DB Navigator: Klage gegen die Bahn eingereicht
von caschy | 35 Kommentare
Die Deutsche Bahn hatte im Juli Kritik aufgrund der App DB Navigator bekommen. Vorwürfe kamen unter anderem vom Datenschutzverein Digitalcourage. Die warfen der App Datensammelei und deren Weitergabe vor. Schon damals stand das Wort „Klage“ im Raum. Die Bahn teilte damals mit, dass die Kritik haltlos sei. Bei der Nutzung des DB Navigator fließen keinerlei Kundendaten an Drittanbieter, so die Bahn. Alle Dienstleister, mit der die DB beim DB Navigator zusammenarbeitet, sind vertraglich gebunden, handeln nicht in eigenem Interesse und streng nach Weisung der DB und sind laut Ansicht der Bahn deshalb nicht Dritte im Sinne der DSGVO. Nun hat der Datenschutzverein Digitalcourage Klage eingereicht, weil man der Meinung ist, die Bahn-App verstoße gegen geltendes Recht.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Und da beschwert sich noch einer, dass wir in D. bei der Digitalisierung nicht weiterkommen.
Das klingt ja so, als würde die Digitalisierung nicht funktionieren, wenn man die Privatsphäre der Nutzer beachtet. das ist ja der übliche Spruch der CDU/CSU.
Wo genau steht in diesem Beispiel denn die Privatsphäre der Nutzer der Digitalisierung der Bahn im Wege?
Da die App vermutlich so zusammengestutzt wird (werden muss), dass sie in der Praxis keiner mehr nutzt. Weil ja „nichts richtig funktioniert“. Wir werden sehen.
Was soll denn genau nicht funktionieren wenn keine Tracker eingebunden werden? Das Tracking?
Der Einwand von Digitalcourage ist berechtigt.
Ach das sind doch Gerüchte. .. und völlig unplausibel. Hier’s der Scan der app: reports.exodus-privacy.eu.org/de/reports/de.hafas.android.db/latest/
Dort listen sie: Google CrashLytics / Google Firebase Analytics / Optimizely / Qualtrics / Tealium
Was für Funktionen glaubst du, können sie nicht mehr anbieten, wenn sie diese Tracker rausnehmen?
Warum braucht man Tracker um eine funktionierende App zu bauen?
Du benötigst ja auch keine Werbecookies um eine funktionierende Webseite zu bauen…
Datenschutz sollte eine Selbstverständlichkeit sein und nicht vorgeschoben werden wenn man bei der Digitalisierung versagt.
Schwieriges Thema. Jeder Nutzer möchte eine optimal angepasste und stabile App. Dazu sind ein gewisses Maß an Daten fast unumgänglich. Natürlich kann das auch anonymisiert /pseudonymisiert ablaufen und darauf sollte meiner Meinung nach der Fokus liegen.
Ich finde das wir durch den Datenschutz-Fokus in Deutschland mittlerweile einen gigantischen weltweiten Wettbewerbsnachteil haben. Das wird auch im Themenbereich Digitalisierung immer ersichtlicher. Da wird von Lehrern erwartet, dass sie DevOPs und DSGVO Experten sind, damit nicht das böse MS Teams eingesetzt wird.
Alle anderen kaufen die relevanten Dienste dann einfach im Ausland ein, da dort die Bestimmungen bei der Entwicklung nicht so streng sind oder man rettet sich in Privacy-Shield Grauzonen. Überlegt doch einmal kurz wie die IT Welt in Deutschland aussehen würde, wenn man morgen alle US Unternehmen verbieten würden, die hier als „Datenkraken oder nicht DSGVO konform“ gelten. Der durchschnittliche App-Nutzer möchte sich halt nicht mit der Magenta Cloud beschäftigen und einen Raspberry Pi mit eigener Cloud aufsetzen.
Datenschutz muss man sich zukünftig als Wirtschafts-Standort auch leisten können, denn wir befinden uns im globalen Wettbewerb. Ein deutsches Startup kann eine App garantiert nicht so verzögert und finanziell verschwenderisch auf den Markt bringen, wie wir es bei der Corona Warn-App gesehen haben. Von zukünftigen Tech-Bereichen wie AI und den dort benötigten Trainings-Daten will ich gar nicht anfangen…
Wir haben einen gigantischen Standortvorteil mit unserem Verständnis für Privatsphäre, obwohl es selbst damit nicht halb so weit her ist, wie wir immer behaupten.
