1. One-Ticket-To-Rule-Them-All
Das Deutschlandticket (49,- €) ist am 1. Mai 2023 gestartet. Erhältlich ist das Ticket laut der FAQ (Bundesregierung):
Kundinnen und Kunden können das Deutschlandticket bei allen Verkehrsunternehmen und -verbünden erwerben.
Das Ticket wird digital angeboten – also per App oder auf einer Chipkarte. Übergangsweise wohl auch als Papierticket mit QR-Code – aber nur bis maximal zum 31. Dezember 2023.
Leser des Kuketz-Blogs wissen, dass es App-Anbieter leider oftmals nicht so genau mit den Datenschutzgesetzen nehmen und sowohl die DSGVO als auch das TTDSG (sträflich) missachten. Im Rahmen der Serie »App-Check« werden Apps auf ihr Datensendeverhalten geprüft. Ergebnisse daraus haben unter anderem zu einer Klage gegen die Deutsche Bahn geführt oder der Deutschen Post den BigBrotherAward 2023 (Kategorie Verbraucherschutz) eingebracht.
Nachfolgend möchte ich kurz zwei Apps beleuchten, die damit werben, das Deutschlandticket »bequem und einfach« zu erwerben. Es handelt sich dabei explizit um Angebote, die auf das Deutschlandticket zugeschnitten sind. Abseits dieser Angebote besteht ebenfalls die Möglichkeit, das Deutschlandticket über die diversen Apps der Verkehrsverbünde zu erwerben.
- Deutschlandticket-Apps: 49€ plus Datenweitergabe an Google und Co. – Deutschlandticket Teil1
- Verkehrsverbund Rhein-Ruhr (VRR): Tracking ohne Einwilligung – Deutschlandticket Teil2
- Verkehrsverbund Bremen/Niedersachen (VBN): Tracking ohne Einwilligung – Deutschlandticket Teil3
- Verkehrsverbund Berlin-Brandenburg (VBB): Tracking ohne Einwilligung – Deutschlandticket Teil4
- Hamburger Verkehrsverbund (HVV): Absturzberichte ohne Einwilligung – Deutschlandticket Teil5
- Verkehrsverbund Warnow (VVW): Der Teufel lauert im Detail – Deutschlandticket Teil6
- Rhein-Main-Verkehrsverbund (RMV): Richtig wählen beim Consent-Banner – Deutschlandticket Teil7
2. Dein Deutschlandticket
Beginnen wir zunächst mit der App Dein Deutschlandticket (Version 2.1.0). Laut Exodus Privacy hat die App vier Tracker integriert.
Unmittelbar nach dem Start, noch bevor überhaupt eine Interaktion stattfindet, werden die nachfolgenden Verbindungen initiiert:
- Google Firebase
- Google Firebase Crashlytics
- Mobimeo (*.mobimeo.com)
- Consent Manager (*.consentmanager.net)
Auszugsweise werde ich nachfolgend die Verbindung zu Crashlytics und Mobomeo darstellen.
[1] Eine initiale Verbindung erfolgt zu Google Firebase Crashlytics (USA), einem Dienst für die Erstellung/Auswertung von Absturzberichten [firebase-settings.crashlytics.com]:
GET /spi/v2/platforms/android/gmp/1:31463062408:android:81e147af7a4193b3a7583d/settings?instance=f5c8c3b474200e5888a27617cfb7440a133f4803&build_version=2070&display_version=2.1.0&source=4 HTTP/1.1 X-CRASHLYTICS-DEVELOPER-TOKEN: 470fa2b4ae81cd56ecbcda9735803434cec591fa X-CRASHLYTICS-DEVICE-MODEL: Xiaomi/Mi A1 X-CRASHLYTICS-INSTALLATION-ID: c95a949f0c4e478da250269c4e860361 X-CRASHLYTICS-OS-DISPLAY-VERSION: 10 Accept: application/json X-CRASHLYTICS-API-CLIENT-VERSION: 18.2.9 User-Agent: Crashlytics Android SDK/18.2.9 X-CRASHLYTICS-API-CLIENT-TYPE: android X-CRASHLYTICS-GOOGLE-APP-ID: 1:31463062408:android:81e147af7a4193b3a7583d X-CRASHLYTICS-OS-BUILD-VERSION: 10037230 Host: firebase-settings.crashlytics.com Connection: close Accept-Encoding: gzip, deflate
[2] Weitere Verbindungen erfolgen zu Mobimeo, einem Tech-Start-up der Deutschen Bahn AG. Eine der Verbindungen erfolgt zu Analysezwecken [analytics-api.prd.mobimeo.com]:
