Kaufempfehlung zum Deutschland-Ticket
Christoph Klassen 
3.3.2024 
Artikel Das Deutschland-Ticket wird natürlich auch von der Deutschen Bahn verkauft. Da diese es aber nicht so mit dem Datenschutz hat, analysiere ich hier kurz einige Alternativen und gebe euch ein paar Empfehlungen zu Unternehmen, die da eine deutlich andere Einstellung haben. Dabei erwähne ich nur Unternehmen, die eine Alternative zur App anbieten.
Falls du nach einer guten App für das Deutschland-Ticket suchst, solltest du dir die passende Artikelserie von Mike Kuketz anschauen. Hier liegt der Fokus auf anderen Möglichkeiten, das Ticket zu kaufen und vorweisen zu können. Von den folgenden Unternehmen werden zusätzlich zum Ticket in der jeweiligen App auch Chipkarten angeboten. Außerdem gibt es immer die Möglichkeit, per SEPA-Lastschrift zu zahlen. Da sich nicht alle Unternehmen dieselbe Mühe für einen guten Datenschutz geben und zur besseren Übersicht, teile ich sie in drei Bereiche auf: Empfehlenswert, mittelmäßig und “nicht zu empfehlen”.
Empfehlenswert
Karlsruher Verkehrsverbund (KVV)
Beim Karlsruher Verkehrsbund bin ich zwiegespalten: Beim Besuch der Website wird mir kein Cookiebanner angezeigt und die Seite macht erstmal einen sehr guten Eindruck. Es werden vom Browser keine Anfragen an Dritte gestellt und die Kartendaten, die z.B. in der Fahrplanauskunft verwendet werden, kommen direkt vom Server des KVVs. Weniger gut ist jedoch, dass die Website laut Datenschutzbestimmungen Analysedaten sammelt, ohne in einem Cookiebanner die Möglichkeit zu geben, das Analysieren abzuschalten. Dabei ist die Analyse nicht erforderlich für den Betrieb einer Website. Der Grund, warum das Angebot des KVVs trotzdem hier steht, ist, dass für die Analyse der datenschutzfreundliche Dienst Matomo zum Einsatz kommt und die Daten nur auf den Servern des KVVs gespeichert werden. Wenn ihr die Analyse verhindern wollt, könnt ihr dies übrigens in den eben genannten Datenschutzbestimmungen erledigen.
Das Ticket des KVVs könnt ihr als Chipkarte in deren Abo-Shop erwerben. Die Zahlungen werden dabei über die LogPay Financial Services GmbH (Wikipedia) abgewickelt.
Mehr Informationen zum Deutschland-Ticket beim KVV
Kasseler Verkehrs-Gesellschaft AG (KVG)
Datenschutzhinweise unauffällig, dafür aber allgemein gehalten. Außerdem versucht ein Dark Pattern im Cookiebanner, Besucher.innen bei der Auswahl zu beeinflussen. Andererseits konnte ich nicht feststellen, dass dadurch zusätzliche Anfragen an Dritte gestellt wurden.
Mehr Informationen zum Deutschland-Ticket bei der KVG
Kölner Verkehrs-Betriebe AG (KVB)
Durch ein Dark Pattern sollen auch hier Besucher.innen zu einem Klick auf “Einwilligen” bewegt werden. Und genau wie bei der KVG kann ich auch hier keine zusätzlichen Aufrufe durch die Zustimmung erkennen. Der Teil der Datenschutzerklärung zur “Beantragung eines Deutschlandtickets oder NRW Upgrade Produktes” sieht gut aus, vorausgesetzt, die Liste von Dritten bei der Datenverarbeitung ist vollständig.
Mehr Informationen zum Deutschland-Ticket bei der KVB
(Zukünftig) Großraum-Verkehr Hannover GmbH
Personen, die die Website der GVH öffnen, bekommen zuerst ein Cookiebanner zu Gesicht, welches ohne Dark Patterns daherkommt. Wenn sie nur die erforderlichen Cookies auswählen, respektieren die Betreiber.innen der Seite die Auswahl. Sympathisch: Zur optionalen Analyse verwenden sie den Dienst Matomo. Die Datenschutzerklärung des Vertragpartners Üstra bezeichne ich als unauffällig.
Zu beachten ist, dass die Chipkarte noch nicht bestellt werden kann:
Gibt es im GVH auch eine analoge Variante des Deutschlandtickets (zum Beispiel Chipkarte)? Voraussichtlich im Laufe des ersten Halbjahres 2024 soll das Deutschlandticket auch als Chipkarte beim GVH erhältlich sein.
