DB Navigator: Datenschutz fällt heute aus – App-Check Teil1

1. DB NavigatorDB Navigator

Im Rahmen der Artikelserie »App-Check« werden bekannte und weitverbreitete Apps auf ihr Datensendeverhalten geprüft. Mittels eines Intercepting-Proxys wird das Verhalten der Apps beim Start und auch während der Nutzung analysiert. Es wird geprüft, wohin eine App eine Verbindung aufbaut und welche Daten dabei übermittelt werden. Die Ergebnisse sollen Aufschluss darüber geben, wie datenschutzfreundlich eine App in der Standardkonfiguration ist und Tipps ableiten, wie sich das »Nach-Hause-Telefonieren« einschränken oder sogar vollständig abschalten lässt. Eine rechtliche Bewertung des ermittelten Datensendeverhaltens erfolgt durch Spirit Legal (Peter Hense) – eine Rechtsanwaltssozietät mit Sitz in Leipzig.

Im vorliegenden Beitrag wird die App DB Navigator analysiert, die für Android und iOS verfügbar ist. Die Analyse erfolgt sowohl unter Android als auch unter iOS. Die Ausgangslage für den nachfolgenden Test von DB Navigator ist wie folgt:

  • Betriebssystem: Android 10 (Xiaomi Mi A1) | iOS 15.4.1 (iPhone SE)
  • App-Version: 21.12.p03.04 (Android) | 21.12.08 (iOS)
  • Verbreitung: Über 10 Millionen Downloads (Google Play Store)
  • Exodus Privacy: In der Version 21.12.p03.04 (Android) sind 7 Tracker integriert

DB Navigator wird aktuell wie folgt beworben:

Der DB Navigator: So reist man heute

Dieser Beitrag ist Teil einer Artikelserie:

Update

Der aktuelle Stand ist:

2. Datensendeverhalten

Unterstütze den Blog mit einem Dauerauftrag!

Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.

Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.

Mitmachen ➡

2.1 Android und iOS

Die nachfolgende Analyse erfolgte unter den Plattformen Android und iOS. Grundsätzlich ist das Datensendeverhalten der DB-Navigator-App auf beiden Plattformen ähnlich. Folgende Unterschiede haben sich während der Analyse ergeben:

  • Kartenmaterial: Die Auslieferung des Kartenmaterials erfolgt unter Android über Google Maps. Unter iOS wird (Apple) Maps verwendet.
  • Absturzberichte: Unter iOS wurde keine Verbindung zu Google Firebase Crashlytics initiiert. Womöglich wird unter iOS ein anderer Dienst verwendet.

2.2 Unmittelbar nach dem Start – keine (Nutzer-)Interaktion

Die nachfolgenden Datenübermittlungen erfolgen noch bevor der Nutzer eine Interaktion ausgeführt hat. Dies ist oftmals problematisch, da diese Daten/Informationen noch vor der Abgabe einer ausdrücklichen, informierten, freiwilligen und aktiven Einwilligung abgefragt bzw. übermittelt werden.

[1] Unmittelbar nach dem Start der App kontaktiert die App Google, um sich an der Google-Maps-API (USA) zu registrieren – die Ausspielung des Kartenmaterials erfolgt (unter Android) via Google Maps [clients4.google.com]:

POST /glm/mmap/api HTTP/1.1
Content-Length: 250
Content-Type: application/binary
User-Agent: Dalvik/2.1.0 (Linux; U; Android 10; Mi A1 Build/QQ3A.200805.001)
Host: clients4.google.com
Connection: close
Accept-Encoding: gzip, deflate

de-DEandroid:Xiaomi-tissot-Mi A1[...]com.google.android.gms[...]de.hafas.android.db[...]

[2] Weiterhin nimmt die App diverse Verbindungen mit den Servern/Adressen der Deutschen Bahn auf:

  • www.img-bahn.de:
    • API/Schnittstelle für die Reiseauskunft
    • Laden von Logos, Grafiken und Bildern
  • reiseauskunft.bahn.de:
    • Laden der diversen (städtischen) Verkehrsverbünde (KVV, MVV, VBB etc.)
    • Laden der Tickets, Bahncard und aktuellen Angebote/Ermäßigungen
    • Laden von Bahnhof-Lageplänen
  • cms.services-bahn.de: Laden von individuellen, aktuellen Informationen (Neuer Fahrplan ab XY, Corona-Informationen, Bezahlmöglichkeiten etc.)
  • www.bahn.de: JSON-Schnittstelle für die DB-Navigator-App
  • assets.static-bahn.de: Laden von statischen Elementen wie Bilder und Masken

Anbei ein beispielhafter Aufruf zu [reiseauskunft.bahn.de]:

GET /addons/verbuende.json HTTP/1.1
User-Agent: Dalvik/2.1.0 (Linux; U; Android 10; Mi A1 Build/QQ3A.200805.001)
Host: reiseauskunft.bahn.de
Connection: close
Accept-Encoding: gzip, deflate

[3] Verbindungsaufbau zu Adobe Inc., einem Unternehmen aus den USA, das unter anderem auch Marketing-Lösungen anbietet [assets.adobedtm.com]:

GET /b213090c5204bf94318f4ef0539a38b487d10368/scripts/satellite-56a097b764746d2db900066b.json HTTP/1.1
User-Agent: Dalvik/2.1.0 (Linux; U; Android 10; Mi A1 Build/QQ3A.200805.001)
Host: assets.adobedtm.com
Connection: close
Accept-Encoding: gzip, deflate

[4] Und es erfolgt eine weitere Verbindung zu Adobe, die zur Adobe Marketing Cloud (USA) zählt. Erfahrungsgemäß werden an die Domain *.sc.omtrdc.net Tracking- bzw. Analyse-Daten übermittelt [deutschebahn.sc.omtrdc.net]:

GET /id HTTP/1.1
Accept-Language: de-DE
User-Agent: Mozilla/5.0 (Linux; U; Android 10; de-DE; Mi A1 Build/QQ3A.200805.001)
Host: deutschebahn.sc.omtrdc.net
Connection: close
Accept-Encoding: gzip, deflate

Es wird eine ID angefragt und dann von der Gegenstelle ausgeliefert:

HTTP/1.1 200 OK
[...]

{
   "id":"310110620F68E736-60000B23CD146524"
}

Dabei wird ebenfalls ein Cookie auf dem Gerät gesetzt:

set-cookie: s_vi=[CS]v1|310110620F68E736-60000B23CD146524[CE]; Path=/; Domain=omtrdc.net; Max-Age=63072000; Expires=Thu, 08 Feb 2024 07:50:50 GMT; SameSite=None; Secure

[5 – Nur iOS] Unter iOS wird zusätzlich das Marketing- bzw. Analyse-Unternehmen Optimizely (USA) kontaktiert und eine JSON-Datei geladen [cdn.optimizely.com]:

GET /datafiles/WVktG8RmRz7XzjRBz1bG3w.json HTTP/1.1
Host: cdn.optimizely.com
User-Agent: DB%20Navigator/9917455 CFNetwork/1329 Darwin/21.3.0
Accept: */*
Accept-Language: de-de
Accept-Encoding: gzip, deflate
Connection: close

