Für Bahnfahrer:innen ist sie unverzichtbar – doch die „DB Navigator“-App soll Daten sammeln, weitergeben und gegen Datenschutzverordnungen verstoßen. Ein Sicherheitsforscher, ein Anwalt und ein Datenschutzverein wollen nun Klage einreichen.
Die App „DB Navigator“ befindet sich auf zahlreichen Handys. Man kann sie unter anderem dazu nutzen, Zugtickets zu kaufen oder Verbindungen zu ermitteln. Außerdem informiert der Navigator der DB Vertrieb GmbH über Verspätungen, Gleis- und andere Änderungen im Fahrplanablauf.
Doch Datenschützer:innen sehen bei der App ein Problem: Eine technische Analyse von Sicherheitsforscher Mike Kuketz offenbarte schon im April unzulässiges Datensendeverhalten. Konkret kritisieren er und Datenschützer:innen des Vereins Digitalcourage: Die App sende Daten an Dienstleister, ohne dass Nutzer:innen etwas dagegen unternehmen können – und obwohl es für den Betrieb der App nicht zwingend notwendig ist.
Gemeinsam mit Digitalcourage und dem IT- und Datenschutzrecht-Anwalt Peter Hense hatte Kuketz bereits einen offenen Brief an die Deutsche Bahn geschrieben und ein Ultimatum zur Behebung von Mängeln gestellt. Die Bahn habe aber in ihrer Antwort klar gemacht, dass sie nicht vorhabe, etwas an den Trackern zu ändern. Darum werde nun eine Klage vorbereitet.
Wieso die „DB Navigator“-App gegen Datenschutzrichtlinien verstoßen soll
Die App „DB Navigator” bietet Nutzer:innen, die sie öffnen, die Wahl zwischen verschiedenen Einstellungen. So kann man „Alle Cookies zulassen”, „Cookie-Einstellungen öffnen” und „Nur erforderliche Cookies zulassen”. Doch laut Digitalcourage schützt auch die letztgenannte Einstellung nicht vor „der massenhaften Weitergabe von Informationen“. Denn selbst wenn man nur erforderliche Cookies erlaubt, werden weiterhin Trackingcookies gesetzt – sowie ein Cookie auf Adobe Analytics, der erst nach einem Jahr abläuft. Angeblich, weil eine Datenübermittlung für den Betrieb der App zwingend erforderlich sei.
Digitalcourage bemängelt, dass an diese Unternehmen jederzeit Daten übermittelt werden können, und der Zeitpunkt und Umfang für Nutzer:innen nicht feststellbar sei. Bei einer Reiseauskunft werde zum Beispiel die Anzahl der Reisenden, der Abfahrstag, Start- und Zielbahnhof und die Tatsache, ob ein Kind mitfährt, an die „Adobe Marketing Cloud“ übertragen.
Die Funktionen, die damit von externen Dienstleistern betrieben werden, seien unter anderem Nutzungsstatistiken der Website, Anzeige von persönlichen Angeboten, Vergütung nach Buchungen auf einer Partnerseiten oder A/B-Testing, also das Ausspielen leicht unterschiedlicher Inhalte, um zu testen, welche Version besser funktioniert. (Anmerkung der Redaktion: Auch Utopia.de betreibt Affiliateprogramme. Wir setzen Cookies allerdings nur, wenn Nutzer:innen dem zustimmen und dasselbe gilt für unsere Partner.)
Digitalcourage findet dies nicht gerechtfertigt. „Für den Abruf von Zugverbindungen in einer Fahrplan-App und die Buchung von Tickets ist die kommerzielle Weiterverwertung der personenbezogenen Daten der Reisenden unserer Meinung nach nicht ‚zwingend erforderlich‘“, argumentiert Anwalt und Datenschutzrechtspezialist Peter Hense. „Durch die Einordnung der Tracker in diese Kategorie will sich die Bahn ihrer Verpflichtung entziehen, von Nutzer:innen eine informierte Zustimmung einholen zu müssen. Kurz: Die Bahn greift bei den Daten ihrer Fahrgäste frech zu, obwohl sie höflich fragen müsste”.
Nach Einschätzung von Hense verstößt die App somit gegen das Telemediengesetz und die europäische Datenschutzgrundverordnung (DSGVO). Diese Verstöße betreffen „Millionen von Menschen“. Auch wegen der „marktbeherrschenden Stellung“ der deutschen Bahn fallen sie deshalb umso mehr ins Gewicht.
Datenschutz-Klage: So äußert sich die Bahn zu den Vorwürfen
Die Deutsche Bahn hat sich am 21. Juli in einer Pressemitteilung zu den Vorwürfen geäußert. „Bei der Nutzung des DB Navigator fließen keinerlei Kundendaten an Drittanbieter“, heißt es darin. Denn die Bahn sieht die Dienstleister, die die Daten erhalten, nicht als „Dritte im Sinne der DSGVO“, weil sie vertraglich gebunden sind, nicht in eigenem Interesse und streng nach Weisung der DB handeln.
Bei den Daten, die verarbeitet werden, handle es sich um pseudonymisierte Daten – keiner der Anbieter sei in der Lage, diese an anderer Stelle oder zu eigenen Marketingzwecken einzusetzen. „Ein Webseiten- oder App-übergreifendes Nachverfolgen von Kund:innen mit diesen Cookies ist nicht möglich“, so die Deutsche Bahn. Alle Technologieanbieter, die im DB Navigator in der Kategorie „erforderlich“ aufgelistet sind, verarbeiten Daten ausschließlich zu den Zwecken, die vielfältigen Funktionen und die Stabilität der App für mehr als zwei Millionen Kund:innen täglich zu gewährleisten.
Eine Sprecherin des Konzerns merkte an, dass man sehr detailliert Stellung genommen und ein persönliches Gespräch zu einem fachlichen Austausch angeboten habe. „Weder auf unsere fachlichen Ausführungen noch auf unser Gesprächsangebot hat der Verein Digitalcourage bis heute reagiert. Wir nehmen die jüngsten öffentlichkeitswirksamen Aktivitäten daher mit Befremden zur Kenntnis.“
** mit ** markierte oder orange unterstrichene Links zu Bezugsquellen sind teilweise Partner-Links: Wenn ihr hier kauft, unterstützt ihr aktiv Utopia.de, denn wir erhalten dann einen kleinen Teil vom Verkaufserlös. Mehr Infos.War dieser Artikel interessant?