ClickToPray: Auch Facebook und Co. beten mit

ClickToPray ist eine offizielle Gebets-App aus dem weltweiten Gebetsnetzwerk des Papstes. Dreimal am Tag erhält man einen »Gebetsimpuls« von ein bis drei Sätzen, der dabei helfen soll, Gott wieder in den Mittelpunkt des Alltags zu rücken. Bisher bin ich immer davon ausgegangen, Beten sei etwas sehr persönliches, sozusagen ein direkter »Draht« zu Gott. In der digtalen Welt scheint dies nicht mehr zu gelten – bei jedem Gebet sind auch Facebook und Konsorten involviert.

App-Start: Unmittelbar nach dem Start (keine Interaktion des Nutzers)

[1] Unmittelbar nach dem Start der App kontaktiert die App Facebook. Unter anderem werden folgende Informationen übermittelt [graph.facebook.com]:

  • Google Advertising ID: advertiser_id = c3639f11-626a-4692-9574-6a0f632e1ea3
  • Ob Ad-Tracking aktiviert / erlaubt ist: advertiser_tracking_enabled = true
  • Ein Identifier: anon_id = XZce953baa-18a8-42e0-82ad-2d1b3866fe63
  • Ob das App-Tracking aktiviert / erlaubt ist: application_tracking_enabled = true
  • Weitere Informationen:
    • Paketname der App: com.lamachi.clicktopray
    • Versionsnummer der App: 1000408
    • Android-Versionsnummer: 7.1.2
    • Gerätemodell: Redmi Note 4
    • Länderkennung: de_DE
    • Zeitzone: MESZ, Europe/Berlin
    • Displayauflösung: 1080×1920

Wie bedenklich die Einbindung von Facebook-Bausteinen (SDK) hinsichtlich der Privatsphäre sind, scheint bei der Kirche noch nicht angekommen zu sein.

[2] Auch der Google-Tracker »app-measurement.com« fehlt nicht, der den Google-Cloud-Messaging (GCM) Nachfolger Firebase-Cloud-Messaging (FCM) standardmäßig mit Daten beliefert, sofern die Entwickler dies nicht aktiv deaktivieren [app-measurement.com]:

GET /config/app/1%3A96461185109%3Aandroid%3Af1d37e457a71502d?app_instance_id=5becec31e7890b239be64e135d3c4cd7&platform=android&gmp_version=14799 HTTP/1.1
User-Agent: Dalvik/2.1.0 (Linux; U; Android 7.1.2; Redmi Note 4 Build/NJH47F)
Host: app-measurement.com
Connection: close
Accept-Encoding: gzip, deflate

Leider können wir die Daten nicht einsehen, da Google eine zusätzliche Verschlüsselung darüber legt.

App-Interaktion: Registrierung

Nachdem schon nach dem Start der App diverse Daten abgeflossen sind, wird zunächst eine Registrierung verlangt. Diese erfolgt wahlweise über Facebook, Google oder E-Mail-Adresse. Eine Registrierung für eine Gebets-App erscheint mir ja schon äußerst fragwürdig, aber dann noch via Facebook und Google? Aus Datenschutzperspektive ist dies wirklich ein Armutszeugnis für die Kirche.

Ich entscheide mich für die Registrierung per E-Mail:

POST /wp-json/api/v1/adduser HTTP/1.1
Content-Type: application/json; charset=UTF-8
Content-Length: 82
Host: clicktopray.org
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.10.0

{"email":"meinaccount@mail.de","password":"passwort123","username":"Max Mustermann"}

Nach der korrekten Eingabe von Benutzername und Passwort erscheint auf dem Display:

FEHLER: Das eingegebene Passwort für die E-Mail-Adresse meinaccount@mail.de ist nicht korrekt.

An dieser Stelle breche ich die weitere Prüfung ab.

Offenbar hat sich die Kirche bzw. die Verantwortlichen hinter dieser App noch nicht ausreichend mit dem Thema Datenschutz befasst. Auch die offizielle Webseite hinter der App ist mit Datenkraken wie Google, Facebook und Cloudflare geradezu zugepflastert. Leider klärt die Datenschutzerklärung den Nutzer nicht darüber auf, dass seine Interaktion mit der App von Facebook und Google getrackt wird.

Liebes »Worldwide Prayer Network«, das könnt ihr doch besser, oder?

Hilf mit die Spendenziele zu erreichen! Mitmachen ➡