Deutscher Bundestag App: Absturzberichte gehen an Microsoft

Seit ein paar Tagen steht die App »Deutscher Bundestag« (Android & iOS) zur Verfügung:

Direkt aus dem Parlament: Diese App liefert laufend aktualisierte Informationen über Themen, Abgeordnete und Ausschüsse des Deutschen Bundestages.

Ich war neugierig und habe mir gleich mal die Datenschutzerklärung der App angeschaut:

Wir möchten die Stabilität und Zuverlässigkeit der App sicherstellen. Deshalb werden anonymisierte Absturzberichte mit technischen Informationen erhoben, an den Dienstleister HockeyApp (ein Unternehmen der Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, USA) übermittelt und dort zur Auswertung gespeichert. Die Absturzberichte enthalten keine personenbezogenen Daten und keine Log-Dateien. In den Absturzberichten werden z.B. die App-Version, Datum und Uhrzeit des Absturzes, Gerätehersteller und Gerätemodell und die Version des Betriebssystems übermittelt. Die Datenschutzbestimmungen von HockeyApp sind unter https://hockeyapp.net/privacy/ zu finden.

Via The Monkey habe ich die App dann mal zu einem Absturz gezwungen, um zu prüfen welche Informationen tatsächlich übermittelt werden:

monkey -p de.bundestag.android -v 15000

Nach einem Absturz werden schließlich folgende Informationen an die Gegenstelle »sdk.hockeyapp.net« in der Amazon-Cloud (US-Ostküste) übermittelt:

Package: de.bundestag.android
Version Code: 292
Version Name: 4.0.0
Android: 7.1.2
Android Build: lineage_mido-userdebug 7.1.2 NEH47A 329463f5a9
Manufacturer: Xiaomi
Model: Redmi Note 4
Thread: main-1
CrashReporter Key: c091c5fb-a054-4b39-956f-2881a148949a
Start Date: 2019-03-07T09:16:12.551Z
Date: 2019-03-07T09:17:10.883Z

Daneben noch ein langer Log-Report:

Log:
--------- beginning of system
03-07 09:57:33.235 6675 6675 I chatty : uid=10089(de.bundestag.android) expire 180 lines
03-07 09:58:22.352 7252 7252 I chatty : uid=10089(de.bundestag.android) expire 92 lines
--------- beginning of crash
03-07 09:58:24.452 7252 7252 E AndroidRuntime: FATAL EXCEPTION: main
03-07 09:58:24.452 7252 7252 E AndroidRuntime: Process: de.bundestag.android, PID: 7252
03-07 09:58:24.452 7252 7252 E AndroidRuntime: java.lang.IllegalArgumentException: Parameter specified as non-null is null: method org.b.a.n.a, parameter $receiver
03-07 09:58:24.452 7252 7252 E AndroidRuntime: at org.b.a.n.a(SourceFile)
03-07 09:58:24.452 7252 7252 E AndroidRuntime: at de.bundestag.android.screens.newslist.s$i.a(SourceFile:165)
03-07 09:58:24.452 7252 7252 E AndroidRuntime: at com.c.a.b.a(SourceFile:87)
03-07 09:58:24.452 7252 7252 E AndroidRuntime: at com.c.a.b.a(SourceFile:34)
03-07 09:58:24.452 7252 7252 E AndroidRuntime: at com.c.a.a.a(SourceFile:123)

[...]

Soweit sind die Angaben also korrekt. Die Frage ist nur, ob und wie streng folgender Satz ausgelegt wird:

Die Absturzberichte enthalten keine personenbezogenen Daten und keine Log-Dateien.

Schon eine IP-Adresse ist grundsätzlich als personenbezogenes Datum zu bewerten. Und wie ist die Aussage »die Absturzberichte enthalten […] keine Log-Dateien« zu bewerten?

Frage zum Abschluss: Gibt es keinen datenschutzfreundlichen Crash-Reporter-Dienst aus Deutschland? Muss es wirklich Microsoft sein und die Daten in der US-Cloud bei Amazon gespeichert werden?

Du kannst den Blog aktiv unterstützen! Mitmachen ➡