Deine DSGVO ist ein Witz. … Da haben sie um viele nützliche Regelungen im Sinne der Privatsphäre drum Rum reguliert. ..stattdessen Quatsch beschlossen. 😀
Zunächst verstehe ich nicht, wieso Du den Fokus auf Deutschland legst, es heißt nicht umsonst EU-DSGVO, was bedeutet, dass sie a) in der gesamten EU gilt und b) geltendes Recht ist.
Also gibt es gar nicht Option „mehr oder weniger Datenschutz“ zu berücksichtigen, sondern es ist eine unverhandelbare rechtliche Pflicht.
Der Schutz personenbezogener Daten sollte auch nicht für vermeintliche Wettbewerbsnachteile auf’s Spiel gesetzt werden, denn er ist eine Errungenschaften, für der man der EU wirklich dankbar sein sollte, denn gerade die Leute, die aus Bequemlichkeit die Dienste der US-Unternehmen nutzen möchten, müssen vor genau diesen Unternehmen geschützt werden, die keinen Pfifferling auf Datenschutz legen und die Bürgerinnen und Bürger mittels immer ausgefeilter Tracking- und AI-Techniken nackig machen und genauere Profile erstellen, als es die Stasi jemals konnte und damit Milliarden machen.
Das Recht auf informationelle Selbstbestimmung ist in diesem Land ein Grundrecht, das respektiert und nicht verkauft gehört!
Das bedeutet ganz sicher nicht, dass jeder einen Raspberry Pi benötigt, auch wenn die die Idee charmant wäre, aber wer seine Dienstleistungen und Apps in Europa anbieten möchte, hat sich halt an Regeln zu halten, die durchgesetzt gehören.
Ich erinnere auch daran, dass sich beim Thema Datenschutz nicht nur regelungswütige Verhinderer austoben, auch ein Tim Cook lobt die europäischen Maßstäbe: https://www.heise.de/news/Tim-Cook-Datenschutz-genauso-dringlich-wie-Kampf-gegen-Klimawandel-5040899.html
Das Problem bei der DSGVO ist und bleibt aber die konkrete Auslegung des Rechts. Dies hat in der Vergangenheit zu viel Verunsicherung geführt.
Bestes Beispiel „private Blogs“: Dort war und ist die Verunsicherung so groß, dass nicht wenige Blogs zu US Anbietern wie Medium gewechselt sind, weil sie die rechtliche Unsicherheit zu Teilen abgeben können … „wieviel /welche Cookie Banner muss ich einblenden und was ist davon optional?“ „Darf ich Fonts noch per CDN nutzen?“ „Darf ich einen Anbieter wie Cloudflare einsetzen?“
Dann gibt es immer wieder den Streitpunkt des „berechtigten Interesses“. Um auf Apps zurück zu kommen: „Die anonymisierte Erfassung von Crashdaten“ ist meiner Meinung nach ein „berechtigtes Interesse“, um die App stabil und sicher zu machen. Einige Hardcore Datenschützer würden das sicherlich anders sehen.
An der Diskussion zu Privacy Shield (oder wie es aktuell heisst) sieht man doch, dass man auf europäischer Ebene genau weiss, was es bedeuten würden, die DSGVO wirklich bei US Unternehmen durchzusetzen. Nun gibt es halt „Zusatzverträge“, die wieder Zeit schinden, bis der / die nächste klagt. Wenn morgen die US Cloud und Dienste wegfallen würden, wäre Europa in der IT Steinzeit. Und solange keine parallele Förderung der „Wunschvorstellung auf europäischer Ebene“ stattfindet, wird sich auch nichts ändern. Denn aktuell ist eine europäische Alternative oftmals in Umfang und Preis deutlich unattraktiver.
Ich weiss nicht wie förderlich das für die Datensicherheit ist, wenn nun jeder Lehrer anfängt am Wochenende irgendein „Open-Source Zoom“ aufzusetzen. Ohne sich mit IT-Sicherheit und co zu beschäftigen.
Es reicht halt nicht einfach die DSGVO auf den Tisch zu werfen, sondern es müssen auf europäischer Ebene auch attraktive Rahmenbedingungen geschaffen werden, diese umzusetzen. Und das geht meiner Meinung nach nicht nur mit Verboten.
Und zu Apple: Ich denke das Privacy dort gerade DAS Werbemittel ist. Von daher sollten wir solche Aussagen auch entsprechend einordnen.
„Die anonymisierte Erfassung von Crashdaten“ ist meiner Meinung nach ein „berechtigtes Interesse““
Wenn Unternehmen grundsätzlich und immer (zumindest im EU-Raum) damit ansetzen würden, wären wir schon einige Schritte weiter. Die DB App ist dafür allerdings ein schlechtes Beispiel: alleine Crashalytics sammelt jede Menge Daten, deren Anonymisierung nicht großartig sind. Deie Nutzungsbedinungen der Software verlangen im Übrigem,
dass man dem Nutzer eine „privacy policy“ einbaut, die ihn auf die Zusammenarbeit
mit „Dritten“ hinweist – wenn sonst niemand, nämlich Crashalytics selbst.
