Drucksache 17 / 17 724 Schriftliche Anfrage 17. Wahlperiode Schriftliche Anfrage der Abgeordneten Christopher Lauer und Andreas Baum (PIRATEN) vom 11. Januar 2016 (Eingang beim Abgeordnetenhaus am 14. Januar 2016) und Antwort Verstoß gegen Datenschutz bei der elektronischen Fahrkarte VBB-fahrCard? Die Drucksachen des Abgeordnetenhauses sind bei der Kulturbuch-Verlag GmbH zu beziehen. Hausanschrift: Sprosserweg 3, 12351 Berlin-Buckow · Postanschrift: Postfach 47 04 49, 12313 Berlin, Telefon: 6 61 84 84; Telefax: 6 61 78 28. Im Namen des Senats von Berlin beantworte ich Ihre Schriftliche Anfrage wie folgt: Die Schriftliche Anfrage betrifft Sachverhalte, die der Senat nicht aus eigener Zuständigkeit und Kenntnis beantworten kann. Er ist gleichwohl bemüht, Ihnen eine Antwort auf Ihre Frage zukommen zu lassen. Für die Anwendung der VBB 1 -fahrCard tragen die Verkehrsunternehmen die alleinige unternehmerische Verantwortung. Aus diesem Grunde hat der Senat die Berliner Verkehrsbetriebe (BVG) um Stellungnahme gebeten, die von dort in eigener Verantwortung erstellt und dem Senat übermittelt wurde. Sie wird nachfolgend wiedergegeben. Frage 1: Welche konkreten Daten wurden bzw. werden seit dem Jahr 2012 auf dem elektronischen Fahrausweis „VBB-fahrCard“ gespeichert? Antwort zu 1: Die BVG hat hierzu übermittelt: „Von 2012 bis zur testweisen Inbetriebnahme der Omnibuskontrollgeräte 2015 werden auf der Karte durch BVG-Terminals folgende Daten gespeichert: Das Ticket, bestehend aus: Berechtigungs_ID (fortlaufende Nummer das Vertriebssystems ), Produktnummer (z.B. für „VBB-Umweltkarte“), Organisationsnummer (für BVG), ein Erfassungsschlüssel (für die (((e-Ticket- Deutschland Region des VBB), zeitliche Gültigkeitsdaten (von/ bis), eine Raumnummer (Merkmal für den Tarifbereich - z.B. für „Berlin AB“) und das Tarifstufenkürzel (Kombination aus räumlicher Gültigkeit, Produkt und Zahlweise). Seit Dezember 2014 werden auch Azubi-Tickets ausgegeben, die darüber hinaus noch den Namen des Ticketinhabers (persönliches Produkt ) und das Geburtsdatum enthalten. 1 Verkehrsverbund Berlin-Brandenburg Im Applikationslogbuch der Karte werden die Ausgabetransaktion der Berechtigung (das eTicket wird auf der Chipkarte in der Applikation des KA-Standards gespeichert ) mit Berechtigungsnummer, Transaktionsart (z.B. Ausgabe Berechtigung), Ortsnummer, Zeitpunkt, Nummer des Sicherheitsmoduls protokolliert. Der Kartenhersteller bringt bei Ausgabe der Applikation auch diese als Ausgabetransaktion in das Applikationslogbuch ein. Die Omnibuskontrollgeräte brachten seit 2015 bis zur Abschaltung der Prüffunktion im Rahmen des Testbetriebes die sogenannte Fahrttransaktion einer Kontrolle [Bestandteil der Spezifikation des (((e-Ticket-Deutschland] ein. Zu dieser Fahrttransaktion gehört auch die Zeit der Prüfung, die Haltestellennummer (Ortsnummer), die Nummer des Terminals und Sicherheitsmoduls, welches die Kontrolltransaktion durchgeführt hat. Eine Sperrung der Karte, die von jedem Terminal des VBB-fahrCard-System erfolgen kann, führt zu einem Sperreintrag in der Berechtigung und der Protokollierung dieser Aktion im Applikationslogbuch mit analogen Einträgen unter der Bezeichnung Sperrtransaktion.