Swisspass erhält Upgrade - Konsumentenschutz kritisiert
Ab Mitte Dezember erscheint eine neue Version der Swisspass-Karte. Sie hat nicht nur ein neues Design, sondern lässt sich auch zum Bezahlen, als Türöffner oder für Authentifizierungen verwenden. Die Stiftung für Konsumentenschutz kritisiert die erweiterten Funktionen und warnt vor der Einführung einer E-ID durch die Hintertür.
Die Tage des Swisspass, wie wir ihn kennen, sind gezählt. Denn ab Mitte Dezember wird sukzessive eine neue Version der Schweizer ÖV-Karte eingeführt, wie die Herausgeberin Alliance Swisspass mitteilt. Sichtbarste Veränderung sei das neue Design, "im Schweizer Rot und mit Bergmotiv".
Bezahlen, Türen öffnen und authentifizieren
Geändert hat sich aber noch mehr. Im neuen Swisspass seien "diverse sichtbare und unsichtbare Merkmale eingebaut", teilt die Herausgeberin mit. Sie sollen die Karte noch sicherer machen, jedoch auch neue Funktionen ermöglichen. So sorge ein eingebauter EMV-fähiger Chip dafür, dass der Swisspass zum kontaktlosen Bezahlen verwendet werden könnte. Zudem sei die Karte mit Sicherheitssystemen der Schweizer Firma Legic kompatibel und könne von Unternehmen, die diese Systeme nutzten, als Zutritts- oder Identifikationsmedium verwendet werden.
Namentlich erwähnt die Alliance Swisspass noch die Funktion zum sicheren Anmelden im Internet. Hier verweist sie auf den Fast-Identity-Online-Standard (FIDO), der eine vereinfachte Anmeldung bei Geräten und Webdiensten ermögliche. All diese neuen Funktionen können Partner laut der Mitteilung in Zukunft ihren Kundinnen und Kunden oder Mitarbeitenden zur Verfügung stellen.
Konsumentenschutz warnt vor E-ID-Einführung "durch die Hintertür"
Das Upgrade der ÖV-Karte sorgt bei der Stiftung für Konsumentenschutz für Kritik. Denn mit seinen technischen Erweiterungen biete der neue Swisspass die Funktionen einer E-ID, teilt die Stiftung mit. "Es handelt sich dabei um eine schleichende und unkontrollierte Einführung einer elektronischen Identität", schreibt die Stiftung weiter. Es gebe keine rechtlichen Grundlagen, und es sei unklar, wie die Daten der Nutzerinnen und Nutzer geschützt würden. Die Stiftung fordert Alliance Swisspass auf, "dass die Karte nicht ausgegeben wird, bevor die grundlegenden Fragen des Datenschutzes geklärt und geregelt sind. Ausserdem muss den Kartennutzern die Möglichkeit gegeben werden, die Funktionen im Benutzerportal datenwirksam auszuschliessen oder abzuschalten."
Die Alliance Swisspass lässt die Kritik der Konsumentenschützer wiederum nicht auf sich sitzen. Die "Behauptung, mit dem neuen Swisspass werde schleichend und unkontrolliert eine staatliche elektronische Identität (E-ID) eingeführt", entbehre jeglicher Grundlage, heisst es in der Gegendarstellung. "Weder die Alliance Swisspass noch die SBB haben dafür einen Auftrag des Bundes – und die neue Swisspass-Karte wurde technisch auch nicht dahingehend konzipiert."
Die Sicherheitselemente, die in den neuen Swisspass integriert wurden, können Kundinnen und Kunden bei einer freiwilligen Nutzung einen Mehrwert bieten, erklärt die Alliance Swisspass weiter. Zudem seien die Elemente nach dem Prinzip der Datensparsamkeit erstellt worden. Demnach hat die ÖV-Branche
keinerlei Kenntnis über Transaktionsdaten und somit über das Konsumverhalten der Nutzerinnen und Nutzer, wenn sie die Bezahlfunktion verwenden,
keinen Zugriff auf die vergebenen Zutrittsrechte noch auf die erfolgten Zutritte, sollte die Karte bei Drittfirmen als Türöffner eingesetzt werden, sowie
keine Kenntnis über die Nutzung von FIDO2 für das sichere Anmelden bei Drittanbietern wie Google, Microsoft, Twitter oder Dropbox.
In der Mitteilung lehnt Alliance Swisspass die Forderung der Stiftung für Konsumentenschutz, grundlegende Fragen des Datenschutzes zu klären, ab. Stattdessen fordert sie die Stiftung dazu auf, "die aufgestellten Behauptungen in Bezug auf die staatliche E-ID schnellstmöglich in geeigneter Form zu korrigieren".
Eingeführt wurde der Swisspass vor sechs Jahren – und er sorgte schon damals beim Konsumentenschutz für Stirnrunzeln. Die Stiftung kritisierte sowohl die automatische Verlängerung teurer Abos, als auch fehlende Erinnerungen beim Auslaufen befristeter Dienstleistungen. Auch der Datenschützer schaltete sich ein, weil die ÖV-Unternehmen seiner Ansicht nach personenbezogene Kontrolldaten unnötigerweise erhoben und zu lange speicherten. Die Betreiber reagierten, und löschten diese Daten.