Das ist genau das, was die DB leugnet….
Während also, wie du durchaus zu recht monierst, die DSVGO für Einzelne und kleine Betreiber relativ undurchsichtig und kompliziert daherkommt, hält es ein großer Konzern
nicht mal für nötig, sich die Nutzungsbedinungen der Software durchzulesen, die in
seiner App eingebaut sind. Von daher, die Klage voll verdient, würde ich sagen.
Da muss überhaupt nichts „zusammengestutzt“ werden. Die müssen nur ihre Tracker aus der App entfernen. Die Tracker sind für die (sehr überschaubare) Funktion des DB Navigators gar nicht nötig. Das ist nicht zu verwechseln mit der Standortbestimmung, falls du das meinst.
Das Adobe Netzwerk braucht man in keinster Weise für irgendwelche Funktionen der App. Das ist nur für Werbeanalys und Tracking da
Wann immer irgendjemand sagt, etwas ginge nicht „wegen dem Datenschutz“, dann kann man sich sicher sein: Es liegt nicht am Datenschutz.
So ist es.
Wenn man dann nachhakt, kommt oft nichts mehr.
Etwas konkreter als „geht nicht wegen dem Datenschutz“ darf es bei diesem wichtigen Thema aber schon sein.
Digitalisierung hat rein gar nichts mit Datenschutz und Datensicherheit zu tun! OpenStreetMaps funktioniert auch ohne deine Daten zu speichern, zu sammeln und weiterzugeben. Entweder werden die Daten anonymisiert oder einfach nicht gesammelt. AppleMaps, GoogleMaps und co. tun das nicht. Warum wohl? Weil die deine Daten verkaufen, Händler sich da einkaufen können usw. Technik ist da gar kein Argument, das ist eine Einnahmequelle. Und die braucht die Bahn nicht, denn im Zweifel zahlt der Bund. Und staatlich regulierte Unternehmen die Daten sammeln sind sehr heikel.
Die App würde auch ohne Tracking und Datenübermittlung an Adobe, Google etc…. funktionieren. Einfach mal mit der ganzen Geschichte auseinandersetzen 😉
Diese Bemerkung finde ich unangebracht. Meinst Du nicht auch, dass man als Deutsche Bahn seinen Kunden eine digitale Dienstleistung anbieten kann bzw. sogar muss, ohne die App mit Tracking-Diensten vollzupumpen, um die gewonnenen personenbezogene Daten – für die Nutzenden intransparent – in den USA zu verarbeiten?
Ich halte das für wichtig und richtig. Es ist – aus irgendeinem Grund – total normal geworden, alles an Daten abzugreifen, was man in die Hände bekommt.
Dann behauptet man auch, dass die Daten selbstverständlich sicher seien – man hätte ja Verträge.
Dabei weiß man doch ganz genau, dass sich die Dienstleister nicht wirklich um Privatsphäre kümmern.
Es darf einfach nicht normal sein, dass solche Daten einfach so abgegriffen werden.
Naja jetzt erstmal abwarten was dabei rauskommt. Ich kann mir nicht vorstellen, dass die Bahn es auf ein solches Verfahren ankommen lässt ohne sich zu 99,9% sicher zu sein, dass sie im Recht sind und der DSGVO genüge getan wird.
Oder dahinter ein „schlauer“ Winkeladvokat steht, der das große Geld wittert – wen sich 2 vor Gericht streiten, bekommt
a) keiner Recht, sondern ein Urteil und
b) gewinnt immer der Rechtsanwalt
Da ich den Fall auch auf dem Kulezki-Blog verfolge und dort die ganzen Tracker-Daten analysiert wurden, gehe ich davon aus, dass die Bahn da tatsächlich schlechte Karten hat und der Anwalt der Bahn da einfach ein langfristig gesichertes Honorar sieht – der muss in DE nämlich immer und anhand des Streitwerts bezahlt werden, egal ob das Ergebnis vor Gericht vom Richter ein Urteil oder ein eingegangener Vergleich ist …
Der Blog heißt Kuketz
Und dessen Analysen nebst der Erklärung der DB sollte man sich tatsächlich Mal ganz in Ruhe durchlesen.
Ähnlich wie hier der ein oder andere Kommentator hat die Bahn dort auch „argumentiert“.
