Deutschlandticket-Apps: 49€ plus Datenweitergabe an Google und Co. - Deutschlandticket Teil1

Und woher weiß man das, wenn man die Nutzer eben gar nicht fragt?
Es ist ganz sicher nicht mein Wunsch, daß all das mit meinen Daten veranstaltet wird.
Ich möchte oft nur die funktionale Essenz einer App bemühen, ohne Neben-„Benefit“:
„Sicherheit und Betrugsprävention, […] Bonitätsprüfungen oder Plausibilitätsprüfungen bezüglich Rechnungs- oder Lieferanschriften“ sind nicht zum Vorteil des Kunden, sondern zum Vorteil des Unternehmens, das sich damit schützen will. Das nur mal ganz wertfrei.

Aber da ich nicht gefragt werde, weiß ich gar nichts davon.

Ich denke nicht, daß ich Ausreden brauche. Aber Du kannst das natürlich bewerten, wie Du möchtest.

Warum „man“? Das bezieht sich auf Deine Verwendung dieses Wortes, die ich an dieser Stelle ungehörig fand:

Ich hatte Dir letzte Woche schon mal vorgestellt, wer Mike ist. Ich finde es im Rahmen der Höflichkeit notwendig, Einzelpersonen namentlich oder beschreibend zu bezeichnen und nicht mit einem globalen „man“.

Schön, daß wir das nun auch geklärt haben.

Na schön wär’s, gell?

Das mag sein.

Wie war das mit den Ausreden?

Durch das blockieren dieser Verbindung sind weiterhin alle Funktionen und Dienste nutzbar. Das Argument zieht hier also nicht.

Beantworte bitte auch die Frage, wie die im Datenmitschnitt übermittelten Daten bei einen dieser Punkte helfen:

• Wünsche der Nutzer/innen zu erfüllen
• Sicherheit und Betrugsprävention
• Bonitätsprüfungen oder Plausibilitätsprüfungen bezüglich Rechnungs- oder Lieferanschriften.

Fehler in Rechtschreibung/Grammatik sind unschön und können schlimmstenfalls unseriös wirken. Man sollte aber auch ein wenig den Hintergrund des Privacy-Handbuches im Auge behalten und wissen, dass dort unbezahlte, private Aktivisten werkeln. Oft agiert „Karsten“ sogar allein. Also ist an der Stelle schon ein kleinwenig Nachsicht angebracht!

Als Entwickler o. Herausgeber der Anwendung möchte ich selbstverständlich möglichst viele Dinge über die Umgebung in der sie ausgeführt wird wissen. Insofern ist es vollkommen legitim, Daten wie konkrete OS-Version, Hersteller, Status diverser Dienste auf dem Gerät, usw.usf. abzufragen.
Wenn ein Entwickler die App schlank halten will und deshalb gerätespezifisch Konfigurationsdaten nachlädt, ist es auch ok wenn die Modell-Nummer übertragen wird.
Zu keiner Zeit und aus keinem Grund ist es hierzu jedoch notwendig, Seriennummern, Ad-IDs und sonstige eindeutige Tokens zu übermitteln oder gar mit Dritten zu teilen.
Im Blog-Artikel wird genau das thematisiert: Es werden Daten übermittelt, die technisch schlicht nicht notwendig und mit nichts zu begründen sind. Dagegen bedrohen sie kummuliert die Privatsphäre des Bürgers.

Es ist nicht falsch, sondern vielmehr zwischen uns unterschiedlich bewertet. Das bleibt nun jedermanns freies Recht.

Außerdem sollte, wer im Glashaus sitzt, vorsichtig sein, mit dem Steinewerfen, gerade im Sinne von Anschuldigungen und vor allem Unterstellungen:

Wie folgt, und nicht nur in diesem Thema, abgesehen von dem gelöschten Absatz im ersten Beitrag Deiner Mitgliedschaft:

Umgekehrt wird unbewiesene Behauptung als Unterstellung reklamiert:

Und nein,

ich bin nach wie vor der Meinung, daß es auf die Testkonfiguration ankommt, wie weit man in die Umgebung recherchiert. Und die ist hier eben nicht im ausreichenden Maße für Deine Forderungen gegeben. Sonst müsste sie für alle Testkandidaten ausgedehnt werden, was den Aufwand deutlich erhöhen würde.

