Zuletzt aktualisiert am 7. April 2026

Die Bürgerrechtsorganisation Digitalcourage hat gegen die Deutsche Bahn Klage eingereicht. Die App „DB-Navigator“ der Deutschen Bahn würde Daten der Nutzer ohne deren Zustimmung sammeln.

Alles, was es hierzu zu wissen gibt, erfahren Sie hier.

Vorwurf der Bürgerrechtsorganisation Digitalcourage

Die App „DB-Navigator“ dient Nutzern dazu, die passenden Zugverbindungen zu finden, sich über Fahrplanänderungen und Verspätungen zu informieren sowie Tickets digital zu kaufen.

Bei einer Untersuchung der App der Deutschen Bahn (DB) stieß die Bürgerrechtsorganisation Digitalcourage auf datenschutzrechtliche Verstöße. Direkt nach dem Starten würde die App mehrere Verbindungen zu Drittanbietern herstellen. Dies erfolge ohne vorherige Abfrage durch einen sogenannten Cookie-Banner. Die Drittanbieter, zu denen so eine Verbindung hergestellt wird, können dann auf das Endgerät des Nutzers zugreifen. Unter diesen Drittanbietern befände sich auch der Analyse- und Trackingdienst „Adobe Analytics“.

Die Verbindung zu solchen Drittanbietern darf nur mit Zustimmung des Nutzers erfolgen.

In der App „DB-Navigator“ würden nach Untersuchung der Organisation sogar weiter Tracking-Cookies gesetzt, wenn der Nutzer die Option „Nur erforderliche Cookies zulassen“ auswählt. Hierbei würden neben „Adobe Analytics“ auch Trackingdienste wie „Optimizely“ oder „Google Crashlytics“ eingesetzt.

Die Bürgerrechtsorganisation Digitalcourage sieht darin einen „klaren Verstoß gegen geltendes Recht“ und hat nach einer erfolglosen Fristsetzung gegenüber der DB nun Klage eingereicht. Die Gründe hat die Organisation auch in einer Klageschrift zusammengefasst.

Selbst die Stiftung Warentest schrieb über die App: „Beim Navigator ist also ein kritisches Daten­sende­verhalten fest­zustellen, weil über­flüssige Daten vers­endet werden.“

Verteidigung der Deutschen Bahn

Die DB dagegen sieht sich weiterhin im Recht. Nach einer ersten Aufforderung seitens der Bürgerrechtsorganisation Digitalcourage, das Tracking zu unterlassen, erklärte die DB, daran nichts ändern zu wollen.

Die DB weist die Kritik vehement zurück. Sie betonte, dass die Kundendaten sicher seien. Der Einsatz von Cookies erfolge datenschutzkonform. In einer Pressemitteilung erklärte die DB: „Bei der Nutzung des DB Navigator fließen keinerlei Kundendaten an Drittanbieter. Alle Dienstleister, mit der die DB beim DB Navigator zusammenarbeitet, sind vertraglich gebunden, handeln nicht in eigenem Interesse und streng nach Weisung der DB und sind deshalb nicht Dritte im Sinne der DSGVO.“

Der kritisierte Einsatz der Cookies erfolge ausschließlich zur Sicherung der Funktionen und der Stabilität der App. Die Bürgerrechtsorganisation Digitalcourage habe das Angebot eines fachlichen Austausches nicht wahrgenommen.

Ausblick

Es bleibt abzuwarten, wie das Landgericht Frankfurt am Main die Sache beurteilt.

Trackingdienste bieten immer wieder die Grundlage für datenschutzrechtliche Streitigkeiten. Dass es aber auch ohne Tracking geht zeigen zudem Open-Source-Projekte wie Signal und Co.

Rechtliche Grundlagen des App-Trackings

Das Tracking in mobilen Anwendungen unterliegt in Deutschland und der EU einem komplexen Regelwerk. Die zentrale Rechtsgrundlage bildet die DSGVO in Verbindung mit dem TTDSG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz). Nach § 25 TTDSG ist der Zugriff auf Informationen in der Endeinrichtung des Endnutzers grundsätzlich nur mit Einwilligung zulässig. Ausgenommen sind lediglich Zugriffe, die für die Erbringung des vom Nutzer gewünschten Dienstes unbedingt erforderlich sind.

Diese Regelung hat weitreichende Konsequenzen für App-Betreiber. Tracking-Cookies, Analyse-Tools und Werbedienste dürfen nur dann eingesetzt werden, wenn der Nutzer zuvor aktiv eingewilligt hat. Eine bloße Information über den Einsatz solcher Technologien in den Datenschutzhinweisen reicht nicht aus.

Der EuGH hat in seiner Planet49-Entscheidung klargestellt, dass die Einwilligung aktiv und informiert erfolgen muss. Vorausgewählte Checkboxen oder ein bloßes Weitersurfen genügen nicht. Dies gilt auch für mobile Apps.

