1. VBB Bus & Bahn
Im Rahmen der Artikelserie »Deutschlandticket« werden einige Apps von Tarif- und Verkehrsverbünden stichprobenartig auf ihr Datensendeverhalten geprüft. Mittels eines Intercepting-Proxys wird das Verhalten der Apps hauptsächlich beim Start analysiert. Es wird geprüft, wohin eine App eine Verbindung aufbaut und welche Daten dabei übermittelt werden. Die Ergebnisse sollen Aufschluss darüber geben, wie datenschutzfreundlich eine App in der Standardkonfiguration ist.
Im vorliegenden Beitrag wird die App VBB Bus & Bahn analysiert. Die Analyse erfolgt unter Android. Die Ausgangslage für den nachfolgenden Test der App ist wie folgt:
- Betriebssystem: Android 10 (Xiaomi Mi A1)
- App-Version: 4.7.3 (59) (Android)
- Verbreitung: Über 1 Million Downloads (Google Play Store)
- Exodus Privacy: In der Version 4.7.3 (59) (Android) sind 2 Tracker integriert
Nachfolgend wird kurz das Datensendeverhalten der App beleuchtet.
- Deutschlandticket-Apps: 49€ plus Datenweitergabe an Google und Co. – Deutschlandticket Teil1
- Verkehrsverbund Rhein-Ruhr (VRR): Tracking ohne Einwilligung – Deutschlandticket Teil2
- Verkehrsverbund Bremen/Niedersachen (VBN): Tracking ohne Einwilligung – Deutschlandticket Teil3
- Verkehrsverbund Berlin-Brandenburg (VBB): Tracking ohne Einwilligung – Deutschlandticket Teil4
- Hamburger Verkehrsverbund (HVV): Absturzberichte ohne Einwilligung – Deutschlandticket Teil5
- Verkehrsverbund Warnow (VVW): Der Teufel lauert im Detail – Deutschlandticket Teil6
- Rhein-Main-Verkehrsverbund (RMV): Richtig wählen beim Consent-Banner – Deutschlandticket Teil7
2. Datensendeverhalten
Unmittelbar nach dem Start, noch bevor überhaupt eine Interaktion stattfindet, werden die nachfolgenden Verbindungen initiiert:
- Google Firebase (firebaseinstallations.googleapis.com)
- Matomo (piwik.hacon.de)
- VBB (fahrinfo.vbb.de)
- Handyticket (handyticket.de)
Die initiale Verbindung zu Google Firebase findet statt, weil die Entwickler den Empfang von Push-Nachrichten via Firebase Cloud Messaging (FCM) abbilden. Auszugsweise werde ich nachfolgend die Verbindung zu Matomo darstellen.
[1] Eine initiale Verbindung erfolgt zu Matomo, einer quelloffenen Alternative zu Google Analytics, die man ebenfalls auf eigenen Servern betreiben kann [piwik.hacon.de]:
POST /piwik.php HTTP/1.1 Content-Type: application/json charset: utf-8 User-Agent: Dalvik/2.1.0 (Linux; U; Android 10; Mi A1 Build/QQ3A.200805.001) Host: piwik.hacon.de Connection: close Accept-Encoding: gzip, deflate Content-Length: 3092 { "requests":[{ "?idsite=75 &send_image=0 &res=1080x1920 &_cvar={ "1":["Platform","Android"], "2":["OS version","10"], "3":["App version","4.7.3 (59)"] } &_idvc=1 &ua=Dalvik/2.1.0 (Linux; U; Android 10; Mi A1 Build/QQ3A.200805.001) &url=http://hafas.de &rand=7424 &rec=1 &apiv=1 &_idts=1683614241 &cdt=2023-05-09 08:37:21+0200 &_id=26241e8b787a4f0c &new_visit=1 &lang=de", "?idsite=75 &send_image=0 &res=1080x1920 &e_a=off &e_c=accessibility-screenreader-used &ua=Dalvik/2.1.0 (Linux; U; Android 10; Mi A1 Build/QQ3A.200805.001) &url=http://hafas.de &rand=7638 &rec=1 &apiv=1 &cdt=2023-05-09 08:37:21+0200 &_id=26241e8b787a4f0c &lang=de", [...] ] }
Es werden UIDs/IDs, Gerätemodell, Auflösung etc. vom Gerät abgefragt und ohne Einwilligung an Matomo übermittelt. Ich kann nur gebetsmühlenartig wiederholen: Solche Zugriffe auf Endeinrichtungen zu Zwecken der Webanalyse, der Marktforschung und jede Form der Werbung ohne informierte Einwilligung ist nach § 25 Abs. 1 TTDSG unzulässig. § 25 TTDSG regelt den Schutz der Privatsphäre bei Endeinrichtungen und setzt Art. 5 Abs. 3 der ePrivacy-Richtlinie um. Immerhin verwendet man Matomo – aber auch bei der quelloffenen Analyse-Alternative ist nach § 25 TTDSG die Einholung einer Einwilligung erforderlich.
