Was gibt’s Neues von der polygoCard?

Da ich Ende September meine eigene polygoCard von der SSB AG erhalten habe, konnte ich die Karte nun endlich selbst ausgiebig unter die Lupe nehmen. Hier mein Erfahrungsbericht.

Erst mal alles beim alten …

Logbuch mit Fahrtransaktionen

Logbuch mit Fahrtransaktionen

Seitdem ich erstmals vor rund 6 Monaten über die polygoCard geschrieben habe, hat sich an den damals festgestellten Datenschutzmängeln leider nichts geändert. Diese waren und sind:

  1. Die Kontrollgeräte der Busse der Deutschen Bahn Tochter „Regional Bus Stuttgart GmbH“ (RBS) protokollieren jeden Einstieg minutengenau samt Haltestelle auf der polygoCard.
  2. Jeder der eine solchermaßen geschriebene polygoCard in die Finger bekommt, kann die darauf gespeicherten letzten 10 Buseinstiege mit einem üblichen Smartphone auslesen.
  3. Es existiert für den Fahrgast keine Möglichkeit, diese ungefragt auf seiner polygoCard gespeicherten Daten selbst zu löschen oder löschen zu lassen.

Nach meinem Kenntnisstand steht der Landesbeauftragte für den Datenschutz in Baden-Württemberg mit dem VVS in Kontakt und hat diesen aufgefordert, die endgültige Lösung des Datenschutzproblems, insbesondere in Bezug auf die RBS-Busse, mit ihm abzustimmen.
Wie die Lösung aussehen wird und wann sie umgesetzt werden soll ist mir nicht bekannt.

Man könnte meinen der Beitrag könnte hier enden. Ein paar neue Ungereimtheiten sind mir dann aber doch noch aufgefallen …

Fahrkartenautomaten mit polygoCard Leser

Ausgewählte SSB- und alle DB-Fahrkartenautomaten im VVS-Gebiet sind mit einem Lesegerät für polygoCards ausgestattet. Alle polygoCards werden an beiden Fahrkartenautomatentypen gelesen und der darauf gespeicherten Geltungsbereich der Karte angezeigt. Die Automaten verhalten sich aber unterschiedlich.

Die SSB-Fahrkartenautomaten lesen die Karten sehr schnell und zeigen sofort deren Geltungsbereich an.

DB Fahrkartenautomat

DB Fahrkartenautomat

Die DB-Fahrkartenautomaten brauchen zum Lesen der polygoCards wesentlich länger und zeigen danach nicht nur den Geltungsbereich der Karte, sondern zusätzlich auch noch die bei der polygoCard Registrierung abgefragte Start- und Zielhaltestelle an; meistens der Wohnort und die Arbeitsstätte des Karteninhabers.

Da diese Informationen nicht auf der Karte gespeichert sind, müssen sie von einer zentralen Datenbank abgerufen worden sein. Für diese These spricht auch die lange Wartezeit beim Lesen der Karte. Laut polygo FAQ wurden die Start-und Zielhaltestelle nur abgefragt um die richtigen Zonen für das Abo bestimmen zu können. Somit werden sie nach der Ausstellung der Karte eigentlich gar nicht mehr benötigt und sollten längst gelöscht worden sein.

Diese Daten scheinen aber weiterhin zentral gespeichert zu sein und können sogar von einem Fahrkartenautomaten der DB abgerufen werden, obwohl ich gar kein Kunde der DB bin, sondern mein VVS-Abo und meine polygoCard über die SSB AG bezogen habe.

Aus meiner Sicht besteht hier Handlungsbedarf seitens des Datenschutzbeauftragten.

Kreditkartenfunktion (polygoCard pay)

In einem früheren Beitrag hatte ich die polygoCard pay beschrieben, eine polygoCard mit integrierter Kreditkartenfunktion auf Guthabenbasis. Diese konnten nur SSB-Kunden bei der polygoCard Registrierung mitbestellen. Ich hatte sie nicht mitbestellt und war deshalb schon sehr überrascht, die entsprechende Funktionalität trotzdem auf dem Chip meiner polygoCard vorzufinden. Meiner Karte fehlt aber die Kontaktfläche, sowie der Aufdruck des MasterCard Logos, der Kreditkartennummer und des VALID TRU Datums.

Die App NXP Taginfo erkennt auf der polygoCard eine Electronic Purse Anwendung und die App Scheckkarteleser (beide Apps gibt es zumindest für Android) eine Mastercard mit 16-stelliger Kreditkartennummer und einem Ablaufdatum (Expire Monat/Jahr):

Anzeige der polygoCard pay in der Scheckkarteleser App

Anzeige der polygoCard pay in der Scheckkarteleser App

Für eine Aufladung der Karte per Überweisung würden diese Information ausreichen, es ist aber zu befürchten, dass überwiesenes Geld nicht auf dem Kreditkartenkonto der Karte landen würde (da dieses eigentlich nicht existieren sollte) und stattdessen womöglich verlorengeht.

Unterschriftenfeld auf der Rückseite

Auf der Rückseite der polygoCard befindet sich ein Unterschriftenfeld, aber in dem mit der Karte erhaltenen Schriftverkehr wird es nirgends erwähnt. In einem PDF für Scool-Abo habe ich den Hinweis gefunden, dass eine Unterschrift auf der Kartenrückseite nicht erforderlich sei. Ich hoffe mal, dass das generell gilt, zumindest habe ich nirgends eine Information gefunden, die das Gegenteil behauptet.

VVS JahresTicketPlus

Das VVS JahresTicketPlus ist an Wochenenden und feiertags ganztags, sowie freitags ab 19 Uhr im ganzen Verbundgebiet gültig. Es hat also zu diesen Zeiten eine netzweite Gültigkeit, egal wie viele Zonen es außerhalb dieser Zeiten abdeckt.

Mit einem JahresTicketPlus auf der polygoCard bekommt man aber ein Problem, wenn man zu diesen Zeiten an einer Haltestelle außerhalb der auf der Karte hinterlegten Tarifzonen in einen Bus einsteigen will. Zumindest die Lesegeräte der RBS-Busse scheinen diese spezielle Regelung nicht zu kennen und melden kein OK (grüne Lampe). Immerhin scheinen die Busfahrer dieses Problem mittlerweile zu kennen und lassen einen trotzdem einsteigen. Ob sie dabei prüfen können, ob der Einsteigende tatsächlich ein JahresTicketPlus besitzt, ist mit nicht bekannt.

Ein Gedanke zu „Was gibt’s Neues von der polygoCard?

  1. Moritz

    Immer wieder schaffen die Lesegeräte es auch nicht, die Karte zu lesen und zeigen ungültig an. Wenn die Karte allerdings nicht gelesen werden kann, sollte nicht ungültig, sondern Fehler dranstehen. So wirkt das wie als wäre man Schwarzfahrer.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.