Deutscher Bundestag App: Absturzberichte gehen an Microsoft
Seit ein paar Tagen steht die App »Deutscher Bundestag« (Android & iOS) zur Verfügung:
Direkt aus dem Parlament: Diese App liefert laufend aktualisierte Informationen über Themen, Abgeordnete und Ausschüsse des Deutschen Bundestages.
Ich war neugierig und habe mir gleich mal die Datenschutzerklärung der App angeschaut:
Wir möchten die Stabilität und Zuverlässigkeit der App sicherstellen. Deshalb werden anonymisierte Absturzberichte mit technischen Informationen erhoben, an den Dienstleister HockeyApp (ein Unternehmen der Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, USA) übermittelt und dort zur Auswertung gespeichert. Die Absturzberichte enthalten keine personenbezogenen Daten und keine Log-Dateien. In den Absturzberichten werden z.B. die App-Version, Datum und Uhrzeit des Absturzes, Gerätehersteller und Gerätemodell und die Version des Betriebssystems übermittelt. Die Datenschutzbestimmungen von HockeyApp sind unter https://hockeyapp.net/privacy/ zu finden.
Via The Monkey habe ich die App dann mal zu einem Absturz gezwungen, um zu prüfen welche Informationen tatsächlich übermittelt werden:
monkey -p de.bundestag.android -v 15000
Nach einem Absturz werden schließlich folgende Informationen an die Gegenstelle »sdk.hockeyapp.net« in der Amazon-Cloud (US-Ostküste) übermittelt:
Package: de.bundestag.android Version Code: 292 Version Name: 4.0.0 Android: 7.1.2 Android Build: lineage_mido-userdebug 7.1.2 NEH47A 329463f5a9 Manufacturer: Xiaomi Model: Redmi Note 4 Thread: main-1 CrashReporter Key: c091c5fb-a054-4b39-956f-2881a148949a Start Date: 2019-03-07T09:16:12.551Z Date: 2019-03-07T09:17:10.883Z
Daneben noch ein langer Log-Report:
Log: --------- beginning of system 03-07 09:57:33.235 6675 6675 I chatty : uid=10089(de.bundestag.android) expire 180 lines 03-07 09:58:22.352 7252 7252 I chatty : uid=10089(de.bundestag.android) expire 92 lines --------- beginning of crash 03-07 09:58:24.452 7252 7252 E AndroidRuntime: FATAL EXCEPTION: main 03-07 09:58:24.452 7252 7252 E AndroidRuntime: Process: de.bundestag.android, PID: 7252 03-07 09:58:24.452 7252 7252 E AndroidRuntime: java.lang.IllegalArgumentException: Parameter specified as non-null is null: method org.b.a.n.a, parameter $receiver 03-07 09:58:24.452 7252 7252 E AndroidRuntime: at org.b.a.n.a(SourceFile) 03-07 09:58:24.452 7252 7252 E AndroidRuntime: at de.bundestag.android.screens.newslist.s$i.a(SourceFile:165) 03-07 09:58:24.452 7252 7252 E AndroidRuntime: at com.c.a.b.a(SourceFile:87) 03-07 09:58:24.452 7252 7252 E AndroidRuntime: at com.c.a.b.a(SourceFile:34) 03-07 09:58:24.452 7252 7252 E AndroidRuntime: at com.c.a.a.a(SourceFile:123) [...]
Soweit sind die Angaben also korrekt. Die Frage ist nur, ob und wie streng folgender Satz ausgelegt wird:
Die Absturzberichte enthalten keine personenbezogenen Daten und keine Log-Dateien.
Schon eine IP-Adresse ist grundsätzlich als personenbezogenes Datum zu bewerten. Und wie ist die Aussage »die Absturzberichte enthalten […] keine Log-Dateien« zu bewerten?
Frage zum Abschluss: Gibt es keinen datenschutzfreundlichen Crash-Reporter-Dienst aus Deutschland? Muss es wirklich Microsoft sein und die Daten in der US-Cloud bei Amazon gespeichert werden?