2.3 (Cookie-)Consent-Banner

Bevor der DB Navigator genutzt werden kann, erscheint auf dem Bildschirm ein (Cookie-)Consent-Banner. Zum Hintergrund: Mit einem solchen Consent-Banner (Einwilligungs-Banner) kann eine Einwilligung des Nutzers zu einer Datenverarbeitung eingeholt werden. Sowohl die DSGVO als auch das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) sehen solche Einwilligungen vor, bei der DSGVO auch neben anderen Rechtsgrundlagen. Das TTDSG erlaubt hingegen einen Zugriff auf im Endgerät gespeicherte Daten grundsätzlich nur nach Einwilligung – unabhängig davon, ob ein Personenbezug vorliegt oder nicht. Ausnahmen davon sind nur im engen Rahmen erlaubt, darunter die Übertragung einer Nachricht oder wenn dies »unbedingt erforderlich« ist, um den Dienst bereitzustellen. Wie die DSK in ihrer Orientierungshilfe (OH Telemedien 2021) auf Seite 19 und 23 schreibt, ist dies technisch und aus der Perspektive des Nutzers auszulegen:

Die Vorschrift enthält im Wesentlichen zwei Tatbestandsmerkmale, die grundsätzlich auslegungsbedürftig sind – dies sind „einen vom Nutzer ausdrücklich gewünschten Telemediendienst“ und „unbedingt erforderlich“. Beide Tatbestandsmerkmale stehen in einem untrennbaren Zusammenhang. Die unbedingte Erforderlichkeit von Speicher- und Auslesevorgängen ist in Bezug auf den konkret von der Endnutzerin oder dem Endnutzer gewünschten  Telemediendienst zu prüfen, um festzustellen, ob die Ausnahmevorschrift greift.

In der Gesetzesbegründung zum TTDSG wird jedoch von einer technischen Erforderlichkeit ausgegangen, was ein strenges Verständnis nahelegt. Dies bedeutet, dass auch für von Endnutzer:innen ausdrücklich gewünschte Dienste nur solche Zugriffe auf die Endeinrichtung von der Ausnahme umfasst sind, die technisch erforderlich sind, um gerade den gewünschten Dienst bereitzustellen.

Zusammengefasst: Sobald ein Verantwortlicher/Betreiber oder sein(e) Auftragsdatenverarbeiter

  • nach der DSGVO personenbezogene Daten erheben, verarbeiten oder nutzen möchte(n) und keinen anderen Rechtsgrund dafür vorweisen kann
  • und/oder nach TTDSG Daten auf der Endeinrichtung (Endgerät) speichert oder ausliest, die für den gewünschten Dienst technisch nicht notwendig sind

besteht die Notwendigkeit, vom Betroffenen eine ausdrückliche, informierte, freiwillige, aktive Einwilligung einzuholen.

Werfen wir nun einen Blick auf den (Cookie-)Consent-Banner des DB Navigators:

Cookie-Banner

Als Nutzer hat man drei Optionen:

  • Nur erforderliche Cookies zulassen: Aus Nutzersicht würde man meinen, damit nur absolut notwendige Cookies zuzulassen, die für das Funktionieren der App bzw. der Dienstleistung der Deutschen Bahn benötigt werden. Diese Option ist nicht als Button gestaltet und wird eventuell nicht als Option/Auswahl wahrgenommen. Es wirkt eher wie ein Link, den man als Nutzer antippen kann, um weitere Informationen zu erhalten, und weniger wie eine Auswahlmöglichkeit.
  • Alle Cookies zulassen: Diese Option hebt sich durch das auffällige rot deutlich von den anderen beiden Optionen ab. Die meisten Nutzer werden aufgrund der Gestaltung vermutlich darauf tippen – das ist Nudging, also eine Form der Beeinflussung, um den Nutzer in seiner Entscheidung/Verhalten zu manipulieren. Übrigens: Diesen Rotton findet man ebenfalls auf der Webseite der Deutschen Bahn, aber auch im Logo.
  • Cookie-Einstellungen öffnen: Als letzte Option besteht die Möglichkeit, die Cookie-Einstellungen zu öffnen. [Diese Option wird ausgewählt]

Erforderliche Cookies

Marketing-Formulierungen wie diese, die unter anderem das Nutzertracking und das Ausspielen von Werbung legitimieren sollen, liest man leider häufig:

Um Ihnen ein optimales Nutzungserlebnis zu bieten, setzen wir Cookies und ähnliche Technologien ein. Dazu zählen Cookies für den Betrieb und die Optimierung der App als auch für an Ihrem Online-Nutzungsverhalten orientierter Werbung.

Interessanter ist allerdings das Häkchen bei Erforderlich. Mit einem Tipp auf Mehr Informationen öffnet sich ein weiteres Fenster:

Erforderliche Dienstleister

In dieser Ansicht werden insgesamt zehn Unternehmen bzw. Dienstleister genannt, die für den Betrieb der Deutschen-Bahn-App angeblich »erforderlich« sind:

  • Adobe Analytics: Messen und Bewertung der Webseitennutzung, Erstellung von Statistiken (Cookie-Laufzeit 1 Jahr)
  • CrossEngage: Anzeige von persönlichen Angeboten und Aktionen im eingeloggten Zustand (Session-Cookie)
  • DB Systel GmbH: Betrieb des Chatbot (Session-Cookie)
  • DB Vertrieb GmbH: Technisch notwendige Cookies zum Betrieb der Seite (Cookie-Laufzeit 2 Jahre)
  • Easy Marketing GmbH: Vergütung von Partnern nach Buchung auf einer Partnerseite durch DB-Affiliate-Werbemittel (Cookie-Laufzeit 1 Jahr)
  • Intuition Machines Inc.: Unterscheidung zwischen Mensch und Computer (Cookie-Laufzeit 1 Monat)
  • Optimizely: Ausspielung von leicht variierten Inhalten (A/B-Testing) (Cookie-Laufzeit 2 Jahre)
  • Qualtrics: Durchführung von Umfragen (Cookie-Laufzeit 1 Jahr)
  • Telium Inc.: Tag Management für dynamische Anpassbarkeit und für die Verwaltung der dynamischen Inhalte (Cookie-Laufzeit 1 Jahr)
  • Verint Systems GmbH: Sammlung und Speicherung von Sitzungs- und Interaktionsdaten zur Verbesserung der Inhalte und Benutzerfreundlichkeit (Cookie-Laufzeit 2 Jahre)

An dieser Stelle muss man sich vor Augen führen, dass der Nutzer keine Möglichkeit hat, die Vorauswahl zu beeinflussen. Das bedeutet: Der Nutzer kann weder dem Setzen der Cookies noch einer Übermittlung von Daten an diese Unternehmen/Dienstleister widersprechen.

Zusammenfassung

Fassen wir die bisherigen Erkenntnisse zusammen:
  • Datenübermittlung: Noch während der (Cookie-)Consent-Banner angezeigt wird, werden bereits Verbindungen initiiert bzw. Inhalte von fremden Servern geladen und (Analyse-)Cookies gesetzt. Dazu zählt bspw. der Verbindungsaufbau zu Adobe Inc. (USA). Unter iOS wird zusätzlich Optimizely (USA) vor der Abgabe einer Willenserklärung kontaktiert.
  • Optionsmöglichkeiten: Der (Cookie-)Consent-Banner bietet dem Nutzer drei verschiedene Möglichkeiten/Optionen. Auffällig ist die Gestaltung des Buttons Alle Cookies zulassen. Aufgrund des rot hervorgehobenen Buttons werden die meisten Nutzer darauf tippen – das ist Nudging, also eine Form der Beeinflussung, um den Nutzer in seiner Entscheidung/Verhalten zu manipulieren.
  • Erforderliche Cookies: In der Ansicht Erforderlich werden zehn Unternehmen/Dienstleister genannt, die für den Betrieb der Deutschen-Bahn-App angeblich erforderlich sind. Der Nutzer hat keine Möglichkeit, die Vorauswahl zu beeinflussen bzw. einer (Daten-)Übermittlung bzw. dem Setzen von Cookies zu widersprechen.

