KiKA-Player: Tracker- und Analysedienste in einer Kinder-App

Aufgrund eines Leserwunsches habe ich mir mal die KiKA-Player-App für Android in der Version 1.5.8 angeschaut. Bereits der Exodus-Privacy-Report lässt befürchten, dass hier mal wieder (vorsätzlich) geschlampt wurde:

• ATInternet (Analytics)
• Microsoft Visual Studio App Center Analytics (Analytics)
• Microsoft Visual Studio App Center Crashes (Crash Reporting)
• Nielsen (Analytics)

Unmittelbar nach dem Start – keine (Nutzer-)Interaktion

Abgesehen von Verbindungen, die für die App-Nutzung notwendig sind (bspw. zu *.kika.de), sind auch Dienstleister eingebunden, die für die reine Funktionserbringung nicht erforderlich sind. Diese werden nachfolgend genannt.

[1] Unmittelbar nach dem Start der App wird eine Verbindung zu Microsoft (USA), einem Dienst für Tracking/Absturzberichte, initiiert [in.appcenter.ms]:

POST /logs?api-version=1.0.0 HTTP/1.1
Install-ID: 972d27b1-2c97-4132-bf0d-60981e1beb8b
App-Secret: b29a3a57-13c7-4bbe-9eca-023f865a3cfc
Content-Type: application/json
Content-Length: 964
User-Agent: Dalvik/2.1.0 (Linux; U; Android 10; Mi A1 Build/QQ3A.200805.001)
Host: in.appcenter.ms
Connection: close
Accept-Encoding: gzip, deflate

{
   "logs":[
      {
         "type":"startService",
         "timestamp":"2022-11-17T18:22:40.083Z",
         "device":{
            "wrapperSdkVersion":"3.1.2",
            "wrapperSdkName":"appcenter.react-native",
            "sdkName":"appcenter.android",
            "sdkVersion":"3.3.1",
            "model":"Mi A1",
            "oemName":"Xiaomi",
            "osName":"Android",
            "osVersion":"10",
            "osBuild":"QQ3A.200805.001",
            "osApiLevel":29,
            "locale":"de_DE",
            "timeZoneOffset":60,
            "screenSize":"1080x1920",
            "appVersion":"1.5.8",
            "appBuild":"2022111502",
            "appNamespace":"de.kika.kikaplayer"
         },
         "services":[
            "Analytics"
         ]
      },
      {
         "type":"startService",
         "timestamp":"2022-11-17T09:22:40.101Z",
         "device":{
            "wrapperSdkVersion":"3.1.2",
            "wrapperSdkName":"appcenter.react-native",
            "sdkName":"appcenter.android",
            "sdkVersion":"3.3.1",
            "model":"Mi A1",
            "oemName":"Xiaomi",
            "osName":"Android",
            "osVersion":"10",
            "osBuild":"QQ3A.200805.001",
            "osApiLevel":29,
            "locale":"de_DE",
            "timeZoneOffset":60,
            "screenSize":"1080x1920",
            "appVersion":"1.5.8",
            "appBuild":"2022111502",
            "appNamespace":"de.kika.kikaplayer"
         },
         "services":[
            "Crashes"
         ]
      }
   ]
}

Es werden also eine ganze Menge Geräteinformationen (Gerätemodell, Android-Version, Bildschirmauflösung etc.) ausgelesen und an Microsoft übermittelt.

[2] Weiter geht es mit einer Verbindung zu Nielsen (USA), einem Dienst für Analyse [cdn-gl.imrworldwide.com]:

GET /conf/PB341DD53-3573-44E1-BC48-EF875828821A.json?devtypid=Xiaomi-Mi-A1&devid=&devname=Xiaomi-Mi-A1&osver=ANDROID.10&sysname=Android&bid=de.kika.kikaplayer HTTP/1.1
Accept-Charset: UTF-8
X-Device-User-Agent: Dalvik/2.1.0 (Linux; U; Android 10; Mi A1 Build/QQ3A.200805.001)
User-Agent:
Content-Type: text/plain
Host: cdn-gl.imrworldwide.com
Connection: close
Accept-Encoding: gzip, deflate

Auch bei dieser Übermittlung sind Gerätedaten (Gerätemodell, Hersteller, Betriebssystem) dabei.

