Fairtiq - Diskussion (2)

07.04.2020 Jonas L. App-Kritik

Ich habe dokumentiert, wo ich bei der Ticket-App “Fairtiq” Probleme sehe. Bei der Diskussion mit dem Verkehrsbetrieb ging es (minimal) weiter.

Da ich lange Nichts gehört habe, habe ich eine sehr kurze Anfrage gesendet:

Jetzt sind 3 Wochen vergangen und ich habe noch Nichts gehört


Quelle: E-Mail an die Havag

Nach einer halben Woche bekam ich eine Antwort:

Lieber (Name entfernt),

Wir haben uns noch abgesprochen. Tatsächlich dauerte die Beantwortung Ihrer Fragen sehr lange, weil für die Beantwortung jeder Detailfrage mehrere Personen befragt werden mussten.

Ich möchte an erster Stelle kurz festhalten, dass es Prozesse gibt, die Sie angestoßen haben und die auch schon verändert wurden bzw. gerade angegangen werden:

  • Der Datenschutzlink im Play Store wurde korrigiert
  • Anzeige der Datenschutzerklärung bereits bei Hinterlegung der Telefonnummer: Dies wird FAIRTIQ noch anpassen. Ein Termin ist noch nicht fixiert, da die Veränderungen des UI jeweils mit einer Vorarbeit verbunden sind.
Anbei nun die Stellungnahmen von FAIRTIQ zu Ihren zuletzt aufgerufenen Einzelthemen:

1. "Im Fall von Fairtiq sind dort "nur" 4. Diese wurden alle seitens Fairtiq eingebaut und sind nicht zwangsläufig erforderlich, weil der Play Store und der App Store alle Daten, die man zur Produktverbesserung brauchen könnte, erheben. In dem Zusammenhang ist die Aussage "Es werden keine datenschutzrechtlich relevante Personendaten mit AppCenter oder AppsFlyer erfasst" eine sehr schöne Aussage - man begründet, dass man darauf nicht hinweist, damit, dass es kein Problem sein soll."


Dass entsprechende Analytics-Software eingebaut ist, ist nicht mit der Annahme gleichzusetzen, es würden datenschutzrechtlich relevante Daten gesammelt. Tatsächlich werden folgende Analytics-Tools genutzt:

  • Google Firebase/Analytics. Firebase erfasst die IP-Adresse (die von Experten zu den personenbezogenen Daten gezählt wird).
  • Die Aussage "Es werden keine datenschutzrechtlich relevante Personendaten mit AppCenter oder AppsFlyer erfasst" muss daher präzisiert werden: Mit Ausnahme der IP-Adresse werden keine datenschutzrechtlich relevante Personendaten mit AppCenter oder AppsFlyer erfasst. Entsprechend wird dies auch in den Datenschutzprinzipien erwähnt.
  • Die weiteren, von Ihnen genannten Analytics-Tools betreffen alte App-Versionen, die nicht mehr aktiv sind.
  • Die von Play Store und App Store erfassten Daten dienen der Verbesserung des Produkts nicht. Entsprechend kann die Nutzung von Firebase/Google Analytics mit einem berechtigten Interesse begründet.


2. "Dann gibt es auch noch die Betrugsverhinderung. Inwiefern man so etwas auf technischer Ebene braucht ist eine Ansichtssache"


Die Bekämpfung von Betrugsversuchen ist ein berechtigtes Interesse sowohl von FAIRTIQ wie auch von den mit FAIRTIQ in Partnerschaft stehenden Verkehrsunternehmen und keine "Ansichtssache". Sie ist sowohl auf prozessualer wie auch auf technischer Ebene notwendig.


