Ursprünglich veröffentlicht: https://www.kuketz-blog.de/deutschlandticket-apps-49e-plus-datenweitergabe-an-google-und-co-deutschlandticket-teil1/
1. One-Ticket-To-Rule-Them-All Das Deutschlandticket (49,- €) ist am 1. Mai 2023 gestartet. Erhältlich ist das Ticket laut der FAQ (Bundesregierung): Kundinnen und Kunden können das Deutschlandticket bei allen Verkehrsunternehmen und -verbünden erwerben. Das Ticket wird digital angeboten – also per App oder auf einer Chipkarte. Übergangsweise wohl auch als Papierticket mit QR-Code – aber nur bis maximal zum 31. Dezember 2023. Leser des Kuketz-Blogs wissen, dass es App-Anbieter leider oftmals nicht so genau mit den Datenschutzgesetzen nehmen und sowohl die DSGVO als auch das TTDSG (sträflich) missachten. Im Rahmen der Serie »App-Check« werden Apps auf ihr Datensendeverhalten geprüft. Ergebnisse daraus haben…
Es gibt auch noch diese Seite (plus separater App): https://deutschlandticket.de/ und https://play.google.com/store/apps/details?id=de.deutschlandticket.app
Es ist doch merkwürdig, dass jeder Verkehrsverbund und noch ein paar andere Anbieter jetzt eine eigene App anbieten. Das geht doch den Verdacht, dass es da um etwas lukrativeres als den Ticketverkauf geht und das sollte tatsächlich geprüft werden.
Fände es gut, wenn die Apps der Verkehrsbetriebe unter die Lupe genommen werden.
Zum Beispiel MVG-Info und MVGO der Münchner Verkehrsbetriebe (MVV).
Moin, ich möchte für weitere Tests die App des „Verkehrsverbund Bremen/Niedersachsen /VBN“ vorschlagen. Dieser Verbund umfasst ein sehr großes Gebiet - sowohl räumlich als die Anzahl an potentiell betroffenen Personen.
Zitat der Webseite: „Fahrt planen […] Meter- und minutengenau für Bremen, Niedersachsen, Hamburg, Rostock und den deutschlandweiten Zugverkehr“ Quelle: https://www.vbn.de/service/fahrplaner-app
Die App vom ESWE scheint laut Analyse von Exodus Privacy trackerfrei zu sein. https://www.eswe-verkehr.de/eswe-verkehr-app.html
Falls sich das bei einer genaueren Analyse bestätigt, könnte es eine datenschutzfreundliche Option sein.
Würde es nicht reichen, einfach den QR-Code zu speichern und die App links liegen lassen?
Hab auch schon die ersten Rückmeldungen gehört, dass QR-Codes von fremden Verkehrsverbünden im Bus/Zug manchmal nicht ausgelesen werden können. Das ist doch mal ne datenschutzfreundliche Digitalstrategie. 
Warum wird einem nicht einfach eine pdf mit QR-Code angeboten? Dann bräuchte man sich mit den ganzen Apps nicht rumärgern.
Ich finde es auch eine Frechheit, dass es Verkehrsverbünde gibt, die keine Chipkarte anbieten. Wo bleiben dann die, die kein Smartphone haben? Es gibt eben auch Leute, die aus Prinzip keines haben oder aus Altersgründen oder was auch immer.
@kuketzblog Wirst du die jeweiligen Verkehsverbünde/App-Anbieter mit den Ergebnissen konfrontieren?
Wenn das sogar die Deutsche Bahn kann … 
Bei uns sieht es auch lustig aus.