[3] Bei der INFOnline GmbH (Deutschland) wird dann noch ein Tracking-JavaScript nachgeladen [script.ioam.de] – Skalierbare Zentrale Messsystem (SZM):

GET /iam.js HTTP/1.1
Host: script.ioam.de
User-Agent: Mozilla/5.0 (Linux; Android 10; Mi A1 Build/QQ3A.200805.001; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/95.0.4638.50 Mobile Safari/537.36
Accept: */*
X-Requested-With: de.kika.kikaplayer
Sec-Fetch-Site: cross-site
Sec-Fetch-Mode: no-cors
Sec-Fetch-Dest: script
Referer: https://www.kika.de/
Accept-Encoding: gzip, deflate
Accept-Language: de-DE,de;q=0.9,en-US;q=0.8,en;q=0.7
Connection: close

Das Skript wird dann auch gleich aktiv und übermittelt unter anderem das Bundesland, aus dem der Aufruf erfolgt:

GET /tx.io?st=mobkika&cp=kika/Mobile/Text_Bild&ct=0000000000&pt=CP&ps=lin&er=N22&rf=&r2=&ur=www.kika.de&xy=640x360x24&lo=DE/Baden-Wurttemberg&cb=0015&i2=001591fa068a5f4926375fd71&ep=1696084495&vr=434&id=zi2qau&i3=nocookie&n1=2&dntt=0&lt=1668676974617&ev=&cs=ic2sa&mo=1

Halten wir fest: Bis zu diesem Zeitpunkt hat noch keine Nutzerinteraktion stattgefunden, es wurde kein (Cookie-)Consent-Banner eingeblendet noch auf eine andere Art über die Datenverarbeitungen informiert. Dazu sollte man wissen: Das Speichern und das Auslesen von Cookies bzw. auch aller anderen (Geräte-)Informationen auf dem Rechner bzw. Endgerät eines Verbrauchers unterliegt den Regelungen von § 25 des TTDSG. Die Anwendbarkeit des TTDSG scheint dem Verantwortlichen entgangen zu sein – obwohl es nun schon seit dem 1. Dezember 2021 in Kraft ist.

Wer schaut gerade: Avatar und Altersangabe

Mit einem Tipp auf das Plus-Zeichen darf man sich dann einen Avatar aussuchen und das Alter auswählen. Da darf dann der nächste Tracking- bzw. Analysedienstleister XiTi | AT Internet (Bonn, Deutschland) nicht fehlen [logs1413.xiti.com]:

GET /hit.xiti?s=596354&idclient=d398195074b3e0f9b73a7352bdd55649d7ca0fa967485cfd0cf63bd627d38058&vtag=2.21.0&ptag=Android&lng=de-DE-&mfmd=[Xiaomi]-[mia1]&manufacturer=Xiaomi&model=Mi A1&os=[android]-[10]&apid=de.kika.kikaplayer&apvr=[1.5.8]&hl=11x19x23&r=1920x1080&dg=5.5&car=&cn=wifi&ts=1668680363.3299999237060547&dls=ext&s2=5&x11=&x12=&x13=[adultLayer]&x14=&x15=[no_episodetitle]&x16=[no_seriestitle]&x17=&x18=&x19=&x1=&x2=&x3=[App]&x4=0&x5=&x6=[kikaplayerapp.erwachsene.profil.alter]&x7=&x8=&x9=&x20=0&x10=&p=erwachsene::profil::alter&stc={"G7":"aus","lifecycle":{"fs":0,"fsau":0,"sc":3,"fsd":20221117,"dsls":0,"dsfs":0,"sessionId":"a2908154-1945-4023-9d20-1d26f69936d9"},"G8":"","G9":"","idType":"UUID","G10":"","G1":"Google","G2":"Version: 1.5.8 Build: 2022111502","G3":"","G4":"","G5":"wifi","G6":"Nein"} HTTP/1.1
User-Agent: Dalvik/2.1.0 (Linux; U; Android 10; Mi A1 Build/QQ3A.200805.001) KiKA-Player/1.5.8
Host: logs1413.xiti.com
Connection: close
Accept-Encoding: gzip, deflate

Da sind wieder einige Geräte-Informationen dabei (Gerätemodell, Hersteller, Android-Version), aber auch eine Client- und Session-ID bzw. UUIDs. Der Vollständigkeit halber: Auch die INFOnline GmbH ist in diesen Auswahlprozess eingebunden.