“ Anmerkung KA-Standard: Kernapplikationsstandard Frage 2: Welche auf der VBB-fahrCard gespeicherten Daten wurden bis zum 28.12.2015 durch das Vorbeiführen an fest installierten Lesegeräten in BVG-Bussen ausgelesen ? Abgeordnetenhaus Berlin – 17. Wahlperiode Drucksache 17 / 17 724 2 Antwort zu 2: Die BVG hat hierzu übermittelt: „Zur Authentifizierung der Karte und der Berechtigung als ´echte´ Wertobjekte im Chipkartensystem (Kernapplikationsstandard) innerhalb des Verkehrsverbundes sind eine Reihe von Sicherheitsabfragen zwischen dem Kontrollterminal und der Karte notwendig. Die Einzelheiten der Kryptographie entziehen sich dabei unserer Kenntnis, da wir hier lediglich Anwender des Standards sind. Zur automatischen Prüfung durch die Lesegeräte auf Gültigkeit der Berechtigung werden die Produktnummer, die Raumnummer (Merkmal für den Tarifbereich) und die zeitliche Gültigkeit genutzt.“ Frage 3: Welche Daten wurden bis zum 28.12.2015 durch das Vorbeiführen an fest installierten Lesegeräten in BVG-Bussen auf der VBB-fahrCard gespeichert? Antwort zu 3: Die BVG hat hierzu übermittelt: „Bei den Omnibuskontrollgeräten wurde (siehe auch Antwort Frage 1) die Fahrttransaktion einer Kontrolle sowie ggf. eine Sperrtranskation im Applikationslogbuch gespeichert.“ Frage 4: Welche auf der VBB-fahrCard gespeicherten Daten werden durch mobile Kontrollgeräte ausgelesen und mit der Datenbank des zentralen Kontroll- und Sperrlistenservice (KOSES) abgeglichen? Antwort zu 4: Die BVG hat hierzu übermittelt: „Nach der Prüfung, ob die Karte und die Berechtigung echt ist (Authentifizierung im Sicherheitssystem des Kernapplikationsstandards u.a. über lokal eingesetzte physikalische Sicherheitselemente), werden für die Kontrolle über diese Geräte, die räumlichen und zeitlichen Berechtigungsdaten (siehe auch Antwort zu Frage 1, bei persönlichen Berechtigungen auch die Angaben zur berechtigten Person zur Nutzung des Tickets) automatisiert ausgelesen, lokal auf dem Prüfgerät mit der Raum- und Zeitinformation verglichen und das Prüfergebnis zur Nutzungsgültigkeit für das Prüfpersonal dargestellt. Vor dem automatischen Vergleichsprozess zur Feststellung der zeitlichen und räumlichen Gültigkeit einer Berechtigung wird die Nummer der Berechtigung mit der lokal im Prüfgerät gespeicherten Sperrliste (Liste des zentralen Kontroll- und Sperrlistenservice [KOSES] der zu sperrenden Berechtigungsnummern) abgeglichen.“ Frage 5: Welche Daten können durch mobile Kontrollgeräte auf der VBB-fahrCard gelöscht, überschrieben oder neu gespeichert werden? Die BVG hat hierzu übermittelt: „Die mobilen Kontrollgeräte können automatisiert die räumliche und zeitliche Gültigkeit einer Berechtigung prüfen, in diesem Vergleichsvorgang werden Daten von der Chipkarte ausschließlich gelesen und verglichen. Vor dem automatischen Vergleichsprozess (siehe auch Antwort zur Frage 4) wird die Nummer der Berechtigung mit der lokal im Prüfgerät gespeicherten Sperrliste des zentralen Kontroll- und Sperrlistenservice abgeglichen. Ist die Sperrlistenprüfung negativ (Berechtigungsnummer ist nicht Bestandteil der Sperrliste) folgt der automatische Vergleichsprozess zur zeitlichen und räumlichen Gültigkeit . Befindet sich die Berechtigungsnummer auf der lokal im Prüfgerät gespeicherten Sperrliste, wird die Berechtigung elektronisch auf der Chipkarte mit einem durch den Kernapplikationsstandard definierten Sperreintrag markiert (gesperrt) und der Vorgang wird im Applikationslogbuch der Chipkarte eingetragen (siehe auch Antwort Frage 1).“ Frage 6: Nach Angaben des VBB sei es „weder technisch noch organisatorisch möglich, sogenannte Bewegungsprofile auf der Karte oder im System zu speichern. Bei der Kontrolle [...] werden keine personenbezogenen Daten gespeichert.