Drucksache 17 / 18 457 Schriftliche Anfrage 17. Wahlperiode Schriftliche Anfrage des Abgeordneten Gerwald Claus-Brunner (PIRATEN) vom 18. April 2016 (Eingang beim Abgeordnetenhaus am 22. April 2016) und Antwort Spionagefahrkarte – is nisch egal Datenschutz und Funktionen der fahrCard - und was wussten BVG und VBB? Die Drucksachen des Abgeordnetenhauses sind bei der Kulturbuch-Verlag GmbH zu beziehen. Hausanschrift: Sprosserweg 3, 12351 Berlin-Buckow · Postanschrift: Postfach 47 04 49, 12313 Berlin, Telefon: 6 61 84 84; Telefax: 6 61 78 28. Im Namen des Senats von Berlin beantworte ich Ihre Schriftliche Anfrage wie folgt: Die Schriftliche Anfrage betrifft Sachverhalte, die der Senat nicht aus eigener Zuständigkeit und Kenntnis beantworten kann. Er ist gleichwohl bemüht, Ihnen eine Antwort auf Ihre Frage zukommen zu lassen und hat daher die Berliner Verkehrsbetriebe (BVG) und den Verkehrsverbund Berlin-Brandenburg (VBB) um Stellungnahme gebeten, die von der BVG in eigener Verantwortung erstellt und in Abstimmung mit dem VBB dem Senat übermittelt wurde. Sie wird nachfolgend wiedergegeben. Bezugnehmend auf die Broschüre der VDV- Kernapplikation GmbH (https://eticket.h3nv.de/uploads/tx_hektischdownloader/e Ticket-broschuere-2012.pdf) frage ich den Senat: Frage 1: „Die Anwendung des VDV-KA-Standards ist bei der Etablierung der VBB-fahrCard von großer Bedeutung , um eine höchstmögliche Systemsicherheit zu bieten und zukünftig eine deutschlandweite Interoperabilität zu sichern. Das Projekt wird durch eine intensive Kundenkommunikation begleitet. Eine im VBB initiierte Arbeitsgruppe stimmt sich hierzu bezüglich der Inhalte, Zeiträume und Kommunikationsprodukte ab.“(Broschüre der VDV-Kernapplikation GmbH, Seite 10) Weiterhin wird eine „Zentrale Vermittlungsstelle“, welche die Kommunikation zwischen allen (((eTicket- Deutschland-Teilnehmern, zu welchen auch die BVG als umsetzendes Verkehrsunternehmen zählt, als Dienstleistung der VDV-KA KG angegeben. (Broschüre der VDV- Kernapplikation GmbH, Seite 29f) Frage 1 a: Wie hat sich diese intensive Kundenkommunikation im Detail gestaltet? Antwort zu 1 a: Die BVG hat hierzu übermittelt: „Es fanden regelmäßige Sitzungen der Arbeitsgruppe Kommunikation unter der Leitung des VBBs statt. Für die Kundenkommunikation wurden abgestimmte Kommunikationselemente gestaltet, zu denen Informationsbroschüren , Datenschutzmerkblätter, FAQ-Listen und Anschreiben direkt an die Kunden gehören. Diese Informationsmaterialien sind online über die Webauftritte der Unternehmen und des VBBs verfügbar.“ Frage 1 b: Welche Informationen wurden BVG und VBB jeweils im Zusammenhang bei dieser „intensiven Kunden-kommunikation“ wann übermittelt? (Bitte detailliert nach Inhalt (wortwörtlich) und Datum auflisten) Antwort zu 1 b: Die BVG hat hierzu übermittelt: „Die Kunden wurden in einem Anschreiben vor Versand der Chipkarte und in einem weiteren Anschreiben mit dem Versand der Chipkarte informiert. Außerdem wurden Informationsbroschüren, Datenschutzmerkblätter und FAQs beigelegt.