Während der Nutzung

XiTi | AT Internet muss dann offenbar auch mitbekommen, für welche Sendung (Lieselotte) sich ein Kind interessiert [ogs1413.xiti.com]:

GET /hit.xiti?s=596354&idclient=9b741fa5c67c7beae5ab2445c57cd9aba4ce53eb3a40941ed78e0e5e87bfa641&vtag=2.21.0&ptag=Android&lng=de-DE-&mfmd=[Xiaomi]-[mia1]&manufacturer=Xiaomi&model=Mi A1&os=[android]-[10]&apid=de.kika.kikaplayer&apvr=[1.5.8]&hl=11x31x26&r=1920x1080&dg=5.5&car=&cn=wifi&ts=1668681086.7409999370574951&dls=ext&s2=5&x11=&x12=&x13=[brand]&x14=&x15=[no_episodetitle]&x16=[Lieselotte]&x17=&x18=&x19=&x1=&x2=&x3=[App]&x4=0&x5=&x6=[kikaplayerapp.lieselotte.lieselotte]&x7=&x8=&x9=&x20=0&x10=&p=lieselotte::lieselotte&stc={"G7":"nein","lifecycle":{"fs":1,"fsau":0,"sc":1,"fsd":20221117,"dsls":0,"dsfs":0,"sessionId":"145abc2c-35e5-4fdb-b84f-2bb3c40dbebf"},"G8":"","G9":"","idType":"UUID","G10":"","G1":"Google","G2":"Version: 1.5.8 Build: 2022111502","G3":"","G4":"","G5":"wifi","G6":"ja"} HTTP/1.1
User-Agent: Dalvik/2.1.0 (Linux; U; Android 10; Mi A1 Build/QQ3A.200805.001) KiKA-Player/1.5.8
Host: logs1413.xiti.com
Connection: close
Accept-Encoding: gzip, deflate

Und auch das ausgewählte Video (Lieselotte und der verschwundene Apfelkuchen) wird an XiTi | AT Internet und auch Nielsen übermittelt.

Somit wird das komplette Nutzungsverhalten eines Kindes innerhalb der App praktisch dauerhaft an Dritte übermittelt und dort ausgewertet. Ist ARD und ZDF eigentlich nicht in der Lage, diese (einfache) Information selbst zu erheben bzw. auszuwerten? Wozu braucht es dafür externe Tracking- und Analysedienstleister?

Datenschutzeinstellungen

Über das Einstellungssymbol gelangt man in die App-Einstellungen, sofern man die gestellte Rechenaufgabe (Was ist sieben mal sieben?) lösen kann. Dort kann man dann unter Datenschutz -> Nutzerreichweiten-Erfassung dem Tracking widersprechen. Und siehe da, nach dem Opt-Out bzw. Widerspruch werden keine Informationen über das Nutzungsverhalten an die Drittanbieter versendet.

Nicht nur, aber insbesondere vor dem Hintergrund DSGVO-Erwägungsgrund 38 ist dieses Vorgehen höchst fragwürdig.

Faktencheck Datenschutzerklärung

Werfen wir mal einen Blick in die Datenschutzerklärung der App:

KiKA nimmt den Schutz deiner personenbezogenen Daten und der deines Kindes sehr ernst. Wir möchten, dass du und dein Kind euch bei der Nutzung des KiKA-Players sicher fühlt. Wir erklären dir hier, welche Daten wir erheben und wie wir sie verwenden.

Natürlich, ja. Die üblichen Phrasen und Beruhigungspillen.

Werfen wir mal einen Blick auf den Abschnitt »Was passiert, wenn dein Kind die App nutzt?«:

Wir erheben und verwenden personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist.

Wie passt das zur Aussage unter »Auf dem Gerät gespeicherte Daten«? – das ist ein Widerspruch:

Zur Optimierung seines Online-Angebots verwendet KiKA zudem Cookies, die eine statistische Analyse des Surfverhaltens der Nutzer ermöglichen. Auf diese Weise können eingegebene Suchbegriffe, die Häufigkeit von Seitenaufrufen, die Inanspruchnahme von Website-Funktionen, sowie Endgerätekategorien, Inhaltskategorien, die Videonutzung und die Funktionsweise des Videoplayers gespeichert und übermittelt werden. Die auf diese Weise erhobenen Daten der Nutzer werden durch technische Vorkehrungen anonymisiert. Eine Zuordnung der Daten zum aufrufenden Nutzer ist danach nicht mehr möglich.

Die Anonymisierung der Nutzerdaten ist dabei übrigens unerheblich, da Art. 25 TTDSG vom Auslesen von Informationen spricht – auf den Personenbezug kommt es nicht an.

Weiter geht es dann mit der Nennung der Tracking- und Analyseanbieter und weshalb diese aus Sicht von ARD und ZDF erforderlich sind. Auch hier: Die Anwendbarkeit des TTDSG scheint den Verantwortlichen entgangen zu sein.