Hier kommt die APP Moovme zum Einsatz
https://play.google.com/store/apps/datasafety?id=de.hafas.android.mdv
4 Tracker
- AltBeacon
- Google AdMob
- Google Firebase Analytics
- Matomo (Piwik)
Quelle:
https://reports.exodus-privacy.eu.org/de/reports/de.hafas.android.mdv/latest/
Nach dem Download und dem Start wird man mit dem „Schutz Ihrer Daten“ begrüßt
dem Link der Datenschutzerklärung kann man auf https://app.moovme.de/datenschutz-de/
folgen
Zugriffe auf
danach folgt die Abfrage bezüglich Standortzugriff
und die Wahl des Ticketshops
Unter Einstellung ist direkt das Senden von Nutzungsstatisiken aktiviert und sollt dekaktiviert (opt-out) werden
Das Ticket gibt es bei uns aktuell nur über die APP. Für 10Euro mehr im Monat kann man das Ticket upgraden https://www.vms.de/ticket/vms-deutschlandticketplus/ , aber natürlich gibt es dieses Zusatzticket nicht digital sondern in „Papierform“
Die Deutsche Bahn bietet für das Deutschlandticket mW auch keinen QR-Code an (wie bei ihren sonstigen Onlinetickets), sondern einen Bestellcode, den man dann in seine App zu übertragen hat, wo sich das Ticket generiert. Aber generell sollte man meinen, dass PDF mit QR ein einfach gangbarer Weg wäre. Scheint bloß vor lauter Apphype seitens der Umsetzer nicht so beliebt zu sein.
Ein ausdruckbares PDF mit QR gibt es zb bei deutschlandticket.de, die gehören zu Transdev.
Ich gehe wie gesagt davon aus, daß das billige Gemeinschaftsprodukt „Deutschlandticket“ den Verkehrsunternehmen und -Verbünden eben nur mit dem Benefit der ultimativen und bequemen Abschöpfung der (Bewegungs-) Daten von möglichst allen Fahrgästen Deutschlandticket-Konsumenten durchgesetzt werden konnte.
https://www.kuketz-forum.de/t/deutschlandticket-app/2874/5?u=bit
„MVG-Fahrinfo“ und „MVGO“ sind Apps der Münchner Verkehrsgesellschaft = MVG.
MVV ist dagegen der Münchner Verkehrsverbund, der die „MVV-App“ vertreibt.
Aber ja, einen Vergleich zum Umgangs mit Datenschutz zwischen MVGO und MVV-App fände ich als Münchner auch sehr interessant.
Was ich cool fände, wenn du dir das genauer anguckst:
Von https://www.mopla.solutions/ ist die Datenschutzerklärung ziemlich ausführlich, leider Datenschutztechnisch aber ziemlich bedenklich. Aber das tolle ist, dass man beim ersten Kauf bis zum 31.5. 10€ Rabatt bekommt. 
Und einfach bis zum Anfang des Monats kündigen kann, oder das Ticket für bis zu 3 Monate pausieren lassen kann. Auch kann man das Ticket wohl einfach als PDF ausdrucken, auf dem Handy speichern oder die App / Website nutzen. Eine Schufa Abfrage wird dort nicht gemacht. Es lässt sich mit Kreditkarte zahlen (SEPA ist gerade in arbeit).
Die speichern alles in der Google Cloud und nutzen intensiv Google Firebase & Co. alles geht über die Server von Unternehmen, wie Google (App & webApp) / Amazon (website). Krass finde ich auch den in der Datenschutzerklärung beschriebenen gebrauch von Facebook:
Wir nutzen die Funktion des erweiterten Abgleichs innerhalb der Meta-Pixel.
Der erweiterte Abgleich ermöglicht uns, verschiedene Arten von Daten (z.B. Wohnort, Bundesland, Postleitzahl, gehashte E-Mail-Adressen, Namen, Geschlecht, Geburtsdatum oder Telefonnummer) unserer Kunden und Interessenten, die wir über unsere Website sammeln an Meta (Facebook) zu übermitteln.
Facebook Conversion API ermöglicht es uns, die Interaktionen des Websitebesuchers mit unserer Website zu erfassen und an Facebook weiterzugeben, um die Werbeperformance bei Facebook zu verbessern.
