App-Test

Medizin-App mySugr im Test (Android): Enttäuschend

Ein Artikel von , veröffentlicht am 02.01.2018
Bild: CC0 Pixabay / geralt

MySugr ist eine beliebte App für Diabetiker. Medizinisch mag die App hilfreich und gut gemacht sein – beim Umgang mit Nutzerdaten schneidet sie nicht gut ab. So fragt die App Name und Gesundheitsdaten ab und versendet diese Angaben an die Firma Mixpanel.

Was kann mySugr?

Hinweis: In diesem Test bewerten wir ausschließlich, wie sich die App in Sachen Datenschutz und Datensicherheit verhält. Wir bewerten ausdrücklich nicht die Funktionalität der App als Diabetes-Begleiter. Ob die App etwa medizinisch sinnvolle Empfehlungen gibt, korrekte Berechnungen anstellt und insgesamt für Diabetes-Patienten nützlich ist, wird hier nicht bewertet. Wir vermuten aber, dass sie bei diesen Fragestellungen relativ gut abschneidet.

Größter Kritikpunkt in unserem Test: Die App MySugr versendet Informationen über Diabeteserkrankung und Therapie zusammen mit Vor- und Nachnamen der Nutzer an den Drittanbieter Mixpanel, ein Unternehmen mit Sitz in den USA. Wozu der Dienst den Nutzernamen zusammen mit Gesundheitsdaten überhaupt an einen Analysedienst senden muss, ist uns nicht erklärlich.

Auswertungen zur Dienstverbesserung ließen sich unserer Ansicht nach auch mit wirklich anonymen Kennungen bewerkstelligen. Unserer Ansicht nach ist dies ein völlig inakzeptables und unnötiges Risiko für die Sicherheit der Nutzerdaten.

Zweiter Kritikpunkt: In der Datenschutzerklärung fehlt jeglicher Hinweis auf eingebundene Drittanbieter. Dies mag zwar rechtskonform sein, transparente Nutzeraufklärung sieht jedoch anders aus.

Es ist klar, dass MySugr, um eine Synchronisation mit anderen Geräten zu ermöglichen, alle Nutzerangaben, inklusive Name, Geschlecht und Alter auf die eigenen Server übertragen muss. Wir würden jedoch bei so einem sensiblen Thema erwarten, dass es dazu eine prominente Opt-out-Möglichkeit gibt, bei der Nutzerangaben dann nur lokal gespeichert werden.

Für ein zertifiziertes Medizinprodukt eines großen Pharmakonzerns, sind diese Testergebnisse einigermaßen bestürzend.

Die technische Analyse führte Mike Kuketz durch, der zu dem Thema auf seinem eigenen Blog ebenfalls Details veröffentlicht hat.

Unser Testergebnisse im Detail

Getestet haben wir die Version 3.40.2, die wir aus dem Play-Store heruntergeladen haben. Dieser Test gilt nicht für andere Versionen.

Auf welche Daten kann die App zugreifen?

Für eine App, die sich mit Messgeräten verbinden soll, sind die meisten Berechtigungen plausibel. Die Grundfunktionalität wäre wohl auch ohne Kamera und Standort möglich.

Tippen Sie auf die jeweilige Berechtigung, um zu Erfahren, was es damit auf sich hat, oder sehen Sie die ganze Liste in unserem Beitrag App-Berechtigungen entschlüsselt (Android)
Wie sie Zugriffsrechte von Apps einschränken, erfahren Sie hier: Zugriffsrechte: Was darf meine App?

Wohin verbindet sich die App?

Die gesamte Kommunikation ist TLS-verschlüsselt. Dies ist bei einer Medizin-App auch zu erwarten. Auf zusätzliche Sicherheit durch Cert-Pinning verzichten die Hersteller.

Hauptdienst: MySugr (secure-us.mysugr.com): Um die App zu nutzen, muss man sich anmelden. Zum Beispiel, indem man ein neues Nutzerkonto bei MySugr anlegt. Um ein Nutzerkonto anzulegen, muss man eine E-Mail-Adresse angeben, die jedoch nicht verifiziert wird.

