[datensicherheit.de, 18.05.2025] Der Digitalcourage e.V. berichtet, dass am 19. Mai 2025 vor dem Landgericht Frankfurt/Main dessen Klage gegen die Deutsche Bahn (DB) verhandelt, indes noch kein Urteil gefällt wurde. „Stattdessen kündigte das Gericht einen zweiten Verhandlungstermin für Mitte Juli an.“ Demnach soll dann ein Sachverständiger hinzugezogen werden. Die „DB-Navigator“-App erlaubt Adobe- und Google-IDs anzulegen sowie Dateien auf dem Gerät zu speichern. Mit diesen IDs könnten Reisende wiedererkannt werden. „Dieses Tracking verstößt aus unserer Sicht gegen geltendes Datenschutzrecht!“ Deshalb hatte Digitalcourage im Oktober 2022 Klage gegen die DB eingereicht.

Gericht hinterfragt DB-Argumentation

Am ersten Verhandlungstag sei deutlich geworden, dass das Gericht die DB-Argumentation, dass diese Tracker unverzichtbar für den Betrieb der App seien, durchaus kritisch sehe. „Wir sind zufrieden mit dem Verlauf der mündlichen Verhandlung heute. Die Kammer war hervorragend in den Sachverhalt eingearbeitet und hat die Prozessvertreter der Deutschen Bahn sehr kritisch zur Erforderlichkeit der verwendeten Cookies befragt“, berichtet Elisabeth Niekrenz von der Kanzlei Spirit Legal, welche Digitalcourage juristisch vertritt.

Im Publikum saßen laut Digitalcourage zahlreiche interessierte DB-Kunden und technisch versierte Menschen. „Der Gerichtssaal war voll besetzt, und auch viele Medien waren vor Ort. Was seitens der Bahn diesem Publikum präsentiert wurde, war teilweise kaum nachvollziehbar.“ Besonders irritierend sei ein juristischer Schachzug der Bahn: „Die Anwälte der Bahn bestritten, dass der unser Kläger padeluun die App tatsächlich genutzt habe.“

Kläger padeluuns Vergleichvorschlag: DB sollte einfach dauerhaft besagte Tracker aus der App entfernen

„Die Argumentation der DB fand ich teilweise abstrus“, kommentiert Rena Tangens, die politische Geschäftsführerin von Digitalcourage, und erläutert: „Der Ticketkauf und die dabei aufgerufenen Tracker sind technisch lückenlos dokumentiert.“ Dass die DB in eigenen Datenschutzhinweisen öffentlich einräume, dass die fraglichen Tracker verwendet würden, mache diese Strategie besonders widersprüchlich. „Vor diesem Hintergrund ist es schwach, wenn die Bahn nun behauptet, im Einzelfall sei das Tracking gar nicht nachgewiesen“, so Tangens.

Auch ein vorsichtiger Vorschlag des Gerichts, über einen Vergleich nachzudenken, blieb nicht unbeantwortet – padeluun, Mitgründer von Digitalcourage und Kläger im Verfahren, reagierte spontan: „Ich wäre für einen einfachen Vergleich: Die Bahn entfernt einfach dauerhaft die drei fraglichen Tracker aus der App.“ Diese Bemerkung habe für allgemeine Heiterkeit gesorgt – und den Kern des Problems auf den Punkt gebracht.

Verbraucher haben das Recht, die DB zu nutzen, ohne ihre Daten an „Datenkraken“ preiszugeben

Mit dem Verlauf der heutigen Verhandlung zeigt sich Digitalcourage zufrieden: „Wir begrüßen ausdrücklich, dass sich das Gericht Zeit nimmt, die technischen Fragen zu prüfen und dafür auch eine sachverständige Perspektive einholen möchte“, sagt Tangens. Dies zeige, dass ihre Klage ernst genommen und die Bedeutung des Verfahren erkannt werde.

Der Fortsetzung im Juli 2025 sieht Digitalcourage mit Zuversicht entgegen und hofft auf eine Entscheidung, „die den Datenschutz stärkt und klar macht, dass Menschen in Deutschland das Recht haben, Bahn zu fahren, ohne dass ihre Daten an ,Datenkraken’ weitergegeben werden“.

