Eigentlich sollte die Deutsche Bahn Züge von einem Ort zum anderen schicken und Personen befördern. Das tut sie mehr schlecht als recht, aber immerhin. Dafür bezahlen die beförderten Personen sie. Nun scheint das Unternehmen aber auch gerne noch ein paar Daten mehr über seine Kunden haben zu wollen.
Ich fahre sehr gerne mit der Bahn. Ich war zwar nie ein Junge, der staunend vor Zügen stand und Lokführer werden wollte und ich bin auch keiner dieser vielen Fotografen, die Trainspotting betreiben, aber ich schätze die unkomplizierte Art des Reisens. Kein anstrengendes Fliegen von irgendwelchen abgelegenen Flughäfen mit irrsinnigen Vorlaufzeiten, kein nerviges Auto, das einen Parkplatz braucht und horrende Fixkosten pro Jahr verursacht. Von der positiven Klimabilanz, die Zugfahren hat mal ganz zu schweigen. Wenn es geht fahre ich sogar mit dem Zug in den Urlaub. Wien, Roma, Paris, Warschau, Posen – ein Flugzeit habe ich dafür bisher nicht gebraucht. Als Pendler zwischen zwei Orten fahre ich zudem wirklich viel Bahn und bin zwangsläufig ein ziemlich guter Kunde.
Seit einiger Zeit wunderte ich mich bei Blokada über massive Aufrufe an optimizely.com, die ich mir nicht erklären konnte. Diese werden natürlich blockiert, aber ich möchte trotzdem wissen, welche Apps dafür verantwortlich ist. Allzu viele proprietäre Apps können dafür nicht infrage kommen, weil das meiste auf meinem Smartphone von F-Droid stammt. Der Einfachheit halber habe ich alles deinstalliert und wieder neu installiert und nebenbei Blokada im Blick behalten, bis ich den Übeltäter hatte: Der DB Navigator.
Grundsätzlich finde ich die Erhebung von Nutzungsdaten nachvollziehbar, um das Angebot zu verbessern. Leser dieses Blogs wissen, dass ich da kein Dogmatiker bin. Aber diese Erhebung muss Opt-in oder wenigstens Opt-out basiert erfolgen. Bisher war das bei der Bahn auch so und man konnte die Analyse im DB Navigator per Opt-out abwählen.
Neuerdings fragt der DB Navigator beim Start ab, welche Cookies man zulassen möchte. Dabei handelt es sich um die gleiche Abfrage wie auf der Webseite, aber mit dem Unterschied, dass die App teilweise im Hintergrund läuft und häufige Verbindungsversuche unternimmt. Zudem greifen bei Apps nicht die normalen Standardmittel wie ein leistungsstarker Blocker, den inzwischen die meisten Anwender nutzen. Ein systemweites Blockieren von solchen Abfragen, beispielsweise über Blokada übersteigt den in Deutschland üblichen Selbstdatenschutz. Das Grundproblem trifft aber ebenso auf die Webseite der Bahn zu.
Wie es sich gehört, gibt es mehrere Kategorien und natürlich wähle ich nur die absolut essenziellen Cookies aus bzw. kann die Voreinstellung auch nicht ändern. Dabei ist es sehr erstaunlich, was nach Meinung der Bahn so alles absolut notwendig ist. Folgende Drittanbieter-Cookies werden als unbedingt erforderlich betrachtet:
Unbedingt erforderlich ist nach Ansicht der Bahn scheinbar:
- Adobe Analytics
- CrossEngage
- DB Systel GmbH
- DB Vertrieb GmbH
- Easy Marketing GmbH
- Institution Machines GmbH
- Optimizely
- Qualtrics
- Tealium Inc.
- Verint Systems GmbH
Unbedingt erforderlich sind meiner Meinung nach die anderen Tochterfirmen der Bahn, denn man kann bei einem verzweigten Konzern meistens nicht ohne internen Datenaustausch arbeiten. Da muss man realistisch bleiben. Dazu gehören aber ganz sicher keine Analyse-Firmen wie Adobe Analytics oder Optimizely mit Sitz in den USA.
