5. Mai 2022 | 18:10 Uhr

BahnBonus-App: Kein Erwachen aus dem Datenschutzalbtraum

Mit der BahnBonus-App (Version 1.7.1b108) knüpft die Deutsche Bahn nahtlos an ihr Datenschutzversagen beim DB Navigator an. Allein schon beim Start der App – ohne jegliche Interaktion – werden zahlreiche Verbindungen zu Drittanbietern/Auftragsdatenverarbeitern initiiert und technisch nicht notwendige Cookies gesetzt bzw. Informationen vom Endgerät ausgelesen. Nachfolgend die Ergebnisse aus einem Kurztest.

Besonders dreist

Ab dem Juni 2022 wird aus BahnComfort dann BahnBonus. Wer dann noch das Vorteilsprogramm nutzen möchte, der wird zur Nutzung der BahnBonus-App gezwungen sein:

Nur mit der BahnBonus App können Sie Ihre Statusvorteile wie beispielsweise den Eintritt zur DB Lounge oder den exklusiven Sitzplatzbereich nutzen. Hier haben Sie auch Ihre Punkte und Ihr Statuslevel immer im Blick.

Quelle: https://www.bahn.de/service/bahnbonus/status-level

Unmittelbar nach dem Start – keine (Nutzer-)Interaktion

Die nachfolgenden Datenübermittlungen erfolgen noch bevor der Nutzer eine Interaktion ausgeführt hat. Dies ist oftmals problematisch, da diese Daten/Informationen noch vor der Abgabe einer ausdrücklichen, informierten, freiwilligen und aktiven Einwilligung abgefragt bzw. übermittelt werden.

[1] Verbindungsaufbau zu Instabug (USA). Das ist ein Dienstleister für Absturzberichte, Messung der App-Performance etc. [api.instabug.com]:

GET /api/sdk/v3/first_seen?application_token=52e4cd41fb6c7b3aa75bd545cf391f1b&uuid=d6afdf09-da80-4492-98b4-995328decb9b HTTP/1.1
Content-Type: application/json
Accept-Charset: UTF-8
Authorization: amx 4c36d6c9-76ac-4701-8ead-b65313bdfc39:4xKf1m4opyFVqXF8o/b5n6Y3tuSRrcKy2wtZjhJDrD4=:1fdfa4c5219af26a2a6c3b22094273da:1651738039982
IBG-OS: android
IBG-OS-VERSION: 10
IBG-APP-TOKEN: 52e4cd41fb6c7b3aa75bd545cf391f1b
app-version: 1.7.1b108 (1701108)
IBG-SDK-VERSION: 10.12.1
User-Agent: Dalvik/2.1.0 (Linux; U; Android 10; Mi A1 Build/QQ3A.200805.001)
Host: api.instabug.com
Connection: close
Accept-Encoding: gzip, deflate

Dabei wird ebenfalls eine UUID (d6afdf09-da80-4492-98b4-995328decb9b) übermittelt. Entgegen einer weitläufigen Meinung handelt es sich bei den Kennungen (z.B. UUID) übrigens nicht um anonymisierte Daten:

Auch indirekt ist eine Person bereits identifizierbar. Dazu gehören alle Daten, die ein Wiedererkennen ermöglichen. Dies auch, wenn die Daten auf Anhieb keinen Schluss auf eine bestimmte Person erlauben. Jedoch ist die Person durch diese Daten bestimmbar, weil die Information in Verbindung mit anderen Informationen eine Unterscheidung bzw. Identifizierbarkeit ermöglicht. Die Identifizierung einer Person setzt damit nicht die Kenntnis eines Namens voraus.
(WP136 Stellungnahme 4/2007 zum Begriff „personenbezogene Daten“, 16 f.). (BeckOK DatenschutzR/Schild, 39. Ed. 1.11.2021, DS-GVO Art. 4 Rn. 17)

[2] Weiter geht es mit einem Verbindungsaufbau zu Adobe Inc., einem Unternehmen aus den USA, das unter anderem auch Marketing-Lösungen anbietet [deutschebahn.sc.omtrdc.net]:

GET /id HTTP/1.1
Accept-Language: de-DE
User-Agent: Mozilla/5.0 (Linux; U; Android 10; de-DE; Mi A1 Build/QQ3A.200805.001)
Host: deutschebahn.sc.omtrdc.net
Connection: close
Accept-Encoding: gzip, deflate

