DB Navigator: Deutliche Kritik am Datenschutz der Deutsche-Bahn-App

Unter dem Titel "DB Navigator: Datenschutz fällt heute aus" hat der Sicherheitsforscher und Pentester Mike Kuketz den ersten Teil seiner App-Analyse der Mobilitätsapp der Deutschen Bahn veröffentlicht. Er hat dafür die Version 21.12.p03.04 unter Android und 21.12.08 unter iOS getestet.

Die App zeigte in der Analyse von Kuketz ein reges Kommunikationsverhalten. Das geschieht schon nach dem Öffnen der App. Neben nachvollziehbarer Kommunikation mit Google für das Kartenmaterial und den Bahnservern zwecks Bildern, Verkehrsverbünden und Ähnlichem gibt es einigen Datenaustausch, der den wenigsten Fahrgästen bewusst sein dürfte.

Dazu gehört etwa der Verbindungsaufbau mit Adobe. Darunter auch eine Verbindung mit der Marketing Cloud des Unternehmens. Unter iOS wird zusätzlich das Unternehmen Optimizely kontaktiert, welches ähnliche Dienste bietet.

Zehn Unternehmen setzen "erforderliche" Cookies

Erst danach kommt die Nutzung der App in Betracht. Dazu muss allerdings zunächst ein Cookie-Banner bestätigt werden. Dieses Banner hat Kuketz ebenfalls untersucht und stellt bereits hier Verstöße fest. So gelten die Cookies für Adobe und Crossengage (Darstellung personalisierter Angebote) als "Erforderlich". Die Liste der erforderlichen und damit nicht abwählbaren Cookies enthält noch weitere acht Unternehmen. Zwei der Cookies gehören der DB Systel und der DB Vertrieb. Die anderen sind anderen Unternehmen zugeordnet. Kuketz kritisiert, dass es keine Möglichkeit des Widerspruchs oder der Beeinflussung in der App gibt.

Interessant sind einige Details der Kommunikation. Wie Kuketz herausgefunden hat, kommuniziert der DB Navigator etwa mit der Adobe-Domain omtrdc.net, wenn man auf "Hamburgermenü -> Mein Navigator" klickt. Übertragen wird dann unter anderem der Mobilfunkanbieter, die Betriebssystemversion, die Auflösung und der Name des Geräts. 

In weiteren Kommunikationen erfährt der Adobe-Server auch die Reiseanfragen der Fahrgäste. Über die Datenfelder werden unter anderem Start, Ziel sowie Datum übertragen, aber auch, ob etwa ein Kind mitreisen soll. Laut Kuketz betreibt die Deutsche Bahn hier User Tracking.

Rechtlichte Beurteilung fällt negativ aus

Zwecks rechtlicher Beurteilung hat sich Kuketz Hilfe von der Rechtsanwaltssozietät Spirit Legal geholt, die unter anderem das Fachgebiet Datenschutz und Datensicherheit abdecken. Kritisch wird bereits die Art und Weise des Einholens der Cookie-Zustimmung gesehen. So ist das Zulassen aller Cookies rot hervorgehoben und oberhalb der Ablehnung. Kuketz nennt das Nudging und kritisiert dies deutlich.

Der Erforderlichkeit der Cookies stimmt die rechtliche Einschätzung ebenfalls nicht zu: "Da Nutzer:innen bei ordnungsgemäßer Aufklärung der Verwendung von bestimmter besonders schmutziger Trackingmethoden nicht zustimmen würden, stopfen unlautere Website- und App-Anbieter den Kanal der „unbedingten Erforderlichkeit“ (so § 25 Abs. 2 Nr. 2 TTDSG) mit allerhand Unrat zu", heißt es. Die rechtlichen Grenzen seien allerdings klar. Konkret seien für den Abruf von Verbdungen in der App personenbezogene Daten der Reisenden nicht "unbedingt erforderlich" und die Verwendung der Marketingwerkzeuge ohne eine explizite Einwilligung. Im Detail ist hier von einem Verstoß gegen das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) und die Datenschutz-Grundverordnung (DSGVO) auszugehen.

Das Fazit des ersten Teils der Analyse fällt dementsprechend sehr negativ aus. Kuketz sieht ein "riesengroßes Problem mit dem Datenschutz" auch im Kontext der marktbeherrschenden Stellung des Unternehmens. Im Fernverkehr mit einem Konkurrenzunternehmen zu fahren ist oft nicht möglich.

Der DB Navigator ist von erheblichem Interesse, da ein großer Teil der Bevölkerung diesen nutzt. Auch die Zugriffszahlen sind enorm. Laut einem Bericht von Lok-Report aus der Zeit vor der Pandemie (2019) wurde der DB Navigator über 42 Millionen Mal heruntergeladen. Dazu kommt eine enorme Anzahl an Zugriffen, die 2019 bei rund 100 Millionen pro Monat lag.