Bahn-Apps DB Navigator über­mittelt mehr Daten als nötig

3
Bahn-Apps - DB Navigator über­mittelt mehr Daten als nötig
App in den Zug. Links der DB Navigator, rechts das 9-Euro-Ticket des Verbands Deutscher Verkehrs­unternehmen. © picture alliance/dpa

Mit Apps kommt das 9-Euro-Ticket direkt aufs Smartphone. Wir prüften die 9-Euro-Ticket-App und den DB Navigator. Mit dem Daten­schutz nimmt es die Bahn-App nicht so genau.

Run auf billige Bahnfahr­karten

Nur eine Woche nach dem Start hatte allein die Deutsche Bahn schon 6,5 Millionen 9-Euro-Tickets verkauft. Und die Verkehrs­unternehmen von Städten und Gemeinden noch deutlich mehr. Das von der Bundes­regierung angeschobene Billig-Ticket für den Nah- und Regional­verkehr ist also sehr beliebt (9-Euro-Ticket: Das müssen Sie wissen).

Neue App nur für das 9-Euro-Ticket

Wer sein Ticket direkt aufs Handy laden will, braucht dafür eine App. Entweder die seines lokalen Verkehrs­unter­nehmens oder den DB Navigator der Deutschen Bahn. Weil so aber nicht alle Menschen im Lande erreicht werden, hat der Verband Deutscher Verkehrsunternehmen (VDV) zusammen mit der Deutschen Bahn eine spezielle App nur für den Verkauf des 9-Euro-Tickets programmieren lassen. Unter dem schlichten Namen 9-Euro-Ticket-App lässt sie sich beim VDV und in den App-Stores von Google Play und Apple herunter­laden.

Apps im Daten­schutz-Check der Stiftung Warentest

Wir haben bei beiden Apps Ende Mai/Anfang Juni geprüft, ob sie über­flüssige Daten senden und ob ihre Daten­schutz­erklärung korrekt formuliert ist. Beide Apps melden den Stand­ort des Handys, Daten zu Hard­ware und Software des Gerätes, sowie den User­namen und das Pass­wort – beim Navigator an die Deutsche Bahn, beim 9-Euro-Ticket an den VDV. Allerdings gehen diese Daten alle verschlüsselt über den Äther und sind wohl auch für den reibungs­losen Betrieb nötig. Bei der Neun-Euro-Ticket-App war es das dann auch – es ist also eine daten­spar­same App.

Navigator: Daten­sende­verhalten kritisch

Der Navigator hingegen verschickt auch den Namen des Mobil­funk­netz­betreibers an die Bahn sowie Statistiken zur Nutzung der App. Außerdem wird sowohl in seiner Apple- wie auch der Android-Version eine Internet­adresse von Adform mit Daten versorgt. Adform ist eine interna­tionale Firma mit Sitz in Dänemark und vermittelt maßgeschneiderte Werbung. Beim Navigator ist also ein kritisches Daten­sende­verhalten fest­zustellen, weil über­flüssige Daten vers­endet werden.

9-Euro-Ticket-App: Lässt schwaches Pass­wort zu

Die 9-Euro-Ticket-App über­mittelt zwar nur wenige Daten, ist aber nicht fehler­frei. Denn sie erlaubt dem Nutzer, ein Pass­wort aus nur sieben Zahlen und Zeichen zu erzeugen. Das ist nach einhelliger Expertenmeinung zu schwach. Wer auf Nummer sicher gehen will, sollte ein mindestens acht­stel­liges Pass­wort haben. Die App fragt bei der Registrierung Name, E-Mail-Adresse, Post-Adresse und eine verpflichtende Sicher­heits­frage (etwa „Nennen Sie ihr Lieblings­tier“) ab.

Daten­schutz­hinweise: Licht und Schatten im Klein­gedruckten

Vieles war in Ordnung: So wurde klar dargestellt, wer für die Apps verantwort­lich ist und wofür die verarbeiteten Daten genutzt werden. Zu bemängeln ist freilich, dass nirgends steht, wie lange und nach welcher recht­lichen Grund­lage die Daten gespeichert werden. Außerdem wäre es gute Praxis, direkt in der Daten­schutz­erklärung auf die entsprechenden Artikel zu den Rechten der Betroffenen in der Datenschutzgrundverordnung (DSGVO) zu verweisen. Das geschieht aber bei keiner der beiden Apps.

Fazit: Der Navigator ist neugieriger, bietet aber auch mehr

Die Navigator-App der Deutschen Bahn kann viel mehr als die einfache 9-Euro-App. Viele Funk­tionen lassen sich auch ohne Login nutzen. Zum Beispiel kennt sie die Fahr­pläne und informiert über Zugverspätungen. Besonders daten­spar­sam ist sie jedoch nicht. Wer nur ein güns­tiges 9-Euro-Ticket kaufen will, ist also mit der spezialisierten App besser bedient. Aber bitte ein ausreichend langes Pass­wort wählen!

3

Mehr zum Thema

  • Fahr­gast­rechte Bahn Entschädigung bei Verspätung, Streik, Zugausfall

    - Bahnfahrer können Entschädigung fordern, wenn sie am Ziel eine Verspätung von mindestens 60 Minuten haben – auch, wenn Streiks oder Unwetter der Grund dafür waren.

  • BGH-Urteil zu Paypal und Sofort­über­weisung Onlineshops dürfen Zahlungs­gebühr verlangen

    - Bei Onlinekäufen dürfen Händler von den Kunden Gebühren für die Nutzung von Paypal oder Sofort­über­weisung erheben. Sie müssen aber ein kostenfreies Zahlungs­mittel...

  • Bahn-Fahr­karten­automat Kaputt – was nun?

    - Ist der Fahr­karten­automat am Bahnhof kaputt, können Reisende nicht einfach in den nächsten Zug steigen, so die Deutsche Bahn. Das ist nur erlaubt, wenn es keine...

3 Kommentare Diskutieren Sie mit

Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.

Nutzer­kommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.

Profilbild Stiftung_Warentest am 27.06.2022 um 13:29 Uhr
2-Faktor-Authentifizierung

@j_wgn: Vielen Dank für Ihre Ergänzung. Sie haben Recht. Wer es wünscht, kann beim der Navigator-App die 2-Faktor-Authentifizierung aktivieren.
Beim Online-Banking ist die Verwendung einer 2-Faktor-Authentifizierung gesetzlich vorgeschrieben, also ein unbedingtes Muss. Bei anderen Anwendungen mitunter sinnvoll, aber nicht für alle notwendig.

j_wgn am 10.06.2022 um 19:32 Uhr
2FA

Warum wird nicht auf die optional aktivierbare 2-Faktor-Authentifizierung hingewiesen? Auch diese sollte natürlich neben einem sicheren Passwort aktiviert werden.
https://www.bahn.de/faq/wie-aktiviere-ich-die-2-faktor-authentifizierung

test-gst am 09.06.2022 um 18:55 Uhr
Analyse der DB-Navigator-App durch den kuketzblog

https://www.kuketz-blog.de/db-navigator-offener-brief-an-die-deutsche-bahn/
bzw. der darin verlinkte Ursprungsartikel enthält detaillierte technische Infos zur DB-Navigator-App und zum Umgang der DB mit der Thematik.