Hilf mit die Spendenziele zu erreichen!
Mike Kuketz
9. Mai 2023

Verkehrsverbund Bremen/Niedersachen (VBN): Tracking ohne Einwilligung – Deutschlandticket Teil3

1. FahrPlanerVBN

Im Rahmen der Artikelserie »Deutschlandticket« werden einige Apps von Tarif- und Verkehrsverbünden stichprobenartig auf ihr Datensendeverhalten geprüft. Mittels eines Intercepting-Proxys wird das Verhalten der Apps hauptsächlich beim Start analysiert. Es wird geprüft, wohin eine App eine Verbindung aufbaut und welche Daten dabei übermittelt werden. Die Ergebnisse sollen Aufschluss darüber geben, wie datenschutzfreundlich eine App in der Standardkonfiguration ist.

Im vorliegenden Beitrag wird die App FahrPlaner analysiert. Die Analyse erfolgt unter Android. Die Ausgangslage für den nachfolgenden Test der App ist wie folgt:

  • Betriebssystem: Android 10 (Xiaomi Mi A1)
  • App-Version: 6.3.4 (78) (Android)
  • Verbreitung: Über 1 Million Downloads (Google Play Store)
  • Exodus Privacy: In der Version 6.3.4 (78) (Android) sind 2 Tracker integriert

Nachfolgend wird kurz das Datensendeverhalten der App beleuchtet.

Dieser Beitrag ist Teil einer Artikelserie:

2. Datensendeverhalten

Unmittelbar nach dem Start, noch bevor überhaupt eine Interaktion stattfindet, werden die nachfolgenden Verbindungen initiiert:

  • Google Firebase (firebaseinstallations.googleapis.com)
  • Matomo (piwik.hacon.de)
  • VBN (fahrplaner.vbn.de / shop.vbn.de)

Die initiale Verbindung zu Google Firebase findet statt, weil die Entwickler den Empfang von Push-Nachrichten via Firebase Cloud Messaging (FCM) abbilden. Auszugsweise werde ich nachfolgend die Verbindung zu Matomo darstellen.

[1] Eine initiale Verbindung erfolgt zu Matomo, einer quelloffenen Alternative zu Google Analytics, die man ebenfalls auf eigenen Servern betreiben kann [piwik.hacon.de]:

POST /piwik.php HTTP/1.1
Content-Type: application/json
charset: utf-8
User-Agent: Dalvik/2.1.0 (Linux; U; Android 10; Mi A1 Build/QQ3A.200805.001)
Host: piwik.hacon.de
Connection: close
Accept-Encoding: gzip, deflate
Content-Length: 938

{
   "requests":[
      "?idsite=37
      &send_image=0
      &res=1080x1920
      &_cvar={
         "1":["Platform","Android"],
         "2":["OS version","10"],
         "3":["App version","6.3.4 (78)"]}
      &_idvc=1
      &ua=Dalvik/2.1.0 (Linux; U; Android 10; Mi A1 Build/QQ3A.200805.001)
      &url=http://hafas.de
      &rand=5923
      &rec=1
      &apiv=1
      &uid=dd51192f-c7b3-4527-af85-d8de45fe3f4a
      &_idts=1683536809
      &cdt=2023-05-09 08:06:49+0200
      &_id=934b9728b359459f
      &new_visit=1
      &lang=de",
      "?rand=19542
      &idsite=37
      &rec=1
      &apiv=1
      &send_image=0
      &uid=dd51192f-c7b3-4527-af85-d8de45fe3f4a
      &cdt=2023-05-09 08:06:49+0200
      &e_a=-&e_c=app-brought-to-front
      &_id=934b9728b359459f
      &url=http://hafas.de","?rand=70546
      &idsite=37
      &rec=1
      &apiv=1
      &send_image=0
      &uid=dd51192f-c7b3-4527-af85-d8de45fe3f4a
      &cdt=2023-05-09 08:06:49+0200
      &e_a=off
      &e_c=accessibility-screenreader-used
      &_id=934b9728b359459f
      &url=http://hafas.de"
   ]
}

Es werden UIDs/IDs, Gerätemodell, Auflösung etc. vom Gerät abgefragt und ohne Einwilligung an Matomo übermittelt. Ich kann nur gebetsmühlenartig wiederholen: Solche Zugriffe auf Endeinrichtungen zu Zwecken der Webanalyse, der Marktforschung und jede Form der Werbung ohne informierte Einwilligung ist nach § 25 Abs. 1 TTDSG unzulässig. § 25 TTDSG regelt den Schutz der Privatsphäre bei Endeinrichtungen und setzt Art. 5 Abs. 3 der ePrivacy-Richtlinie um. Immerhin verwendet man Matomo – aber auch bei der quelloffenen Analyse-Alternative ist nach § 25 TTDSG die Einholung einer Einwilligung erforderlich.

Einen (Cookie-)Consent-Banner spart man sich übrigens komplett. Erst nach einem Aufruf über Einstellungen -> Datenschutz kann man die Nutzungsstatistiken deaktivieren – standardmäßig wird getrackt:

Datenschutzeinstellungen

Was sagen die Datenschutzhinweise dazu?

