Reporter Jörg Schieb berichtet zur Klage gegen die Deutsche Bahn
Aktuelle Stunde . 19.05.2025. 17:38 Min.. UT. Verfügbar bis 19.05.2027. WDR.
DB-App vor Gericht: Wie sicher sind unsere Daten wirklich?
Stand:
Die Bahn-App „DB Navigator“ teilt sensible Reisedaten mit Dritten. Dagegen hat jetzt die Bielefelder Verein Digitalcourage geklagt. WDR-Digitalexperte Jörg Schieb erklärt, welche Daten betroffen sind – und warum das relevant ist.
Am Landgericht Frankfurt am Main hat am Montag (19. Mai 2025) ein Prozess begonnen, der Grundsatzfragen zum Datenschutz im digitalen Alltag aufwirft. Der Bielefelder Verein Digitalcourage klagt gegen die Deutsche Bahn – genauer gesagt: gegen die Art und Weise, wie die Bahn in ihrer App „DB Navigator“ mit Nutzerdaten umgeht.
Der Vorwurf: Trotz scheinbar klarer Datenschutzeinstellungen (die Nutzer bestätigen für den Betrieb relevante Cookies) werden persönliche Informationen an Drittunternehmen weitergeleitet – ohne ausdrückliche und damit wirksame Zustimmung der Nutzer.
Digitalcourage: Datenschutzaktivisten mit Ausdauer
Datenschutzklage gegen die Bahn: Was passiert mit unseren App-Daten?
Hinter der Klage steht Digitalcourage e.V., ein gemeinnütziger Verein aus Bielefeld, der sich seit Jahrzehnten für digitale Bürgerrechte, Datenschutz und Aufklärung im Netz engagiert. Bekannt ist die Organisation unter anderem durch die jährliche Verleihung der „Big Brother Awards“, einem Negativpreis für besonders datensammelnde Unternehmen, Behörden und Produkte.
Im konkreten Fall hat Digitalcourage gemeinsam mit dem Juristen Peter Hense Klage eingereicht, unterstützt von technischen Analysen des IT-Sicherheitsforschers Mike Kuketz. Der hatte bereits 2022 nachgewiesen, dass die Bahn-App selbst dann Daten über das Verhalten der Nutzer an externe Firmen sendet, wenn diese explizit nur „notwendige Cookies“ akzeptieren.
Welche Daten die App übermittelt – und wohin
Laut Kuketz und Digitalcourage werden über die App unter anderem folgende Informationen weitergegeben:
- welche Verbindungen gesucht werden (Start, Ziel, Datum)
- wie viele Personen mitreisen, inklusive Kinderangaben
- ob eine BahnCard genutzt wird
- wie oft die App verwendet wird
- mit welchem Mobilfunkanbieter das Gerät verbunden ist
Die Bahncard muss in der App hinterlegt werden
Diese Informationen fließen an bis zu zehn Drittunternehmen, darunter international tätige Firmen wie Adobe, Google, Optimizely oder CrossEngage. Teilweise sitzen diese Unternehmen in den USA, also außerhalb des Geltungsbereichs der europäischen Datenschutz-Grundverordnung (DSGVO).
Zwar betont die Bahn, dass es sich dabei um pseudonymisierte Daten handele, die nur zur Verbesserung der App dienen sollen (es werden zum Beispiel keine Namen oder andere unmittelbar persönlichen Daten übermittelt) – und dass die Dienstleister die Daten nicht für eigene Zwecke verwenden dürften.
Doch genau hier setzt die Kritik an: Wenn ein Unternehmen Daten ohne echte Zustimmung weitergibt – und das, obwohl die Nutzer eine gegenteilige Auswahl getroffen haben –, sei das aus Sicht von Digitalcourage ein klarer Verstoß gegen die DSGVO. Die Einwilligung muss freiwillig, informiert und eindeutig sein, um den Ansprüchen der DSGVO zu genügen. Ist das nicht der Fall, handelt es sich um eine unzulässige Datenverarbeitung.
