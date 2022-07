Was geschieht mit den Nutzerdaten der beliebten App „DB Navigator“? Die Bahn vermeidet die offene Auskunft. Jetzt kündigen Datenschützer eine Klage gegen den Konzern an.

Digitale Tickets, Fahrtauskünfte mit Echtzeitinfos, Schnellbuchungen: Das Angebot der „DB Navigator“-App ist groß und für eine Bahnreise innerhalb Deutschlands kaum verzichtbar. Im Google Playstore wurde die App bereits über zehn Millionen Mal heruntergeladen, im Apple App Store ist sie auf Platz eins unter der Kategorie Reisen.

Eine Analyse der App DB Navigator durch den IT-Sicherheitsexperten Mike Kuketz ließ erhebliche Datenschutzprobleme erkennen. Jetzt will Kuketz zusammen mit dem Verein Digitalcourage und dem auf IT- und Datenschutzrecht spezialisierten Rechtsanwalt Peter Hense eine Klage gegen den DB-Konzern in die Wege leiten: „Uns geht es vor allem darum, dass man sich an die Gesetze hält und nicht versucht, irgendwelche Schlupflöcher auszunutzen“, sagen sie.

Schon seit einigen Jahren überprüft Kuketz vor allem diejenigen Apps, die von vielen Nutzern installiert werden, denn dort findet er die Überprüfung des Datenschutzes besonders wichtig. Im April hatte er den „DB Navigator“ unter die Lupe genommen, geguckt, zu welchen Servern die App Kontakt aufnimmt, welche Informationen übersendet werden, und so die Datenflüsse analysiert. Das Problem hierbei: „Die App ist eine Art Blackbox. Wir wissen nur, dass Daten übermittelt werden, aber was mit den Daten letztlich geschieht, darin haben wir keinen Einblick“, erklärt Kuketz im Gespräch mit der Frankfurter Allgemeinen Zeitung.

Doch wie werden die Daten der Nutzer weitergegeben? Wie bei jeder anderen App auch können Nutzer bestimmen, ob sie „alle Cookies zulassen“, oder nur die „erforderlichen“ auswählen wollen. Die Analyse von Kuketz zeigt, dass auch bei der datenschutzfreundlichen Beschränkung auf „erforderliche“ Cookies der DB Navigator einer erheblichen Anzahl an Trackern erlaubt, die Daten der Nutzer an Dritte zu übermitteln. Dabei gibt die App dem Nutzer aber nicht die Möglichkeit, die Weitergabe von Daten abzulehnen, sie fragt auch nicht explizit nach seiner Einwilligung. Auch die Zwecke der Datenvermittlung werden nicht transparent gemacht. Der IT-Experte Kuketz und der Rechtsanwalt Hense kommen zu dem Ergebnis: Die gegenwärtig angebotene Konfiguration ist rechtswidrig.

„Verarbeitet werden dabei keine identifizierenden personenbezogenen Informationen“

Kuketz sagt im Gespräch mit der F.A.Z. zwar deutlich, dass die Nutzung von Trackern bei Apps erst einmal nicht ungewöhnlich sei. Dies sei auch nicht der Kritikpunkt am DB Navigator. Denn Tracker haben verschiedene Aufgaben.

So analysieren manche Nutzerprofile, speichern also, in welchem Umfang eine App genutzt wird und was Nutzer häufig anklicken – dadurch kann dann beispielsweise personenbezogene Werbung geschaltet werden. Tracker sind auch dazu da, Abstürze der App festzuhalten, erklärt Kuketz weiter. Es sei gut möglich, dass die Bahn die Daten an Dritte übermittelt, um strategische Marktanalysen durchzuführen, doch wissen könne man das durch die Angaben der DB nicht. Das problematische dabei: „Als Nutzer habe ich nicht die Möglichkeit, dieser Datenverarbeitung zu widersprechen. Wir wissen auch nicht, was mit den Daten passiert.“ Denn darüber gibt der DB Navigator selbst keine Auskunft, was ihn – wie jede andere App übrigens auch – zu einer Blackbox macht. Selbst, ob die Daten an Dritte verkauft werden, sei durch die Intransparenz der Datenschutzerklärung unklar.

Mehr zum Thema 1/

In einer Presseerklärung nennt die Deutsche Bahn die Kritik des Vereins Digitalcourage „haltlos“. Zur Datenverarbeitung durch Tracker, die auch bei der Einstellung „erforderlich“ zum Einsatz kommen, heißt es: „Verarbeitet werden dabei keine identifizierenden personenbezogenen Informationen, sondern nur pseudonymisierte Daten, die sich für den einzelnen Anbieter isoliert als anonyme Dateninhalte darstellen. Keiner der Anbieter ist in der Lage, die Daten an anderer Stelle oder gar zu eigenen Marketingzwecken einzusetzen.“ Auf die Kritik, dass Kunden der DB App die Datenweitergabe nicht ablehnen können und die Zwecke des Trackings nirgendwo offen aufgelistet werden, reagiert die DB in ihrem Statement nicht.