Fairtiq

27.11.2019 Jonas L. App-Kritik

In Halle gibt man sich Mühe, den öffentlichen Nahverkehr für Kunden angenehmer zu gestalten. Daher gibt es eine “neue” Ticket-App, die alles verbessern soll.

Wie es “funktioniert” wird unter https://havag.com/fairtiq beschrieben. Abhängig davon, wie viel man fährt bezahlt man entweder eine Kurzstrecke, Einzelfahrkarte oder ein Tagesticket. Vorteile sind also theoretisch: Man muss nicht wissen, welches dieser drei Tickets was macht und man braucht keinen Fahrkartenautomaten oder Fahrkartenentwerter.

Dafür nutzt man eine App namens Fairtiq. Das ist genau genommen ein Dienst eines Unternehmens aus der Schweiz.

Nun spiele ich einen unwissenden Android-Nutzer und öffnen den Eintrag im Play Store und klicke einmal auf den Datenschutzerklärungslink. Was ich dort sehe hinterlässt bei mir einen schlechten Eindruck:

Fairtiq Privacy Policy - not found

Zum einen funktioniert der Link nicht, zum anderen steht unten rechts etwas von “Cookie Policy” - ein Indikator dafür, dass da jemand nicht versteht, dass es nicht um Cookies sondern um die Datenerfassung geht, die nicht nur per Cookie stattfindet.

Im App Store (Apple) gibt es einen funktionierenden Link - https://fairtiq.com/de-ch/politik/app-privacy.

Was fällt mir dort auf:

Für die Weiterentwicklung der Applikation. Insbesondere nutzt FAIRTIQ die durch die Applikation erfassten Ortungs- und Aktivitätsdaten in nicht-anonymisierter Form während 12 Monaten (vgl. Ziff H), um die Applikation weiterzuentwickeln.

Das setzt voraus, dass man die Standortdaten so lange speichert - das klingt nach Privatsphäre.

Die Erfassung der Reisedaten beginnt mit dem Öffnen der Applikation und endet 5 Minuten nach Abschluss des Check-Out-Vorgangs.

Erwartet der unwissende Nutzer so etwas? Sicherlich nicht.

Unter Punkt F steht, an wen Daten weitergegeben werden:

  • Amazon Web Services (Hosting)
  • Zendesk (Kundendienst-Software)
  • Twilio (SMS-Versand)
  • Google Analytics / Google Firebase

Das klingt nach einer wirklich guten Alternative zu konventionellen Tickets, die man ganz privat am Automaten erwerben könnte.

Weil ich so sehr überzeugt bin installiere ich mir die App in der Version 4.6.3. Weil ich aber analysieren will mache ich das in einem Emulator, dessen Traffic ich mich mitmproxy mitschneide.

Direkt nach dem Starten gibt es diverse Verbindungen. Die App registriert sich zu Hause und bei drei Drittfirmen - Google, Microsoft (AppsCenter) und AppsFlyer. Noch habe ich aber keiner Datenschutzerklärung zugestimmt. Und von AppsFlyer und Microsoft stand Nichts in der Datenschutzerklärung. Fürs Protokoll Screenshots der Sachverhalte:

Screenshots der Anfrage an AppsFlyer

An AppsFlyer gehen gleich die ganzen Systeminformationen - einschließlich der Android-Werbe-ID. Wofür dieses Unternehmen die Werbe-ID braucht kann ich absolut nicht nachvollziehen.

Screenshot einer Anfrage an fairtiq selbst

An Fairtiq selbst geht die Push-ID. Die ist durch die (zwei Anfragen darüber stehende) Registrierung bei Google entstanden.

Screenshot einer Anfrage an Microsoft

Auch Microsoft wird informiert, welche App wir jetzt auf was für einem Gerät benutzen. Fast schon loben kann man, dass nur eine Installations-ID und keine Geräte-ID wie die Werbe-ID versendet wird.