“ Frage 1 c: Wie kommt es trotz dieser „intensiven Kundenkommunikation“ dazu, dass der Hersteller Funktionen auf der fahrCard (=eTicket) aktiviert hat, die die BVG – laut eigener Aussage – nicht aktiviert haben wollte ? Antwort zu 1 c: Die BVG hat hierzu übermittelt: „Bei der angesprochenen Speicherfunktion handelt es sich technisch im Rahmen des Kernapplikationsstandards um ein Logbuch, das dem Fahrgast Auskunft über die letzten zehn getätigten Aktionen mit seinem (((eTicket (Elektronische Fahrausweise für Stammkunden) geben kann. Die Anwendung dieser Servicefunktion des Kernapplikationsstandards zur Erfassung von Fahrttransaktionen ist in der von der BVG in der Umsetzung befindlichen Ausgestaltung des (((eTickets nicht vorgesehen. Der Hersteller hat – wohl aufgrund einer Fehlinterpretation – gleichwohl die in der (((e-Ticket-Deutschland Spezifikation beschriebenen Funktionen spezifikationskonform in das Testsystem implementiert.“ Abgeordnetenhaus Berlin – 17. Wahlperiode Drucksache 17 / 18 457 2 Frage 1 d: Inwieweit haben sich BVG und VBB mit den technischen Aspekten des eTickets vor dessen Einführung auseinandergesetzt? Frage 3 b: Wenn die BVG die Funktion nicht bestellt hat, wie kann es dann sein, dass diese spezifikationskonform mit implementiert wurde? Antwort zu 1 d und 3 b: Die BVG hat hierzu übermittelt : „Sowohl die BVG als auch der VBB waren in Teilbereichen Entwicklungspartner bei der Gestaltung des Standards und haben umsetzungsbezogene Kompetenzen im Vorfeld aufgebaut.“ Frage 2: „Wenn der Kunde in ein Gebiet mit einer anderen Ausbauvariante kommt, kann er den dort angebotenen Service (Elektronisches Ticket mit oder ohne automatische Fahrpreisberechnung) mit seiner Karte in vollem Umfang nutzen. Diese auswärts durchgeführten Fahrten werden in der Abrechnung ausgewiesen“ (Broschüre der VDV-Kernapplikation GmbH, Seite 6). Frage 2 a: Welche Ausbauvariante bzw. welche Spezifikation des eTickets mit welchen Funktionen hat die BVG bzw. der VBB geordert und welche dieser Funktionen sollte davon aktiv sein? Antwort zu 2 a: Die BVG hat hierzu übermittelt: „In der im VBB zu realisierenden EFM*-Ausbauvariante 2a werden ein oder mehrere elektronische Fahrscheine auf einem Medium, z. B. der VBB-fahrCard, abgespeichert. Die Umsetzung erfolgt für Stammkunden. Ein Check-in/Check-out oder eine automatische Fahrpreisberechnung findet nicht statt.“ * EFM: Elektronisches Fahrgeldmanagement Frage 2 b: Woher weiß die Karte, in welchem Gebiet mit welcher Ausbauvariante sich der Nutzer befindet? Antwort zu 2 b: Die BVG hat hierzu übermittelt: „Der Kunde erhält seine VDV**-Chipkarte, z.B. die VBB-fahrCard, von einem Verkehrsunternehmen, welches als Kundenvertragspartner arbeitet. Auf diese Chipkarte können theoretisch unterschiedliche elektronische Fahrausweise aller Verkehrsunternehmen, die den KA***-Standard anwenden, geschrieben werden. Diese elektronischen Fahrausweise bilden in der Ausbauvariante 2a Tarifprodukte ab, die durch elektronische Kontrollgeräte geprüft werden. Die Karte kennt nur die aufgebrachten Informationen. Allein über die Chipkarte ist nicht zu ermitteln, in welchem Gebiet sich der Nutzer befindet, Ortsveränderungen kann sie nicht wahrnehmen.