Dieser Artikel wurde vor mehr als einem Jahr veröffentlicht. Die Informationen könnten veraltet sein.
App-Test

App-Test: Diese Daten sammelt MyFitnessPal

Ein Artikel von , veröffentlicht am 01.02.2018, bearbeitet am23.07.2020
Bild: CC0 Pixabay / geralt

Der Kalorienzähler MyFitnessPal nutzt Ihre Gesundheitsdaten für Werbung, Marketing und Personalisierung und gibt sie an viele andere Unternehmen weiter. Ein hoher Datenpreis für ein digitales Ernährungstagebuch. Wir raten von der Nutzung ab.

Version

20.13.0

Betriebssysteme

Android

Links

Google Play (Android)
Weblink
HINWEISManuell durchgeführte App-Analysen wie diese gelten grundsätzlich nur für die getestete App-Version und haben damit den Charakter einer Momentaufnahme. Aktuelle Testberichte für mehr als 30.000 Android-Apps finden Sie seit Oktober 2020 über unseren AppChecker.

Was kann MyFitnessPal?

Mit MyFitnessPal kann man seine Nahrungsaufnahme protokollieren und in Kalorien umrechnen lassen. Man kann sich Ziele setzen, zum Beispiel, in einem Monat einen Kilo Gewicht zu verlieren.

Gleichzeitig bietet die App eine Art soziales Netzwerk, in das man Freunde über Facebook oder aus dem eigenen Adressbuch einladen kann. Die App lässt sich mit verschiedenen Wearables kombinieren.

Der Hersteller bietet eine kostenpflichtige Premiumversion, die kostenlose Basisversion enthält Werbung. Zudem promoten die Apps verschiedene Shops des Mutterunternehmens, zum Beispiel für Fitness-Geräte.

Anbieter ist die MyFitnessPal Inc. mit Sitz in San Francisco, USA. Seit 2015 gehört die Firma dem Sportbekleidungs-Hersteller „Under Armour Inc.“ Die Firma bietet noch zahlreiche andere Fitness-Apps mit anderen Schwerpunkten an.

MyFitnessPal: Test im Überblick

Hinweis: In diesem Test bewerten wir ausschließlich, wie die App mit Ihren Daten umgeht. Über die Funktionalität, zum Beispiel ob Kalorien korrekt berechnet werden, gibt dieser Test keine Auskunft.

Wir haben die kostenlose Version von MyFitnessPal analysiert. Die App holt sich dabei alle Daten, die von Ihnen zu bekommen sind. Statt Einträge lokal auf dem Gerät zu speichern, werden alle Informationen an Server des Anbieters geschickt.

Der Anbieter erhebt dabei Daten, mit denen Sie leicht identifizierbar sind, zusammen mit Körperdaten wie Gewicht oder Nahrungsaufnahme. Er teilt diese Informationen mit Mitgliedern der Unternehmensgruppe. Die so erstellten Profile werden durch zugekaufte Daten ergänzt.

Diese Drittanbieter bindet die App ein

Neben der MyFitnessPal Inc. gingen im Test Daten direkt aus der App an elf weitere Firmen.

Auffällig ist dabei der eingebundene Drittanbieter MoPub: Dieses Werbenetzwerk erhebt neben Ihrer Werbe-ID auch Ihren Standort, wenn Sie der App Zugriff auf den Standort gegeben haben. Die Werbe-ID ist eine eindeutige Kennnummer, mit der Ihr Gerät immer genau zugeordnet werden kann - es sei denn, Sie ändern sie manuell.

MoPub bindet selbst zahlreiche weitere Werbenetzwerke ein, die diese Daten ebenfalls erhalten können. Der Datenaustausch mit MoPub ist zum Teil nicht transportverschlüsselt, so dass Angreifer sich zwischen diese Verbindung schalten und bösartigen Code einschleusen können. Auch einer der anderen, über MobPub vermittelten Werbeanbieter, baute eine unverschlüsselte Verbindung auf.

MyFitnessPal macht aus all dem kein Geheimnis. Wer die Datenschutzerklärung liest, wird darüber informiert, worauf er*sie sich einlässt. Sie bildet weitgehend das ab, was wir in unserem Test gesehen haben.

Was die Werbe-ID in Apps kann und soll, lesen Sie hier genauer: Werbe-ID ändern: So verwischen Sie Ihre Spuren.

Gesendete Daten im Überblick

  • Google Werbe-ID
  • GPS-Positionsdaten, falls Zugriff auf Standort freigegeben
  • E-Mail-Adresse (selbst angegeben und verifiziert)
  • Geburtsdatum (selbst angegeben)
  • Geschlecht (selbst angegeben)
  • Alle Fitness- und Gesundheitsdaten, die man eingibt oder misst
  • Geräte-Typ, installierte Software, Mobilfunkanbieter
  • Android Device-ID (ab Android 8 nicht mehr relevant)

Unsere Testergebnisse im Detail

Getestet haben wir die Version 20.13.0, die wir aus dem Google Play-Store heruntergeladen haben. Dieser Test gilt nicht für andere Versionen. Für die Nutzung von MyFitnessPal ist ein Nutzerkonto nötig. In unserem Test haben wir uns mit einer E-Mail-Adresse registriert.