3. "Der Telefonnummerangabezwang soll Betrug verhindern, seitens Fairtiq hieß es dazu "Eine E-Mailadresse kann beliebig multipliziert/neu erstellt werden, dadurch können beliebig viele Accounts erstellt werden. Eine Betrugsprävention und -verhinderung ist dadurch nicht möglich.". Hier geht es also um das Szenario, dass ein Nutzer viele Accounts erstellt, um zu betrügen. Bei jedem neuen Account müsste der Nutzer die gesamte Einrichtung wiederholen. Und wofür? Damit er mit der "Mitglieder werben Mitglieder"-Aktion eine Gutschrift bekommt. Wird so etwas routinemäßig bei vielen Nutzern gemacht werden? Nein. Dazu kommt, dass es Dienste gibt, die einem preiswert Telefonnummern zum SMS-Empfang verkaufen. Ich war zu faul zu suchen, aber das ist sicherlich auch so preiswert möglich, dass man von den Gutschriften immer noch profitiert, wenn man betrügen will - und dann hat der Telefonnummerzwang keinen Betrug verhindert. Stattdessen hat man nur die normalen Nutzern unter einen Generalverdacht gestellt und Daten erhoben, die man eigentlich überhaupt nicht braucht - ein Widerspruch zum Prinzip der sogenannten Datensparsamkeit."


Wir präzisieren unsere Aussage: Die Registrierung mittels Mobiltelefon-Nummer ist notwendig zur Minimierung von Betrugsversuchen. Kein Vertriebskanal kann Betrug vollständig verhindern. Daher werden Wege gesucht, um Betrugsversuche zu erschweren. Das Generieren von "künstlichen" Mobiltelefonnummern für Betrugsversuche bedingt eine höhere kriminelle Energie als die Eröffnung von neuen E-Mail-Accounts und bedingt in der Regel die Hinterlegung eines gültigen Zahlungsmittels, so dass im Fall einer Anzeige auf gerichtliche Anordnung auf den Eigentümer des Zahlungsmittels zurückgegriffen werden kann. Auch hierbei handelt es sich um ein berechtigtes Interesse seitens FAIRTIQ und Verkehrsunternehmen.

Zusätzlich ist die Mobiltelefonnummer für punktuelle Kommunikation notwendig, z.B. wenn eine In-App Kommunikation nicht ausreicht und eine Kommunikation im Supportfall per Email nicht schnell genug wäre.


"Außerdem ist da noch das mit der Standortverlaufspeicherung für 1 Jahr und die 5-Minuten-Nachlaufzeit - in den E-Mails begründet mit der der Betrugserkennung. Wie auch bei regulären Tickets wird Betrug/ Nicht-Bezahlen bei einer Fahrkartenkontrolle erkannt. Wenn man nicht in Fairtiq die Fahrt startet werden keine Standortdaten gespeichert und somit kann man gar keinen Betrug erkennen. Allein die 5-Minuten-Nachlaufzeit kann einen Sinn haben, weil man sonst zu früh das Fahrtende deklarieren könnte, um Geld zu sparen. Damit so ein Betrug funktioniert müsste man sich genau an der Grenze zwischen zwei Preisklassen befinden, was aber nur sehr selten auftritt. Lt. Datenschutzerklärung dienen die 5 Minuten Nachlaufzeit dem Verbessern der Check-out-Warnung - was aber nicht die Speicherung für 1 Jahr in einer nicht anonymisierten Form begründet. Für die 1-Jahr-Speicherung der Standortdaten heißt es in der Datenschutzerklärung, dass das für "Weiterentwicklung der Applikation" dient. Wie man mit Standortdaten eine Applikation weiterentwickelt erschließt sich mir nicht. Danach sollen die Standortdaten anonymisiert werden - realistisch ist das für mich nicht. Beispielsweise ist eine Kombination von Wohnort und Arbeitsort - mit der 5-Minuten-Nachlaufzeit - recht eindeutig."


5-Minuten-Nachlaufzeit: Wie schon zuvor erklärt, handelt es sich bei der Minimierung von Betrugsversuchen um ein berechtigtes Interesse, das es erlaubt, die datenschutzrechtlich gegebenen Persönlichkeitsrechte einzuschränken. Dass ein Fall gemäss Ihrer Aussage nur selten auftritt, ist hierbei völlig irrelevant. Selbstverständlich ist es immer möglich, ohne gültige Fahrtberechtigung eine Reise anzutreten, ist für den vorliegenden Fall aber ebenfalls nicht relevant, da die Betrugsprävention im Zusammenhang mit der Lösung nur möglich ist wenn FAIRTIQ genutzt wird und nicht, wenn FAIRTIQ nicht genutzt wird.