Datenschutzprobleme bei der DB-Navigator-App im Detail

Die konkreten Datenschutzprobleme der DB-Navigator-App sind vielschichtig. Die Organisation Digitalcourage dokumentierte, dass die App beim Start automatisch Verbindungen zu mehreren Drittanbietern aufbaut. Unter anderem wurden Daten an Adobe Analytics übermittelt, einen Dienst zur Analyse des Nutzerverhaltens. Diese Übermittlung erfolgte ohne vorherige Einwilligung.

Besonders problematisch ist die Tatsache, dass die App auch dann Tracking-Cookies setzt, wenn der Nutzer die Option „Nur erforderliche Cookies zulassen“ auswählt. Dies stellt einen klaren Verstoß gegen das Transparenzgebot der DSGVO dar, da dem Nutzer suggeriert wird, er könne das Tracking kontrollieren.

Die Deutsche Bahn argumentiert, dass die eingesetzten Dienste ausschließlich der Funktionssicherung dienen. Diese Argumentation ist aus datenschutzrechtlicher Sicht fragwürdig, da Analysedienste wie Adobe Analytics primär der Nutzerverhaltensanalyse dienen.

Bedeutung des Falls für die App-Entwicklung

Der Fall der DB-Navigator-App hat Signalwirkung für die gesamte App-Entwicklungsbranche. Er verdeutlicht, dass die datenschutzrechtlichen Anforderungen an mobile Anwendungen genauso streng sind wie an Websites. App-Entwickler und -Betreiber müssen sicherstellen, dass sämtliche Datenverarbeitungen auf einer rechtmäßigen Grundlage erfolgen.

Für Unternehmen, die eigene Apps betreiben, ergeben sich daraus konkrete Handlungspflichten. Vor der Integration von Drittanbieter-SDKs muss eine datenschutzrechtliche Prüfung erfolgen. Die Ergebnisse sind in einem Verarbeitungsverzeichnis zu dokumentieren.

Außerdem müssen App-Betreiber sicherstellen, dass der Einwilligungsmechanismus technisch einwandfrei funktioniert. Wenn der Nutzer seine Einwilligung verweigert, dürfen keine außerdemgehenden Datenverarbeitungen stattfinden.

Datenschutzfreundliche Alternativen

Der Fall zeigt auch, dass datenschutzfreundliche Alternativen zu den gängigen Tracking- und Analysetools existieren. Open-Source-Lösungen wie Matomo bieten umfangreiche Analysemöglichkeiten, wobei die Daten auf dem eigenen Server verarbeitet werden und nicht an Dritte fließen.

Die Verwendung solcher datenschutzfreundlicher Alternativen hat den zusätzlichen Vorteil, dass in vielen Fällen keine Einwilligung der Nutzer erforderlich ist. Dies verbessert nicht nur die datenschutzrechtliche Compliance, sondern auch die Nutzererfahrung.

Für Unternehmen, die datenschutzkonforme Apps entwickeln möchten, empfiehlt sich ein Privacy-by-Design-Ansatz. Dabei werden Datenschutzanforderungen bereits in der Planungs- und Entwicklungsphase berücksichtigt, anstatt sie nachträglich zu implementieren.

Aktuelle Rechtsprechung zu App-Tracking

Die Klage gegen die Deutsche Bahn reiht sich in eine wachsende Zahl von Gerichtsverfahren zum Thema App-Tracking ein. Das Landgericht München I hat in einem Urteil vom Januar 2022 (Az. 3 O 17493/20) entschieden, dass die Weitergabe von Nutzerdaten an Facebook über das in einer App eingebundene Facebook SDK ohne Einwilligung rechtswidrig ist. Der Kläger erhielt einen Schadensersatz von 100 Euro nach Art. 82 DSGVO.

Auch die österreichische Datenschutzbehörde hat in mehreren Entscheidungen klargestellt, dass das Setzen von Cookies und der Einsatz von Tracking-Tools ohne wirksame Einwilligung einen Verstoß gegen die DSGVO und die E-Privacy-Richtlinie darstellt. Diese Entscheidungen sind auch für die Bewertung des DB-Navigator-Falls relevant, da sie die strenge Auslegung der Einwilligungsanforderungen bestätigen.

Die zunehmende Rechtsprechung in diesem Bereich zeigt, dass Gerichte und Aufsichtsbehörden die datenschutzrechtlichen Anforderungen an Apps und Websites konsequent durchsetzen. Unternehmen, die Tracking-Tools ohne wirksame Einwilligung einsetzen, müssen mit Bußgeldern, Unterlassungsansprüchen und Schadensersatzforderungen rechnen.

