Das Deutschland-Ticket ist da. Viele von euch werden es nutzen. Andere haben, wie wir, vielleicht noch viele Fragen und warten eher ab. Neben der Kritik an dem Preis (welcher arme Mensch kann jeden Monat 50 Euro für eine Fahrkarte ausgeben?) sorgt uns, ob anonymes Reisen mit dem Ticket möglich ist. Welche Daten werden bei Kontrollen erhoben? Schon länger ist abzusehen, dass sich auch in Deutschland die Zeit unkontrollierter, anonymer Fortbewegung dem Ende zuneigt. Das ist ein grundlegendes gesellschaftliches Problem, weil in Zeiten sich formierender autoritärer Herrschaft kontrollierte Bewegungsräume zu Nicht-Bewegung führen. Wenn man weiß, dass man nicht anonym zur Demo, einer Aktion oder zu einem Besuch reisen kann, lässt man es immer häufiger - denn der Aufwand, den es erfordert unter dem Radar zu bleiben, wird immer größer. Aber auch ganz konkret, hier und heute, ist es für Viele ein Problem, wenn sie sich nicht mehr anonym fortbewegen können. Noch bleiben die Fernzüge für Fahrten in die großen Städte. Aber mit der Einführung des D-Tickets ist der Damm gebrochen und es wird nicht mehr lange dauern, bis nur mehr per Smartphone eine Karte gekauft und genutzt werden kann.
Aber was wissen wir konkret über das D-Ticket?
Es ist nicht so einfach, Infos über die Datenverarbeitung zu bekommen. Und es ist für uns nicht so leicht, die technischen Details zu verstehen. Deswegen ist dieser Text sicher nur ein Zwischenstand und es bleiben Fragen offen.
Recherchen von netzpolitik.org belegen, dass bei jeder Fahrscheinkontrolle eines Deutschlandtickets die Uhrzeit und die Haltestelle digital gespeichert werden - zentral und zeitlich befristet in einer bundesweiten Datenbank.
"Weil das Deutschlandticket nur über eine personalisiertes Abo-Modell verfügbar ist, besteht damit prinzipiell die Gefahr, dass die pseudonymisierten IDs mit den Ticketkäufer:innen wieder in Verbindung gebracht werden können. Rein technisch ist diese Datenverknüpfung offenbar möglich (....)"
Mit dem D-Ticket ist das Ende des anonymen Personennahverkehrs also ein ordentliches Stück nähergerückt, auch wenn die Daten standardmäßig pseudonomisiert werden; also nicht mehr ohne Weiteres einer Person zuzuordnen sind.
Die Daten die man beim Kauf angibt werden von der Transdev Vertrieb GmbH (Markt 10, 04109 Leipzig) verarbeitet. Im Rahmen der Verwaltung des Deutschlandticket-Abonnements werden folgende Kundendaten erhoben und verarbeitet: Anrede, Name, Vorname, Geburtsdatum, Anschrift, E-Mail-Adresse, Telefonnummer (optional), Kunden-Nummer, Abo-Vertragsnummer, Ticket-ID, Gültigkeitsdauer und Bankverbindungsdaten (IBAN, BIC). Für die Bearbeitung von Anfragen oder Beschwerden werden Name, Vorname, Anschrift, Telefonnummer, E-Mail-Adresse und Angaben zum Vorgang verarbeitet.
Nach offiziellen Angaben werden die Daten zu folgenden Zwecken verwendet:
- Die Bearbeitung von Kundenanfragen und Beschwerden sowie die Abwicklung von Erstattungen und Entschädigungen im Rahmen der geltenden Tarif- und Beförderungsbestimmungen
- die Verwaltung von Abonnements
- die Erstellung und Bereitstellung eines Datensatzes für die Ausgabe der Fahrkarte bzw. für die Ausgabe eines Berechtigungsnachweises in digitaler Form oder zur Anzeige in Ticket Apps
- die Ausstellung und Übersendung der Fahrkarte (in digitaler Form)
- die Korrektur der bereits zuvor übermittelten personenbezogenen Daten wegen Änderung der Kontaktdaten, oder vergleichbarer Gründe
- die Abwicklung der Bezahlung der Fahrkarte
- der Überprüfung von Missbrauch, wie bspw. Manipulationen oder Fälschungen von Fahrkarten
- die Durchführung eines Forderungsmanagements
- die Abwicklung von Online-Ticketbestellungen über die Webseite
- die Gewährleistung der Sicherheits IT-Systeme der Betreiber
- die Versendung von Informationen zu den Themen Deutschlandticket, Abonnement, Tarif, Fahrpläne und Angebote
- die Einhaltung gesetzlicher Verpflichtungen einschließlich der Kooperation mit Gerichten bei Zivilklagen oder Strafverfolgungsbehörden bei strafrechtlichen Ermittlungen in Bezug auf mutmaßliche kriminelle Handungen oder Aktivitäten
Tja der letzte Punkt offenbart eines unserer konkreten Probleme…..
