mySugr: Diabetes-App mit heftigen Datenschutzproblemen

Die hochgelobte Diabetes-App mySugr offenbart in seiner Android-Fassung (Version 3.40.2) heftige Datenschutzprobleme.

Update

08.01.2018: Als Reaktion auf Kritik schlägt mySugr keine Verbesserung vor, sondern schickt seine Anwälte los. Das ist genau der falsche Weg.

Während der App-Nutzung werden dauerhaft Daten erfasst und an die Adresse »api.mixpanel.com« und damit den Drittanbieter Mixpanel übermittelt. Zu den übermittelten Daten zählen unter anderem:

  • Android Versionsnummer der App (3.40.2)
  • Android-Version (6.0.1)
  • Gerätehersteller (LGE)
  • Modell: Nexus 5
  • Displayauflösung (480×1800)
  • Ob ein NFC-Chip verbaut ist
  • Mobilfunkanbieter
  • Ob WiFi aktiv ist
  • Ob Bluetooth aktiv ist
  • App-Paketname (com.mysugr.android.companion)
  • […]

Diese Informationen zählen eher zu Kategorie Meta-Daten, diese personenbeziehbaren Daten allerdings nicht mehr:

  • E-Mail-Adresse
  • Vor- und Nachname der Person
  • Diabetes-Typ (503F – Schwangerschaftsdiabetes)
  • Art der Therapie (Spritze oder Pumpe)
  • connectedServices: Vermutlich das verbunde (Diabetes-)Messgerät via Bluetooth
  • […]

In der Datenschutzerklärung (Ziffer II) findet sich kein Hinweis über die Datenübertragung an den Drittanbieter Mixpanel. Unter (6.) Zustimmung steht dann:

Der Kunde stimmt ausdrücklich zu, dass mySugr seine oben näher bezeichneten personenbezogenen Daten im Rahmen des Datenschutzgesetzes zum Zwecke der Bereitstellung des Zuganges zu den vertragsgegenständlichen Services und deren Abrechnung verarbeitet.

Folglich erfolgt die Zustimmung auf Basis einer eventuell unvollständigen Datenschutzerklärung – es ist nicht ersichtlich, dass personenbeziehbare Daten an Mixpanel übermittelt werden.

Weiter steht unter Ziffer II Datenschutz, Unterziffer 9:

mySugr wird niemals personenbezogene Gesundheitsdaten weitergeben und sorgt im Rahmen der bestehenden gesetzlichen Verpflichtungen für deren Sicherheit.

Na, wenn die E-Mail-Adresse inklusive Vor- und Nachnamen einer Person verknüpft mit dem Diabates-Typ und der Art der Therapie keine »personenbezogenen Gesundheitsdaten« darstellen, dann weiß ich auch nicht mehr… Das wirft natürlich auch die Frage auf, ob mySugr damit nicht gegen irgendwelche Medizinprodukte-Zertifizierungen verstößt. Auf mich wirkt das jedenfalls wie ein Fall für die Verbraucherzentralen.

Die weiteren Ergebnisse des App-Reviews könnt ihr demnächst auf mobilsicher.de einsehen.

Einen Seitenhieb kann ich mir nicht verkneifen. Der Slogan von mySugr lautet:

Make Diabetes Suck Less

Dazu fällt mir ein:

Make Privacy Great Again

Unterstütze den Blog mit einem Dauerauftrag! Mitmachen ➡