Ich finde, Du solltest es gut sein lassen, das wäre hilfreich für beide Seiten, denn diese Diskussion führt zu nichts.

Warum sagst du das nicht direkt und verwendest stattdessen die ganze Zeit „“?

Für so eine Datenmenge ist keine Ausrede nötig.

Die Anfrage besteht aus Gerätemerkmalen (wobei noch nicht mal viel abgefragt wird), Infos über das OS und GPS. Was die IDs angeht, ist nicht geklärt, worum es sich handelt. Ist es die Geräte ID? Oder evtl. eine andere oder ist sie von der App generiert worden? Jedenfalls haben Installation-ID und Device-ID dieselbe UID. Das alles sind überwiegend (oder nur) Daten des Handshakes und es sind sehr, sehr wenige. Was auch immer du mit deiner Blockierung beweisen möchtest, aber was erwartest du davon, wenn du ein paar Byte unzugänglich machst? Selbstverständlich funktionieren alle Dienste trotzdem noch. Halt nur eben ohne die Daten. Deine Ergebnisse zeigen doch nur, wie irrelevant diese Daten eigentlich sind. Da sind ja nicht mal personenbez. Daten dabei und sie werden auch völlig legitim abgefragt. Irgendwie müssen die Geräte kommunizieren und wenn das für manche hier zu viel ist, geht nicht ins Internet. Wie verhaltet ihr euch denn draußen auf der Straße? Seid ihr verkleidet und habt einen Stimmverzerrer in der Tasche? Das ist eine ernsthafte Frage. Denn sobald ihr redet, kann man auch euer Geschlecht bestimmen und das Alter eingrenzen. Dabei handelt es sich um sensiblere Daten als hier abgefragt werden, nur um eine Kommunikation herzustellen. Stehst du im Supermarkt an der Kasse und bezahlst mit Karte, kenne ich u.U. deine Bank und kann anhand der gekauften Dinge Rückschlüsse auf deinen Lebensstil, Personen im Haushalt, Beziehungsstatus, Kinder, Krankheiten, schlechte Angewohnheiten, Hobbies etc. ziehen. Je nach dem, was da so liegt. Und hier werden Gesetzestexte zitiert, weil ein Unternehmen (dessen App von dir selber installiert wurde) das Modell deines Handys kennt. Eine nach eurer Definition „saubere“ App, die ein D-Ticket verkauft, wird es nicht geben, weil sie nix an Funktionen bereitstellen könnte, die euch von Nutzen wären. Übrigens: Solche Apps müssen eine Löschung der Daten anbieten und machen es sogar auch! Also, drückt den Button und eure Daten werden wieder gelöscht.
Alles Märchen? Dann kann die DSGVO ja wieder abgeschafft werden und ich darf meine Kinder auf Schulfesten wieder frei fotografieren.

Auf ein ähnliche Aussage habe ich hier im Forum das als Antwort bekommen: Dann hat er ein strukturelles Problem und sollte an einer Verbesserung diesbezüglich arbeiten.

Den Entwickler der App als datenabgreifenden Dritten zu beschreiben, ist als schlecht recherchiert einzustufen. Egal, wie du deine Definitionen biegst und beugst. Interessanterweise bist du plötzlich sehr tolerant gegenüber Definitionen und Grenzen, wenn es um eigene Interessen geht.