Ergänzender Kommentar seitens der HAVAG zu dem Thema: Zu Ihrer Aussage „man müsste sich an der Grenze zwischen 2 Preisklassen befinden, was aber nur selten auftritt“: Eben nicht, tatsächlich muss der Kunde sich ohne FAIRTIQ bei jeder Fahrt vorher Gedanken machen, wie viele Haltestellen er durchfährt und ob bei einem Kauf jeweils die Kurzstrecke oder Einzelfahrt das passende Ticket darstellt.

Bei einer Applikation, die basierend auf Standortdaten Fahrkarten verrechnet, ist die Weiterentwicklung im Bereich reiserelevanter Herausforderung nur mit Hilfe von Standortdaten möglich. Die Reiseberechnung ist ein zentrales und komplexes Element der Lösung, da die über Mobiltelefone erfasste Standortdaten in der Regel sehr fehlerhaft sind. Aus diesen Ortungsdaten jene herauszufiltern, die tatsächlich korrekt sind und daraus eine Reise mit dem öffentlichen Personenverkehr zu bilden, verlangt nach konstanter Verbesserung und Anpassung (z.B. im Fall einer neuen OS-Version, die die Standortdaten in einem veränderten Schema erfasst)

Die Daten werden nach 12 Monaten anonymisiert. Die Dauer ist notwendig, um den Kunden zu ermöglichen, während einem Jahr ihre Fahrten zu beanstanden. Zum anderen - wie oben erwähnt - für die Optimierung der Lösung und liegt somit im berechtigten Interesse von FAIRTIQ. Gestützt auf die relative Verjährungsfrist gem. Art. 67 Abs. 1 Obligationenrecht für den Sachverhalt einer «ungerechtfertigten Bereicherung» beträgt die Beanstandungsfrist des Kunden 12 Monate. FAIRTIQ verpflichtet sich, die Daten nach 12 Monaten zu anonymisieren. Entsprechend würde es sich um einen Vertragsbruch handeln, würde dies nicht geschehen. Sofern Sie nicht darauf vertrauen, dass dies geschieht, kann ich Ihnen leider nur empfehlen, auf die Nutzung von FAIRTIQ zu verzichten.



Von unserer Seite aus haben wir für Sie und mit Ihnen all Ihre aufgerufenen Themen analysiert und beantwortet bzw. beantworten lassen. Wir als HAVAG haben ein großes Interesse daran, dass FAIRTIQ sorgsam mit allen Daten umgeht und selbstverständlich auch alle dahinterliegenden Gesetze einhält. Letzten Endes nutzen auch viele Mitarbeiter und Mitarbeiterinnen der HAVAG und der Stadtwerke privat die App FAIRTIQ, das heißt, auch wir sind Kunden und legen viel Vertrauen in die Hände von FAIRTIQ.


Unser Verhältnis zu FAIRTIQ würde ich persönlich als sehr gut beschreiben und uns wurden von Anfang an alle Prozesse transparent dargelegt sowie alle relevanten Entscheidungsoptionen hinreichend diskutiert.


Ihre anfänglichen Bedenken konnte ich nachvollziehen, sicherlich stecken Sie aufgrund Ihrer Ausbildung und/oder Ihres beruflichen Werdegangs viel mehr im Thema als viele andere Nutzer. Nichtsdestotrotz hat FAIRTIQ Ihnen die Sachverhalte nun nochmals ausführlich und nachvollziehbar erklärt.


Beste Grüße

i.A. (Name entfernt)

(Footer entfernt)


Quelle: E-Mail von der Havag

Meine Meinung dazu kann man direkt meiner Antwort entnehmen:

Hallo (Name entfernt),

die erste Änderung ist ja schon umgesetzt, die zweite noch nicht. Einen festen Termin verlange ich auch gar nicht und kann ich auch nicht verlangen, aber eine ungefähre Angabe, ob diese Änderungen in Wochen, Monaten oder erst in einem Jahr umgesetzt werden soll, wäre schon schön. Positiv sehe ich auch eine weitere Verbesserung, die schon umgesetzt ist (siehe Punkt 1).

Es nervt möglicherweise, aber zu einigen Punkten muss ich wieder etwas sagen.

Zum berechtigten Interesse: Ein berechtigtes Interesse kann man nicht direkt als Grundlage für eine Datenverarbeitung verwenden, dazu braucht man eine Interessenabwägung. Dafür verweise ich auf den Anhang von https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf Dieses Dokument ist eine (recht aktuelle) Orientierungshilfe vom Gremium der deutschen Datenschutzaufsichtbehörden, insofern ist es sinnvoll, sich daran zu orientieren.

