Sehr geehrte Damen und Herren,

ich beschwere mich über die Deutsche Bahn weil Sie beim Next DB Navigator Daten ohne Einwilligung und ohne Erfordernis an Dritte und außerhalb des „sicheren“ europäischen Rechtsraums überträgt.

Zu den Domänen kann ich inzwischen noch www.paypalobjects.com und www.notification-tool.com hinzufügen, die ich beim Versuch eine Fahrkarte zu kaufen beobachtet habe. Auch hier unnötig, denn ich habe im Profil Kreditkarte und SEPA-Mandat hinterlegt.

Sehr geehrte Damen und Herren,

der Betreff dieser Email ist natürlich eine Anspielung auf den Artikel von Mike Kuketz zum Vorgänger. Ich habe heute den Next DB Navigator ausprobiert, in der Hoffnung, dass der etwas datenschutzfreundlicher als der Vorgänger ist. Leider scheint das Gegenteil richtig zu sein, aber dazu muss ich Sie mit einigen Fragen überschütten:

Beim Starten werden ein paar Funktionen erklärt, aber keine Zustimmung zu irgendeiner Datenverarbeitung abgefragt. In den Datenschutzhinweisen heißt es: „Eine Nutzung unserer App ist grundsätzlich ohne Angabe personenbezogener Daten möglich.“ Das ist schon starker Tobak, denn offline funktioniert die App nicht, und schon alleine die Kommunikation über das Internet hinterlässt personenbezogene Spuren zumindest in Form von IP-Adressen.

Darüberhinaus hat mein pi-hole während der Nutzung die folgenden Domänen identifiziert, die angesprochen werden – ich teile die mal in fünf Gruppen ein:

1. Domänen die ich der Deutschen Bahn zuordnen kann, und bei denen ich mich nur Frage, ob die Heterogenität des Konzerns sich unbedingt auch in der Software und den verwendeten Domänen widerspiegeln muss:

*.db.de

*.bahn.de

cms.static-bahn.de

cms.services-bahn.de    

www.img-bahn.de         

2. Domänen die nicht der Deutschen Bahn zugeordnet werden können, aber offensichtlich zur Anmeldung erforderlich sind, aber ohne Zustimmung verwendet werden:

*.hcaptcha.com

3. Domänen die Google zugeordnet werden können, aber aller Wahrscheinlichkeit nicht erforderlich sind, und damit einen nicht erforderlichen Datenexport ohne Einwilligung darstellen.

android.apis.google.com

mtalk.google.com

alt6-mtalk.google.com  

firebase-settings.crashlytics.com

googlehomefoyer-pa.googleapis.com

ssl.google-analytics.com

264ecc85-dnsotls-ds.metric.gstatic.com

5efc32d1-dnsotls-ds.metric.gstatic.com 

8aad477d-dnsotls-ds.metric.gstatic.com

4. Weiter Domänen in den USA anderer Anbieter, auch hierin sehe ich einen illegalen Export meiner Daten.

deutschebahn.sc.omtrdc.net      

cdn.optimizely.com       

zn0lxkzethotizctx-bahn.siteintercept.qualtrics.com

5. dbnav.fritz.box – tatsächlich verwende ich eine Fritzbox. Was will die Software damit?

In der Datenschutzerklärung heißt es auch, „Für Mess- und Analysezwecke … Bei der Nutzung der App können alle Verarbeitungen ausgeschaltet werden, die nicht erforderlichen Zwecken dienen.“ Tatsächlich kann man nur Firebase abschalten, alles andere versucht die App immer zu verwenden und wird allenfalls von meinem pi-hole blockiert. Da die App das blockieren einer ganze Reihe der verwendeten Domänen schadlos hinnimmt, scheinen diese nicht erforderlich zu sein. Mit ausschalten ist aber bestimmt nicht gemeint, dass ich das mit einem pi-hole machen muss, oder doch?

Ich fordere Sie daher auf, für die Domänen unter 2. eine DSGVO-konforme (nicht exportierende) Lösung zu finden und die Verwendung der Domänen 3. – 5. auszubauen oder eine DSGVO-konformen Einwilligung zu realisieren. Eigentlich klar, dass die erste Lösung besser ist.

Vielen Dank und viele Grüße

Joachim Lindenberg