Millionen Menschen haben die Deutsche-Bahn-App DB Navigator installiert, viele Nutzer sind durch den Kauf des 9-Euro-Tickets hinzugekommen. Sie alle geben offenbar mehr Informationen preis als nötig. Mit dem Daten­schutz nehme es die Bahn-App nicht so genau, schreibt Stiftung Warentest.

Alleine im Google Play Store wurde der DB Navigator mehr als zehn Millionen Mal abgerufen. Etliche Nutzer haben die App vermutlich erst kürzlich installiert, um das 9-Euro-Ticket zu nutzen, schon in der ersten Woche nach dem Start der Aktion waren fast sieben Millionen der vergünstigten Monatskarten verkauft. Stiftung Warentest hat die App untersucht und ein "kritisches Datensendeverhalten" festgestellt.

Dass die App verschlüsselt Stand­ort, Daten zu Hard­- und Software des Smartphones sowie Nutzer­namen und Pass­wort an die Deutsche Bahn schickt, findet die Stiftung unproblematisch. Schließlich handle es sich dabei um Daten, die wohl für den reibungslosen Betrieb notwendig seien, so der Testbericht. Nicht so begeistert sind die Prüfer davon, dass der Navigator auch den Namen des Mobilfunkanbieters und Statistiken zur Nutzung der App preisgibt.

Werbeanbieter erhält Nutzerdaten

Besonders kritisch finden sie allerdings, dass sowohl die Android- als auch die iOS-App Daten an eine Internet­-Adresse von Adform schickt. Dabei handelt es sich um eine interna­tionale Firma mit Sitz in Dänemark, die maßgeschneiderte Werbung vermittelt.

In den Datenschutzbestimmungen der App heißt es dazu, Adform verwende im Auftrag der Deutschen Bahn pseudonymisierte Nutzerprofile, "um gezieltere, nutzungsbasierte Online-Werbung auszusteuern". Um die Werbeflächen anderer Webseiten nutzen zu können, würden Cookies mit Google, Doubleclick und anderen Plattformen synchronisiert.

Als Rechtsgrundlage nennt die Deutsche Bahn Artikel 6 Absatz 1 Buchstabe a der Datenschutzgrundverordnung (DSGVO). Er regelt, dass eine Einwilligung freiwillig, informiert, für eine konkrete Verarbeitung und einen konkreten Zweck sowie unmissverständlich abgegeben wird.

Sicherheitsexperte Mike Kuketz beobachtet den DB Navigator schon seit dem vergangenen Herbst. Er geht nicht davon aus, dass die App DSGVO-konform ist. Er wirft der Deutschen Bahn unter anderem vor, der Navigator platziere Cookies und baue Verbindungen bereits auf, während Nutzern noch die verschiedenen Optionen zur Auswahl gestellt werden (Consent-Banner).

Manipulatives Cookie-Banner

Auch wenn es sich bei den an Adobe Inc. (Android) und Optimizely (iOS) geschickten Informationen um für den Betrieb notwendige Informationen handele, dürfe dies nicht vor der Einwilligung der Nutzer geschehen, schreibt Kuketz. Außerdem fragt er sich, warum die Deutsche Bahn persönliche Reisedaten nicht selbst aufbereite, sondern Drittanbietern überlässt.

Der Sicherheitsexperte bemängelt auch die Gestaltung des Consent-Banners, bei dem "Alle Cookies akzeptieren" im Rot der Deutschen Bahn hervorgehoben wird. Dies sei "eine Form der Beeinflussung, um den Nutzer in seiner Entscheidung/Verhalten zu manipulieren." Zusätzlich kritisiert Kuketz, dass App-Anwender bei der Option "Nur erforderliche Cookies zulassen" ohne Wahlmöglichkeit schlucken müssen und dass angeblich die Datenübermittlung an zehn Unternehmen notwendig sei.

Deutsche Bahn soll nachbessern

In einem gemeinsam mit Peter Hense und padeluun (Digitalcourage) formulierten offenen Brief an die Deutsche Bahn schrieb Kuketz Ende April, man habe "erhebliche Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) und das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) festgestellt. Vor dem Hintergrund der marktbeherrschenden Stellung der Deutschen Bahn fallen die aufgedeckten Datenschutzverstöße umso mehr ins Gewicht, weil sie Millionen von Menschen betreffen."

Am 1. Juli werde man die App erneut einer technischen und juristischen Prüfung unterziehen und rechtliche Schritte einleiten, falls die festgestellten Mängel bis dahin nicht beseitigt seien.

Wie die Prüfung der Stiftung Warentest ergeben hat, hat die Deutsche Bahn die Apps offenbar bisher nicht entsprechend angepasst. Die letzten Aktualisierungen fanden am 22. April (iOS) und 12. Mai (Android) statt. Auf die Bitte um eine Stellungnahme hatte das Unternehmen Kuketz geantwortet, man nehme seine Kritik und Hinweise sehr ernst und beschäftige sich damit.

Bahn lässt prüfen

Die Pressesprecherin weist allerdings darauf hin, dass alle in diesem Zusammenhang eingesetzten Dienstleister vertraglich gebunden seien und nicht in eigenem Interesse, sondern streng nach Weisung handelten. "Sie sind deshalb nicht Dritte im Sinne der DSGVO."

Den Consent-Layer habe man der zuständigen Datenschutzaufsichtsbehörde zur Bewertung vorgestellt und warte noch auf eine Antwort. "Sollten nach Ansicht der Aufsichtsbehörde Änderungen erforderlich sein, werden wir darüber transparent informieren."

9-Euro-Ticket-App besser

Um das 9-Euro-Ticket zu nutzen, ist man nicht auf den DB Navigator angewiesen. Stiftung Warentest verweist auf die 9-Euro-Ticket-App der Deutschen Bahn, die keine überflüssigen Daten abgreife. Allerdings müssten Nutzer hier darauf achten, ein sicheres Passwort mit mindestens acht Zeichen zu vergeben, schreiben die Prüfer. Die App lasse auch siebenstellige Kombinationen zu. Außerdem kann man die Monatskarte auch über die Anwendung eines regionalen Anbieters nutzen.