App-Test

App-Test: Menstruations-Kalender und Zykluskalender Kostenlos (Android)

Ein Artikel von , veröffentlicht am 03.07.2018, bearbeitet am12.07.2018
Bild: CC0 Pixabay / geralt

Mit Hilfe der App können Nutzerinnen kalkulieren, wann sie ihre Periode bekommen und sich an die Einnahme von Verhütungsmitteln erinnern lassen. Die App bindet Werbung ein, überträgt aber kein Informationen über die App-Nutzung an Werbeanbieter.

Version

1.642.182

Betriebssysteme

Android

Links

Google Play (Android)
Weblink

Was kann die App?

Die App Menstruations-Kalender und Zykluskalender Kostenlos soll Frauen dabei helfen, die Daten rund um ihre monatliche Periode im Blick zu behalten. Die App kalkuliert das Datum der nächsten Periode, des nächsten Eisprungs und mehr.

Nutzerinnen können die eigene Körpertemperatur, weitere sogenannte Symptome der Menstruation und Stimmungen notieren. Auch können sie Erinnerungen für die nächste Periode, die Einnahme der Pille und die nächste Fruchtbarkeitsphase einstellen. Alle angegebenen Informationen zeigt die App in Verlaufsdiagrammen an.

Die App gehört mit mehr als einhundert Millionen Downloads aus dem Google Play-Store zu den beliebtesten Apps ihrer Art. Anbieter ist die Simple Design Ltd. mit Sitz in Hongkong.

Eine offizielle Firmen-Webseite existiert nicht, unter der Serveradresse period-calendar.com findet sich lediglich ein Nutzerforum. Eine Postanschrift des Entwicklers ist lediglich auf der Downloadseite im Google Play-Store hinterlegt.

Unser Test im Überblick

Positiv ist, dass die Nutzerin für die Nutzung der App kein Konto anzulegen braucht. Die App erhebt also keine Nutzerinnendaten wie Name, E-Mail-Adresse und Co. Auch fordert sie keinen Zugriff auf zusätzliche Informationen wie zum Beispiel den Standort oder eingespeicherte Kontakte.

Auch erfreulich: Bei der Nutzung werden keine inhaltlichen Daten übertragen. Das heißt: Weder der Hauptdienst noch die kooperierenden Werbeanbieter erfahren, wann oder wie die Nutzerin ihre Periode hat, ob sie Verhütungsmittel nutzt oder Ähnliches.

Die App bindet allerdings Werbung ein und übertrug in unserem Test Nutzerinformationen wie die Google Werbe-ID an ein Werbenetzwerk, das diese Daten an mindestens zwölf verschiedene Werbeanbieter weitergab.

Kritisch: Die Übertragung der Daten erfolgte dabei teilweise unverschlüsselt. Außerdem erhielten zwei Analysedienste – Googles Absturzmelder Crashlytics und das chinesische Werbenetzwerk Kaffnet – neben der Google Werbe-ID auch eine unveränderliche Nutzer-Kennnummer, die Android-ID.

Die Android-ID zählt zu den personenbezogenen Daten und sollte insbesondere bei älteren Android-Versionen (bis Android 7) niemals mit der Werbe-ID kombiniert werden, da sie Rückschlüsse auf die Identität des Nutzers zulässt.

Damit hält die App ihrer eigenen Datenschutzerklärung nicht stand, da dort versichert wird, dass personenbezogene Daten nicht weitergegeben werden. Auch wird dort nicht transparent gemacht, an welche Werbepartner Daten übermittelt werden.

Übermittelte Informationen im Überblick:

Unsere Testergebnisse im Detail

Getestet haben wir die Version 1.642.182, die wir aus Googles Play-Store heruntergeladen haben. Dieser Test gilt nicht für andere Versionen. Getestet wurde für die Android-Version 7.1.2.

Die technische Analyse führte Mike Kuketz durch.

Auf welche Daten kann die App zugreifen?

