Hilf mit die Spendenziele zu erreichen!
Mike Kuketz
26. Juni 2023

Rhein-Main-Verkehrsverbund (RMV): Richtig wählen beim Consent-Banner – Deutschlandticket Teil7

1. RMV.DeutschlandRMV

Im Rahmen der Artikelserie »Deutschlandticket« werden einige Apps von Tarif- und Verkehrsverbünden stichprobenartig auf ihr Datensendeverhalten geprüft. Mittels eines Intercepting-Proxys wird das Verhalten der Apps hauptsächlich beim Start analysiert. Es wird geprüft, wohin eine App eine Verbindung aufbaut und welche Daten dabei übermittelt werden. Die Ergebnisse sollen Aufschluss darüber geben, wie datenschutzfreundlich eine App in der Standardkonfiguration ist.

Im vorliegenden Beitrag wird die App RMV.Deutschland (nicht mehr verfügbar) analysiert. Die Analyse erfolgt unter Android. Die Ausgangslage für den nachfolgenden Test der App ist wie folgt:

  • Betriebssystem: Android 10 (Xiaomi Mi A1)
  • App-Version: 2.1.3 (Android)
  • Verbreitung: Über 10.000 Downloads (Google Play Store)
  • Exodus Privacy: In der Version 2.1.3 (Android) sind 2 Tracker integriert

Nachfolgend wird kurz das Datensendeverhalten der App beleuchtet.

Dieser Beitrag ist Teil einer Artikelserie:

2. Datensendeverhalten

Unmittelbar nach dem Start, noch bevor überhaupt eine Interaktion stattfindet, werden die nachfolgenden Verbindungen initiiert:

  • Mobimeo (*.mobimeo.com)
  • Consent Manager (*.consentmanager.net)

Ähnlich wie andere Verkehrsunternehmen hat sich der Rhein-Main-Verkehrsverbund für die Lösung von Mobimeo entschieden, einem Tech-Start-up der Deutschen Bahn AG. Das bedeutet, dass Mobimeo eine vorgefertigte Lösung anbietet, die von den Verkehrsverbünden erworben wird. Bis vor kurzem übermittelten Apps, die auf Mobimeo basierten, noch Analysedaten, bevor der Nutzer überhaupt die Möglichkeit hatte, seine Einwilligung zu geben oder abzulehnen. Ein Beispiel hierfür ist die App Dein Deutschlandticket, die ebenfalls auf Mobimeo basiert. In den neueren Versionen der App findet keine Datenerhebung mehr für Analysezwecke statt – es sei denn, der Nutzer willigt ein. Woher kommt diese Anpassung bzw. der Wandel? Einerseits durch die Berichterstattung auf dem Blog, aber auch durch Beschwerden, die bei Landesdatenschutzbehörden eingegangen sind. Ohne externen Druck sind viele Unternehmen offenbar nicht in der Lage, die geltenden gesetzlichen Anforderungen an die DSGVO und das TTDSG umzusetzen. Bevor ich aber nun zu sehr abschweife: Bei der RMV.Deutschland-App ist das Problem (mittlerweile) behoben. Erst nach der Einwilligung werden nun Analysedaten erhoben.

Der (Cookie-)Consent-Banner ist wie folgt gestaltet:

Cookie-Banner

Bevor wir nun auf Nur technisch Notwendige Cookies tippen, werfen wir zunächst einen Blick in die Datenschutzerklärung. Interessent ist dort unter anderem die Ziffer »3.3 Einwilligung in Verarbeitungen und Cookies«:

Wir verwenden ein Tool zur statistischen Auswertung des Userverhaltens. Die Rechtsgrundlage hierfür ist die Einwilligung Art. 6, Abs. 1. lit a) DS-GVO. Die Einwilligung erfolgt freiwillig in Form eines Consent-Banners beim Starten der App. Die Einwilligung kann jederzeit mit Wirkung für die Zukunft in den erweiterten Einstellungen des Consent-Banners widerrufen werden.

Amplitude

In der Spalte »verarbeitete Daten« ist unter anderem Lokalisierung angegeben. Unklar ist, ob es sich hierbei um eine Orts- bzw. Standortbestimmung handelt oder um die Lokalisierung der App (bspw. Sprache). Weiterhin werden Verbindungsdaten von Amplitude verarbeitet – was ebenfalls nicht eindeutig ist. Verbindungsdaten wie IP-Adresse oder Daten zu Haltestellen und Verbindungen, die jemand gefahren ist? Da auch Verkaufsdaten und Zahldaten verarbeitet werden, tippe ich eher auf Verbindungsinformationen zu Haltestellen und Co.

