DatenschutzDigitalcourage klagt gegen Tracking in Deutsche-Bahn-App

Der DB Navigator trackt mehr Informationen als nötig, ohne dass Nutzende sich dem widersetzen können. Trotz monatelanger medialer Empörung hat die Deutsch Bahn daran nichts geändert – und handelt sich nun eine Klage ein.

Die Deutsche Bahn trackt ihre Nutzer:innen – und die sind nicht allzu glücklich darüber.

Digitalcourage e.V. hat heute eine Unterlassungsklage gegen die Deutsche Bahn beim Frankfurter Landgericht eingereicht. Padeluun, Gründungsvorstand des Bielefelder Vereins, verklagt die Bahn auf Unterlassung der Verletzung der Allgemeinen Persönlichkeitsrechte.

Hintergrund der Klage sind Untersuchungen des IT-Sicherheitsexperten Mike Kuketz. Kuketz hatte den DB-Navigator im Zuge seiner Blog-Serie „App-Check“ im April dieses Jahres unter die Lupe genommen und festgestellt, dass die App personenbezogene Daten an externe Unternehmen weiterleitet – so weit, so üblich. Allerdings konnten die Nutzer:innen die Weitergabe selbst dadurch nicht unterbinden, dass sie die vermeintlich datenschutzfreundlichste Einstellung wählten.

„Bahn fährt schwarz“

Öffnen Nutzer:innen die Bahn-App erstmals, erscheint ein Einwilligungsbanner („Consent Banner“) und fragt ihre Einwilligung zur Nutzung von Cookies ab. Nutzer:innen können dann aus drei Optionen wählen: „Alle Cookies zulassen”, „Cookie-Einstellungen öffnen” und „Nur erforderliche Cookies zulassen”.

Ausgerechnet die Auswahl „Nur erforderliche Cookies zulassen“ erweist sich als problematisch. Nach einem Urteil des EuGH müssen Nutzer:innen in die Verwendung von Cookies einwilligen – nur unbedingt erforderliche Cookies bilden eine Ausnahme. In der heutigen Pressekonferenz sagte der mit Klage betraute Anwalt Peter Hense: „Das Kriterium hat der Europäische Gerichtshof klar spezifiziert und Marketing-Analysen zählen nicht dazu.“

Dennoch leitet die Bahn-App personenbezogene Daten – ungeachtet der von den Nutzer:innen gewählten Einstellung – an zehn Dienstleister:innen weiter. Die Daten enthalten Informationen zu Start- und Zielbahnhof, Anzahl der Mitreisenden, zum Besitzstatuts einer Bahncard sowie Angaben dazu, ob Kinder mitfahren. Unter den Empfänger:innen der Daten sind unter anderem Adobe Analytics und hCaptcha.

„Die Bahn fährt schwarz auf der vielzitierten Datenautobahn. Wir haben sie bei einer zivilgesellschaftlichen Kontrolle erwischt. Jetzt muss sie ein Ticket nachlösen oder eben mit diesen Praktiken aufhören“, forderte der Anwalt Peter Hense.

„Wir sind kein Die-Bahn-darf-alles-Staat“

Gemeinsam mit Digitalcourage hatte sich Kuketz bereits im April 2022 mit einem Brief an die Deutsche Bahn gewandt und gefordert, die Mängel in der App innerhalb von zwei Monaten zu beseitigen. Das Antwortschreiben wie auch die öffentlichen Äußerungen der DB ließen jedoch nicht darauf schließen, dass das Unternehmen die Forderung erfüllen werde.

Wir machen's nicht für Klicks

WE FIGHT FOR YOUR DIGITAL RIGHTS

Jetzt Spenden

Die Deutsche Bahn wies die Vorwürfe von Kuketz und Digitalcourage zunächst zurück. Die betroffenen Unternehmen seien „nicht Dritte im Sinne der DSGVO“, da sie vertraglich gebunden seien und nicht im eigenen Interesse handelten, sondern auf Weisung der Deutschen Bahn. Das wollten die Beschwerdeführer:innen nicht hinnehmen: Es spiele keine Rolle, wie die Weitergabe an Dritte organisiert werde, so Hense heute, entscheidend sei vielmehr, welche Verarbeitung zu welchem Zweck vorgenommen werde.

Auch die Stiftung Warentest kam in ihrer im Juni veröffentlichten Analyse zu dem Ergebnis, dass die App mehr Daten als nötig übermittle. Im Juli kündigte Digitalcourage an, Klage einzureichen.

Nach Einschätzung des Anwalts Peter Hense kann mit einer Gerichtsentscheidung innerhalb eines Jahres gerechnet werden, da der Sachverhalt nicht überaus komplex sei. Die Tatsachen seien unstrittig, weshalb das Gericht lediglich die Zulässigkeit der gegenwärtigen Praxis beurteilen müsse. Aus Sicht des Anwalts verstößt die Deutsche Bahn gegen die DSGVO und das Telemediengesetz. „Wir sind immer noch ein Rechtsstaat und kein Die-Bahn-darf-alles-Staat“, sagte Hense auf der Pressekonferenz.

