„Größtmöglichen Datenschutz und die tägliche Praxis von Kontrollen miteinander vereinbart“

Weit über zehn Millionen Fahrgäste nutzen bereits das Deutschland-Ticket. In nur wenigen Monaten haben Verkehrsunternehmen und Verbünde das digitale Abo eingeführt. Unterstützt wurden sie dabei vom VDV eTicket Service. Doch wie sicher ist das D-Ticket, wie steht es um den Datenschutz, was passiert mit den Daten und warum gibt es mancherorts Schwierigkeiten bei den Ticketkontrollen? Nils Zeino-Mahmalat, Geschäftsführer von VDV eTicket Service, gibt Antworten.


Herr Zeino-Mahmalat, in einigen Tarifgebieten wie dem VRR und im Westfalentarif, aber auch bei der Deutschen Bahn gab es zuletzt technische Schwierigkeiten bei der Kontrolle von Deutschland-Tickets. Kam die Einführung des digitalen Tickets vielleicht doch zu schnell?

Wir haben ein nationales Produkt ohne nationale Struktur. Diese Lücke führt zu tariflicher und technischer Unverbindlichkeit.

Nils Zeino-Mahmalat
Geschäftsführer VDV eTicket Service
zur Ausgestaltung des Deutschland-Tickets

» Nils Zeino-Mahmalat: Im Ausland glaubt man uns gar nicht, dass wir in Deutschland ein nationales Ticket in grob nur sieben Monaten umsetzen. Das war auch für den Großteil der Fahrgäste nur möglich, weil die meisten Verkehrsunternehmen bereits Teilnehmer an (((eTicket Deutschland waren und wir den Standard schon immer als nationalen EFM-Standard ausgelegt hatten. EFM steht für elektronisches Fahrgeldmanagement und beschreibt, wie digitale Tickets von vielen Unternehmen verkauft werden, von noch mehr Unternehmen in fremden Regionen kontrolliert werden und alles gemeinsam abgesichert wird.

Wo lagen die Herausforderungen?

» Die kurze Einführungszeit führt zu zwei wesentlichen Herausforderungen: Zum einen müssen für das D-Ticket in allen lokalen Systemen Updates implementiert werden. Bei der überschaubaren Anzahl von technischen Dienstleistern, die plötzlich überall gleichzeitig tätig werden müssen, ist das kurzfristig nicht zu leisten. Zusätzlich waren bisher circa 15 Prozent der Verkehrsunternehmen noch nicht Teil von (((eTicket Deutschland. Diese Unternehmen nutzten entweder eigene digitale Lösungen oder zumeist gar nichts. Letztere mussten innerhalb kürzester Zeit von Null auf volle digitale Ausgabe und Kontrolle gebracht werden.

… und zum anderen?

» Zum anderen ließen die tariflichen Vorgaben von Bund und Ländern viele Fragen unbeantwortet. Diese Fragen würde in der Logik des D-Tickets ein „Verkehrsverbund Deutschland“ beantworten. Den gibt es aber nicht. Wir haben also ein nationales Produkt ohne nationale Struktur. Diese Lücke ist in der Kürze der Zeit nicht zu füllen und führt zu tariflicher und technischer Unverbindlichkeit in der Ausgestaltung des D-Tickets. Diese Unverbindlichkeit endet dann als erhöhtes Beförderungsentgelt in Höhe von 60 Euro beim Fahrgast.

Wie sieht die Lösung aus – und wann wird alles reibungslos funktionieren?

» Eine Glaskugel besitzen wir leider nicht. Aber es gibt Eckpunkte, an denen man sich orientieren kann. Um einen reibungslosen Betrieb zu organisieren, braucht die Branche verbindliche Regeln. Wie sehen alle nationalen Tickets technisch aus, wie werden diese national gleich gesichert und wie sind deren tarifliche Bedingungen je Produkt? Durch die Gremien des VDV und in Zusammenarbeit mit Bund und Ländern wurden viele Punkte dazu geklärt und in entsprechenden Dokumenten festgehalten. Aber eben nicht alle Punkte. Und formal an wichtigen Stellen nicht verbindlich.

Woran fehlt es?