“1 Wie bewertet der Senat die im Dezember 2015 bekannt gewordene Tatsache, dass in BVG- Bussen installierte Lesegeräte Bewegungsdaten auf VBBfahr Cards speichern und diese Daten durch NFC-fähige Smartphones ausgelesen werden können? Antwort zu 6: Die BVG hat hierzu übermittelt: „Die Protokollierung der Kontrolltransaktionen stellt nach Sicht der (((e-Ticket-Deutschland einen elektronischen Zangenabdruck, wie z.B. bei der Entwertung von Fernverkehrstickets, dar. Es handelt sich hier nicht um ein Leck bzw. einen Systemfehler. Die BVG hat zwar beim Hersteller diese Funktion nicht beauftragt, jedoch hat dieser die in der (((e-Ticket-Deutschland Spezifikation beschriebenen Funktionen spezifikationskonform in das Testsystem implementiert.“ Frage 7: Ist dem Senat bekannt, ob dieser technische Defekt beim Hersteller der VBB-fahrCard bzw. der in BVG-Bussen installierten Lesegeräte reklamiert wurde oder werden soll, und wenn ja, mit welchen Konsequenzen ? Die BVG hat hierzu übermittelt: Antwort zu 7: „Die Rücknahme der Implementierung dieser Funktion wurde von der BVG gegenüber dem Hersteller angezeigt. Aktuell wurde beim Einstiegskontrollsystem Omnibus durch die Außerbetriebnahme der im Testbetrieb laufenden Prüfgeräte das Beschreiben der Logbücher unterbunden. Gemeinsam mit dem Systemhersteller wird das separate Außerbetriebnehmen der Funktion , hier liegen positive Ergebnisse zur Realisierung vor, umgesetzt.“ Abgeordnetenhaus Berlin – 17. Wahlperiode Drucksache 17 / 17 724 3 Frage 8: Wie kann in Zukunft garantiert werden, dass durch das Vorbeiführen der VBB-fahrCard an fest installierten Lesegeräten oder an mobilen Kontrollgeräten keine Positions- oder Bewegungsdaten der Karteninhaber/- innen erhoben und auf der VBB-fahrCard oder an anderer Stelle gespeichert werden? Antwort zu 8: Die BVG hat hierzu übermittelt: „Die BVG beauftragt den Hersteller der Omnibuskontrollgeräte die Funktion zum Eintragen von Fahrttransaktionen in das Applikationslogbuch der Chipkarten nicht in Betrieb zu nehmen und wird dies vor Inbetriebnahme testen. Der Hersteller der mobilen Kontrollgeräte hat die Funktion von Anfang an nicht implementiert.“ Frage 9: Welche organisatorischen Maßnahmen zur Qualitätssicherung ergreifen Senat, VBB und die Verkehrsunternehmen , um zukünftige Fehlfunktionen der VBB-fahrCard oder weitere datenschutzrechtliche Probleme zu vermeiden? Die BVG hat hierzu übermittelt: Antwort zu 9: „Die BVG testet mit den anderen im VBB verkehrenden Unternehmen permanent die Funktionen des VBB-fahrCard-Systems und stimmt sich mit ihnen über die Funktionen ab. Datenschutzrechtlichen Aspekte werden gemeinsam mit dem Landesdatenschutz der Länder Berlin und Brandenburg im Vorfeld untersucht .“ Frage 10: Welche zusätzlichen Kosten entstehen durch die Überprüfung, Reparatur oder ggf. Neuausgabe bzw. Neuinstallation der VBB-fahrCards bzw. der fest installierten Lese- und mobilen Kontrollgeräte, die datenschutzrechtlichen Standards genügen? Antwort zu 10: Die BVG hat hierzu übermittelt: „Die Rücknahme der Funktionalität ´Protokollieren des Kontrollvorgangs im Applikationslogbuch der Chipkarten ´ wurde beim Hersteller im Rahmen der laufenden Beauftragung zur Entwicklung des Systems eingebracht. Darüber hinaus ertüchtigt die BVG ihre Kundeninformationsterminals in den Verkaufsstellen mit der Funktion , von VBB-fahrCards diese Protokolldaten anzeigen und löschen zu können. Der Hersteller hat der BVG die Umsetzung für 5.700,00 EUR angeboten, die BVG hat diese Funktionserweiterung entsprechend beauftragt.