Untis Mobile App: Ungefragte Übermittlung zu Google Crashlytics

Die App Untis Mobile wird an immer mehr Schulen eingesetzt. Grund genug, einmal einen Blick auf die App zu werfen. Nachfolgend habe ich das Datensendeverhalten der Android-Variante in der Version 5.7.0 analysiert. Ein Online-Check mit Exodus Privacy erkennt zwei Tracker innerhalb der App:

  • Google CrashLytics
  • Google Firebase Analytics

Das ist schonmal ein erstes Indiz, allerdings noch kein Grund »Alarm« zu schlagen. Denn das Vorhandensein dieser beiden Tracker-Bibliotheken bedeutet nicht automatisch, dass Nutzerdaten ungefragt abfließen, sondern wir können zunächst nur festhalten: Es sind zwei Tracker vorhanden. Wie und ob diese eingesetzt werden, muss eine Analyse des Datenverkehrs zeigen. Diese folgt nun.

[1] Unmittelbar nach dem Start der App wird eine Verbindung zu Google Firebase (USA) initiiert – eine Entwicklungs-Plattform für mobile Anwendungen [firebaseinstallations.googleapis.com]:

POST /v1/projects/untis-mobile-firebase/installations HTTP/1.1
Content-Type: application/json
Accept: application/json
Cache-Control: no-cache
X-Android-Package: com.grupet.web.app
x-firebase-client: H4sIAAAAAAAAAKtWykhNLCpJSk0sKVayio7VUSpLLSrOzM9TslIyUqoFAFyivEQfAAAA
X-Android-Cert: EE7B4EAD660B64A35846CB0E7AECE759988B7335
x-goog-api-key: AIzaSyBC42anUKQIPzPUyIMNZMRNT-GDgFe5DIo
User-Agent: Dalvik/2.1.0 (Linux; U; Android 10; Mi A1 Build/QQ3A.200805.001)
Host: firebaseinstallations.googleapis.com
Connection: close
Accept-Encoding: gzip, deflate
Content-Length: 128

{
   "fid":"e_7FIht_QvCWnnKcqD2n5E",
   "appId":"1:28293320572:android:5c481ac0c4d424b7",
   "authVersion":"FIS_v2",
   "sdkVersion":"a:17.0.2"
}

Diese initialen Verbindungen sind typisch für Apps, die das Firebase-Entwicklungsframework nutzen. Die Gegenstelle (Google) antwortet in diesem Fall mit einem Autorisierungs-Token an das Gerät, das die Nutzung der Firebase-Dienste überhaupt erst ermöglicht. Grenzwertig, aber noch im Rahmen – jedenfalls dann, wenn wir mal Schrems II ausklammern.

[2] Eine weitere Verbindung erfolgt zu Google Firebase Crashlytics (USA), einem Dienst für die Erstellung/Auswertung von Absturzberichten [firebase-settings.crashlytics.com]:

GET /spi/v2/platforms/android/gmp/1:28293320572:android:5c481ac0c4d424b7/settings?instance=ac3f56b7f648592e82ca98a0bd323fd9191b6711&build_version=792&display_version=5.7.0&source=4 HTTP/1.1
X-CRASHLYTICS-DEVELOPER-TOKEN: 470fa2b4ae81cd56ecbcda9735803434cec591fa
X-CRASHLYTICS-DEVICE-MODEL: Xiaomi/Mi A1
X-CRASHLYTICS-INSTALLATION-ID: 92dc7270fbc24c5bb7925585f99d4fbf
X-CRASHLYTICS-OS-DISPLAY-VERSION: 10
Accept: application/json
X-CRASHLYTICS-API-CLIENT-VERSION: 18.2.13
User-Agent: Crashlytics Android SDK/18.2.13
X-CRASHLYTICS-API-CLIENT-TYPE: android
X-CRASHLYTICS-GOOGLE-APP-ID: 1:28293320572:android:5c481ac0c4d424b7
X-CRASHLYTICS-OS-BUILD-VERSION: 10037230
Host: firebase-settings.crashlytics.com
Connection: close
Accept-Encoding: gzip, deflate

Spätestens nach dieser Übermittlung sind wir im Bereich: Nicht unbedingt erforderlich. Das bedeutet: Nach § 25 Abs. 2 Nr. 2 TTDSG ist eine Einwilligung des Nutzers einzuholen. Der Einsatz von Analyse- und Marketingtools (Google Firebase Analytics, Google Crashlytics etc.) ohne explizite, informierte und freiwillige Einwilligung der Nutzer erfolgt unter dem Verstoß gegen § 25 Abs. 1 Nr. 2 TTDSG sowie aufgrund der dabei verarbeiteten personenbezogenen Daten auch unter Verstoß gegen Art. 6.1.f DSGVO.

Hintergrundwissen

Einfach ausgedrückt geht es beim TTDSG um den technischen Schutz der Endgeräte. Auf denen soll niemand unerwünscht Daten lesen oder schreiben. Und das betrifft dann eben auch das Auslesen von Informationen aus dem Endgerät und das Lesen/Schreiben von Cookies – unabhängig davon, ob ein Personenbezug vorliegt oder nicht. Das TTDSG ist noch strenger als die DSGVO. Gerätezugriffe ohne Einwilligung sind nur im engen Rahmen erlaubt: Für die Übertragung einer Nachricht oder wenn dies »unbedingt erforderlich« ist, um den Dienst bereitzustellen. Die Übermittlung von Absturzberichten erfüllt dieses Kriterium nicht.

Auch wenn es aus Entwicklersicht nachvollziehbar ist, Absturzberichte zu erhalten, um die App zu verbessern, so muss man sich dennoch an Gesetze halten und in diesem Fall eine Einwilligung der Nutzer einholen. Das wurde hier versäumt. Der Hersteller sollte hier unbedingt nachbessern.

Weiter kann ich die App leider nicht prüfen, da ich keine gültigen Anmeldedaten für eine Schule/Bildungseinrichtung besitze.

Übrigens: Die Untis Mobile App hatte ich in der Version 4.2.10 im Jahr 2019 schon einmal analysiert. Damals gab es noch keine Übermittlungen an Google Crashlytics.

Alternativ-App: BetterUntis

Man ist übrigens nicht gezwungen, die Untis Mobile App zu nutzen. Es gibt eine quelloffene Alternative, die gänzlich ohne Tracking auskommt, auf In-App-Käufe verzichtet und die Privatsphäre schützt: BetterUntis. Diese ist mit der bestehenden Untis-Infrastruktur der Schule/Bildungseinrichtung kompatibel.

Man kann übrigens auch vollständig auf das proprietäre Untis verzichten und die quelloffene Lösung AlekSIS einsetzen.

Der Kuketz-Blog ist spendenfinanziert! Mitmachen ➡