Weitere Informationen zum Thema:

digitalcourage, 19.05.2025
Prozessauftakt / Unsere Klage gegen den DB Schnüffel-Navigator wird verhandelt

digitalcourage
DB Schnüffel-Navigator / Die Bahn-App „DB Navigator” ist voll mit Trackern, die uns überwachen. Digitalcourage klagt dagegen. Denn wir wollen Bahn fahren – nicht Daten liefern.

BIGBROTHER AWARDS.DE, 2024
Mobilität (2024): Deutsche Bahn AG

digitalcourage, Julia Witte, 13.06.2023
DB Schnüffel-Navigator / Neues von unserer Klage / … / Mittlerweile hat die Bahn ihre Klageerwiderung eingereicht

digitalcourage
SPIRIT LEGAL: Klageschrift padeluun vs. DB Vertrieb GmbH v. 20.10.2022

digitalcourage, Julia Witte, 20.10.2022
DB Schnüffel-Navigator / Hintergrund: So trackt der DB Navigator

KUKETZ IT-SECURITY, Mike Kuketz, 11.04.2022
DB Navigator: Datenschutz fällt heute aus – App-Check Teil1

datensicherheit.de, 06.05.2025
Verhandlung am 19. Mai 2025: Digitalcourage-Klage gegen DB / Bahn-App „DB Navigator“ gibt viele persönliche Informationen weiter, ohne dass Nutzer sich dagegen wehren könnten

datensicherheit.de, 20.07.2022
DB Navigator: Digitalcourage bereitet Klage wegen erheblicher Datenschutzprobleme vor / Digitalcourage fordert, Privatsphäre der Fahrgäste zu achten und keine Daten mehr unerlaubt weiterzugeben

[datensicherheit.de, 06.05.2025] Der Digitalcourage e.V. engagiert sich seit 1987 für Grundrechte, Datenschutz und „eine lebenswerte Welt im Digitalen Zeitalter“. Bereits seit Längerem wird moniert, dass die Bahn-App „DB Navigator“ viele persönliche Informationen weitergibt, ohne dass Nutzer sich dagegen wehren könnten. „Digitalcourage hat deshalb im Oktober 2022 Klage gegen die Deutsche Bahn eingereicht. Nach über zwei Jahren juristischer Verzögerungstaktik des Konzerns steht nun endlich der Termin für die mündliche Verhandlung fest: Am 19. Mai 2025 ab 11.30 Uhr wird vom Landgericht Frankfurt am Main darüber entschieden, ob die Weitergabe von personenbezogenen Daten an Datenkraken beim Zugang zu Grundversorgungsangeboten rechtens ist.“

Mike Kuketz hatte 2022 den „DB Navigator“ analysiert

Die anstehende Verhandlung habe eine Vorgeschichte: Der IT-Sicherheitsforscher Mike Kuketz analysierte demnach 2022 den „DB Navigator“ und entdeckte erhebliche Datenschutzprobleme. „Er stellte Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) sowie gegen das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) fest.“ Diese App sei voll mit Trackern – Technologien, welche das Verhalten der Nutzer überwachten und Daten sammelten, selbst ohne deren ausdrückliche Einwilligung.

„Denn die Bahn behauptet, diese Tracker seien technisch notwendig für den Betrieb. In der Abfrage heißt das verharmlosend: ,Nur erforderliche Cookies zulassen’ – diese können nicht abgewählt werden.“ Unter den Daten seien Informationen wie Anzahl der Reisenden, ob ein Kind mitfährt, Abfahrtstag, Start- und Zielbahnhof. Auch die Stiftung Warentest habe unabhängig das Datensendeverhalten der App überprüft und kam zu dem kritischen Ergebnis: „,DB Navigator’ übermittelt mehr Daten als nötig“. Insgesamt würden Daten an zehn Unternehmen und Dienstleister abfließen, darunter Google und Adobe.

