Gestern habe ich Brief-Spam von der Bahn bekommen. Während meine Fragen zu frechen Captchas (Oktober 2021) und einer öffentlichen Entwicklung ihrer „BahnBonus App“ (neulich) immer noch auf sinnvolle Antworten warten und die Mails von der Support-Adresse immer noch einen komplett kaputten text/plain-Teil haben, schreibt die Bahn:
Sie sind noch nicht zu unserer E-Mail-Kommunikation angemeldet.
Äh… Was? Ihr habt mir doch euer Schreiben, nach der künftig Menschen, die den root-Account auf ihren Rechnern weder Apple noch Google geben wollen (nicht-technisch: „nicht smartphonieren“), auch per Mail geschickt? Nun, lesen wir weiter:
Aber nicht nur mit der BahnBonus-App, sondern auch durch unsere E-Mail-Kommunikation bekommen Sie unsere Angebote immer und überall direkt auf ihr Smartphone.
Ah ja. „Angebote” also. Dass die Bahn Werbung über ihre App ausspielen will, habe ich mir schon gedacht, denn, abgesehen vom (Meta-) Datensammeln: Was soll sonst schon der Vorteil der App-Infrastruktur sein gegenüber der alten Karte, die als Werbeträger, das gebe ich der Bahn gerne, nur recht eingeschränkt taugt?
Was die Bahn hier probiert, heißt, so höre ich, in der Branche „Consent Management“, also das Erschleichen von Einwilligungen zu allerlei Datenverarbeitungen, die klar denkende Menschen ohne solches „Management“ durchweg ablehnen.
Die Werbepost von der Bahn ist mithin eine materielle Manifestation eines Cookiebanners. Liebe Bahn: Der aktuelle Kurs für das Erschleichen solcher Einwilligungen ist mindestens ein iPad-Gewinnspiel. Oder in meinem Fall: dass ich mit meiner Plastikkarte weiter einen warmen Ort mit sauberem Klo finde, wenn ich mal wieder auf einem größeren Bahnhof auf einen Zug warte, der grob in meine Richtung fährt.
Aber all das hat auch eine positive Seite: offenbar gibts im Bahn-Werbecomputer kein Feld „angepisster Kunde, vorsichtige Ansprache“ – oder die Prozesse, es zu füllen, funktionieren nicht. Und das ist aus Datenschutzsicht auch schon was.
Exkurs: Datenschutzaufklärung auch kaputt
Oh, habe ich gerade „Datenschutz“ in einem Bahn-Zusammenhang gesagt? Dann kann ich nicht widerstehen, kurz von zwei Highlights meines Ausflugs auf die Datenschutzseite der Bahn zu berichten. Da stimmt nämlich schon im Hinblick auf die Rechtsgrundlagen ziemlich wenig (Stand April 2022). Ich will kurz zwei Beispiele geben.
Die Bahn setzt ein bizarres Konglomerat von Tracking-Software ein (was den beruhigenden Schluss zulässt, dass sie wahrscheinlich sehr wenig mit den Ergebnissen machen, denn das Gesamtbild hinterlässt nicht den Eindruck, dass da wer weiß, was er_sie tut) und erklärt dazu:
Die im Folgenden aufgeführten und von uns eingesetzten Tracking-Maßnahmen werden auf Grundlage des Art. 6 Abs. 1 lit. b) DSGVO durchgeführt und dienen der bedarfsgerechten Gestaltung und fortlaufenden Optimierung unserer Webseite.
Buchstabe b in DSGVO Art. 6 (1) ist „Abwicklung eines Vertrages“. Wer mir erzählt, er könne mir nur dann ein Ticket verkaufen, wenn er Tealium, Adobe Analytics, Optimizely, Qualtrics, m-pathy und CrossEngage alle zusammen auf mich loslässt, hat allenfalls mein bitteres Lachen, anonsten aber die Nadel des Glaubwürdigkeits-o-meters am Nullanschlag verbogen.
Nur zur Klarheit: eine Datenverabeitung, die sich auf Buchstabe b beruft, muss notwendig sein, der Kram muss also kaputt gehen, wenn sie nicht stattfindet. Das ist bei all den Trackern augenscheinlich unzutreffend, denn auf meiner Maschine zeigen fast alle zugehörigen Servernamen auf meine eigene Maschine oder die „Dienste“ sind anderweitig „geblockt“. Ich kann aber trotzdem buchen, von den Captcha-Belästigungen mal abgesehen.
Allerdings: Schon der vorgeschobene Grund, „bedarfsgerechte Gestaltung“ (von der ohnehin keine Rede sein kann) hat ja mit der Vertragsabwicklung nichts zu tun. Vielleicht könnten in dem Zusammenhang „berechtigte Interessen“ (Buchstabe f) angeführt werden, mit der Vertragsabwicklung hat das jedenfalls nichts zu tun.
Mit diesen berechtigten Interessen versucht es die Bahn ein wenig später, nämlich bei den Captchas (wo das nicht komplett abzustreiten wäre, auch wenn im konkreten Fall jede Verhältnismäßigkeit fehlt) und:
Für Zwecke der Betrugsprävention verwenden wir die Technologie JSC-Tools der Risk.Ident GmbH (Am Sandtorkai 50, 20457 Hamburg). Dies dient Ihrem und unserem Schutz, um der missbräuchlichen Verwendung Ihres Zahlungsmittels zur Zahlung bei bahn.de/bahn.com vorbeugen zu können. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. f) DSGVO.
Bei diesem Passus wollen Zweck – nämlich Schutz meines Zahlungsmittels – und Verarbeitungsgrund – Interessen der Bahn – recht offensichtlich nicht zusammengehen. Hier wäre ein Berufen auf Buchstabe b eventuell denkbar, weil im wilden Internet Zahlungen ohne Schutzzauber komplizierte Compliance-Probleme bereiten könnten. Das kann ich nicht beurteilen, denn weder weiß ich, welche Sorte Schutzzauber diese JSC-Leute machen noch muss ich – und dafür danke ich allen Gottheiten, die gerne Dankbarkeit hätten – Geld übers Internet eintreiben.
Aber gut: Wer hätte schon erwartet, dass die Bahn im Datenschutz besser ist als im Zugbetrieb. Auch dort ist es ja gegenwärtig die Regel, dass, wenn ein Zug kommt, es fast immer ein anderer ist als angekündigt und auch dieser andere Zug irgendwie kaputt ist.
Zitiert in: Genf vs. die Dauerbeflimmerung