App-Test

DB-Navigator: Fahrplanauskunft und Ticketbuchung bei der Bahn

Ein Artikel von , veröffentlicht am 30.06.2016
Bild: CC0 Pixabay / geralt

DB Navigator ist eine kostenlose App der Deutschen Bahn, die unter anderem Nah- und Fernverbindungen des öffentlichen Verkehrsnetzes anzeigt. Registrierte Kunden können mit der App Tickets buchen und verwalten. Ein mögliches Problem: Tracking.

Mit dem DB Navigator können Nutzer Reiseverbindungen in Deutschland und Europa suchen. Registrierte Nutzer können zudem Tickets buchen und sich über Zugverspätungen informieren. Mit den Standortdaten des Smartphones lassen sich umliegende Reisemöglichkeiten und der Weg zum Bahnhof anzeigen. Ebenfalls integriert ist die Suche nach DB-eigenen Mietwagen und Fahrrädern.

 

Unser Test zusammengefasst:

Bei der Installation des DB Navigators verlangt die App Zugriff auf verschiedene Berechtigungen, was durch ihre Funktionalität nachvollziehbar ist. Nach dem Start der App verbindet sie sich zu diversen Adressen der Deutschen Bahn, aber auch zu Drittanbietern wie zum Beispiel Google oder dem Bezahldienst „Sofort Überweisung“. Ist man registrierter Nutzer der Deutschen Bahn und verknüpft seinen bestehenden Account mit der App, so werden sensible Informationen auf dem Smartphone gespeichert. Das Passwort wird verschlüsselt abgelegt. Es werden Nutzungsdaten erhoben und von Adobe Analytics verarbeitet. Der Nutzer kann die Datensammlung jedoch in den Einstellungen abstellen.

Hinweis: Zur Nutzung der App sind Google-Play-Dienste erforderlich.

Die Testergebnisse im Detail:

Getestet haben wir die Version 15.10.p04.01, die wir aus dem Play Store heruntergeladen haben. Dieser Test gibt keine Auskunft über abweichende Versionen.

Ausführliche Informationen dazu, wie unsere App-Rezensionen aufgebaut sind, welche Tests wir durchführen und warum, und was wir damit erreichen wollen, finden Sie im Hintergrundtext Was untersuchen wir in App-Rezensionen?

Welche Daten sieht die App?

Über das Berechtigungssystem hat die App auf diverse Informationen auf dem Smartphone Zugriff. Für eine App der Kategorie Navigation / Verkehr sind alle folgenden Berechtigungen nachvollziehbar:

In unserer Checkliste: App-Zugriffsrechte entschlüsselt (Android) haben wir für Sie eine Übersicht zusammengestellt, in der wir die Zugriffsrechte erläutern, und erklären, für welche Funktionen sie gebraucht werden.  Wie das Berechtigungssystem bei Android funktioniert, und welche Haken es dabei gibt, erfahren Sie detailliert in unserem Hintergrundtext: Ganz oder gar nicht: Rechtesystem für Apps.

Wohin verbindet sich die App?

Deutsche Bahn: Für die Abfrage der Nah- und Fernverbindungen bzw. weitere Funktionen der App werden diverse Verbindungen zu Servern der Deutschen Bahn hergestellt. Die Kommunikation erfolgt größtenteils TLS-verschlüsselt. Teilweise werden die TLS-Zertifikate auf dem Mobilgerät dafür von der Deutschen Bahn überprüft (sogenanntes Certificate Pinning) - leider nicht konsequent. Das erleichtert es einem heimlichen Lauscher, beispielsweise Benutzername und Passwort, möglicherweise auch Kreditkarteninformationen abzufangen.

Google: Unmittelbar nach jedem Start der App werden Verbindungen zu unterschiedlichen Google Adressen aufgebaut. Der Grund: Die Entwickler greifen auf diverse Funktionen der Google Play-Dienste zurück, die unter anderem für die Darstellung des Google Kartenmaterials benötigt werden.

Bezahldienste: Für den Bezahldienst „Sofort Überweisung“ werden beim Ticket-Kauf weitere verschlüsselte Verbindungen geöffnet. Certificate Pinning wird hierbei nicht verwendet.

Im Hintergrundtext Wie sicher sind Internetverbindungen von Apps erklären wir, was TLS und Certificate Pinning sind. Details zur Funktionsweise finden Sie im Beitrag TLS/SSL Fragen und Antworten.

Wie sicher speichert die App meine Daten?

Für Kunden der Deutschen Bahn besteht die Möglichkeit, ihr bestehendes Online-Konto mit der App zu verknüpfen. Dabei werden auf dem Smartphone unter anderem Vor- und Nachname, Konto-Name und Passwort gespeichert. Das Passwort wird verschlüsselt abgelegt. Weitere personenbezogene Daten wie Adresse, Kreditkartennummer oder Personalausweisnummer werden serverseitig gespeichert.