“ ** VDV: Verband Deutscher Verkehrsunternehmen e. V. *** KA: Kernapplikation Frage 2 c: Wann aktivieren sich welche Funktionen des eTickets, wenn sich der Nutzer I. aus einem Gebiet der Ausbauvariante 1 in ein Gebiet der Ausbauvariante 2 begibt, II. aus einem Gebiet der Ausbauvariante 1 in ein Gebiet der Ausbauvariante 3 begibt und III. aus einem Gebiet der Ausbauvariante 2 in ein Gebiet der Ausbauvariante 3 begibt? Antwort zu 2 c: Die BVG hat hierzu übermittelt: „Funktionen des eTickets aktivieren sich nicht selbstständig , diese bestimmen sich durch die umgesetzte Ausbaustufe in der Region und werden nur mit der zugehörigen Infrastruktur und den in der Region zugelassenen Medien realisiert. In den hier genannten Optionen 1 bis 3 werden keine Funktionen aktiviert.“ Frage 2 d: Wann deaktivieren sich die die in c) genannten Funktionen wieder? Antwort zu 2 d: Die BVG hat hierzu übermittelt: „Da sich -wie in Antwort 2c) beschrieben- keine Funktionen selbstständig aktivieren, gibt es auch keine Funktionen die sich selbstständig deaktivieren.“ Frage 2 e: Welchen Ausbauvarianten des eTickets sind mit einem RFID-Chip ausgestattet? Antwort zu 2 e: Die BVG hat hierzu übermittelt: „Ausbauvarianten des eTickets standardisieren ein systemisches Gesamtverhalten. Der Einsatz kontaktloser Chipkarten ist in jeder Ausbauvariante möglich.“ Frage 3: „Die Protokollierung der Kontrolltransaktionen stellt nach Sicht der (((eTicket-Deutschland einen elektronischen Zangenabdruck, wie z.B. bei der Entwertung von Fernverkehrstickets, dar. Es handelt sich hier nicht um ein Leck bzw. einen Systemfehler. Die BVG hat zwar beim Hersteller diese Funktion nicht beauftragt, jedoch hat dieser die in der (((eTicket-Deutschland Spezifikation beschriebenen Funktionen spezifikationskonform in das Testsystem implementiert.“ (SchrAnf 171/17724, Antwort zu Frage 6) Frage 3 a: Welcher Betrag wurde der BVG für die nicht bestellte Funktion in Rechnung gestellt? Antwort zu 3 a: Die BVG hat hierzu übermittelt: „Es wurde der BVG kein Betrag für die oben genannte Funktion in Rechnung gestellt.“ Frage 3 c: Wurde die Rücknahme der Implementierung dieser Funktion mittlerweile umgesetzt? Wenn ja, welcher Betrag wurde der BVG hierfür in Rechnung gestellt? Wenn nein, warum nicht und bis wann soll die Rücknahme vollständig umgesetzt werden? Abgeordnetenhaus Berlin – 17. Wahlperiode Drucksache 17 / 18 457 3 Antwort zu 3 c: Die BVG hat hierzu übermittelt: „Ja, seit Februar 2016 ist die Funktion außer Kraft gesetzt . Der BVG wurde dafür kein Betrag in Rechnung gestellt.“ Frage 3d: Welche Kosten sind seit 2012 durch das Projekt fahrCard der BVG und dem VBB jeweils entstanden und welche laufenden Kosten fallen monatlich an. (Bitte detailliert auflisten) Antwort zu 3 d: Die BVG hat hierzu übermittelt: „Seit 2012 sind bei der BVG Gesamtprojektkosten im Wert von 7,2 Mio. EUR (Aufwand und Invest in Summe) entstanden. Bei dem VBB belaufen sich die Gesamtprojektkosten bis Ende 2016 auf 8,5 Mio. EUR (zwei Projektstufen ).“ Frage 4: Aus welchem Grund wurde seitens der BVG und des VBB in Anbetracht folgender Aussage aus dem Jahre 2012: „Die Vorzüge des (((eTicket kommen mit der automatischen Fahrpreisberechnung so richtig zur Geltung. Ab jetzt bezahlt der Kunde statt zonenabhängiger Pauschaltarife nur noch die Leistung, die er wirklich in Anspruch nehmen möchte. Dafür muss bei jeder Fahrt haltestellengenau erfasst werden, wo der Kunde ein- und wieder aussteigt.