Bahn-App: Bürgerrechtler klagen gegen "DB Schnüffel-Navigator"

Digitalcourage macht ernst und reicht Klage gegen Tracking in der Bahn-App DB Navigator ein. Der Grundversorger müsse die Privatsphäre der Reisenden achten.

Lesezeit: 4 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 53 Beiträge
ICE 4 - Baureihe 412

(Bild: MediaPortal der Deutschen Bahn)

Von
  • Stefan Krempl
Inhaltsverzeichnis

Die Bürgerrechtsorganisation Digitalcourage hat ihre Ankündigung wahr gemacht und am Donnerstag Klage am Landgericht Frankfurt am Main gegen die Deutsche Bahn (DB) wegen mangelnden Datenschutzes in der Reiseauskunfts- und Buchungsapp DB Navigator erhoben. Laut den Aktivisten sei der "DB Schnüffel-Navigator" voll mit Trackern, die Reisende überwachen. Sie verweisen dabei vor allem auf eine Analyse des IT-Sicherheitsforschers Mike Kuketz vom April.

In ihrer Datenschutzerklärung zähle die Bahn insgesamt zehn Dienstleister auf, an die ein Transfer personenbeziehbarer Informationen für den Betrieb der Navigator-App angeblich zwingend erforderlich ist, begründen die Bürgerrechtler den Schritt. Deren Tracker könnten deshalb laut dem Berliner Konzern nicht abgeschaltet werden. Wann und in welchem Umfang tatsächlich Daten an wen übertragen würden, sei für Nutzer nicht feststellbar.

Klar sei aber: "Wird zum Beispiel eine Reiseauskunft angefragt, dann werden unter anderem folgende Informationen an die 'Adobe Marketing Cloud' übermittelt: Anzahl der Reisenden, ob ein Kind mitfährt, Abfahrtstag, Start- und Zielbahnhof." Der US-Konzern erfahre praktisch jeden Schritt, den Nutzer innerhalb des DB Navigators ausführen. Es gebe keine Möglichkeit, dem zu widersprechen.

Laut Digitalcourage gehört Bahnfahren zur Grundversorgung. Das Unternehmen sei daher verpflichtet, seine Dienste so anzubieten, dass sie die Privatsphäre aller Reisenden achte. Für den Abruf von Zugverbindungen in einer Fahrplan-App und die Buchung von Tickets sei die kommerzielle Weiterverwertung personenbezogener Daten nicht unbedingt nötig. Die Bahn wolle sich mit dieser Behauptung nur ihrer Pflicht entziehen, von Nutzern eine informierte Zustimmung einzuholen. Dabei handle es sich um einen klaren Verstoß gegen das Telemediengesetz und die Datenschutz-Grundverordnung (DSGVO).

In der gegen die Frankfurter DB-Vertriebsgesellschaft gerichteten Klage heißt es: Unmittelbar nach dem Start und bevor eine Interaktion mit dem Cookie-Banner der Anwendung erfolgen konnte, "stellte die App mehrere Verbindungen zu Drittanbietern her, die auf die Endeinrichtung des Klägers zugreifen". Dieser habe in diese Praxis, bei der ein Verbindungsaufbau zu Adobe und der zugehörigen Webanalyse-Firma Omniture erfolgt, nicht eingewilligt.

Von dem angefragten Server sei dem Kläger eine eindeutige Kennziffer (ID) zugewiesen worden, heißt es weiter. Ferner" wurde aufgrund des Verbindungsaufbaus ein Cookie auf dem Endgerät des Klägers gesetzt", mit einer Laufzeit von 24 Monaten.

Digitalcourage-Gründungsvorstand Padeluun zweifelt auch an der Behauptung der Bahn, dass zusätzlich nur anonymisierte Daten in der Regel auf einem Server von Optimizely in den USA verarbeitet würden.

Unmittelbar nach Auswahl der Option "Nur erforderliche Cookies zulassen" kommt laut der Klageschrift ein weiterer Beteiligter ins Spiel. Die Bahn habe zu "Analysezwecken" auch einen Google-Service namens "Crashlytics" beauftragt, um offenbar Abstürze und Hänger der App zu analysieren.

Gemäß der Anwaltspartnerschaft Spirit Legal Fuhrmann Hense, die padeluun vertritt, "trägt die Beklagte die volle Beweislast für die Rechtmäßigkeit ihrer Datenverarbeitung". Dies gelte vor allem für die ordnungsgemäße Konfiguration ihrer Systeme gemäß den Grundsätzen von Privacy by Design und by Default nach der DSGVO. Sie sei verpflichtet, "vollständig anhand von Aufzeichnungen und Zeugenaussagen darzulegen", ob und inwieweit sie bereits in der Designphase der App die Einhaltung des Prinzips der Datenminimierung geachtet hat.

"Die Beklagte greift heimlich, ohne den Willen des Klägers oder eine sonstige gesetzliche Gestattung, auf dessen Endeinrichtung zu", um dort Cookies mit IDs zu speichern sowie diese später immer wieder zu nutzen, moniert der zuständige Anwalt Peter Hense.

Den Streitwert beziffert der Anwalt mit 7500 Euro. "Unser Ziel ist es nicht, nützliche Digitalisierung zu verhindern oder zu verbieten", betont Digitalcourage. Anwendungen sollten aber "menschenfreundlich" gestaltet werden. "Ehrliche Apps" sammelten wirklich nur die Daten, die technisch notwendig sind, und verarbeiteten diese "mit größter Sensibilität gegenüber der Privatsphäre der Nutzenden".

Die Bahn hatte die Kritik im Juli als "haltlos" zurückgewiesen. Es flößen "keinerlei Kundendaten an Drittanbieter". Ein Gesprächsangebot habe Digitalcourage nicht angenommen. Die Aktivisten kontern, der Konzern versuche, "die Öffentlichkeit abzulenken". Eingetroffen sei ein Brief, in dem die Bahn detailliert erkläre, "dass sie ihre Trackingpraxis auch weiterhin so beibehalten will". Das Schreiben schließe damit, dass man sich bei Rückfragen beim Konzerndatenschutz melden dürfe: "Das ist keine Einladung zu einem fachlichen Austausch und schon gar kein Wille zu Verbesserungen – sondern ein mauer PR-Kniff."

(mki)