Eigentlich sollte die Deutsche Bahn Züge von einem Ort zum anderen schicken und Personen befördern. Das tut sie mehr schlecht als recht, aber immerhin. Dafür bezahlen die beförderten Personen sie. Nun scheint das Unternehmen aber auch gerne noch ein paar Daten mehr über seine Kunden haben zu wollen.

Ich fahre sehr gerne mit der Bahn. Ich war zwar nie ein Junge, der staunend vor Zügen stand und Lokführer werden wollte und ich bin auch keiner dieser vielen Fotografen, die Trainspotting betreiben, aber ich schätze die unkomplizierte Art des Reisens. Kein anstrengendes Fliegen von irgendwelchen abgelegenen Flughäfen mit irrsinnigen Vorlaufzeiten, kein nerviges Auto, das einen Parkplatz braucht und horrende Fixkosten pro Jahr verursacht. Von der positiven Klimabilanz, die Zugfahren hat mal ganz zu schweigen. Wenn es geht fahre ich sogar mit dem Zug in den Urlaub. Wien, Roma, Paris, Warschau, Posen – ein Flugzeit habe ich dafür bisher nicht gebraucht. Als Pendler zwischen zwei Orten fahre ich zudem wirklich viel Bahn und bin zwangsläufig ein ziemlich guter Kunde.

Seit einiger Zeit wunderte ich mich bei Blokada über massive Aufrufe an optimizely.com, die ich mir nicht erklären konnte. Diese werden natürlich blockiert, aber ich möchte trotzdem wissen, welche Apps dafür verantwortlich ist. Allzu viele proprietäre Apps können dafür nicht infrage kommen, weil das meiste auf meinem Smartphone von F-Droid stammt. Der Einfachheit halber habe ich alles deinstalliert und wieder neu installiert und nebenbei Blokada im Blick behalten, bis ich den Übeltäter hatte: Der DB Navigator.

Grundsätzlich finde ich die Erhebung von Nutzungsdaten nachvollziehbar, um das Angebot zu verbessern. Leser dieses Blogs wissen, dass ich da kein Dogmatiker bin. Aber diese Erhebung muss Opt-in oder wenigstens Opt-out basiert erfolgen. Bisher war das bei der Bahn auch so und man konnte die Analyse im DB Navigator per Opt-out abwählen.

Neuerdings fragt der DB Navigator beim Start ab, welche Cookies man zulassen möchte. Dabei handelt es sich um die gleiche Abfrage wie auf der Webseite, aber mit dem Unterschied, dass die App teilweise im Hintergrund läuft und häufige Verbindungsversuche unternimmt. Zudem greifen bei Apps nicht die normalen Standardmittel wie ein leistungsstarker Blocker, den inzwischen die meisten Anwender nutzen. Ein systemweites Blockieren von solchen Abfragen, beispielsweise über Blokada übersteigt den in Deutschland üblichen Selbstdatenschutz. Das Grundproblem trifft aber ebenso auf die Webseite der Bahn zu.

Wie es sich gehört, gibt es mehrere Kategorien und natürlich wähle ich nur die absolut essenziellen Cookies aus bzw. kann die Voreinstellung auch nicht ändern. Dabei ist es sehr erstaunlich, was nach Meinung der Bahn so alles absolut notwendig ist. Folgende Drittanbieter-Cookies werden als unbedingt erforderlich betrachtet:

Unbedingt erforderlich ist nach Ansicht der Bahn scheinbar:

  • Adobe Analytics
  • CrossEngage
  • DB Systel GmbH
  • DB Vertrieb GmbH
  • Easy Marketing GmbH
  • Institution Machines GmbH
  • Optimizely
  • Qualtrics
  • Tealium Inc.
  • Verint Systems GmbH

Unbedingt erforderlich sind meiner Meinung nach die anderen Tochterfirmen der Bahn, denn man kann bei einem verzweigten Konzern meistens nicht ohne internen Datenaustausch arbeiten. Da muss man realistisch bleiben. Dazu gehören aber ganz sicher keine Analyse-Firmen wie Adobe Analytics oder Optimizely mit Sitz in den USA.

Die Bahn ist ein Mobilitätsunternehmen. Ich zahle mit meiner BahnCard eine stattliche Summe im Abo pro Jahr, damit ich preiswertere FlexTickets nutzen kann. Als Pendler zu den Stoßzeiten am Freitagabend und Sonntagabend bleibt einem da auch kaum was anderes übrig. Hinzu kommen die vielen, vielen Fahrten. Von einem solchen Unternehmen erwarte ich, dass es nicht noch zusätzlich massenhaft Daten über mich erhebt und mit Dritten teilt.

Es steht leider zu befürchten, dass die im DB Navigator gesammelten Daten nur die Spitze des Eisbergs sind. Es fallen schließlich im Hintergrund noch genug weitere Daten an.

Entsprechende Beschwerden an den Datenschutzbeauftragten der Bahn und die zuständige Aufsichtsbehörde gehen raus, aber viel Hoffnungen mache ich mir da leider nicht. Die Aufsichtsbehörden sind in allen Bundesländern zu schlecht ausgestattet, um so etwas wirklich nachzugehen.

