Mike Kuketz
1. Februar 2022 | 10:27 Uhr

Chayns: Corona-Terminbuchungs-App mit deutlichen Verstößen gegen TTDSG/DSGVO

Ich bekomme immer häufiger den Hinweis, dass die Chayns-App (Google Play Store) für die Buchung von Corona-Schnelltest-Terminen eingesetzt/vorausgesetzt wird. Das Datensendeverhalten der Version 6.763 habe ich für den vorliegenden Beitrag stichpunktartig geprüft. Unter anderem beinhaltet die App insgesamt 9 Tracker- bzw. Analyse-Bibliotheken:

  • Facebook Analytics
  • Facebook Login
  • Facebook Share
  • Google Analytics
  • Google CrashLytics
  • Google Firebase Analytics
  • Google Tag Manager
  • Huawei Mobile Services (HMS) Core
  • Kontakt

Allein das ist eigentlich schon ein Grund, um einen großen Bogen um die App zu machen. Nachfolgend das Datensendeverhalten:

App-Start: Unmittelbar nach dem Start (keine Interaktion des Nutzers)

[1] Unmittelbar nach dem Start der App wird eine Verbindung zu Facebook initiiert [graph.facebook.com]:

POST /v11.0/472449496108149/activities HTTP/1.1
User-Agent: FBAndroidSDK.11.1.0
Accept-Language: de_DE
Content-Type: application/x-www-form-urlencoded
Host: graph.facebook.com
Connection: close
Accept-Encoding: gzip, deflate
Content-Length: 828

format=json&sdk=android&custom_events=[{"_eventName":"fb_sdk_settings_changed","_eventName_md5":"5031a3763f200bcd1bb05019de1a8a7b","_logTime":1643703444,"_ui":"unknown","current":"15","previous":"0","initial":"15","usage":"0","_inBackground":"1","_implicitlyLogged":"1"}]&event=CUSTOM_APP_EVENTS&anon_id=XZ2b77d532-69a4-4eb8-abcd-b68d4ae444af&advertiser_id=d57fa49c-45a8-4a60-8b53-2aad7bde9a73&installer_package=com.android.vending&extinfo=["a2","com.Tobit.android.Slitte60021089891",6763,"6.763","10","Mi A1","de_DE","MEZ","",1080,1920,"3",8,50,44,"Europe\/Berlin"]&application_package_name=com.Tobit.android.Slitte60021089891&

Unter anderem wird hierbei übermittelt:

  • Google-Advertising-ID (Werbe-ID): d57fa49c-45a8-4a60-8b53-2aad7bde9a73
  • Package-Name der App: com.Tobit.android.Slitte60021089891
  • Verwendetes Gerät: (Xiaomi) Mi A1
  • Auflösung: 1080×1920
  • […]

Eigentlich kann man an dieser Stelle schon aufhören, denn damit verstößt die App gegen das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) und die Datenschutz-Grundverordnung (DSGVO):

  • Ein Zugriff auf das Speichern und/oder Auslesen von Informationen auf bzw. aus einem Endgerät ist nach § 25 TTDSG einwilligungsbedürftig. Das ungefragte Auslesen (bspw. Google-Advertising-ID) stellt damit einen klaren Verstoß dar.
  • Wie bedenklich die Einbindung von Facebook-Bausteinen (SDK) hinsichtlich der Privatsphäre sind, scheint noch immer nicht an die App-Entwickler durchgedrungen zu sein – einfach unverantwortlich. Allein die Übermittlung der Google-Advertising-ID genügt im Grunde genommen, dass Facebook nun eine Verknüpfung zwischen Facebook-Nutzerin und den übermittelten Daten herstellen kann. Der Grund: Auch die Facebook-App (sofern installiert) liest die Google-Advertising-ID aus. Damit hat Facebook anschließend einen Identifier, den sie einer Person exakt zuordnen können. Damit liegt ebenfalls ein Verstoß gegen die DSGVO vor, weil es sich bei der Google-Advertising-ID um ein personenbeziehbares Datum handelt. Auch hierfür hat der Betreiber keine ausdrückliche, informierte, freiwillige, aktive Einwilligung vom Betroffenen eingeholt.

