Untis Mobile: Fehlendes Rollenkonzept und Datenschutzerklärung?

Im Rahmen der App-Review-Week prüfe ich am dritten Tag die Android-App Untis Mobile (Version 4.2.10) – eine Stundenplan-App, für Schüler und Studenten. Beginnen wir mit den Netzwerkverbindungen, die Untis Mobile während der Nutzung aufbaut.

App-Start: Unmittelbar nach dem Start (keine Interaktion des Nutzers)

[1] Damit die App Push-Nachrichten und ähnliches empfangen kann, registriert sie sich am Android-Cloud-to-Device-Messaging-Dienst (C2DM). Dabei übermittelt die App unter anderem folgende Informationen an Google-Server [android.clients.google.com]:

  • Versionsnummer der App: 4.2.10
  • Paketname der App: com.grupet.web.app
  • GCM-Version: 17785039
  • SDK: 28
  • […]

Registrierung: Anmeldung über ein Profil

[1] Bei der Suche nach einem Schulnamen bzw. -adresse wird die Eingabe an die Server von Untis Mobile gesendet, damit zum Suchstring passende Einträge angezeigt werden, aus denen der Nutzer anschließend wählen kann [mobile.webuntis.com]:

POST /ms/schoolquery2/?v=a4.2.10 HTTP/1.1
Content-Type: application/json; charset=UTF-8
Content-Length: 124
Host: mobile.webuntis.com
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.12.1

{"id":"untis-mobile-android-4.2.10","jsonrpc":"2.0","method":"searchSchool","params":[{"schoolid":0,"search":"Hochschule"}]}

[2] Nach der Auswahl eines Eintrags bzw. Schule erfolgt eine Anmeldung mit Benutzername und Passwort – auch eine anoynme Anmeldung ist möglich, sofern von der Gegenstelle unterstützt:

POST /ms/app/7242900?school=HS-Neustadt&v=a4.2.10&m=getAppSharedSecret&anonymous=false&server=hepta.webuntis.com HTTP/1.1
anonymous: false
server: hepta.webuntis.com
Content-Type: application/json; charset=UTF-8
Content-Length: 127
Host: mobile.webuntis.com
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.12.1

{"id":"untis-mobile-android-4.2.10","jsonrpc":"2.0","method":"getAppSharedSecret","params":[{"password":"test","userName":"its3"}]}

[3] Abschließend tauscht Untis Mobile noch einige Informationen mit dem Server aus und erfragt unter anderem den aktuellen Stundenplan, Name des Klassensprechers, Informationen zur Fakultät und die »Nachricht des Tages«:

POST /ms/app/7242900?school=HS-Neustadt&v=a4.2.10&m=getTimetable2017&anonymous=false&server=hepta.webuntis.com HTTP/1.1
anonymous: false
server: hepta.webuntis.com
Content-Type: application/json; charset=UTF-8
Content-Length: 313
Host: mobile.webuntis.com
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.12.1

{"id":"untis-mobile-android-4.2.10","jsonrpc":"2.0","method":"getTimetable2017","params":[{"endDate":"2019-07-28","id":657,"masterDataTimestamp":0,"startDate":"2019-07-22","timetableTimestamp":0,"timetableTimestamps":[0,0,0,0,0,0,0],"type":"CLASS","auth":{"clientTime":1563277195629,"otp":130790,"user":"its3"}}]}

Nutzung der App

Netterweise hat mir ein Leser einen Testaccount zur Verfügung gestellt, der den Login bzw. die Authentifizierung an einer Fakultät für Informatik zulässt, die mit Untis Mobile arbeitet. Zugriff auf einen Stundenplan oder Vorlesungsräume hatte ich nicht – ich konnte über die App-Ansicht praktisch nichts einsehen. Die App ist allerdings sehr auskunftsfreudig, was dazu führt, dass jeder mit etwas Sachverstand eine Menge an Informationen abrufen kann, obwohl er dafür eventuell überhaupt nicht autorisiert bzw. berechtigt ist. Ich kann nicht beurteilen, ob das von den Entwicklern so gewollt ist, mein Testaccount den Zugriff auf diese Informationen grundsätzlich zulässt oder einfach kein Rollen- bzw. Rechtesystem implementiert wurde.

