Verkehrsverbund Berlin-Brandenburg (VBB): Tracking ohne Einwilligung – Deutschlandticket Teil4

1. VBB Bus & BahnVBB

Im Rahmen der Artikelserie »Deutschlandticket« werden einige Apps von Tarif- und Verkehrsverbünden stichprobenartig auf ihr Datensendeverhalten geprüft. Mittels eines Intercepting-Proxys wird das Verhalten der Apps hauptsächlich beim Start analysiert. Es wird geprüft, wohin eine App eine Verbindung aufbaut und welche Daten dabei übermittelt werden. Die Ergebnisse sollen Aufschluss darüber geben, wie datenschutzfreundlich eine App in der Standardkonfiguration ist.

Im vorliegenden Beitrag wird die App VBB Bus & Bahn analysiert. Die Analyse erfolgt unter Android. Die Ausgangslage für den nachfolgenden Test der App ist wie folgt:

  • Betriebssystem: Android 10 (Xiaomi Mi A1)
  • App-Version: 4.7.3 (59) (Android)
  • Verbreitung: Über 1 Million Downloads (Google Play Store)
  • Exodus Privacy: In der Version 4.7.3 (59) (Android) sind 2 Tracker integriert

Nachfolgend wird kurz das Datensendeverhalten der App beleuchtet.

Dieser Beitrag ist Teil einer Artikelserie:

2. Datensendeverhalten

Unmittelbar nach dem Start, noch bevor überhaupt eine Interaktion stattfindet, werden die nachfolgenden Verbindungen initiiert:

  • Google Firebase (firebaseinstallations.googleapis.com)
  • Matomo (piwik.hacon.de)
  • VBB (fahrinfo.vbb.de)
  • Handyticket (handyticket.de)

Die initiale Verbindung zu Google Firebase findet statt, weil die Entwickler den Empfang von Push-Nachrichten via Firebase Cloud Messaging (FCM) abbilden. Auszugsweise werde ich nachfolgend die Verbindung zu Matomo darstellen.

[1] Eine initiale Verbindung erfolgt zu Matomo, einer quelloffenen Alternative zu Google Analytics, die man ebenfalls auf eigenen Servern betreiben kann [piwik.hacon.de]:

POST /piwik.php HTTP/1.1
Content-Type: application/json
charset: utf-8
User-Agent: Dalvik/2.1.0 (Linux; U; Android 10; Mi A1 Build/QQ3A.200805.001)
Host: piwik.hacon.de
Connection: close
Accept-Encoding: gzip, deflate
Content-Length: 3092

{
   "requests":[{
      "?idsite=75
      &send_image=0
      &res=1080x1920
      &_cvar={
         "1":["Platform","Android"],
         "2":["OS version","10"],
         "3":["App version","4.7.3 (59)"]
      }
      &_idvc=1
      &ua=Dalvik/2.1.0 (Linux; U; Android 10; Mi A1 Build/QQ3A.200805.001)
      &url=http://hafas.de
      &rand=7424
      &rec=1
      &apiv=1
      &_idts=1683614241
      &cdt=2023-05-09 08:37:21+0200
      &_id=26241e8b787a4f0c
      &new_visit=1
      &lang=de",
      "?idsite=75
      &send_image=0
      &res=1080x1920
      &e_a=off
      &e_c=accessibility-screenreader-used
      &ua=Dalvik/2.1.0 (Linux; U; Android 10; Mi A1 Build/QQ3A.200805.001)
      &url=http://hafas.de
      &rand=7638
      &rec=1
      &apiv=1
      &cdt=2023-05-09 08:37:21+0200
      &_id=26241e8b787a4f0c
      &lang=de",
      [...]
   ]
}

Es werden UIDs/IDs, Gerätemodell, Auflösung etc. vom Gerät abgefragt und ohne Einwilligung an Matomo übermittelt. Ich kann nur gebetsmühlenartig wiederholen: Solche Zugriffe auf Endeinrichtungen zu Zwecken der Webanalyse, der Marktforschung und jede Form der Werbung ohne informierte Einwilligung ist nach § 25 Abs. 1 TTDSG unzulässig. § 25 TTDSG regelt den Schutz der Privatsphäre bei Endeinrichtungen und setzt Art. 5 Abs. 3 der ePrivacy-Richtlinie um. Immerhin verwendet man Matomo – aber auch bei der quelloffenen Analyse-Alternative ist nach § 25 TTDSG die Einholung einer Einwilligung erforderlich.

Der obligatorische (Cookie-)Consent-Banner wird erst nach der Datenübermittlung eingeblendet – zu spät, denn bis zu diesem Punkt sind die Daten bereits abgeflossen. Eine Einwilligung wird bei diesem Banner allerdings nicht eingeholt, sondern lediglich über die Verarbeitung informiert:

Cookie-Banner

Dieser Banner erfüllt die Anforderungen an eine ausdrückliche, informierte, freiwillige und aktive Einwilligung nicht. Unter anderem beginnt die Datenverarbeitung bereits, bevor eine notwendige Einwilligung eingeholt wurde.

