Aachen: E-Ticket: Hersteller sieht überhaupt kein Problem

Aachen : E-Ticket: Hersteller sieht überhaupt kein Problem

Datenleck oder alles im Lot? Bei den neuen E-Tickets der Aseag gehen die Meinungen auseinander. Während die Aachener Piraten vor der Datensammelwut warnen, bestreitet die E-Ticket Servicegesellschaft des Verbands Deutscher Verkehrsunternehmen (VDV), dass es ein Problem mit dem Datenschutz gebe.

Der Sprecher der Landesdatenschutzbeauftragten NRW erklärt unterdessen, dass man bereits seit 2017 mit einer „konkreten Überprüfung“ der Aseag befasst sei, aber noch kein Endergebnis vorliege. Die Aseag selbst erklärt hingegen, dass man die Kunden ausführlich informiere, und dass die Sicherheitsstandards in der Verantwortung des VDV liegen.

Kundenservice oder Datenpanne? Darüber, dass Daten auf den E-Tickets teilweise unverschlüsselt vorliegen, ärgern sich die Aachener Piraten. Foto: Krömer

Der Sprecher der NRW-Landesdatenbeauftragten, Daniel Strunk, bestätigt, dass die Piraten sich gemeldet haben, weil sie in den unverschlüsselten Daten auf den neuen E-Tickets der Aseag einen Verstoß gegen das Prinzip der Datensparsamkeit sehen.

Eine Antwort auf die Frage aus Aachen hat er jedoch noch nicht. Da es sich um ein „komplexes technisches Verfahren“ handle, mit dem sich die Datenschützer im Übrigen schon seit dem vergangenen Jahr befassen, könne man den Vorfall noch nicht abschließend bewerten. Und den Hinweis der Piraten, die Landesdatenbeauftragte sei „schockiert“ gewesen, weist er zurück.

Prüfung ist noch im Gange

Dennoch müsse die Aseag in einer Stellungnahme darlegen, warum sie beispielsweise das Geburtsdatum ihrer Kunden erhebt und auf den Tickets hinterlegt. „Bei der Bewertung wird zu berücksichtigen sein, ob jede einzelne auf der Chipkarte gespeicherte personenbezogene Information des Karteninhabers erforderlich ist, und ob der Grundsatz der Datensparsamkeit beachtet wird. Auch die Frage einer Verschlüsselung, die zwar technisch möglich ist, sei erst noch zu klären: Der Aufwand und der Schutzzweck müssten in einem angemessenen Verhältnis stehen. Die Aseag selbst verweist in Sachen Datenverschlüsselung auf die E-Ticket Servicegesellschaft, in deren Verantwortung Weiterentwicklungen des Standards liegen, und die grundsätzlich deutschlandweit erfolgten.

Nicht bundesweit, sondern konkret in Aachen erfolgt die Prüfung durch den Landesdatenschutz. Wie lange diese Prüfung dauert, kann Daniel Strunk noch nicht sagen. Für die Datensicherheit sollen die Fahrgäste selbst sorgen: „Wie bei anderen Karten mit Chips empfehlen wir die Nutzung von Schutzhüllen, die die Karten vor einem unerlaubten Auslesen schützen“, sagt Daniel Strunk. Auch die Aseag weist darauf hin, dass für die Karte die gleiche Sorgfaltspflicht „wie für viele andere elektronische Karten — beispielsweise eine Kreditkarte“, gelte, schreibt Aseag-Sprecher Paul Heesel in einer Stellungnahme.

Von einem Datenleck könne keine Rede sein, wehrt sich die E-Ticket Servicegesellschaft gegen den Vorwurf aus Aachen. Dass die Daten teilweise unverschlüsselt vorliegen und per App ausgelesen werden können, sei Absicht, wie Daniel Ackers, Sprecher der Servicegesellschaft, erklärt.

Daten für den Kunden einsehbar

Durch dieses Logbuch habe der Fahrgast immer die Möglichkeit zu sehen, was mit seiner Karte gemacht wurde. „Im Sinne der Datentransparenz sollen die Daten für den Kunden einsehbar sein“, sagt Ackers. Man habe erwartet, dass sich entsprechende Handys mit der benötigten Schnittstelle weiter verbreiten. Die nötige App sollte „idealerweise durch das jeweilige Verkehrsunternehmen“ angeboten werden. Doch lesbar sind die Tickets auch über Apps, die von anderen Anbietern kommen. Die Servicegesellschaft wirft auch ein, dass die Chipkarten nicht im „Vorbeigehen“ ausgelesen werden könnten. „Um die Daten auszulesen, benötigen Sie Zugang zu der Chipkarte.“

Zugang zu den Daten hätten die Fahrausweisprüfer über „elektronische Geräte, mit denen sie die Daten auf dem Ticket auslesen können. Dieses Gerät sende den Datensatz zu einem Hintergrundsystem des Verkehrsverbundes. Dort werde geprüft, ob es zum Ticket einen Verkaufsdatensatz gebe. „Damit überprüfen wir möglichen Missbrauch wie Manipulationen, Duplikate oder Doppelanmeldungen mit einer Chipkarte“, sagt Heesel.

Und an dieser Stelle müsse die Aseag zumindest ihre Informationen auf der Internetseite anpassen, finden die Piraten: „In den Informationen der Aseag zum E-Ticket steht, dass die Kontrolleure den Fahrtenverlauf nur in den Kundenzentren einsehen können. Das ist schlichtweg falsch“, sagt Gunter von Hayn, Ratsherr der Aachener Piraten, im Gespräch mit den „Nachrichten“. Denn schließlich gehe das auch im Bus mit einem Smartphone.

Piraten sind weiter verärgert

„Uns ärgert einfach, dass wir schon lange im Vorfeld auf diese Probleme hingewiesen haben, und dass sich die Aseag trotzdem auf diesen VDV-Standard zurückzieht“, sagt Matthias Achilles, verkehrspolitischer Sprecher der Piraten. Man gehe zu sorglos mit den Daten der Kunden um, „und gerade bei den Fahrgästen eines öffentlichen Busunternehmens wie der Aseag handelt es sich um Leute, die sich kaum wehren können.“ Schüler, Studenten und jeder, der sich kein Auto leisten könne, sei auf die Aseag angewiesen.

Mehr von Aachener Nachrichten