Meiner Meinung nach hat die Bahn ziemlich schlechte Karten, nachzuweisen, dass ihre App ohne die vielen Tracker nicht funktionieren würde…… und den Beweis müsste sie führen. Und der Kläger wird sicher Unterstützung durch wirkliche Experten wie Kuketz bekommen.
Da kann Deutschland zeigen, was ihnen das Gewäsch von Datenschutz und Datensparsamkeit wirklich wert ist.
Nein, vor Gericht muss immer noch primär der Kläger nachweisen, dass der Angeklagte schuldhaft ist.
Klar, wenn ich mir eine Umgebung schaffe, in der ich darauf angewiesen bin, dass bestimmte Dinge nur funktionieren, wenn man sie an Google und Adobe weitergibt, dann funktioniert die Software in dem Sinne sonst nicht.
In dem Punkt mit der beschränkten Sicht hätte man dann recht.
Trotzdem liegt die Beweislast bei der Bahn: Die ist nämlich zur Datensparsamkeit verpflichtet. Und alles, was nicht möglichst datensparsam gebaut ist, hat sie schon bei der Erstellung zu argumentieren – beispielsweise mit einer Datenschutz-Folgeabschätzung. Solche Papiere bleiben in der Regel für immer in der Schublade, sind aber genau für so einen Fall interessant.
Und da muss drin stehen: wieso senden wir Daten der User an Google und Adobe – selbst wenn sich die User ausdrücklich dagegen entscheiden? Und warum haben wir keine der vorhandenen Alternativen gewählt?
In diesem Fall ist wohl offensichtlich, dass die DB in Ihrer App Tracker einsetzt.
„Schön“ wäre es ja schon, wenn die Daten „nur“ abgegriffen werden, aber nein, der Gipfel der Unverschämtheit ist es doch heutzutage, wirklich alles an Daten mitzuschneiden und dann auch noch an x-beliebige Firmen INS AUSLAND zu transferieren. Und dann auch noch rotzfrech zu behaupten, ohne diese Weitergabe der Daten würde der DB Navigator nicht funktionieren…
Und auf einmal sind wir alle wieder Fußballtrainer, die es besser wissen.
Die Tracker dienen nur zu einem Zweck. Zum „Geld verdienen“ in den man personenbezogenen Daten erfasst und auswertet um daraus „irgendeinen“ Mehrwert für Werbezwecke zu generieren. Zum kauf der „Fahrkarte“ ist das nicht erforderlich.
Und warum die Daten an eine ausländische Firma übermittelt werden müssen, erschließt sich auch nicht.
Ah ja, wir sollen also besser mal „denen da oben“ das denken überlassen, die wissen schon, was sie tun, ne? Nur weil Du es offenbar nicht besser weißt, solltest Du vielleicht nicht über andere urteilen.
Vermutlich.
„Da die App vermutlich so zusammengestutzt wird (werden muss), dass sie in der Praxis keiner mehr nutzt.“
Dominik, wieso argumentierst du auf diese Art?
Ziel deines Kommentars kann doch nur sein, die Glaubwürdigkeit des Vorposters zu unterwandern – ohne sachlich auf seinen Kommentar einzugehen.
„Deutschland klagt an!“ – finde es super, dass es eine Welle von einzelne nPrivatpersonen gibt, die sich dazu entschließen gewisse Konzerne, Firmen und auch Politiker anzuzeigen. Es gibt vieles, dass sich in diesem Land ändern muss und es wird ja immer vergessen, dass man als Bürger mehr Rechte hat als genutzt werden. Ich finds super! Bitte weiter so.
Tracker sind die Pest des Internets!
Der IT-Sicherheitsexperte Mike Kuketz hat die DB Navigator App ausführlichen Tests unterzogen und dabei festgestellt, dass selbst bei der privatsphärefreundlichsten Einstellung des Anwenders Daten zu Analyse- und Marketingzwecken weitergeleitet werden. Man habe die DB um eine Stellungnahme gebeten, aber diese wiegelt ab und beharrte auf ihrem Standpunkt, es sei alles konform.
Quelle: https://www.kuketz-blog.de/deutsche-bahn-wir-reichen-klage-ein-klageschrift-oeffentlich/
Bei Mike Kuketz kann man alles Nachlesen.
https://www.kuketz-blog.de/db-navigator-ein-fall-fuer-die-datenschutz-aufsichtsbehoerde/
https://www.kuketz-blog.de/db-navigator-offener-brief-an-die-deutsche-bahn/
https://www.kuketz-blog.de/db-navigator-erneute-technische-pruefung-und-vorbereitung-der-klage/