Daten und Informationen sind eine wesentliche Grundlage dafür, dass Fahrgäste die FAIRTIQ-App und damit die einfachste Fahrkarte für den öffentlichen Verkehr komfortabel und unkompliziert nutzen können. Da Datenschutz und Datensicherheit bei FAIRTIQ höchste Priorität haben, gehen wir in vielen Bereichen über die gesetzlichen Anforderungen hinaus. Der Respekt vor der Privatsphäre, der sichere und verantwortungsvolle Umgang mit den Informationen unserer Nutzer:innen und Partner sowie der bestmögliche Schutz aller Daten vor unberechtigten Zugriffen sind uns ein persönliches Anliegen – und zudem Voraussetzung für den Erfolg unseres Geschäftsmodells. Im Einklang mit technologischen und regulatorischen Entwicklungen verbessern wir kontinuierlich unsere Systeme und Prozesse, um den sich wandelnden Sicherheitsrisiken und Bedrohungen wirksam zu begegnen.
Ausgangspunkt für alle Aktivitäten im Bereich Datenschutz und Datensicherheit ist die Einhaltung der geltenden gesetzlichen Bestimmungen. Dazu gehören das überarbeitete und 2023 in Kraft getretene Schweizer Datenschutzgesetz (DSG), die EU-Datenschutz-Grundverordnung (DSGVO) sowie weitere Vorschriften auf nationaler und supranationaler Ebene.
Hinter der FAIRTIQ-App auf dem Smartphone steht eine cloudbasierte Plattform, auf der die erforderlichen Daten verarbeitet werden. Die Kontrolle über die auf der Cloud abgelegten Daten, die für die Kerndienstleistungen Registrierung, Fahrtenberechnung und Betrugsmanagement erforderlich sind, lag schon immer vollständig in der Hand von FAIRTIQ. In den vergangenen Monaten haben wir eine eigene virtuelle Infrastruktur aufgebaut, um Nutzer:innen und Partnern noch mehr Sicherheit bieten zu können.
Ein wichtiger Schritt war der Wechsel vom bisherigen Platform-as-a-Service-Modell (PaaS) zu einem Infrastructure-as-a-Service-Modell (IaaS). Der Unterschied: Bei einem PaaS-Modell stellt der Anbieter das Fundament zur Verfügung, auf dem die Software aufgebaut wird. Bei einem IaaS-Modell stellt der Anbieter zwar die technische Infrastruktur zur Verfügung, aber der Benutzer – in diesem Fall FAIRTIQ – baut ein eigenes, individuell an seine Anforderungen angepasstes Fundament auf. So können beispielsweise zusätzliche Sicherheitsmaßnahmen implementiert und sehr genau festgelegt werden, wer wann und in welchem Umfang auf Daten zugreifen darf. Dabei ist klar: Die Datenhoheit liegt auch weiterhin ausschließlich bei FAIRTIQ.
Das Hosting der Kerndienstleistungen erfolgt über Amazon Web Services (AWS) mit Servern in Irland. Aufgrund des Serverstandorts in der Europäischen Union können sich die Nutzer:innen und Partner von FAIRTIQ sicher sein, dass die Erhebung, Übermittlung und Verarbeitung von Daten im Einklang mit der DSGVO erfolgen, die als eines der strengsten Datenschutzgesetze der Welt höchste Anforderungen an den Schutz personenbezogener Daten stellt.
Die Verschlüsselung der Daten erfolgt bei AWS mit einem leistungsstarken und skalierbaren Nitro-System. Gegenüber herkömmlichen Systemen bietet AWS Nitro eine Reihe von Vorteilen. Dazu gehören vor allem eine verbesserte Sicherheit, mehr Leistung und Zuverlässigkeit sowie eine höhere Flexibilität und die Möglichkeit, neue Funktionen schneller zu entwickeln und bereitzustellen. Technisch ist das System so aufgebaut, dass der Zugriff auf Kundendaten selbst für AWS-Mitarbeitende unmöglich ist. Die Sicherheit von AWS Nitro wurde durch ein unabhängiges Audit der NCC Group, einem international anerkannten Informations- und Sicherheitsexperten, bestätigt.
Die Weiterentwicklung und Optimierung der App ist eine zentrale Aufgabe, die FAIRTIQ selbst übernimmt. Für die Unterstützung und den Betrieb der Software werden spezielle Services und Tools eingesetzt. Durch den Abschluss von Auftragsverarbeitungs-Verträgen (AV-Verträge) stellen wir sicher, dass die Verarbeitung personenbezogener Daten gemäß den gesetzlichen Vorgaben und nur zu den von FAIRTIQ definierten Zwecken erfolgt.
Darüber hinaus haben wir weitere Maßnahmen ergriffen, um den unberechtigten Zugriff Dritter zu verhindern. Zu diesen gehören unter anderem die Verschlüsselung von Daten bei der Speicherung und der Übermittlung. Auch intern werden Zugriffe nur in eingeschränkter Form gewährt und die Verarbeitungsprozesse dokumentiert und auditiert.
Seit Oktober 2023 ist FAIRTIQ nach dem international anerkannten Standard ISO/IEC 27001 zertifiziert. Im Rahmen des Audits bestätigte der TÜV Rheinland als unabhängige Prüfinstanz, dass bei FAIRTIQ Technik, Prozesse und Mitarbeitende optimal zusammenwirken, um Risiken in der Daten- und Informationssicherheit zu minimieren.
Darüber hinaus hat die unabhängige, weltweit tätige Wirtschaftsprüfungsgesellschaft BDO in einem ISAE 3000 Audit die Konformität von FAIRTIQ mit den Anforderungen der EU-DSGVO festgestellt. Die sogenannte Typ-1-Prüfung kam zu dem Ergebnis, dass FAIRTIQ über alle notwendigen Kontrollmaßnahmen und Methoden verfügt, um die europäischen Datenschutzanforderungen zu erfüllen. Die DSGVO gilt als „Goldstandard" des Datenschutzes, dem auch das Schweizer Datenschutzrecht grundsätzlich entspricht.
Die ISO/IEC 27001-Zertifizierung und das erfolgreiche ISAE-3000-Audit zeigen, dass FAIRTIQ den Fokus auf Datenschutz und Datensicherheit richtig gesetzt und einen hohen Reifegrad bei den Schutzmaßnahmen erreicht hat. Beide Audits werden in regelmäßigen Abständen wiederholt und tragen so zur Sicherung und Verbesserung des Schutzniveaus bei.
Datenschutz und Datensicherheit sind kein Zustand, sondern ein Prozess. In diesem Prozess sind wir mit der Optimierung unserer Cloud-Infrastruktur und der Umstellung von PaaS auf IaaS einen weiteren großen Schritt vorangekommen. Im Sinne des sogenannten „Defense in Depth“-Sicherheitsprinzips werden Schutz- und Sicherheitsmaßnahmen auf mehreren Ebenen umgesetzt. Sollte es dennoch einmal zu einer Umgehung eines Sicherheitsmechanismus kommen, greifen die anderen Maßnahmen und verhindern wirksam unberechtigte Zugriffe oder Datenlecks. Auf dem erreichten hohen Schutz- und Sicherheitsniveau bauen wir auf – und entwickeln unsere Methoden und Prozesse auch in Zukunft konsequent weiter. Nutzer:innen und Partner können sich darauf verlassen, dass wir beim Thema Datenschutz und Datensicherheit weiterhin vollen Einsatz zeigen.
Geschrieben von Andrin Huber, Legal Lead & Manuel Jeckelmann, Head of Security