Interessant ist ein Detail bei den Schritten in der App:

Screenshot des Standortzugriffszustimmungsbildschirms von Fairtiq

Dieses Bild habe ich nicht nachbearbeitet, das Standortsymbol ist wirklich so pixelig. Außerdem gab es hier etwas, dass wie ein Bug aussieht: Beim ersten Tippen auf den Button kommt das Systemberechtigungsdialog, wenn man dort zustimmt muss man nochmal auf den Button vom gezeigten Bildschirm tippen, damit es weitergeht.

Dann muss man eine Telefonnummer angeben, ohne das irgendein Grund dafür erkennbar ist - perfekter Datenschutz. Ich nehme eine öffentliche Nummer, bei der man die eingegangenen Nachrichten Online einsehen kann - meine Nummer bekommen die nicht. Da werde ich natürlich registriert:

Screenshot der Anfrage für die Registrierung bei Fairtiq

Danach werden die Tarifzonen geladen, damit diese in der App angezeigt werden können:

Screenshot der Anfrage zum Laden der Tarifzonen von Fairtiq

Da wähle ich Halle. Das wird natürlich sofort übermittelt:

Screenshot vom Senden der Tarifzonenwahl

Dann werden einige Daten nachgeladen, bei denen direkt sichtbar ist, dass die von Amazon ausgeliefert werden (siehe “AmazonS3” rechts bei “Server”)

Screenshot vom Kontakt mit Amazon

Und die Telefonnummer war natürlich nicht genug. Jetzt will man noch mehr wissen:

Fairtiq will alles wissen - Teil 1 Fairtiq will alles wissen - Teil 2

Was fällt auf?

  • neben der Telefonnummer braucht man zusätzlich eine E-Mail-Adresse; Eine E-Mail-Adresse allein reicht scheinbar nicht
  • erst hier muss man den Nutzungsbedingungen und der Datenschutzerklärung zustimmen; Bis hier wurden aber schon genug Daten verteilt, auch an Drittfirmen; Insbesondere habe ich nicht vor der Angabe der Telefonnummer zugestimmt, dass die durch das US-Unternehmen Twilio verarbeitet wird
  • das Alter wird angeblich zur Berechnung des Ticketpreises genutzt; Warum reicht es nicht, wenn man mir die Altersklassen anzeigt und ich die richtige auswähle?

Bei den Bezahlmethoden endet mein Test:

Bezahlmethodeneingabe bei Fairtiq

Ich benutze keine der angebotenen Bezahlmethoden.

Zum Zeitpunkt meines Tests gab es die Lastschrift nicht als Bezahlmethode. Inzwischen gibt es sie. Allerdings ist unklar, inwiefern jemand einen Account mit dem Besitz der Telefonnummer übernehmen kann, sodass es mir zu riskant war, meine Bankdaten einzugeben.


Was ich hier vorgefunden habe war mindestens ein schlechter Datenschutz. Ich muss viele Angaben machen, die für die eigentliche Funktionalität nicht erforderlich sind. Das Zustimmen zur Datenschutzerklärung ist meiner Meinung nach viel zu spät im Einrichtungsvorgang platziert. Es gibt Datenweitergaben, die man in der Datenschutzerklärung nicht genannt hat.

Da ist die Aktion “Mit FAIRTIQ kostenlos zum Weihnachts- u. Wintermarkt”, die an allen Samstagen gilt, eine interessante Lösung. Für das Einrichten dieser Datenschleuder gibt es einige kostenlosen Fahrten. Frage: Sind schon allein die Daten, die man dabei verteilt, wertvoller als diese Fahrten (abgesehen davon, dass Nutzer dann möglicherweise häufiger die öffentlichen Verkehrsmittel benutzen)?

Ich finde es ja gut, dass man sich um den Kundenservice kümmert. Aber können die Maßnahmen dann nicht Kundenorientiert sein? Der Kunde möchte sicherlich keine Datenschleuder.