Android: Banking-App Zuper übermittelt sensible Daten an Drittanbieter

Zunächst einmal, was ist Zuper? Zuper ist eine Banking-App für alle (Giro-)Konten inkl. Haushaltsbuch und Finanzassistent. Ihr könnt mit dieser App also all eure Konten über eine zentrale Schnittstelle verwalten – soweit die Idee.

Auf der Startseite von Zuper ist folgender Satz zu finden:

Privatsphäre und Datensicherheit steht bei uns an erster Stelle.

Anschließend werden Schlagwörter wie:

  • Zwei-Faktor-Authentifizierung
  • Sichere Datenverschlüsselung
  • Deine Daten gehören dir
  • […]

aufgeführt und kurz erläutert. Machen wir mal den Realitätscheck zu »Deine Daten gehören dir«. Unmittelbar nach dem Start verbindet sich Zuper zu folgenden Trackern und Drittanbietern:

  • Crashlytics: settings.crashlytics.com (Analyse)
  • Facebook: graph.facebook.com (Tracking)
  • Adjust: app.adjust.com (Tracking)
  • Mixpanel: api.mixpanel.com (Tracking)
  • Google: android.clients.google.com (für Push-Benachrichtigungen)
  • Google: app-measurement.com (Tracking)
  • Braze: dev.appboy.com (SDK)

Ich habe dann mal kurz die Registrierung gestartet und eine E-Mail-Adresse angegeben. Diese wir dann gleich an Braze übermittelt:

POST /api/v3/data HTTP/1.1
X-Braze-DataRequest: true
X-Braze-FeedRequest: true
X-Braze-Api-Key: c44f7e79-4c4f-44de-b9ba-43940278f31e
Content-Type: application/json
Accept-Encoding: gzip, deflate
User-Agent: Dalvik/2.1.0 (Linux; U; Android 7.1.2; Redmi Note 4 Build/NJH47F)
Host: dev.appboy.com
Connection: close
Content-Length: 603

{"app_version":"3.1.4.3","device_id":"06d15589-5528-4dc9-a461-c96aee50c4e4","time":1535616677,"api_key":"c44f7e79-4c4f-44de-b9ba-43940278f31e","sdk_version":"2.2.5","device":{"os_version":"25","model":"Redmi Note 4","resolution":"1080x1920","locale":"de_DE","remote_notification_enabled":true,"time_zone":"Europe\/Berlin"},
"attributes":[{"email":"meineadresse@gockelmail.de","user_id":"122850"}],"events":[{"name":"ss","data":{},"time":1.535616677058E9,"user_id":"122850","session_id":"341029ae-827d-4ebc-b44a-c494db34be2e"}],"respond_with":{"user_id":"122850","feed":true,"config":{"config_time":1488474841}}}

Und auch an Mixpanel, die ebenfalls schon mehrmals unangenehm aufgefallen sind. Unter anderem im Zusammenhang mit der Diabates App mySugr:

[...]
"userID":122850,"Device":"Xiaomi - Redmi Note 4","OS":"Android","OS Version":25,"$email":"meineadresse@gockelmail.de"}
[...]

Führe ich die Registrierung weiter aus, wird dann auch noch der Name an Braze und Mixpanel übermittelt:

Braze: [...] {"first_name":"Testdummy 0815","user_id":"122850"} [...]
Mixpanel: [...] "$android_manufacturer":"Xiaomi","$name":"Testdummy 0815"} [...]

Nach Vergabe einer Sicherheitspin lassen sich dann die Bankkonten hinzufügen. Spaßeshalber habe ich mal die Sparkasse in München ausgewählt. Und was meint ihr? Richtig, auch diese Informationen, also welches Konto man verknüpft, werden wieder an die Drittanbieter Braze und Mixpanel übermittelt:

Braze: [...] :{"bank_name":"Stadtsparkasse München"} [...]
Mixpanel: [...] "bank name":"Stadtsparkasse München","BLZ":"70150000","name typed in":"Sparkasse"}} [...]

Weiter werde ich das nun nicht mehr analysieren. Ich kann diesem »Werbesprüchlein« von der Startseite ganz und gar nicht zustimmen:

Privatsphäre und Datensicherheit steht bei uns an erster Stelle.

Das sehe ich anders und habe den Hersteller informiert, denn in der Datenschutzerklärung finde ich keine Erläuterung für dieses Verhalten bzw. auch nicht die Drittanbieter, mit denen Zuper zusammenarbeitet. Das könnte sogar ein Verstoß gegen die DSGVO bedeuten.

Mein Tipp: Lasst die Finger von solchen Finanz- und Banking-Apps auf euren Smartphones.

Update: Es liegt eine Reaktion von einer Anwaltskanzlei vor, die die Zuper GmbH vertritt:

[…]

Wir danken für den Hinweis. Etwaige Fehler in der Datenschutzerklärung werden von unserer Mandantschaft schnellstens behoben werden.

Mit freundlichen Grueßen

XY
Rechtsanwalt

Ich glaube kaum, dass eine Anpassung der Datenschutzerklärung genügt. Immerhin versendet die Zuper-App personenbezogene Daten ohne vorige Einwilligung an Drittanbieter.

Hilf mit die Spendenziele zu erreichen! Mitmachen ➡