Du kannst gerne noch mehr solcher Passagen von mir zitieren, der Kommentarbereich hat noch Platz. Es tut mir furchtbar leid, aber Hintergründe und Zusammenhänge werden hier sehr schlecht bis gar nicht dargestellt. Ich bin auch nicht alleine mit dieser Meinung und andere User sehen es ähnlich. Verbindungsanfragen werden hier zusammenhangslos und ohne eine Erläuterung kategorisiert und bewertet, obwohl deren Interpretation falsch ist. Es ist laienhaft, Verbindungen anhand ihres Namens zu kritisieren und zu erklären.
Es steht im Raum, es würden Device-IDs unerlaubterweise abgefragt und dies würde gegen geltendes Recht verstoßen. In einem öffentlichen Blog. Stelle ich jetzt die Frage, ob die Device-ID aus dem Auszug der Verbindung, die Device-ID des verwendeten Smartphones ist oder evtl. doch einen anderen Ursprung hat, kann diese Frage hier niemand beantworten. Das ist erschreckend und nicht nachvollziehbar. Denn genau solche Fragen sind doch zu erwarten. Stattdessen diskutiert man lieber über Benehmen und Anstand. Bei solch heftigen Anschuldigungen ggüber anderen Unternehmen, ist es hier nicht möglich, die Hintergründe zu beleuchten und das gehört definitiv dazu. Fehler werden überdeckt, anstatt ihnen auf den Grund zu gehen. Ist euch das Thema überhaupt wichtig? Die Definition von „technisch notwendig“ verstehen ganz offensichtlich manche User hier nicht, beteiligen sich aber mit klarer Meinung an der Diskussion. Wiederum andere begreifen den gesamten Sachverhalt noch nicht mal und was das eigentlich für Daten sind, die abgefragt werden. Davon mal abgesehen, fehlt der technische Sachverstand bei vielen, aber eine Erklärung bekommen sie auch nicht. Im großen und ganzen gibt es genau das wieder, was man in den Medien von diesem Thema mitbekommt: Am Ende einer Meldung heißt es dann immer nur „Datenschützer kritisieren dieses Vorgehen“ oder so ähnlich. Wohlwissend, dass sie doch fast alles kritisieren, aber keinen wirklichen Einfluss haben.

Kannst du das kurz genauer erklären?

Gut erkannt

Welche Geräte „müssen“ kommunizieren? Von müssen kann ja keine rede sein.

Ein Beitrag wurde in ein existierendes Thema verschoben: Verkehrsverbund Bremen/Niedersachen (VBN): Tracking ohne Einwilligung - Deutschlandticket Teil3

Ich verstehe die Diskussion nicht wirklich, bin aber zu spät eingestiegen. Die Verarbeitung von Analysedaten einer App, unterfällt sowohl dem TTDSG, als auch der DSGVO.

• TTDSG für das Auslesen von Informationen (Achtung: mehr als personenbezogene Daten) von einem Endgerät durch die App

• DSGVO für die anschließende Verwendung der Daten zur Analyse

Mikes Punkts ist:

Es werden Geräte-IDs, Gerätemodell, Auflösung etc. vom Gerät abgefragt und ohne Einwilligung an Mobimeo übermittelt.

Ich könnte nun auf die Handreichung der DSK für Telemedien verweisen, warum hier eine Einwilligung erforderlich wäre. Das muss ich an dieser Stelle nicht, da der Verantwortliche (Verkehrsverbund) es selbst schreibt (#11):

Die Verarbeitung der personenbezogenen Daten erfolgt insoweit auf Grundlage einer Einwilligung der Nutzer (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TTDSG) sowie zur Ermöglichung einer Analyse, wie die App genutzt wird und welche Fehler etwaig auftreten. Wir haben ein berechtigtes Interesse, die App weiterzuentwickeln und zu verbessern (Art. 6 Abs. 1 lit. f DSGVO). Soweit die Datenverarbeitung auf Grundlage unserer berechtigten Interessen erfolgt, haben Nutzer bei Vorliegen der jeweiligen Voraussetzungen das Recht, der Datenverarbeitung zu widersprechen (Art. 21 DSGVO). Eine erteilte Einwilligung können Nutzer jederzeit mit Wirkung für die Zukunft widerrufen.

https://legal-documents.prd.mobimeo.com/mobility-inside-avg-albtal/accept-language/privacy.v2.html

Es ist umso pikanter, dass die Dokumente zentral von Mobimeo zur Verfügung gestellt werden. Technisch werden Informationen (vgl. Mikes Aufstellung #2 zu den Informationen in Punkt #11 der Datenschutzinformation) ohne Einwilligung übertragen. Das ist unzulässig.

Im Übrigen ist der Aufbau in der Datenschutzinformation korrekt. 6(1)(a) DSGVO in Verbindung mit § 25 Abs. 1 TTDSG. Für die anschließende Analyse 6(1)(f) DSGVO.

