Datenschutz und Sicherheit beim Deutschland-Ticket
Seit dem 1. Mai 2023 können Fahrgäste in Deutschland das Deutschland-Ticket nutzen. Das bundesweit gültige Ticket gibt es im monatlich kündbaren Abo – wahlweise auf einer Chipkarte oder als Handyticket. Ein deutschlandweit gültiges Abo-Ticket braucht auch ein nationales Sicherheitsmonitoring, bei dem z.B. geprüft wird, ob zu jedem Kontrollnachweis auch eine Ausgabetransaktion vorliegt. Sprich: Wurde das Ticket, das gerade in der U-Bahn kontrolliert wurde, auch tatsächlich verkauft oder handelt es sich um eine Kopie oder Fälschung?
Damit sich das überprüfen lässt, müssen alle nationalen Tickets in einem revisionssicheren System existieren. Ein solches System betreiben wir: das Zentrale PV-System (ZPVS) für das Deutschland-Ticket.
Dieses ZPVS ist nicht nur wichtig für die Systemsicherheit, es kann auch wichtige Informationen über die genaue Anzahl aller D-Tickets an die Einnahmeaufteilung liefern. Damit das klappt, müssen die Vertriebs- und Kontrollsysteme aller Verkehrsunternehmen und -verbünde in Deutschland ihre Ausgabe- und Kontrollnachweise an dieses System senden. Je schneller sich die Teilnehmer an (((eTicket-Deutschland an dieses System anschließen, desto besser – und desto geringer ist der Migrationsaufwand.
Pseudonymisierte Datensätze im zentralen PV-System
Alle Datensätze, die an das ZPVS versendet werden, sind pseudonymisiert und werden verschlüsselt über ein eigens gesichertes Netzwerk verschickt.
Durch technische und organisatorische Maßnahmen wird gewährleistet, dass Kundendaten und Kontrolltransaktionsdaten an unterschiedlichen Orten gespeichert sind, sodass eine Zusammenführung – und damit die Erstellung eines Bewegungsprofils - nicht möglich ist. Die Daten können ausschließlich zum Zweck der Abrechnung, bzw. Reklamationsbearbeitung zusammengeführt werden.
Die Daten der Ausgabe- und Kontrollnachweise werden im zentrale PV-System und beim verkaufenden Unternehmen gespeichert.
Wichtig ist die Unterscheidung der Daten zwischen den Daten, die das ticketausgebende Verkehrsunternehmen verarbeitet und den systemischen Daten, die zur Kontrolle und Systemsicherheit im Ticket und den Kontrollnachweisen hinterlegt sind.
Im ZPV-System liegen ausschließlich pseudonymisierte Daten vor. Als Ortsangabe für die Ausgabetransaktion wird die Ortsangabe des verkaufenden Unternehmens eingetragen. Wird das Ticket in Berlin gekauft, ist die Ortsangabe also nicht der Wohnort des Fahrgastes, sondern Berlin. Bei der Kontrolle wird die sogenannte „Deutschlandweite Haltestellen ID“ (DHID) in den Kontrollnachweis eingetragen.
Die Verkehrsunternehmen, die das Deutschland-Ticket ausgeben, speichern für den Kauf und die Abrechnung relevante Daten wie Name, Adresse, Bankverbindung des Fahrgastes und speichern diese i. d. R. in separaten Abo- bzw. Customer Relationship Management-Systemen.
Das D-Ticket ist personenbezogen und nicht übertragbar. Das Ticket enthält deshalb auch die prüfrelevanten Daten zum Fahrgast wie Name + Vorname, Geburtsdatum, Geschlecht (ist möglich wird in aller Regel aber nicht mehr verarbeitet), SCE-ID (statische ID des digitalen Nutzermediums zu Zwecken des Kopierschutzes; nur bei Motics-Nutzung (Smartphone-Tickets mit dynamischem Barcode) auf dem Nutzermedien gespeichert. Rechtsgrundlage ist Art. 6 Abs 1 f) DSGVO. Die jeweiligen Betroffenenrechte werden gewährleistet.
Zusätzlich sind die zeitliche Gültigkeit (aktuell der betreffende Monat) und die räumliche Gültigkeit (hier Deutschland) hinterlegt.
Zeitliche und räumliche Gültigkeit sowie der Name des Fahrgastes werden im Rahmen einer Kontrolle geprüft, wobei der Name im Falle eines Barcode-Tickets mit einem Lichtbildausweis abgeglichen werden muss, um Ticketkopien möglichst hier schon zu erkennen.
Die Daten eines Kontrollnachweises werden im ZPVS gelöscht, wenn alle Prüfungen des Kontrollnachweises durchgeführt wurden und das Ergebnis positiv (keine Auffälligkeiten) ist. Einzig einige Basisdaten des Kontrollnachweis bleiben auf dem Nutzermedium (Chipkarte) gespeichert. Die Speicherung dieser Kontrolltransaktionen auf der Chipkarte ist im Sinne des Verbraucherschutzes erforderlich, damit ein Fahrgast die letzten Transaktionen, die mit seiner Chipkarte getätigt worden, einsehen kann.
Diese Datenverarbeitung wird in der praktizierten Form von den Datenschutzaufsichtsbehörden akzeptiert. Die Einträge im Applikationslogbuch auf der Chipkarte können auf Wunsch des Kunden jederzeit gelöscht werden. Automatisch sind nur zehn Transaktionsnachweise speicherbar, die sich jeweils wieder überschreiben (Ringspeicher).
Wie das ZPVS genau funktioniert und wie Verkehrsverbünde und Verkehrsunternehmen ihre Systeme an das ZPVS anschließen beziehungsweise Kryptogramme nachladen, erfahren Sie hier beziehungsweise über unsere Kollaborationsplattform (((efi.
Download: Kryptogramme beim D-Ticket (((efi: Funktionen des ZPVSFür jedes elektronische Ticket im VDV-KA-System wird eine Ausgabetransaktion mit einer eindeutigen Nummer erstellt. Diese muss lückenlos und aufsteigend sein. Jede Kontrolle erzeugt einen Kontrollnachweis, der ebenfalls mit einer Nummer versehen wird. Auch diese müssen lückenlos und aufsteigend sein. Das ZPVS ist fester Bestandteil eines nationalen Ticketsystems und empfängt alle Ausgabetransaktionsnachweise und die betreffenden Kontrollnachweise für nationale Tarifprodukte. Dadurch wird das Deutschland-Ticket revisionssicher abbildbar. Das Monitoring erkennt Fälschungen, Kopien, kompromittierte Schlüssel zur Ticketausgabe und kann Ausgabe- und Nutzungs-Daten für die Einnahmeaufteilung liefern.
Am 25. April 2023 ist das ZPVS als neuester Baustein der zentralen Hintergrundsysteme von (((eTicket Deutschland in Betrieb gegangen.
Bis zum offiziellen Start des Deutschland-Tickets hat die Branche noch keinen nationalen Produktverantwortlichen (PV) bestimmt, der Schlüssel und System bereitgestellt hätte. Das Präsidium des VDV hat am 23. März 2023 in einer Sondersitzung per Beschluss das Einhalten eines Mindest-Sicherheitsniveaus für das Deutschland-Ticket eingefordert und beschlossen. Darum stellt der VDV eTicket Service nun die vollständige technische Sicherheitsarchitektur für das D-Ticket zur Verfügung, auch wenn der reguläre nationale Produktverantwortliche noch nicht definiert ist. Angesichts des großen Betrugs- und Missbrauchspotentials muss auch in der Übergangsphase ein funktionierendes Sicherheitsmonitoring existieren.