Weitere Fitness-App mangelhaft: Unverschlüsselte Übertragung von Standortdaten

Bild: Fitness App "Freeletics Bodyweight" (Quelle: APPVISORY)

Als Reaktion auf die Anfang des Jahres stark in die Kritik geratenen Fitness-Apps hat das Pentagon Soldaten im Dienst den Einsatz von Fitness-Apps mit GPS-Trackern verboten. 

  • Freeletics Bodyweight überträgt Standortdaten unverschlüsselt
  • Unvollständige Datenschutzerklärung verursacht weiteren DSGVO-Verstoß

Dass diese Einschränkung auch mehrere Monate nach den Enthüllungen noch Gewicht hat, zeigen jüngste Ergebnisse aus den App-Analysen des europäischen Marktführers für mobile Sicherheitslösungen APPVISORY. Freeletics Bodyweight, eine Fitness-App, die erst kürzlich mehrere Millionen Euro von US-Investoren erhalten hat, reiht sich neben Strava, Polar & Co. in die Klasse der strittigen Fitnesstracker ein. APPVISORYs Experten stellten fest, dass die App nicht nur gesetzliche Anforderungen der EU-Datenschutzgrundverordnung nicht erfüllt, sondern auch mangels Verschlüsselung den Zugriff unautorisierter Dritter auf sensible Daten vereinfacht. Eine Offenlegung der Aktivitäten à la Strava ist dadurch nicht mehr nur in der Theorie möglich.

Anzeige

Freeletics Bodyweight fällt negativ auf

„Freeletics Bodyweight verwendet wie viele andere Fitness-Apps Standortdaten, um geeignete Trainingsplätze anzuzeigen, und teilt diese wahrscheinlich zu Werbe- oder Service-Zwecken mit Drittanbietern“, erklärt Wulf Bolte, CTO bei APPVISORY. „Solange die Notwendigkeit der Datenerhebung mit der Funktionsweise der App begründet ist und die Übertragung dieser und aller weiteren personenbezogenen Daten über einen verschlüsselten Kanal erfolgt, verursacht dies an sich keinen Verstoß gegen die EU-Datenschutz­grundverordnung. Genauso ist auch die Weiterverarbeitung durch Dritte rechtskonform, solange dies in der Datenschutzerklärung einsehbar ist und der Verarbeitung widersprochen werden kann.“Während der Analyse der Freeletics-App (iOS-Version 5.5.0) entdeckten APPVISORYs Experten jedoch, dass die Anwendung exakte Standortdaten unverschlüsselt an einen Drittanbieter namens „Logentries“ übermittelt und dass darüber hinaus den Nutzern nur eine unvollständige Datenschutzerklärung zur Verfügung steht. Unter den Namen der datenverarbeitenden Drittanbieter fehlt „Logentries“, sodass Nutzer den Verarbeitungsvorgang ihrer Daten nicht vollständig nachvollziehen und somit keine informierte Einwilligung abgeben können. APPVISORY hat den App-Betreiber umgehend darüber informiert.

Doppelter Verstoß gegen die DSGVO

„Dies ist nicht nur ein einfacher Verstoß gegen die EU-Datenschutz­grundverordnung.“, bemerkt Bolte. „Mit der fehlerhaften Datenschutzerklärung und der unverschlüsselten Übertragung verstößt Freeletics Bodyweight gleichzeitig gegen zwei Artikel der Verordnung – Artikel 7 und zusätzlich Artikel 32, Abs. 1a). Solche Fälle verdeutlichen, dass Publicity, Bewertungen oder ein großer Nutzerkreis nichts über die Sicherheit einer App aussagen. Die intensive Kontrolle und der bedachte Einsatz von mobilen Applikationen im privaten als auch beruflichen Umfeld zur Vermeidung von Verlust und missbräuchlicher Benutzung ist daher unausweichlich.“

www.appvisory.com
 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.