2.4 Während der aktiven Nutzung

Nachfolgend wird das Datensendeverhalten der App untersucht, nachdem beim (Cookie-)Consent-Banner die Auswahl Nur erforderliche Cookies zulassen getroffen wurde.

[1] Verbindungsaufbau zu einem Unternehmen aus den USA (Optimizely), das sich auf Marketing, Tracking und Analyse spezialisiert hat. Es erfolgt eine Übermittlung von Log- bzw. Analyse-Daten [logx.optimizely.com]:

POST /v1/events HTTP/1.1
Host: logx.optimizely.com
Accept: */*
Content-Type: text/plain;charset=UTF-8
Origin: https://fahrkarten.bahn.de
Content-Length: 768
Accept-Language: de-DE,de;q=0.9
User-Agent: Dalvik/2.1.0 (Linux; U; Android 10; Mi A1 Build/QQ3A.200805.001)
Referer: https://fahrkarten.bahn.de/
Accept-Encoding: gzip, deflate
Connection: close

{
   "account_id":"791773171",
   "anonymize_ip":true,
   "client_name":"js",
   "client_version":"0.171.0",
   "enrich_decisions":true,
   "project_id":"8036442317",
   "revision":"4460",
   "visitors":[
      {
      [...]

[2] Eine weitere Verbindung erfolgt zu Google Firebase Crashlytics (USA), einem Dienst für die Erstellung/Auswertung von Absturzberichten [firebase-settings.crashlytics.com]:

GET /spi/v2/platforms/android/gmp/1:712226025523:android:51435d5958ce5577/settings?instance=ff757cc5b679d8771b2741de1f4fac3469d29514&build_version=211200007&display_version=21.12.p03.04&source=4 HTTP/1.1
X-CRASHLYTICS-DEVELOPER-TOKEN: 470fa2b4ae81cd56ecbcda9735803434cec591fa
X-CRASHLYTICS-DEVICE-MODEL: Xiaomi/Mi A1
X-CRASHLYTICS-INSTALLATION-ID: b2a35745821647faaf4de784186acd76
X-CRASHLYTICS-OS-DISPLAY-VERSION: 10
Accept: application/json
X-CRASHLYTICS-API-CLIENT-VERSION: 18.2.3
User-Agent: Crashlytics Android SDK/18.2.3
X-CRASHLYTICS-API-CLIENT-TYPE: android
X-CRASHLYTICS-GOOGLE-APP-ID: 1:712226025523:android:51435d5958ce5577
X-CRASHLYTICS-OS-BUILD-VERSION: 10037230
Host: firebase-settings.crashlytics.com
Connection: close
Accept-Encoding: gzip, deflate

[3] Eine weitere Verbindung erfolgt zu einem Unternehmen aus den USA (Tealium), die sich auf Tracking, Big-Data und Datenmanagementprodukte spezialisiert haben [tags.tiqcdn.com]:

GET /utag/bahntms/and-main/prod/mobile.html?platform=android&device_os_version=10&library_version=5.9.1&sdk_session_count=true HTTP/1.1
Accept-Encoding: gzip, deflate
User-Agent: Dalvik/2.1.0 (Linux; U; Android 10; Mi A1 Build/QQ3A.200805.001)
Host: tags.tiqcdn.com
Connection: close

An Tealium werden dann auch gleich Analyse-Daten übermittelt [collect.tealiumiq.com]:

POST /event HTTP/1.1
Host: collect.tealiumiq.com
Content-Length: 383
User-Agent: Mozilla/5.0 (Linux; Android 10; Mi A1 Build/QQ3A.200805.001; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/95.0.4638.50 Mobile Safari/537.36
Content-Type: text/plain;charset=UTF-8
Accept: */*
Origin: https://www.bahn.de
X-Requested-With: de.hafas.android.db
Sec-Fetch-Site: cross-site
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Referer: https://www.bahn.de/
Accept-Encoding: gzip, deflate
Accept-Language: de-DE,de;q=0.9,en-US;q=0.8,en;q=0.7
Connection: close

{
   "tealium_account":"bahntms",
   "tealium_profile":"and-main",
   "tealium_event":"grant_partial_consent",
   "consent_categories":"analytics",
   "policy":"gdpr",
   "tealium_visitor_id":"017ed8aa73700013ea559103ecc70009c005109400400",
   "app_name":"DB Navigator", 
   "platform":"android", 
   "app_id":"3c085fe6-7995-49e1-829f-3d982e22b66b", 
   "app_version":"21.12.p03.04", 
   "utag_version":"ut4.48.202107131204"
}

Mal etwas aufgedröselt, werden unter anderem folgende Informationen übermittelt:

  • tealium_account: bahntms
  • tealium_profile: and-main
  • tealium_event: grant_partial_consent
  • consent_categories: analytics
  • policy: gdpr
  • tealium_visitor_id: 017ed8aa73700013ea559103ecc70009c005109400400
  • app_name: DB Navigator
  • platform: android
  • app_id: 3c085fe6-7995-49e1-829f-3d982e22b66b
  • app_version: 21.12.p03.04

[4] Nun möchte ich prüfen, ob ich die Datenschutzeinstellungen noch anpassen kann bzw. welche Möglichkeiten dem Nutzer hier noch offenstehen. Ich tippe auf Hamburgermenü -> Mein Navigator. Dabei wird eine Verbindung zu Adobe (Analytics) geöffnet und dabei folgende Infos übermittelt [deutschebahn.sc.omtrdc.net]:

POST /b/ss/dbbahnmob/0/JAVA-4.18.2-AN/s30096528 HTTP/1.1
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Linux; U; Android 10; de-DE; Mi A1 Build/QQ3A.200805.001)
Accept-Language: de-DE
Content-Length: 597
Host: deutschebahn.sc.omtrdc.net
Connection: close
Accept-Encoding: gzip, deflate

ndh=1&ce=UTF-8&c.&a.&CarrierName=congstar&AppID=DB%20Navigator%2021.12.p03.04%20%28211200007%29&RunMode=Application&OSVersion=Android%2010&TimeSinceLaunch=26&Resolution=1080x1920&DeviceName=Mi%20A1&.a&basePurpose=1&ownPurpose=0&Prozess=Einstellungen&loginstatus=logout&seitenbereich=AND_NAT_DEU_DE_SETT&sprache=DE&landversion=DEU&interestRelated=0&seitenname=AND_NAT_DEU_DE_SETT_Allgemein&plattform=Android%20App&ablauf=SETT&bcstatus=kein&kundentyp=-1&bctype=-1&.c&t=00%2F00%2F0000%2000%3A00%3A00%200%20-60&pageName=AND_NAT_DEU_DE_SETT_Allgemein&aid=55BA6733C8EC4AB7-1A98DF950DE2E25E&cp=foreground

Unter anderem werden folgende Informationen an die Adobe Marketing Cloud übermittelt:

  • CarrierName: congstar (Mobilfunkanbieter)
  • AppID: DB Navigator 21.12.p03.04 (211200007)
  • OSVersion: Android 10
  • TimeSinceLaunch: 601
  • Resolution: 1080×1920
  • DeviceName: Mi A1
  • Prozess: Einstellungen
  • seitenbereich: AND_NAT_DEU_DE_SETT
  • plattform: Android App
  • aid: 03E21F5A0A134129-0D503A9F39E1D428

Zu Analyse-Zwecken wird also übermittelt, wo sich der Nutzer gerade innerhalb der App aufhält. Dabei wird neben der Auflösung (1080×1920) und Gerätemodell (Mi A1) ebenfalls der verwendete Mobilfunkanbieter (Congstar) in die Adobe Cloud übermittelt.