POST /v1/events HTTP/1.1 Host: analytics-api.prd.mobimeo.com User-Agent: mobility-inside-bogestra-nkvp/2.1.0 (Linux; U; Android 10; Mi A1 BUILD/QQ3A.200805.001; BUILDNR/2070; VERSION/2.1.0; VERSIONCODE/2070) X-Api-Key: vGNAHbzUqXjbbiL97RLyloksOnI2byhD Time-Zone: Europe/Berlin X-Mobimeo-Dnt: unknown Accept-Language: de-DE X-Installation-Id: 95644159-c766-4f10-9287-51cfa57c39fc X-Application-Version: 2.1.0 X-Application-Buildnumber: 2070 X-Application-Platform: Android Content-Type: application/x-www-form-urlencoded Content-Length: 1325 Accept-Encoding: gzip, deflate X-Correlation-Id: ba49843f-504a-4b66-a013-2a89b8c22ed1 Connection: close v=2&client=ApiKey&e=[{ "event_type":"$identify", "timestamp":1683013081191, "user_id":null, "device_id":"95644159-c766-4f10-9287-51cfa57c39fc", "session_id":1683013081191, "uuid":"e7f00dd9-1ef6-4c15-a447-222ac1f68a5a", "sequence_number":1, "version_name":"2.1.0", "os_name":"android", "os_version":"10", "api_level":29, "device_brand":"Xiaomi", "device_manufacturer":"Xiaomi", "device_model":"Mi A1", "carrier":"congstar", "country":"DE", "language":"de", "platform":"Android", "library":{ "name":"amplitude-android", "version":"3.35.1" }, "api_properties":{ "limit_ad_tracking":false, "gps_enabled":false }, "event_properties":{}, "user_properties":{ "$set":{ "Full Version":"2.1.0-2070", "Pixel Size":"1080 x 1920", "Viewport":"360 x 640", "AppID":"mobility-inside-bogestra-nkvp", "UI Language":"Deutsch", "BuildCommit":"21a0163" } }, "groups":{}, "group_properties":{}, "event_id":1 }]&upload_time=1683013081444&checksum=bff5a1edde3a178db31184096f81009e
Es werden Geräte-IDs, Gerätemodell, Auflösung etc. vom Gerät abgefragt und ohne Einwilligung an Mobimeo übermittelt. Ich kann nur gebetsmühlenartig wiederholen: Solche Zugriffe auf Endeinrichtungen zu Zwecken der Webanalyse, der Marktforschung und jede Form der Werbung ohne informierte Einwilligung ist nach § 25 Abs. 1 TTDSG unzulässig. § 25 TTDSG regelt den Schutz der Privatsphäre bei Endeinrichtungen und setzt Art. 5 Abs. 3 der ePrivacy-Richtlinie um.
Der obligatorische (Cookie-)Consent-Banner wird erst nach der Datenübermittlung eingeblendet – zu spät, denn bis zu diesem Punkt sind die Daten bereits abgeflossen. Nach nicht einmal fünf Minuten kann festgestellt werden: Bestehende Datenschutzgesetze werden mal wieder missachtet bzw. dagegen verstoßen.
3. Deutschlandticket App
Weiter geht es mit der Deutschlandticket App (Version 1.5.8). Laut Exodus Privacy hat die App zwei Tracker integriert.
Unmittelbar nach dem Start, noch bevor überhaupt eine Interaktion stattfindet, werden die nachfolgenden Verbindungen initiiert:
- Google Firebase
- Google Firebase Crashlytics
- Google Firebase Remote Config
- Google Firebase Cloud Messaging
- Google Firebase Cloud Storage
- HandyTickets (*.handyticket.link)
Auffällig ist die exzessive Nutzung von Google Firebase – eine Entwicklungs-Plattform für mobile Apps und Webanwendungen, die von Google angeboten wird. Man kann sich Google Firebase wie einen digitalen Werkzeugkasten für Entwickler vorstellen, aus dem das passende Tool einfach herausgenommen werden kann. Aktuell bietet Google eine Vielzahl von Tools und Diensten (aktuell 18), die sich schnell und einfach in Apps integrieren lassen, einschließlich Echtzeit-Datenbanken, Benutzer-Authentifizierung, Cloud-Speicher und mehr.
