1. VVW Fahrpläne & Tickets
Im Rahmen der Artikelserie »Deutschlandticket« werden einige Apps von Tarif- und Verkehrsverbünden stichprobenartig auf ihr Datensendeverhalten geprüft. Mittels eines Intercepting-Proxys wird das Verhalten der Apps hauptsächlich beim Start analysiert. Es wird geprüft, wohin eine App eine Verbindung aufbaut und welche Daten dabei übermittelt werden. Die Ergebnisse sollen Aufschluss darüber geben, wie datenschutzfreundlich eine App in der Standardkonfiguration ist.
Im vorliegenden Beitrag wird die App VVW Fahrpläne & Tickets analysiert. Die Analyse erfolgt unter Android. Die Ausgangslage für den nachfolgenden Test der App ist wie folgt:
- Betriebssystem: Android 10 (Xiaomi Mi A1)
- App-Version: 6.3.3 (75) (Android)
- Verbreitung: Über 100.000 Downloads (Google Play Store)
- Exodus Privacy: In der Version 6.3.3 (75) (Android) ist 1 Tracker integriert
Nachfolgend wird kurz das Datensendeverhalten der App beleuchtet.
- Deutschlandticket-Apps: 49€ plus Datenweitergabe an Google und Co. – Deutschlandticket Teil1
- Verkehrsverbund Rhein-Ruhr (VRR): Tracking ohne Einwilligung – Deutschlandticket Teil2
- Verkehrsverbund Bremen/Niedersachen (VBN): Tracking ohne Einwilligung – Deutschlandticket Teil3
- Verkehrsverbund Berlin-Brandenburg (VBB): Tracking ohne Einwilligung – Deutschlandticket Teil4
- Hamburger Verkehrsverbund (HVV): Absturzberichte ohne Einwilligung – Deutschlandticket Teil5
- Verkehrsverbund Warnow (VVW): Der Teufel lauert im Detail – Deutschlandticket Teil6
- Rhein-Main-Verkehrsverbund (RMV): Richtig wählen beim Consent-Banner – Deutschlandticket Teil7
2. Datensendeverhalten
Unmittelbar nach dem Start, noch bevor überhaupt eine Interaktion stattfindet, werden die nachfolgenden Verbindungen initiiert:
- Verkehrsverbund Warnow (shop.verkehrsverbund-warnow.de)
Die Verbindung zum Verkehrsverbund Warnow ist vollkommen in Ordnung. Es werden Grafiken, Inhalte, Preise etc. geladen, die für die Funktionserbringung der App erforderlich sind. Ansonsten wird keine weitere Verbindung beim Start aufgebaut. Das ist die erste App in der Reihe »Deutschland-Ticket«, die nicht unmittelbar nach dem Start versagt.
Natürlich gibt es aber auch bei der VVW-App ein paar Punkte zu bemängeln:
- Das Kartenmaterial wird über Google Maps (clients4.google.com) ausgespielt
- Das Deutschlandticket lässt sich nicht direkt innerhalb der App erwerben, sondern man wird auf die Website der VVW weitergeleitet. Dort kann man sich immerhin entscheiden, ob man das Ticket auf Papier oder Digital erhalten möchte
- Bei der Bezahlung ohne Registrierung (Kontoerstellung bei VVW) stehen folgende Zahlungsmittel zur Verfügung:
- Google Pay
- PayPal
- Kreditkarte
- Bezahlung per SEPA steht erst nach einer Registrierung zur Verfügung (vermutlich aufgrund Betrugsprävention)
- Laut Datenschutzerklärung werden beim Erwerb von Tickets unter anderem auch folgende Daten erhoben:
- ggf. die MAC-Adresse für WLAN-Nutzung
- die Mobilfunknummer des anfragenden Endgerätes (MSISDN)
- die Gerätekennzeichnung, eindeutige Nummer des anfragenden Endgerätes (IMEI = International Mobile Equipment Identity),
- die eindeutige Nummer des Netzteilnehmers (IMSI = International Mobile Subscriber Identity)
Immerhin verzichtet die App auf Tracking/Analyse und weitestgehend auf Endgerätezugriffe, die nicht »unbedingt erforderlich« sind. Weshalb nur weitestgehend? Weil die Abfrage und Übermittlung der Mobilfunknummer/IMEI/IMSI an den Auftragsverarbeiter EOS UPTRADE GmbH diskussionswürdig ist. Keine der genannten Zwecke mag so recht zur Übermittlung dieser personenbezogenen Daten passen:
- Gewährleistung eines reibungslosen Verbindungsaufbaus und Bereitstellung des Mobile Ticketings,
- Gewährleistung einer komfortablen Nutzung des Mobile Ticketings,
- Erfüllung unseres Vertrages gegenüber dem Kunden (Erstellung der Tickets, Abrechnung, Leistungserbringung durch das Verkehrsunternehmen),
- Gewährleistung und Auswertung der Systemsicherheit und -stabilität sowie
- anonymisiert zu weiteren administrativen Zwecken.
Der Kuketz-Blog ist spendenfinanziert!
Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.
Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.
3. Fazit
In der aktuell vorliegenden Version entspricht die App (nicht die Website) des VVW nach meiner Einschätzung den gesetzlichen Anforderungen an das TTDSG. Ob auch die Anforderungen an die DSGVO erfüllt werden, ist erst nach einer tiefergehenden Analyse bzw. Auseinandersetzung mit der Datenschutzerklärung zu beantworten – die ich im vorliegenden Beitrag nicht leiste. Aus Sicht des Datensendeverhaltens gibt es außer der Verbindung zu Google Maps jedenfalls nichts zu beanstanden.
Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:
Ich freue mich auf Deine Beteiligung zum Artikel
Wenn du Ergänzungen oder konkrete Fragen zum Beitrag hast, besuche das offizielle Forum. Dort kann der Beitrag diskutiert werden. Oder besuche den Chat, um dein Anliegen zu besprechen. zur Diskussion ➡Abschließender Hinweis
Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.