Bei den Fragen, die du hier stellst, kann man nicht mal eben „kurz“ was erklären.

Ihr zitiert deswegen Gesetzestexte. Jetzt plötzlich sind die Daten doch nicht mehr wichtig?

Nein, warum auch? Ich sag ja, grundlegendes Verständnis… Keine Ahnung, was du unter Internet verstehst. Aber in meinem Internet müssen Computer und Server miteinander kommunizieren, um Daten auszutauschen. Ansonsten wird die Seite eben nicht dargestellt. Kein sollten, dürfen oder können. Sie müssen!

Korrekt. Allerdings ist nicht per se jede Verbindung für die Erbringung eines Dienstes auch objektiv erforderlich. Und damit: Nicht alles was technisch möglich wäre, ist auch rechtlich gestattet. Nützlichkeitserwägungen sind nun mal keine rechtliche Grundlage.

Damit das endlich klar ist: Es wird keine einzigartige Device-ID des Gerätes ausgelesen! Die Device-ID = Installation-ID. Schaut es euch oben an!

Wofür? Selbstvetständlich, um das Getät zu identifizieren, wenn die App mit den Servern kommuniziert. Woher kommt die ID? Sie wurde von der App festgelegt und bezieht sich auf die einmalige Installation-ID der App auf dem Gerät, die mit den Datenbanken des Play Stores zusamnenhängt.
Bevor jetzt jemand die APK runterlädt, um den Play Store außen vor zu lassen: Der Play Store verwaltet alle installierten Apps bei Android, egal woher sie stammen.

Diese Installation-ID wird von vielen Apps (ja, sogar auch von den datenschutzkonformen Apps!) zur Identifikation genutzt, da sie u.a. das Datum (Timestamp) der Installation berücksichtigt und das ist einmalig, da Unix-Timestamp bis auf ms genau sein kann.

Die oben aufgeführten Daten, die da erlaubterweise an den Entwickler, also die appeigenen Server, gesendet werden, stammen aus dem Handshake + API-Abfrage. Die API-Abfrage ist zulässig, weil die App den Standort verwendet und nur fragt: Bist du ein- oder ausgeschaltet. So wie es jede andere App auch macht!

Die Daten bestehen aus Merkmalen des Endgerätes zur Darstellung der Webinhalte innerhalb der App über die WebView-Engine des Endgerätes. Das ist voll und ganz legitim und nicht nur zulässig, sondern auch zwingend nötig. Wäre das verboten, könnte eine Website ihre Darstellung nur für ein bestimmtes Endgerät anpassen und alle anderen müssen sich wohl besser den Quelltext ansehen, da die Darstellung auf ihrem Gerät mit hoher Wahrscheinlichkeit absoluter Murks ist!

Genau für diesen Zweck gibt es Ausnahmen bei den hier genannten Gesetzestexten, wie z.B.:
https://dsgvo-gesetz.de/art-6-dsgvo/

DU rufst eine Seite auf (Browser oder App) und DU willst Infos/Daten von den Servern grafisch angezeigt bekommen. Also musst DU auch mitteilen, wie sie grafisch angezeigt werden sollen. Das ist Standard in der Netzwerktechnik und kein Datenmissbrauch!

Such nach „user agent dsgvo“. Bitte.

Das ist eine recht forsche rechtliche Einschätzung. Ich verstehe auch die Verwirrung, da sich die Datenpunkte (z.B. Installation ID) in den Datenverabeitungen überschneiden.

Vergleiche hierzu # 1. Server-Logfiles und # 11 Erstellung von Statistiken / Fehleranalyse

https://legal-documents.prd.mobimeo.com/mobility-inside-avg-albtal/accept-language/privacy.v2.html

Auch nicht falsch. Allerdings bitte die „Reihenfolge“ beachten. TTDSG geht als Spezialgesetz der DSGVO für Telemedien (Apps, Webseiten) zunächst vor.