» Um die Lücken zu schließen und die nötige Verbindlichkeit zu erlangen, gibt es grob gesagt drei Szenarien. 1. Die Politik macht der Branche weitere Vorgaben. 2. Ein „Verkehrsverbund Deutschland“ wird geschaffen. 3. Die Branche schafft sich ein Organ, um verbindliche Regeln zu beschließen und durchzusetzen.
Zu der Frage, wann das sein wird, gibt es die politische Vorgabe, dass 2025 eine funktionierende Einnahmeaufteilung (EA) aufgebaut sein muss. Diese Aufgabe fällt klassisch dem Produktverantwortlichen, also in der Regel dem Verkehrsverbund zu. Da eine EA von erwarteten 13 Milliarden Euro nicht mit Excel-Tabellen realisiert werden kann, hat diese noch zu gründende Organisation wahrscheinlich einen klaren Anspruch an ein reibungslos laufendes und revisionssicheres nationales Ticketing-System. Es wäre aber im Sinne des Fahrgastes erfreulich, wenn wir als Branche deutlich vor 2025 zu einem reibungslosen System kämen.

Ist mit dem Deutschland-Ticket das Ende des anonymen Unterwegsseins nähergerückt?

» Das hängt davon ab, was Sie unter dem Begriff „anonym“ verstehen: Mit einem personalisierten Abo-Ticket ist natürlich niemand anonym unterwegs. Die anonyme Nutzung des ÖPNV bleibt weiterhin mit anderen Tarifprodukten bestehen. Nur eben nicht mit einem Abo. Daran hat das D-Ticket übrigens nichts geändert.

Welche Daten werden von den Verkehrsunternehmen gespeichert?

» Alle Daten, die für den Verkauf und die Abrechnung des Deutschland-Tickets erforderlich sind: Name, Adresse, Bankverbindung des Fahrgastes. Diese Daten werden in separaten Abo- beziehungsweise Customer-Relationship-Management-Systemen verwaltet. Der Vertragspartner des Fahrgasts ist somit auch das einzige Unternehmen, das die Kundin beziehungsweise den Kunden mit den Kundendaten kennt. Sobald Ticketdatensätze über das Netzwerk von (((eTicket Deutschland versendet werden, geschieht dies verschlüsselt und pseudonymisiert. Es gibt keinen zentralen Speicherpunkt, der alle ÖPNV-Kunden oder alle Tickets kennt.

Was passiert bei einer Kontrolle?

» Bei einer Kontrolle wird der Name des Fahrgastes geprüft und geschaut, ob das Ticket zeitlich und räumlich gültig ist. Hat der Fahrgast ein Ticket mit Barcode, muss er sich mit einem Lichtbildausweis legitimieren, um kopierte Tickets möglichst hier schon zu erkennen. Auf Kundendaten, die für die Prüfung nicht wichtig sind, haben alle anderen Verkehrsunternehmen keinen Zugriff.

Der VDV eTicket Service gewährleistet ein deutschlandweites Sicherheitsmonitoring. Wie funktioniert das?

» Um zu prüfen, ob ein D-Ticket, das gerade kontrolliert wird, auch tatsächlich verkauft und nicht kopiert oder gefälscht wurde, müssen alle Deutschland-Tickets in einem revisionssicheren System existieren. Die IT-Security von (((eTicket Deutschland basiert auf verschiedenen Komponenten. Der neueste Baustein für nationale ­Tickets ist das zentrale Monitoring beziehungsweise im ÖPNV-Fachsprech das Zentrale PV-System (ZPVS). Dieses System gehört eigentlich dem noch nicht existierenden Produktverantwortlichen und wird diesem bei dessen Gründung übergeben.

Was hat es mit dem ZPVS auf sich?

» Das ZPVS erhält gemäß Rollenmodell alle sogenannten Ausgabetransaktionen und alle Kontrollnachweise zu nationalen Tickets. Damit kennt es die Grundgesamtheit aller verkauften D-Tickets und deren Verkäufer. Da die Meldungen automatisiert erstellt und verschlüsselt versendet werden, sind diese Daten gegen Manipulation von innen und außen geschützt und bilden die Grundlage einer revisionssicheren Einnahmeaufteilung.
Zusätzlich erhält das ZPVS die Kontrollnachweise zu allen nationalen Tickets. Das sind ebenfalls automatisierte Berichte der Kontrollgeräte, die melden, wann sie wo welche Ticket-ID kontrolliert haben. Dies ist der wesentliche Teil des Monitorings. Spätestens hier fliegen Kopien, Manipulationsversuche und mögliche Cyber-Attacken auf, können gemeldet sowie Gegenmaßnahmen ergriffen werden.