Zur bedarfsgerechten Gestaltung unserer Anwendungen erstellen wir pseudonyme Nutzungsprofile mit Hilfe des Webanalysetools Matomo auf den Servern von HaCon. Matomo verwendet Cookies, die auf Ihrem Endgerät gespeichert und von uns ausgelesen werden können. Auf diese Weise sind wir in der Lage, wiederkehrende Besucher zu erkennen und als solche zu zählen. Eine Speicherung der ungekürzten IP-Adresse erfolgt nicht. Die Datenverarbeitung erfolgt auf der Grundlage von Artikel 6 Absatz 1 f) DSGVO beziehungsweise Artikel 15 Absatz 3 TMG und in dem Interesse zu erfahren, wie häufig unsere Dienste von unterschiedlichen Nutzern aufgerufen wurden.

Sie können der Verarbeitung jederzeit widersprechen, indem Sie in den Einstellungen der FahrPlaner-Anwendung die Option „Erfassen von Benutzeraktivitäten“ auswählen und den Dialog mit „Nein“ bestätigen. In diesem Fall werden durch Matomo keinerlei Sitzungsdaten erhoben. Wenn Sie unsere Anwendung neu installieren, hat dies allerdings zur Folge, dass auch die Einstellung bezüglich Tracking gelöscht wird und gegebenenfalls von Ihnen erneut aktiviert werden muss.

Ein Widerspruch ist hier allerdings der falsche Weg. Korrekt wäre es, eine Einwilligung einzuholen. Ob eine Nutzungsmessung anonym, pseudonym oder mit personenbezogenen Daten erfolgt, spielt aus Sicht des TTDSG übrigens keine Rolle. Entscheidend ist, ob auf dem Endgerät eine Speicherung von Informationen erfolgt (bspw. Cookies) oder eine Information aus dem Endgerät ausgelesen wird. Beides ist nach § 25 TTDSG einwilligungsbedürftig, sofern nicht unbedingt »technisch erforderlich«. Weitere Informationen zum TTDSG in der gleichnamigen Artikelserie »das TTDSG«.

Der Kuketz-Blog ist spendenfinanziert!

Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.

Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.

Mitmachen ➡

3. Fazit

In der aktuell vorliegenden Version entspricht die App des VBN nicht den gesetzlichen Anforderungen an die DSGVO und das TTDSG. Das Tracking mit Matomo ist einwilligungsbedürftig – auf die Einholung einer Einwilligung wird allerdings gänzlich verzichtet und einfach getrackt. Das Tracking bzw. die Analyse lässt sich über die Einstellungen zwar deaktivieren, allerdings ist die Umsetzung via Opt-Out rechtlich gesehen nicht in Ordnung. Leider hat sich auch die Stichprobe aus Bremen/Niedersachsen (VBN) als enttäuschend herausgestellt. Zugutehalten kann man immerhin die Verwendung von Matomo.

Über den Autor | Kuketz

Mike Kuketz

In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.

Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.

Mehr Erfahren ➡

SpendeUnterstützen

Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.

Folge dem Blog

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡

Ähnliche Beiträge
VBB
10. Mai 2023

Verkehrsverbund Berlin-Brandenburg (VBB): Tracking ohne Einwilligung – Deutschlandticket Teil4

Ohne Einwilligung: Unmittelbar nach dem Start übermittelt die VBB-App Analysedaten an das quelloffene Tracking-Tool Matomo.
Matomo
7. Juli 2020

Matomo: Einwilligungsfreies Tracking mit der Logfile-Analyse

Matomo ermöglicht via Logfile-Analyse ein einwilligungsfreies Tracking von Webseitenbesuchern - Tracking ohne Consent- oder Cookie-Banner.
Deutschland-Ticket
2. Mai 2023

Deutschlandticket-Apps: 49€ plus Datenweitergabe an Google und Co. – Deutschlandticket Teil1

Das Deutschlandticket lässt sich digital per App verwalten. Zwei App-Angebote fallen beim Datenschutz durch.
HVV
11. Mai 2023

Hamburger Verkehrsverbund (HVV): Absturzberichte ohne Einwilligung – Deutschlandticket Teil5

Ohne Einwilligung: Die HVV-App übermittelt ungefragt Absturzberichte an Google Crashlytics.
Verkehrsverbund Rhein-Ruhr
8. Mai 2023

Verkehrsverbund Rhein-Ruhr (VRR): Tracking ohne Einwilligung – Deutschlandticket Teil2

Ohne Einwilligung: Unmittelbar nach dem Start übermittelt die VRR-App personenbezogene Daten und Gerätedaten an Adjust und Google.
Weitere Themen
AndroidAuditAutonomieBackupBezahlenBrowserCloudDatenschutzDatensendeverhaltenDigitalpolitikDSGVOE-MailFirewallHackingHärteniOSKuketz-BlogLinuxmacOSMessengerOpenWrtPasswortPentestRaspberryPiRechtSicherheitslückeSicherheitsmaßnahmeTorTrackingTTDSGÜberwachungVerschlüsselungWindowsWordPressXMPP
Diskussion

Ich freue mich auf Deine Beteiligung zum Artikel

HilfeWenn du Ergänzungen oder konkrete Fragen zum Beitrag hast, besuche das offizielle Forum. Dort kann der Beitrag diskutiert werden. Oder besuche den Chat, um dein Anliegen zu besprechen. zur Diskussion ➡

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.