DB-Navigator: Fahrplanauskunft und Ticketbuchung bei der Bahn

Foto: Christoph Löffler, CC by 2.0

DB Navigator ist eine kostenlose App der Deutschen Bahn, die unter anderem Nah- und Fernverbindungen des öffentlichen Verkehrsnetzes anzeigt. Registrierte Kunden können mit der App Tickets buchen und verwalten. Ein mögliches Problem: Tracking.

Veröffentlicht am
Autor
Schlagworte
Apps · Berechtigungen · DB Navigator · Play-Store
Drucken

Mit dem DB Navigator können Nutzer Reiseverbindungen in Deutschland und Europa suchen. Registrierte Nutzer können zudem Tickets buchen und sich über Zugverspätungen informieren. Mit den Standortdaten des Smartphones lassen sich umliegende Reisemöglichkeiten und der Weg zum Bahnhof anzeigen. Ebenfalls integriert ist die Suche nach DB-eigenen Mietwagen und Fahrrädern.

Getestete Version: 15.10.p04.01 (5. Oktober 2015)

Link zum App-Store: Google Play Store
Weblink: Website der Deutschen Bahn

Unser Test zusammengefasst:

Bei der Installation des DB Navigators verlangt die App Zugriff auf verschiedene Berechtigungen, was durch ihre Funktionalität nachvollziehbar ist. Nach dem Start der App verbindet sie sich zu diversen Adressen der Deutschen Bahn, aber auch zu Drittanbietern wie zum Beispiel Google oder dem Bezahldienst „Sofort Überweisung“. Ist man registrierter Nutzer der Deutschen Bahn und verknüpft seinen bestehenden Account mit der App, so werden sensible Informationen auf dem Smartphone gespeichert. Das Passwort wird verschlüsselt abgelegt. Es werden Nutzungsdaten erhoben und von Adobe Analytics verarbeitet. Der Nutzer kann die Datensammlung jedoch in den Einstellungen abstellen.

Hinweis: Zur Nutzung der App sind Google-Play-Dienste erforderlich.

Die Testergebnisse im Detail:

Getestet haben wir die Version 15.10.p04.01, die wir aus dem Play Store heruntergeladen haben. Dieser Test gibt keine Auskunft über abweichende Versionen.

Welche Daten sieht die App?

Über das Berechtigungssystem hat die App auf diverse Informationen auf dem Smartphone Zugriff. Für eine App der Kategorie Navigation / Verkehr sind alle folgenden Berechtigungen nachvollziehbar:

Wohin verbindet sich die App?

Deutsche Bahn: Für die Abfrage der Nah- und Fernverbindungen bzw. weitere Funktionen der App werden diverse Verbindungen zu Servern der Deutschen Bahn hergestellt. Die Kommunikation erfolgt größtenteils TLS-verschlüsselt. Teilweise werden die TLS-Zertifikate auf dem Mobilgerät dafür von der Deutschen Bahn überprüft (sogenanntes Certificate Pinning) – leider nicht konsequent. Das erleichtert es einem heimlichen Lauscher, beispielsweise Benutzername und Passwort, möglicherweise auch Kreditkarteninformationen abzufangen.

Google: Unmittelbar nach jedem Start der App werden Verbindungen zu unterschiedlichen Google Adressen aufgebaut. Der Grund: Die Entwickler greifen auf diverse Funktionen der Google Play-Dienste zurück, die unter anderem für die Darstellung des Google Kartenmaterials benötigt werden.

Bezahldienste: Für den Bezahldienst „Sofort Überweisung“ werden beim Ticket-Kauf weitere verschlüsselte Verbindungen geöffnet. Certificate Pinning wird hierbei nicht verwendet.

Wie sicher speichert die App meine Daten?

Für Kunden der Deutschen Bahn besteht die Möglichkeit, ihr bestehendes Online-Konto mit der App zu verknüpfen. Dabei werden auf dem Smartphone unter anderem Vor- und Nachname, Konto-Name und Passwort gespeichert. Das Passwort wird verschlüsselt abgelegt. Weitere personenbezogene Daten wie Adresse, Kreditkartennummer oder Personalausweisnummer werden serverseitig gespeichert.

Wer physischen Zugriff auf das Smartphone erhält, kann vergangene Suchanfragen oder Bahn-Reisen rekonstruieren. Denn diese Informationen werden unverschlüsselt auf dem Gerät abgelegt.

Was sagt die Datenschutzerklärung?

Die im Google Play-Store verlinkte Datenschutzerklärung verweist auf die „Datenschutzgrundsätze“ der Deutschen Bahn. Dort lassen sich keine Informationen zum DB Navigator finden. Die Datenschutzerklärung der App ist entweder hier oder nach der Installation unter „Einstellungen → Datenschutz“ einsehbar.

Zum Zweck der Webanalyse setzt der DB Navigator den Analysedienst Adobe Analytics ein. Über eine integrierte Opt-Out Funktion kann der Nutzer dieser Datenerhebung widersprechen. Standardmäßig ist die Webanalyse nach der Installation aktiviert.

Postalische Kontaktdaten registrierter Nutzer wie Name und Postanschrift oder auch die E-Mail-Adresse, können für Werbung per Post und für Marktforschung verwendet werden. Nutzer können dieser Verwendung der Daten mit einer E-Mail an ecommerce-datenschutz@bahn.de widersprechen.

Werden nur notwendige Daten erhoben?

Gegen das Prinzip der Datensparsamkeit wird zwar gesetzlich nicht verstoßen, dennoch sollten Nutzer wissen, dass ihre Daten zur Webanalyse erhoben und an US-Amerikanische Unternehmen weitergeleitet werden oder Nutzerdaten für Werbung und Marktforschungszwecke verwendet wird.

Externe Dienstleister wie Adobe Analytics oder auch die Einbindung der Google-Play Dienste sind hinsichtlich der Datensparsamkeit ebenfalls problematisch. Denn die Verwendung solcher Dienste macht auch immer die Übertragung von Nutzungsdaten erforderlich.

Unser Tipp:

Zum Anzeigen der Nah- und Fernverbindungen des öffentlichen Verkehrsnetzes können Sie die mobile Webseite der Deutschen Bahn über https://m.bahn.de aufrufen oder auf eine alternative App wie zum Beispiel „Transportr“ zurückgreifen.

Ticket-Buchungen sind über die mobile Webseite der Deutschen Bahn nicht mehr möglich. Wer also die Zusatzfunktionen der DB Navigator App verwenden und gleichzeitig Tracking vorbeugen möchte, sollte die Deaktivierung der Adobe Analytics Funktion in Betracht ziehen.

Kunden der Deutschen Bahn können der werblichen Verwendung ihrer Daten mit einer E-Mail an die Adresse ecommerce-datenschutz@bahn.de widersprechen.

Sie haben einen Fehler entdeckt oder vermissen einen Artikel zu einem bestimmten Thema?
Schreiben Sie uns eine E-Mail an hinweis@mobilsicher.de!