Aufmacherbild: (C) ignis via Wikipedia, CCBY 3.0
Auch wenn eine Reise verschiedene Verkehrssysteme und ÖPNV-Systeme umspannt, sollte sie bequem zu buchen und zu bezahlen sein. Die Plattform eTicket Deutschland und die dahinter stehende VDV eTicket Service GmbH & Co. KG sind da schon recht weit: Mit einer Chipkarte, die sich per NFC oder RFID auslesen lässt, lassen sich Reisen in über 340 Verkehrsunternehmen und Verbünde bezahlen. Im Rahmen des Bühnenmagazins der Intelligenten Welt auf der Fachmesse IT-Trans 2016 sprachen wir mit Sjef Janssen, dem Geschäftsführer des Anbieter: Wo bleibt bei solchen Lösungen der Datenschutz?
Sjef Janssen schilderte in dem Gespräch, dass die VDV eTicket Service bereits im Vorfeld seiner Entwicklung Kontakt mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) aufgenommen hatte. Das Ziel war, die datenschutzrechtlichen Anforderungen zu erfahren und zu verstehen. Sie wurden dann in dem fürs eTicketing entwickelten Standard umgesetzt und vor der Markteinführung noch einmal vom BSI geprüft.
Auf seiner Website erläutert eTicket Deutschland die wichtigsten Konzepte: So werden beispielsweise die für die Abrechnung erforderlichen Daten und die Stammdaten der Kunden getrennt verarbeitet. Auswertungen der Reisedaten zu Planungs- und Optimierungszwecken werden immer ohne Bezug zu den persönlichen Daten der Kunden vorgenommen. Zwischen den Systembetreibern werden nur pseudonyme Daten ausgetauscht. Auf personenbezogene Daten, die auf der Chipkarte gespeichert sind, kann ein autorisiertes Terminal (etwa ein Lesegerät) nur nach Eingabe einer Kunden-PIN zugreifen. Und soweit nicht gesetzliche Aufbewahrungsfristen für Abrechnungsdaten bestehen, werden alle bei einer Fahrt entstandenen personenbezogenen Daten durch die Systembetreiber gelöscht oder vollständig anonymisiert.
Tipp für Mobilitäts-Startups: Datenschutz von vornherein berücksichtigen
Sjef Janssen gibt auch Startups in der Verkehrs- und Transportbranche den Rat, zu Datenschutzfragen frühzeitig Kontakt zu den zuständigen Behörden aufzunehmen. Dies gelte insbesondere auch bei der Entwicklung multimodaler Verkehrskonzepte beziehungsweise Routing-Tools und umfasse unbedingt auch die Schnittstellen zwischen den involvierten Systemen.
Dennoch hat Janssen auch Wünsche an den Gesetzgeber: Wie sich etwa auch im Rahmen des IT-Gipfel-Prozesses gezeigt habe, sei das Datenschutzgesetz noch stark auf klassische Datenverarbeitungsdienste ausgelegt. Die Besonderheiten vernetzter Verkehrssysteme würden noch nicht ausreichend berücksichtigt.
Das komplette, knapp vierminütige Gespräch, das wir im Rahmen des Bühnenmagazins auf der IT-Trans 2016 in Karlsruhe geführt hatten, können Sie hier als Videosmitschnitt anschauen: