Martins key.matiq-Blog

>> Zurück zum Artikelverzeichnis >>


"Die haben ja wohl alle Lack gesoffen!"

Geschrieben: 17.05.2024
Letzte Überarbeitung: 06.12.2024
Stichwörter: Grundsätze, Sicherheit

Zweifelhafte und kontraproduktive Bonitätsüberprüfungen durch die Deutsche Bahn beim Fahrkartenkauf über bahn.de und DB Navigator

Wenn man unterwegs ist, hat man meist nicht viel Gepäck dabei. Bahnschalter gibt es immer weniger, Automaten nicht überall, und so ist oft das Smartphone das einzige Mittel, um schnell an eine Fahrkarte zu kommen. Letztere muss man dann natürlich bezahlen, und da erscheint das SEPA-Lastschriftverfahren am einfachsten.

Doch dafür hat die Bahn im Dezember 2023 eine Bonitätsprüfung eingeführt, die vielerorts Kopfschütteln hervorruft, so z. B. bei dem Blogger Felix von Leitner, der mit dem Ausspruch "Die haben ja wohl alle Lack gesoffen!" reagierte und zum Boykott des Verfahrens aufrief.1

Vorgeschichte: Fahrkartenbetrug

Eine ausgetüftelte Masche brachte erst Bahnkund*innen und schließlich auch auch die Deutsche Bahn selbst in Schwulitäten:

Die Betrüger*innen schnitten zunächst unverschlüsselte WLAN-Verbindungen mit und griffen dabei E-Mails mit der Bahn heraus. Dann hackten sie die Konten bei der Bahn, indem sie "Passwort vergessen" klickten und sich eine neues Passwort per (wiederum mitgeschnittener) Mail zuschicken ließen. Die Mailadresse der Bahn-Konten änderten sie dann und hatten nun vollen und ungestörten Zugriff auf die Konten, während die Eigentümer*innen sich wunderten, auf ihre Konten nicht mehr zugreifen zu können.

Nun bestellten sie Fahrkarten und stornierten dann den Kauf gleich wieder, erhielten dafür (nicht-personengebundene) Gutscheine, und verkauften im Internet Fahrkarten zu Schnäppchenpreisen, die sie mit den erbeuteten Gutscheinen bezahlten.

Die Eigentümer*innen der gehackten Bankkonten wurden dabei abkassiert, hingen in Warteschleifen der Bahn-Hotline fest und wenn sie dran kamen, wurde ihnen nicht geholfen.

Irgendwann kam das alles auf, und die Bahn musste Millionen blechen. Aber dass Sie selbst die Masche mit Ihren Gutscheinen (anstatt bei Stornos einfach zurückzuüberweisen) ermöglicht hatte, sah die Deutsche Bahn nie ein, sondern sah die Verantwortung für die Sicherheit nur bei den Kund*innen.

Die ganze Geschichte lesen Sie in der Berliner Zeitung (14.04.2022).

Deutschlandticket: Vermehrte Betrugsfälle

Im September 2023 meldet die Bahn wieder mehr Betrugsfälle, siehe tagesschau.de: "Strengere Kontrollen wegen gefälschter Deutschlandtickets".

Nun die Bonitätsprüfung

Im Januar 2024 beschwerte sich Mike65 darüber, dass ihm beim Erwerb eines Deutschlandtickets für die Verifikation des Bankkontos eine Bonitätsprüfung durch Tink2 oder Verimi3 zugemutet wurde. Er musste dabei die Login-Daten für das Onlinebanking preisgeben und den Zugriff auf Bankumsätze gestatten, obwohl seine Bank in den AGB4 eine Preisgabe der Kontodaten explizit verbietet. Er hat danach das Banking-Kennwort geändert, sah aber (meiner Ansicht nach völlig zurecht) die Prozedur nicht ohne Bauchschmerzen.5

(Mike65 hatte sich bei der Bonitätsprüfung für Tink entschieden, weil Verimi bereits durch einen gravierenden Datenskandal aufgefallen war, siehe Computerbild (28.07.2022)).

Die Bahn verweist nun darauf, dass seit Einführung der Bonitätsprüfung die Zahl der Betrugsfälle zurückgegangen ist.6

Aber kann man es sich so einfach machen? Ist es OK, wenn die Bahn die Betrugsmaschen auf Kosten der Sicherheit ihrer Kund*innen bekämpft?

Die Bonitätsprüfung ist nicht nur eine Zumutung sondern ein Skandal!

Die Forderung, einem Zahlungsdienstleister das Banking-Passwort zu überlassen, ist zumindest im Privatkundengeschäft skandalös und IMHO illegal: Wie ich in dem Blog-Artikel "Passwortsicherheit" herausgearbeitet habe, ist das Stillschweigen über ein Kennwort einer der vier essenziellen Aspekte der Passwortsicherheit. Man teilt ein Kennwort in aller Regel nur dem Dienst oder dem Programm, für den/das es bestimmt ist, mit. Es gibt nur wenige Ausnahmen:

  • Evtl. die Übergabe an eine zweite oder dritte Person, wenn solch eine weitere Zugriffsmöglichkeit ersatzweise erforderlich ist und dies sich nicht durch zusätzliche Administrations-Konten bewerkstelligen lässt.
  • Ein versiegelter Notfallkoffer, der bei Krankheit, Unfall oder Tod an Verwandte, Erb*innen oder Kolleg*innen übergeben wird.
  • Bei Chipkarten ist die Eingabe einer PIN durch ein Gerät, das jemand anders gehört, erforderlich, da die Chipkarte naturgemäß über kein eigenes Eingabegerät verfügt. (In diesem Fall ist es zwar theoretisch möglich, dass die Besitzer*in des Geräts die PIN mitschneidet, aber das würde ihr nicht viel nützen, solange sie nicht auch in den Besitz der Chipkarte kommt).

Jede weitere Ausnahme würde die Geheimhaltung von Kennwörtern konterkarieren. Zumindest im Normalfall.

Ich habe gehört, dass es im B2B-Geschäft wohl Fälle von Bonitätsprüfungen gibt, bei denen die Weitergabe von Online-Banking-Daten Usus ist, siehe dazu Bank of Scotland: "Was macht Tink"7. Z. B., wenn eine Auto-Werkstatt für 200.000 Euro Autos im Kundenauftrag einkaufen will und ihre Bonität nachweisen muss. Da kann man natürlich ein speziell dafür eingerichtetes Geschäftskonto (mit Zustimmung der Kund*innen) einrichten, das man dann z. B. Tink gegenüber offenlegt, um zu beweisen, dass man immer nur sehr kurzfristige hohe Kredite benötigt, die umgehend wieder getilgt werden.8 Die neue europäische Zahlungsdiensterichtlinie PSD2 ermöglicht und reguliert genau solche Fälle (siehe Bundesbank: "PSD2").

Das heißt aber nicht, dass PSD2 nun erlaubt, dass Privatkund*innen auf breiter Ebene gedrängt werden dürfen, ihre Banking-Passwörter offenzulegen. Allerhöchstens dürfte diese Form der Bonitätsprüfung als Ultima Ratio angeboten werden, falls (in seltenen Fällen) alle anderen Möglichkeiten ausfallen.

Wie könnte es denn die Bahn besser machen?

Natürlich muss die Bahn den Betrug bekämpfen. Sie muss die Konten bei bahn.de besser schützen. Sie sollte auch überprüfen, ob die Besitzer*in des bahn.de-Kontos Zugriff auf das angegebene Bank-Konto hat. Und sie kann sich natürlich auch, soweit es nötig ist, der Bonität versichern.

  • Mir fällt z. B. auf, dass die Bahn als Kundendaten im Normalfall gerade mal Anrede, Name, Kundennummer, E-Mail-Adresse und Geburtsdatum speichert. Eine 2-Faktor-Authentisierung (über SMS oder Authentisierungs-App) ist möglich, erschwert dann aber den Zugriff, auch wenn man eilig nur Reisedaten, wie eine geänderte Zugreihung abrufen will. Wieso wird nicht die Mobilrufnummer und/oder Festnetznummer mit gespeichert? Diese wäre z. B. im Fall "Passwort vergessen" niederschwellig hilfreich, um Missbräuche zu verhindern, auch wenn die 2-Faktor-Authentisierung nicht angeschaltet ist.
  • Wenn eine 2-Faktor-Authentisierung angeschaltet ist, muss wohl bei jedem Login die SMS abgeholt oder die Authentisierungs-App benutzt werden. Das erhöht die Schwelle für die Benutzung der 2-Faktor-Authentisierung. Besser wäre es, ein Cookie auf dem Anmelde-Gerät zu setzen, das bei späterem erneuten Login ausgelesen werden kann und dann als zweiter Faktor (ohne SMS oder Authentisierungs-App) dient. Erst bei Fehlen des Cookies käme dann die SMS oder die App zum Einsatz.
  • Für die Überprüfung, ob die Kund*in Zugriff auf das angegebene Bankkonto hat, könnte eine Vorabüberweisung eines kleinen Betrags (der dann mit kommenden Fahrkarten verrechnet wird) den Beweis erbringen. Z. B. ein Cent oder ein Euro oder auch zwei oder drei.
    Eine solche Überprüfung sollte jedoch nicht bei jedem einzelnen Fahrkartenkauf nötig, sondern abhängig von der Zeit und dem Gesamtumsatz seit der letzten Überprüfung und dem Betrag für den aktuellen Fahrkartenkauf sein.
  • Für die Überprüfung der Bonität, sollte ein digitaler Blick in die bisherigen Umsätze mit der Kund*in genügen. Wenn die Bahn schon insgesamt tausende Euros mit dieser Kund*in umgesetzt hat und hunderte im letzten Jahr, dann sollte doch eine weitere Fahrkarte über 400 Euro per Lastschriftverfahren kaum ein Risiko bedeuten. Hat es noch nicht so viele positive Erfahrungen gegeben, sollte eine Vorkassen-Überweisung möglich sein. Viele Banken bieten untereinander inzwischen Echtzeitüberweisungen an, da geht das schnell, sonst dauert es meist nur wenige Tage.
  • Wenn es Stornos gibt, sollte die Bahn grundsätzlich das Geld auf dem gleichen Weg zurückerstatten, auf dem sie es bekommen hat. Hätte sie dieses Prinzip schon immer befolgt, so wäre es zu der eingangs beschriebenen Betrugsmasche gar nicht erst gekommen.

Sicherheitsabteilung für bahn.de und DB Navigator bei der Bahn?

In einem Telefonat mit der Beschwerdestelle bei der Bahn erfuhr ich, dass es eine eigene digitale Sicherheitsabteilung bei der Bahn gibt. Bezüglich des eigentlichen Bahnbetriebs dürfte damit die IT-/OT Sicherheit gemeint sein. Mich würde aber interessieren, was es bezüglich des Online-Fahrkartenverkaufs an Sicherheitabteilung gibt und was die so treibt. Wichtig wäre, dass deren Mitarbeiter*innen sich mal in die Perspektive von Hacker*innen, aber auch mal in die von Kund*innen versetzen. Von außen betrachtet sieht es jedoch so aus, dass dort wohl eine Art Betriebsblindheit vorherrscht. (Nur so kann man verstehen, dass sie Privatkunden die beschriebene Bonitätsprüfung mit Tink oder Verimi zumutet.)

Die beschriebenen Probleme sind der Bahn nun schon seit Frühjahr 2024 bekannt. Auch bei den früheren Betrugsfällen hat die Sicherheitsabteilung versagt. Möglicherweise hilft hier nur ein kompletter Neuanfang, d. h. zumindest die Neubesetzung der Spitze dieser Sicherheitsabteilung.9

Was haben sich die Verantwortlichen bei dem Thema wohl gedacht? Gut möglich, ja sogar ziemlich wahrscheinlich ist, dass sie gemeint hatten, dass man die Überprüfung, ob Kundenkonten gehackt worden sind, angegebene Bankkonten überhaupt den Besteller*innen von Fahrkarten gehören und die Bonität ausreichend ist, lieber Firmen überlassen sollte, die darauf spezialisiert sind.

Der Gedanke, externes Know-How in Anspruch zu nehmen ist naheliegend und überhaupt nicht verkehrt. Aber ein komplettes Outsourcing digitaler Sicherheitsmaßnahmen ohne eigene kompetente Kontrolle und ohne gründliches Abklopfen, ob die von Dritten vorgeschlagenen Maßnahmen auch verhältnismäßig sind oder es sinnvollere Alternativen gibt (auch wenn diese dann evtl. nicht outgesourced werden können), ist schlicht verantwortungslos.

Die Bahn hat schließlich die Generalunternehmerschaft in allen Leistungen gegenüber ihren Kund*innen, also auch die komplette Verantwortung für alle Fragen der digitalen Sicherheit. Diese abzuschieben, geht nicht! Die nötige Kompetenz für die Durchsetzung einer aus der Perspektive der Kundschaft akzeptablen Funktionalität der Software in Punkto Sicherheit ist in Eigenregie der Deutschen Bahn aufzubauen!

Die Bahn an diese Verantwortung zu erinnern, könnte eine Sisyphos-Aufgabe sein. Nichtsdestotrotz sollte dieser Versuch gemacht werden. Denn es ist ein Gebot der Fairness, nicht einfach über ein Unternehmen zu maulen und mit einem Shitstorm zu übergießen, ohne die regulären Wege, auf Abhilfe eines Missstands zu drängen, beschritten zu haben. Dazu weiter unten mehr, aber wir müssen zunächst einmal nicht der Bahn sondern uns selber helfen: Wir brauchen unsere Fahrkahrten, können ja angesichts der Klimakrise nicht einfach aufs Auto umsteigen.

Wie komme ich vorerst an meine Fahrkarten?

(Nachfolgende Hinweise gelten nur für einfache Fahrkarten und Rückfahrkarten, nicht für Abos, wie z. B. das Deutschlandticket. Für letzteres dürfte giropay kaum funktioneren. Wenn man über eine Suchmaschine "deutschlandticket ohne bonitätsprüfung" sucht, bekommt man Hinweise, aber ob die vorgeschlagenen Verfahren immer noch ohne Tink und Verimi funktionieren, kann ich leider nicht überprüfen.10)

Tatsächlich gibt es – solange die Bahn obige Ratschläge nicht berücksichtigt – keinen anderen Weg, als ein anderes Zahlungsmittel als die Lastschrift zu wählen. giropay ist eine Möglichkeit, die von den Banken gewöhnlich im Rahmen des Online-Bankings angeboten wird, erfordert dann aber auf dem Smartphone eine 2-Faktor-Authentisierung (Eingabe von zwei Kennwörtern in verschiedenen Apps). D. h. so bequem wie die Lastschrift ist sie nicht.11

Auch bei der Kreditkarte gibt es auf dem Smartphone für Zahlungen eine extra Überprüfung, die evtl. ein zweites und drittes Kennwort für die Bestätigung erfordert, aber bei kleinen Beträgen entfällt dies oft. Wenn man eine Kreditkarte ohnehin hat, würde ich sie für die Bahn als Zahlungsmittel priorisieren, sonst eher giropay.

Andere Zahlungsmittel wie PayPal und ApplePay sind auch möglich, erfordern aber jeweils ein weiteres Konto, das extra gepflegt werden sollte und somit Aufwand erfordert: Wahl eines starken, nicht bereits woanders genutzten Kennworts, Speicherung dieses Kennworts, evtl. Sicherheitsabfragen, die ebenfalls gespeichert werden müssen, evtl. viel Mails, die man gar nicht bekommen möchte.

Keine Option ist jedoch, dem Ansinnen der Bahn nachzugeben und Tink oder Verimi Zugriff auf das Bankkonto zu gewähren. Wer dies tut, geht in der Regel ein unkalkulierbares Risiko ein. (Und man liefert zudem Daten von Freund*innen und Bekannten, mit denen man im Zahlungsverkehr steht, den Zahlungsdienstleistern aus.) Die Bank würde im Schadensfall keinen Ersatz leisten, da man dann ja bewusst gegen die AGB verstoßen, sich also grob fahrlässig verhalten hat.

Der Beschwerdeweg und seine Tücken

Die erste Adresse ist natürlich die Beschwerdestelle der Bahn. Ich hatte Glück, bekam nach einiger Zeit einen freundlichen Ansprechsprechpartner an die Strippe, der mir das Gefühl gab, das Problem voll erfasst zu haben, und der das Anliegen weitergeben wollte. Ob das was bewirkt hat? Ich weiß es nicht.

In den Kommentaren zum Heise-Artikel1 hatte "Enzi" das ultimative Vorgehen der Bahn (ohne Bonitätprüfung mit Preisgabe des Bankingpassworts keine Fahrkahrte) als möglichen "Nötigungsversuch" bezeichnet. Ich habe also mal bei der Polizei angerufen, ob man das so sehen kann. Der Polizist hat es klar verneint: Bei einem Fahrkartenverkauf handelt es sich um einen Vertrag. Wenn ein*e Vertragspartner*in aus irgendeinem Grund den Vertrag nicht abschließen möchte, ist das sein*ihr Recht. Zu Nötigung gehört aber, dass jemand mit etwas droht, das nicht sein*ihr Recht ist. Es geht also nicht um die Unrechtmäßigkeit der Forderung, sondern um die Unrechtmäßigkeit der Drohung.

Angesichts der Monopoleigenschaft, die die Bahn besitzt, ist es natürlich fraglich, ob die Bahn wirklich das Recht hat, jemand ein Bahnticket zu verwehren, weil er*sie eine unangemessene und datatenschutzwidrige Bonitätsprüfung ablehnt. Aber es ist zumindest keine klare Rechtslage, auf die man sich berufen könnte. Ich kann den Polizisten schon verstehen, dass er ablehnte, auf dieser Grundlage eine Anzeige wegen Nötigung aufzunehmen.12

In Deutschland kann man sich über Datenschutzverstöße von Unternehmen bei dem*der Datenschutzbeauftragen des Bundeslandes, in dem das Unternehmens sitzt, beschweren. Würde eine solche Beschwerde einen Druck auf die Deutsche Bahn ausüben? Nach dem ich die Seite IT-/OT Sicherheit gefunden hatte, habe ich das dort verlinkte Impressum aufgerufen, um den Unternehmenssitz, besonders den Teil des Unternehmens, der für die Datensicherheit zuständig sein soll, zu erfahren. Dort erfahre ich "Dies ist eine Seite der Deutsche Bahn AG" mit Sitz in Berlin. Also wende ich mich an die Berliner Beauftragte für Datenschutz und Informationsfreiheit.

Das eben genannte Impressum war jedoch wohl irreführend. Ich hatte mich schon gewundert, wähnte ich doch zurecht den Sitz der DB in Frankfurt am Main. Immerhin gab die Berliner Datenschutzbeauftragte die Beschwerde an ihren hessischen Kollegen weiter.

Ende September 2024 wurde meine Beschwerde schließlich abgewiesen. Die Begründung war einfach: "Grundsätzlich steht es der Deutschen Bahn frei, den Zahlungsdienstleister auszusuchen, den sie für ihre Geschäftsprozesse nutzen möchte. Wir haben keine Möglichkeit, dies zu überprüfen." Ich könne natürlich Beschwerden gegen Tink oder Verimi einreichen, aber für diese sei der Hessische Beauftragte für Datenschutz und Informationsfreiheit (aufgrund derer Unternehmenssitze) nicht zuständig.

Das Problem für eine Beschwerdesteller*in ist aber: Tink oder Verimi machen datenschutzrechtlich gar nichts falsch. Sie bekommen den Auftrag, die Bonität zu prüfen und sie können dies aber nur, indem sie das Online-Banking-Passwort abfragen und dieses bei der Bank vorweisen als Legitimitätsbeweis, dass sie Kontobewegungen abrufen können.13. Ihre ISO-Zertifizierung nehmen sie als Beleg dafür, dass sie alles richtig machen. Eine Beschwerde gegen Tink oder Verimi wäre also gewiss aussichtslos.

Auch wenn man der Bahn keinen datenschutzrechtlichen Verstoß nachweisen kann, weil sie zertifizierte Dienstleister beauftragt, so hat sie dennoch die Verantwortung, zu prüfen, ob die verlangte Bonitätsprüfung mit ihren fatalen Konsequenzen für den Datenschutz verhältnismäßig ist. Die Bahn gehört ja der Bundesrepublik Deutschland. Diese Eigentümerschaft wird verwaltet durch die Bundesregierung, speziell durch das Bundesministerium für Digitales und Verkehr. Direkte Anfragen von Bürger*innen an Bundesministerien dürften wohl mit hoher Wahrscheinlichkeit mit freundlichen Briefen beantwortet werden, dann aber in der runden Ablage landen. Jedenfalls nach meiner Vermutung. Etwas mehr Gewicht würde haben, wenn ich einen Abgeordnete*n des Bundestages dazu bewegen könnte, mein Anliegen zu übernehmen und eine parlamentarische Anfrage zu stellen.

Frau Anke Domscheit-Berg erschien mir von ihrem Werdegang her (siehe Wikipedia) dafür als am ehesten geeignet. Und tatsächlich, in einem Telefonat konnte ich einen ihrer Mitarbeiter als Verbündeten gewinnen, der ähnlich wie ich das Verhalten der Bahn als skandalös betrachtete und seiner Chefin eine entsprechende Anfrage vorschlug. Tatsächlich schrieb Frau Domscheit-Berg im Juli 2024 an das Verkehrsministerium diesen Brief und bekam im August 2024 eine Antwort von Michael Theurer, dem Parlamentarischen Staatssekretär des Ministeriums und Beauftragten der Bundesregierung für den Schienenverkehr.14

Die Antwort von Herrn Theurer war etwas merkwürdig. Obwohl Frau Domscheit-Berg die URL dieses Blog-Artikels mitgeteilt hat, in der ja auch der Link zu der Beschwerde von "mike65" in "www.ice-treff.de" enthalten war und ist5, antwortet Herr Theurer: "Der Bundesregierung liegen keine Erkenntnisse über Einzelfälle im Sinne der Fragestellung vor.

Ja, wenn man der Sache nicht nachgehen will und sich die Augen zuhält, kann man natürlich behaupten, von nichts etwas zu wissen.15

Und dann lenkt Herr Theurer noch ab: "Das Deutschlandticket wird von den Ländern umgesetzt. ... Eine Zuständigkeit des Bundes ist hier nicht gegeben."16

Aber die Deutsche Bahn verkauft eben auch das Deutschlandticket über www.bahn.de und den DB Navigator. Und genau bei diesem Verkauf gab es (wie bei anderen Fahrkarten auch) diese skandalöse Bonitätsprüfung. Über die nicht nur ich, sondern auch z. B. Heise berichtet hat. Die DB gehört aber dem Bund, nicht einem Bundesland. Also entweder wusste Herr Theurer wirklich nichts, hatte dann aber seinen Laden nicht im Griff, oder er drückte sich mehr als ungenau aus und/oder kannte seine eigenen Verantwortlichkeiten nicht, was jetzt soviel besser auch nicht ist, oder er glaubte tatsächlich, mit Lügen durchzukommen.17

Haben die Beschwerden etwas bewirkt?

Vielleicht. Aufgefallen ist mir, dass ich inzwischen wieder über bahn.de und den DB-Navigator (nicht allzu teure) Einzelfahrkarten kaufen konnte, per Lastschrift und ganz ohne Bonitätsprüfung. Das war allerdings erst nach der Anfrage von Frau Domscheit-Berg. Einen vollständigen RÜckzug hat die Bahn aber noch nicht bekannt gegeben, denn ihre FAQ zur Zahlung via Lastschrift sind nach wie vor auf die Bonitätsprüfung mit Tink oder Verimi, aber auch auf den Verzicht auf das Lastschriftverfahren abgestellt.18

Was läuft hier falsch?

Dass etwas falsch läuft ist ja nun offensichtlich: Alle sagen, Datenschutz sei wichtig. (Also: Bankingpasswörter keineswegs an Dritte weitergeben!). Alle sagen Klimaschutz, sei wichtig. (Also: Bahnfahren statt autofahren!) Aber die Bank quält ihre Kund*innen mit Zumutungen, so dass manche gar nicht mehr mit ihr fahren wollen.

Natürlich ist auch wichtig, dass die Bahn und ihre Kund*innen nicht Opfer von Betrüger*innen werden. (Aber wie oben beschrieben, ist ja nun auch klar, dass die Bahn selbst es war, die den Betrüger*innen Tür und Tor geöffnet hatte.)

Falsch ist auch, wenn haufenweise Bonitätsprüfungen von treuen Kund*innen der Bahn gefordert werden. Richtig wäre, sich zu vergewissern, ob ein Konto bei bahn.de noch der entsprechenden Kund*in gehört. Dafür eine Bonitätsprüfung zu starten, ist einfach das falsche Instrument.19

Falsch ist auch, dass hier niemand dingfest gemacht werden kann. Dass es keinen Beschwerdeweg gibt, der auch nur annähernd an die direkt Verantwortlichen herankommt, um sie zu bewegen, ihr Verhalten zu verändern.

Wer ist denn verantwortlich?

  • Offensichtlich zunächst die Bahn: Genauer deren Kopf, also der Vorstand. (Siehe auch meine frühere Anmerkung9.)
  • In zweiter Linie das Bundesministerium für Digitales und Verkehr: Man kann ja noch einem Bahnvorstand zugute halten, dass er sich vorrangig um das Funktionieren des Bahnverkehrs und die dafür nötige Finanzierung kümmert, aber für das Bundesministerium ist die Vernachlässigung des Datenschutzes schon mehr als peinlich.
  • Auch die Banken haben Fehler gemacht: Sie haben die EU-Richtlinie PSD2 (die die digitale Kontoblicke erst ermöglichte) zunächst nur bekämpft, anstatt parallel wenigstens auf Regeln zu drängen, die den Datenschutz sicher stellen. Bei der Umsetzung hätten sie durchaus noch die Möglichkeit gehabt, sauberere Lösungen implementieren zu lassen, dies aber versäumt.20
  • Dann auch der Gesetzgeber: Wenn es nicht leicht möglich ist, irgendeine Instanz zu finden, die gegen einen gravierenden Missstand hilft, dann stimmt etwas mit dem System nicht. Dass wir nicht genügend Instanzen hätten, die Abhilfe schaffen könnten, kann ich nun nicht sagen. Es gibt eine interne Beschwerdestelle der Bahn. Es gibt eine Justiz. Es gibt Datenschutzbeauftragte der Bundesländer, an die man sich wenden kann. Aber keine Regeln, die einen Fall wie diesen abdecken und die eine der genannten Instanzen anwenden könnte.
  • Letztlich wir selbst als Wahlvolk, als Bürger als Konsument*innen: Wir sollten uns nicht als machtlos ansehen. Das sind wir nämlich nicht. Wenn wir erst einen Missstand als solche erkennen, ist bereits der erste wichtige Schritt auf dem Weg getan, ihn abzustellen.21
 

1) Siehe heise online: "Deutschlandticket: DB verlangt Bankkonto-Bestätigung bei Lastschrift-Kauf" und Fefes Blog.

2) Siehe Tink Homepage. Tink ist ein Tochterunternehmen von Visa, siehe Tink Pressemitteilung.

3) Siehe Verimi Homepage und auch Süddeutsche Zeitung "Absturz eines Vorzeigeprojekts"

4) Auch bei unserer Hausbank (VR-Bank Werdenfels) wird in den Sonderbedingungen für das Online-Banking der AGB die unverschlüsselte Weitergabe des Banking-Kennworts explizit verboten:

"7 Sorgfaltspflichten des Teilnehmers
7.1 Schutz der Authentifizierungselemente
(2) Zum Schutz der einzelnen Authenfizierungselemente hat der Teilnehmer vor allem Folgendes zu beachten:
(a) Wissenselemente, wie z. B. die PIN, sind geheim zu halten; sie dürfen insbesondere [...] nicht außerhalb des Online-Banking in Textform [...] weitergegeben werden [...]"

5) Siehe ice-treff.de.

6) Siehe heise online: "Deutsche Bahn: Betrugsfälle durch Bankkonto-Bestätigung zurückgegangen".

7) Zu der Aussage der Bank of Scotland "Tink selber hat als ISO 27001-zertifiziertes Unternehmen zu keiner Zeit Einblick in Ihre Daten" ist anzumerken, dass es technisch unmöglich ist, absolut zu verhindern, dass Tink einen Einblick haben kann. Es ist höchstens möglich, einen solchen Einblick durch technische und organisatorische Maßnahmen sehr unwahrscheinlich zu machen.

Ob die ISO 27001-Zertifizierung22 zu dem Ergebnis führt, den die Bank of Scotland behauptet, kann also keineswegs mit absoluter Sicherheit beantwortet werden.

Zur Untermauerung dieser skeptischen Anmerkung siehe nochmals Computerbild (28.07.2022). Schließlich ist auch Verimi ein ISO 27001-zertifiziertes Unternehmen, siehe "Über uns – Über Verimi" (Abschnitt "Unsere Zulassungen & Zertifizierungen für Ihre Sicherheit)".

8) Aber auch im B2B-Geschäft sollte äußerste Vorsicht in Sachen digitaler Sicherheit herrschen: Nur das gegenüber der Bonitätsprüfung offen zu legende Geschäftskonto sollte durch den Online-Banking-Zugang erreichbar sein. Also nicht etwa, dass mit diesem Online-Banking-Zugang weitere Konten oder auch ein Postfach (für Mitteilungen der Bank) verwaltet werden.

Auch sollte nach jeder Offenlegung das Kennwort für das Online-Banking geändert werden.

Und: Man muss natürlich auch die Zustimmung der eigenen Kund*innen, deren Überweisungen in den Bankumsätzen auftauchen, einholen, bevor man solche personenbezogenen Daten Dritten gegenüber offenlegt.

9) Ich sage das ganz bewusst so hart. Nicht umsonst habe ich Felix von Leitner zitiert. Wenn monatelang Hinweise, dass hier etwas gewaltig schief läuft, ignoriert werden (oder zumindest überhaupt nicht kommuniziert wird, dass man vielleicht an dem Problem arbeiten will), dann stinkt der Fisch in der Regel vom Kopf her.

10) Eine solche Überprüfung wurde ja nur etwas bringen, wenn man sich sicher sein könnte, dass die Überprüfung mit Tink oder Verimi nicht schon morgen eingeführt oder abgeschafft würde. Daher lohnt die damit verbundene Arbeit nicht.

Wir haben also bezüglich des Deutschlandtickets eine ganz ungute Situation, für die aber allein die Deutsche Bahn verantwortlich ist.

11) Man sollte den Gesichtspunkt der Bequemlichkeit im Zusammenhang mit digitaler Sicherheit nicht gering schätzen: Bequemlichkeit fördert die Akzeptanz von Sicherheitsmaßnahmen, Unbequemlichkeit führt leicht zur Vernachässigung der Sicherheit.

12) Die Staatsanwaltschaften sind ohnehin überlastet. Wenn ein Vergehen nicht ganz deutlich als solches zu erkennen ist, dann kann man sicher sein, dass das Ermittlungsverfahren eingestellt wird. Der Druck kommt auch von den Gerichten. Damit überhaupt ein Strafverfahren eröffnet wird, bedarf es eines Eröffnungsbeschlusses nach § 199 (1). Man muss also nicht nur die Staatsanwaltschaft überzeugen, sondern muss dafür sorgen, dass letztlich das Gericht wenigstens die Möglichkeit (eher die Wahrscheinlichkeit) eines Erfolgs bereits aus der Aktenlage entnimmt. Das sind hohe Hürden, die bei einer zweifelhaften Rechtslage zu überspringen sind.

13) Die Banken haben leider die EU-Richtilinie "PSD2" auf diese Weise implementieren lassen. (Ich gehe später in diesem Artikel und genauer noch im Blog-Artikel "Digitaler Kontoblick – sauber oder nicht" darauf ein. Aber es ist nun mal nicht die Schuld der Zahlungsdienstleister, sondern die der Banken, die hier die Konsequenzen ihrer wenig umsichtigen PSD2-Implementation nicht bedacht haben. Und IMHO vor allem die der Bahn, die eine solch unausgereifte Prozedur trotz deren offensichtlicher Datenschutzmängel und trotz besserer Alternativen meint, nutzen zu müssen.

14) Siehe Anfrage von Anke Domscheit-Berg (MdB) und Antwort im Original.

15) Vielleicht bin ich aber auch etwas zu kleinlich und hätte es so verstehen sollen, dass Herr Theurer meinte, das Ministerium sei erst durch die Anfrage auf das Problem aufmerksam gemacht worden. Aber warum schreibt er das dann nicht so? Und selbst dann hätte Herr Theurer noch ein Problem: Das Verkehrsministerium, dass schließlich die Bahn steuert, sollte schon von solch gravierenden Vorfällen, nämlich, dass der Bahn der Datenschutz schnurz-piep-egal zu sein scheint und dass dies in der Öffentlichkeit diskutiert wird (siehe auch die Artikel von Fefe und heise.de1,6) wissen. Liegt hier etwa ein Eisberg der Ignoranz vor?
Aber Herr Theurer hat sich geschmeidig davon gemacht und ist am 1. September 2024 als Staatssekretär zurückgetreten, da er in den Vorstand der Bundesbank gewechselt ist, siehe Wikipedia.

16) Auch hier könnte man meinen, ich sei etwas kleinlich. So ist doch der Sitz der DB in Hessen und insofern ist der*die Datenschutzbeauftragte des Landes Hessen zuständig als Beschwerdestelle für Datenschutzverletzungen der Bahn.
Aber die erste Zuständigkeit liegt eben bei der Bahn (also deren Vorstand) selbst. Wird diese ihrer Verantwortung nicht von sich aus gerecht, ist es eben auch die Aufgabe der Eigentümerin (vertreten durch das Bundesverkehrsministerium) den Vorstand entsprechend zu disziplinieren. Völlig unabhängig davon sind m. E. Beschwerden bei dem*der Landesdatenschutzbeauftragten zu sehen: Sie entbinden keineswegs das Verkehrsministerium davon, selbst für Ordnung in ihrem Laden zu sorgen.

17) Nun ja, da Herr Theurer zu dem Zeitpunkt schon auf dem Absprung war, siehe vorherige Anmerkung15, konnte er sich das wohl tatsächlich leisten.

18) Siehe den Bahn-Artikel Häufige Fragen zu "Lastschrift". Die Inkonsequenz sieht man auch daran, dass in den FAQ zwar sowohl von der Bonitätsprüfung durch Tink oder Verimi die Rede ist, aber ebenso davon, dass Sparpreis-Tickets und BahnCard 100 überhaupt nicht mit Lastschrift bezahlt werden können. Was denn nun? Schützt die Bonitätsprüfung vor Betrug (dann könnte das Lastschriftverfahren ja auch für Sparpreis-Tickets gelten) oder nicht? Bei Letzterem sollten die Bahnleute besser mal über wirksamere Methoden nachdenken, vielleicht mal die vielen Ratschläge Dritter dazu beachten, z. B. auch solche in diesem Artikel. Siehe Abschnitt "Wie könnte es die Bahn besser machen?".
Es ist natürlich auch möglich, dass die Bonitätsprüfung bereits weiter abgeschafft wurde, als beschrieben oder die Einschränkung der Lastschriftzahlung schon aufgehoben wurde. Dann würde die linke Hand nicht wissen, was die rechte tut. Bei der Deutschen Bahn würde mich das derzeit kaum wundern.

19) Natürlich kann eine Bonitätsprüfungen Unregelmäßígkeiten bei den Finanzen einer Kund*in zu Tage führen und es könnte sein, dass soche Unregelmäßigkeiten mit Verlusten der Kontrolle über Internetkonten korrellieren. Aber es besteht ja in der Regel kein direkter ursächlicher Zusammenhang. Datenschutz soll ja gerade vor derartigen Korrellationsbetrachtungen schützen! Davor, dass ich in irgendeine Schublade gesteckt werden, weil meine Haare blond sind oder meine Haut schwarz oder ich einen Migrationshintergrund habe, oder meine Großeltern Jüd*innen oder Nazis waren. Oder weil ich letzten Monat eine unrechtmäßige Abbuchung storniert habe, oder weil ich im letzten Monat drei Beschwerdestellen angerufen habe. Wir wollen keine Sozialpunkte wie in China, kein 1984!
Bonitätsprüfungen sind OK, wenn die Bahn mal ihr Geld nicht bekommen hat und auch nach einer Mahnung nicht. Evtl. auch dann, wenn es um sehr viel Geld geht. Für solche Fälle sind Bonitätsaprüfungen da, für sonstige Zwecke nicht! Gewiss nicht für Fahrkahrtenkäufe, die sich im üblichen Rahmen der jeweiligen Kund*in bewegen.

20) Siehe den Blog-Artikel "Digitaler Kontoblick – sauber oder nicht".

21) Genau diesen Schritt zu fördern ist der Zweck dieses Artikels.

22) Siehe Wikipedia "ISO/IEC_27001".


>> Zurück zum Artikelverzeichnis >>