DB Navigator gerät ins Fadenkreuz von Datenschützern

Der DB-Navigator ist eine der beliebtesten Apps Deutschlands – und leistet Bahnreisenden gute Dienste. Jetzt steht die Reise-App im Verdacht, unwissende Bahnkunden auszuspähen.

„Für viele Bahnreisende gehört sie zum unverzichtbaren Inventar der Reiseplanung und bietet neben einigen komfortablen Features rund um die Buchung eine Menge Unabhängigkeit. Die hat laut dem Sicherheitsforscher Mike Kuketz ihren Preis. In einer umfassenden Analyse hat er der beliebten App nun ein massives Datenschutzproblem bescheinigt.

Mobilität in Zeiten von Apps: DB Navigator sehr leistungsfähig

Die erste Version des DB Navigators wurde bereits 2009 für den Download zur Verfügung gestellt. Das Navigationsangebot kann sich wahrlich sehen lassen: Auskünfte zu 5700 deutschen Bahnhöfen, 275000 Haltestellen des Öffentlichen Personen-Nahverkehrs sowie weiteren 54000 Bahnhöfen in Europa sind stets aktuell abrufbar. Allein bis 2019 wurde die App 42 Millionen Mal heruntergeladen. Jeden Monat werden über 100 Millionen Tickets über den DB Navigator verkauft. Zu seinen Funktionen gehören unter anderem eine Bestpreissuche, die Schnellbuchung, Auslastungsinformationen oder ein Komfort-Check-in. Und nun soll diese lange Erfolgsgeschichte der an Erfolgsgeschichten nicht eben reichen Deutschen Bahn ein Fall für den Datenschutz sein? Das hätte ohne Frage viele unangenehme Folgen, sowohl für den Betreiber wie auch für die regelmäßigen Nutzer.

Reisedaten getrackt

Zur Komfortsteigerung werden in der DB App die Reisedaten der Nutzer umfassend gespeichert. Das widerspricht auf den ersten Blick aktuell geltendem Datenschutz-Recht. Mike Kuketz hat den DB Navigator einer eingehenden Analyse unterzogen. Zugrunde lag die Version 21.12.p03.04 unter Android und 21.12.08 unter iOS. Das Ergebnis dieser Tests stellte er unter die bezeichnende Überschrift „Datenschutz fällt heute aus“. Kuketz ermittelte eine intensive Kommunikation der App nach dem Öffnen. Verbindungen zu Bahnservern, Verkehrsverbünden und Google-Karten werden hergestellt – aber auch beispielsweise Daten mit Adobe (Android) oder Optimizely (iOS) ausgetauscht, was für die meisten Nutzer wohl nicht so einfach nachvollziehen ist. Um die App nutzen zu können, müssen User den Cookies von zehn Unternehmen zustimmen, die erforderlich und nicht abwählbar sind. Der Datenschutzforscher weist darauf hin, dass hier keine Widerspruchsoption gewährt wird.

Das Fazit: „Trotz der Auswahl ‚Nur erforderliche Cookies zulassen‘ übermittelt die App Daten an Tracking- und Analysedienstleister bzw. nimmt eine Verbindung dorthin auf.“ Die mangelnde Widerspruchsfunktion wie auch der Umfang der Datenspeicherung gehen nicht mit der DSGVO konform. Vor allem Adobe würde nach den Angaben von Kuketz Daten zum Mobilfunkanbieter, dem Gerätenamen oder der Version des Betriebssystems erhalten – bis hin zu konkreten Reiseanfragen mit Start, Ziel, Termin und der Angabe zur Personenzahl. Neben Adobe und Optimyzely versorgt dieses User Tracking auch Google, Tealium und CrossEngage mit Nutzerdaten, allesamt ebenfalls Unternehmen, die nicht gerade für korrekten Umgang mit personenbezogenen Daten von Usern und Kunden bekannt sind.

Monopolstellung problematisch

Das Abrufen personenbezogener Daten der Nutzer durch einschlägige Marketingabteilungen habe laut einer bekannten Anwaltskanzlei für die Planung und Buchung einer Reise keine „unbedingte Erforderlichkeit“. Kuketz sieht hier einen klaren Verstoß gegen das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) und die Datenschutz-Grundverordnung (DSGVO). Diese erste von ihm vorgenommene Analyse hat für den Tester folglich ein „riesengroßes Problem mit dem Datenschutz“ zutage gefördert und verlangt nun eine umfassende Aufklärung. Und das, obwohl Tausende User die App seit Jahren regelmäßig nutzen. Das Problem erscheint zumal deshalb so gravierend, weil die Deutsche Bahn quasi als Monopolist auftritt. Fehlender Wettbewerb auf der Schiene sichere auch dem DB Navigator eine beherrschende Stellung auf dem App-Markt, so der Sicherheitsforscher.

Auf ähnliche Vorwürfe zur Intransparenz und zum mangelnden Datenschutz hatte Kuketz allerdings bereits im Herbst 2021 eine unverbindliche Antwort des Eisenbahnkonzerns erhalten: „Der Schutz der Daten unserer Nutzer ist für uns ein sehr wichtiges Anliegen. Für einen optimalen Betrieb unserer App und die individuelle Nutzung durch unsere Kunden wird unsere App laufend gemessen und optimiert. Dafür erforderliche Daten verarbeiten die eingesetzten Dienstleister nur für uns, wie im Datenschutzhinweis beschrieben.“ Die Bahn täte gut daran, statt einer unverbindlichen Antwort in Eigenregie das beliebte Navigations-Tool DB Navigator auf ein Datenschutz-Niveau zu bringen, das über alle Zweifel erhaben ist.