App-Test: Menstruations-Kalender und Zykluskalender Kostenlos (Android)

App Menstruations-Kalender und Zykluskalender

Mit Hilfe der App können Nutzerinnen kalkulieren, wann sie ihre Periode bekommen und sich an die Einnahme von Verhütungsmitteln erinnern lassen. Die App bindet Werbung ein, überträgt aber keine inhaltlichen Informationen an Werbeanbieter – das ist löblich.

Version
1.642.182
Betriebssystem
Android
App-Store- / Weblinks
Google Play (Android)
Weblink
Aktualisiert am
Veröffentlicht am
Review Autor
Schlagworte
App-Test · Gesundheits-Apps · Kalender
Drucken

Veröffentlicht am

Auf einen Blick

Was kann die App?

Die App Menstruations-Kalender und Zykluskalender Kostenlos soll Frauen dabei helfen, die Daten rund um ihre monatliche Periode im Blick zu behalten. Die App kalkuliert das Datum der nächsten Periode, des nächsten Eisprungs und mehr.

Nutzerinnen können die eigene Körpertemperatur, weitere sogenannte Symptome der Menstruation und Stimmungen notieren. Auch können sie Erinnerungen für die nächste Periode, die Einnahme der Pille und die nächste Fruchtbarkeitsphase einstellen. Alle angegebenen Informationen zeigt die App in Verlaufsdiagrammen an.

Die App gehört mit mehr als einhundert Millionen Downloads aus dem Google Play-Store zu den beliebtesten Apps ihrer Art. Anbieter ist die Simple Design Ltd. mit Sitz in Hongkong.

Eine offizielle Firmen-Webseite existiert nicht, unter der Serveradresse period-calendar.com findet sich lediglich ein Nutzerforum. Eine Postanschrift des Entwicklers ist lediglich auf der Downloadseite im Google Play-Store hinterlegt.

Unser Test im Überblick

Positiv ist, dass die Nutzerin für die Nutzung der App kein Konto anzulegen braucht. Die App erhebt also keine Nutzerinnendaten wie Name, E-Mail-Adresse und Co. Auch fordert sie keinen Zugriff auf zusätzliche Informationen wie zum Beispiel den Standort oder eingespeicherte Kontakte.

Auch erfreulich: Bei der Nutzung werden keine inhaltlichen Daten übertragen. Das heißt: Weder der Hauptdienst noch die kooperierenden Werbeanbieter erfahren, wann oder wie die Nutzerin ihre Periode hat, ob sie Verhütungsmittel nutzt oder Ähnliches.

Die App bindet allerdings Werbung ein und übertrug in unserem Test Nutzerinformationen wie die Google Werbe-ID an ein Werbenetzwerk, das diese Daten an mindestens zwölf verschiedene Werbeanbieter weitergab.

Kritisch: Die Übertragung der Daten erfolgte dabei teilweise unverschlüsselt. Außerdem erhielten zwei Analysedienste – Googles Absturzmelder Crashlytics und das chinesische Werbenetzwerk Kaffnet – neben der Google Werbe-ID auch eine unveränderliche Nutzer-Kennnummer, die Android-ID.

Die Android-ID zählt zu den personenbezogenen Daten und sollte insbesondere bei älteren Android-Versionen (bis Android 7) niemals mit der Werbe-ID kombiniert werden, da sie Rückschlüsse auf die Identität des Nutzers zulässt.

Damit hält die App ihrer eigenen Datenschutzerklärung nicht stand, da dort versichert wird, dass personenbezogene Daten nicht weitergegeben werden. Auch wird dort nicht transparent gemacht, an welche Werbepartner Daten übermittelt werden.

Übermittelte Informationen im Überblick:

Unsere Testergebnisse im Detail

Getestet haben wir die Version 1.642.182, die wir aus Googles Play-Store heruntergeladen haben. Dieser Test gilt nicht für andere Versionen. Getestet wurde für die Android-Version 7.1.2.

Die technische Analyse führte Mike Kuketz durch.

Auf welche Daten kann die App zugreifen?

Die abgefragten Berechtigungen sind für den Funktionsumfang weitgehend plausibel. Die Berechtigung „Beim Start ausführen“ halten wir jedoch für nicht unbedingt nötig. Mit dieser Berechtigung können Nutzer leicht den Überblick darüber verlieren, wann die App aktiv ist und Daten aufzeichnet.

Erfreulich ist, dass die App den Standort und weitere Daten wie die Kontakte der Nutzerin nicht abfragt.

Wohin verbindet sich Menstruations-Kalender und Zykluskalender Kostenlos?

Hauptdienst period-calendar.com (in der englischen Version heißt die App Period Calender): Die App baut mehrere Verbindungen zu den Servern von ad.period-calender.com auf, um den eigentlichen Dienst zu erbringen. Die Kommunikation erfolgt teils unverschlüsselt. Dabei verzichtet sie aber auf zusätzliche Sicherheit durch Cert-Pinning.