In der Anzeige Mein Navigator angekommen, wird einem unter Datenschutz (Auswahl Zu den Cookie-Einstellungen) erneut die Möglichkeit angeboten, den bereits bekannten (Cookie-)Consent-Banner zu öffnen. Weitere Einstellungsmöglichkeiten bzw. ein Opt-Out von den Tracking- und Marketingdienstleistern ist allerdings nicht möglich. Diese sind, nach Ansicht der Deutschen Bahn, alle »erforderlich«. Mit den Sicherheits- und Datenschutzrisiken, die mit der Einbindung von (Tracking- und Analyse-)Bibliotheken einhergehen, hat man sich bei der Deutschen Bahn offenbar nicht (ausreichend) auseinandergesetzt.

[5] Als nächsten Test führe ich nun eine Reiseauskunft durch. Verbindung: Karlsruhe <-> Stuttgart. Auch dieser Schritt (wie auch alle anderen) wird erneut von Adobe erfasst [deutschebahn.sc.omtrdc.net]:

POST /b/ss/dbbahnmob/0/JAVA-4.18.2-AN/s70647180 HTTP/1.1
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Linux; U; Android 10; de-DE; Mi A1 Build/QQ3A.200805.001)
Accept-Language: de-DE
Content-Length: 1039
Host: deutschebahn.sc.omtrdc.net
Connection: close
Accept-Encoding: gzip, deflate

ndh=1&ce=UTF-8&c.&direkt=nein&fahrrad=nein&basePurpose=1&ownPurpose=0&kleinkind=0&schnell=ja&Prozess=Reiseauskunft&reisende=1&seitenbereich=AND_NAT_DEU_DE_ASK&via=nein&abfahrtstag=2022-02-08&zieltyp=Haltestelle&klasse=2&starttyp=Haltestelle&suchparameterHin=H%3E0%3EDi%3EAb%3E10%3A58&verkehrsmittel=Alle&plattform=Android%20App&favorit=nein&erwachsene=1&bctype=-1&a.&CarrierName=congstar&AppID=DB%20Navigator%2021.12.p03.04%20%28211200007%29&RunMode=Application&OSVersion=Android%2010&TimeSinceLaunch=162&DeviceName=Mi%20A1&Resolution=1080x1920&.a&liveverbindung=ja&aban=Abfahrt&junge_erwachsene=0&kind=0&zielpunkt=Stuttgart%20Hbf&loginstatus=logout&sprache=DE&landversion=DEU&startland=8000191&umsteigezeit=0&interestRelated=0&senioren=0&ermaessigung=Ohne&seitenname=AND_NAT_DEU_DE_ASK_Verbindungen&zielland=8000096&ablauf=ASK&bcstatus=kein&startpunkt=Karlsruhe%20Hbf&abfahrtswochentag=1&kundentyp=-1&.c&t=00%2F00%2F0000%2000%3A00%3A00%200%20-60&pageName=AND_NAT_DEU_DE_ASK_Verbindungen&aid=55BA6733C8EC4AB7-1A98DF950DE2E25E&cp=foreground

Unter anderem werden folgende Informationen an die Adobe Marketing Cloud übermittelt:

  • kleinkind: 0 (ob ein Kind mitfährt)
  • schnell: ja (schnelle Verbindungen anzeigen)
  • Prozess: Reiseauskunft
  • reisende: 1 (Anzahl der Reisenden)
  • abfahrtstag: 2022-02-08
  • zielpunkt: Stuttgart Hbf
  • startpunkt: Karlsruhe Hbf
  • abfahrtswochentag: 1

Adobe erfährt praktisch jeden Aufruf/Schritt, den ein Nutzer innerhalb des DB Navigators ausführt. Das ist User-Tracking – und der Nutzer hat keine Möglichkeit, dem zu widersprechen.

[6] Aber auch Qualtrics (USA) und Google (Maps) sind gleich mit von der Partie, obwohl ich noch nicht einmal eine Eingabe getätigt habe [zn0lxkzethotizctx-bahn.siteintercept.qualtrics.com]:

GET /WRSiteInterceptEngine/AssetVersions.php?Q_InterceptID=SI_9oCfXLkRJBFRaUl&Q_CLIENTTYPE=MobileAndroid&Q_CLIENTVERSION=2.2.0&Q_DEVICEOS=10_29&Q_DEVICETYPE=Xiaomi_Mi%20A1 HTTP/1.1
Host: zn0lxkzethotizctx-bahn.siteintercept.qualtrics.com
Referer: de.hafas.android.db
Accept-Encoding: gzip, deflate
User-Agent: okhttp/4.9.2
Connection: close

[7] Jeder Schritt meiner Reiseplanung wird anschließend von Adobe und Qualtrics begleitet. Bei einem Tipp auf Verbindung bekommt Adobe einige Details meiner Reiseplanung übermittelt [deutschebahn.sc.omtrdc.net]:

POST /b/ss/dbbahnmob/0/JAVA-4.18.2-AN/s81200603 HTTP/1.1
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Linux; U; Android 10; de-DE; Mi A1 Build/QQ3A.200805.001)
Accept-Language: de-DE
Content-Length: 885
Host: deutschebahn.sc.omtrdc.net
Connection: close
Accept-Encoding: gzip, deflate

ndh=1&ce=UTF-8&c.&vorausbuchungszeit=25&basePurpose=1&ownPurpose=0&Prozess=Reiseauskunft&seitenbereich=AND_NAT_DEU_DE_ASK&abfahrtstag=2022-02-08&zieltyp=Haltestelle%3EStuttgart%20Hbf&starttyp=Haltestelle%3EKarlsruhe%20Hbf&abfahrtsuhrzeit=11%3A33&verkehrsmittel=Regio&plattform=Android%20App&favorit=nein&mcpverbindung=nein&bctype=-1&a.&CarrierName=congstar&AppID=DB%20Navigator%2021.12.p03.04%20%28211200007%29&RunMode=Application&OSVersion=Android%2010&TimeSinceLaunch=609&DeviceName=Mi%20A1&Resolution=1080x1920&.a&gewaehlteverbindungHin=H%3E0%3EDi%3EAb%3E11%3A33&verbindungsinfo=ASK%3Eohne&loginstatus=logout&sprache=DE&landversion=DEU&interestRelated=0&seitenname=AND_NAT_DEU_DE_ASK_Verbindungsdetail&ablauf=ASK&bcstatus=kein&kundentyp=-1&.c&t=00%2F00%2F0000%2000%3A00%3A00%200%20-60&pageName=AND_NAT_DEU_DE_ASK_Verbindungsdetail&aid=55BA6733C8EC4AB7-1A98DF950DE2E25E&cp=foreground

In der Datenübermittlung sind unter anderem die folgenden Informationen enthalten:

  • Prozess: Reiseauskunft
  • gewaehlteverbindungHin: Dienstag, Abfahrt 11.33 Uhr
  • verbindungsinfo: Ohne Umsteigen
  • bcstatus: Kein Bahncard-Kunde
  • Kundentyp: -1
  • […]

Für die Deutsche Bahn mögen das alles relevante Informationen sein. Allerdings muss man sich fragen, weshalb die Deutsche Bahn diese Daten nicht selbst erhebt und aufbereitet, sondern lieber Adobe damit beauftragt.