Grundsatzentscheidung voraus: Die DB ist kein x-beliebiger App-Anbieter, sondern Teil staatlicher Grundversorgung

Was diesen Fall laut Digitalcourage so brisant macht: „Die Deutsche Bahn ist kein x-beliebiger App-Anbieter, sondern Teil der staatlichen Grundversorgung. Wer zur Arbeit pendelt, Angehörige besucht oder sich über Bahnverbindungen informiert, kommt an der App kaum noch vorbei.“ Diese biete Informationen zu Verspätungen, Anschlusszügen, aktueller Wagenreihung und ermöglicht den Ticketkauf an Bord. Manche Services seien gar ohne diese App nicht mehr verfügbar.

„Das macht sie für viele Menschen unverzichtbar – das bedeutet Digitalzwang!“ Dieser liege vor, „wenn es keine analoge oder datenschutzfreundliche Alternative zu einem Produkt oder Service gibt, obwohl sie realisierbar wäre“. padeluun, Mitgründer von Digitalcourage und der Kläger in dieser Sache, kommentiert: „Wer reisen will, wird zur App gezwungen – und wer die App nutzt, wird ausgespäht. Das ist Digitalzwang und Datenmißbrauch…“ Sie klagen laut padeluun, „weil Grundrechte nicht an der Bahnsteigkante enden“.

Nach Einreichung der Klage Übertragung des Navigator-Betriebs auf DB Fernverkehr AG…

Die Deutsche Bahn habe versucht, sich mit juristischen Tricks aus der Verantwortung zu stehlen. „Nach Einreichung der Klage übertrug die DB Vertriebs GmbH den Betrieb des ,DB-Navigators’ auf die DB Fernverkehr AG, was den Prozessbeginn durch einen Gerichtswechsel erheblich verzögerte und zugleich den Streitwert verdoppelte.“

Der auf IT- und Datenschutzrecht spezialisierte Rechtsanwalt Peter Hense vertritt padeluun juristisch – er kritisiert das Verhalten der Bahn: „Ich hätte mir einen kürzeren Prozess gewünscht. Immerhin hat die Rechtsprechung in den letzten Jahren aber unmissverständlich klargestellt, dass die Tracking-Spielchen auf Apps und Website ein Ende haben müssen. Ob Google oder Telekom, Focus oder kik, überall haben wir mittlerweile dem Recht auf Informationelle Selbstbestimmung zur Geltung verholfen.“

Datensendeverhalten des „DB-Navigator“ klarer Verstoß gegen TDDDG sowie DSGVO

Der Jurist ist überzeugt, dass das Datensendeverhalten des „DB-Navigator“ einen klaren Verstoß gegen das TTDSG (heute: Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz / TDDDG) sowie die europäische Datenschutzgrundverordnung (DSGVO) darstellt: „Die Bahn hat kein Recht auf heimliches Tracking, nur weil Reisende auf sie angewiesen sind. Sie ist und bleibt ein grundrechtsgebundenes Staatsunternehmen. Der in Teilen des Konzerns vorherrschende Glaube, über dem Gesetz zu stehen, ist vielleicht bequem, aber keineswegs zutreffend.“

Für Digitalcourage ist klar: „Bahnfahren gehört zur Grundversorgung in unserer Gesellschaft. Wer reisen will, darf nicht gewzungen werden, persönliche Daten preiszugeben und es muss auch ohne Smartphone und Digitalzwang möglich sein, am öffentlichen Leben teilzuhaben. Das Tracking im ,DB-Navigator’ ist zudem ein Verstoß gegen geltendes Recht.“

DB unmissverständlich klarmachen, dass Nutzung der Bahn ohne Daten-Weitergabe möglich sein muss

„Wir wollen dem Konzern unmissverständlich klarmachen, dass Menschen in Deutschland das Recht haben, Bahn zu fahren, ohne dass ihre Daten Datenkraken weitergegeben werden.“ Da der Konzern bisher uneinsichtig gewesen sei, werde nun das Gericht die Bahn von der Rechtslage überzeugen müssen.

