Wo gibt es Probleme zwischen Datenschutz und elektronischen Ticketsystemen? – ein Interview mit Dr. Jens Ambrok

Post image

Die Angst vor dem Missbrauch persönlicher Daten bei RFID-basierten Verkehrszugangssystemen ist gemeinhin groß. Was können Verkehrsunternehmen tun, um den Datenschutz der Nutzer eines solchen Zugangssystems zu gewährleisten?

Die allgemeine Skepsis gerade hinsichtlich RFID-basierter Kartensysteme ist berechtigt, weil der Inhalt der Speicherchips ohne Aufwand durch Dritte kontaktlos ausgelesen werden kann. Deshalb ist es wichtig, dass die Karten keine nennenswerten Informationen enthalten, sondern lediglich eine abstrakte Kundennummer. Die sensibleren Daten zur Identität und zu Fahrtzeiten und Standorten müssen nicht auf der Chipkarte gespeichert werden, sondern können vom Lesegerät an zentrale Server gesendet werden. Essentiell ist zudem ein verantwortungsvoller Umgang mit den Kundendaten. Aus den Informationen, wer wann in welches Verkehrsmittel ein- und aussteigt, lassen sich umfangreiche Schlüsse über die Lebensumstände des Fahrgastes ziehen: Wo wohnt er? Wann verlässt er das Haus? Wo arbeitet er? Welche Hobbies hat er? Wer begleitet ihn? Die Verkehrsunternehmen haben sicherzustellen, dass diese aussagekräftigen Persönlichkeitsprofile nicht zweckentfremdet werden und nicht in falsche Hände geraten.

Was dürfen die Unternehmen selbst mit den Daten machen und was nicht?

Die Verkehrsbetriebe dürfen die Daten zu dem Zweck nutzen, zu dem sie sie erhoben haben. Wenn also ein Ticketsystem erfasst, welcher Fahrgast wann und wo ein- und aussteigt, dann dient das dem Zweck der Abrechnung des Fahrpreises. Hat der Kunde eine Monatskarte, die ihm beliebig viele Fahrten ohne Aufpreis gestattet, ist schon die Erhebung seiner Ortsdaten unzulässig, weil sie nicht zur Fahrpreisermittlung gebraucht werden. Die Verwendung zu anderen Zwecken ist unzulässig. Die Ortsdaten dürfen also ohne Zustimmung des Fahrgastes nicht genutzt werden, um ihm zum Beispiel Werbung für Restaurants in der Nähe seiner häufig genutzten Haltestellen zukommen zu lassen. Möglich ist aber die anonymisierte Auswertung der Ortsdaten zu statistischen Zwecken. Verkehrsbetriebe dürfen etwa analysieren, welche Verkehrslinien zu welcher Uhrzeit besonders stark frequentiert werden oder welche Umsteigemöglichkeiten oft genutzt werden, solange sie die Daten so anonymisieren, dass kein Bezug zum konkreten Fahrgast mehr herstellbar ist.

Wer kann für die ordnungsgemäße Nutzung der Daten seitens der Unternehmen garantieren?

Größere Unternehmen wie Verkehrsbetriebe verfügen über einen betrieblichen Datenschutzbeauftragten, der Unabhängigkeit gegenüber der Geschäftsleitung genießt und sich betriebsintern für den Schutz der Kundendaten einsetzt. Auch Fahrgäste können sich an diesen wenden, um zu erfahren, was mit ihren Daten geschieht. Insbesondere können sie einen Auskunftsanspruch dahingehend geltend machen, welche Daten das Unternehmen zu ihrer Person gespeichert hat.

Wie hoch ist das Risiko eines Missbrauchs der Daten durch Dritte?

Wo umfangreiche Nutzerprofile gespeichert sind, da bestehen stets Begehrlichkeiten, die Daten gewinnbringend zweckzuentfremden. Die Seriosität Berliner Verkehrsunternehmen kann ich als Hamburger nicht einschätzen. Die Gefahren bei RFID-basierten Ticketsystemen drohen aber auch eher durch Angriffe von außen. RFID ist ein offenes System, das sich deshalb so gut durchgesetzt hat, weil es unkompliziert ist. Jedermann, der über ein Lesegerät verfügt, kann den Inhalt eines RFID-Chips auslesen, auch wenn er dabei oft nicht mehr als eine Kundennummer vorfindet. Das wiederholte Auslesen der pseudonymen Nummern kann aber genutzt werden, um Personen gezielt wiederzuerkennen. So könnte etwa jemand über einen längeren Zeitraum – unzulässiger Weise – ein Lesegerät heimlich an einem Fußweg oder unter einer Ladentheke aufstellen. Mit der Zeit kann er so nachverfolgen, wie oft und wann genau eine Person, die einen NFC-Chip bei sich führt, schon einmal an dem Ort war. Mehrere Lesegeräte an verschiedenen Orten würden genügen, um Bewegungsprofile zu erzeugen. Mir ist jedoch kein solcher Fall bekannt. Dieser Missbrauch ist also möglich, das Risiko aber wohl praktisch überschaubar.

Es gibt auch in vielen Städten anonyme, elektronische Ticketsysteme. Man kauft die Chipkarte am Automaten und lädt sie dort auch einfach auf. Ist diese Variante aus Sicht des Datenschutzes zu bevorzugen?

Die völlige Anonymität ist aus Datenschutzsicht immer das Beste. Der Fahrgast behält die völlige Kontrolle über seine Daten, wenn er sie nicht preisgibt. Es muss dann nicht befürchten, dass seine Anschrift zusammen mit Informationen über seine Lebensumstände an Adresshändler, Werbetreibende, Ermittlungsbehörden oder andere Akteure weitergegeben werden. Wenn er die Chipkarte verliert, ist zwar das Guthaben für ihn verloren, weitere Konsequenzen muss er aber nicht fürchten. Der Chip enthält schlichtweg keine weiteren Informationen, die sich missbräuchlich nutzen lassen könnten.

Dr. Jens Ambrock ist Referent beim Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit. Das Interview beruht auf seinen persönlichen Auffassungen.