Update

In Vorbereitung der Klage gegen die Deutsche Bahn wurde am 07.09.2022 erneut eine technische Analyse durchgeführt. Die verwendete Version des DB Navigators: 2022.08.p01.00. Dabei wurde eine weitere Verbindung zu Qualtrics (USA) festgestellt.

Anbei die festgestellte Verbindung (07.09.2022) zu Qualtrics [zn0lxkzethotizctx-bahn.siteintercept.qualtrics.com]:

GET /SIE/?Q_ZID=ZN_0lxkzEthotizcTX&Q_LOC=https://mobile.bahn.de/bin/mobil/query.exe/dox?journeyOptions=0&verbund=WT&T=202209071404&RT.1=E&htype=Mi+A1&M=D&K=2&clientDevice=Mi+A1&SS=8000036&E=M&mobileCheckAbroad=1&VH=T$A=1@O=Bielefeld+Hbf@L=8000036@a=128@$A=1@O=Paderborn+Hbf@L=8000297@a=128@$202209071404$202209071457$NWB75448$$1$$$$$$&E.1=0&androidversion=null+consumer&clientSystem=Android29&clientType=ANDROID&ZS=8000297&journeyProducts=16383&&returnurl=dbnavigator://&lang=de&lang=de&t=1662549887457 HTTP/1.1
Host: zn0lxkzethotizctx-bahn.siteintercept.qualtrics.com
Pragma: no-cache
Cache-Control: no-cache
User-Agent: Mozilla/5.0 (Linux; Android 10; Mi A1 Build/QQ3A.200805.001; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/95.0.4638.50 Mobile Safari/537.36 ;DBNavigator/22080000/Android REL 29/C:b
Accept: */*
X-Requested-With: de.hafas.android.db
Sec-Fetch-Site: cross-site
Sec-Fetch-Mode: no-cors
Sec-Fetch-Dest: script
Referer: https://mobile.bahn.de/
Accept-Encoding: gzip, deflate
Accept-Language: de-DE,de;q=0.9,en-US;q=0.8,en;q=0.7
Connection: close

In der Datenübermittlung sind unter anderem die folgenden Informationen enthalten:

  • Ticket-Variante: Verbund(-Ticket)
  • Zeitpunkt der Verbindung: 202209071404 -> 07.09.2022 um 14:04 Uhr
  • Verwendetes Gerät: Mi A1
  • Startbahnhof: Bielefeld Hbf
  • Zielbahnhof: Paderborn Hbf
  • Abfahrtszeit: 202209071404 -> 07.09.2022 um 14:04 Uhr
  • Ankunftszeit: 202209071457 -> 07.09.2022 um 14:57 Uhr
  • Client-System: Android
  • […]

[8] Zum Abschluss der Analyse melde ich mich über Hamburgermenü -> Mein Navigator mit einem bestehenden Konto an. Nach dem Login wird eine JavaScript-Bibliothek vom Marketing-Unternehmen CrossEngage (Deutschland) geladen [app.crossengage.io]:

GET /analytics.min.js HTTP/1.1
Host: app.crossengage.io
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 15_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Mobile/15E148;DBNavigator/21120000/iOS_15.3/iPhone12,8/C:b
Accept-Language: de-DE,de;q=0.9
Referer: https://fahrkarten.bahn.de/
Connection: close

Weitere Erkenntnisse

Trotz der Auswahl Nur erforderliche Cookies zulassen übermittelt die App Daten an Tracking- und Analysedienstleister bzw. nimmt eine Verbindung dorthin auf:

Es werden allerdings nicht nur Informationen übermittelt, sondern auch Cookies gesetzt bzw. auf Informationen zugegriffen, die auf dem Smartphone/Endgerät gespeichert sind.

3. Rechtliche Ausgangslage

Nachfolgend wird zunächst die rechtliche Ausgangslage erläutert, die für die daran anschließende rechtliche Bewertung der DB-Navigator-App relevant ist. Sowohl die rechtliche Ausgangslage als auch die rechtliche Bewertung erfolgt durch Spirit Legal (Peter Hense) – eine Rechtsanwaltssozietät mit Sitz in Leipzig.

3.1 Höchstrichterliche Rechtsprechung seit 2020

Der BGH hat mit Urteil vom 28.05.2020 [I ZR 7/16 – Cookie-Einwilligung II] im Anschluss an die Vorabentscheidung durch den EuGH in der Rechtssache „Planet49“ endgültig entschieden, dass für den Einsatz von Cookies (und ähnlichen Technologien), die auf dem Endgerät von Nutzer:innen gesetzt werden und eine Auswertung des Nutzungsverhaltens auf Websites von Werbepartner:innen und damit interessenbasierte Werbung ermöglichen, im Grundsatz eine Einwilligung von Nutzer:innen nach richtlinienkonformer Auslegung von § 15 Abs. 3 TMG a.F. (nunmehr § 25 TTDSG) am Maßstab von Art. 5 Abs. 3 S. 1 RL 2002/58/EG i. d. F. d. RL 2009/136/EG (ePrivacy-RL) notwendig ist. Es ist nach übereinstimmender Ansicht des von EuGH und BGH für das Vorliegen des Einwilligungserfordernisses unbeachtlich, ob es sich bei den Endgeräteinformationen um personenbezogene oder nicht personenbezogene, weil anonyme Daten handelt [vgl. EuGH, Urt. v. 01.10.2019 – C-673/17, Rn. 70 – Planet49, zusammenfassend und grundlegend hierzu: Ettig/Herbrich, Wird’s besser, wird’s schlimmer? – Das Online-Marketing zwei Jahre nach Wirksamwerden der DSGVO, K&R 2020, 719 ff.].

3.2 Altes Recht in neuer Form: TTDSG

Bezogen auf das Targeted Advertising und Content Targeting gilt das Einwilligungserfordernis nach dem Wortlaut der Richtliniennorm und § 25 Abs. 1 TTDSG für jeden Zugriff auf und jede Speicherung von Informationen aus Endgeräten der Nutzer:innen (vgl. ausführlich hierzu die Kommentierung von Taeger/Gabel/Ettig, 4. Aufl. 2022, TTDSG § 25 Rn. 19 ff.) und sperrt nach Ansicht des BGH die Anwendung anderer Rechtsgrundlagen für diesen Vorgang. Die Abgrenzung der Rechtsgrundlagen in Art. 6 DSGVO und Art. 5 ePrivacy-RL bzw. von § 25 TTDSG wird durch die Kollisionsregelung in Art. 95 DSGVO bestimmt (EuGH, C-645/19 mit Besprechung Herbrich, „Exceptions to the One-Stop-Shop Rule of the GDPR – Facebook v Gegevensbeschermingsautoriteit“, GRUR Int. 2022, 64, 80). Bereits der BGH stellte fest, dass Art. 5 Abs. 3 ePrivacy-RL bzw. die umsetzende Regelung in § 15 Abs. 3 TMG a.F. vorrangig gegenüber den Rechtsgrundlagen aus Art. 6 DSGVO seien [BGH I ZR 7/16, Rn 59 – Cookie-Einwilligung II.].