Verhandlungstermin:

• Montag, 19. Mai 2025, 11.30 Uhr
  Landgericht Fankfurt am Main
  Gerichtsstraße 2
  60313 Frankfurt am Main

Anwesend bei der Verhandlung sind (ohne Gewähr):

• padeluun, Künstler und Netzaktivist, Gründer von Digitalcourage e.V., Kläger
• Peter Hense, Rechtsanwalt für IT- und Datenschutzrecht
• Rena Tangens, Gründerin und politische Geschäftsführerin von Digitalcourage e.V.

Weitere Informationen zum Thema:

digitalcourage
DB Schnüffel-Navigator / Die Bahn-App „DB Navigator” ist voll mit Trackern, die uns überwachen. Digitalcourage klagt dagegen. Denn wir wollen Bahn fahren – nicht Daten liefern.

BIGBROTHER AWARDS.DE, 2024
Mobilität (2024): Deutsche Bahn AG

digitalcourage, Julia Witte, 13.06.2023
DB Schnüffel-Navigator / Neues von unserer Klage / … / Mittlerweile hat die Bahn ihre Klageerwiderung eingereicht

digitalcourage
SPIRIT LEGAL: Klageschrift padeluun vs. DB Vertrieb GmbH v. 20.10.2022

digitalcourage, Julia Witte, 20.10.2022
DB Schnüffel-Navigator / Hintergrund: So trackt der DB Navigator

KUKETZ IT-SECURITY, Mike Kuketz, 11.04.2022
DB Navigator: Datenschutz fällt heute aus – App-Check Teil1

datensicherheit.de, 20.07.2022
DB Navigator: Digitalcourage bereitet Klage wegen erheblicher Datenschutzprobleme vor / Digitalcourage fordert, Privatsphäre der Fahrgäste zu achten und keine Daten mehr unerlaubt weiterzugeben

[datensicherheit.de, 31.07.2024] Der TÜV-Verband e.V. geht in seiner aktuellen Stellungnahme auf den mit gestaffelten Übergangsfristen in Kraft tretenden Europäischen „AI Act“ ein – der TÜV-Verband begrüßt demnach diese Regelung und fordert eine rasche Klärung offener Umsetzungsfragen. Das „TÜV AI.Lab“ entwickele zudem ein kostenloses Online-Tool zur Risikoklassifizierung von KI-Systemen und -Modellen – den „AI Act Risk Navigator“.

Abbildung: TÜV AI.Lab

AI Act Risk Navigator: „Classify your Risk according to the EU AI Act“

AI Act kodifiziert erstmals Regeln für KI

Der TÜV-Verband unterstützt nach eigenen Angaben das Inkrafttreten des europäischen „AI Act“, womit erstmals Regeln für Künstliche Intelligenz (KI) festlegt würden. Damit werde nun ein global führender Rechtsrahmen für sichere und vertrauenswürdige KI geschaffen.

„Der ,AI Act’ bietet die Chance, vor negativen Auswirkungen von Künstlicher Intelligenz zu schützen und gleichzeitig Innovationen zu fördern. Er kann dazu beitragen, einen globalen Leitmarkt für sichere ‚KI Made in Europe‘ zu etablieren“, kommentiert Dr. Joachim Bühler, Geschäftsführer des TÜV-Verbands.

Dr. Bühler betont: „Es ist jetzt wichtig, die Umsetzung effizient und unbürokratisch zu gestalten. Unabhängige Stellen spielen dabei eine wesentliche Rolle, nicht nur im Hinblick auf die verbindlichen Anforderungen, sondern auch im freiwilligen KI-Prüfmarkt.“

Gestaffelte Übergangsfristen für KI-Systeme bis 2027

Der „EU AI Act“ soll am 1. August 2024 mit gestaffelten Übergangsfristen in Kraft treten. Sechs Monate nach Inkrafttreten, das heißt ab Anfang 2025, sollten zunächst KI-Systeme verboten werden, die unter anderem manipulative oder täuschende Techniken einsetzen.

Ab dem 1. August 2025 werden dann Verhaltenskodizes für bestimmte Allzweck-KI-Modelle in Kraft treten. Zudem müssten die EU-Mitgliedstaaten nationale Behörden für die Marktüberwachung benennen. Verpflichtende Prüfungen für sogenannte Hochrisiko-KI in Bereichen wie Kreditvergabe, Personalwesen oder Strafverfolgung werden ab August 2026 erforderlich sein – und nicht nur KI-Entwickler betreffen, sondern auch KI-Anbieter, und Betreiber risikoreicher KI.

