Gesundheits-App docdirekt: Weitere Datenschutz-Bruchlandung
Gestern wurde die Diagnose-App docdirekt von der Kassenärztlichen Vereinigung Baden-Württemberg im Radio vorgestellt – diese steht nun landesweit (BW) zur Verfügung:
Smart zum Arzt – lassen Sie sich ohne Terminvereinbarung von einem kompetenten Arzt beraten: Komfortabel und absolut diskret von zuhause aus via Telefon, App oder Chat. Beratung nur für gesetzlich Versicherte.
Einige Leser haben mich gebeten einen Blick auf die App zu werfen. Von meinen Ergebnissen möchte ich nachfolgend berichten.
App-Start: Unmittelbar nach dem Start (keine Interaktion des Nutzers)
[1] Unmittelbar nach dem Start der App kontaktiert die App die Analysefirma Mixpanel (Firmensitz San Francisco, USA), die schon mehrfach negativ aufgefallen ist. Unter anderem werden folgende Informationen übermittelt [*.mixpanel.com]:
- Android-Versionsnummer: 7.1.2
- Hersteller und Modell: Xiaomi | Redmi Note 4
- Ob die Google Play Services installiert sind
- Displayauflösung: 1920×1080
- App-Versionsnummer: 18.04.131645
- Ob ein NFC-Chip verbaut ist
- Ob WiFi / Bluetooth verfügbar ist
- Welcher Mobilfunkanbieter (Vodafone)
- distinct_id=c4d07de5-2fed-4d90-a953-10e5a8b872fe
- […]
[2] Weiterhin wird der Analysedienst Crashlytics (Firmensitz Boston, USA – gehört zu Google) mit folgenden Daten beliefert [*.crashlytics.com]:
- X-CRASHLYTICS-DEVICE-MODEL: Xiaomi/Redmi Note 4
- X-CRASHLYTICS-OS-BUILD-VERSION: 629863f5a9
- X-CRASHLYTICS-OS-DISPLAY-VERSION: 7.1.2
- X-CRASHLYTICS-ADVERTISING-TOKEN: c2639f11-626a-4292-9574-6a0e632e1ea5 (Google Advertisting-ID)
- X-CRASHLYTICS-INSTALLATION-ID: b34889ce749c4051ab35600ab6833179
- X-CRASHLYTICS-ANDROID-ID: cd20962404918a3c – Eindeutige Android-Geräte-ID
- […]
[3] Als weiterer App-Tracker wird Branch.io (Firmensitz Redwood City, USA) eingesetzt, an den unter anderem folgende Daten übermittelt werden [api.branch.io]:
- hardware_id: cd20962404918a3c – Eindeutige Android-Geräte-ID
- is_hardware_id_real :true – Ob es sich um richtige Hardware oder einen Emulator handelt
- app_version: 18.04.131645
- Gerätemodell
- Displayauflösung
- local_ip: 192.168.50.25 – Lokale IP-Adresse im privaten / internen Netzwerk
- facebook_app_link_checked: false
- google_advertising_id: c2639f11-626a-4292-9574-6a0e632e1ea5
- Installationszeitpunkt
- device_fingerprint_id: 581733761469933841
- wifi: true
- […]
[4] Auch der Google-Tracker »app-measurement.com« fehlt nicht, der den Google-Cloud-Messaging (GCM) Nachfolger Firebase-Cloud-Messaging (FCM) standardmäßig mit Daten beliefert, sofern die Entwickler dies nicht aktiv deaktivieren [app-measurement.com]:
GET /config/app/1%3A137604724867%3Aandroid%3A7813281e1635001c?app_instance_id=f48a0d41a8dce0178983884f2f6f2da5&platform=android&gmp_version=14366 HTTP/1.1 User-Agent: Dalvik/2.1.0 (Linux; U; Android 7.1.2; Redmi Note 4 Build/NJH47F) Host: app-measurement.com Connection: close Accept-Encoding: gzip, deflate
Leider können wir die Daten nicht einsehen, da Google eine zusätzliche Verschlüsselung darüber legt.
[5] Schließlich registriert sich die App noch am GCM- / FCM-Dienst von Google, um Push-Benachrichtigungen zu erhalten:
POST /c2dm/register3 HTTP/1.1 Authorization: AidLogin 4313553650077616773:2019295061565534427 app: com.teleclinic.docdirekt gcm_ver: 14366021 User-Agent: Android-GCM/1.5 (mido NJH47F) Content-Length: 408 content-type: application/x-www-form-urlencoded Host: android.clients.google.com Connection: close Accept-Encoding: gzip, deflate X-subtype=137604724867&sender=137604724867&X-app_ver=1804131645&X-osv=25&X-cliv=fiid-12210000&X-gmsv=14366021&X-appid=dvyBYg3mBrc&X-scope=*&X-gmp_app_id=1%3A137604724867%3Aandroid%3A7813281e1635001c&X-app_ver_name=18.04.131645&app=com.teleclinic.docdirekt&device=4313553650077616773&cert=dfaa84cf653bb975dde08e7398088871591cf2a0&app_ver=1804131645&info=U8qwdvxavoEXQEb1aBJ6XhyiES7lJBY&gcm_ver=14366021&plat=0
Bis zu dieser Stelle habe ich kein einziges Mal mit der App interagiert, sondern diese lediglich gestartet. Zum Hersteller bzw. zum Online-Diagnosedienst wurde bisher keine Verbindung initiiert.