Hierzu werden insbesondere Zeitpunkt des Aufrufes, die aufgerufene Webseite, Ihre IP-Adresse und Ihr User-Agent sowie ggf. weitere spezifische Daten (z. B. gekaufte Produkte, Wert des Warenkorbs und Währung) erfasst. Eine vollständige Übersicht über die erfassbaren Daten finden Sie hier: https://developers.facebook.com/docs/marketing-api/conversions-api/parameters
Ich frage mich manchmal was besser ist: eine ausführliche Datenschutzerklärung, die gruselig ist, oder eine nichtssagende standard Datenschutzerklärung, wo man vermutet, dass sie nicht stimmt, weil sie nichtssagend ist oder gar falsche / fehlende Angaben macht?
Wäre cool, wenn man, wie hier: https://social.bau-ha.us/@JoergSorge/110207697801507158 oder hier: https://github.com/Kattuul/Neuland-Ticket/blob/main/Deutschlandticket%20-%20Chipkarte_Papierfahrkarte%20(bundesweite%20Übersicht)%20-%20Stand_01.05.2023.csv die verschiedenen Anbieter vergleichend zusammenträgt.
Ich frage mich langsam, wo das alles noch hinführen soll. Wie kann so etwas legal sein? Nur weil man mit den Öffis fahren möchte, werden so viele persönliche Daten an Facebook (!) weiter gegeben. Man sollte das Auto lieber stehen lassen und Öffis fahren. Ja, eigentlich schon, so aber nicht!!! Die zunehmende Digitalisierung in allen Lebensbereichen ist ja schon fast gleichzusetzen mit Verlust des Datenschutzes. Es ist unglaublich wie selbstverständlich persönliche Daten immer an irgendwelche Unternehmen weiter gegeben werden. Warum muss man überhaupt immer Datenschutzerklärungen durchlesen und versuchen gegen Alles einen Widerspruch einzulegen? Warum kann man heutzutage nicht einfach irgendwelche Sachen kaufen und die Daten bleiben auschließlich zwischen Käufer und Verkäufer? Ich finde es langsam total absurd, wohin das Alles läuft…
Was hier noch gar nicht zur Sprache kam:
Eine gute Option ist doch das Job- oder Firmenticket, wenn es angeboten wird.
Hier wird wahrscheinlich keine Sepa Prüfung stattfinden, da der Arbeitgeber bezahlt. Zudem wird das Ticket dadurch sehr günstig.
Ich will aber immer wieder betonen, dass dies kein Problem der Digitalisierung an sich ist.
Sondern einfach der Umsetzung geschuldet ist.
Man kann auch Datenschutzkonform digitalisieren.
Leider ist der Weg über Google und Co. leichter und vor allem auch billiger.
Beim JobTicket BW erhälst du einen Zuschuss über 25€. Das Ticket musst du aber selbst bezahlen bspw. via SEPA Lastschrift.
Ich stimme deinem Post in vollem Umfang zu!
Das Problem dabei ist jedoch, dass man natürlich auch datenschutzkonform digitalisieren kann, dies aber kaum jemand tut. Die Gründe sind sicher vielfältig: Kosten, Bequemlichkeit, Zeitmangel, kein Interesse an Datenschutz, …
Unterm Strich bedeutet Digitalisierung daher meistens (unnötigerweise!), dass der Datenschutz Geschichte ist.
Rufe ich mit Android eine Website auf, ist nicht automatisch ein Standard der verwendeten Hardware festgelegt. Smartphone, Tablet, DPI-Werte, Android Version sind alles entscheidene Parameter für eine korrekte Darstellung des Webinhalts. Wird dies nicht berücksichtigt, wird es zu Schwierigkeiten bei der Darstellung und Funktionalität beim Benutzer kommen. Logischerweise werden solche Parameter abgefragt, bevor ich überhaupt die Seite angezeigt bekomme. Eine vorherige Zustimmung müsste also auf alternativen Wegen erfolgen.
Selbst hier, auf dieser Website, ist das nicht anders. Da ihr eure eigenen Scripts verwendet, solltet ihr auch genau wissen, dass der User Agent der Besucher hier verarbeitet wird, um die Kompatibilität des Browsers zu checken. Der User Agent hält noch mehr Infos bereit, als im Zitat erwähnt wird.