“ (Broschüre der VDV-Kernapplikation GmbH, Seite 7) immer noch Folgendes behauptet: I. „Es ist weder technisch noch organisatorisch möglich ist, sogenannte Bewegungsprofile auf der Karte oder im System zu speichern. Bei der Kontrolle wird lediglich geprüft, ob Ihr elektronischer Fahrausweis gültig ist. Es werden keine personenbezogenen Daten gespeichert.“ (http://images.vbb.de/assets/downloads/file/5641.pdf, Seite 4) und II. „Nein. Es ist weder technisch noch organisatorisch möglich, Bewegungsprofile auf der Karte oder im System zu speichern. Die Vorgaben des Datenschutzes werden eingehalten. Kontrolldaten einerseits und personenbezogene Daten andererseits werden voneinander getrennt, eine Zusammenführung ist nicht möglich.“ (https://www.bvg.de/de/Service/Kundenservice/FAQ?id= 15)? Antwort zu 4: Die BVG hat hierzu übermittelt: „Die zitierte Passage der VDV-Broschüre aus dem Jahr 2012 beschreibt Eigenschaften der Ausbauvariante 3. Die unter I. und II. zitierten Aussagen beziehen sich dagegen auf die in Berlin-Brandenburg umzusetzende Ausbauvariante 2 bzw. 2a. Die Aussagen bezogen sich auf den gemäß Lastenheften geforderten Ausbauzustand (vgl. Antwort zu 1c).“ Frage 5: Frage 5 a: Gab oder gibt es Anfragen von Ermittlungsbehörden , um die im System oder auf den Karten gespeicherten Daten oder sonstige ermittlungstechnisch relevante Informationen zu bestimmten Personen zu erhalten ? Wenn ja, wie oft war dies der Fall, was wurde übermittelt und wann wurden diese Anfragen vom wem gestellt ? Antwort zu 5 a: Die BVG hat hierzu übermittelt: „Nein, gab es nicht.“ Frage 5 b: Gab es Anfragen von Ermittlungsbehörden, dass gezielt Bewegungsprofile oder sonstige ermittlungstechnisch relevante Daten erstellt und/oder gespeichert werden sollen? Wenn ja, wie oft war dies der Fall, was wurde an die Ermittlungsbehörden übermittelt und wann wurden diese Anfragen vom wem gestellt? Antwort zu 5 b: Die BVG hat hierzu übermittelt: „Nein, gab es nicht.“ Frage 5 c: Gab oder gibt es Anfragen von Ermittlungsbehörden , um generell Daten und/oder im Einzelfall von Abo-Inhabern zu erhalten? Wenn ja, wie oft war dies der Fall, was wurde übermittelt und wann wurden diese Anfragen vom wem gestellt ? Antwort zu 5 c: Die BVG hat hierzu übermittelt: „In den letzten Jahren gab es vereinzelt entsprechende Anfragen im Zusammenhang mit Straftaten, wobei nach Inhaber und dessen Adresse gefragt wurde. Zu den Details abgeschlossener und laufender Verfahren kann sich die BVG nicht äußern, da dies den entsprechenden Behörden obliegt. Wird ein Fahrgast bei einer Fahrausweiskontrolle festgestellt und die Karte ist gesperrt, so ziehen wir u.U. die Polizei hinzu, wenn die Identität des Fahrgastes nicht zweifelsfrei ermittelt werden kann. Diese zieht zur Beweissicherung die fahrCard ein und erkundigt sich im Anschluss bei dem ausgebenden Verkehrsunternehmen im Rahmen der weiteren Ermittlungsarbeit nach dem Eigentümer der fahrCard.“ Frage 5 d: Wäre es prinzipiell für Ermittlungsbehörden möglich, die im System gespeicherten Daten auszuwerten und zusammenzuführen? Antwort zu 5 d: Die BVG hat hierzu übermittelt: „Dies ist der BVG nicht bekannt.