Anschließend fragt die App einige Gesundheitsdaten ab, zum Beispiel Diabetes-Typ und Art der Therapie. Diese Daten, zusammen mit einigen technischen Informationen wie Geräte-Hersteller und Modell, gehen an die Server von MySugr.

Anmelden über Facebook (in Version 3.41.0 nicht mehr vorhanden): Wer sich mit seinem Facebook-Konto anmeldet, reicht unter anderem folgende Daten aus dem Facebook-Konto an MySugr weiter (nach eigenen Angaben):

  • E-Mail-Adresse
  • Geburtsdatum
  • Geschlecht

Nutzung: Sämtliche Angaben, die man in der App macht, werden an die Server von MySugr übertragen – Zuckerwerte, Reports, Bilder, Ziele, einfach alles.

Mixpanel (api.mixpanel.com): Mixpanel ist ein Tracking-Dienstleister, mit dem App-Hersteller Nutzerverhalten und Marketingkampagnen auswerten können. Geschäftssitz ist San Francisco, USA. Mixpanel versteht sich laut deren Datenschutzerklärung als „Auftragsdatenverabeiter“ der Firmen, die Ihre Dienste nutzen. Die Daten, die an Mixpanel gehen, sind zusätzlich zur TLS-Verschlüsselung chriffriert. Diese Chiffrierung lässt sich leicht auflösen. Der Dienst erhält folgende Daten bei der App-Nutzung.

  • Genutzte App und Version (MySugr 3.40.2)
  • Geräte-Hersteller und Modell
  • Android-Version
  • Angegebene E-Mail-Adresse
  • Vor- und Nachname, falls angegeben
  • Angegebener Diabetes-Typ (eigene Angabe)
  • Art der Therapie (Pumpe oder Spritze, eigene Angabe)
  • Verbundene Messgeräte, falls welche genutzt werden

Auf Anfrage von mobilsicher.de erklärte die MySugr GmbH, man brauche Mixpanel, um den Dienst zu verbessern. Warum dafür Namen, Vornamen zusammen mit medizinischen Angaben - in welcher Form auch immer - übertragen werden müssen, bleibt für uns unerklärlich und ist unserer Ansicht nach ein völlig inakzeptables und unnötiges Risiko.

Adjust (app.adjust.com): Adjust ist Tracking-Dienstleister, mit dem App-Hersteller Nutzerverhalten und Marketingkampagnen auswerten können. Gegründet wurde Adjust von dem deutschen Unternehmer Christian Henschel, Firmensitz ist Berlin und San Francisco. Adjust ließ sich durch eine Überprüfung der Firma ePrivacyseal GmbH bestätigen, dass man in Übereinstimmung mit der EU-Datenschutzverordnung arbeitet. Adjust erhält beim Betrieb der App folgende Daten, die eventuell personenbeziehbar sind:

  • Google Advertising-ID
  • Geräte-Hersteller und Modell
  • Android-UUID
  • Detaillierte Daten zum Betriebssystem (Android-Version, build-Nummer)
  • Land
  • Welche CPU verbaut ist

Lokalise (ota.lokalise.co): Lokalise ist ein Dienst, der App-Anbietern dabei hilft, ihre Menüs in unterschiedliche Sprachen zu übersetzen und die Texte in der App zu aktualisieren. Wozu der Dienst Nutzerinformationen braucht, ist unbekannt. Der Dienst erhält folgende Informationen:

  • Geräte-Modell und Hersteller
  • Android-Version
  • Sprache

Google: Die App nutzt einen Dienst von Google (GCM) um Push-Nachrichten zu übermitteln. Dabei erfährt Google unter anderem:

  • Geräte-Hersteller und Modell
  • Android-Version

Wie sicher speichert die App meine Daten?

Wenn man ein Nutzerkonto bei MySugr anlegt, speichert die App auf dem Gerät die E-Mail-Adresse und ein sogenanntes AccessToken, eine Zeichenfolge, die vom Server erstellt wurde und zur Authentifizierung dient. Dies ist eine gängige und sichere Vorgehensweise.