Ab 2027 sollen dann die Anforderungen an KI in „drittprüfpflichtigen Produkten“ in Kraft treten. Dr. Bühler führt hierzu aus: „Prüfungen von KI-Systemen schaffen Vertrauen und sind schon heute ein Wettbewerbsvorteil. Unternehmen sind gut beraten, sich jetzt mit den Anforderungen vertraut zu machen, insbesondere im Hinblick auf die Übergangsfristen. Es ist wichtig, abzuschätzen, wie und wo der ,AI Act’ ihre Aktivitäten betrifft.“

Herausforderungen der Umsetzung: KI-Risiken sowie Entwicklung systemischer Risiken besonders leistungsfähiger Allzweck-KI-Modellen im Blick behalten

„Eine einheitliche Interpretation und konsequente Anwendung des risikobasierten Ansatzes sind entscheidend, damit der ,AI Act’ in der Praxis wirksam wird – hier sind die Mitgliedsstaaten gefordert“, betont Dr. Bühler. Aus Sicht des TÜV-Verbands sollte besonderes Augenmerk auf eine effiziente und unbürokratische Umsetzung gelegt werden.

Klare Zuständigkeiten und „verantwortliche Stellen“ seien notwendig, um die Regelungen praktisch umzusetzen. So sollten Umsetzungsleitfäden für die Einstufung von Hochrisiko-KI-Systemen vom AI Office (Europäisches KI-Büro) schnellstmöglich veröffentlicht werden, um insbesondere kleinen und mittleren Unternehmen (KMU) Rechtssicherheit zu geben.

Darüber hinaus seien neue KI-Risiken sowie die Entwicklung systemischer Risiken von besonders leistungsfähigen Allzweck-KI-Modellen im Blick zu behalten und der Aufbau einer systematischen KI-Schadensberichterstattung voranzutreiben.

TÜV AI.Lab Risk Navigator zeigt soll helfen, Klarheit über Auswirkungen der KI-Verordnung zu schaffen

Das 2023 als Joint Venture der TÜV-Unternehmen gegründete „TÜV AI.Lab“ soll regulatorische Anforderungen an KI in die Prüfpraxis übersetzen und quantifizierbare Konformitätskriterien sowie geeignete Prüfmethoden für KI entwickeln.

Zum Inkrafttreten des „AI Act“ veröffentlicht das „TÜV AI.Lab“ den „AI Act Risk Navigator“ – ein kostenloses Online-Tool zur Risikoklassifizierung von KI-Systemen. „Mit dem ,AI Act Risk Navigator’ des ,TÜV AI.Lab’ bieten wir eine nutzerfreundliche Anwendung, mit der Unternehmen verstehen können, ob und wie sie vom AI Act betroffen sind“, erläutert Franziska Weindauer, Geschäftsführerin des „TÜV AI.Lab“.

„Unser Ziel ist es, Klarheit über die Auswirkungen der KI-Verordnung zu schaffen, so dass Unternehmen sich rechtzeitig vorbereiten können. Wenn wir Qualitätsanforderungen an Künstliche Intelligenz von Beginn an mitdenken, kann vertrauenswürdige Künstliche Intelligenz zum europäischen Alleinstellungsmerkmal werden.“ Der „AI Act Risk Navigator“ soll dabei Unterstützung bieten, KI-Systeme gemäß den Risikoklassen des „AI Act“ einzuordnen und Transparenz über die geltenden Anforderungen zu schaffen.

Anforderungen je nach KI-Risikoklassifizierung

Die EU-Regulierung teile KI-Anwendungen in vier Risikoklassen mit jeweils unterschiedlichen Anforderungen ein, welche in den kommenden Monaten schrittweise einzuhalten seien. Systeme mit hohem Risiko, die in Bereichen wie Medizin, Kritische Infrastrukturen oder Personalmanagement eingesetzt werden, unterlägen beispielsweise künftig strengen Auflagen und müssten umfassende Anforderungen an Transparenz, Sicherheit und Aufsicht erfüllen.