Der obligatorische (Cookie-)Consent-Banner wird erst nach der Datenübermittlung eingeblendet – zu spät, denn bis zu diesem Punkt sind die Daten bereits abgeflossen. Eine Einwilligung wird bei diesem Banner allerdings nicht eingeholt, sondern lediglich über die Verarbeitung informiert:
Dieser Banner erfüllt die Anforderungen an eine ausdrückliche, informierte, freiwillige und aktive Einwilligung nicht. Unter anderem beginnt die Datenverarbeitung bereits, bevor eine notwendige Einwilligung eingeholt wurde.
Erst nach einem Aufruf über Einstellungen -> Datenschutz
kann man die Nutzungsstatistiken deaktivieren – standardmäßig wird getrackt:
Was sagen die Datenschutzhinweise dazu?
Wir nutzen auf dieser Website die Software „Matomo“ (www.matomo.org), einem Dienst des Anbieters InnoCraft Ltd., 150 Willis St, 6011 Wellington, Neuseeland. Die Software setzt ein Cookie (eine Textdatei) auf ihren Recher, mit dem Ihr Browser wiedererkannt werden kann. Werden Unterseiten unserer Webseite aufgerufen, so werden folgende Daten gespeichert:
- die gekürzte und somit anonymisierte IP-Adresse
- die aufgerufene Unterseite und Zeitpunkt des Aufrufs
- die Seite, von der Nutzende auf unsere Webseite gelangt ist (Referrer)
- welcher Browser, welches Betriebssystem und welche Bildschirmauflösung genutzt wird
- die Verweildauer auf der Website
- die Seiten, die von der aufgerufenen Unterseite aus angesteuert werden
Die mit Matomo erhobenen Daten werden auf unseren eigenen Servern gespeichert. Eine Weitergabe an Dritte erfolgt nicht. Die Rechtsgrundlage, auf der wir mittels Matomo personenbezogene Daten verarbeiten, ist Art. 6 Abs. 1 lit. f der DSGVO.
[…]
Gegen die Aufzeichnung der Daten in der oben beschriebenen Weise können Sie auf drei verschiedene Weisen Widerspruch einlegen:
- Sie können die Ablage von Cookies in ihrem Browser ganz unterbinden. Das führt allerdings dazu, dass Sie möglicherweise manche Funktionen unserer Website nicht mehr nutzen können, die zwingend eine Identifizierung voraussetzen (Warenkorb, Bestellungen, persönliche Einstellungen o.ä.)
- Sie können die Einstellung „Do-not-Track“ in Ihrem Browser aktivieren. Unser Matomo-System ist so konfiguriert, dass es diese Einstellung respektiert.
- Sie können mit einem Mausklick unten ein so genanntes Opt-Out-Cookie anlegen, das zwei Jahre Gültigkeit hat. Es hat zur Folge, dass Matomo Ihre weiteren Besuche nicht registrieren wird. Beachten Sie allerdings, dass das Opt-Out-Cookie gelöscht wird, wenn Sie alle Cookies löschen.
Zunächst stellt sich die Frage, was die VBB mit
Die mit Matomo erhobenen Daten werden auf unseren eigenen Servern gespeichert.
eigentlich meint? Zählen die Server der Hacon Ingenieurgesellschaft mbH (piwik.hacon.de) zu den eigenen Servern oder liegt vielleicht nur eine Auftragsverarbeitung vor?
Weiterhin ist ein Widerspruch der falsche Weg. Korrekt wäre es, eine Einwilligung einzuholen. Ob eine Nutzungsmessung anonym, pseudonym oder mit personenbezogenen Daten erfolgt, spielt aus Sicht des TTDSG übrigens keine Rolle. Entscheidend ist, ob auf dem Endgerät eine Speicherung von Informationen erfolgt (bspw. Cookies) oder eine Information aus dem Endgerät ausgelesen wird. Beides ist nach § 25 TTDSG einwilligungsbedürftig, sofern nicht unbedingt »technisch erforderlich«. Weitere Informationen zum TTDSG in der gleichnamigen Artikelserie »das TTDSG«.
Unterstütze den Blog mit einem Dauerauftrag!
Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.
Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.
3. Fazit
In der aktuell vorliegenden Version entspricht die App des VBB nicht den gesetzlichen Anforderungen an die DSGVO und das TTDSG. Das Tracking mit Matomo ist einwilligungsbedürftig – auf die Einholung einer Einwilligung wird allerdings gänzlich verzichtet und einfach getrackt. Das Tracking bzw. die Analyse lässt sich über die Einstellungen zwar deaktivieren, allerdings ist die Umsetzung via Opt-Out rechtlich gesehen nicht in Ordnung. Leider hat sich auch die Stichprobe aus Berlin-Brandenburg (VBB) als enttäuschend herausgestellt. Zugutehalten kann man immerhin die Verwendung von Matomo.
Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:
Ich freue mich auf Deine Beteiligung zum Artikel
Wenn du Ergänzungen oder konkrete Fragen zum Beitrag hast, besuche das offizielle Forum. Dort kann der Beitrag diskutiert werden. Oder besuche den Chat, um dein Anliegen zu besprechen. zur Diskussion ➡Abschließender Hinweis
Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.