App-Interaktion: Registrierung
Erst nach Angabe der Krankenkasse werde ich beim Anlegen des Profils (E-Mail-Adresse / Passwort) gefragt, ob ich den Datenschutzbestimmungen zustimmen möchte – Ich setze hier mal ein Häkchen, obwohl schon davor etliche Daten an Tracking-Dienstleister geflossen sind.
Anschließend möchte die App meinen Nachnachmen, Vornamen, Adresse, Geschlecht und Geburtsdatum erfassen.
Hinweis: Der gesamte Prozess wird von Mixpanel verfolgt – also in welcher Android-View (Registrierung abgeschlossen usw.) ich mich gerade befinde.
App-Interaktion: Aufrufen von Menüs und Funktionen
[1] Sobald ich unter dem Reiter »Mehr« auf Datenschutz tippe wird ein PDF von Google-Docs geladen [docs.google.com]:
GET /gview?embedded=true&url=https://services.teleclinic.com/static/docs/DOCDIT/ps_docdirekt.pdf HTTP/1.1 Host: docs.google.com Connection: close Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Linux; Android 7.1.2; Redmi Note 4 Build/NJH47F; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/64.0.3282.137 Mobile Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8 Accept-Encoding: gzip, deflate Accept-Language: de-DE,en-US;q=0.9 X-Requested-With: com.teleclinic.docdirekt
Die Einbindung des PDFs erfolgt demnach nicht von einer eigenen IT-Infrastruktur, sondern über Google-Server, die dann auch noch verfolgen, welche Seite ich im PDF gerade betrachte und welches Gerät (Redmi Note 4 usw.) ich dafür benutze.
Auch bei anderen Untermenüs wie bei den Nutzungsbedinungen und dem Impressum werden die Informationen als PDF von Google-Docs geladen.
An dieser Stelle beende ich mein kurzes App-Review – das genügt mir für eine Einschätzung.
Mein Fazit: Parallelen zur Gesundheits-App Vivy sind unverkennbar – diese hat bereits vor Wochen ebenfalls eine Datenschutz-Bruchlandung hingelegt:
- Neue Gesundheits-App Vivy „Ich kann von einer Nutzung nur abraten“ (Spiegel Online, September 2018)
- Datenschutzdebatte um neue Gesundheits-App Vivy (heise online, September 2018)
Es ist schon beinahe eine Glanzleistung die gleichen Fehler, die Vivy schon negative Presse eingebracht hat, nicht auszubessern. Da muss man sich ernsthaft die Frage stellen, ob die Verantwortlichen die letzten drei Wochen im Tiefschlaf verbracht haben – es wäre jedenfalls genug Zeit gewesen, die Datenschutzerklärung entsprechend zu ergänzen und die Tracker zumindest so einzubinden, dass Daten erst dann übermittelt werden, wenn der Nutzer in die Datenschutzerklärung eingewilligt hat.
Ich kann mich daher nur wiederholen: Eine App, die sensible Gesundheitsdaten verarbeitet, sollte die höchsten Anforderungen und (Nutzer-)Ansprüche an Datenschutz und Sicherheit erfüllen – auch bei docdirekt kann ich das leider nicht erkennen. Denn noch bevor der Nutzer überhaupt die Möglichkeit hat, in die Datenschutzerklärung einzuwilligen, werden zahlreiche Informationen an Drittanbieter (Tracking-Unternehmen im Ausland) übermittelt.
In der Datenschutzerklärung wird der Nutzer nicht ausreichend darüber informiert, mit welchen Drittanbietern docdirekt zusammenarbeitet. In der Datenschutzerklärung werden die Tracker bzw. Analysemodule von MixPanel, Branch.io, Crashlytics und Google FCM nicht genannt. Es wäre wünschenswert, wenn der Nutzer über den Zweck der Erhebung, Verarbeitung und Nutzung der Daten aufgeklärt wird, die an diese Drittanbieter übermittelt werden.
Und wieder heißt es: Danke nein, dürft ihr behalten – oder sollte ich sagen:
Und täglich grüßt das Murmeltier?