Auswirkungen auf die Digitalstrategie von Unternehmen

Der Fall der DB-Navigator-App verdeutlicht, dass Datenschutz und Digitalisierung kein Widerspruch sein müssen, aber sorgfältig aufeinander abgestimmt werden müssen. Viele Unternehmen setzen Tracking-Tools ein, um das Nutzungsverhalten ihrer Kunden zu verstehen und ihre digitalen Angebote zu verbessern. Dies ist grundsätzlich ein legitimes Anliegen, muss aber im Einklang mit den datenschutzrechtlichen Anforderungen geschehen.

Eine datenschutzkonforme Digitalstrategie beginnt mit der Auswahl der richtigen Werkzeuge. Unternehmen sollten prüfen, ob der Einsatz von Drittanbieter-Tracking-Tools tatsächlich erforderlich ist oder ob datenschutzfreundliche Alternativen den gleichen Zweck erfüllen können. Server-seitiges Tracking, bei dem die Daten auf dem eigenen Server verarbeitet werden, bietet beispielsweise eine datenschutzfreundlichere Alternative zum clientseitigen Tracking über Drittanbieter-Cookies.

Außerdem sollten Unternehmen ihre Datenschutz-Governance stärken. Dies umfasst die Benennung eines Datenschutzbeauftragten, die Durchführung regelmäßiger Datenschutz-Folgenabschätzungen für neue digitale Produkte und die Schulung der Entwicklungsteams in datenschutzfreundlicher Softwareentwicklung.

Verbandsklagerecht und kollektiver Rechtsschutz

Die Klage von Digitalcourage gegen die Deutsche Bahn ist ein Beispiel für den zunehmenden Einsatz des Verbandsklagerechts im Datenschutz. Durch die Umsetzung der EU-Verbandsklagerichtlinie wurden die Möglichkeiten für Verbraucherorganisationen, gegen Datenschutzverstöße vorzugehen, deutlich erweitert. Qualifizierte Einrichtungen können nun stellvertretend für Verbraucher Unterlassungs- und Schadensersatzansprüche geltend machen.

Für Unternehmen bedeutet diese Entwicklung ein erhöhtes Prozessrisiko. Während einzelne Verbraucher häufig von einer Klage absehen, weil der Aufwand in keinem Verhältnis zum möglichen Schadensersatz steht, haben Verbraucherorganisationen die Ressourcen und die Expertise, um auch komplexe Datenschutzklagen durchzuführen. Die Klage gegen die Deutsche Bahn könnte daher als Präzedenzfall dienen und weitere Organisationen ermutigen, gegen datenschutzwidrige Tracking-Praktiken vorzugehen.

Unternehmen sollten diese Entwicklung zum Anlass nehmen, ihre Tracking-Praktiken kritisch zu überprüfen und gegebenenfalls anzupassen. Eine vorausschauende Compliance-Strategie, die die datenschutzrechtlichen Anforderungen von Anfang an berücksichtigt, ist deutlich kostengünstiger als die nachträgliche Reaktion auf Klagen und Abmahnungen. Die regelmäßige Überprüfung der eingesetzten Tracking-Tools und die Dokumentation der Einwilligungsprozesse sind dabei zentrale Bausteine einer wirksamen Datenschutz-Compliance.

Die Klage gegen die Deutsche Bahn verdeutlicht, dass Datenschutz-Compliance bei mobilen Anwendungen kein Lippenbekenntnis sein darf. Unternehmen müssen sicherstellen, dass ihre Apps die datenschutzrechtlichen Anforderungen nicht nur formal, sondern auch technisch einhalten. Die zunehmende Kontrolle durch Verbraucherorganisationen und Datenschutzaufsichtsbehörden macht es erforderlich, die Tracking-Praktiken regelmäßig zu überprüfen und an die aktuelle Rechtslage anzupassen. Eine transparente und datenschutzfreundliche Gestaltung von Apps stärkt nicht nur die rechtliche Position, sondern auch das Vertrauen der Nutzer.

Der Ausgang des Verfahrens vor dem Landgericht Frankfurt am Main wird mit Spannung erwartet. Unabhängig vom Ergebnis hat die Klage bereits jetzt dazu beigetragen, das öffentliche Bewusstsein für die datenschutzrechtlichen Probleme bei mobilen Anwendungen zu schärfen. Andere Unternehmen sollten den Fall als Warnsignal verstehen und ihre eigenen Apps vorsorglich auf Datenschutzkonformität überprüfen lassen.

Das Thema App-Tracking und Datenschutz wird auch in den kommenden Jahren die Gerichte und Aufsichtsbehörden beschäftigen und die Gestaltung digitaler Produkte maßgeblich beeinflussen.

Sie benötigen Unterstützung in der datenschutzkonformen Gestaltung Ihrer Website, App und Co? Unser Team an Experten steht Ihnen gerne zur Verfügung. Wir stellen bei Bedarf auch einen externen Datenschutzbeauftragen. Kontaktieren Sie uns gerne unverbindlich hier!