Menstruations-App Clue: Facebook und weitere Tracker integriert

Da sich zahlreiche Nutzerinnen einen Test der Android-App Clue (Version 6.0) wünschen, habe ich sie einem Kurzcheck unterzogen – eine Perioden & Zyklus-App. Beginnen wir mit den Netzwerkverbindungen, die Clue während der Nutzung aufbaut.

App-Start: Unmittelbar nach dem Start (keine Interaktion der Nutzerin)

[1] Unmittelbar nach dem Start der App kontaktiert die App Facebook. Unter anderem werden folgende Informationen übermittelt [graph.facebook.com]:

  • Google-Advertising-ID: advertiser_id = c3639f11-626a-4692-9574-6a0f632e1ea3
  • Ob Ad-Tracking aktiviert / erlaubt ist: advertiser_tracking_enabled = true
  • Ein Identifier: anon_id = XZce953baa-18a8-42e0-82ad-2d1b3866fe63
  • Ob das App-Tracking aktiviert / erlaubt ist: application_tracking_enabled = true
  • Weitere Informationen:
    • Paketname der App: com.clue.android
    • Versionsnummer der App: 6.0
    • Android-Versionsnummer: 9
    • Gerätemodell: Mi A1
    • Länderkennung: de_DE
    • Zeitzone: MESZ, Europe/Berlin
    • Displayauflösung: 1080×1920

Wie bedenklich die Einbindung von Facebook-Bausteinen (SDK) hinsichtlich der Privatsphäre sind, scheint noch immer nicht an die App-Entwickler durchgedrungen zu sein – einfach unverantwortlich. Allein die Übermittlung der Google-Advertising-ID genügt im Grunde genommen, dass Facebook nun eine Verknüpfung zwischen Facebook-Nutzerin und den übermittelten Daten herstellen kann. Der Grund: Auch die Facebook-App (sofern installiert) liest die Google-Advertising-ID aus. Damit hat Facebook anschließend einen Identifier, den sie einer Person exakt zuordnen können.

Mit dem Server »graph.facebook.com« kommuniziert die App im Verlauf der App-Nutzung übrigens regelmäßig – auch wenn man überhaupt kein Facebook-Konto hat. Facebook erfährt also unter anderem in welcher View (Ansicht in der App) sich die Nutzerin gerade befindet.

[2] Als nächstes kontaktiert die App den Tracker-Anbieter Apptimize mit Firmensitz San Francisco, USA. Folgende Daten werden zunächst übermittelt [*.apptimize.com]:

GET /api/metadata/v4/Cz8chJXQf6bBPbfFGXSKF6ugKcdMWBw?rid=818664333 HTTP/1.1
User-Agent: Android/28 Apptimize/3.4.0
X-App-Key: Cz8chJXQf6bBPbfFGXSKF6ugKcdMWBw
Connection: close
Content-Type: application/json; charset=UTF-8
If-None-Match: 0
Host: md-a-c.apptimize.com
Accept-Encoding: gzip, deflate

Leider können wir die weiteren Daten nicht einsehen, da Apptimize eine zusätzliche Verschlüsselung darüber legt. Es ist also unklar, welche Informationen an Apptimize im Rahmen der App-Nutzung übermittelt werden.

[3] An den Tracker-Anbieter Braze mit Hauptfirmensitz New York, USA werden folgende Informationen übermittelt [*.braze.eu]:

POST /api/v3/data HTTP/1.1
X-Braze-TriggersRequest: true
X-Braze-DataRequest: true
Accept-Encoding: gzip, deflate
Content-Type: application/json
X-Braze-Api-Key: bbac1308-ae47-41ce-9cb0-b231bbd4517b
Content-Length: 950
User-Agent: Dalvik/2.1.0 (Linux; U; Android 9; Mi A1 Build/PQ3A.190801.002)
Host: clusava.fra-01.braze.eu
Connection: close