Zu folgenden Firmen nimmt die App Kontakt auf und überträgt personenbeziehbare Daten:

MyFitnessPal / Under Armour Inc.

Google Werbe-ID

Fingerprint: Daten über Hardware und Software, die zusammen eine Art "Fingerabdruck" ergeben, mit dem das Gerät wiedererkennbar ist. Dazu gehören: Betriebssystem, Modell, Bildschirgröße und Auflösung, Hersteller, Android-Version, Build-Nummer, Land, gewählte Sprache, Provider.

Folgende Informationen werden bei der Registrierung abgefragt und an den Anbieter übertragen:

Geschlecht, Geburtsdatum, Postleitzahl, Körpergröße, Gewicht, E-Mail-Adresse (muss verifiziert werden), Passwort, Ziel, zum Beispiel "Abnehmen"

Ist die App aktiv, überträgt sie im Grunde alles, was man innerhalb der App eingibt. Zum Beispiel die Inhalte aus dem Ernährungstagebuch und den Status (Gewicht etc.).

MoPub Inc. (Werbeverteiler)

MoPub Inc. fungiert als „Mediator“, über den Entwickler mit einem einzigen Modul mehrere Werbenetze einbinden können. MoPub ist in der Vergangenheit durch sogenanntes "Malvertising" aufgefallen – das Ausspielen bösartiger Werbung. MoPub ist ein Tochterunternehmen des sozialen Netzwerks Twitter, Geschäftssitz ist San Francisco, USA.

Die Kommunikation der App erfolgt zum Teil unverschlüsselt.

Die App überträgt folgende Informationen unverschlüsselt an MoPub:

Google Werbe-ID

Fingerprint: Daten über Hardware und Software, die zusammen eine Art "Fingerabdruck" ergeben, mit dem das Gerät wiedererkennbar ist. Dazu gehören: Betriebssystem, Modell, Hersteller, Bildschirmgröße und -Auflösung, Android-Version, Build-Nummer, Land, gewählte Sprache, Provider.

Standort (GPS-Koordinaten), falls der Zugriff auf den Standort in der App freigegeben wurde.

MoPub vermittelt die Werbeplätze über Echtzeit-Auktionen an andere Anbieter weiter. Dabei werden die gesammelten Informationen über den*die Nutzer*in weitergegeben. Je nachdem, wer die Auktion gewinnt, erscheinen dann jeweils unterschiedliche weitere Anbieter in der App.

Im vorliegenden Testlauf vermittelte MoPub Werbung von:

Nexage (Daten zum Teil unverschlüsselt)

VRTCL

InMobi

Amplitude Inc. (Marketing / Analyse)

Amplitude bietet Nutzeranalyse für Marketing in Apps und Webseiten. Firmensitz: San Francisco, USA.

Folgende Informationen übermittelt die App an Amplitude:

Google Werbe-ID

Geschlecht (angegeben)

Standort (GPS-Koordinaten), falls der Zugriff auf den Standort in der App freigegeben wurde.

Fingerprint: Daten über Hardware und Software, die zusammen eine Art "Fingerabdruck" ergeben, mit dem das Gerät wiedererkennbar ist. Dazu gehören: Betriebssystem, Modell, Hersteller, Bildschirmgröße und -Auflösung, Android-Version, Build-Nummer, Land, gewählte Sprache, Provider.

Weitere Marketing- und Analyse-Dienste

Die hier aufgelisteten Anbieter erhielten im Test jeweils die Google Werbe-ID und einen Fingerprint. Das sind Daten über Hardware und Software, die zusammen eine Art Fingerabdruck ergeben, mit dem das Gerät wiedererkennbar ist. Dazu gehören: Betriebssystem, Modell, Hersteller, Bildschirmgröße und -Auflösung, Android-Version, Build-Nummer, Land, gewählte Sprache.

Google (Werbung, Analyse): In der App ist Googles Werbenetzwerk und das Analysetool Firebase (früher Crashlytics) eingebunden.

Amazon Adsystem: Die Werbeplattform des gleichnamigen Versandhändlers, Sitz in den USA.

MOAT Inc. (Tracker / Analytics): Bietet Analyse für Apps und Webseiten an. Firmensitz ist New York, USA. Gehört seit 2017 dem IT-Giganten Oracle.

Branch.io: Bietet Tools zur Verbreitung von Apps an, vor allem auf Basis von Deeplinking. Sitz ist in Kalifornien, USA.

Facebook: Die Firma betreibt neben dem sozialen Netzwerk auch eine der populärsten Analyse- und Werbe-Plattformen. Facebook erhält die Werbe-ID nur, wenn Nutzer*innen Inhalte teilen oder sich mit Facbook-Konto einloggen.

Welche Berechtigungen fordert die App?