Nachtrag:

Wenigstens antwortet die entsprechende Stelle bei der Bahn rasch. Das muss man schon positiv hervorheben. Die Antwort und damit die Position der Bahn zu den beschriebenen Methoden lautet wie folgt:

[…]Die aufgeführten Firmen bieten nicht nur Tracking-Dienstleistungen an sondern vermieten auch Technologien zur Datenverarbeitung. Diese Technologien sind weit ausgereift und werde deshalb von uns für unsere eigenen Zwecke genutzt. Wir beziehen nicht die Trackingergebnisse, die diese Firmen im Rahmen ihrer anderen Dienstleistung ggf. auf anderen Webseiten dieser Welt einsammeln. Wir haben die Technologien so verbaut, dass alle Daten in unserer Verfügung verbleiben und nicht in die Tracking-Dienstleistung dieser Firmen einfließen können. Die Cookies sind first-party auf bahn.de bezogen, so dass sie niemand anderes als bahn.de verwenden kann. Das befürchtete webseitenübergreifende Nachverfolgen ist mit diesen Cookies nicht möglich. Für unsere eigenen Zwecke sind die gewonnen Erkenntnisse hingegen wichtig, um Millionen von bahn.de- und DB-Navigator-Nutzern gleichzeitig eine Vielzahl von Informationen sachgerecht bereitstellen zu können. Deshalb sind die betreffenden Cookies und Technologien erforderlich. Wenn wir die Technologien nicht von diesen Technologieanbietern mieten würden, müssten wir sie aufwändig selbst entwickeln. Die Firmen sind alle in Übereinstimmung mit Art.28 DSGVO vertraglich gebunden und betreiben für uns separate Datenbanken.[…]

Antwort E-Mail vom 19.07.2021

Ich kann diesen Schlussfolgerungen nicht ganz folgen, denn die Analyse der Kunden ist meiner Meinung nach nicht technisch notwendig. First-Party hin oder her. Die Drittanbieterverbindungen mit Auftragsverarbeitung zu rechtfertigen ist gängig, aber Papier ist geduldig und sind die Daten erst mal abgeflossen… Da ist es meiner Ansicht nach auch egal, ob die Cookies nun „first-Party-bezogen“ sind, denn die Verbindungen zu den entsprechenden Dienstleistern habe ich ja trotzdem.

Ein Weiterverfolgen dieser Sache erscheint mir aber sinnlos. Es ist wieder ein Beispiel dafür, dass wir die e-Privacy-Verordnung brauchen, um solche Sachverhalte eindeutig zu klären.

Moin, meine Name ist Gerrit und ich betreibe diesen Blog seit 2014. Der Schutz der digitalen Identität, die einen immer größeren Raum unseres Ichs einnimmt ist mir ein Herzensanliegen, das ich versuche tagtäglich im Spannungsfeld digitaler Teilhabe und Sicherheit umzusetzen. Die Tipps, Anleitungen, Kommentare und Gedanken hier entspringen den alltäglichen Erfahrungen.

3 Ergänzungen

  1. Da stimme ich voll und ganz zu! Obendrein handelst es sich noch um ein Monopol Unternehmen im Besitz des Staates. Gruselig. Blokada hilft da, und Netguard auch.

    Ich habe letztes Jahr einen neuen Firmenwagen bekommen. VW Touran, nix dolles. Die wollten mit aller Macht, dass ich das Auto mit einer SIM Karte ausstatte und mein Bewegungsprofil vollumfänglich mit VW teile…ich frage mich, wofür die das wohl brauchen!? Ach ja, zu meinen Vorteil natürlich: Wenn ich mal einen schweren Unfall habe, dann wird das System automatisch den Krankenwagen rufen. Allen Ernstes!
    Natürlich habe ich den Mann ausgelacht. Aber noch heute, wenn mir das System vorschlägt, ich solle mal tanken, dann will es angeblich nach Tankstellen nur suchen können, wenn ich mit dem Internet verbunden bin. Wegen der vielen Pop-Up Tankstellen vielleicht, die in keiner Karte verzeichnet sind. Ich glaube, die halten uns alle vür blööt.

    Grüße aus Berlin

    -Marcus

  2. Das Datum der E-Mail-Antwort wäre zu korrigieren: „Antwort E-Mail vom 19.08.2021“ -> „Antwort E-Mail vom 19.07.2021“

Schreiben Sie eine Ergänzung

Ergänzungen dienen der Diskussion über die Inhalte des Artikels. Nachfragen, Anmerkungen und Ergänzungen sind dezidiert erwünscht. Ergänzungen werden vor der Veröffentlichung moderiert. Wir behalten uns vor Kommentare ohne inhaltlichen Bezug oder abseitige Diskussionen nicht zu veröffentlichen.

Bitte geben Sie Ihre Ergänzung ein!
Bitte geben Sie hier Ihren Namen ein