1. RMV.Deutschland
Im Rahmen der Artikelserie »Deutschlandticket« werden einige Apps von Tarif- und Verkehrsverbünden stichprobenartig auf ihr Datensendeverhalten geprüft. Mittels eines Intercepting-Proxys wird das Verhalten der Apps hauptsächlich beim Start analysiert. Es wird geprüft, wohin eine App eine Verbindung aufbaut und welche Daten dabei übermittelt werden. Die Ergebnisse sollen Aufschluss darüber geben, wie datenschutzfreundlich eine App in der Standardkonfiguration ist.
Im vorliegenden Beitrag wird die App RMV.Deutschland (nicht mehr verfügbar) analysiert. Die Analyse erfolgt unter Android. Die Ausgangslage für den nachfolgenden Test der App ist wie folgt:
- Betriebssystem: Android 10 (Xiaomi Mi A1)
- App-Version: 2.1.3 (Android)
- Verbreitung: Über 10.000 Downloads (Google Play Store)
- Exodus Privacy: In der Version 2.1.3 (Android) sind 2 Tracker integriert
Nachfolgend wird kurz das Datensendeverhalten der App beleuchtet.
- Deutschlandticket-Apps: 49€ plus Datenweitergabe an Google und Co. – Deutschlandticket Teil1
- Verkehrsverbund Rhein-Ruhr (VRR): Tracking ohne Einwilligung – Deutschlandticket Teil2
- Verkehrsverbund Bremen/Niedersachen (VBN): Tracking ohne Einwilligung – Deutschlandticket Teil3
- Verkehrsverbund Berlin-Brandenburg (VBB): Tracking ohne Einwilligung – Deutschlandticket Teil4
- Hamburger Verkehrsverbund (HVV): Absturzberichte ohne Einwilligung – Deutschlandticket Teil5
- Verkehrsverbund Warnow (VVW): Der Teufel lauert im Detail – Deutschlandticket Teil6
- Rhein-Main-Verkehrsverbund (RMV): Richtig wählen beim Consent-Banner – Deutschlandticket Teil7
2. Datensendeverhalten
Unmittelbar nach dem Start, noch bevor überhaupt eine Interaktion stattfindet, werden die nachfolgenden Verbindungen initiiert:
- Mobimeo (*.mobimeo.com)
- Consent Manager (*.consentmanager.net)
Ähnlich wie andere Verkehrsunternehmen hat sich der Rhein-Main-Verkehrsverbund für die Lösung von Mobimeo entschieden, einem Tech-Start-up der Deutschen Bahn AG. Das bedeutet, dass Mobimeo eine vorgefertigte Lösung anbietet, die von den Verkehrsverbünden erworben wird. Bis vor kurzem übermittelten Apps, die auf Mobimeo basierten, noch Analysedaten, bevor der Nutzer überhaupt die Möglichkeit hatte, seine Einwilligung zu geben oder abzulehnen. Ein Beispiel hierfür ist die App Dein Deutschlandticket, die ebenfalls auf Mobimeo basiert. In den neueren Versionen der App findet keine Datenerhebung mehr für Analysezwecke statt – es sei denn, der Nutzer willigt ein. Woher kommt diese Anpassung bzw. der Wandel? Einerseits durch die Berichterstattung auf dem Blog, aber auch durch Beschwerden, die bei Landesdatenschutzbehörden eingegangen sind. Ohne externen Druck sind viele Unternehmen offenbar nicht in der Lage, die geltenden gesetzlichen Anforderungen an die DSGVO und das TTDSG umzusetzen. Bevor ich aber nun zu sehr abschweife: Bei der RMV.Deutschland-App ist das Problem (mittlerweile) behoben. Erst nach der Einwilligung werden nun Analysedaten erhoben.
Der (Cookie-)Consent-Banner ist wie folgt gestaltet:
Bevor wir nun auf Nur technisch Notwendige Cookies
tippen, werfen wir zunächst einen Blick in die Datenschutzerklärung. Interessent ist dort unter anderem die Ziffer »3.3 Einwilligung in Verarbeitungen und Cookies«:
Wir verwenden ein Tool zur statistischen Auswertung des Userverhaltens. Die Rechtsgrundlage hierfür ist die Einwilligung Art. 6, Abs. 1. lit a) DS-GVO. Die Einwilligung erfolgt freiwillig in Form eines Consent-Banners beim Starten der App. Die Einwilligung kann jederzeit mit Wirkung für die Zukunft in den erweiterten Einstellungen des Consent-Banners widerrufen werden.
In der Spalte »verarbeitete Daten« ist unter anderem Lokalisierung angegeben. Unklar ist, ob es sich hierbei um eine Orts- bzw. Standortbestimmung handelt oder um die Lokalisierung der App (bspw. Sprache). Weiterhin werden Verbindungsdaten von Amplitude verarbeitet – was ebenfalls nicht eindeutig ist. Verbindungsdaten wie IP-Adresse oder Daten zu Haltestellen und Verbindungen, die jemand gefahren ist? Da auch Verkaufsdaten und Zahldaten verarbeitet werden, tippe ich eher auf Verbindungsinformationen zu Haltestellen und Co.
Drittlandtransfer in die USA haben wir ebenfalls, wenn wir beim Consent-Banner auf Alle akzeptieren
tippen. Nein danke, auf die Art von Datenverarbeitung kann doch wirklich jeder von uns gut verzichten. Es ist daher essenziell, beim Consent-Banner die datenschutzfreundliche Variante zu wählen: Nur technisch Notwendige
.
Wer sich für die Nutzung der App entscheidet, der muss sich ebenfalls mit den folgenden Auftragsverarbeitern arrangieren:
- Mobimeo GmbH
- Mobility inside Plattform GmbH
- Cubic GmbH
- Amazon.com
- Microsoft Corporation
- Mapbox
- Amplitude (sofern eine Einwilligung erfolgt, Unterauftragsverarbeitung)
Hilf mit die Spendenziele zu erreichen!
Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.
Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.
3. Fazit
In der aktuell vorliegenden Version entspricht die App (nicht die Website) des RMV nach meiner Einschätzung den gesetzlichen Anforderungen an das TTDSG. Ob auch die Anforderungen an die DSGVO erfüllt werden, ist erst nach einer tiefergehenden Analyse bzw. Auseinandersetzung mit der Datenschutzerklärung zu beantworten – die ich im vorliegenden Beitrag nicht leiste. Man sollte sich als Nutzer bzw. Betroffener allerdings auch darüber bewusst sein, dass personenbeziehbare Daten von diversen Auftragsverarbeitern verarbeitet werden – es demnach empfehlenswert, die Datenschutzerklärung vorab genau zu lesen.
Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:
Ich freue mich auf Deine Beteiligung zum Artikel
Wenn du Ergänzungen oder konkrete Fragen zum Beitrag hast, besuche das offizielle Forum. Dort kann der Beitrag diskutiert werden. Oder besuche den Chat, um dein Anliegen zu besprechen. zur Diskussion ➡Abschließender Hinweis
Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.