Gesundheits-App docdirekt: Weitere Datenschutz-Bruchlandung

Gestern wurde die Diagnose-App docdirekt von der Kassenärztlichen Vereinigung Baden-Württemberg im Radio vorgestellt – diese steht nun landesweit (BW) zur Verfügung:

Smart zum Arzt – lassen Sie sich ohne Terminvereinbarung von einem kompetenten Arzt beraten: Komfortabel und absolut diskret von zuhause aus via Telefon, App oder Chat. Beratung nur für gesetzlich Versicherte.

Einige Leser haben mich gebeten einen Blick auf die App zu werfen. Von meinen Ergebnissen möchte ich nachfolgend berichten.

App-Start: Unmittelbar nach dem Start (keine Interaktion des Nutzers)

[1] Unmittelbar nach dem Start der App kontaktiert die App die Analysefirma Mixpanel (Firmensitz San Francisco, USA), die schon mehrfach negativ aufgefallen ist. Unter anderem werden folgende Informationen übermittelt [*.mixpanel.com]:

  • Android-Versionsnummer: 7.1.2
  • Hersteller und Modell: Xiaomi | Redmi Note 4
  • Ob die Google Play Services installiert sind
  • Displayauflösung: 1920×1080
  • App-Versionsnummer: 18.04.131645
  • Ob ein NFC-Chip verbaut ist
  • Ob WiFi / Bluetooth verfügbar ist
  • Welcher Mobilfunkanbieter (Vodafone)
  • distinct_id=c4d07de5-2fed-4d90-a953-10e5a8b872fe
  • […]

[2] Weiterhin wird der Analysedienst Crashlytics (Firmensitz Boston, USA – gehört zu Google) mit folgenden Daten beliefert [*.crashlytics.com]:

  • X-CRASHLYTICS-DEVICE-MODEL: Xiaomi/Redmi Note 4
  • X-CRASHLYTICS-OS-BUILD-VERSION: 629863f5a9
  • X-CRASHLYTICS-OS-DISPLAY-VERSION: 7.1.2
  • X-CRASHLYTICS-ADVERTISING-TOKEN: c2639f11-626a-4292-9574-6a0e632e1ea5 (Google Advertisting-ID)
  • X-CRASHLYTICS-INSTALLATION-ID: b34889ce749c4051ab35600ab6833179
  • X-CRASHLYTICS-ANDROID-ID: cd20962404918a3c – Eindeutige Android-Geräte-ID
  • […]

[3] Als weiterer App-Tracker wird Branch.io (Firmensitz Redwood City, USA) eingesetzt, an den unter anderem folgende Daten übermittelt werden [api.branch.io]:

  • hardware_id: cd20962404918a3c – Eindeutige Android-Geräte-ID
  • is_hardware_id_real :true – Ob es sich um richtige Hardware oder einen Emulator handelt
  • app_version: 18.04.131645
  • Gerätemodell
  • Displayauflösung
  • local_ip: 192.168.50.25 – Lokale IP-Adresse im privaten / internen Netzwerk
  • facebook_app_link_checked: false
  • google_advertising_id: c2639f11-626a-4292-9574-6a0e632e1ea5
  • Installationszeitpunkt
  • device_fingerprint_id: 581733761469933841
  • wifi: true
  • […]

[4] Auch der Google-Tracker »app-measurement.com« fehlt nicht, der den Google-Cloud-Messaging (GCM) Nachfolger Firebase-Cloud-Messaging (FCM) standardmäßig mit Daten beliefert, sofern die Entwickler dies nicht aktiv deaktivieren [app-measurement.com]:

GET /config/app/1%3A137604724867%3Aandroid%3A7813281e1635001c?app_instance_id=f48a0d41a8dce0178983884f2f6f2da5&platform=android&gmp_version=14366 HTTP/1.1
User-Agent: Dalvik/2.1.0 (Linux; U; Android 7.1.2; Redmi Note 4 Build/NJH47F)
Host: app-measurement.com
Connection: close
Accept-Encoding: gzip, deflate

Leider können wir die Daten nicht einsehen, da Google eine zusätzliche Verschlüsselung darüber legt.