Die abgefragten Berechtigungen sind für den Funktionsumfang weitgehend plausibel. Die Berechtigung „Beim Start ausführen“ halten wir jedoch für nicht unbedingt nötig. Mit dieser Berechtigung können Nutzer leicht den Überblick darüber verlieren, wann die App aktiv ist und Daten aufzeichnet.

Erfreulich ist, dass die App den Standort und weitere Daten wie die Kontakte der Nutzerin nicht abfragt.

Tippen Sie auf die jeweilige Berechtigung, um zu erfahren, was dahinter steckt, oder sehen Sie die ganze Liste in unserem Beitrag App-Berechtigungen entschlüsselt (Android).

Wohin verbindet sich Menstruations-Kalender und Zykluskalender Kostenlos?

Hauptdienst period-calendar.com (in der englischen Version heißt die App Period Calender): Die App baut mehrere Verbindungen zu den Servern von ad.period-calender.com auf, um den eigentlichen Dienst zu erbringen. Die Kommunikation erfolgt teils unverschlüsselt. Dabei verzichtet sie aber auf zusätzliche Sicherheit durch Cert-Pinning.

Was die Begriffe Verschlüsselung und Cert-Pinning bedeuten, erfahren Sie in unserem Ratgeber TSL/SSL: Fragen und Antworten.

Unmittelbar nach dem Start übermittelt die App folgende Informationen unverschlüsselt an den Anbieter:

  • Standardinformationen des Geräts wie Android-Version, Land, Sprache und Displayauflösung

Während der Nutzung konnten wir keine weitere Datenübermittlung beobachten.

Google: Direkt nach dem Start der App und in wiederkehrenden Abständen kontaktiert die App den Dienst Google-Analytics. Die App übermittelt:

  • Android-Version, Land, Sprache

Weitere Daten übermittelt Google mit einer zusätzlichen Verschlüsselung, sodass wir sie nicht analysieren konnten.

Crashlytics (crashlytics.com): Crashlytics ist ein von Google angebotener Dienst, mit dem App-Anbieter Absturzinformatione analysieren können. Allerdings übermittelte die App Menstruations-Kalender und Zykluskalender Kostenlos folgende Daten, ohne dass die App tatsächlich abgestürzt war:

Die Frage ist, wozu ein Analysedienst für Abstürze die Google Werbe-ID oder Android-ID benötigt. Das ist unserer Auffassung nach für die Diensterbringung nicht notwendig.

Kaffnet.com: Kaffnet ist ein Werbeunternehmen, über das wenig bekannt ist. Die Webadresse läuft auf ein Unternehmen in der chinesischen Stadt Xiamenshi.

Vor der Auslieferung der Werbung werden folgende Daten unverschlüsselt übermittelt:

Nach der Auslieferung der Werbung wird unverschlüsselt übermittelt:

  • Google Werbe-ID
  • Android-Version
  • Name und Version der App
  • Ein Tracker des Analyseunternehmens Adjust

Hinzu kommt eine Vielzahl an kryptischen Werten, die sich nicht eindeutig zuordnen lassen.

Über den Anbieter Kaffnet.com bindet die App Werbung ein. Kaffnet.com dient dabei als (Werbe-)Knotenpunkt, der wiederum viele Werbepartner einbindet und gleichzeitig trackt. Wir konnten insgesamt zwölf (!) deutsche und internationale Werbeanbieter oder Tracker während der Testphase identifizieren, darunter die international arbeitenden Firmen Adjust (Sitz u.a. in Berlin) und Taptica (Sitz in San Francisco, USA).

Unter anderem gingen folgende Informationen an diese Unternehmen:

  • Kampagnen-ID
  • Land, Sprache

Hinweis: Die Kommunikation zum Werbe-Knotenpunkt Kaffnet.com als auch zu den Werbe- bzw. Trackingnetzwerken erfolgte unverschlüsselt. Dies ist kritisch, weil so als Werbung getarnte Schadprogramme auf das genutzte Smartphone gelangen können. Durch Verschlüsselung wäre dieses Risiko vermeidbar.

Wie sicher speichert die App meine Daten?

