Aachen: Ärger um „eTickets“: Datenschützer prüfen die Aseag seit Monaten

Aachen : Ärger um „eTickets“: Datenschützer prüfen die Aseag seit Monaten

Am vergangenen Freitag riefen die Aachener Piraten bei der NRW-Landesbeauftragten für Datenschutz und Informationsfreiheit (LDI) in Düsseldorf an. Ihre Bitte: Die Behörde möge eine datenschutzrechtliche Bewertung zu den neuen „eTickets“ der Aseag abgeben.

Schließlich seien auf diesen rund 120.000 Chipkarten personenbezogene Daten wie das Geburtsdatum völlig ungeschützt abgelegt und quasi für jedermann mit einer entsprechenden Smartphone-App auslesbar — was die Piraten öffentlich machten und für „skandalös“ halten.

Allerdings war dies nicht der erste Anruf aus Aachen in Sachen Aseag-„eTickets“. Schon seit dem vergangenen Sommer befassen sich die Düsseldorfer Datenschützer mit den elektronischen Fahrscheinen, deren Einführung bislang von zahlreichen Pannen begleitet war.

„Die LDI NRW ist aus Eingaben zweier Petenten zum eTicket seit August 2017 mit der Überprüfung der Aseag beschäftigt“, erklärt LDI-Sprecher Daniel Strunk auf AZ-Anfrage. Und fügt hinzu: „Eine abschließende Bewertung des Sachverhalts ist uns derzeit noch nicht möglich.“ Wohl auch deshalb weist Strunk mit Nachdruck zurück, was die Piraten aus ihrem Gespräch mit der Behörde kolportiert hatten: „Der Sachverhalt wurde von uns nicht als schockierend bewertet.“

Wohl aber als „sehr komplex“, wie der Sprecher gegenüber der AZ ausführt. Das liege zum einen daran, dass man „komplexe technische Verfahren nicht auf Zuruf abschließend bewerten“ könne. Im Gegenteil werde zu Stellungnahmen aufgefordert und wechselten häufig auch umfangreiche Unterlagen die Seiten. Außerdem ergäben sich in solchen Verfahren meist noch weitere Nachfragen.

Und zum anderen ist der Aachener Fall wohl ziemlich kompliziert und für die Behörde anscheinend neu. Aus anderen Städten lägen dem LDI keine Informationen darüber vor, dass persönliche Kundendaten auf „eTickets“ mit einer gewöhnlichen App ausgelesen werden könnten, teilt Strunk mit. Aber ist es nun ein „Skandal“, also ein schwerer Verstoß gegen den Datenschutz, oder ganz normaler bundesweiter Standard, wie die Aseag argumentiert?

Die Antwort auf diese Frage ist offenbar nicht einfach. Zwar bestätigen die Landesdatenschützer, dass das elektronische Fahrgeldmanagement in Deutschland weitgehend auf dem von der Aseag benutzten Standard beruhe. Allerdings sei immer zu prüfen, ob bei den auf der Chipkarte gespeicherten personenbezogenen Informationen der „Grundsatz der Datensparsamkeit“ beachtet werde. Ob etwa das Geburtsdatum erforderlich sei, müsse von der Aseag im Rahmen der Stellungnahme dargelegt werden, so Strunk. Allerdings könne dies durchaus der Fall sein, beispielsweise um Kinder- und Erwachsenentarife abzugrenzen.

„Auch die Frage einer Verschlüsselung ist nicht ohne weiteres zu klären“, so der LDI-Sprecher weiter. Zwar werde grundsätzlich gefordert, personenbezogene Daten zu schützen, doch müsse der „Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck stehen“. Wobei hier wohl viele Kunden auch die Frage bewegen dürfte, über welche Entfernung hinweg das Auslesen fremder Tickets per Smartphone möglich ist.

Muss man es ganz nah heranhalten? Oder kann der Sitznachbar im Bus unbemerkt Daten abgreifen? Beim LDI geht man davon aus, dass es nicht so einfach ist, im Vorbeigehen quasi anderen die Daten — etwa Vor- und Nachname — aus der Tasche zu lesen. Andererseits empfiehlt man trotzdem „die Nutzung von Schutzhüllen, die die Karten vor einem unerlaubten Auslesen schützen“.

Skandal oder Standard? Wann die Landesdatenschützer ihre abschließende Bewertung gefunden haben, „ist noch nicht absehbar“, sagt Strunk. Sollten sie aber bei den hiesigen „eTickets“ Verstöße gegen den Datenschutz feststellen, kann das Folgen für die Aseag haben. Dann könne die Behörde Maßnahmen anordnen, die den Missstand beseitigen. Oder in schweren Fällen, die mit einer besonderen Gefährdung des Persönlichkeitsrechts verbunden sind, „auch Untersagungen aussprechen“.

Mehr von Aachener Zeitung