In dem aktuellen Fall, welcher seit Montag (19. Mai 2025) am Landgericht Frankfurt am Main verhandelt wird, geht es um die Bahn-App „DB Navigator“, welche vermeintlich sensible Reisedaten mit Dritten teilt. Gegen diesen Umgang mit Nutzerdaten in der „DB Navigator“ App hat der Bielefelder Verein Digitalcourage Klage eingereicht.
Gemäß vorliegender Recherche werden persönliche Informationen der betroffenen Nutzer ohne ausdrückliche und damit wirksame Zustimmung an Drittunternehmen übermittelt.
Bereits 2022 hatte der IT-Sicherheitsforscher Mike Kuketz nachgewiesen, dass die App der Bahn auch dann Daten über das Verhalten der Nutzer an externe Firmen weiterleitet, wenn diese explizit nur „notwendige Cookies“ akzeptiert haben.
Folglich werden zahlreiche Informationen an bis zu zehn Drittunternehmer weitergeleitet, zu welchen unter anderem Adobe, Google, Optimizely und CrossEngage gehören. Da es sich zudem teilweise um US-ansässige Unternehmen handelt, werden somit möglicherweise auch Daten in die USA transferiert. Auch wenn die USA außerhalb des Geltungsbereichs der Europäischen Datenschutz-Grundverordnung (DSGVO) liegen, hat die DB dafür Sorge zu tragen, ein angemessenes Schutzniveau für die übertragenen Daten zu gewährleisten.
Im konkreten Fall handelt es sich um folgende Nutzerdaten:
- Welche Verbindungen gesucht werden, inklusive Start, Ziel und Datum
- Wie viele Personen an der Reise beteiligt sind (auch/ob Kinder)
- Wie oft die App angewendet wird
- Mit welchem Mobilfunkanbieter das Gerät verbunden ist
Die Bahn begründet die Sammlung und Weiterleitung der Daten damit, die Verbesserung der App zu fördern. Zudem würden die Daten pseudonymisiert werden und die Dienstleister können die Daten ausschließlich für Zwecke der Deutschen Bahn nutzen, jedoch nicht eigenständig.
Ein Problem sieht der Bielefelder Verband Digitalcourage zudem in der Tatsache des digitalen Zwangs, welcher auf den Nutzer ausgeübt wird, da es kaum eine andere Alternative für den Nutzer gibt, an aktuelle Informationen bezüglich des Zugverkehrs zu gelangen. Zudem hat die Bahn als Staatsunternehmen eine große Verantwortung, lösungsorientiert und mit dem Fokus auf Datensparsamkeit und Transparenz zu arbeiten.
Die Alternative der Nutzung der Website ist auch nur teilweise zufriedenstellend, da der Nutzer auch dort Tracking ausgeliefert ist, wenn auch in beschränkter Art und Weise.
Mit einer zukünftigen Entscheidung des Landgerichts könnte auf die Bahn die Pflicht einer grundlegenden Überarbeitung ihrer App zukommen, insbesondere in Bezug auf die Einwilligungen der betroffenen Nutzer und der Einbeziehung Dritter.
Weiterhin könnte das Verfahren eine Vorbildfunktion und wegweisende Entscheidung für zukünftige ähnliche Fälle darstellen, da speziell Unternehmen, die öffentliche Aufgaben wahrnehmen, einen besonders hohen Standard im Sinne des Datenschutzes vorgeben sollten.