“ Frage 11: Wer übernimmt die nach Frage 10 genannten Kosten bzw. aus welchen Mitteln werden diese finanziert ? Antwort zu 11: Die BVG hat hierzu übermittelt: „Die entsprechend der Antwort auf Frage 10 aufgezeigten Kosten werden BVG-seitig durch Eigenmittel finanziert.“ Frage 12: Kann der Senat mit Sicherheit ausschließen, dass erhobene Positions- oder Bewegungsdaten der VBBfahr Card-Inhaber/-innen in die Datenbank des zentralen Kontroll- und Sperrlistenservice (KOSES) aufgenommen und dort möglicherweise zu Bewegungsprofilen weiterverarbeitet wurden? Antwort zu 12: Die BVG hat hierzu übermittelt: „Ja, im Kontroll- und Sperrlistenservice werden zur Sperrung beauftragte Berechtigungen aggregiert und verteilt. Eine Möglichkeit zur Positionsbestimmung besteht dabei nicht.“ Frage 13: Wie viele Kund/-innen haben seit dem Jahr 2012 wegen der Beendigung ihres Abonnements ihre VBB-fahrCard an das vertragsführende Verkehrsunternehmen zurückgegeben? Antwort zu 13: Die BVG hat hierzu übermittelt: „Nachdem die BVG über das Jahr 2012 rollierend für das Tarifprodukt ´VBB-Umweltkarte´ bis einschließlich Tarifbereich Berlin ABC ca. 220.000 Abonnements auf die VBB-fahrCard umgestellt hat, erfolgt seit dem Jahr 2013 eine quartalsweise Rückgabe von ca. 30.000 Karten. Grundsätzlich ist nach Beendigung eines Abonnements die VBB-fahrCard immer an das ausgebende Unternehmen zurückzugeben. Die Rückgabe der VBB-fahrCard erfolgt auch beim Wechsel eines Tarifproduktes oder Defekt (siehe Frage 14) und ist deshalb nicht mit einer Kündigung gleichzusetzen .“ Frage 14: Wie viele VBB-fahrCards mussten seit dem Jahr 2012 wegen technischer Defekte oder wegen unsachgemäßer Nutzung ausgetauscht werden? Antwort zu 14: Die BVG hat hierzu übermittelt: „Insgesamt wurden seit Einführung der VBB-fahrCard bei der BVG 160 physisch beschädigte, 3.343 nicht mehr lesbare, jedoch optisch einwandfreie und 34 fehlbedruckte Karten registriert. Alle Karten wurden kostenlos getauscht .“ Frage 15: Was geschieht mit einer zurückgegebenen VBB-fahrCard und den darauf gespeicherten Daten? Antwort zu 15: Die BVG hat hierzu übermittelt: „Zurückgegebene VBB-fahrCards werden bei der BVG abgeschlossen bis zur datenschutzkonformen mechanischen Verschrottung gelagert. Vom Zeitpunkt der Abgeordnetenhaus Berlin – 17. Wahlperiode Drucksache 17 / 17 724 4 Rückgabe bis zur Verschrottung werden die Chipkarten nicht elektronisch gelesen, automatisierte Logistikprozesse werden über optische Scans des QR-Codes auf den Karten gesteuert. Anhand der im QR-Code codierten Nummer erfolgt quartalsweise die Abmeldung dieser Karten beim Trustcenter der Kernapplikation.“ Frage 16: Wurden Maßnahmen ergriffen oder sind entsprechende Maßnahmen geplant, um Inhaber/-innen der VBB-fahrCard über Möglichkeiten zu informieren, wie bereits gespeicherte Nutzungsdaten, welche die Erstellung eines Bewegungsprofils erlauben, gelöscht werden können? Antwort zu 16: Die BVG hat hierzu übermittelt: „Die BVG hat den Lieferanten der Kundeninformationsterminals mit der technischen Lösung zum kundenbedienten Anzeigen möglicher Logeinträge sowie der Möglichkeit , Fahrttransaktionen kundenbedient zu löschen, beauftragt. Wir gehen davon aus, dass diese Funktion Anfang Februar unseren Kunden in den BVG Verkaufsstellen zur Verfügung steht.“ Berlin, den 29. Januar 2016 In Vertretung C h r i s t i a n G a e b l e r ................................ Senatsverwaltung für Stadtentwicklung und Umwelt (Eingang beim Abgeordnetenhaus am 04. Feb. 2016)