Um die App nutzen zu können, braucht die Anwenderin kein Konto anzulegen. Über Einstellungen → Passwort lässt sich ein vierstelliger PIN-Code einrichten. Dieser Zugangscode wird im Klartext in einer Datenbank auf dem Smartphone abgelegt.

Daher kann jeder mit Zugriff auf das Dateisystem des Smartphones die Authentifizierung umgehen. Dazu ist allerdings eine gewisse Hartnäckigkeit erforderlich, insofern ist es aus unserer Sicht trotzdem sinnvoll, diese zusätzliche Sperre zum Schutz der eigenen – unter Umständen sensiblen – Daten einzurichten.

Was sagt die Datenschutzerklärung?

Die Datenschutzerklärung liegt leider nur auf Englisch vor. Da das Unternehmen über keine offizielle Webseite verfügt, ist sie nur über den Google Play-Store zu finden.

Die Anbieter erklären darin, dass Nutzerinnendaten an Werbeanbieter übermittelt werden, nennen diese jedoch mit Ausnahme von Google nicht namentlich. Das Werbenetzwerk Kaffnet.com und die dort mit eingebunden Werbeanbieter wie Adjust werden nicht genannt.

Stattdessen weisen sie darauf hin, dass Facebook als Werbepartner zum Einsatz kommen kann und in dem Fall ebenfalls Tracker einsetzt. In unserem Test war dies zwar nicht der Fall, die App könnte aber in Zukunft auf diese Möglichkeit zurückgreifen.

Die App-Anbieter betonen, dass sie keine personenbezogenen Daten weitergeben. Dies ist jedoch nicht richtig, da die Android-ID ohne Grund an Crashlytics und außerdem an Kaffnet.com übertragen wird. Diese unveränderliche Kennnummer zählt zu den personenbezogenen Daten und kann in Kombination mit der Google Werbe-ID dazu führen, dass Werbeprofile unter Umständen nicht mehr anonym sind.

Die Autorin

E-Mail

i.poeting@mobilsicher.de

PGP-Key

0x98926A6965C84F21

Fingerprint

7F5D B2F7 C59F 0547 D730 7DD7 9892 6A69 65C8 4F21

Inga Pöting

Inga Pöting ist Redakteurin bei mobilsicher.de. Sie schreibt Texte, kümmert sich um die Webseite und erklärt Apps und Smartphone-Funktionen vor der Kamera. Bevor sie für mobilsicher.de nach Berlin kam, hat sie im Ruhrgebiet bei verschiedenen Zeitungen und Magazinen gearbeitet.

Weitere Artikel

Ratgeber 

Hard Reset: Gerät über Außentasten zurücksetzen (Android)

Ihr Smartphone oder Tablet hat sich komplett aufgehängt oder Sie haben den PIN für die Displaysperre vergessen? Über die Außentasten lassen sich viele Geräte auf Werkseinstellungen zurücksetzen. Aber Vorsicht: Alle Daten werden dabei gelöscht.

Mehr
Ratgeber 

SMS verschlüsseln mit Silence

Die Auswahl an Apps zur Verschlüsselung des SMS-Verkehrs ist sehr eingeschränkt. Silence bietet als alternative SMS-App die Verschlüsselung von SMS an – mit Einschränkungen.

Mehr
Browser und Suchmaschinen 

MetaGer: Meta-Suchmaschine der ersten Stunde

MetaGer ist eine der dienstältesten Meta-Suchmaschinen überhaupt - sie läuft schon seit 23 Jahren. Die Erfindung aus Hannover setzt auf konsequenten Datenschutz und zeigt transparent, aus welcher Quelle die Suchergebnisse kommen. Die MetaGer-App wurde inzwischen verbessert.

Mehr
Ratgeber 

Plaudernde App-Listen: App-Spionage leicht gemacht

Jede Android-App kann sehen, welche anderen Apps auf einem Smartphone installiert sind. Bei iOS ist eine ähnliche Abfrage möglich. Diese Information kann sehr aussagekräftig sein und Privates offenbaren – wie die sexuelle Orientierung, die politische Ausrichtung oder die Religion einer Person.

Mehr