Wir wissen nicht, ob die Fahrkartenkontrollen online stattfinden und so z.B. auch direkt im Rahmen möglicher Observationen nutzbar wären. Die Kontrolle selbst kann aber offline stattfinden, denn die Kontrollgeräte werden täglich aktualisiert, z.b. um Sperrlisten mit gekündigten oder weitergegebenen Tickets u.ä. zu aktualisieren. Für einen bestimmten Zeitpunkt bleiben aber die Kontrolldaten gespeichert und sind abrufbar. Da die Pseudonomysierung der Daten technisch wieder rückgängig gemacht werden kann, müssen wir davon ausgehen, dass es nur eine Frage der Zeit ist, wann der erste Fall bekannt wird, bei dem dies geschehen ist.
Die Daten, die im QR-Code auf dem Smartphone oder auf der Chip-Karte gespeichert sind, sind verschlüsselt hinterlegt. Es lässt sich also nicht einfach so ablesen, was im QR-Code gespeichert ist. Es gibt ein von der Telekom betriebenes Trustcenter, dass die Schlüssel verteilt, die verwendet werden, „um die Echtheit von eTickets zu beweisen sowie Daten und Kommunikation der Teilnehmer zu verschlüsseln.“
Der Kopierschutz wird durch Bindung an das jeweilige Gerät über eine ID, die auch mit der Kontrollinfrastruktur geteilt wird und Zeitstempel im generierten Barcode hergestellt (später dann auch ein Challange-Response-Verfahren über NFC. Der Kopierschutz (Motics) wird wohl erst 2024 (flächendeckend) eingesetzt werden. Die aktuellen Barcode-Tickets sind noch ohne diesen Schutz und daher auch nur mit Personalausweis gültig.
Jemand sagte letztens: „Nach einem ersten Blick darauf scheint mir die Motics Variante noch nicht allzu fälschungssicher zu sein“ Mal abwarten, wo wir die Lücken finden und ob wir sie nutzen können…
Die Daten der Kontrollen sollen zentral für ganz Deutschland zusammengeführt werden. Hierbei werden keine Kundendaten erfasst, sondern nur pseudonymisiert Ids, die eine Übersicht zur Grundgesamtheit aller Tickets und der Kontrollsituation geben. „Beides erlaubt Aussagen darüber, ob das Gesamtsystem sicher ist und dient dazu Angriffs- und Manipulationsversuche zu erkennen und Gegenmaßnahmen zu ergreifen.“
Weitergabe der Daten an Dritte
Die gespeicherten Daten dürfen offiziell nicht an Dritte weitergeben werden. Aber zum Einen gibt es einige Ausnahmen und zum Zweiten wird dies Maßnahme technisch hintergangen.
So heißt es: „Eine Weitergabe, Verkauf oder sonsitge Übermittlung Ihrer personenbezogenen Daten an Dritte erfolgt nicht, es sei denn, dass dies zum Zwecke der Vertragserfüllung mit ihnen erforderlich ist oder sie ausdrücklich Ihre Einwilligung dazu gegeben haben.
Soweit erforderlich, kann eine Weitergabe Ihrer Daten an andere verkehrsführende Unternehmen, Zahlungsdienstleister oder andere zur Erbringung der Dienstleistung oder Vertragsabwicklung eingesetzte Unternehmen erfolgen.
Im Rahmen der Bearbeitung ihrer Anfragen und Ihrer Nutzung unserer Services beauftragen wir auch externe Auftragnehmer. (….)
Unter diesen Vorraussetzungen können Empfänger personenbezogener Daten unter anderem Dienstleiter, Auftragsverarbeiter oder sonstige Dritte zu Erbringung folgender Services sein:
- Unterstützung und Wartung von EDV-/ IT Anwendung
- Callcenter-Services
- Datenvernichtung
- Betreibung und Zahlungsabwicklung
- Kundenverwaltung
- Lettershops
- Marketing
- Website-Management
- Medientechnik
Die personenbezogenen Daten, die wir über sie erheben oder verarbeiten, können an Empfänger weitergeleitet werden, die sich innerhalb oder außerhalb des Europäischen 
Wirtschaftsraums („EWR“) befinden können.