“ Frage 5 e: Gab es seitens der Ermittlungsbehörden jemals Kontakt zum VBB und/oder zur BVG, um über eine mögliche Verwendung der anfallenden Daten zu sprechen ? Wenn ja, wann war dies der Fall, um welche Ermittlungsbehörde handelte es sich jeweils und zu welchem Ergebnis kamen diese Gespräche? Antwort zu 5 e: Die BVG hat hierzu übermittelt: „Zur BVG und zum VBB gab es diesbezüglich keine Kontaktaufnahme.“ Frage 6 a: Wann werden die datenschutzrechtlichen Aspekte gemeinsam mit dem Landesdatenschutz der Länder Berlin und Brandenburg untersucht, so wie es in der Antwort zu Frage 8, SchrAnf 17/17808 angekündigt wurde? Abgeordnetenhaus Berlin – 17. Wahlperiode Drucksache 17 / 18 457 4 Frage 6 b: Wenn die Untersuchung schon abgeschlossen wurde, zu welchem Ergebnis ist der Landesdatenschutz gekommen und welche Folgen hatte es für die Verantwortlichen? Antwort zu 6 a und 6 b: Die BVG hat hierzu übermittelt : „Die in der Schriftlichen Anfrage 17/17808 angekündigten Maßnahmen erfolgten bereits mit dem Ergebnis, dass das erwartete und bestellte Systemverhalten (keine Speicherung von Fahrttransaktionen auf Chipkarten) realisiert wird.“ Frage 6 c: Werden gegen die BVG und/oder VBB derzeit Ermittlungen infolge von Verletzungen der Datenschutzbestimmungen geführt? Wenn ja, inwieweit ist dies der Fall? Antwort zu 6 c: Die BVG hat hierzu übermittelt: „Nein.“ Frage 7 a: Wer kontrolliert bei BVG und VBB den Fluss und die Verwendung der durch das eTicket anfallenden Daten? Antwort zu 7a: Die BVG hat hierzu übermittelt: „Es ist durch technische Maßnahmen sichergestellt, dass nur die datenschutzrechtlich zulässigen Daten auf der Chipkarte gespeichert werden. Die Maßnahmen werden stichprobenartig gemeinsam mit dem Konzerndatenschutzbeauftragten kontrolliert.“ Frage 7 b: Wie bewertet es der Senat, dass die auf dem eTicket gespeicherten Daten durch NFC-fähige Smartphones ausgelesen werden können und damit die in der Antwort zur Frage 2, SchrAnf 17/17724, stehenden Sicherheitsmaßnahmen ausgehebelt werden? (http://www.igeb.org/files/SIGNAL2015-6- Datenleck.pdf, Seite 2) Was wurde bisher getan, um diese seit 2012 bekannte Sicherheitslücke (http://www.golem.de/news/sicherheitsluecke-kostenlosu -bahn-fahren-mit-smartphone-und-nfc-fahrkarte-1209- 94715.html) zu schließen? Antwort zu 7b: Die BVG hat hierzu übermittelt: „Das erwartete Systemverhalten wurde durch alle dem VBB angeschlossenen Verkehrsunternehmen hergestellt.“ Frage 8: In der Antwort zur Frage 2b der SchrAnf 17/17808 heißt es: „Die BVG wird ihren Kunden im Laufe des Februars anbieten, die auf den fahrCards gespeicherten Logbucheinträge selbst zu löschen. Dies können die Kunden in den BVG-Verkaufsstellen an Informationsterminals durchführen . Hierüber wird die BVG gesondert informieren.“ Der Fragesteller ist Inhaber einer fahrCard und wurde bis heute nicht informiert. Aus welchem Grund wurden die betroffenen Kunden bis heute nicht informiert und wann wird dies geschehen? Antwort zu 8: Die BVG hat hierzu übermittelt: „Die Information erfolgte mit Bereitstellung der Löschfunktion im Februar 2016 über alle öffentlichen Kanäle und die Internetseiten der BVG, S-Bahn Berlin und des VBB.“ Berlin, den 09. Mai 2016 In Vertretung C h r i s t i a n G a e b l e r ................................ Senatsverwaltung für Stadtentwicklung und Umwelt (Eingang beim Abgeordnetenhaus am 11. Mai 2016)