3.3 Technologieneutralität des Endgeräteschutzes

Es spielt für die Anwendbarkeit dieser Rechtsprechung nach Ansicht der europäischen Aufsichtsbehörden keine Rolle, ob der Endgerätezugriff mittels Cookies oder anderer Technologien wie Tracking-Pixel erfolgt [vgl. auch LG Rostock, Urt. v. 15.09.2020 – 3 O 762/19 – nicht rechtskräftig; DSK, Orientierungshilfe für Anbieter:innen von Telemedien, 2021, S. 24; Europäischer Datenschutzausschuss (EDSA) in seinen Leitlinien 8/2020 über die gezielte Ansprache von Nutzer:innen sozialer Medien, Version 2.0, Rn. 71 f.]. Vom Begriff des „Endgerätezugriffs“ umfasst sind auch Zugriffe auf LocalStorage, Local Shared Objects sowie serverseitige Technologien wie die Nutzung von Technologien wie Fingerprinting [LG Rostock, Urt. v. 15.09.2020 – 3 O 762/19 – nicht rechtskräftig; ICO, Guidance on the use of cookies and similar technologies, 2020; DSK, Orientierungshilfe für Anbieter:innen von Telemedien, 2021, S. 7 sowie zuletzt LfDI Baden-Württemberg, „FAQ zu Cookies und Tracking“ mit Besprechung Herbrich/Trybull, Datenschutz-Berater 2022, 115 ff.].

3.4 Rechtsdurchsetzung

Erste Gerichtsentscheidungen haben bislang einhellig unter anderem den Einsatz von Tracking-Anbietern auf einer Website ohne Abfrage einer freiwilligen und informierten Einwilligung untersagt [vgl. LG Rostock, Urt. v. 15.09.2020 – 3 O 762/19, nicht rechtskräftig; LG Köln, Beschl. v. 29.10.2020 – 31 O 194/20 und Beschl. v. 13.04.2021 – 31 O 36/21; LG Frankfurt, Urt. v. 19.10.2021 – 3-06 O 24/21; LG München, Hinweisbeschluss v. 08.12.2021 – 33 O 14776/19]. Darüber hinaus stellen unberechtigte Endgerätezugriffe durch den Einsatz von Cookies und ähnlichen Identifikatoren sowie beim Einsatz von SDKs, APIs etc. Nutzungsbeeinträchtigungen des Eigentums (§ 1004 Abs. 1 S. 1 BGB), Störungen des Besitzes durch verbotene Eigenmacht (§ 858 Abs. 1 BGB), Eingriffe in das allgemeine Persönlichkeitsrecht (APR) in der Ausprägung des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (GGVIS) dar, was Unterlassungs-, Auskunfts- und Schadensersatzansprüche der Besitzer:innen oder Eigentümer:innen des jeweiligen Endgeräts zur Folge haben kann (hierzu ausführlich: Hense/Wahedi, „Unterlassungsanspruch des Eigentümers gegen die Installation einer Überwachungs-App durch Dritte“, Datenschutz-Berater, 2022, 119 ff.).

4. Rechtsverstöße im Zusammenhang mit der werblichen Datenverarbeitung im Rahmen der Nutzung des DB Navigators

4.1 Dark Pattern: Hervorhebung der datenschutzfeindlichsten Lösung

Bei der Frage, ob eine bestimmte Gestaltungsvariante den Geschmack des Gesetzgebers oder der Exekutive treffen muss, gehen die Meinungen auseinander. Ein modisch anmutender Begriff taucht im Zusammenhang mit der Abfrage datenschutzrechtlicher Einwilligungserklärungen immer wieder auf: Dark Patterns. Was Dark Patterns sind, kann man in vielen exzellenten Publikationen nachlesen (z. B. auf Deutsch und Englisch: Dark Patterns: Design mit gesellschaftlichen Nebenwirkungen, Stiftung Neue Verantwortung, 2020; speziell zum Design von Consent-Management-Plattformen (CMPs) jeweils von ausgewiesenen Experten: Dark and bright patterns in cookie consent requests, 2020; Dark Patterns and the Legal Requirements of Consent Banners: An Interaction Criticism Perspective, 2021).

Im Kern sind Dark Patterns irreführende Gestaltungen, die ihre Zielgruppe zu einer für sie nachteiligen Handlung oder Unterlassung bewegen sollen, zu einer Entscheidung ohne echte Entscheidungsgewalt. Wer den Ausschalter eines Mixers unterhalb des Schneidwerks verbaut, erreicht, dass kein:e Nutzer:in mehr den Mixer ausschaltet, jedenfalls niemand, dem seine Finger lieb und teuer sind. Der Mixer läuft also weiter, obwohl man ihn gern ausschalten würde, aber irgendwann gewöhnt man sich an das Geräusch. So in etwa funktionieren Gestaltungen auf Websites, die Nutzer:innen davon abhalten sollen, bei Werbetracking etwas anderes als den Einschalter zu betätigen. Dabei steigt die Verwendungsdichte von Dark Patterns umso mehr, je schlechter das Produkt ist. Je mehr Aufmerksamkeit und Entscheidung gelenkt werden, desto vorsichtiger sollten Adressaten mit der Inanspruchnahme einer Leistung sein.

Nun ist nicht jede unschöne Designentscheidung auch gleich eine rechtswidrige Gestaltung. Datenschutzrechtlich sind Dark Patterns in Bezug auf Einwilligungserklärungen jedenfalls dann rechtlich angreifbar, wenn sie „unfair“ sind oder die gesetzlich geforderte Transparenz verhindern (Art. 3, 5 Klauselrichtlinie, RL 93/13 EG), wenn sie in die Irre führen (vgl. Art. 6, 7 UGP-Richtlinie, RL 2005/29/EG) oder Verbraucher:innen belästigen oder sonst unzulässig beeinflussen (vgl. Art. 8, 9 UGP-Richtline, RL 2005/29/EG). Zur Wechselwirkung europäischen Verbraucherschutzrechts und Antidiskriminierungsrechts mit Art. 5 DSGVO könnte man viele Seiten füllen, was hier aber nicht weiterführt. Details kann jede:r Interessierte nachlesen oder gern den eigenen Kopf anstrengen und etwas dazu aufschreiben.

Intransparente, weil unvollständige oder versteckte Informationen führen stets dazu, dass eine Einwilligungserklärung (hier: „Alle Cookies zulassen„) rechtswidrig und damit nichtig ist, was der darauf basierenden Datenverarbeitung gleichfalls das Fundament zerschlägt. Unrettbar, übrigens, denn das Datenschutzrecht kennt keine Heilung für abgeschlossene Verarbeitungen.