Zudem werden aber auch unverschlüsselt Informationen auf dem Gerät abgelegt, die man selber in der App angegeben hat. Darunter Vor- und Nachname, Diabetes-Typ, Therapie usw. Dies ist unserer Ansicht nach nicht optimal.

Was sagt die Datenschutzerklärung?

Die Datenschutzerklärung, die im Play-Store auf der Downloadseite verlinkt ist, führt auf eine englischsprachige Version. Wer ein Nutzerkonto bei MySugr anlegt, muss den AGB zustimmen. Die Datenschutzerklärung ist Teil dieser AGB. Hat man sich einmal angemeldet, so ist der Link zu den AGB innerhalb der App schwer zu finden. Wir konnten folgenden Pfad nachvollziehen:

Menü > Support und Feedback > Tippen auf obersten Punkt "mySugr" > scrollen nach unten > Tippen auf TOS (englische AGB und Datenschutzerklärung).

Damit macht es mySugr den Nutzern unnötig schwer und widerspricht seinen Versicherungen, den Datenschutz sehr ernst zu nehmen.

Die Datenschutzerklärung - wenn man sie endlich gefunden hat, ist für einen unbedarften Leser irreführend. In Absatz 9. versichert MySugr explizit, Gesundheitsdaten nicht weiterzugeben. Der Drittanbieter Mixpanel erhält aber nachweislich genau solche Gesundheitsinformationen. Dies ist vermutlich rechtskonform, aber dennoch für Nutzer höchst verwirrend. Auch die anderen eingebundenen Drittanbieter werden nicht erwähnt.

Die App stellt bei der Anmeldung zur Auswahl, ob die eigenen Daten nur auf Servern in der EU gespeichert werden sollen. Nach eigenen Angaben kann MySugr aber nicht garantieren, dass Mixpanel die Daten tatsächlich in der EU speichert und verarbeitet.

 

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0xAC27FCDCF277F1E4

Fingerprint

E479 C1CD 0FC9 E373 A4B3 F5DB AC27 FCDC F277 F1E4

Miriam Ruhenstroth

Projektleiterin. Miriam Ruhenstroth hat mobilsicher.de seit Beginn des Projektes begleitet – zuerst als freie Autorin, später als Redakteurin. Seit Januar 2017 leitet sie das Projekt. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

Kinder und Jugendliche 

Bildschirmzeit: Kindersicherung von iOS

Mit dem Update auf iOS 12 hat Apple eine Funktion zur Nutzungsbeschränkung ins System von iPhones und iPads integriert. Die „Bildschirmzeit“ kann als Kindersicherung dienen - und zur Kontrolle der eigenen Smartphone-Nutzung. Bei einigen Punkten muss Apple allerdings noch nachbessern.

Mehr
Start mit Android 

Was ist ein sicheres Passwort?

Sich viele verschiedene Passwörter zu merken, ist lästig. Doch unsichere Passwörter sind ein Einfallstor für Datenmissbrauch und -diebstahl. Mit ein paar Tricks wird es leichter, auch ein sicheres Passwort im Kopf zu behalten. Hier sind unsere Tipps.

Mehr
App-Test 

Instagram im Test: Es bleibt in der Familie

Mit der App von Instagram lassen sich Bilder und Videos bearbeiten und veröffentlichen. Wie alle Facebook-Dienste sammelt auch Instagram viele Daten und gibt sie an andere Dienste von Facebook weiter. Allerdings ganz offen - wie ein Blick unter die Haube zeigt.

Mehr
Ratgeber 

Funkzellenabfragen „alltägliches Ermittlungsinstrument“

Das Land Berlin hat Zahlen zu Funkzellenabfragen veröffentlicht und arbeitet an einem Informationsportal für betroffene Bürgerinnen und Bürger. Laut Netzpolitik.org setzt der Staat solche Massenabfragen von Handy-Daten trotz hoher gesetzlicher Schranken routinemäßig ein.

Mehr