Drittlandtransfer in die USA haben wir ebenfalls, wenn wir beim Consent-Banner auf Alle akzeptieren tippen. Nein danke, auf die Art von Datenverarbeitung kann doch wirklich jeder von uns gut verzichten. Es ist daher essenziell, beim Consent-Banner die datenschutzfreundliche Variante zu wählen: Nur technisch Notwendige.

Wer sich für die Nutzung der App entscheidet, der muss sich ebenfalls mit den folgenden Auftragsverarbeitern arrangieren:

  • Mobimeo GmbH
  • Mobility inside Plattform GmbH
  • Cubic GmbH
  • Amazon.com
  • Microsoft Corporation
  • Mapbox
  • Amplitude (sofern eine Einwilligung erfolgt, Unterauftragsverarbeitung)

Hilf mit die Spendenziele zu erreichen!

Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.

Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.

Mitmachen ➡

3. Fazit

In der aktuell vorliegenden Version entspricht die App (nicht die Website) des RMV nach meiner Einschätzung den gesetzlichen Anforderungen an das TTDSG. Ob auch die Anforderungen an die DSGVO erfüllt werden, ist erst nach einer tiefergehenden Analyse bzw. Auseinandersetzung mit der Datenschutzerklärung zu beantworten – die ich im vorliegenden Beitrag nicht leiste. Man sollte sich als Nutzer bzw. Betroffener allerdings auch darüber bewusst sein, dass personenbeziehbare Daten von diversen Auftragsverarbeitern verarbeitet werden – es demnach empfehlenswert, die Datenschutzerklärung vorab genau zu lesen.

Über den Autor | Kuketz

Mike Kuketz

In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.

Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.

Mehr Erfahren ➡

SpendeUnterstützen

Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.

Folge dem Blog

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡

Ähnliche Beiträge
Deutschland-Ticket
2. Mai 2023

Deutschlandticket-Apps: 49€ plus Datenweitergabe an Google und Co. – Deutschlandticket Teil1

Das Deutschlandticket lässt sich digital per App verwalten. Zwei App-Angebote fallen beim Datenschutz durch.
VBB
10. Mai 2023

Verkehrsverbund Berlin-Brandenburg (VBB): Tracking ohne Einwilligung – Deutschlandticket Teil4

Ohne Einwilligung: Unmittelbar nach dem Start übermittelt die VBB-App Analysedaten an das quelloffene Tracking-Tool Matomo.
HVV
11. Mai 2023

Hamburger Verkehrsverbund (HVV): Absturzberichte ohne Einwilligung – Deutschlandticket Teil5

Ohne Einwilligung: Die HVV-App übermittelt ungefragt Absturzberichte an Google Crashlytics.
VVW
15. Mai 2023

Verkehrsverbund Warnow (VVW): Der Teufel lauert im Detail – Deutschlandticket Teil6

Bis auf die Verwendung von Google Maps ist das Datensendeverhalten der VVW-App in Ordnung. Der Teufel lauert in der Datenschutzerklärung.
VBN
9. Mai 2023

Verkehrsverbund Bremen/Niedersachen (VBN): Tracking ohne Einwilligung – Deutschlandticket Teil3

Ohne Einwilligung: Unmittelbar nach dem Start übermittelt die VBN-App Analysedaten an das quelloffene Tracking-Tool Matomo.
Weitere Themen
AndroidAuditAutonomieBackupBezahlenBrowserCloudDatenschutzDatensendeverhaltenDigitalpolitikDSGVOE-MailFirewallHackingHärteniOSKuketz-BlogLinuxmacOSMessengerOpenWrtPasswortPentestRaspberryPiRechtSicherheitslückeSicherheitsmaßnahmeTorTrackingTTDSGÜberwachungVerschlüsselungWindowsWordPressXMPP
Diskussion

Ich freue mich auf Deine Beteiligung zum Artikel

HilfeWenn du Ergänzungen oder konkrete Fragen zum Beitrag hast, besuche das offizielle Forum. Dort kann der Beitrag diskutiert werden. Oder besuche den Chat, um dein Anliegen zu besprechen. zur Diskussion ➡

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.