Die Google Firebase Dienste sind besonders für kleine Entwickler und Startups attraktiv, da sie ohne aufwendige Serverinfrastruktur und zusätzliche Kosten genutzt werden können. Firebase hat den Vorteil, dass es leicht in bestehende Anwendungen und Apps integriert werden kann, was für Entwickler in der Regel mit wenig Aufwand verbunden ist. Aus Entwicklersicht ist Google Firebase zweifellos eine Bereicherung. Wechseln wir allerdings die Perspektive zum Nutzer, wird schnell deutlich: Google Firebase missachtet die Privatsphäre der Nutzer und sammelt/verarbeitet potenziell sensible Daten ohne Zustimmung.
[1] Eine initiale Verbindung erfolgt zu Google Firebase Crashlytics (USA), einem Dienst für die Erstellung/Auswertung von Absturzberichten [firebase-settings.crashlytics.com]:
GET /spi/v2/platforms/android/gmp/1:669023644833:android:3ff8755ad16bb3205c94e0/settings?instance=8a28e98ca04529178bf49ab0ab0d58b8c3c448a2&build_version=138&display_version=1.5.8&source=4 HTTP/1.1 X-CRASHLYTICS-DEVELOPER-TOKEN: 470fa2b4ae81cd56ecbcda9735803434cec591fa X-CRASHLYTICS-DEVICE-MODEL: Xiaomi/Mi A1 X-CRASHLYTICS-INSTALLATION-ID: 0f0b16f5dd0f4123a35492a51a4dd589 X-CRASHLYTICS-OS-DISPLAY-VERSION: 10 Accept: application/json X-CRASHLYTICS-API-CLIENT-VERSION: 18.3.5 User-Agent: Crashlytics Android SDK/18.3.5 X-CRASHLYTICS-API-CLIENT-TYPE: android X-CRASHLYTICS-GOOGLE-APP-ID: 1:669023644833:android:3ff8755ad16bb3205c94e0 X-CRASHLYTICS-OS-BUILD-VERSION: 10037230 Host: firebase-settings.crashlytics.com Connection: close Accept-Encoding: gzip, deflate
Auch hier gilt: Solche sind Zugriffe auf Endeinrichtungen zu Zwecken der Webanalyse, der Marktforschung und jede Form der Werbung ohne informierte Einwilligung ist nach § 25 Abs. 1 TTDSG unzulässig. § 25 TTDSG regelt den Schutz der Privatsphäre bei Endeinrichtungen und setzt Art. 5 Abs. 3 der ePrivacy-Richtlinie um. Ein Cookie-)Consent-Banner sparen sich die Verantwortlichen gleich komplett – wozu auch, stört ja nur. ;-)
Unabhängig dieser Datenübermittlung sollte man wissen, dass die App eng mit der Google-Infrastruktur verbandelt ist. Eine Kröte, die man schlucken muss.
Hilf mit die Spendenziele zu erreichen!
Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.
Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.
4. Fazit
Es genügt, wenn man das Datensendeverhalten beider Apps direkt nach dem Start überprüft. Mein Fazit lautet: Keine der beiden Apps würde ich nutzen. Am datenschutzfreundlichsten wird aktuell wohl die Nutzung einer Chipkarte sein. Mir ist nämlich keine App bekannt, mit der sich das Deutschlandticket datenschutzfreundlich verwalten lässt. Das heißt aber nicht, dass es solch eine App nicht gibt. Vielleicht gibt es ja einen Verkehrsverbund, der eine App anbietet, über die man das Deutschlandticket erwerben/verwalten kann und die auch gleichzeitig noch datenschutzfreundlich ist? Deshalb schlage ich vor, dass wir uns in einer Serie »Deutschlandticket« in den kommenden Wochen einige Apps von Tarif- und Verkehrsverbünden stichprobenartig ansehen, um eine mögliche datenschutzfreundliche App zu finden. Sowohl der DB Navigator als auch der Next DB Navigator der Deutschen Bahn kommen hierfür jedoch nicht infrage.
Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:
Ich freue mich auf Deine Beteiligung zum Artikel
Wenn du Ergänzungen oder konkrete Fragen zum Beitrag hast, besuche das offizielle Forum. Dort kann der Beitrag diskutiert werden. Oder besuche den Chat, um dein Anliegen zu besprechen. zur Diskussion ➡Abschließender Hinweis
Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.