Erst nach einem Aufruf über Einstellungen -> Datenschutz kann man die Nutzungsstatistiken deaktivieren – standardmäßig wird getrackt:

Datenschutzeinstellungen

Was sagen die Datenschutzhinweise dazu?

Wir nutzen auf dieser Website die Software „Matomo“ (www.matomo.org), einem Dienst des Anbieters InnoCraft Ltd., 150 Willis St, 6011 Wellington, Neuseeland. Die Software setzt ein Cookie (eine Textdatei) auf ihren Recher, mit dem Ihr Browser wiedererkannt werden kann. Werden Unterseiten unserer Webseite aufgerufen, so werden folgende Daten gespeichert:

  • die gekürzte und somit anonymisierte IP-Adresse
  • die aufgerufene Unterseite und Zeitpunkt des Aufrufs
  • die Seite, von der Nutzende auf unsere Webseite gelangt ist (Referrer)
  • welcher Browser, welches Betriebssystem und welche Bildschirmauflösung genutzt wird
  • die Verweildauer auf der Website
  • die Seiten, die von der aufgerufenen Unterseite aus angesteuert werden

Die mit Matomo erhobenen Daten werden auf unseren eigenen Servern gespeichert. Eine Weitergabe an Dritte erfolgt nicht. Die Rechtsgrundlage, auf der wir mittels Matomo personenbezogene Daten verarbeiten, ist Art. 6 Abs. 1 lit. f der DSGVO.

[…]

Gegen die Aufzeichnung der Daten in der oben beschriebenen Weise können Sie auf drei verschiedene Weisen Widerspruch einlegen:

  1. Sie können die Ablage von Cookies in ihrem Browser ganz unterbinden. Das führt allerdings dazu, dass Sie möglicherweise manche Funktionen unserer Website nicht mehr nutzen können, die zwingend eine Identifizierung voraussetzen (Warenkorb, Bestellungen, persönliche Einstellungen o.ä.)
  2. Sie können die Einstellung „Do-not-Track“ in Ihrem Browser aktivieren. Unser Matomo-System ist so konfiguriert, dass es diese Einstellung respektiert.
  3. Sie können mit einem Mausklick unten ein so genanntes Opt-Out-Cookie anlegen, das zwei Jahre Gültigkeit hat. Es hat zur Folge, dass Matomo Ihre weiteren Besuche nicht registrieren wird. Beachten Sie allerdings, dass das Opt-Out-Cookie gelöscht wird, wenn Sie alle Cookies löschen.

Zunächst stellt sich die Frage, was die VBB mit

Die mit Matomo erhobenen Daten werden auf unseren eigenen Servern gespeichert.

eigentlich meint? Zählen die Server der Hacon Ingenieurgesellschaft mbH (piwik.hacon.de) zu den eigenen Servern oder liegt vielleicht nur eine Auftragsverarbeitung vor?

Weiterhin ist ein Widerspruch der falsche Weg. Korrekt wäre es, eine Einwilligung einzuholen. Ob eine Nutzungsmessung anonym, pseudonym oder mit personenbezogenen Daten erfolgt, spielt aus Sicht des TTDSG übrigens keine Rolle. Entscheidend ist, ob auf dem Endgerät eine Speicherung von Informationen erfolgt (bspw. Cookies) oder eine Information aus dem Endgerät ausgelesen wird. Beides ist nach § 25 TTDSG einwilligungsbedürftig, sofern nicht unbedingt »technisch erforderlich«. Weitere Informationen zum TTDSG in der gleichnamigen Artikelserie »das TTDSG«.

Unterstütze den Blog mit einem Dauerauftrag!

Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.

Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.

Mitmachen ➡

3. Fazit

In der aktuell vorliegenden Version entspricht die App des VBB nicht den gesetzlichen Anforderungen an die DSGVO und das TTDSG. Das Tracking mit Matomo ist einwilligungsbedürftig – auf die Einholung einer Einwilligung wird allerdings gänzlich verzichtet und einfach getrackt. Das Tracking bzw. die Analyse lässt sich über die Einstellungen zwar deaktivieren, allerdings ist die Umsetzung via Opt-Out rechtlich gesehen nicht in Ordnung. Leider hat sich auch die Stichprobe aus Berlin-Brandenburg (VBB) als enttäuschend herausgestellt. Zugutehalten kann man immerhin die Verwendung von Matomo.

Über den Autor | Kuketz

Mike Kuketz

In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.

Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.

Mehr Erfahren ➡

SpendeUnterstützen

Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.

Folge dem Blog

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡


Diskussion

Ich freue mich auf Deine Beteiligung zum Artikel

HilfeWenn du Ergänzungen oder konkrete Fragen zum Beitrag hast, besuche das offizielle Forum. Dort kann der Beitrag diskutiert werden. Oder besuche den Chat, um dein Anliegen zu besprechen. zur Diskussion ➡

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.