Ich verstehe Deinen Punkt voll und ganz. Der rechtliche Kern ist aber folgender: Erforderlichkeit & Notwendigkeit. Natürlich darf ich Gerätedaten zwischen Client und Server auslesen und ggf. speichern, damit eine Verbindung zu Stande kommt. Session-Cookies o.Ä. alles i.d.R. einwilligungslos möglich.

Aber: Es kommt darauf an, welche Ziele ich verfolge bzw. was ich mit den Daten machen will. Maßgeblich sind nunmal die Verarbeitungszwecke. Auch hier: Sind die Daten geeignet und erforderlich um den Zweck zu erreichen? Server-Logfiles ist ein anderer Verarbeitungszweck, als die Erstellung von Statistiken / Fehleranalyse (schon allein die Speicherdauer dürfte stark differieren).

Daher meine Aussage: Nur weil es technisch möglich ist und man die Daten technisch erheben kann, darf man nicht willkürlich alles damit durchführen.

Zumindest das, was man in Mikes Datenmitschnitt sieht, wirft Fragen auf. Denn neben der Domain *.mobimeo.com wird auch analytics-api.prd.mobimeo.com kontaktiert. Letzeres würde man erwarten, wenn die Verarbeitungstätigkeit Erstellung von Statistiken / Fehleranalyse durchgeführt wird.

Zitat aus Mikes Blog-Beitrag: https://www.kuketz-blog.de/deutschlandticket-apps-49e-plus-datenweitergabe-an-google-und-co-deutschlandticket-teil1/

Eine der Verbindungen erfolgt zu Analysezwecken [analytics-api.prd.mobimeo.com]

Was, bitte was, wirft denn Fragen auf, wenn der Homeserver kontaktiert wird???

Mobimeo = Herausgeber der App!!!

Du startest die App => App kontaktiert Homeserver => Homeserver registriert App

Genau darum werden auch die Eckpunkte der Installation + grundlegende Gerätedaten zwecks Kommunukation abgefragt. Mehr steht nicht im Mitschnitt.

Die Kommentare hier „ich packe mir an den Kopf“ sind genau die Argumente, die den technischen Sachverstand widerspiegel. Nämlich = 0! Das hat der tolle Selbsttest von @nobody schon gezeigt, den er selbst nicht mal versteht.

Kein vernünftiges Argument, außer: Da steht „analytics“ und „Device-ID“. Es gibt keine Device-ID seit Android 7 mehr und als es sie noch gab, war sie anders aufgebaut. Die Werbe-ID hat den Aufbau der hier gen. Device-ID. Aber die kann ich nach Lust und Laune zurücksetzen.

Nimm dir die Zeit, die du brauchst.

Das Bezog sich darauf, dass die Requests für den tatsächlichen Betrieb irrelavant sind (siehe Erklärung im nachfolgenden Absatz).

Genau hier hapert es offensichtlich. Grundsätzlich ist das nur teilweise richtig, denn das trifft nicht immer zu. Es gibt Anfragen/Requests, die als Antwort/Response nur einen Status-Code enthalten und eben keinen Inhalt (also keine Daten).

Wenn man das Setup nachstellt, sieht man, dass der POST-Request aus dem Datenmitschnitt (an die Domain analytics-api.prd.mobimeo.com) lediglich mit dem HTTP-Status Code 200 vom Server quittiert wird - mehr nicht. Es folgt eben keine weitere Kommunikation um z.B. eine Konfiguration, Bilder, CSS-Dateien, Fahrplaninformationen usw. an den Client zu schicken. Diese Kommunikation ist sozusagen eine Einbahnstraße. Diese „Einbahnstraße“ dient lediglich dem Ausleiten von Informationen, mehr nicht.

Der Fall wäre anders, wenn hier eine tatsächliche Kommunikation stattfindet und man vom Server irgendwelche Informationen bekommen würde, von der die Anwendung abhängig ist.

Mehr braucht der eigene Server auch nicht, um das Gerät zu registrieren. Darum ist auch ganz oben im Mitschnitt „user agent“ zu sehen, gefolgt von den Gerätedaten. Wie lange sollen hier noch abstrakte Erklärungen zu dieser Abfrage gegeben werden? Wo werden hier Daten abgegriffen, die gegen §25 TTDSG verstoßen??

