Bahn-App: Bürgerrechtler machen gegen "DB Schnüffel-Navigator" mobil

Die Deutsche Bahn gibt Nutzerdaten über den DB Navigator ohne Widerspruchsoption an Dritte wie Adobe weiter. Digitalcourage will gegen das Tracking klagen.

In Pocket speichern vorlesen Druckansicht 98 Kommentare lesen
ICE 4 - Baureihe 412

(Bild: Deutsche Bahn)

Lesezeit: 4 Min.
Inhaltsverzeichnis

Die Deutsche Bahn (DB) hat nicht nur ein immenses Problem mit der Zuverlässigkeit, sondern auch mit dem Datenschutz. Das ist das Fazit einer Analyse der Reiseauskunfts- und Buchungsapp DB Navigator, bei der der IT-Sicherheitsforscher Mike Kuketz auf potenziell rechtswidrige Trackingverfahren gestoßen ist. Die Bürgerrechtsorganisation Digitalcourage hat nun eine Klage gegen die Deutsche Bahn angekündigt, nachdem sie diese zunächst mit den Vorwürfen konfrontiert hatte.

Laut den Aktivisten ist der "DB Schnüffel-Navigator" voll mit Trackern, die Reisende überwachen. Dagegen wolle man nun gerichtlich vorgehen: "Denn wir wollen Bahn fahren – nicht Daten liefern." Die Mobilanwendung biete an sich "viele nützliche Funktionen und manche Services sind auf anderem Wege gar nicht mehr zu bekommen". Gleichzeitig gebe sie aber viele persönliche Informationen an Dritte weiter – ohne dass die Nutzer sich dagegen wehren könnten.

Im Zentrum der Vorwürfe steht ein Verbindungsaufbau zum US-Unternehmen Adobe, das neben Bildbearbeitungssoftware wie Photoshop auch Lösungen fürs Online-Marketing anbietet. So würden auch Tracking- beziehungsweise Analysedaten an die Adobe-Marketingcloud weitergegeben, führt Kuketz in seinem Bericht aus. Zugleich werde eine ID vergeben und ein Cookie auf dem Endgerät des Nutzers gesetzt. Auf iPhones kontaktiere der Navigator unter iOS zusätzlich die ebenfalls in den USA sitzende Marketingfirma Optimizely. Unmittelbar nach dem Start erfolge zudem unter iOS und Android ein Verbindungsaubau zu Google Maps.

Problem dabei ist, dass sich das damit verknüpfte Setzen von Browserdateien zum Tracking nicht direkt abstellen lässt. Selbst wer bei der entsprechenden Abfrage beim Öffnen des Navigators die datenschutzfreundlichste Variante "Nur erforderliche Cookies zulassen" wählt, kommt an den Trackern etwa von Adobe und Optimizely nicht vorbei. Diese erklärt die DB für "erforderlich" für den Betrieb der App – genauso wie die Cookies von acht weiteren Unternehmen und Dienstleistern.

"Konkret heißt das", erläutert Digitalcourage: "Wenn Sie in der App zum Beispiel nach einer Zugverbindung von A nach B suchen, dann werden unter anderem folgende Informationen an die Adobe-Marketingcloud übermittelt: Anzahl der Reisenden, ob ein Kind mitfährt, Abfahrtstag, Start- und Zielbahnhof." Der US-Konzerne erfahre "praktisch jeden Schritt, den Sie innerhalb des DB Navigators ausführen". Das sei besonders schlimm, "weil Bahnfahren zur Grundversorgung gehört" und seit Anfang des Jahres während der Fahrt Tickets nur noch online gelöst werden könnten.

Mit Trackern könnten Daten mithilfe von Algorithmen ausgewertet und Persönlichkeitsprofile gebildet werden, warnen die Bürgerrechtler. Die immer weiter fortschreitende kommerzielle Überwachung nebst automatisiert getroffenen Entscheidungen sei auch ein Problem für die Demokratie. Julia Witte von Digitalcourage spricht daher von einem "unakzeptablen Übergriff" der Bahn.

Auch der auf Datenschutzrecht spezialisierte Anwalt Peter Hense hält die App für rechtswidrig: Das Transportunternehmen greife bei den Daten ihrer Fahrgäste "frech zu, obwohl sie höflich fragen müsste". Er sieht darin klaren Verstoß gegen das Telemedienrecht und die Datenschutz-Grundverordnung (DSGVO).

Digitalcourage arbeitet nach eigenen Angaben an einer Klage, nachdem ein offener Brief an die Bahn dort auf wenig Resonanz stieß. Der Konzern sieht sich laut einer Sprecherin auf der halbwegs sicheren Seite: Man habe den Cookie-Einwilligungsbanner "der für uns zuständigen Datenschutzaufsichtsbehörde zur Bewertung vorgestellt" und wolle die noch ausstehende Antwort selbst prüfen. Bei allen im Rahmen der App eingesetzten Dienstleistern handle es sich nicht um Dritte im Sinne der DSGVO. Die Bürgerrechtler sammeln neben Spenden noch Unterschriften, um der Klage mehr Gewicht zu geben.

(bme)