Mike Kuketz
9. Oktober 2018 | 14:15 Uhr

Finanzguru-App: User-Tracking ist Freundesverrat

Auf Wunsch eines Lesers habe ich mal einen Blick auf die Finanzguru-App geworfen. Allerdings muss ich gestehen, dass nicht allein der Wunsch des Lesers ausschlaggebend für eine kurze Stichprobe war, sondern vielmehr ein Satz aus der Datenschutzerklärung zur App:

Der Datenschutz genießt höchste Priorität für uns. Wir bauen den Finanzguru gemäß dem Motto „Eine App für unseren besten Freund„. Genauso wie die Beziehung zwischen besten Freunden auf Vertrauen basiert, liegt uns ein vertrauensvolles Verhältnis zu dir als Kunden am Herzen.

Eine »App für den besten Freund« also? Na, da müssten doch die höchsten Standards an den Datenschutz erfüllt sein, oder etwa nicht?

Ich habe mir Version 1.21.8 der App aus dem iTunes-Store mal kurz angeschaut – ja richtig gelesen, heute habe ich mal iOS den Vorzug gegeben. Die App ist allerdings auch für Android verfügbar. Los geht’s!

App-Start: Unmittelbar nach dem Start (keine Interaktion des Nutzers)

[1] Unmittelbar nach dem Start der App kontaktiert die App Google. Unter anderem werden folgende Informationen übermittelt [device-provisioning.googleapis.com]:

  • Eingestellte Sprache: de-DE
  • Modell: iPhone 7.2
  • OS-Version: IOS_11_1.2
  • Zeitzone: Europa / Berlin
  • Logging-ID: 1830656074
  • […]

[2] Gleich danach wird der nächste Google-Service kontaktiert und unter anderem folgende Informationen übermittelt [play.googleapis.com]:

  • languageCodeFromWebview: de-DE
  • deviceModelName: iPhone7,2
  • screenResolutionHeight: 667
  • screenResolutionWidth: 375
  • languageCode: de-DE
  • timezone: Europe / Berlin
  • bundleId: de.dwins.Financeguru
  • appInstallationTime: 1539080378
  • […]

Leider können weitere Daten nicht eingesehen werden, da Google eine zusätzliche Verschlüsselung darüber legt.

[3] Die Datenübermittlung an Google reicht offenbar noch nicht aus, denn auch der Google-Tracker »app-measurement.com« fehlt nicht, der den Google-Cloud-Messaging (GCM) Nachfolger Firebase-Cloud-Messaging (FCM) mit Daten beliefert. [app-measurement.com]:

GET /config/app/1:526323517186:ios:517b4952e0ba94d6?platform=ios&app_instance_id=FD5070BD30B24AC9ACC6D6B7C59A96C0&gmp_version=40200 HTTP/1.1
Host: app-measurement.com
Accept: */*
Accept-Language: de-de
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: Financeguru/381 CFNetwork/889.9 Darwin/17.2.0

Leider können weitere Daten nicht eingesehen werden, da Google eine zusätzliche Verschlüsselung darüber legt.

[4] Unmittelbar nach dem Start kontaktiert die App ebenfalls die Analysefirma Adjust (Hauptfirmensitz San Francisco, USA). Unter anderem werden folgende Informationen übermittelt [app.adjust.com]:

  • bundle_id=de.dwins.Financeguru
  • tracking_enabled=1
  • language=de
  • app_updated_at=2018-10-08
  • country=DE
  • app_version=381
  • device_name=iPhone7,2
  • cpu_type=CPU_SUBTYPE_ARM64_V8
  • app_version_short=1.21.8
  • os_build=15B202
  • os_name=ios
  • persistent_ios_uuid=fd6aaca6-175a-4735-909e-5fea8313fcfa
  • environment=production
  • hardware_name=N61AP
  • idfv=9BF8A97B-564C-43E8-A8AD-1ADA29D24FD9
  • os_version=11.1.2
  • device_type=iPhone
  • connectivity_type=WiFi
  • idfa=D40D829D-214C-43B3-A41B-0D390A6F37AF

[5] Letztendlich werden noch einige Apple-Server kontaktiert, um bspw. die Push-Benachrichtungen zu ermöglichen.

Ohne jegliche App-Interaktion breche ich die weitere Analyse ab – das genügt mir für einen ersten Kontakt.