Bei Verstößen drohten Bußgelder von bis zu 15 Millionen Euro oder bis zu drei Prozent des weltweiten Jahresumsatzes. „Wir wissen, dass das für Unternehmen Fragen aufwirft. Deshalb wollen wir zu größerer Klarheit über das eigene Risikoprofil und die zu erfüllenden Anforderungen beitragen“, unterstreicht Weindauer.

Systeme mit begrenztem Risiko, wie etwa sogenannte Chatbots, müssten nur Transparenzanforderungen erfüllen, während Systeme mit minimalem Risiko, wie z.B. einfache Videospiele, gar nicht reguliert würden. Die risikobasierte Klassifizierung solle sicherstellen, „dass der Einsatz von KI sicher und vertrauenswürdig ist, damit so die Innovationskraft der Technologie und deren Marktdurchdringung weiter gesteigert werden kann“.

Weitere Informationen zum Thema:

TÜV AI.LAB
AI Act Risk Navigator / Classify your Risk according to the EU AI Act

[datensicherheit.de, 20.07.2022] Laut einer aktuellen Meldung des Digitalcourage e.V. plant dieser, die Deutsche Bahn AG (DB) zu verklagen. Anlass ist demnach der „DB Navigator“ – eine Smartphone-App, welche nach Erkenntnissen eines IT-Sicherheitsforschers „erhebliche Datenschutzprobleme“ aufweisen soll. Dagegen möchte Digitalcourage nun klagen, um die DB dazu zu zwingen, „die Privatsphäre ihrer Fahrgäste zu achten und keine Daten mehr ohne Erlaubnis weiterzugeben“. Gesucht wird hierfür nach Unterstützung, um dieser Klage „mehr Gewicht“ zu verleihen.

Digitalcourage moniert: App macht sich quasi unentbehrlich

„Wer viel Bahn fährt, kennt ihn bestimmt: den ,DB Navigator‘. Denn ohne diese Smartphone-App geht es kaum noch – sie bietet Information über Verspätungen und Anschlusszüge, Ticketkauf an Bord und mehr.“

Viele der Funktionen seien bequem, manche Services auf anderem Wege gar nicht mehr zu bekommen. Diese App mache sich quasi unentbehrlich – „gleichzeitig forscht sie uns aus“.

DB Navigator strotzt laut Digitalcourage nur so vor sogenannten Trackern

Digitalcourage betont indes die Wichtigkeit der DB – mit ihr zu fahren gehöre zur Grundversorgung. Deshalb möchten die Initiatoren der Klage, „dass alle Bahn fahren können – und zwar ohne ausspioniert zu werden“.

Doch leider strotze der „DB Navigator“ nur so vor sogenannten Trackern. Das heißt laut Digitalcourage: „Wenn wir diese App nutzen, fließen im Hintergrund haufenweise Informationen über uns an Adobe, Google und Co. Die DB-App lässt nicht zu, dass wir das abschalten.“

IT-Sicherheitsforscher und auf IT- und Datenschutzrecht spezialisierter Anwalt kooperieren mit Digitalcourage

Der IT-Sicherheitsforscher Mike Kuketz habe den „DB Navigator“ gründlich analysiert und dabei erhebliche Datenschutzprobleme festgestellt. Auch Peter Hense, ein auf IT- und Datenschutzrecht spezialisierter Anwalt, halte diese App für „rechtswidrig“.

Gemeinsam mit diesen Experten hatte Digitalcourage nach eigenen Angaben Ende April 2022 die DB dazu aufgefordert, die Mängel zu entfernen. „Dafür hatten wir der DB eine Frist von zwei Monaten eingeräumt. Doch die Bahn hat in ihrer Antwort klar gemacht, dass sie nicht vorhaben, das Tracking aufs Abstellgleis zu rollen.“

Weitere Informationen zum Thema:

digitalcourage
DB Schnüffel-Navigator / Jetzt unsere Klage gegen die Bahn-App unterstützen!

digitalcourage
DB Schnüffel-Navigator / Unsere Kampagne unterstützen