Anzeige

Anzeige

VERANSTALTUNGEN

4. Cyber Conference Week
01.07.19 - 05.07.19
In Online

IT kessel.19 – Der IT Fachkongress
04.07.19 - 04.07.19
In Messe Sindelfingen

IT-SOURCING 2019 – Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

IT-Sourcing 2019 - Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

ACMP Competence Days Berlin
11.09.19 - 11.09.19
In Stiftung Deutsches Technikmuseum Berlin, Berlin

Anzeige

Anzeige

Fitness App "Freeletics Bodyweight"

Bild: Fitness App "Freeletics Bodyweight" (Quelle: APPVISORY)

Als Reaktion auf die Anfang des Jahres stark in die Kritik geratenen Fitness-Apps hat das Pentagon Soldaten im Dienst den Einsatz von Fitness-Apps mit GPS-Trackern verboten. 

  • Freeletics Bodyweight überträgt Standortdaten unverschlüsselt
  • Unvollständige Datenschutzerklärung verursacht weiteren DSGVO-Verstoß

Dass diese Einschränkung auch mehrere Monate nach den Enthüllungen noch Gewicht hat, zeigen jüngste Ergebnisse aus den App-Analysen des europäischen Marktführers für mobile Sicherheitslösungen APPVISORY. Freeletics Bodyweight, eine Fitness-App, die erst kürzlich mehrere Millionen Euro von US-Investoren erhalten hat, reiht sich neben Strava, Polar & Co. in die Klasse der strittigen Fitnesstracker ein. APPVISORYs Experten stellten fest, dass die App nicht nur gesetzliche Anforderungen der EU-Datenschutzgrundverordnung nicht erfüllt, sondern auch mangels Verschlüsselung den Zugriff unautorisierter Dritter auf sensible Daten vereinfacht. Eine Offenlegung der Aktivitäten à la Strava ist dadurch nicht mehr nur in der Theorie möglich.

Freeletics Bodyweight fällt negativ auf

„Freeletics Bodyweight verwendet wie viele andere Fitness-Apps Standortdaten, um geeignete Trainingsplätze anzuzeigen, und teilt diese wahrscheinlich zu Werbe- oder Service-Zwecken mit Drittanbietern“, erklärt Wulf Bolte, CTO bei APPVISORY. „Solange die Notwendigkeit der Datenerhebung mit der Funktionsweise der App begründet ist und die Übertragung dieser und aller weiteren personenbezogenen Daten über einen verschlüsselten Kanal erfolgt, verursacht dies an sich keinen Verstoß gegen die EU-Datenschutz­grundverordnung. Genauso ist auch die Weiterverarbeitung durch Dritte rechtskonform, solange dies in der Datenschutzerklärung einsehbar ist und der Verarbeitung widersprochen werden kann.“Während der Analyse der Freeletics-App (iOS-Version 5.5.0) entdeckten APPVISORYs Experten jedoch, dass die Anwendung exakte Standortdaten unverschlüsselt an einen Drittanbieter namens „Logentries“ übermittelt und dass darüber hinaus den Nutzern nur eine unvollständige Datenschutzerklärung zur Verfügung steht. Unter den Namen der datenverarbeitenden Drittanbieter fehlt „Logentries“, sodass Nutzer den Verarbeitungsvorgang ihrer Daten nicht vollständig nachvollziehen und somit keine informierte Einwilligung abgeben können. APPVISORY hat den App-Betreiber umgehend darüber informiert.

Doppelter Verstoß gegen die DSGVO

„Dies ist nicht nur ein einfacher Verstoß gegen die EU-Datenschutz­grundverordnung.“, bemerkt Bolte. „Mit der fehlerhaften Datenschutzerklärung und der unverschlüsselten Übertragung verstößt Freeletics Bodyweight gleichzeitig gegen zwei Artikel der Verordnung - Artikel 7 und zusätzlich Artikel 32, Abs. 1a). Solche Fälle verdeutlichen, dass Publicity, Bewertungen oder ein großer Nutzerkreis nichts über die Sicherheit einer App aussagen. Die intensive Kontrolle und der bedachte Einsatz von mobilen Applikationen im privaten als auch beruflichen Umfeld zur Vermeidung von Verlust und missbräuchlicher Benutzung ist daher unausweichlich.“

www.appvisory.com
 

GRID LIST
Datensicherheit Erdkugel

Wer seine Daten nicht schützt, wird zum Verlierer

Die Gefahren im neuen digitalen Zeitalter wachsen, neue „Spielregeln“ verändern die Welt.…
DSGVO Last

Innovationsbremse DSGVO: Hemmnis für europäische Start-Ups

Vor rund einem Jahr ist die zweijährige Übergangsfrist der Datenschutzgrundverordnung…
Passwort

Datenklau 2019: Passwort-Manager schützen vor Hacker-Angriffen

Das Thema Datenklau ist durch den vor Kurzem öffentlich gewordenen Leak von Politiker-…
Schloss vor Tastatur

E-Mail-Verschlüsselung für jeden

Reddcrypt soll E-Mails ganz einfach verschlüsseln, auf jedem Endgerät, mit jeder…
DSGVO

Nach einem Jahr DSGVO sind noch viele Unternehmen unsicher

Am 25. Mai gilt die DSGVO seit einem Jahr in allen EU-Mitgliedstaaten. In dieser Zeit…
Tb W190 H80 Crop Int D14174f9f546d61501920965da89725c

Ein Jahr DSGVO: Viel Arbeit - und viele offene Fragen

Die größte Aufregung rund um die Datenschutzgrundverordnung hat sich nach einem Jahr…