Keine Alternative zur App – Digitalcourage spricht von „Digitalzwang“
Besonders problematisch: Die Bahn-App ist inzwischen der zentrale Zugang zum Bahnverkehr in Deutschland. Papier-Tickets spielen kaum noch eine Rolle. Wer spontan ein Ticket buchen oder Verspätungen einsehen will, kommt um den DB Navigator kaum noch herum.
Dennoch: Kein Bahnreisender braucht zwingend ein Smartphone! Es gibt auch weiterhin Sparpreise im Reisezentrum. Kunden erhalten auf Wunsch einen Papierausdruck ihres Tickets. Und auch die BahnCard kann in analoger Form – als Papierausdruck – mitgeführt werden
Digitalcourage spricht deshalb von einem „Digitalzwang“: Wer Bahn fahren will, ist gezwungen, die App zu nutzen – und gibt damit automatisch Daten preis, oft ohne es zu wissen. Das sei besonders kritisch, weil die Bahn zwar privatrechtlich organisiert ist, aber zu 100 Prozent dem Bund gehört. Als faktisches Staatsunternehmen habe sie eine besondere Verantwortung, datensparsame und transparente Lösungen anzubieten.
„Wer reist, muss sich überwachen lassen – das darf nicht sein“, sagt padeluun, künstlerischer Leiter von Digitalcourage. „Die Bahn darf ihre digitale Infrastruktur nicht mit Drittanbietern verknüpfen, ohne echte Wahlmöglichkeiten zu bieten.“
Website statt App? Auch da wird getrackt – aber weniger
Die Datenschutzhinweise in der DB Navigator App
Zwar lässt sich die Bahn grundsätzlich auch über ihre Webseite nutzen – doch auch dort kommt Tracking-Technologie zum Einsatz. Allerdings haben Nutzer im Browser deutlich mehr Möglichkeiten, Tracking zu unterbinden: mit Plug-ins, Cookie-Blockern oder im privaten Modus. Anders als in der App lassen sich Drittanbieter-Skripte zumindest teilweise abschalten.
In der App hingegen ist der Nutzer weitgehend ausgeliefert: Die Einwilligungsdialoge sind oft schwer verständlich und vermitteln aus Sicht von Datenschützer:innen ein falsches Bild davon, welche Daten wirklich übertragen werden.
Ein Urteil mit Signalwirkung
Die Entscheidung des Landgerichts Frankfurt könnte weitreichende Folgen haben. Sollte das Gericht zu dem Schluss kommen, dass die Datenweitergabe ohne echte Zustimmung unzulässig ist, müsste die Bahn ihre App grundlegend überarbeiten – insbesondere die Einwilligungsdialoge und die Einbindung externer Anbieter.
Darüber hinaus könnte das Verfahren Signalwirkung für viele andere digitale Angebote haben, bei denen ähnlich verfahren wird. Gerade in Fällen, in denen Nutzer faktisch keine Alternative haben, könnten strengere Maßstäbe für Datenschutz und Wahlfreiheit gelten.
Denn klar ist: Der Schutz personenbezogener Daten ist ein Grundrecht – und Unternehmen, die öffentliche Grundversorgung sicherstellen, müssen sich daran nicht nur halten, sondern besonders hohe Maßstäbe anlegen.
So geht es weiter
Bis es Klarheit gibt, dürfte es etwas dauern. Das Verfahren wird sich voraussichtlich über mehrere Monate ziehen. Unabhängig vom Urteil zeigt der Fall aber schon jetzt, wie wichtig es ist, kritisch mit digitalen Angeboten umzugehen – auch und gerade bei alltäglichen Anwendungen wie einer Reise-App. Denn Daten sind nicht nur ein technisches Detail – sie betreffen die Privatsphäre von Millionen Menschen.
Unsere Quellen:
- dpa
- Verein Digitalcourage
- netzpolitik.org
- Unternehmensdaten der Deutschen Bahn
- Eigene Einschätzungen von Digital-Experte Jörg Schieb
Korrektur: In einer ersten Version des Textes war der Eindruck entstanden, Kundinnen und Kunden könnten Sparpreise nur über die App oder online buchen und es gäbe keine Tickets mehr auf Papier. Das haben wir in dieser Version richtiggestellt.