Überleg mal bitte, was die Registrierung eines Gerätes für einen Sinn hätte, wenn als Antwort ein 200er Status genügt und die Anwendung von diesem Request unabhängig ist

Wenn sich ein Gerät irgendwo registriert, werden z.B. Tokens oder Session-Keys ausgetauscht, welcher dann für nachfolgende Anfragen verwendet wird und in der Gültigkeit zeitlich begrenzt sind.

Machst du das eigentlich extra? Du siehst doch, welche Daten gleich nach Start der App übertragen werden. Es steht ja da klar und deutlich. Das ist ein erster Handshake der App. Eine Initialisierung. Eine erste Erfassung des Gerätes, auf welchem die App installiert ist. Grundlegende Eckdaten des Gerätes. Hauptsächlich für Firebase.

Wie bringen uns deine Fragen hier überhaupt weiter? Kannst du aich meine vielleicht beantworten?

• Welche Daten, die hier übermittelt werden, verletzen §25 TTDSG und warum?
• Weißt du, was der Dienst Crashlytics bereitstellt oder welchen Zweck er hat?

Die Antwort auf die letzte Frage ist ganz simpel, vorausgesetzt, man hat es verstanden!

So kann man es sehen - fein für mich. Allerdings ist datenschutzrechtlich deine Argumentation nicht überzeugend. Zumal sie selbst die Angaben aus der Datenschutzinformation des Verantwortlichen (und das ist nicht Mobimeo) ignoriert.

Der Verantwortliche heißt „Mobility inside“ und ist ein deutsches Tochterunternehmen von Mobimeo, mit Schwerpunkt auf den deutschen ÖPNV. Da wir in der EU noch keinen gemeinsamen ÖPNV und ein sehr breites Angebot an Verkehrsunternehmen in D haben, macht es auch Sinn.
Willst du jetzt ernsthaft ankreiden, dass Mobility inside die Domain mobimeo.com benutzt, was unter solchen Umständen völlig normal ist, denn so machen das Tochterunternehmen gerne mal? Darum ist meine Argumentation nicht überzeugend? Wäre sie überzeugender, wenn ich meinen Wissensstand in dieser Angelegenheit zurückschraube und mich der breiten Masse hier anschließe und auch behaupte, Mobimeo ist ein Drittunternehmen?

Wer greift hier laut Mitschnitt unerlaubt Daten ab, sodass er gegen §25 TTDSG verstößt? Warum werden diese Daten ermittelt und wer oder was steckt dahinter?

Die allgemeine Auffassung hier ist nicht nachvollziehbar. Es fallen Schlagwörter wie „Google“, „Firebase“, „Crashlytics“, „analytics“ und absolut völlig unbekannte Firmen wie „mobimeo“ und die App wird sofort negativ abgewertet. Ohne Sinn und Verstand! Es hätte Hr. Kuketz doch wenigstens auffallen müssen, dass beide Apps völlig identisch Daten bzgl. Firebase Crashlytics übertragen. Dasselbe Schema. Dieselben Infos. Er hat diesen Dienst sogar verlinkt! Dort steht, was es ist. Und: Wird alles gekonnt ignoriert und in einen falschen Zusammenhang gestellt.

Bisher, nach ca. 60 Posts, dreht sich noch immer die gesamte Diskussion im Kreis. Aber noch besser ist: Nichts wurde bisher abschließend geklärt. Bei der besagten Device-ID (ganz schlimm deren Abfrage!!) weiß noch immer niemand so genau, was das eigentlich ist. Aber trotzdem ist es schlimm, dass sie abgefragt wird. Warum? Ach egal, hört sich dramatisch an und ist bestimmt hochsensibel.

Hr. Kuketz stellt bei jedem Mitschnitt den Zusammenhang her zu Marketing, Analysen diesbezüglich und Werbung. Damit hat das aber nichts zu tun! Hat sich hier irgendwer mal gefragt, was dieses „X“ am Anfang jeder Zeile des Mitschnitts für eine Bedeutung hat? Woher das kommt? Niemand hier geht der Sache auf den Grund oder macht sich über Hintergründe Gedanken. Niemand. Aber beschweren tun sich alle darüber.