Die Nahverkehrs-App "BWeit" ermöglicht den Ticketkauf für den Öffentlichen Nahverkehr in Baden-Württemberg (darunter auch der Verkehrsverbund Pforzheim) am Smartphone - allerdings nur nach Freigabe einer Menge von Zugriffsrechten.
(Lesezeit: 12 Minuten)Nachdem im Jahr 2020 mehrere Verkehrsverbünde in Baden-Württemberg – darunter auch der Verkehrsverbund Pforzheim-Enzkreis (VPE) – mit dem landesweiten Pilotprojekt „CICO-BW“ ein System zum Kauf von Tickets am Smartphone entwickelt haben, gibt es nun das namensgleiche System „CiCoBW“. Mit diesem System für „Gelegenheitsgäste“ werde „Bus- und Bahnfahren in Baden-Württemberg kinderleicht“, so die Stuttgarter Straßenbahnen AG (SSB) in einer Pressemitteilung im Sommer diesen Jahres.
Ermöglicht wird das mit der Möglichkeit, das notwendige Ticket beim Einsteigen in das Verkehrsmittel via App zu lösen. Steigt der Passagier dann an seinem Ziel wieder aus, erkennt die App dies. Anhand der ermittelten Daten soll dann die App den „bestmöglichsten“ Preis ermitteln und stellt diesen am Ende des Tages dann in Rechnung. Letzteres deshalb, weil erst am Tagesende ermittelt werden kann, ob bei mehreren Fahrten am Tag ein Tagesticket eventuell die billigste Variante ist.
Die Idee dahinter nennt sich „Check-In/Be-Out“ im Gegensatz zum Ansatz „Check-In/Check-Out“ bei dem der Benutzer am Zielort manuell in der entsprechenden Ticket-App die Fahrt beenden muss. Integriert ist dieses baden-württembergische „CiCoBW“-System nun erstmals in einer App namens „BWeit“ des Verkehrs- und Tarifverbunds Stuttgart (VVS). Da „CiCoBW“ für ganz Baden-Württemberg ausgelegt ist, funktioniert diese App auch im Bereich des VPE.
Was sich alles sehr praktisch anhört – immerhin hat der VPE vor einigen Tagen die Einführung im Rahmen einer Pressekonferenz gefeiert – und den lästigen Papierticket-Kauf ablösen könnte, ruft nach einer genaueren Untersuchung der Arbeitsweise der App. Wir haben hierzu die Android-Version der App im Google Play Store heruntergeladen und installiert – und staunten von der ersten Minute an über den Datenhunger der App. Die hier verwendeten Screenshots stammen aus der App (Version 3.1.2). Erstellt wurden die Screenshots am 2. Oktober 2023.
Account-Anlage – und die erste notwendige Berechtigung
Direkt nach dem Start der App wird der Benutzer mit der Anforderung der ersten notwendigen Berechtigung begrüßt, nämlich die für den Standortdienst von Android. Das ist für eine App, die entfernungsbasierte Tickets anbietet, auch plausibel, denn nur wenn die App „weiß“, wo eine Busfahrt startet und endet, kann sie die Entfernung beziehungsweise die gefahrene Strecke ermitteln.
Diese Berechtigung brauchen alle Apps, die in Sachen Gerätestandort eine automatische Standortermittlung anbieten oder zwingend benötigen. Da diese Berechtigung einen Zugriff auf sensible Daten ermöglicht – Standort- beziehungsweise Bewegungsdaten sind das – ist in aktuellen Android-Versionen Anfrage für das Geben dieser Berechtigung immer auch mit der Frage verbunden, ob man diese Berechtigung dauerhaft geben möchte oder nur dann, wenn die App auch aktiv genutzt wird. Letzteres genügt bei „BWeit“ – eine Einstellmöglichkeit, die man als Nutzer allerdings gerne von der App erklärt bekommen hätte, bevor man sich entscheiden muss.
Bei der Neuanlage des eigentlichen Benutzer-Accounts geht es dann verhältnismäßig datensparsam zu. Neben Namen und Anschrift ist lediglich eine E-Mail-Adresse und das Geburtsdatum erforderlich. Die Angabe einer Telefonnummer ist optional. Zwingend hinterlegt werden muss im weiteren Verlauf dann ein Zahlungsmittel, das aktuell nur ein Girokonto mit SEPA-Lastschrifteinzug sein kann.