Die Bahn ist ein Mobilitätsunternehmen. Ich zahle mit meiner BahnCard eine stattliche Summe im Abo pro Jahr, damit ich preiswertere FlexTickets nutzen kann. Als Pendler zu den Stoßzeiten am Freitagabend und Sonntagabend bleibt einem da auch kaum was anderes übrig. Hinzu kommen die vielen, vielen Fahrten. Von einem solchen Unternehmen erwarte ich, dass es nicht noch zusätzlich massenhaft Daten über mich erhebt und mit Dritten teilt.
Es steht leider zu befürchten, dass die im DB Navigator gesammelten Daten nur die Spitze des Eisbergs sind. Es fallen schließlich im Hintergrund noch genug weitere Daten an.
Entsprechende Beschwerden an den Datenschutzbeauftragten der Bahn und die zuständige Aufsichtsbehörde gehen raus, aber viel Hoffnungen mache ich mir da leider nicht. Die Aufsichtsbehörden sind in allen Bundesländern zu schlecht ausgestattet, um so etwas wirklich nachzugehen.
Nachtrag:
Wenigstens antwortet die entsprechende Stelle bei der Bahn rasch. Das muss man schon positiv hervorheben. Die Antwort und damit die Position der Bahn zu den beschriebenen Methoden lautet wie folgt:
[…]Die aufgeführten Firmen bieten nicht nur Tracking-Dienstleistungen an sondern vermieten auch Technologien zur Datenverarbeitung. Diese Technologien sind weit ausgereift und werde deshalb von uns für unsere eigenen Zwecke genutzt. Wir beziehen nicht die Trackingergebnisse, die diese Firmen im Rahmen ihrer anderen Dienstleistung ggf. auf anderen Webseiten dieser Welt einsammeln. Wir haben die Technologien so verbaut, dass alle Daten in unserer Verfügung verbleiben und nicht in die Tracking-Dienstleistung dieser Firmen einfließen können. Die Cookies sind first-party auf bahn.de bezogen, so dass sie niemand anderes als bahn.de verwenden kann. Das befürchtete webseitenübergreifende Nachverfolgen ist mit diesen Cookies nicht möglich. Für unsere eigenen Zwecke sind die gewonnen Erkenntnisse hingegen wichtig, um Millionen von bahn.de- und DB-Navigator-Nutzern gleichzeitig eine Vielzahl von Informationen sachgerecht bereitstellen zu können. Deshalb sind die betreffenden Cookies und Technologien erforderlich. Wenn wir die Technologien nicht von diesen Technologieanbietern mieten würden, müssten wir sie aufwändig selbst entwickeln. Die Firmen sind alle in Übereinstimmung mit Art.28 DSGVO vertraglich gebunden und betreiben für uns separate Datenbanken.[…]
Antwort E-Mail vom 19.07.2021
Ich kann diesen Schlussfolgerungen nicht ganz folgen, denn die Analyse der Kunden ist meiner Meinung nach nicht technisch notwendig. First-Party hin oder her. Die Drittanbieterverbindungen mit Auftragsverarbeitung zu rechtfertigen ist gängig, aber Papier ist geduldig und sind die Daten erst mal aus den eigenen Rechenzentren abgeflossen und sogar noch in einem Drittland wie den USA gelandet, darf man durchaus Zweifel haben, ob europäisches Datenschutzniveau auch tatsächlich gewährleistet ist. Da ist es meiner Ansicht nach auch egal, ob die Cookies nun „first-Party-bezogen“ sind, denn die Verbindungen zu den entsprechenden Dienstleistern habe ich ja trotzdem.
Ein Weiterverfolgen dieser Sache erscheint mir aber sinnlos. Es ist wieder ein Beispiel dafür, dass wir die e-Privacy-Verordnung brauchen, um solche Sachverhalte eindeutig zu klären.
Nachtrag vom 08.09.2021
Präzisierung der Bewertung im letzten Absatz.