Die Bahn widerspricht

Die Deutsche Bahn widerspricht dieser Darstellung entschieden: „Verarbeitet werden keine identifizierenden personenbezogenen Informationen, sondern nur pseudonymisierte Daten, die sich für den einzelnen Anbieter isoliert als anonyme Dateninhalte darstellen“, betont das Unternehmen in einer aktuellen Presseinformation. „Keiner der Anbieter ist in der Lage, die Daten an anderer Stelle oder gar zu eigenen Marketingzwecken einzusetzen. Ein Webseiten- oder App-übergreifendes Nachverfolgen von Kund:innen mit diesen Cookies ist nicht möglich.“

Die App „DB Navigator“ wird von der DB Vertrieb GmbH betrieben. Die App bündelt verschiedene Dienstleistungen der Bahn – von der Suche nach einer Reiseverbindung über den Ticketkauf bis zur Anzeige der Wagenreihung eines Zuges. Laut Google Play Store wurde sie bislang mehr als 10 Millionen Mal heruntergeladen. Die Deutsche Bahn selbst berichtet von 2 Millionen Nutzer:innen täglich.

Update: Wir haben den Text nachträglich um die Einschätzung der Deutschen Bahn ergänzt.

Wir überwachen die Überwacher

WE FIGHT FOR YOUR DIGITAL RIGHTS

Wir kämpfen jeden Tag für digitale Grund- und Freiheitsrechte. Durch deine Spende sind wir dabei unabhängig und nicht auf Werbung, Tracking, Paywall oder Clickbaiting angewiesen. Vielen Dank für Deine Unterstützung!

Mehr erfahren

Jetzt Spenden

8 Ergänzungen

  1. …und vor allem ist das ein Teil der staatlichen Infrastruktur und Daseinsfürsorge und muss daher minimalinvasiv und so zugänglich wie möglich sein.

  2. Das System hat sich Großteils spätestens mit der Einführung des 49.- Euro Tickets selbst abgeschafft.

    Es wird zwar weiterhin Nischensegmente (Fernverkehr, erste Klasse, etc…) geben wo diese APP verwendet wird, diese Daten sind für Agenturen Schrott.

    Die Klage ist dennoch gerechtfertigt, ein für alle mal klar zu stellen das keiner tun und lassen kann wie es einem gefällt, auch wenn zum Zeitpunkt der Urteilsverkündung das Urteil nur mehr noch von akademischer Bedeutung sein wird.

    1. So viel Meinung und so wenig Ahnung.

      Der DB Navigator ist primär Fahrplan, Reiseplan/durchführung und Kauf von Fernreisetickets. Nichts davon ändert sich durch das 49€ Ticket.

    2. Weil man mit dem 49€ Ticket nicht mehr wissen muss, mit welchen Bussen & Zügen man wann wohin kommt? 8)

      Weil man mit dem 49€ Ticket lieber Tage im Nahverkehr reist statt Stunden Fernverkehr? 8)

      Weisst Du, wovon Du schreibst? 8)

      Davon abgesehen wird das 49€ Ticket primär bestehende Zeitkarten ersetzen, oft bei Pendlern, oder einzelne Urlaubsmonate als Umgebungsticket dienen. Für anderes lohnt es sehr selten.

    3. Ein paar kleine Anmerkungen:
      1. Das 49-Euro-Ticket kann immer noch scheitern, solange die Finanzierung nicht geklärt ist.
      2. Neben dem 49-Euro-Ticket wird es weiterhin Einzelfahrscheine für Gelegenheitsfahrer geben.
      3. Auch nach der Einführung des 49-Euro-Tickets wird es weiterhin einen Bedarf an Fahrplanauskünften geben. Dafür gibt es zwar auch Alternativen, viele Nutzer werden aber bei der App DB Navigator bleiben. Diese Menschen werden von einer dann hoffentlich rechtskonformen App profitieren.

      1. An Anonymous, 22. Oktober 2022

        Ohne weiter Informationen über den eigentlichen Start und Zielort hat eine Buchung wie Hamburg Hbf. – München Hbf. und deren Information wenig Wert.. Daran ändert auch nichts der Umstand das es weiterhin Detailbuchungen geben wird.

        Gleiches gilt für Fahrplanauskünfte, wann werden diese vermehrt in Anspruch genommen? – Bei Abweichungen im System, was will man da noch herauslesen?

        Die Jahreskarte in Berlin (A+B+C) ist teurer als das NOW-Ticket für ganz Österreich, dahingehend hat die deutsche Politik viel zu viel Druck aus der Bevölkerung. Es macht auch Volkswirtschaftlich und Umweltpoltisch sehr viel Sinn, dieses einzuführen. Wenn nicht am 1. Jänner dann später, aber es wird kommen.

        1. Der DB Navigator hat die Nahverkehrsfahrplaene und erlaubt die Reiseplanung idR von Tuer zu Tuer, und zwar fast Echtzeit. Und natuerlich wird das, bis auf aus dem Alltag bekannte lokale Verbindungen, auch so genutzt.

          Kennst Du den DB Navigator, ueber den Du schreibst?

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.