Mehr Informationen zum Deutschland-Ticket der GVH
Mittelmäßig
Berliner Verkehrsbetriebe (BVG)
Die Datenschutzbestimmungen (insbesondere “3.6 Fahrausweis-Abonnements und Firmentickets” ist in diesem Fall relevant) sind sehr transparent, sodass Interessierte sehen können, welche Unternehmen die weitergereichten Daten verarbeiten. Soweit ich das beurteilen kann, wird das selten so gemacht, sondern oft werden nur die Aufgaben genannt, für die die Unternehmen zuständig sind, z.B. IT-Dienstleister.
Während ich in den Datenschutzbestimmungen nichts Besorgniserregendes finden kann,
empfinde ich das Verhalten der Website im Bereich Cookies u.ä. weniger positiv. Das
Cookiebanner nutzt ein Dark Pattern, um Besucher.innen dazu zu bringen, alle Cookies
zuzulassen. Aber selbst, wenn sie sich von diesem Muster nicht beeinflussen lassen,
wird ein Aufruf an www.googletagmanager.com gestartet. Ja, sogar bevor sie
die Auswahl überhaupt getroffen haben. Und dabei ist der Google Tag Manager nicht
notwendig, um die Seite nutzen zu können bzw. sie zu betreiben, sondern dient nur
dem Tracking (Wikipedia “List of Google products”, englisch).
Mehr Informationen zum Deutschland-Ticket bei den BVG
Dresdner Verkehrsbetriebe (DVB)
Dass nicht zwingend erforderliche Aufrufe an Dritte ausgeführt werden, ist auch bei den
Dresdner Verkehrsbetrieben der Fall. Dort ist es ein Aufruf an fast.fonts.net, um
Schriftarten verwenden zu können.
Die etwas versteckte Datenschutzbestimmungen (PDF) ist sehr allgemein gehalten. So wird beispielsweise geschrieben:
Für die Auftragsverarbeitung (IT-Infrastruktur, Serverbetrieb, Anwendungsbetrieb) sind Dienstleister vertraglich gebunden.
Welche Dienstleister dies sind, wird nicht verraten. In einem anderen Abschnitt wird aber erläutert, dass zumindest keine Daten in Drittländer übertragen werden.
Mehr Informationen zum Deutschland-Ticket bei den DVB
Nicht zu empfehlen
Regionalverkehr Köln GmbH (RVK)
Eine unvollständige Datenschutzerklärung ist ein wichtiger Grund, warum ich das Angebot der RVK nicht empfehle. Es wird weder etwas über Unternehmen zur Auftragsverarbeitung noch zur Datenweiterhabe an Dritte erwähnt. Lediglich folgender Absatz:
Wir weisen darauf hin, dass ggf. Daten außerhalb der EU verarbeitet werden. Dies kann die Durchsetzung von Benutzerrechten erschweren. US-Anbieter, die unter dem EU-US Privacy Shield zertifiziert sind, haben sich damit verpflichtet die Datenschutzstandards der EU einzuhalten. Für weitergehende Informationen zur Datenverarbeitung und Widerspruchsmöglichkeiten verweisen wir auf die nachfolgend verlinkten Angaben der Anbieter.
Würzburger Versorgungs- und Verkehrs-GmbH (WVV)
Es ist schon merkwürdig, dass die WVV die Daten z.B. auch an die Trinkwasserversorgung
Würzburg GmbH weitergibt. Weiterhin schließt sie nicht aus, dass Daten auch in Drittländer
gelangen können. Das sind Dinge, die aus der
Datenschutzerklärung hervorgehen. Da ist es
schon nebensächlich, dass die JavaScript-Datei für die jQuery-Bibliothek von
code.jquery.com bezogen und nicht lokal eingebunden wird.
Münchner Verkehrsgesellschaft mbH (MVG)
Wir nutzen für bestimmte Aufgaben (IT-)Dienstleister, die ebenfalls (IT-)Dienstleister nutzen, die ihren Firmensitz, Mutterkonzern oder Rechenzentrumssitz in einem Drittland (außerhalb der Europäischen Union und des Europäischen Wirtschaftsraums) haben können.
(Zitat aus der Datenschutzerklärung)
Die personenbezogenen Daten werden aber nicht nur (möglicherweise) ins Ausland verreisen, sondern auch für Markt- und Meinungsforschung eingesetzt. Es gibt jedoch keinen Hinweis darauf, dass diese Daten pseudonomisiert werden. Wenn diese Fakten nicht abschrecken, dann ist die MVG als Anbieterin des Tickets eine gute Wahl, da sonst keine unnötigen Anfragen vom Browser an Dritte gestellt werden.
Alternative: PDF-Datei
Neben einer Chipkarte sind auch PDF-Dateien eine datensparsame Möglichkeit, ein Ticket mit sich zu führen. Ein.e Leser.in hat Mike Kuketz auf das Angebot der Harzer Schmalspur Bahnen aufmerksam gemacht. Mehr dazu in seinem Blog. Der Nachteil dabei ist, dass die Website für das Abo auf einem Server von Amazon gehostet wird.