{"app_version":"6.0","device_id":"1d25c51d-39d2-4ed3-8574-d552b2e3c7a0","time":1575018553,"api_key":"bbac1308-ae47-41ce-9cb0-b231bbd4517b","sdk_version":"3.5.0","device":{"os_version":"28","carrier":"Unitymedia","model":"Mi A1","resolution":"1080x1920","locale":"de","remote_notification_enabled":true,"android_is_background_restricted":false,"time_zone":"Europe\/Berlin"},"attributes":[{"custom":{"Account State":"no account","Uses Lite Mode":"false","Device Locale Country":"DE"}}],"events":[{"name":"ss","data":{},"time":1.575018553312E9,"session_id":"904c68e1-1f5c-4914-966a-190e77e1d11d"},{"name":"ce","data":{"n":"Device Info","p":{"Density":"xxhdpi","Width In Px":"1080","Width In Dp":"360","Height In Px":"1920","Height In Dp":"616","Smallest Screen Width In Dp":"360","Ratio":"1"}},"time":1.575018552583E9},{"name":"ce","data":{"n":"Show Welcome Screen"},"time":1.575018553135E9}],"respond_with":{"triggers":true,"config":{"config_time":0}}}

Mal etwas aufgeschlüsselt:

  • App-Versionsnummer: 6.0
  • Eine Device-ID: 1d25c51d-39d2-4ed3-8574-d552b2e3c7a0
  • Der Übertragungszeitpunkt: 1575018553 = 29.11.2019 – 10:09:13
  • Android SDK-Version: 28
  • Mobilfunkanbieter: Unitymedia
  • Modell: Mi A1
  • Auflösung: 1080×1920
  • Sprache: de
  • […]

Noch bevor die Nutzerin die Datenschutzerklärung der App überhaupt einsehen bzw. abnicken konnte, gehen Daten und Informationen an drei Tracking-Anbieter. Gerade in einem so sensiblen Bereich wie dem weiblichen Zyklus ist die Integration solcher Tracker-Dienste höchst fragwürdig und hat mich dem Schutz der Privatsphäre wenig gemein.

Von einer weiteren Analyse des Datenverkehrs sehe ich ab – Datenschutzfreundlich geht anders.

Kurzcheck der Datenschutzerklärung

Ich zitiere mal aus der Datenschutzerklärung, die sich innerhalb der App in deutscher Sprache darstellen lässt. Online habe ich nur eine Version in englischer Sprache ausfindig machen können:

Wir erkennen die große Verantwortung an, die mit dem Schutz sensibler Daten, wie z.B. Informationen über Ihren Menstruationszyklus, einhergeht. Wir verpflichten uns zur Einhaltung der höchsten Standards im Bereich Datenschutz, Sicherheit und Transparenz über die Nutzungsweise von Daten. Wir haben in diesem Blogpost erklärt, was mit Ihren Tracking-Daten passiert, und wir würden uns freuen, wenn Sie sich etwas Zeit nehmen, um den Beitrag zu lesen.

Wer zahlreiche Tracker in seine App integriert, aber dann noch immer von der Einhaltung »höchster Standards im Bereich Datenschutz, Sicherheit« fabuliert, der hat nach meiner Auffassung jeglichen Bezug zur Realität verloren.

Ab Ziffer 5 bis einschließlich Ziffer 6 werden dann wenigstens alle Tracking-Anbieter transparent genannt:

  • Facebook Connect / Facebook Audiences
  • Braze
  • Amplitude
  • Apptimize
  • Adjust

Zu den bereits identifizieren Tracking-Anbietern gesellen sich also noch Amplitude (USA) und Adjust (Deutschland) hinzu.

Fazit

Clue hat insgesamt fünf Tracking-Anbieter in die App integriert. Hier noch von Datenschutz zu sprechen käme einem Affront gleich. Mein Tipp an die Damen: Deinstalliert diese App, falls euch eure Privatsphäre am Herzen liegt.

Insgesamt kann man wohl davon ausgehen, dass der überwiegende Teil an Zyklus-Apps im Google Play Store wenig datenschutzfreundlich sind. Zwei Ausnahmen möchte ich kurz erwähnen:

Beide Apps arbeiten nur »lokal« bzw. es verlassen keine Daten das Gerät. Tracker sind ebenfalls keine integriert. So geht Datenschutz, so geht Zyklus-Tracking ohne Drittanbieter.

Der Kuketz-Blog ist spendenfinanziert! Mitmachen ➡