Datenschutzwissen

DB Navigator: Beliebte Buchungs-App gerät in die Kritik von Datenschützern

„So reist man heute“ – unter diesem Slogan bewirbt die Deutsche Bahn ihre App DB Navigator. Für viele Bahnreisende gehört sie zum unverzichtbaren Inventar der Reiseplanung und bietet neben einigen komfortablen Features rund um die Buchung eine Menge Unabhängigkeit. Die hat laut dem Sicherheitsforscher Mike Kuketz ihren Preis. In einer umfassenden Analyse hat er der beliebten App nun ein massives Datenschutzproblem bescheinigt.

Überaus erfolgreiche Mobilitäts-App

Seit 2009 steht der DB Navigator im App Store zur Verfügung. Der mobile Reiseberater auf dem Smartphone liefert Auskünfte zu 5700 deutschen Bahnhöfen, 275000 Haltestellen des Öffentlichen Personen-Nahverkehrs sowie weiteren 54000 Bahnhöfen in Europa. Allein bis 2019 wurde die App 42 Millionen Mal heruntergeladen. Jeden Monat werden über 100 Millionen Tickets über den DB Navigator verkauft. Zu seinen Funktionen gehören unter anderem eine Bestpreissuche, die Schnellbuchung, Auslastungsinformationen oder ein Komfort-Check-in. Und nun soll diese lange Erfolgsgeschichte der an Erfolgsgeschichten nicht eben reichen Deutschen Bahn ein Fall für den Datenschutz sein?

Daten-Tracking der Reisenden

Mike Kuketz hat den DB Navigator einer eingehenden Analyse unterzogen. Zugrunde lag die Version 21.12.p03.04 unter Android und 21.12.08 unter iOS. Das Ergebnis dieser Tests stellte er unter die bezeichnende Überschrift „Datenschutz fällt heute aus“. Kuketz ermittelte eine intensive Kommunikation der App nach dem Öffnen. Verbindungen zu Bahnservern, Verkehrsverbünden und Google-Karten werden hergestellt – aber auch beispielsweise Daten mit Adobe (Android) oder Optimizely (iOS) ausgetauscht, was für die meisten Nutzer wohl nicht so einfach nachvollziehen ist. Um die App nutzen zu können, müssen User den Cookies von zehn Unternehmen zustimmen, die erforderlich und nicht abwählbar sind. Der Datenschutzforscher weist darauf hin, dass hier keine Widerspruchsoption gewährt wird. Das Fazit: „Trotz der Auswahl ‚Nur erforderliche Cookies zulassen‘ übermittelt die App Daten an Tracking- und Analysedienstleister bzw. nimmt eine Verbindung dorthin auf.“

Speziell Adobe würde nach den Angaben von Kuketz Daten zum Mobilfunkanbieter, dem Gerätenamen oder der Version des Betriebssystems erhalten – bis hin zu konkreten Reiseanfragen mit Start, Ziel, Termin und der Angabe zur Personenzahl. Neben Adobe und Optimyzely versorgt dieses User Tracking auch Google, Tealium und CrossEngage mit Nutzerdaten.

Datenschutzprobleme eines Monopolisten

In seinem Aufklärungsbestreben schloss sich Mike Kuketz mit einer für ihre Spezialisierung auf Datenschutz und Datensicherheit bekannten Anwaltskanzlei zusammen. Die Juristen sehen bereits die als unverzichtbar präsenten Zustimmungsmöglichkeiten für die Cookies kritisch. Das Abrufen personenbezogener Daten der Nutzer durch einschlägige Marketingabteilungen habe für die Planung und Buchung einer Reise keine „unbedingte Erforderlichkeit“. Kuketz sieht hier einen klaren Verstoß gegen das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) und die Datenschutz-Grundverordnung (DSGVO). Diese erste von ihm vorgenommene Analyse hat für den Tester folglich ein „riesengroßes Problem mit dem Datenschutz“ zutage gefördert.

Das Problem erscheint zumal deshalb so gravierend, weil die Deutsche Bahn quasi als Monopolist auftritt. Fehlender Wettbewerb auf der Schiene sichere auch dem DB Navigator eine beherrschende Stellung auf dem App-Markt, so der Sicherheitsforscher. Auf ähnliche Vorwürfe zur Intransparenz und zum mangelnden Datenschutz hatte Kuketz allerdings bereits im Herbst 2021 eine unverbindliche Antwort des Eisenbahnkonzerns erhalten: „Der Schutz der Daten unserer Nutzer ist für uns ein sehr wichtiges Anliegen. Für einen optimalen Betrieb unserer App und die individuelle Nutzung durch unsere Kunden wird unsere App laufend gemessen und optimiert. Dafür erforderliche Daten verarbeiten die eingesetzten Dienstleister nur für uns, wie im Datenschutzhinweis beschrieben.“

Zurück

Hier bloggt die Redaktion Datenschutz & Datensicherheit des Verlags Mensch und Medien.

Datenschutz & Datensicherheit Das Fachinformationsportal

  • Aktuelles Fachwissen
  • Rechtssichere Entscheidungen
  • Praktische Arbeitshilfen
  • Übersichtliche Prozessdarstellungen
  • Sofort einsetzbare Schulungen

Jetzt 4 Wochen testen