Auch witzig unter Absturzberichte bzw. App Center:

Falls du der Erfassung von Nutzungs- und Diagnosedaten zustimmst, werden bestimmte Daten an das App Center gesendet. KiKA nutzt diese Daten ausschließlich zur Verbesserung der App. Die Daten sind anonymisiert und aggregiert und die Identifizierung einzelner Nutzender ist nicht möglich.

Je nach Betriebssystem werden unterschiedliche Informationen erfasst. Dazu gehören z. B. Titel und Version der App, Gerätetyp, Prozessortyp, Betriebssystemversion, Datum und Uhrzeit des Absturzes, eine einzigartige ID (um doppelte Absturzberichte zu vermeiden), detaillierte Angaben zum Fehler (Methodenname, Funktionsname, Register, Dateinamen, …) .Du kannst jederzeit im Bereich „Einstellungen“ unter „Absturzberichte“ entscheiden, ob du dem Senden anonymisierter Absturzberichte zustimmst oder nicht zustimmst.

Bereits im ersten Aufruf [1] erfolgt eine Übermittlung an Microsoft bzw. den Absturz- und Analysedienste. Eine Zustimmung wurde nicht eingeholt. Daher ist die Angabe schlichtweg falsch:

Falls du der Erfassung von Nutzungs- und Diagnosedaten zustimmst, werden bestimmte Daten an das App Center gesendet. […]

Fazit

Man kann Eltern nur dazu raten der Erfassung der Nutzungsdaten (seines Kindes) zu widersprechen – sofern man die App überhaupt weiterhin nutzen möchte. Das geht unter Einstellungen -> Datenschutz -> Nutzerreichweiten-Erfassung.

Was ist eigentlich los beim öffentlich-rechtlichen Rundfunk? Bereits in der Vergangenheit habe ich Verstöße gegen die DSGVO und das TTDSG festgestellt/gemeldet:

• ZDFtivi-App: Consent-Banner und Tracking bei Zielgruppe Kinder/Jugendliche (September 2022)
• ARD & ZDF Apps unter der Lupe: Tracking und Verstöße gegen das TTDSG (Dezember 2021)
• MDR: KiKaNiNCHEN-App trackt Kinder (August 2018)

Nun kann man sich fragen, weshalb da eigentlich nichts passiert bzw. weshalb ARD, ZDF bzw. der öffentlich-rechtliche Rundfunk hinsichtlich des Datenschutzes praktisch Narrenfreiheit hat: Der öffentlich-rechtliche Rundfunk fällt nicht unter die Zuständigkeit einer Landesdatenschutzbehörde und auch nicht des Bundesdatenschutzbeauftragten. Ja, wie? Und jetzt? Ganz einfach: Die Zuständigkeit liegt beim Rundfunkdatenschutzbeauftragten. Aufgrund der Tatsache, dass bekannte Mängel allerdings nicht abgestellt werden, stelle ich die gesetzlich verankerte Unabhängigkeit infrage. Es kommt einem so vor, als sei der Datenschutzbeauftragte des NDR, MDR oder SWR gleichzeitig die kontrollierende Behörde. Das ist, wie wenn der Angeklagte vor Gericht erscheint und dann selbst über sich richtet.

Eine Beschwerde eines Betroffenen wird nach meinen Erfahrungen letztendlich also schlichtweg ins Leere laufen. Im Grunde bleibt nur eines: Klagen.

---

Ähnliche Beiträge

24. Oktober 2022

eBay Kleinanzeigen: Datenschutz: Was letzte Preis? – App-Check Teil3

Der Datenschutz verkommt bei eBay Kleinanzeigen zur Ramschware. Am Ende heißt es »Datenschutz: Was letzte Preis?«.

11. Mai 2023

Booking.com: Datenschutzrechtliche Bruchlandung mit Ansage – App-Check Teil4

Die Datenschutzverletzungen von Booking.com sind vergleichbar mit einem verheerenden Verkehrsunfall, bei dem man einfach nicht wegsehen kann.

11. April 2022

DB Navigator: Datenschutz fällt heute aus – App-Check Teil1

Die Analyse des DB Navigators offenbart eklatante Verstöße gegen die DSGVO und das TTDSG. Ist das Vorsatz oder Unfähigkeit?

20. Juni 2022

Post & DHL: Datenschutz unbekannt verzogen – App-Check Teil2

Der Datenschutz ist bei der Post-&-DHL-App offensichtlich unbekannt verzogen.

12. März 2023

Google Analytics beim Bayerischen Rundfunk und die lascheste Datenschutzbehörde Europas – das TTDSG Teil4

Beim Analysetracking hält sich fast kein Öffentlich-Rechtlicher Sender in Deutschland an die Gesetze für den Daten- und Privatsphäreschutz.