[5] Schließlich registriert sich die App noch am GCM- / FCM-Dienst von Google, um Push-Benachrichtigungen zu erhalten:

POST /c2dm/register3 HTTP/1.1
Authorization: AidLogin 4313553650077616773:2019295061565534427
app: com.teleclinic.docdirekt
gcm_ver: 14366021
User-Agent: Android-GCM/1.5 (mido NJH47F)
Content-Length: 408
content-type: application/x-www-form-urlencoded
Host: android.clients.google.com
Connection: close
Accept-Encoding: gzip, deflate

X-subtype=137604724867&sender=137604724867&X-app_ver=1804131645&X-osv=25&X-cliv=fiid-12210000&X-gmsv=14366021&X-appid=dvyBYg3mBrc&X-scope=*&X-gmp_app_id=1%3A137604724867%3Aandroid%3A7813281e1635001c&X-app_ver_name=18.04.131645&app=com.teleclinic.docdirekt&device=4313553650077616773&cert=dfaa84cf653bb975dde08e7398088871591cf2a0&app_ver=1804131645&info=U8qwdvxavoEXQEb1aBJ6XhyiES7lJBY&gcm_ver=14366021&plat=0

Bis zu dieser Stelle habe ich kein einziges Mal mit der App interagiert, sondern diese lediglich gestartet. Zum Hersteller bzw. zum Online-Diagnosedienst wurde bisher keine Verbindung initiiert.

App-Interaktion: Registrierung

Erst nach Angabe der Krankenkasse werde ich beim Anlegen des Profils (E-Mail-Adresse / Passwort) gefragt, ob ich den Datenschutzbestimmungen zustimmen möchte – Ich setze hier mal ein Häkchen, obwohl schon davor etliche Daten an Tracking-Dienstleister geflossen sind.

Anschließend möchte die App meinen Nachnachmen, Vornamen, Adresse, Geschlecht und Geburtsdatum erfassen.

Hinweis: Der gesamte Prozess wird von Mixpanel verfolgt – also in welcher Android-View (Registrierung abgeschlossen usw.) ich mich gerade befinde.

App-Interaktion: Aufrufen von Menüs und Funktionen

[1] Sobald ich unter dem Reiter »Mehr« auf Datenschutz tippe wird ein PDF von Google-Docs geladen [docs.google.com]:

GET /gview?embedded=true&url=https://services.teleclinic.com/static/docs/DOCDIT/ps_docdirekt.pdf HTTP/1.1
Host: docs.google.com
Connection: close
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Linux; Android 7.1.2; Redmi Note 4 Build/NJH47F; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/64.0.3282.137 Mobile Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: de-DE,en-US;q=0.9
X-Requested-With: com.teleclinic.docdirekt

Die Einbindung des PDFs erfolgt demnach nicht von einer eigenen IT-Infrastruktur, sondern über Google-Server, die dann auch noch verfolgen, welche Seite ich im PDF gerade betrachte und welches Gerät (Redmi Note 4 usw.) ich dafür benutze.

Auch bei anderen Untermenüs wie bei den Nutzungsbedinungen und dem Impressum werden die Informationen als PDF von Google-Docs geladen.

An dieser Stelle beende ich mein kurzes App-Review – das genügt mir für eine Einschätzung.

Mein Fazit: Parallelen zur Gesundheits-App Vivy sind unverkennbar – diese hat bereits vor Wochen ebenfalls eine Datenschutz-Bruchlandung hingelegt:

Es ist schon beinahe eine Glanzleistung die gleichen Fehler, die Vivy schon negative Presse eingebracht hat, nicht auszubessern. Da muss man sich ernsthaft die Frage stellen, ob die Verantwortlichen die letzten drei Wochen im Tiefschlaf verbracht haben – es wäre jedenfalls genug Zeit gewesen, die Datenschutzerklärung entsprechend zu ergänzen und die Tracker zumindest so einzubinden, dass Daten erst dann übermittelt werden, wenn der Nutzer in die Datenschutzerklärung eingewilligt hat.

Ich kann mich daher nur wiederholen: Eine App, die sensible Gesundheitsdaten verarbeitet, sollte die höchsten Anforderungen und (Nutzer-)Ansprüche an Datenschutz und Sicherheit erfüllen – auch bei docdirekt kann ich das leider nicht erkennen. Denn noch bevor der Nutzer überhaupt die Möglichkeit hat, in die Datenschutzerklärung einzuwilligen, werden zahlreiche Informationen an Drittanbieter (Tracking-Unternehmen im Ausland) übermittelt.

In der Datenschutzerklärung wird der Nutzer nicht ausreichend darüber informiert, mit welchen Drittanbietern docdirekt zusammenarbeitet. In der Datenschutzerklärung werden die Tracker bzw. Analysemodule von MixPanel, Branch.io, Crashlytics und Google FCM nicht genannt. Es wäre wünschenswert, wenn der Nutzer über den Zweck der Erhebung, Verarbeitung und Nutzung der Daten aufgeklärt wird, die an diese Drittanbieter übermittelt werden.

Und wieder heißt es: Danke nein, dürft ihr behalten – oder sollte ich sagen:

Und täglich grüßt das Murmeltier?

Hinweis

Da die App docdirekt die selben Tracker wie die Gesundheits-App Vivy verwendet, verweise ich für Fragen und weitere Informationen auf folgende Beiträge:
Hilf mit die Spendenziele zu erreichen! Mitmachen ➡