So gross ist der Swisspass-Datenschatz für SBB und Co.

Als "Schlüssel zu Mobilität und Freizeit" oder als "geballte Ladung an Vorteilen aus einer Hand" wird die Swisspass-Karte beworben. Doch für die Unternehmen, die ihre Dienste mit der Karte verknüpfen, ist der Swisspass auch ein immenser Datenschatz, wie Recherchen des Magazins "Saldo" (Paywall) zeigen.

Demnach führen die Schweizerischen Bundesbahnen (SBB) über jeden Swisspass-Kunden und jede Kundin ein Dossier. Dieses habe in den abgefragten Fällen bis zu 100 Seiten umfasst, heisst es im Artikel. Zu den gespeicherten Daten gehören etwa die gekauften Abos – diese Daten gingen in einem von Saldo zitierten Fall bis ins Jahr 1997 zurück. Auch vermerkt sind die genutzten Partnerangebote, wie Skiferien, Besuche in Museen und Automieten. Und da der Swisspass regelmässig neue Funktionen erhält, dürfte der Datenberg künftig noch weiter anwachsen.

Neun Kundensegmente

Aus diesen Daten wiederum lassen sich Rückschlüsse über die familiären oder finanziellen Verhältnisse der Kundin oder des Kunden ableiten. Beispiel: Wer ein "Generalabo Duo" kauft, lebt in einer Beziehung; bei einem "Generalabo Duo Partner Junior" kann man auf ein über sechs Jahre altes Kind schliessen.

Tatsächlich biete die Alliance Swisspass – ein Zusammenschluss von 250 ÖV-Unternehmen, die die Karte gemeinsam herausgeben – ihren Werbekunden die Möglichkeit, neun "Kundenwertsegmente" gezielt anzusprechen, darunter die Ungebundenen, Sparsamen, Pragmatischen oder Profis, erklärt Saldo. Ausserdem können Werbekunden ihre Adressaten für Werbung auf SBB-Websites nach Aufenthaltsort, Wohnort, Alter oder Geschlecht aussuchen.

Eingestellte Datensammlerei wieder eingeführt

Manchmal sammeln SBB und Co. auch Daten, die sie vor ein paar Jahren eigentlich nicht mehr speichern wollten. Konkret handelt es sich um die Angaben, wann und auf welchen Strecken man im Zug kontrolliert und welches Billett vorgezeigt wurde, wie Saldo ausführt. Im Jahr 2016 löschten die Swisspass-Betreiber diese Daten, nachdem sie von Jean-Philippe Walter, dem damaligen Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), gerügt worden waren.

2018 führten die Transportunternehmen die Kontrolldatenbank heimlich wieder ein, wie Saldo offenlegt. In einer Stellungnahme verweisen die SBB auf ihre AGB und sagen, man speichere Kontrolldaten während maximal 90 Tagen; und dies auch nur bei jenen Kunden, die den Swisspass auch auf der SBB Mobile App auf dem Smartphone hinterlegen. Man müsse überprüfen können, dass der Swisspass auf der Karte und der mobilen Version nicht gleichzeitig von verschiedenen Personen verwendet werde, begründen die SBB das Vorgehen. Der jetzige EDÖB Adrian Lobsiger sieht laut Saldo kein Problem darin, dass die Kontrolldaten gespeichert werden, während es sein Vorgänger, der jetzt für den Europarat tätig ist, weiterhin als "unnötig" bezeichnet.

Dass die am Swisspass beteiligten Unternehmen die Kundendaten für Werbung nutzen, ist in den Datenschutzrichtlinien der Karte vermerkt. "Wir werten Ihre personenbezogenen Daten wie beispielsweise Ihren Abo-Besitz (GA oder Halbtax) aus, um unsere Angebote bedürfnisorientiert weiterzuentwickeln und Ihnen möglichst relevante Informationen und Angebote zuzustellen", heisst es dort. Etwas später: "Wir setzen zudem Methoden ein, welche auf Grund Ihres aktuellen Verhaltens ein mögliches, zukünftiges Verhalten vorhersagen." Kundinnen und Kunden haben jedoch auch das Recht, der Verwendung ihrer Daten zu Marketingzwecken zu widersprechen sowie die "Berichtigung, Ergänzung, Sperrung oder Löschung" der Personendaten zu verlangen.

Im Januar 2022 machte ein IT-Experte eine Schwachstelle in einer SBB-Plattform publik, über die er Daten von rund 500'000 Swisspass-Kundinnen und -Kunden abgreifen konnte. Brisant: Die Sicherheitslücke bestand seit 2018, wie Sie hier lesen können.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.