Die Liste der Berechtigungen finden Sie in den App-Informationen im Google Play-Store oder (wenn Sie die App installiert haben) unter Geräteeinstellungen > Apps > MyFitnessPal > Berechtigungen.

Die Berechtigungen der App passen weitgehend zum Funktionsumfang.

Ausnahme: Den Zugriff auf Identitätsdaten wie den Anmeldenamen für das Google-Konto (Berechtigung Konten suchen) begründet der Hersteller damit, dass die App Formulare bei in-App-Käufen automatisch ausfüllen soll. Unserer Ansicht nach ist das kein ausreichender Komfortgewinn, um diese Information abzufragen, die sehr häufig Vor- und Nachnamen der Nutzer*innen enthält.

Kritisch: Laut Anbieter nutzt die App die Berechtigung auf den Standort, um ortsbezogener Werbung zu schalten. Auch die Berechtigung „Beim Start ausführen“ halten wir für nicht unbedingt nötig. Mit dieser Berechtigung können Nutzer*innen leicht den Überblick darüber verlieren, wann die App aktiv ist und Daten aufzeichnet.

Mehr zu App-Berechtigungen in unserem Video Was können App-Berechtigungen? (Android)

Was sagt die Datenschutzerklärung?

Die Datenschutzerklärung, die über den Play-Store verlinkt ist, führt auf die Webseite von Under Armour Inc.

Innerhalb der App ist sie im Menü (drei waagerechte Striche links oben) > Hilfe > AGB zu finden. Die Erklärung ist ausführlich, verständlich und versucht ganz offensichtlich, der Datenschutz-Grundverordung (DSGVO) gerecht zu werden, die seit 25. Mai 2018 umgesetzt wird.

Die App holt bei der Registrierung eines Nutzerkontos eine ausdrückliche Einwilligung ein, dass personenbezogene Daten und Gesundheitsdaten erfasst, in die USA übertragen und verwendet werden dürfen. Damit kommt der Anbieter den Anforderungen der DSGVO ziemlich nahe.

Fazit: Nicht empfehlenswert

Was Sie wissen sollten, wenn Sie MyFitnessPal nutzen:

  • Under Armour kauft Daten hinzu, um Ihr Nutzerprofil zu ergänzen. Sie haben also keinen vollen Überblick darüber, was der Hersteller alles über Sie weiß.
  • Personenbezogene Daten – auch Gesundheitsdaten - nutzt der Anbieter auch für Werbung, Marketing und Personalisierung.
  • Ihre Standortdaten können eventuell auch erfasst werden, wenn Sie die App gerade nicht nutzen.
  • Alle erfassten Daten werden zwischen den Tochterfirmen von Under Armour ausgetauscht.
  • Eingebundene Werbe- und Analyse-Dienste erhalten ebenfalls Zugriff auf Ihre persönlichen Daten.

Wir halten den Umfang, in dem MyFitnessPal Daten erfasst, verknüpft und austauscht für sehr problematisch. Wir können von der Nutzung des Under-Armour-Angebots nur abraten.

Kennen Sie schon unseren Newsletter? Einmal im Monat schicken wir Ihnen aktuelle mobilsicher-Lesetipps direkt ins Postfach. Hier geht's zur Anmeldung.

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0x2F021121044527DC

PGP Public Key

Download als .asc

Fingerprint

BC80 45E0 3110 EA00 A880 0827 2F02 1121 0445 27DC

Miriam Ruhenstroth

Begleitet mobilsicher.de seit der Gründung – zuerst als freie Autorin, dann als Redakteurin. Seit Januar 2017 leitet sie das Projekt, das 2020 um den AppChecker erweitert wurde. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

Ratgeber 

Apps des Monats – die Besten im März

Eine App zum Ausmisten von Social Media-Profilen, sichere Cloud-Dienste fürs Home Office und datenschutzfreundliche Alternativen zu Googles Standard-Apps – hier sind unsere zehn spannendsten Apps aus dem März 2020.

Mehr
Ratgeber 

„Im Internet läuft etwas schief“ – Essay von James Bridle

Der britische Blogger James Bridle sorgte im November mit seinem aufwühlenden Essay über gewaltsame Kindervideos auf YouTube für Aufsehen in der Netzwelt. Wir liefern die deutsche Übersetzung.

Mehr
YouTube-Video 

3 Argumente gegen den Bezahldienst Google Pay

Mit Google Pay können Sie an der Kasse und in Apps bezahlen. Dabei holt der Dienst sich Daten und Verwertungsrechte, mit denen der Google-Konzern eine globalen Kreditauskunft werden könnte. Was er laut Datenschutzerklärung alles darf, erfahren Sie im Video.

Ansehen
Ratgeber 

Reportage: Eine Woche ohne Google-Apps

Ein Alltag ohne Google Maps, die Google-Suche und den Play-Store – kann das gutgehen? Unsere Autorin hat für mobilsicher.de zehn Marktführer-Apps von ihrem Smartphone geworfen. Wie es ihr mit den datensparsamen Alternativen ging, erzählt sie hier.

Mehr