Hintergrund: So trackt der DB Navigator

Für die Artikelserie „App-Check” auf seinem Blog überprüft der Sicherheitsforscher Mike Kuketz viel genutzte Smartphone-Apps. Er untersucht, wohin eine App eine Verbindung aufbaut und welche Daten dabei übermittelt werden.

Die App „DB Navigator” wird von der DB Vertrieb GmbH angeboten und wurde laut Google Playstore mehr als 10 Millionen mal heruntergeladen. In der App können unter anderem Reiseverbindungen gesucht und Zugtickets gekauft werden und sie bietet Zugriff auf Echtzeit-Informationen wie Verspätungen, Gleisänderungen oder geänderte Reihenfolge der Waggons.

Öffnet man den DB Navigator, wird eine Abfrage eingeblendet: Es kann gewählt werden zwischen „Alle Cookies zulassen”, „Cookie-Einstellungen öffnen” und „Nur erforderliche Cookies zulassen”. Doch auch mit der vermeintlich privatsphärefreundlichsten Variante „Nur erforderliche Cookies zulassen” sind Nutzer.innen nicht sicher vor der massenhaften Weitergabe von Informationen. In ihrer Datenschutzerklärung zählt die Deutsche Bahn insgesamt zehn Dienstleister auf, an die eine Datenübermittlung für den Betrieb der Navigator-App angeblich zwingend erforderlich ist – und deren Tracker deshalb gar nicht abgeschaltet werden können.

An diese Unternehmen können jederzeit Daten übermittelt werden. Wann und in welchem Umfang, ist für Nutzer.innen nicht feststellbar. Dabei geht es um verschiedene Funktionen, die die Bahn im Hintergrund nutzen will: Statistiken zur Webseitennutzung, Anzeige von persönlichen Angeboten im eingeloggten Zustand, Vergütung von Partnern nach Buchung auf einer Partnerseite (sogenannte DB-Affiliate-Werbemittel), oder um das Ausspielen von leicht variierten Inhalten bei den Nutzer.innen, um zu testen, was aus Sicht der Bahn besser funktioniert (A/B-Testing).

All diese Funktionen sind ausgelagert. Die Bahn kauft also nicht Software ein, um sie dann in den eigenen Systemen zu betreiben, mit den Daten ihrer Fahrgäste zu füttern und so Erkennisse zu gewinnen. Stattdessen reicht die Bahn die Daten an andere Unternehmen weiter, diese Unternehmen verarbeiten die Daten und schicken die Ergebnisse an die Bahn zurück.

Wird zum Beispiel eine Reiseauskunft angefragt, dann werden unter anderem folgende Informationen an die „Adobe Marketing Cloud“ übermittelt: Anzahl der Reisenden, ob ein Kind mitfährt, Abfahrtstag, Start- und Zielbahnhof. Adobe erfährt praktisch jeden Schritt, den Nutzer.innen innerhalb des DB Navigators ausführen – ohne dass es eine Möglichkeit gibt, dem zu widersprechen.

Für den Abruf von Zugverbindungen in einer Fahrplan-App und die Buchung von Tickets ist die kommerzielle Weiterverwertung der personenbezogenen Daten der Reisenden unserer Meinung nach nicht „zwingend erforderlich“. Durch die Einordnung der Tracker in diese Kategorie will sich die Bahn ihrer Verpflichtung entziehen, von Nutzer.innen eine informierte Zustimmung einholen zu müssen. Die Bahn behauptet einfach: „Ohne diese Tracker funktioniert die App nicht, deshalb muss ich auch nicht fragen, ob ich sie einsetzen darf.” Der auf IT- und Datenschutzrecht spezialisierte Anwalt Peter Hense sieht darin einen klaren Verstoß gegen das Telemediengesetz und die europäische Datenschutzgrundverordnung (DSGVO).

Diese Datenschutzverstöße fallen umso mehr ins Gewicht, weil die Deutsche Bahn eine marktbeherrschenden Stellung hat und die Verstöße Millionen von Menschen betreffen. Digitalcourage wird deshalb Klage gegen das ungefragte Tracking im DB Navigator einreichen.

Die gesamte Analyse vom 11. April 2022 von Mike Kuketz lesen.