Wie das ZPVS das Deutschlandticket prüft und schützt / eticket

Beim Deutschland-Ticket gibt es keinen ausgebenden Verkehrsverbund, der sich um das PV-System im Hintergrund kümmert. Deshalb übernehmen wir mit dem ZPVS diese Rolle und sorgen dafür, dass das D-Ticket überall kontrolliert - und auch gesperrt werden kann.

Das Zentrale PV-System sorgt für Systemsicherheit und die revisionssichere Nachverfolgung aller ausgegebenen D-Tickets. Es liefert zudem wichtige Daten, um eine faire und korrekte Einnahmenaufteilung zu ermöglichen. Die übermittelten Datensätze sind pseudonymisiert, verschlüsselt und werden über ein gesichertes Netzwerk übertragen. Wie das funktioniert, welche Daten im Hintergrund verarbeitet werden und wie Sicherheit und Datenschutz im eTicket-System funktionieren, erklären wir hier.

Im Normalfall gibt ein Verkehrsverbund als Product Owner ein Ticket aus, legt den Preis fest und betreibt ein System, über das die Tickets verwaltet werden. Beim Deutschland-Ticket gibt es diese Rolle so nicht. Preis, Gültigkeit und Rahmenbedingungen wurden politisch festgelegt.
Deshalb haben wir die technische Rolle übernommen: Wir kümmern uns nicht um Tarif oder Preis, sondern darum, dass die Systeme im Hintergrund reibungslos funktionieren.
Am 25. April 2023 haben wir das Zentrale PV-System (ZPVS) als neuen Baustein der zentralen Hintergrundsysteme von (((eTicket Deutschland in Betrieb genommen. Es sammelt die Nachweise über Ticket-Ausgaben und Ticket-Kontrollen aus ganz Deutschland und führt sie in einem System zusammen. So kann überprüft werden, ob ein kontrolliertes Ticket echt ist oder ob es sich um eine Kopie oder Fälschung handelt.

Wie das ZPVS technisch funktioniert

Das ZPVS ist damit vor allem ein Monitoring-System, das Fälschungen, Kopien und kompromittierte Schlüssel zur Ticketausgabe erkennt. Für jedes elektronische Ticket wird eine Ausgabetransaktion mit einer eindeutigen Nummer erstellt. Jede Kontrolle erzeugt einen Kontrollnachweis, der ebenfalls mit einer fortlaufend und lückenlosen Nummer versehen wird. Das ZPVS empfängt alle Ausgabetransaktionsnachweise und die betreffenden Kontrollnachweise für nationale Tarifprodukte. Dadurch entsteht eine lückenlose Historie, die sicherstellt, dass Tickets korrekt ausgegeben und genutzt werden.
Außerdem kann es Ausgabe- und Nutzungs-Daten für die Einnahmeaufteilung liefern. Nur wenn bekannt ist, wie viele Tickets ausgegeben und genutzt werden, können Einnahmen zwischen Verkehrsunternehmen und Verbünden korrekt verteilt werden. Das ZPVS schafft hier die technische Grundlage und sorgt gleichzeitig dafür, dass die Einnahmen der Branche geschützt werden, indem es Missbrauch erkennt und verhindert.

Datenschutz beim ZPVS

Alle Datensätze, die an das ZPVS versendet werden, sind pseudonymisiert und werden verschlüsselt über ein eigens gesichertes Netzwerk verschickt.
Kundendaten und Kontrolltransaktionsdaten werden getrennt gespeichert. Dadurch ist eine Zusammenführung und Erstellung eines Bewegungsprofils nicht möglich. Die Daten können ausschließlich zum Zweck der Abrechnung, bzw. Reklamationsbearbeitung beim Verkehrsunternehmen oder Verbund zusammengeführt werden.

Welche Daten werden auf dem Deutschland-Ticket gespeichert?

Das D-Ticket ist personenbezogen und nicht übertragbar. Es enthält die prüfrelevanten Daten des Fahrgasts, wie Name, Vorname, Geburtsdatum und optional das Geschlecht (welches in aller Regel jedoch nicht mehr verarbeitet wird).

Die SCE-ID, eine statische ID des digitalen Nutzermediums zum Zwecke des Kopierschutzes, wird nur bei der Nutzung von Motics (Smartphone-Tickets mit dynamischem Barcode) auf dem Nutzermedium gespeichert. Die Verarbeitung erfolgt auf Grundlage der DSGVO, wobei die Rechte der Fahrgäste gewahrt bleiben (Artikel 6 Absatz 1 f der Datenschutz-Grundverordnung, DSGVO).

Zusätzlich sind die zeitliche Gültigkeit (aktuell der betreffende Monat) und die räumliche Gültigkeit (hier Deutschland) hinterlegt.

Welche Daten speichert das ZPVS?

Die Daten der Ausgabe- und Kontrollnachweise werden im zentrale PV-System und beim verkaufenden Unternehmen gespeichert. Wichtig ist die Unterscheidung zwischen den Daten, die das ticketausgebende Verkehrsunternehmen verarbeitet und den systemischen Daten, die zur Kontrolle und Systemsicherheit im Ticket und den Kontrollnachweisen hinterlegt sind.

In unserem ZPV-System liegen ausschließlich pseudonymisierte Daten vor. Als Ortsangabe für die Ausgabetransaktion wird die Ortsangabe des verkaufenden Unternehmens eingetragen.
Wird das Ticket in Berlin gekauft, ist die Ortsangabe also nicht der Wohnort des Fahrgastes, sondern Berlin. Bei der Kontrolle wird die sogenannte „Deutschlandweite Haltestellen ID“ (DHID) in den Kontrollnachweis eingetragen.

Welche Daten speichert das Verkehrsunternehmen?

Die Verkehrsunternehmen, die das Deutschland-Ticket ausgeben, speichern für den Kauf und die Abrechnung relevante Daten wie Name, Adresse, Bankverbindung des Fahrgastes. Diese liegen in separaten Abo- bzw. Customer-Relationship-Management-Systemen.

Wie lange werden die Daten gespeichert?

Die Daten eines Kontrollnachweises werden im ZPVS gelöscht, wenn alle Prüfungen des Kontrollnachweises durchgeführt wurden und das Ergebnis positiv (keine Auffälligkeiten) ist. Einzig einige Basisdaten des Kontrollnachweis bleiben auf dem Nutzermedium (Chipkarte) gespeichert. Die Speicherung dieser Kontrolltransaktionen auf der Chipkarte ist im Sinne des Verbraucherschutzes erforderlich, damit ein Fahrgast die letzten Transaktionen, die mit seiner Chipkarte getätigt worden, einsehen kann.
Diese Datenverarbeitung wird in der praktizierten Form von den Datenschutzaufsichtsbehörden akzeptiert. Die Einträge im Applikationslogbuch auf der Chipkarte können auf Wunsch des Kunden jederzeit gelöscht werden. Automatisch sind nur zehn Transaktionsnachweise speicherbar, die sich jeweils wieder überschreiben (Ringspeicher).