Chayns: Corona-Terminbuchungs-App mit deutlichen Verstößen gegen TTDSG/DSGVO
Ich bekomme immer häufiger den Hinweis, dass die Chayns-App (Google Play Store) für die Buchung von Corona-Schnelltest-Terminen eingesetzt/vorausgesetzt wird. Das Datensendeverhalten der Version 6.763 habe ich für den vorliegenden Beitrag stichpunktartig geprüft. Unter anderem beinhaltet die App insgesamt 9 Tracker- bzw. Analyse-Bibliotheken:
- Facebook Analytics
- Facebook Login
- Facebook Share
- Google Analytics
- Google CrashLytics
- Google Firebase Analytics
- Google Tag Manager
- Huawei Mobile Services (HMS) Core
- Kontakt
Allein das ist eigentlich schon ein Grund, um einen großen Bogen um die App zu machen. Nachfolgend das Datensendeverhalten:
App-Start: Unmittelbar nach dem Start (keine Interaktion des Nutzers)
[1] Unmittelbar nach dem Start der App wird eine Verbindung zu Facebook initiiert [graph.facebook.com]:
POST /v11.0/472449496108149/activities HTTP/1.1 User-Agent: FBAndroidSDK.11.1.0 Accept-Language: de_DE Content-Type: application/x-www-form-urlencoded Host: graph.facebook.com Connection: close Accept-Encoding: gzip, deflate Content-Length: 828 format=json&sdk=android&custom_events=[{"_eventName":"fb_sdk_settings_changed","_eventName_md5":"5031a3763f200bcd1bb05019de1a8a7b","_logTime":1643703444,"_ui":"unknown","current":"15","previous":"0","initial":"15","usage":"0","_inBackground":"1","_implicitlyLogged":"1"}]&event=CUSTOM_APP_EVENTS&anon_id=XZ2b77d532-69a4-4eb8-abcd-b68d4ae444af&advertiser_id=d57fa49c-45a8-4a60-8b53-2aad7bde9a73&installer_package=com.android.vending&extinfo=["a2","com.Tobit.android.Slitte60021089891",6763,"6.763","10","Mi A1","de_DE","MEZ","",1080,1920,"3",8,50,44,"Europe\/Berlin"]&application_package_name=com.Tobit.android.Slitte60021089891&
Unter anderem wird hierbei übermittelt:
- Google-Advertising-ID (Werbe-ID):
d57fa49c-45a8-4a60-8b53-2aad7bde9a73
- Package-Name der App: com.Tobit.android.Slitte60021089891
- Verwendetes Gerät: (Xiaomi) Mi A1
- Auflösung: 1080×1920
- […]
Eigentlich kann man an dieser Stelle schon aufhören, denn damit verstößt die App gegen das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) und die Datenschutz-Grundverordnung (DSGVO):
- Ein Zugriff auf das Speichern und/oder Auslesen von Informationen auf bzw. aus einem Endgerät ist nach § 25 TTDSG einwilligungsbedürftig. Das ungefragte Auslesen (bspw. Google-Advertising-ID) stellt damit einen klaren Verstoß dar.
- Wie bedenklich die Einbindung von Facebook-Bausteinen (SDK) hinsichtlich der Privatsphäre sind, scheint noch immer nicht an die App-Entwickler durchgedrungen zu sein – einfach unverantwortlich. Allein die Übermittlung der Google-Advertising-ID genügt im Grunde genommen, dass Facebook nun eine Verknüpfung zwischen Facebook-Nutzerin und den übermittelten Daten herstellen kann. Der Grund: Auch die Facebook-App (sofern installiert) liest die Google-Advertising-ID aus. Damit hat Facebook anschließend einen Identifier, den sie einer Person exakt zuordnen können. Damit liegt ebenfalls ein Verstoß gegen die DSGVO vor, weil es sich bei der Google-Advertising-ID um ein personenbeziehbares Datum handelt. Auch hierfür hat der Betreiber keine ausdrückliche, informierte, freiwillige, aktive Einwilligung vom Betroffenen eingeholt.
[2] Nachfolgend kürze ich die Analyse etwas ab, da die App unmittelbar nach dem Start noch zu weiteren (Dritt-)Servern Kontakt aufnimmt. Dazu zählen:
- Google CrashLytics: firebase-settings.crashlytics.com
- Google Firebase Analytics: firebaseinstallations.googleapis.com
- Google Push-Service: android.clients.google.com
- Tobit: chaynssvc.tobit.com / timber.tobit.com
- Google Analytics: app-measurement.com
Auch für die oben aufgezählten Verbindungen bzw. dem Auslesen von (Geräte-)Informationen wird keine Einwilligung nach § 25 TTDSG eingeholt. Erst nachdem die Daten bereits abgeflossen sind erscheint eine Meldung »Willkommen bei chayns!«:
Diese Einwilligung erfüllt nicht im Entferntesten die Anforderungen an eine ausdrückliche, informierte, freiwillige, aktive Einwilligung. Auch Jahre nach der Einführung der DSGVO ist den Verantwortlichen offenbar unklar, welche Anforderungen eine Einwilligung erfüllen muss/sollte.
An dieser Stelle beende ich den Test. Schon die ersten Eindrücke – also bevor überhaupt eine Nutzerinteraktion stattfindet – sind unterirdisch.
Persönlich würde ich die App nicht nutzen, geschweige denn dort personenbezogene Daten wie Name, Adresse, Geburtsdatum etc. angeben. Getreu dem Motto
Digtal first, Bedenken second
binden die Verantwortlichen der Chayns-App haufenweise externe Tracker-Bibliotheken/-SDKs ein, ohne sich mit den damit einhergehenden Risiken für Sicherheit und Datenschutz (für ihre Nutzer) auseinandergesetzt zu haben. Das kann nicht gut gehen, wie die stichpunktartige Prüfung zeigt. Die Verstöße gegen TTDSG und auch DSGVO sind deutlich und nicht von der Hand zu weisen.