Wer physischen Zugriff auf das Smartphone erhält, kann vergangene Suchanfragen oder Bahn-Reisen rekonstruieren. Denn diese Informationen werden unverschlüsselt auf dem Gerät abgelegt.

Was sagt die Datenschutzerklärung?

Die im Google Play-Store verlinkte Datenschutzerklärung verweist auf die „Datenschutzgrundsätze“ der Deutschen Bahn. Dort lassen sich keine Informationen zum DB Navigator finden. Die Datenschutzerklärung der App ist entweder hier oder nach der Installation unter „Einstellungen → Datenschutz“ einsehbar.

Zum Zweck der Webanalyse setzt der DB Navigator den Analysedienst Adobe Analytics ein. Über eine integrierte Opt-Out Funktion kann der Nutzer dieser Datenerhebung widersprechen. Standardmäßig ist die Webanalyse nach der Installation aktiviert.

In unserer Schritt-für-Schritt-Anleitung erklären wir, wie Sie der Datenerhebung von Adobe Analytics widersprechen können.

Postalische Kontaktdaten registrierter Nutzer wie Name und Postanschrift oder auch die E-Mail-Adresse, können für Werbung per Post und für Marktforschung verwendet werden. Nutzer können dieser Verwendung der Daten mit einer E-Mail an ecommerce-datenschutz@bahn.de widersprechen.

Was Datenschutz genau ist und wie die gesetzlichen Regelungen in Deutschland sind, erfahren Sie in unserem Hintergrundartikel: Was ist eigentlich Datenschutz?.

Werden nur notwendige Daten erhoben?

Gegen das Prinzip der Datensparsamkeit wird zwar gesetzlich nicht verstoßen, dennoch sollten Nutzer wissen, dass ihre Daten zur Webanalyse erhoben und an US-Amerikanische Unternehmen weitergeleitet werden oder Nutzerdaten für Werbung und Marktforschungszwecke verwendet wird.

Externe Dienstleister wie Adobe Analytics oder auch die Einbindung der Google-Play Dienste sind hinsichtlich der Datensparsamkeit ebenfalls problematisch. Denn die Verwendung solcher Dienste macht auch immer die Übertragung von Nutzungsdaten erforderlich.

Unser Tipp:

Zum Anzeigen der Nah- und Fernverbindungen des öffentlichen Verkehrsnetzes können Sie die mobile Webseite der Deutschen Bahn über https://m.bahn.de aufrufen oder auf eine alternative App wie zum Beispiel „Transportr“ zurückgreifen.

Ticket-Buchungen sind über die mobile Webseite der Deutschen Bahn nicht mehr möglich. Wer also die Zusatzfunktionen der DB Navigator App verwenden und gleichzeitig Tracking vorbeugen möchte, sollte die Deaktivierung der Adobe Analytics Funktion in Betracht ziehen.

Kunden der Deutschen Bahn können der werblichen Verwendung ihrer Daten mit einer E-Mail an die Adresse ecommerce-datenschutz@bahn.de widersprechen.

Weitere Artikel

Kinder und Jugendliche 

So funktioniert die Familienfreigabe bei iPhone und iPad

Mit der "Familienfreigabe" können Sie gekaufte Inhalte, etwa aus dem App Store, mit Ihren Familienmitgliedern teilen. Außerdem bietet die Funktion ein Familienfotoalbum, einen gemeinsamen Kalender und erlaubt die Fernsteuerung von Kindersicherungen. Wir geben einen Überblick.

Mehr
Ratgeber 

4-Punkte-Basissicherung (Windows 10)

Sie haben ein neues Windows-Smartphone? Mit der richtigen Konfiguration können Sie Kostenfallen und Datenverlust vermeiden, Lauschangriffe vereiteln und Ihre Privatsphäre schützen. Die wichtigsten Einstellungen stellen wir in diesem Ratgeber vor.

Mehr
App-Test 

Dating-App Tinder im Test (Android)

Wer auf Partnersuche ist, kommt um Tinder kaum mehr herum. Doch wer tindert, macht das praktisch öffentlich. Und: Tinder gehört zum Dating-Imperium der InterActiveCorp und teilt Nutzerdaten mit zugehörigen Unternehmen und Drittanbietern.

Mehr
App-Test 

Musikstreaming-App Spotify im Test (iOS)

Spotify auf iOS: Beinahe 200 Millionen Menschen streamen über Spotify Musik. Viele von ihnen greifen per Smartphone auf Spotify zu, auch per iPhone und iPad. Wir haben den Datenfluss und die Datenschutzpraxis der iOS-App getestet.

Mehr