Man kann mit guten Gründen argumentieren, dass jenseits der erheblichen Transparenzdefizite und Taschenspielertricks der vorliegenden App bereits die grafische Gestaltung („UX Design“) im vorliegenden Fall rechtswidrig ist, weil es den Grundsatz von Privacy by Default (Gebot datenschutzfreundlicher Voreinstellungen) unterminiert und demgegenüber die datenschutzfeindlichste Variante „Alle Cookies zulassen“ derart grafisch und in der Interaktion in den Vordergrund stellt, dass Nutzer:innen in der konkreten Situation und angesichts des ohnehin im Hinblick auf Art. 7, 13 DSGVO extrem mangelhaft ausgestalteten First Layer der verwendeten CMP in die Zustimmung getrieben werden. Hauptsache, das Banner der CMP verschwindet. Über die Folgen der Interaktion werden Nutzer:innen im Unklaren gelassen.

Privacy by Design und Privacy by Default nach Art. 25 DSGVO sind keine Scherzbegriffe aus der Juxkiste, sondern fundamentale Designanforderungen an Waren und Dienstleistungen, deren Einhaltung der Gesetzgeber vorgeschrieben hat. Wer sie missachtet, muss damit leben, dass datenschutzrechtlich mangelhaft designte Produkte und Prozesse auch zu mangelhafter und damit rechtswidriger Datenverarbeitung führen. Auch vermeintlich geringfügige Mängel können als „datenschutzrechtlicher Weiterfresserschaden“ nachgelagerte Verarbeitungen (z. B. Machine Learning Model Training) entlang der Data Supply Chain infizieren und damit neben Regressansprüchen von Vertragspartnern auch staatliche Sanktionen nach Art. 58 DSGVO sowie Schadensersatzansprüche von Betroffenen begründen (vertiefend zu Advertising Technology: Herbrich/Niekrenz, Privacy Litigation against Real-Time-Bidding, CRi 2021, 129 ff., generell sehr lesenswert und Standardwerk zur Prozessführung im Datenschutz: Laoutoumai, Privacy Litigation, 2021).

4.2 Überschießende Verarbeitungen, die nicht „unbedingt erforderlich“ sind

Hierbei handelt es sich um einen etwas angestaubten Klassiker aus der Trickkiste des Datenhandels. Da Nutzer:innen bei ordnungsgemäßer Aufklärung der Verwendung bestimmter besonders schmutziger Trackingmethoden nicht zustimmen würden, stopfen unlautere Website- und App-Anbieter den Kanal der „unbedingten Erforderlichkeit“ (so § 25 Abs. 2 Nr. 2 TTDSG) mit allerhand Unrat zu. Dabei sind die rechtlichen Grenzen klar.

Um die Frage, was „unbedingt erforderlich“ ist oder sein soll, toben Glaubens- und Verteilungskämpfe wie im 30 jährigen Krieg. Manche Verantwortliche dichten den Gesetzeswortlaut um und meinen, frei nach dem famosem Ausspruch von Louis XIV.

l’état, c’est moi,

ihre eigenen Wunschvorstellungen hineininterpretieren zu dürfen.

Neben bewusster Irreführung sind in freier Wildbahn auch mangelhafte CMP-Texte zu beobachten, die weder aus rechtlicher noch technischer Perspektive Sinn ergeben und deren krude Terminologie sich nur mit unkritischer Übersetzung von CMP/CMS-Design-Templates aus aller Welt erklären lässt.

Aber die Ausnahmevorschrift kennt weder den Terminus „wünschenswert“ noch ein lapidares „weil es technisch irgendwie gerade nicht anders geht“ oder gar ein „zur Aufrechterhaltung meines  Geschäftsmodells“, sondern eben nur diese dürren Worte der „unbedingten Erforderlichkeit“.

Gesetzgebung ist kein Wunschkonzert und weder der deutsche noch der europäische Normtext lassen Luft für sprachliche Deviationen. „Singularia non sunt extenda“: Ausnahmen sind eng auszulegen, ist ein Grundsatz europäischer und deutscher juristischer Methodenlehre (siehe: Empfehlenswerte Monografie zur Vertiefung für Rechtswissenschaftler:innen). „Unbedingt erforderlich“ ist ausschließlich anhand der Intensität des mit dem Endgerätezugriff ausgelösten Grundrechtseingriffs zu bestimmen. Erforderlichkeit ist unionsrechtlich („Europarecht“ hat hier Vorfahrt) nur insoweit gegeben, wie der Grundrechtseingriff auf das geringstmögliche Maß reduziert ist. Zur Prüfung der Verhältnismäßigkeit eines solchen Grundrechtseingriffs bedarf es zunächst klarer Definitionen des legitimen Zwecks der Verarbeitung. Nach höchstrichterlicher Rechtsprechung des BGH in der Cookie-Einwilligung-II-Entscheidung fallen Zwecke der Werbung und Marktforschung bereits deshalb nicht unter die Ausnahmeregelung, weil der Gesetzgeber in Art. 5.3 der ePrivacy-Richtlinie (RL 2002/58/EG), die 2009 nach dem Phorm-Skandal in UK deutlich verschärft wurde, diese Entscheidung bereits getroffen hat. Das mag schmecken oder nicht, es ist aber nun einmal Gesetz.

Konkret ist für den Abruf von Zugverbindungen in einer Fahrplan-App sowie die Buchung von Tickets nicht die kommerzielle Weiterverwertung der personenbezogenen Daten der Reisenden „unbedingt erforderlich“, insbesondere dann nicht, wenn das betreffende Unternehmen, wie die DB, eine überragende marktbeherrschende Stellung innehat und dem hilfesuchenden reisenden Nutzer:innen damit keine Wahl bleibt, als zähneknirschend der rechtswidrigen werblichen Verarbeitung seiner Daten tatenlos zuzusehen. Der Einsatz von umfassenden Analyse- und Marketingtools (wie Optimizely, Adobe Analytics, Google Firebase, Google Maps etc.) ohne explizite, informierte und freiwillige Einwilligung der Nutzer:innen, wie er seitens der DB-Gesellschaften praktiziert wird, erfolgt demnach unter Verstoß gegen § 25 Abs. 1 S.2 TTDSG sowie aufgrund der dabei verarbeiteten personenbezogenen Daten auch unter Verstoß gegen Art. 6.1.f DSGVO.

4.3 Dem Endgerätezugriff nachgelagerte Verarbeitungen: Es greift die DSGVO

Eine Verarbeitung endgeräte- und personenbezogener Daten, auch wenn man diese durch die schmale Öffnung von § 25 Abs. 2 Nr. 2 TTDSG gepresst bekommt, benötigt noch immer eine saubere Rechtsgrundlage in der DSGVO. „Consentless“ nach TTDSG bedeutet nicht „rechtsfreier Raum“ (falls vergessen, hier nachlesen: Taeger/Gabel/Ettig, 4. Aufl. 2022, TTDSG § 25 Rn. 16).

