Anzeige

Fitness App "Freeletics Bodyweight"

Bild: Fitness App "Freeletics Bodyweight" (Quelle: APPVISORY)

Als Reaktion auf die Anfang des Jahres stark in die Kritik geratenen Fitness-Apps hat das Pentagon Soldaten im Dienst den Einsatz von Fitness-Apps mit GPS-Trackern verboten. 

  • Freeletics Bodyweight überträgt Standortdaten unverschlüsselt
  • Unvollständige Datenschutzerklärung verursacht weiteren DSGVO-Verstoß

Dass diese Einschränkung auch mehrere Monate nach den Enthüllungen noch Gewicht hat, zeigen jüngste Ergebnisse aus den App-Analysen des europäischen Marktführers für mobile Sicherheitslösungen APPVISORY. Freeletics Bodyweight, eine Fitness-App, die erst kürzlich mehrere Millionen Euro von US-Investoren erhalten hat, reiht sich neben Strava, Polar & Co. in die Klasse der strittigen Fitnesstracker ein. APPVISORYs Experten stellten fest, dass die App nicht nur gesetzliche Anforderungen der EU-Datenschutzgrundverordnung nicht erfüllt, sondern auch mangels Verschlüsselung den Zugriff unautorisierter Dritter auf sensible Daten vereinfacht. Eine Offenlegung der Aktivitäten à la Strava ist dadurch nicht mehr nur in der Theorie möglich.

Freeletics Bodyweight fällt negativ auf

„Freeletics Bodyweight verwendet wie viele andere Fitness-Apps Standortdaten, um geeignete Trainingsplätze anzuzeigen, und teilt diese wahrscheinlich zu Werbe- oder Service-Zwecken mit Drittanbietern“, erklärt Wulf Bolte, CTO bei APPVISORY. „Solange die Notwendigkeit der Datenerhebung mit der Funktionsweise der App begründet ist und die Übertragung dieser und aller weiteren personenbezogenen Daten über einen verschlüsselten Kanal erfolgt, verursacht dies an sich keinen Verstoß gegen die EU-Datenschutz­grundverordnung. Genauso ist auch die Weiterverarbeitung durch Dritte rechtskonform, solange dies in der Datenschutzerklärung einsehbar ist und der Verarbeitung widersprochen werden kann.“Während der Analyse der Freeletics-App (iOS-Version 5.5.0) entdeckten APPVISORYs Experten jedoch, dass die Anwendung exakte Standortdaten unverschlüsselt an einen Drittanbieter namens „Logentries“ übermittelt und dass darüber hinaus den Nutzern nur eine unvollständige Datenschutzerklärung zur Verfügung steht. Unter den Namen der datenverarbeitenden Drittanbieter fehlt „Logentries“, sodass Nutzer den Verarbeitungsvorgang ihrer Daten nicht vollständig nachvollziehen und somit keine informierte Einwilligung abgeben können. APPVISORY hat den App-Betreiber umgehend darüber informiert.

Doppelter Verstoß gegen die DSGVO

„Dies ist nicht nur ein einfacher Verstoß gegen die EU-Datenschutz­grundverordnung.“, bemerkt Bolte. „Mit der fehlerhaften Datenschutzerklärung und der unverschlüsselten Übertragung verstößt Freeletics Bodyweight gleichzeitig gegen zwei Artikel der Verordnung - Artikel 7 und zusätzlich Artikel 32, Abs. 1a). Solche Fälle verdeutlichen, dass Publicity, Bewertungen oder ein großer Nutzerkreis nichts über die Sicherheit einer App aussagen. Die intensive Kontrolle und der bedachte Einsatz von mobilen Applikationen im privaten als auch beruflichen Umfeld zur Vermeidung von Verlust und missbräuchlicher Benutzung ist daher unausweichlich.“

www.appvisory.com
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Data Breach

Internationaler Report zu Datenverstößen

ForgeRock gibt die Ergebnisse seines Consumer-Identity-Breach-Jahresbericht zu Datenverstößen in Deutschland, USA, Großbritannien und Australien bekannt. Mehr als 7,8 Milliarden US-Datensätze in den letzten zwei Jahren betroffen.
DSGVO Concept

Wir brauchen endlich klare Ansagen der Datenschützer!

Am 25. Mai 2020 ist die DSGVO seit genau zwei Jahren in Kraft. ownCloud gratuliert der Datenschutz-Grundverordnung zum Geburtstag – und wünscht sich klare Ansagen der obersten Datenschützer.
DSGVO

Zwei Jahre DSGVO: Wichtige Wissenslücken schließen

Nach zwei Jahren DSGVO haben viele Unternehmen immer noch mit dem Aufspüren personenbezogener Informationen in ihren Datenbeständen zu kämpfen. IntraFind erläutert, wie ihnen Enterprise Search-Technologie helfen kann. Am 25. Mai 2020 ist die DSGVO seit genau…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!