Deutschlandticket ohne Appzwang

Datenschutz-Albtraum DE-Ticket

Ich wollte hier politische Themen gerne vermeiden, doch nachdem der App- und Digitalzwang rund um das Deutschlandticket inzwischen ungeahnte Ausmaße angenommen hat, bleibt mir nichts anderes übrig, als doch ein paar Zeilen dazu zu schreiben.

Bislang habe ich für die Bestellung eines Deutschlandtickets die Plattform Deutschlandticket.de genutzt, da man dort ein Ticket in Papierform als PDF erhalten hat. Es gab keinen App-Zwang und man konnte bequem per Lastschrift bezahlen.

Wieso App-Zwang generell ein Problem ist, erkläre ich auf dieser Seite ausführlich und auch die Seite von Digitalcourage sensibilisiert gut für das Thema.

Nachdem meine letzte Bestellung jedoch Ende 2023 war, ist mir entgangen, dass das Nutzen der "Papierticket-Variante" scheinbar seit Mai 2024 nicht mehr möglich ist.

Worin der größte Unterschied zwischen dem Abscannen eines QR-Codes auf einem DIN A4-Blatt im Gegensatz zu einem Handybildschirm liegt? Eine App sammelt und übermittelt Daten, ein Blatt Papier nicht.

Das hindert natürlich nicht daran, als Form der digitalen Selbstverteidigung das Blatt Papier zu "digitalisieren" und statt einer App der Kontrolleur:in einen Screenshot des QR-Codes auf dem Smartphone vorzuzeigen. Mehr dazu im Verlauf des Blogbeitrags. 😎

* * *

Wie es begann

Da ich aktuell wieder ein DE-Ticket benötige, habe ich mich also auf Deutschlandticket.de eingeloggt und wollte erneut ein Ticket buchen. Als Zahlungsmethode wird dort aber nur noch Kreditkarte (die Datenschutzsicherheitshölle) [1] angeboten... Vermutlich wurde mit der echten SEPA-Lastschrift zuviel Schindluder getrieben. 🤪

Klares Nein also für diese Plattform. Und weil die Rezensionen der App von Deutschlandticket.de grottenschlecht sind (Bewertung von 2,1 Sternen bei Google Play), fällt diese Option ebenfalls hinten runter (für den unwarscheinlichen Fall, dass es da noch SEPA-Lastschrift als Zahlungsmethode geben sollte). Abgesehen davon beinhaltet diese App einen datenschutzunfreundlichen Tracker (Google Firebase Analytics).

Also habe ich mich auf die Suche gemacht nach Alternativen zum Kauf eines Deutschlandtickets ohne Appzwang und mit der Möglichkeit, teilweise Phantasieangaben zu machen. Denn die Daten aus dem Abo eines Deutschlandtickets können für Tracking missbraucht werden. Lediglich in Berlin und Brandenburg ist der Datenschutz halbwegs gewahrt.

Es gibt viele Apps da draußen, die ich nie freiwillig installieren würde. Der DB Navigator ist eine davon, weil sie vollständig von Trackern verseucht ist. Noch dazu ist der DB-Konzern ignorant, wenn es um Datenschutz geht.

Bleiben nach meiner kurzen Recherche zu möglichen Apps für den Kauf eines DE-Tickets also mo.pla und der München Navigator. Die App "mo.pla" kommt mit einem datenschutzunfreundlichen Tracker (Sentry), die App "München Navigator" mit einem datenschutzfreundlichen Tracker (Matomo/Piwik).

* * *

mo.pla

mo.pla gefällt mir gut, da man die gesamte Ticketbestellung, die Kündigung und auch die "Pausierung" des Abonnements vollständig im Browser machen kann. Dabei muss man nicht – wie bei der Deutschen Bahn – der Datenweitergabe an irgendein "Aboportal" zustimmen. Es gibt bei mo.pla also bislang keinen App-Zwang.

Allerdings bieten sie als Zahlungsmethoden leider – anders als die Deutsche Bahn und damals die Plattform Deutschlandticket.de – keine echte SEPA-Lastschrift, sondern nur Kreditkarte (die Datenschutzsicherheitshölle [1]), PayPal (die Datenkrake [2]) und SEPA-Lastschrift über Klarna (das Monster [3]) an.