Folgende Informationen konnte ich aus den Antwortpaketen ableiten:

  • Fakultätsname
  • Namen von Vorlesungsräumen (bspw. Projektraum T-Gebäude 021)
  • Namen von Fächern (bspw. Mathematik I – Grundlagen, IT-Sicherheit und IT-Angriffe)
  • Namen von Veranstaltungen (bspw. Einführung in die BIB)
  • Namen von Praktika (bspw. Praktikum Incident Response and Malware Defence)
  • Namen der Lehrbeauftragten, Professoren bzw. Mitarbeiter inklusive ihrer Zugehörigkeit zu Einrichtungen bzw. Räumen
  • Termine bzw. Prüfungszeiten

In der Regel sind diese Informationen ebenfalls öffentlich für jeden einsehbar, der die Gebäude der Fakultät betritt. Dennoch erscheint mir Abfrage dieser Informationen über eine App als zu grob granular.

Bei einem weiteren Test über einen entsprechenden Untis-Account an einer Berliner Schule komme ich zu ähnlichen Ergebnissen. Auch hier hatte ich keinen Zugriff auf einen Stundenplan oder Ähnliches. Dennoch konnte ich folgende Informationen über die Antwortpakete der App auslesen:

  • Schulname
  • Namen von Klassenräumen (bspw. Kunstraum, Lehrerzimmer und Serverraum)
  • Namen von Fächern (bspw. Deutsch LK 2, Elektrotechnik)
  • Namen von Veranstaltungen (bspw. Einführung in die BIB)
  • Namen von Praktikas (bspw. Praktikum SYS)
  • Namen der Lehrer bzw. Mitarbeiter inklusive ihrer Zugehörigkeit zu Einrichtungen bzw. Räumen
  • Termine bzw. Prüfungszeiten

Auch hier ist fraglich, ob ein Rechtesystem implementiert wurde – ich habe die Entwickler entsprechend um eine Stellungnahme gebeten.

Insgesamt beschränkt sich die App ausschließlich auf die Kommunikation mit den Servern von Untis Mobile. Das ist als positiv zu bewerten, da auch keine Drittanbieter wie Tracking- oder Analysedienste integriert sind.

Kurzcheck der Datenschutzerklärung

Der Link im Google Play Store (zur Datenschutzerklärung) verweist auf eine Seite mit allgemeinen Geschäftsbedingungen. Das Thema Datenschutz wird unter Ziffer 10 nur ganz kurz angerissen. Über Optionen lässt sich innerhalb der App allerdings dann doch eine Datenschutzerklärung abrufen. Allerdings finden sich dort keine Informationen, welche Daten im Rahmen der App-Nutzung anfallen. Die Datenschutzerklärung bezieht sich nach meiner Auffassung ausschließlich auf die Webseite der Untis GmbH. Somit ist für mich völlig unklar, welche Daten im Rahmen der App-Nutzung übermittelt, verarbeitet und gespeichert werden.

Auf Basis dieser dünnen Informationslage finde ich es bedenkenswert, wenn Verantwortliche von Schulen bzw. Universitäten etc. einer Verwendung der Untis-Mobile-App zustimmen.

Fazit

Für ein abschließendes Fazit würde ich noch gerne die Stellungnahme der Entwickler abwarten – gerade auch was die Datenschutzerklärung betrifft. Diese ist für die App gewissermaßen nicht vorhanden. Eine informierte Einwilligung über die Verwendung bzw. Verarbeitung von Daten, die im Rahmen der App-Nutzung anfallen, ist damit nach meiner Auffassung nicht möglich.

Unterstütze den Blog mit einem Dauerauftrag! Mitmachen ➡