Meine Eindrücke:

  • Als Apple-User habe ich mit dem Kauf von einem iOS-Gerät möglicherweise bewusst die Entscheidung getroffen, Google aus dem Weg zu gehen. Finanzguru trackt den Nutzer allerdings über Google-Dienste – als iOS-Nutzer würde mir das persönlich nicht gefallen.
  • Die Datenschutzerklärung weist nicht darauf hin, dass innerhalb der App Tracking von Google oder Adjust betrieben wird. Es wäre wünschenswert, wenn der Nutzer über den Zweck der Erhebung, Verarbeitung und Nutzung der Daten aufgeklärt wird, die an diese Drittanbieter übermittelt werden.
  • Eine App, die sensible Bankdaten verarbeitet, sollte die höchsten Anforderungen und (Nutzer-)Ansprüche an Datenschutz und Sicherheit erfüllen – das kann ich bei der Finanzguru-App leider nicht erkennen. User-Tracking widerspricht der Aussage in der Datenschutzerklärung diametral:

    Der Datenschutz genießt höchste Priorität für uns. Wir bauen den Finanzguru gemäß dem Motto „Eine App für unseren besten Freund“.

    User-Tracking ist Freundesverrat.

  • Das User-Tracking ist kein Opt-In. Pauschal davon auszugehen, dass Daten einfach für Analysezwecke herangezogen werden dürfen, halte ich für die falsche Herangehensweise. Insbesondere in einer App, die sensible Bankdaten verarbeitet, wäre ein Opt-In in eine Datenanalyse das Minimum an Transparenz und Respekt vor dem Nutzer.

Fazit: Ich persönlich würde die App nicht nutzen. Dass die Datenschutzerklärung den potenziellen Nutzer leider nicht über das User-Tracking informiert halte ich für äußerst bedenkenswert. Transparenz und Vertrauensbildung geht anders.

Update

15.06.2020: Der Hersteller hat mich kontaktiert und darauf hingewiesen, dass man nun ein Opt-Out vom Tracking vornehmen kann. Ich habe das allerdings nicht weiter geprüft. Weiterhin wird nun in der Datenschutzerklärung darauf hingewiesen, dass innerhalb der App Tracking über Drittanbieter erfolgt.

Hinweis

Erfahrungsgemäß ist das App-Tracking unter Android »noch schlimmer«, als unter iOS. Es ist also davon auszugehen, dass die App unter Android ähnliche Analysedienstleister integriert hat.
Unterstütze den Blog mit einem Dauerauftrag! Mitmachen ➡
Ähnliche Beiträge
eBay Kleinanzeigen
24. Oktober 2022

eBay Kleinanzeigen: Datenschutz: Was letzte Preis? – App-Check Teil3

Der Datenschutz verkommt bei eBay Kleinanzeigen zur Ramschware. Am Ende heißt es »Datenschutz: Was letzte Preis?«.
Post & DHL App
20. Juni 2022

Post & DHL: Datenschutz unbekannt verzogen – App-Check Teil2

Der Datenschutz ist bei der Post-&-DHL-App offensichtlich unbekannt verzogen.
Tracking in Apps
3. März 2021

Wie Tracking in Apps die Sicherheit und den Datenschutz unnötig gefährdet

Die Integration von App-Tracking wird von Entwicklern bzw. Verantwortlichen vehement verteidigt, obwohl es ein Risiko für die Daten der Nutzer darstellt.
DB Navigator
11. April 2022

DB Navigator: Datenschutz fällt heute aus – App-Check Teil1

Die Analyse des DB Navigators offenbart eklatante Verstöße gegen die DSGVO und das TTDSG. Ist das Vorsatz oder Unfähigkeit?
Android vs. iOS
1. Juni 2022

Datenschutz und Sicherheit: Android vs. iOS – Teil1

Android oder iOS? Welches System hat beim Schutz der Privatsphäre die Nase vorn?
Wissenswertes

Immer aktuell

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten dem Blog zu folgen:


Bleib aktuell ➡

Weitersagen

Wenn dir der Beitrag gefallen hat, dann teile ihn mit deinen Freunden, Bekannten und Mitmenschen. Nutze dafür soziale Medien (datenschutzfreundlich via Mastodon), Foren, Messenger, E-Mails oder einfach die nächste Feier / Veranstaltung.