Weitere erforderliche Berechtigungen
Nach der Registrierung erwartet den Nutzer auf der Startseite der „BWeit“-App nun zunächst zwei auffällige Warnhinweise. Der erste Warnhinweis fordert den Nutzer auf, „Berechtigungen zu erteilen“. Womit also genau genommen gemeint ist, dass noch weitere Berechtigungen erteilt werden müssen. Und hier wird es nun spannend.
Bei der erwünschten Berechtigung, ohne die der Ticketkauf in der App nicht funktioniert, handelt es sich um die Berechtigung, auf Daten der „Körperlichen Aktivitäten“ zugreifen zu können. Argumentiert wird dieser Zugriff damit, dass die App wissen müsse, ob sich ein Benutzer in einem Fahrzeug bewegt oder zu Fuß, um bei einer aktiven Fahrt ermitteln zu können, wann der Nutzer wieder aussteigt und die App dann davon ausgehen kann, dass die Fahrt beendet ist. Die Pressestelle der SSB, schreibt dazu auf unsere Anfrage hin folgendes:
„Um das Reiseende zu erkennen, verwendet die App bei den ‚Körperlichen Aktivitäten‘ ausschließlich die Parameter ‚Bewegungstyp‘ und ‚Sicherheit (Confidence) des Bewegungstyps‘. Sie zeigen, ob und mit welcher Sicherheit das Mobiltelefon in einem (ÖPNV)-Verkehrsmittel ist, oder sich die nutzende Person zu Fuß/mit dem Fahrrad bewegt, und somit kein Fahrtpreis berechnet werden soll.“
Was sich so harmlos anhört, hat es allerdings in sich: Zum einen kann der Nutzer den Zugriff auf die Daten der „Körperlichen Aktivität“ im Gegensatz zu den Standortdaten nicht darauf beschränken, nur von einer aktiven App genutzt zu werden – Daten zu den körperlichen Aktivitäten, wie sie beispielsweise von Fitness-Apps generiert werden, werden permanent aufgezeichnet.
Dazu kommt dann auch noch, dass mit dieser Berechtigung nicht nur die gewünschten Sensordaten abgerufen werden können, sondern theoretisch eine ganze Reihe von anderen Daten wie beispielsweise die Schrittzahl, mit der Fitness-Apps beispielsweise den Aktivitätsverlauf nachvollziehen. Hinzukommen in diese Berechtigungsrubrik auch noch errechnete Werte wie beispielsweise der Kalorienverbrauch des aktiven Nutzers.
Auch wenn die BWeit-App mit diesen Daten nicht viel anfangen kann und die Pressestelle durchaus plausibel argumentiert, auch nur die oben genannten Sensordaten abzurufen – eine App, die die Berechtigung zu den Daten der „Körperlichen Aktivität“ bekommen hat, kann potentiell auch auf alle Daten zugreifen, die unter dieser Kategorie anfallen. Theoretisch kann das dann ein Problem werden, wenn die so berechtigte App beispielsweise aufgrund eines Programmfehlers Unberechtigten einen Abruf von Daten ermöglichen könnte, die sie eigentlich nicht braucht.
Was auf jeden Fall ein Problem ist: Zusammen mit den Standortdaten lassen sich mit diesen Aktivitätsdaten extrem genaue Bewegungsprofile erzeugen, die theoretisch buchstäblich auf den Schritt genau den Weg eines Nutzers nachvollziehbar machen. Die Datenschutzerklärung der App schließt so eine Speicherung von „Rohdaten“, die nicht zu Abrechnungszwecken dienlich sind, zwar aus. Generell aber gibt es andere Smartphone-Ticketlösungen, die auf solche automatischen Bewegungserkennungen verzichten oder diese optional anbieten und der Nutzer seine Fahrt manuell – und damit datensparsamer – beenden kann.
Der Verzicht auf Bewegungsdaten würde nämlich eine weitere, in dieser App notwendige Berechtigung unnötig machen, nämlich die Hintergrundausführung. Diese fordert die App nämlich auf ihrer Startseite im zweiten roten Warnhinweis ebenfalls zwingend an. Daher fragt die App nach einer Berechtigung, die Hintergrundaktivität der App zu gestatten.
Bei dieser Berechtigung geht es darum, ob eine so berechtigte App im Hintergrund – also im eigentlich geschlossenen Zustand – in Betrieb bleiben darf, um zum Beispiel Daten über das Internet austauschen oder auch um Daten der im Smartphone eingebauten Sensoren abrufen zu können.