Zum Punkt 1: AppsFlyer scheint in neueren Versionen nicht mehr enthalten zu sein. Also auch hier schon eine Verbesserung der Situation. Bei Google Analytics sehe ich beim verlinkten Dokument Stufe 2 nicht erfüllt und bei Stufe 3 sehe ich Punkt a und b nicht erfüllt.

Zum Punkt 2: Wieder das berechtigte Interesse. Hier sehe ich keine Erforderlichkeit (siehe Dokument) ein, da Schwarzfahren in der Regel durch Fahrkartenkontrollen auffällt. Ich verstehe nicht, welche Arten von Betrug überhaupt auf technischer Ebene verhindert werden sollen, sodass ich die Erforderlichkeit möglicherweise übersehe.

Zum Punkt 3: Wieder ein berechtigtes Interesse und wieder sehe ich keine Erforderlichkeit (siehe Dokument). Bei der Registrierung in Fairtiq selbst muss man Bezahldaten hinterlegen. Dadurch ist es auf eine gerichtliche Anordnung auch ohne Telefonnummer möglich, die Identiät eines Nutzers zu ermitteln. Eine Kommunikation im Supportfall kann ich nachvollziehen, aber soweit ich es verstehe ruft dann in der Regel der Kunde an, sodass die Angabe der Telefonnummer freiwillig sein könnte. Aber auch hier kann es durchaus sein, dass ich nicht das Betrugsszenario verstehe.

Zur Weiterentwicklung mit Standortdaten: Ich bilde mir ein, dass Standortdaten mit einer Genaugikeit von 100 Metern, die innerhalb von Städten durch die Nutzung der WLAN-Netzwerke in Reichweite möglich ist, für eine eindeutige Zuordnung der nächsten Haltestelle ausreichend ist. Weiterhin bilde ich mir ein, dass selbst Google den Nutzern die Wahl (oder zumindest einen Schalter für eine scheinbare Wahl) gibt, ob deren Daten bei der Produktverbesserung verwendet werden sollen oder nicht.

Zur Anonymisierung nach 12 Monaten: Ich gehe davon aus, dass eine Pseudonymisierung stattfindet, d.h. dass die Verknüpfung zum zugehörigen Benutzer aufgehoben wird. Allerdings gibt es einen Unterschied zwischen einer Pseudonymisierung und einer Anonymisierung. Wie bereits erläutert kann (aber nicht in allen Fällen) eine Kombination von Start- und Zielort es ermöglichen, die entsprechende Person zu ermitteln.


Mit freundlichen Grüßen

(Name entfernt)


Quelle: E-Mail an die Havag

Diese Nachricht habe ich am Anfang vom März gesendet. Jetzt ist schon April. Ich könnte nachvollziehen, wenn die aktuelle Situation zur Verzögerung der Bearbeitung meiner Anfrage führt. Allerdings kam es ja bisher häufiger zu Verzögerungen. Ist das berechtigte Interesse so kompliziert? Ich habe es zwar nicht direkt in die E-Mail geschrieben (das ist die Aufgabe von Fairtiq, darauf zu kommen), aber ein freiwilliges, nicht für die Nutzung der App erforderliches Einverständnis der Nutzer würde bei der Produktverbesserung viel besser passen. Wer dann ein informiertes Einverständnis gibt, der weiß dann auf was er sich einlässt und den kann man dann tracken, wobei ich allein das Anbieten einer solchen Option unpassend finde.

Besonders interessant ist der Umgang mit einigen Zwängen zu meiner Meinung nach unnötigen Datenangabe. Anstatt darüber nachzudenken gibt es jeweils einen scheinbares Grund dafür, den man mit wenig nachdenken widerlegen kann.

Um die letzte E-Mail noch einmal zu zitieren:

Wir als HAVAG haben ein großes Interesse daran, dass FAIRTIQ sorgsam mit allen Daten umgeht und selbstverständlich auch alle dahinterliegenden Gesetze einhält.


Quelle: E-Mail von der Havag

Dieses große Interesse besteht sicherlich, aber in der Umsetzung ist das für mich nicht erkennbar.

Mehr ist noch nicht passiert …