Die offizielle NINA Warn-App des Bundesamt für Bevölkerungsschutz (BBK) soll Bürger deutschlandweit vor Gefahren warnen. Im Grunde genommen eine sinnvolle App, die leider aber zu viele Google-Abhängigkeiten aufweist.

[1] Unmittelbar nach dem Start der App kontaktiert die App Google:

Registration zum Google-Push-Service [android.clients.google.com]
Übermittlung an CrashLytics [settings.crashlytics.com] für Absturzberichte
Google Firebase Analytics [firebase.*] für die Analyse
Google Maps für die Darstellung des Kartenmaterials

Dabei wird an Google unter anderem die App-Versionsnummer (3.1.1), Paket-Name der App (de.materna.bbk.mobile.app), das Gerätemodell (Xiaomi/Mi A1), eindeutige Identifier (CrashLytics-ID), Zeitzone (Europe/Berlin), usw. übermittelt. Man könnte auch sagen:

Ach, nicht so schlimm, Google hat diese Informationen doch sowieso schon.

Ja, vielleicht – aber muss Google dann immer weiter und weiter gefüttert werden? Und was ist mit Geräten, die bewusst ohne Google auskommen wollen?

An die Adresse »push.warnung.bund.de« wird übrigens der App-Instance-Token übermittelt, der von Google Firebase Analytics stammt:

fxHIi_m9WnE:APA91bHkrToGoe0V0kh4Fyh3aC44FrCwQpKGO66Lj8gOKpBhcEKzwKiFKFpi7Ow00nKdw7CAXAIO9aI3-uWBuLYdszsWM3-EmKzzJE-Z-1AWulK9MBIpWdtRhCCW0jVviZ2Y8X8V13D_

Vermutlich für die Zuordnung der Aktivitäten innerhalb der App bzw. zu Analyse-Zwecken.

Über das Hamburger-Menü -> Nutzerstatistik lässt sich die Erhebung der »anonymisierten Nutzerstatistik« übrigens deaktivieren. Bis man diese Einstellung jedoch erreicht und das Häkchen entfernt hat, sind allerdings schon Daten an Google geflossen. Also nicht optimal.

[2] Während der App-Nutzung:

Innerhalb der App wird das Kartenmaterial wie bereits erwähnt via Google Maps nachgeladen bzw. der Standort an Google übermittelt, obwohl dafür bspw. das datenschutzfreundliche OpenStreetMap-Kartenmaterial zur Verfügung stehen würde.

Zum Nachladen von Inhalten wird dann eine Verbindung zu »warnung.bund.de« geöffnet und Informationen nachgeladen. Soweit ist das in Ordnung.

Bei einer App, die von einer Bundesbehörde stammt und von Steuergeldern finanziert ist, würde ich Folgendes erwarten:

Offenlegung des Quellcodes
Vermeidung von Abhängigkeiten zu Datenkraken wie Google
Sofern Tracking unbedingt notwendig: Einholen einer ausdrücklichen, informierten, freiwilligen, aktiven und vorherigen Einwilligung des Nutzers

Tja BBK, so leider nicht.

Hilf mit die Spendenziele zu erreichen! Mitmachen ➡