Da stimme ich voll und ganz zu! Obendrein handelst es sich noch um ein Monopol Unternehmen im Besitz des Staates. Gruselig. Blokada hilft da, und Netguard auch.
Ich habe letztes Jahr einen neuen Firmenwagen bekommen. VW Touran, nix dolles. Die wollten mit aller Macht, dass ich das Auto mit einer SIM Karte ausstatte und mein Bewegungsprofil vollumfänglich mit VW teile…ich frage mich, wofür die das wohl brauchen!? Ach ja, zu meinen Vorteil natürlich: Wenn ich mal einen schweren Unfall habe, dann wird das System automatisch den Krankenwagen rufen. Allen Ernstes!
Natürlich habe ich den Mann ausgelacht. Aber noch heute, wenn mir das System vorschlägt, ich solle mal tanken, dann will es angeblich nach Tankstellen nur suchen können, wenn ich mit dem Internet verbunden bin. Wegen der vielen Pop-Up Tankstellen vielleicht, die in keiner Karte verzeichnet sind. Ich glaube, die halten uns alle vür blööt.
Grüße aus Berlin
-Marcus
Das Datum der E-Mail-Antwort wäre zu korrigieren: „Antwort E-Mail vom 19.08.2021“ -> „Antwort E-Mail vom 19.07.2021“
Danke!
„Die Drittanbieterverbindungen mit Auftragsverarbeitung zu rechtfertigen ist gängig, aber Papier ist geduldig…“ ist keine sehr hilfreiche Bewertung, sondern gehört in den Bereich der Verdächtigungen. Tagtäglich verlassen sich alle auf die Einhaltung von Gesetzen, Verordnungen, Regeln, Verträgen, weil sie „auf Papier“ geschrieben und mit Rechtsmittels durchsetzbar sind. Oder soll das alles in Frage stehen, weil Papier ja geduldig ist?
Das ist keine Verdächtigung, sondern Fakt. Am besten geschützt sind solche Daten, die man gar nicht erst erhebt. Daten, die aus den eigenen Rechenzentren abgeflossen sind, entziehen sich zwangsläufig der eigenen Kontrolle, sondern werden durch den Dienstleister kontrolliert. Verträge ersetzen nicht die direkte Kontrolle, sondern sie minimieren das Risiko (bzw. wälzen es auf den Dienstleister ab). Minimierung bedeutet nicht, dass es kein Risiko gibt.
Ahhh, alles klar. Schön, dass Sie wohl immer bar mit Geld aus der Lohntüte bezahlen können, die Sie jeden Monat in die Hand bekommen, Ihre Webseite mit Hammer und Meißel bedienen können und auch sonst in der Position sind, dass nirgends Ihre Daten verarbeitet werden von Einrichtungen des täglichen Lebens, die dann wieder Dienstleister nutzen, von denen Sie aber nie etwas erfahren. Alle Sie betreffenden Datenvorgänge können von Ihnen kontrolliert werden? Sie sind echt ein Glückspilz! Dann ist ein DB Navigator für Sie natürlich schwer zu akzeptieren.
Ein anschauliches Beispiel für ausgehende Argumente.
Es gibt einen Unterschied in der Erhebung von notwendigen Daten für die Erbringung eines Dienstes und solchen, die eben nicht notwendig sind, um den Dienst zu erbringen. Das habe ich mir nicht selbst ausgedacht, sondern ist so vom Gesetzgeber vorgesehen. Letztere sollten nach dem Prinzip der Datensparsamkeit einfach gar nicht erhoben werden und wenn das Unternehmen es dennoch möchte, muss es um Einwilligung bitten. Das tut die Bahn meiner Meinung nach nicht ausreichend, weil ich als Kunde die Einwilligung nicht verweigern kann. Ob das legal ist, wird man sehen, irgendwann werden die Aufsichtsbehörden sich dazu verhalten müssen. Die Bahn ist da bei Weitem nicht der einzige Problemfall. An der Rechtmäßigkeit habe aber nicht nur ich meine Zweifel.
Aber hauptsache mal ein paar Nebelkerzen geworfen, oder?