Wenn man das D-Ticket über eine darauf zugeschnitte App kauft, werden die Datenschutzbestimmungen bereits beim Start hintergangen. Hier einige Beispiele:
Beginnen wir zunächst mit der App „ Dein Deutschlandticket“ (Version 2.1.0) Laut Exodus Privacy hat die App vier Tracker integriet. Unmittelbar nach dem Start, noch bevor überhaupt eine Interaktion stattfindet, werden die nachfolgenden Verbindungen initiiert:
- Google Firebase
- Google Firebase Crashlytics (Dienst für die Erstellung/Auswertung von Absturzberichten)
- Mobimeo (*.mobimeo.com) (Tech-Start-up der Deutschen Bahn AG. Eine Verbindung erfolgt zu Analysezwecken)
- Consent Manager (*.consentmanager.net)
Es werden Geräte-Ids, Gerätemodell, Auflösung etc. vom Gerät abgefragt und ohne Einwilligung an Mobimeo übermittelt. Das ist zwar illegal, interessiert aber niemanden.
Das obligatorische Cookie-Zustimmungsfenster wird erst nach der Datenübermittlung eingeblendet – zu spät, denn bis zu diesem Punkt sind die Daten bereits abgeflossen.
Bei der Deutschlandticket-App werden unmittelbar nach dem Start, noch bevor überhaupt eine Interaktion stattfindet, werden die nachfolgenden Verbindungen initiiert:
- Google Firebase
- Google Firebase Crashlytics
- Google Firebase Remote Config
- Google Firebase Cloud Messaging
- Google Firebase Cloud Storage
- HandyTickets (handyticket.link)
Auffällig ist die exzesse Nutzung von Google Firbase – eine Entwicklungs-Plattform für mobile Apps und Webanwendungen, die von Google angeboten wird. Man kann sich Google Firbase wie einen digitalen Werkzeugkasten für Entwickler vorstellen, aus dem das passende Tool einfach herausgenommen werden kann. Aktuell bietet Google eine Vielzahl von Tools und Diensten (aktuell 18), die sich schnell und einfach in Apps integrieren lassen, einschließlich Echtzeit-Datenbanken, Benutzer-Authentifizierung, Cloud-Speicher und mehr.
Eine initiale Verbindung erfolgt zu Google Firebase Crashlytics (USA) einem Dienst für die Erstellung/Auswertung von Absturzberichten.
Cookie-Zustimmungs- und Ablehnungsmöglichketen sparen sich die Verantwortlichen gleich komplett.
Unabhängig von dieser Datenübermittlung sollte man wissen, dass die App eng mit der Google-Infrastruktur verbandelt ist.
Bei allen geprüften Apps der Verkehrsverbünde sieht es ähnlich aus. Es werden Geräte-Ids, Gerätemodell, Auflösung etc. ausgelesen und weitergeleitet, bevor man es verhindern könnte. Die Analyse der Gerätedaten zur Web-Analyse und Marktforschung ist der Standard.
Die sicherste, bzw. „datenschutzfreundlichste“ Möglichkeit das D-Ticket zu nutzen ist bis jetzt eindeutig die Chip-Karte oder das Papier-Ticket. Wer ein Smartphone nutzt, kann den Datenabfluss nicht verhindern.
Dauer der Datenspeicherung
Die regulär erhobenen „personenbezogenen Daten werden routinemäßig gelöscht, wenn sie nicht mehr zur Vertragserfüllung notwendig sind und auch nicht mehr gesetzlichen Aufbewahrungsfristen unterliegen. An die Stelle der Löschung tritt die Sperrung, sofern rechtliche oder tatsächliche Hindernesse eienr Löschung der Daten entgegenstehen, z.B. bei Vorliegen besonderer handels- oder steuerrechtlicher Aufbewahrungspflichten, zur Erhaltung von Beweismitteln im Rahmen der Verjährungsvorschriften oder bei offenen Forderungen.“
Fazit:
Das Smartphone ist sowieso ein Garant für De-Anonymisierung. Wenn man das D-Ticket per App auf dem Smartphone nutzt, wird (wen wundert es?) nichts besser. Es werden weitere Daten ausgelesen.
Die Varianten auf Chip-Karte und Papier haben da einen leichten Vorteil. Ansonsten werden bei den Kontrollen die regulär gespeicherten Daten zwar pseudonomisiert weitergeleitet und zentral gespeichert, der Vorgang der Pseudonomisierung ist aber anscheinend technisch umkehrbar. Das kann relevant sein, wenn die Daten im Rahmen von Ermittlungen und Strafverfahren ausgewertet werden. Ansonsten scheint es so zu sein (sagen wir mal das mal vorsichtig), dass im Normalfall keine personalisierten Daten bei Kontrollen gespeichert werden. Bei Nutzung eines Smartphones ist das aber fast irrelevant, denn es gibt dann viele Möglichkeiten der Ortung und Identifizerung.
Auch das noch:
„Als relevanter Teil der Einnahmesicherung müssen Ticketkontrollen durchgeführt werden.“ Hmm, das Erwischen von Schwarzfahrer_innen als relevante Einnahmequelle. Ob sich da nicht jemand verkalkuliert….
Es wird Zeit für das Null-Euro-Ticket
Autonome D-Ticket-AG