In der Rückantwort wird eine eindeutige ID zugeteilt:

„id“:“3139C2DD862C3256-4000109212AE9A19″

Und die App wird dazu aufgefordert, ein Cookie mit der Laufzeit von zwei Jahren anzulegen:

set-cookie: s_vi=[CS]v1|3139C2DD862C3256-4000109212AE9A19[CE]; Path=/; Domain=omtrdc.net; Max-Age=63072000; Expires=Sat, 04 May 2024 08:07:07 GMT; SameSite=None; Secure

[3] Im Anschluss werden auch gleich Daten an Adobe übermittelt [deutschebahn.sc.omtrdc.net]:

POST /b/ss/dbbahnbonusappprod/0/JAVA-4.18.2-AN/s55637045 HTTP/1.1
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Linux; U; Android 10; de-DE; Mi A1 Build/QQ3A.200805.001)
Accept-Language: de-DE
Content-Length: 559
Host: deutschebahn.sc.omtrdc.net
Connection: close
Accept-Encoding: gzip, deflate

ndh=1&ce=UTF-8&c.&a.&DayOfWeek=5&LaunchEvent=LaunchEvent&HourOfDay=10&InstallDate=5%2F5%2F2022&internalaction=Lifecycle&InstallEvent=InstallEvent&MonthlyEngUserEvent=MonthlyEngUserEvent&AppID=BahnBonus%201.7.1b108%20%281701108%29&RunMode=Application&Launches=1&OSVersion=Android%2010&DailyEngUserEvent=DailyEngUserEvent&Resolution=1080x1920&DeviceName=Mi%20A1&.a&.c&t=00%2F00%2F0000%2000%3A00%3A00%200%20-120&pe=lnk_o&pev2=ADBINTERNAL%3ALifecycle&pageName=BahnBonus%201.7.1b108%20%281701108%29&aid=2B7B86B4F203481D-0F92B74A863E0EA9&cp=foreground&ts=1651738039

Unter anderem werden folgende Daten übermittelt:

Wo man sich in der App befindet: Splash Screen
Startzeitpunkt
Installationsdatum: 5/5/2022
AppID: BahnBonus 1.7.1b108 (1701108)
Wie oft die App gestartet wurde: 1
Android-Version: Android 10
Auflösung: 1080×1920
Gerätename: Mi A1
[…]

[4] Weiter geht das dann mit dem Nachladen von Daten/Informationen von den Servern der Deutschen Bahn:

apis.deutschebahn.com
accounts.bahn.de

Fingertipp auf Anmelden

Der Anmeldevorgang wird von Instabug und Adobe begleitet. Man kann daher auch sagen: Jeder Schritt wird von Instabug und Adobe verfolgt – das ist User-Tracking. Von einer Anmeldung mit meinem Konto sehe ich daher ab und beende den Test hiermit. Da sind schon wieder genügend Datenschutzverstöße dabei.

Wie viele andere Unternehmen hat die Bahn offenbar das Inkrafttreten des Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG) zum 1. Dezember 2021 verpasst. Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, ist nur dann zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat – siehe dazu § 25 Abs. 1 S. 1 TTDSG.

Auf welcher Rechtsgrundlage die Deutsche Bahn die beiden Tracking-Tools daher einsetzt bzw. die ausgelöste Datenverarbeitung stützt, ist für mich nicht erkennbar. Nach meiner Ansicht ist eine informierte, freiwillige, vorherige, aktive und separat erklärte Einwilligung (Opt-In) erforderlich, die jederzeit mit Wirksamkeit für die Zukunft auf zumutbare Weise widerruflich ist.

Aufgrund dieser Ergebnisse möchte ich auf den offenen Brief hinweisen, den die Deutsche Bahn im Namen von Peter Hense, Digitalcourage und mir erhalten hat. Darin geben wir der Deutschen Bahn die Gelegenheit innerhalb der nächsten zwei Monate beim DB Navigator nachzubessern. Anfang Juli werden wir dann eine erneute Prüfung vornehmen. Sofern die festgestellten Mängel bis dahin nicht beseitigt wurden, wird Digitalcourage e. V. rechtliche Schritte einleiten. Ich glaube, die BahnBonus-App reiht sich dann gleich mit ein.

Der Kuketz-Blog ist spendenfinanziert! Mitmachen ➡