Die Postanschrift hingegen wird nicht gegen eine Datenbank oder die SCHUFA geprüft. Dadurch kann man nach dem Prinzip der Datensparsamkeit lediglich den richtigen Namen und das richtige Geburtsdatum angeben und beim Rest Phantasieangaben machen. Mehr wird ein:e Kontrolleur:in in der Kürze der Zeit sowieso nicht mit dem Lichtbildausweis abgleichen.

Ergänzung von ostkraut

der QR codes enthält nur Name und Geburtsdatum, daher können nur diese Daten geprüft werden

Auslesbar ist der QR-Code auf dem Ticket mit der App eTicket Leser (Achtung, Google AdMob ist eingebunden.)

Anmerkung von SWEETGOOD:
Bei meinem Test ließ sich der QR-Code von mo.pla mit dieser App nicht auslesen. Es erschien die Meldung "Unbekanntes Ticket".

Da das Ticket nach der Bestellung als QR-Code im Browser angezeigt wird, kann man dieses einfach als Screenshot/Bild auf das Smartphone kopieren und schon ist Ruhe im Karton. Eine extra App brauchts dafür nicht.

Wichtig
Ein Screenshot kann leider nicht alle Sicherheitsmerkmale des DE-Tickets (Animation/Countdown/D-Ticket Logo/Hinweis zu Verkäufer und Verkehrsunternehmen auf dem Ticket) abbilden.

Alternativ kann man die Plattform von mo.pla auch im Smartphone-Browser aufrufen, sich mit seinem Account einloggen und diese Seite vorzeigen. Das erfordert allerdings einen funktionierenden Internetzugang bzw. ein vorheriges Cachen der Seite im Browser.

Und falls ein:e Kontrolleur:in Bedenken hat: Das ist auch eine App, nämlich eine Web-App. 😉

Der "Nag-Screen" für den Download der App nach dem Login ist übrigens merklich fairer gestaltet, als bei vielen anderen Webseiten:

Darüber hinaus wirbt mo.pla generell mit Fairness. Es fehlen nicht nur die SCHUFA-Abfragen, sondern man kann sein Abo auch einfach "pausieren", ohne es kündigen zu müssen:

"Unsere praktische Pausetaste lässt dein Abo bis zu 24 Stunden vor Monatsende mit einem Klick ruhen. So zahlst du nur, was du wirklich brauchst."

Ich finde das alles sehr kundenfreundlich. 😎

Allerdings gibt es Probleme beim Anlegen eines Accounts mit einer E-Mailadresse mit eigener Domain. Da wird einem dann ggf. die Meldung "Gesperrte E-Mail-Domain" angezeigt, obwohl die Domain valide und vertrauenswürdig ist.

Selbiges gilt für eine E-Mailadresse mit einem Plus vor dem @ (sog. Sub-Addressing). Diese wird ebenfalls als "invalid" gekennzeichnet, obwohl E-Mailadressen mit Plus nach RFC 822 bzw. RFC 5233 korrekt sind.

Erst mit einer Posteo-E-Mailadresse ohne + hat die Registrierung geklappt. 🙄

* * *

München Navigator

Diese App habe ich mir testweise heruntergeladen, da ich es toll fand, dass sie ausschließlich die datenschutzfreundliche Tracking-Software Matomo/Piwik eingebunden haben. Die Bestellung eines Deutschlandtickets über die App selbst läuft allerdings über den DB-eigenen Bestellprozess und war damit eher ein Datenschutz- und User-Experience-Albtraum...

Ich bekam teils schwer interpretierbare Fehlermeldungen wie "Leider ist die eingegebene Adresse nicht prüfbar.", ohne dass die fehlerhaften Felder dabei rot markiert wurden.

Dafür kann die App selbst nichts, da sie für die Abo-Bestellung die DB-eigene Bestellseite einbindet. Dass diese Bestellseite eine gültige Anschrift (nicht E-Mailadresse) verlangt, wird erst klar, wenn man mal eine valide Anschrift eingegeben hat.

Und weil die Daten anschließend (vmtl.) mit der SCHUFA abgeglichen werden, kommt bei Phantasieangaben am Schluss der Bestellung die nichtssagende Meldung "Ihre Bestellung konnte nicht verarbeitet werden. Bitte überprüfen Sie Ihre Eingaben.".