Unmittelbar nach dem Start übermittelt die App folgende Informationen unverschlüsselt an den Anbieter:

  • Standardinformationen des Geräts wie Android-Version, Land, Sprache und Displayauflösung

Während der Nutzung konnten wir keine weitere Datenübermittlung beobachten.

Google: Direkt nach dem Start der App und in wiederkehrenden Abständen kontaktiert die App den Dienst Google-Analytics. Die App übermittelt:

  • Android-Version, Land, Sprache

Weitere Daten übermittelt Google mit einer zusätzlichen Verschlüsselung, sodass wir sie nicht analysieren konnten.

Crashlytics (crashlytics.com): Crashlytics ist ein von Google angebotener Dienst, mit dem App-Anbieter Absturzinformatione analysieren können. Allerdings übermittelte die App Menstruations-Kalender und Zykluskalender Kostenlos folgende Daten, ohne dass die App tatsächlich abgestürzt war:

Die Frage ist, wozu ein Analysedienst für Abstürze die Google Werbe-ID oder Android-ID benötigt. Das ist unserer Auffassung nach für die Diensterbringung nicht notwendig.

Kaffnet.com: Kaffnet ist ein Werbeunternehmen, über das wenig bekannt ist. Die Webadresse läuft auf ein Unternehmen in der chinesischen Stadt Xiamenshi.

Vor der Auslieferung der Werbung werden folgende Daten unverschlüsselt übermittelt:

Nach der Auslieferung der Werbung wird unverschlüsselt übermittelt:

  • Google Werbe-ID
  • Android-Version
  • Name und Version der App
  • Ein Tracker des Analyseunternehmens Adjust

Hinzu kommt eine Vielzahl an kryptischen Werten, die sich nicht eindeutig zuordnen lassen.

Über den Anbieter Kaffnet.com bindet die App Werbung ein. Kaffnet.com dient dabei als (Werbe-)Knotenpunkt, der wiederum viele Werbepartner einbindet und gleichzeitig trackt. Wir konnten insgesamt zwölf (!) deutsche und internationale Werbeanbieter oder Tracker während der Testphase identifizieren, darunter die international arbeitenden Firmen Adjust (Sitz u.a. in Berlin) und Taptica (Sitz in San Francisco, USA).

Unter anderem gingen folgende Informationen an diese Unternehmen:

  • Kampagnen-ID
  • Land, Sprache

Hinweis: Die Kommunikation zum Werbe-Knotenpunkt Kaffnet.com als auch zu den Werbe- bzw. Trackingnetzwerken erfolgte unverschlüsselt. Dies ist kritisch, weil so als Werbung getarnte Schadprogramme auf das genutzte Smartphone gelangen können. Durch Verschlüsselung wäre dieses Risiko vermeidbar.

Wie sicher speichert die App meine Daten?

Um die App nutzen zu können, braucht die Anwenderin kein Konto anzulegen. Über Einstellungen → Passwort lässt sich ein vierstelliger PIN-Code einrichten. Dieser Zugangscode wird im Klartext in einer Datenbank auf dem Smartphone abgelegt.

Daher kann jeder mit Zugriff auf das Dateisystem des Smartphones die Authentifizierung umgehen. Dazu ist allerdings eine gewisse Hartnäckigkeit erforderlich, insofern ist es aus unserer Sicht trotzdem sinnvoll, diese zusätzliche Sperre zum Schutz der eigenen – unter Umständen sensiblen – Daten einzurichten.

Was sagt die Datenschutzerklärung?

Die Datenschutzerklärung liegt leider nur auf Englisch vor. Da das Unternehmen über keine offizielle Webseite verfügt, ist sie nur über den Google Play-Store zu finden.

Die Anbieter erklären darin, dass Nutzerinnendaten an Werbeanbieter übermittelt werden, nennen diese jedoch mit Ausnahme von Google nicht namentlich. Das Werbenetzwerk Kaffnet.com und die dort mit eingebunden Werbeanbieter wie Adjust werden nicht genannt.

Stattdessen weisen sie darauf hin, dass Facebook als Werbepartner zum Einsatz kommen kann und in dem Fall ebenfalls Tracker einsetzt. In unserem Test war dies zwar nicht der Fall, die App könnte aber in Zukunft auf diese Möglichkeit zurückgreifen.

Die App-Anbieter betonen, dass sie keine personenbezogenen Daten weitergeben. Dies ist jedoch nicht richtig, da die Android-ID ohne Grund an Crashlytics und außerdem an Kaffnet.com übertragen wird. Diese unveränderliche Kennnummer zählt zu den personenbezogenen Daten und kann in Kombination mit der Google Werbe-ID dazu führen, dass Werbeprofile unter Umständen nicht mehr anonym sind.

Sie haben einen Fehler entdeckt oder vermissen einen Artikel zu einem bestimmten Thema?
Schreiben Sie uns eine E-Mail an hinweis@mobilsicher.de!