[2] Nachfolgend kürze ich die Analyse etwas ab, da die App unmittelbar nach dem Start noch zu weiteren (Dritt-)Servern Kontakt aufnimmt. Dazu zählen:

  • Google CrashLytics: firebase-settings.crashlytics.com
  • Google Firebase Analytics: firebaseinstallations.googleapis.com
  • Google Push-Service: android.clients.google.com
  • Tobit: chaynssvc.tobit.com / timber.tobit.com
  • Google Analytics: app-measurement.com

Auch für die oben aufgezählten Verbindungen bzw. dem Auslesen von (Geräte-)Informationen wird keine Einwilligung nach § 25 TTDSG eingeholt. Erst nachdem die Daten bereits abgeflossen sind erscheint eine Meldung »Willkommen bei chayns!«:

Chayns Einwilligung

Diese Einwilligung erfüllt nicht im Entferntesten die Anforderungen an eine ausdrückliche, informierte, freiwillige, aktive Einwilligung. Auch Jahre nach der Einführung der DSGVO ist den Verantwortlichen offenbar unklar, welche Anforderungen eine Einwilligung erfüllen muss/sollte.

An dieser Stelle beende ich den Test. Schon die ersten Eindrücke – also bevor überhaupt eine Nutzerinteraktion stattfindet – sind unterirdisch.

Persönlich würde ich die App nicht nutzen, geschweige denn dort personenbezogene Daten wie Name, Adresse, Geburtsdatum etc. angeben. Getreu dem Motto

Digtal first, Bedenken second

binden die Verantwortlichen der Chayns-App haufenweise externe Tracker-Bibliotheken/-SDKs ein, ohne sich mit den damit einhergehenden Risiken für Sicherheit und Datenschutz (für ihre Nutzer) auseinandergesetzt zu haben. Das kann nicht gut gehen, wie die stichpunktartige Prüfung zeigt. Die Verstöße gegen TTDSG und auch DSGVO sind deutlich und nicht von der Hand zu weisen.

Hilf mit die Spendenziele zu erreichen! Mitmachen ➡
Ähnliche Beiträge
Microblog
14. Januar 2022

TTDSG: Stellungnahme der ARD bezüglich Apps liegt vor

Im Dezember 2021 hatte ich diverse Apps des öffentlichen Rundfunks (ARD, ZDF) auf ihr Datensendeverhalten überprüft: ARD Mediathek (Version 9.3.0):…
eBay Kleinanzeigen
24. Oktober 2022

eBay Kleinanzeigen: Datenschutz: Was letzte Preis? – App-Check Teil3

Der Datenschutz verkommt bei eBay Kleinanzeigen zur Ramschware. Am Ende heißt es »Datenschutz: Was letzte Preis?«.
Post & DHL App
20. Juni 2022

Post & DHL: Datenschutz unbekannt verzogen – App-Check Teil2

Der Datenschutz ist bei der Post-&-DHL-App offensichtlich unbekannt verzogen.
TTDSG
27. Februar 2023

Wer erlaubt Analysetracking in Deutschland und Europa – das TTDSG Teil2

Was sagen die Behörden zu Tools wie Google Analytics in Europa? Welche Länder fordern eine Einwilligung, welche nicht?
DB Navigator
11. April 2022

DB Navigator: Datenschutz fällt heute aus – App-Check Teil1

Die Analyse des DB Navigators offenbart eklatante Verstöße gegen die DSGVO und das TTDSG. Ist das Vorsatz oder Unfähigkeit?
Wissenswertes

Immer aktuell

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten dem Blog zu folgen:


Bleib aktuell ➡

Weitersagen

Wenn dir der Beitrag gefallen hat, dann teile ihn mit deinen Freunden, Bekannten und Mitmenschen. Nutze dafür soziale Medien (datenschutzfreundlich via Mastodon), Foren, Messenger, E-Mails oder einfach die nächste Feier / Veranstaltung.