www.kreiszeitung.de/events/hurricane-festival-2016-ere653939/hurricane-veranstalter-bestaetigt-2016-wird-kein-bargeldloses-bezahlsystem-geben-5951708.html

        und so erwarte ich das auch bei allen anderen (großen) festivals (vom fusion mal abgesehen). am ende kann ich damit leben, fahr ich eben nicht mehr hin…

        1. Ich war dieses Jahr auf dem Melt und kann bestätigen, dass es 2016 (im Gegensatz zu 2015) kein Cashless System gab. Man musste alles bar zahlen.

  2. SUPER dann kann ich ja jetzt wieder, in der Schlange zum Bierstand , zu meiner Lieblingskapelle Headbangen. Das wird meinem Vordermann sicherlich freuen …

  3. Wer bei sowas mitmacht degradiert sich selbst, wenn auch unbewußt, zum Vieh. Ähnlich Facebook, Twitter, Google, die Menschen werden mittels ihrer Daten abkassiert und kontrolliert und machen noch ein Selfie. Wenn die Menschheit so weitermacht muss sie sich nicht wundern das sie in Zukunft im Ferch geahlten wird.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.