Das soll die App nach den Vorstellungen der App-Programmierer machen dürfen, damit laufende Fahrten auch live vollzogen werden können. Allerdings, und hier tut sich das nächste Problem auf: Die so berechtigte App läuft logischerweise auch dann im Hintergrund, wenn aktuell gar keine Fahrt aktiv ist, mit all den gegebenen Berechtigungen. Und nebenbei verbraucht dieser Hintergrundzugriff wertvolle Akkuenergie.
Und noch eine Berechtigung …
Eine weitere, immerhin optionale Berechtigungsanforderung wartet auf Nutzer, die bei der Angabe von Orten den Komfort genießen möchten, aus den Adressen in ihrer Kontaktedatenbank auswählen zu können.
Und genau, richtig: Dafür braucht es den Zugriff auf die Kontaktedatenbank des Nutzers mit einer weiteren Berechtigung, die von den App-Machern recht blumig und mindestens unvollständig umschrieben wird.
Der Benutzer können „einfach“ die Adresse des Kontakts verwenden“ und „alle anderen Kontaktdaten bleiben auf dem Telefon“. Das mag sein, dass die App das so macht – prinzipiell lässt eine so gegebene Berechtigung auf die Kontaktdatenbank jedoch einen Zugriff auf die gesamten Kontakte des Nutzers zu.
Ob diese Zugriffsmöglichkeit auf die gesamte Kontaktedatenbank mit der Maßgabe auf eine immer gebotene Datensparsamkeit notwendig ist, darf immerhin bezweifelt werden. Besser erklärt werden sollte die Berechtigung für die Kontakte allerdings auf jeden Fall. Hier kündigt die Pressestelle der SSB aber auf Anfrage immerhin an, diesen Sachverhalt in ihre FAQ („Häufig gestellte Fragen“) mit aufzunehmen.
Last but not least: Die „Nutzungsstatistik“
In Sachen verfehlte Datensparsamkeit gibt es dann noch einen weiteren Lapsus zu bewundern, nämlich in Form einer „Nutzungsstatistik“, mit der die App, so in den Einstellungen der App knapp in einem Satz erklärt, eine „anonymisierte Nutzungsstatistik“ erstellt und die von Hause aus aktiviert ist.
Das ist prinzipiell nicht verboten, allerdings ist es guter Ton, Nutzern hier ein so genanntes „Opt-In“ – also die explizite Anfrage zur Sammlung von Nutzungsstatistiken – zu ermöglichen. Gibt der Nutzer nicht sein Okay, wird auch nicht gesammelt, wie das zum Beispiel dann der Fall ist, wenn beim Besuch einer Website die Speicherung von Cookies nicht gestattet wird oder ein Nutzer mit der so genannten „Do-not-Track“-Funktion in seinem Webbrowser jeder besuchten Website die Information übermittelt, den Besuch nicht in Statistiken aufzuzeichnen.
Will man als App-Anbieter bewusst kein Opt-in für die Erhebung von Nutzungsdaten realisieren, sollte alternativ wenigstens ein „Opt-Out“ schon bei der erstmaligen Einrichtung der App gut sichtbar ermöglicht werden, damit der Nutzer schön sehr frühzeitig dem Sammeln von Nutzungsstatistiken widersprechen kann.
Was an dieser Stelle an „anonymer Nutzungsstatistik“ ermittelt wird, bleibt indes undokumentiert. In der Datenschutzerklärung der App wird zwar erläutert, dass neben der IP-Adresse auch „Geräteinformationen (Betriebssystemversion, Modell, App Version) des Gerätes mit dem Sie die App nutzen“ erhoben werden. Ob das jedoch die Nutzungsstatistik ist, bleibt unklar. Immerhin kündigt die SSB auf Anfrage hier an, dass das Menü und auch der der Menüpunkt für das Opt-out aus der Statistik „besser sichtbar“ werden soll.
Dies ist ein umfangreich recherchierter Beitrag – für Sie!
Recherche-intensive Artikel in PF-BITS werden maßgeblich durch die Mitgliedschaft engagierter Leser finanziert. Finden Sie gut, was wir hier tun? Dann zeigen Sie es uns auch mit Ihrer Wertschätzung!
Unterstützen auch Sie PF-BITS mit einem regelmäßigen Beitrag zur Förderung unserer publizistischen Arbeit.