Wer sich z. B. um eine, mit dem Endgerätezugriff praktisch zusammenfallende, in den Augen von Jurist:innen dennoch „nachgelagerte“ Verarbeitungsphase wie die Erstellung von „Lookalike Audiences“ bemüht, kann sich hierfür „consentless“ eventuell auf Art. 6.1.f DSGVO stützen, fällt aber spätestens dann mit seinen Plänen in die Grube, wenn die Nutzer:innen ihr unbedingtes Widerspruchsrecht nach Art. 21.1 und 2 DSGVO ausüben. Auf dieses sind Nutzer:innen nicht nur nach Art. 21.4 DSGVO hinzuweisen, es sind auch nach Art. 21.5 die automatisierten Widersprüche in Form der DNT- und GPC-Signale zu achten und alles nach Art. 5.2 DSGVO zu dokumentieren. Wer sich nicht an diese Vorgaben halten mag, indem Widerspruchsrechte ignoriert, verborgen oder vereitelt werden, für den bleiben die Fleischtöpfe der „überwiegenden berechtigten Interessen“ auf Dauer unerreichbar.

Sofern der Einsatz von Cookies und ähnlichen Technologien tatsächlich auf Art. 6.1.b DSGVO gestützt werden sollte, wie es die Datenschutzhinweise der App ohne jede Begründung nahelegen, so bleiben die DB-Gesellschaften als ausweislich der Datenschutzhinweise in der App gemeinsam Verantwortliche den Nachweis eines legitimierenden Vertragsverhältnisses schuldig, das eine solche Art der werblichen Analyse oder das Tracking zur Attribution von Sales und der daraus resultierenden Vergütung von Affiliates (Verarbeitung hier durch EasyMarketing GmbH) erfordern würde. Ein solcher „Vertrag“, der (Duldungs-)Pflichten von Nichtvertragsparteien begründen würde, wäre als Vertrag zu Lasten Dritter ohnehin unwirksam. Die Unternehmensgruppe sollte sich darüber im Klaren sein, dass auch bei ihrer marktbeherrschenden Stellung der rechtliche Kontrahierungszwang nur in eine Richtung wirkt und sie Reisende nicht in für diese rechtlich nachteilige Verträge zwingen darf. Der Eindruck, dass hier überspitze Rechtsberater:innen der Meinung waren, mit einem kleinen Buchstabendreher in den Datenschutzhinweisen die Widerspruchsrechte nach Art. 21 DSGVO aushebeln zu können, ruft geradezu nach einer behördlichen und gerichtlichen Klärung, nicht zuletzt in Hinblick auf die Pflichten nach Art. 13, 14, 25, 5.2 und 30 DSGVO.

4.4 Verarbeitungen in Drittländern ohne Information oder geeignete Garantien: Schrems II

Dass die von den DB-Gesellschaften gegenüber App-Nutzer:innen zwangsweise eingesetzten Tools teils ganz offensichtlich gegen Art. 44 DSGVO verstoßen, ergibt sich bereits aus der fehlerhaften Beschreibung der tatsächlichen Datentransfers. Über die „Kontaktaufnahme“ zu Google-Maps-Servern breiten die Datenschutzhinweise der App den Mantel des Schweigens aus, womöglich um niemanden zu verunsichern. Auch die Vorgaben von Art. 13.1.f und 14.1.f DSGVO in Bezug auf Drittlandsübermittlungen und geeignete Garantien spart man sich seitens der DB-Gesellschaften, womöglich deshalb, um neugierigen Kund:innen nicht ohne Not Material zu liefern, anhand dessen sie die Rechtmäßigkeit der Verarbeitung selbstständig überprüfen könnten. Vor dem Hintergrund des Scheiterns bereits auf der Ebene des Datenschutzgrundsatzes der Transparenz und daraus folgend des Grundsatzes von Treu und Glauben (Art. 5.1.a DSGVO) können die betreffenden Tools allesamt nicht rechtskonform eingesetzt werden. Nutzer:innen der App sollten ihre Rechte nach Art. 15.2 DSGVO in Anspruch nehmen, um sich hinsichtlich bereits erfolgter Übermittlungen in Drittländer umfassend über die von den DB-Gesellschaften und ihren Marketingpartner:innen getroffenen Maßnahmen umfänglich unter Übermittlung der DB-seitig sicherlich vorliegenden Dokumentation informieren zu lassen.

4.5 „Nur erforderliche Cookies zulassen“

Bereits die Auswahloption „Nur erforderliche Cookies zulassen“ hat in einer CMP nichts verloren, da sie eine Wahlfreiheit suggeriert, die tatsächlich nicht besteht (siehe: DSK-Kurzgutachten zu Facebook-Fanpages, S. 13/14). Voreinstellungen durch Verantwortliche können zudem datenschutzrechtliche Einwilligungserklärungen von Betroffenen weder ersetzen noch simulieren.

4.6 Strafbarkeit

§ 42 des Bundesdatenschutzgesetzes (BDSG) enthält, für manche Verantwortliche überraschend, eine Reihe von Strafvorschriften, die den vorsätzlich-missbräuchlichen Umgang mit personenbezogenen Daten Dritter sanktionieren. Bei unberechtigter Verarbeitung greift § 42 Abs. 1 Nr. 1 BDSG, denn die wissentlich rechtswidrige Übermittlung einer großen Anzahl personenbezogener Daten an Werbeplattformen ist tatbestandsmäßiges Handeln und als solches mit bis zu drei Jahren Freiheitsstrafe bedroht. Wer hingegen durch täuschende Gestaltung von CMPs die personenbezogenen Daten Betroffener mittels unrichtiger Angaben erschleicht, dem drohen nach § 42 Abs. 2 Nr. 2 BDSG nur bis zu zwei Jahren Freiheitsstrafe, sofern die Absicht bestand, sich zu bereichern. Aber davon darf man bei der werblichen Verwendung von Daten ohne Weiteres ausgehen, da die Bereicherung das erklärte Ziel von Vermarktung ist (zum gesamten Themenbereich lesenswert: Klaas/Wybitul, „§ 42 BDSG: Neue strafrechtliche Risiken für Unternehmen und Leitungsorgane wegen Datenschutzverstößen“, NZWiSt 2021, 216 ff.).

5. Fazit

Die Deutsche Bahn hat nicht nur ein immenses Problem mit der Pünktlichkeit bzw. Zuverlässigkeit, sondern auch ein riesengroßes Problem mit dem Datenschutz. Gerade vor dem Hintergrund der marktbeherrschenden Stellung der Deutschen Bahn, fallen die aufgedeckten Datenschutzverstöße umso mehr ins Gewicht, weil sie Millionen von Menschen betreffen.

Was kann man oft auf den Anzeigetafeln der Deutschen Bahn lesen?

Zug fällt heute aus

Gleiches gilt für den Datenschutz.

Über den Autor | Kuketz

Mike Kuketz

In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.

Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.

Mehr Erfahren ➡

SpendeUnterstützen

Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.

Folge dem Blog

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡


Diskussion

Eine Ergänzung zu “DB Navigator: Datenschutz fällt heute aus – App-Check Teil1”

  1. Comment Avatar DgDiL sagt:

    Hier hilft vielleicht ein Blick auf die Eigentumsverhältnisse.

    Bundesfinanzministerium > Themen > Bundesvermögen > Beteiligungspolitik > Deutsche Bahn .

    Seit ihrer Gründung im Jahr 1994 ist die Deutsche Bahn (DB AG) eine Aktiengesellschaft und hat entsprechend eine duale Führungs- und Kontrollstruktur. Sie befindet sich zu 100 % im Eigentum des Bundes.

    Hervorhebung nicht im Original.

    Schön zu sehen, wie der Eigentümer die Rechtstreue der Aktiengesellschaft sicherstellt.

HilfeWenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-Forum

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.