Gibt man zum Test die richtigen Daten ein (was ich persönlich aus Gründen der Datensparsamkeit nicht empfehlen würde), wird man zu einer Verifizierung der Identität mittels Ausweis oder Onlinebanking-Login aufgefordert...

Nochmal zur Erinnerung: Wir wollen eine FAHRKARTE kaufen, kein BANKKONTO eröffnen.

* * *

Fazit

Ich finde es richtig erschreckend, wie sehr der Digital- und Appzwang inzwischen um sich greift. Und viel erschreckender finde ich, dass der große Aufschrei scheinbar ausbleibt. Auch die Tatsache, dass Unternehmen mit dieser Masche weiterhin durchkommen und sie weder von rechtlicher, noch von politischer Seite Gegenwind bekommen, stimmt mich sehr besorgt.

Ich bin jedenfalls froh, dass ich mit mo.pla eine datensparsame Alternative für den Kauf eines Deutschlandtickets finden konnte, die durch ihr faires Angebot scheinbar auch noch echte Werte verkörpert. Hoffen wir, dass das noch lange so bleibt. 💪

* * *

Fussnoten

[1] Wenn ich bei Kreditkarten von "Datensicherheitshölle" spreche, dann aus eigener Erfahrung: Wer die Kreditkarten-Daten (Nummer, Ablaufdatum und CVV) hat, der kann Buchungen auf dieser Karte ausführen. Wurden betrügerische Zahlungen getätigt, ist es nur mit teils erheblichem Aufwand möglich, diese Zahlungen "rückabzuwickeln". Und auch das ohne Gewährleisung. Bei einer Lastschrift hingegen wäre das nur ein Klick. Selbst wenn man noch so vorsichtig und achtsam mit seinen Kreditkartendaten umgeht – man muss bei jeder Zahlung zwangsläufig alle Daten angeben und dabei können sie bereits in fremde Hände gelangen. Auch wenn sich im Bereich Sicherheit schon einiges getan hat (3D-Secure, usw.) – es ist und bleibt in meinen Augen eines der unsichersten (und zugleich leider auch bequemsten) Zahlungsmittel.

Um den Datenschutz hingegen ist es auf den ersten Blick ganz gut bestellt, da der Händler teilweise nichtmal den vollständigen Namen übermittelt bekommt, siehe hier. Schaut man genauer hin, ergibt sich leider ein anderes Bild:

Visa und Mastercard sammeln ebenfalls viele Daten. Visa nutzt Daten für Werbung, einschließlich Standort- und biometrischer Daten. Diese Datensätze werden verwendet, um größere Datensammlungen für Unternehmensberatungen zu erstellen, ohne die genauen Datentypen offenzulegen.

Mastercard ist noch weiter gegangen und hat mehrere Analyseunternehmen gekauft. Dies ermöglicht Echtzeitdatenanalysen und die Feststellung effektiver Strategien. Das bietet tiefere Einblicke in das Verhalten und die Vorlieben der Nutzenden.
Quelle

[2] PayPal teilt Daten mit über 600 Unternehmen. Außerdem steht der US-Anbieter wegen diverser anderer Dinge wie der Finanzierung von Rechtsextremen, willkürlichen Kontosperrungen und anderer Themen in der Kritik. Weitere Infos gibts hier, hier und hier.

[3] Klarna verdient an Mahngebühren und Rückbuchungen. Weitere Informationen auch hier, hier und hier.

* * *

Änderungshistorie

07.09.2024 – Ausführliche Ergänzung zu meiner persönlichen Bewertung der angebotenen Zahlungsmethoden
06.09.2024 – Artikel erstellt

* * *
Christian Süßenguth Christian Süßenguth @sweetgood

Hi, ich bin Christian und Inhaber der Firma SWEETGOOD. Mit dem andersGOOD Blog möchte ich auch dich für datensichere IT-Lösungen begeistern. So bringst du dein Unternehmen voran, ohne großen Konzernen deine wertvollen Daten zu liefern. Probiers mal anders!


Kommentarbereich

Die Kommentare sind für dich noch deaktiviert, da du dem Setzen von Cookies bisher nicht zugestimmt hast.
Klicke oben rechts auf "Ja, klar!" und lade die Seite neu, um die Kommentare anzuzeigen.

Seite neu laden

👾 Magst du Kekse?

Ich würde gerne Cookies setzen

Ist das OK für dich?