Ich finde es Interessant, dass nach der Geräte-ID noch weitere Merkmale aufgezählt werden, die „unerlaubt“ von Mobimeo „analysiert“ werden. Mir reicht die Geräte-ID alleine schon völlig aus, um den Rest dank Google auf zig verschiedenen Datenblättern nachzulesen. Displayauflösung, Modellbezeichnung etc. wird wohl jeder hier rausbekommen.
Merkwürdigerweise werden die Aussagen hier immer sehr schwammig, wenn es ums Detail geht. Was macht Mobimeo eigentlich genau? Was wird hier analysiert? Kann man das nicht mal „genauer unter die Lupe nehmen“? Vermutlich deswegen nicht, weil es einem den Wind aus den Segeln nehmen würde…
Meine erste Frage wäre doch, warum kommt Mobineo überhaupt an diese Daten? Warum können sie ausgelesen werden? Und wenn sie ausgelesen werden können und damit bereitstehen, was macht dann Mobimeo falsch?
Mobimeo macht nur folgendes und das ist nun mal legitim: https://developers.google.com/search/blog/2017/01/introducing-mobile-friendly-test-api?hl=de
Sie nutzen einen bekannten Dienst von Google, der offensichtlich auch nicht verboten wurde, aufgrund sträflichen Verhaltens. Man kann sogar im Artikel genau nachlesen, dass es sich um die API-Abfrage handelt. Hätten man alles googlen können.
Datenschutzhinweise kuketz-forum.de:
"2.1 Beim Besuch der Webseite
2.1 Beim Besuch der Webseite
Wenn Sie meine Webseite besuchen, übermittelt Ihr Browser systembedingt gewisse Informationen an den Server, die Sie wiederum identifizierbar machen könnten. So übermitteln Sie bzw. Ihr Webbrowser bspw. Informationen wie die von Ihrem Provider zugewiesene IP-Adresse. Zu den Problematiken, die sich aus dieser systemimmanenten Datenübertragung ergeben können, habe ich mich bereits in einigen Artikeln auf dem Kuketz IT-Security Blog kritisch geäußert.
Dieses systembedingte Verhalten Ihres Browsers können Sie grundsätzlich nicht verhindern und es bleibt Ihnen deshalb auch nichts anderes übrig, als darauf zu vertrauen, dass ich mit den übermittelten Informationen sensibel umgehe. Weil mir – auch wenn es ein wenig abgedroschen klingen mag – der Schutz Ihrer Daten tatsächlich am Herzen liegt, werde ich die übermittelten Informationen bestmöglich Ihre Interessen vertretend handhaben. Aus diesem Grund erhebe, verarbeite oder nutze ich die übermittelten Informationen nicht zu Analyse-, Werbezwecken oder Ähnlichem. Vielmehr verwende ich diese Informationen – entsprechend der Gesetzesintention - nur zum Zweck der Aufrechterhaltung meiner Webservices. Wenn dieser Zweck erreicht ist, werden diese Informationen umgehend automatisiert aus dem sogenannten Logfile gelöscht. Zur Diensterbringung werden folgende Informationen vom Webserver verarbeitet:
- Die Domain, die aufgerufen wird: www.kuketz-forum.de
- Die IP-Adresse des anfragenden Rechners: 192.168.0.10
- Datum und Uhrzeit des Zugriffs: Tag/Monat/Jahr:Uhrzeit
- Um welche Art von HTTP-Request es sich handelt: GET
- Die URL, die aufgerufen wird: /privacy
- Webseite, von der aus der Zugriff erfolgt (Referrer-URL): https://www.kuketz-security.de/
- Der HTTP-Statuscode: 200
- Verwendeter Browser und ggf. das Betriebssystem Ihres Rechners (User-Agent): Mozilla/5.0 (Windows NT 6.1; Win64; x64) Gecko/X Firefox/X
Die Verarbeitung von Logfiles erfolgt zu folgenden Zwecken:
- Gewährleistung eines reibungslosen Verbindungsaufbaus der Webseite
[…]"
Wie habt ihr das Problem gelöst, den Benutzer VOR Besuch der Website nach seiner Zustimmung zu Fragen? Offensichtlich so wie Mobimeo.