Worauf kommt es bei der Verarbeitung der Daten an?

» Wichtig ist die Unterscheidung der Daten: einerseits die Daten, die das ticketausgebende Verkehrsunternehmen verarbeitet, und andererseits die systemischen Daten, die zur Kontrolle und Systemsicherheit relevant sind. Im ZPVS liegen ausschließlich pseudonymisierte Daten vor. Als Ortsangabe zur Ausgabe wird der Sitz des verkaufenden Unternehmens eingetragen. Wird das Ticket in Berlin gekauft, ist die Ortsangabe also nicht der Wohnort des Fahrgastes, sondern Berlin. Bei der Kontrolle wird die sogenannte „Deutschlandweite Haltestellen ID“ (DHID) in den Kontrollnachweis eingetragen und mit der Uhrzeit und der Haltestelle für maximal drei Monate gespeichert. Den Namen des Fahrgasts oder andere personenbezogene Daten erfasst das ZPVS nicht.

Kritiker befürchten, dass diese pseudonymisierten Daten prinzipiell wieder mit den persönlichen Daten der Abonnentinnen und Abonnenten zusammengeführt werden können und sich so Bewegungsprofile erstellen lassen ...

» Das ist zwar sehr theoretisch möglich, aber technisch nicht. So eine Zusammenführung der Daten ist auch grundsätzlich verboten. Wer dies lokal macht, handelt gegen das Gesetz. Das dem D-Ticket zugrunde liegende (((eTicket Deutschland ist ein System „made in Germany“: Das heißt, es wurde nach deutschem Recht und streng nach der Datenschutzgrundverordnung (DSGVO) umgesetzt. Nur der Kundenvertragspartner kann im Zuge der Aufklärung einer Reklamation die Daten eines Kontrollnachweises mit den bei ihm hinterlegten Kundendaten abgleichen. Daraus aber Bewegungsprofile abzuleiten, ist aufgrund der Kontrolldichte in Deutschland nur ein theoretisches Unterfangen.

Inwiefern war der Datenschutz vor dem Start des Deutschland-Tickets eingebunden?

» Das Datenschutzkonzept, das (((eTicket Deutschland zugrunde liegt, wurde mit den Datenschutzbehörden von Bund und Ländern gemeinsam erarbeitet und floss bei der Gestaltung der Technik mit ein. Heute spricht man von „privacy by design“. Auf diese Weise konnten der größtmögliche Datenschutz und die Anforderungen an die tägliche Praxis von Ticketkontrollen miteinander vereinbart werden. Interessanterweise waren es gar nicht Technik und Datenschutz, die hier gegeneinander abgewogen werden mussten, sondern letztendlich verhandelten Datenschutz und Verbraucherschutz miteinander, wie und was für wen zugänglich sein muss. Die Technik ist am Ende immer nur die ausführende Basis.

Die Familie des Deutschland-Tickets wächst weiter. Welche Aufgaben stehen in den kommenden Wochen und Monaten an?

» Hier haben Bund und Länder zum Teil ja schon konkrete Vorgaben gemacht und dahinter warten Dinge, die einzelne Länder oder Verbünde schon selber umsetzen. Für das deutschlandweite Semesterticket wird vermutlich eine Lösung kommen. Auch die Harmonisierung von Mitnahmeregelungen und erster Klasse ist ein Auftrag. Offener ist die Frage eines D-Tickets für Schüler. Hier gibt es aktuell eher Alleingänge einzelner Länder. Technisch sind die meisten Ausgestaltungen aber umsetzbar. Ob als Job- oder Sozialticket oder als Ticket für ältere Menschen: In erster Linie sind das tarifliche und organisatorische Prozesse. Die Technik ist startklar.

Das könnte Sie ebenfalls interessieren