Medizin-App Tinnitracks im Test: Empfehlenswert

An der App gegen Tinnitus gibt es wenig zu meckern: Als Medizinprodukt zertifiziert, von vielen Krankenkassen anerkannt, das Wirkprinzip medizinisch gut untersucht – und auch beim Datenschutz schneidet sie gut ab. Nur an zwei Stellen müsste man nachbessern.

Version
1.3.0
Betriebssystem
Android
App-Store- / Weblinks
Apple App Store (iOS)
Google Play (Android)
Weblink
Aktualisiert am
Veröffentlicht am
Review Autor
Schlagworte
App-Test · Datenschutz · Datenschutzerklärung · Gesundheits-Apps
Drucken

Aktualisiert am

Was kann Tinnitracks?

Die App Tinnitracks ist ein zertifiziertes Medizinprodukt. Sie verspricht, die Störgeräusche bei Tinnitus zu reduzieren. Dazu verändert (moduliert) sie auf Basis der individuellen Tinnitusfrequenz die von Patienten gehörte Musik. Konkret werden bei den Musikstücken diejenigen Frequenzen, in denen man das Tinnitus-Geräusch hört, herausgefiltert. Das soll dazu führen, dass die überaktiven Nervenzellen im Gehirn, die den Tinnitus auslösen, entspannen. Der Anbieter nennt zahlreiche klinische Studien, in denen die Wirksamkeit dieses Ansatzes belegt wurde.

In einer kostenlosen Version der App kann man fünf eigene Musiktitel modulieren lassen. Die Voll-Version mit unbegrenzter Titelzahl kann man per in-App-Kauf, oder auf der Webseite von Tinnitracks freischalten. Die Voll-Version kostet monatlich 19 Euro. Wer die App von der Krankenkasse erstattet bekommt, erhält einen Gutscheincode vom Arzt, und kann diesen ebenfalls auf der Webseite einlösen.

Anbieter ist das Hamburger Startup Sonormed GmbH.

Unser Test im Überblick

Mit seiner überschaubaren Zahl an App-Berechtigungen gehört Tinnitracks zu den datensparsamsten Apps, die wir bisher getestet haben. Außer Google Maps sind keine weiteren Drittanbieter eingebunden. Respekt!

Ebenfalls positiv: Das Bezahlverfahren kann vollständig vom Smartphone getrennt auf der Webseite von Tinnitracks abgewickelt werden. Zum Beispiel per Überweisung am PC. Wer also auf seinem Smartphone nicht mit Bezahldaten hantieren will, kommt hier auch zum Zuge.

Ganz ohne Datenübermittlung ins Silicon Valley kommt allerdings auch diese App nicht aus. Wer die Funktion „Fachleute suchen“ in der App nutzt, schickt damit Daten an Google Maps: Darunter die Information, dass man Tinnitracks nutzt und an welchem Ort man nach Fachleuten sucht.

Bei der Sicherheit sollten die Hersteller allerdings nachbessern: Anmeldedaten legt die App momentan unverschlüsselt auf dem Gerät ab. Hier gibt es deutlich bessere Verfahren.

Update 07.12.2017: Die Sonormed GmbH hat angekündigt, dieses Problem beim nächsten Update zu beheben.

Übermittelte Informationen im Überblick

  • Android-ID
  • Android-Version, zum Beispiel 6.0.1
  • Hersteller und Modell, zum Beispiel LGE, Nexus 5
  • Sprache und Land
  • E-Mail-Adresse
  • Passwort (selbst gewählt)
  • individuelle Tinnitus-Frequenz

Unsere Testergebnisse im Detail

Getestet haben wir die Version 1.3.0 in ihrer kostenlosen Variante, die wir aus Googles Play-Store heruntergeladen haben. Dieser Test gilt nicht für andere Versionen. Getestet wurde für die Android-Version 6.0.1.

Die technische Analyse führte Mike Kuketz durch.

Auf welche Daten kann die App zugreifen?

In puncto App-Berechtigungen ist Tinnitracks vorbildlich. Während die meisten Apps deutlich mehr als ein Dutzend solcher Berechtigung verlangen, sind es bei Tinnitracks (kostenlos) genau fünf.

Hinweis: Auf der Download-Seite im Play-Store sind noch zwei weitere Berechtigungen angegeben, „In-App-Käufe“ und „SD-Karten-Inhalte schreiben“. Diese werden erst aktiv, wenn man die Bezahl-Version freischaltet.

Tippen Sie auf die jeweilige Berechtigung, um zu erfahren, was es damit auf sich hat, oder sehen Sie die ganze Liste in unserem Beitrag App-Berechtigungen entschlüsselt (Android)

Wohin verbindet sich die App?

Hauptdienst Tinnitracks: Die App baut Verbindungen zu den Servern von Tinnitracks auf, um den eigentlichen Dienst zu erbringen. Die Kommunikation erfolgt verschlüsselt (TLS) auf zusätzliche Sicherheit durch Certificate Pinning wird verzichtet.

Neben technischen Informationen, wie den Übertragungszeitpunkt, übermittelt die App folgende Informationen direkt beim Start:

  • Android-Version, zum Beispiel 6.0.1
  • Hersteller und Modell, zum Beispiel LGE, Nexus 5
  • Sprache und Land

Um den Dienst zu nutzen, muss man ein Nutzerkonto anlegen. Dazu gibt man eine E-Mail-Adresse an. Folgende Informationen fragt die App ab:

  • E-Mail-Adresse
  • Passwort (selbst gewählt)
  • Zustimmung zu ABGs und der Datenschutzerklärung
  • individuelle Tinnitus-Frequenz
  • Android-ID

Während der Nutzung überträgt Tinnitracks, wie lange Musik gehört wird, und wie gut sich die Musik für die Therapie eignet.

Update 13.12.2017: In einer früheren Version stand an dieser Stelle fälschlicher Weise, dass bei der normalen Nutzung auch übertragen wird, welcher Song gehört wird. Das ist so nicht korrekt: Die App überträgt Songtitel, Album und Interpret nur von den Songs, die man in sein Nutzerkonto bei Tinnitracks lädt, um sie zum Beispiel auch auf anderen Geräten zur Verfügung zu haben. Das ist auch erwartbar und für die Diensterbringung nötig. Wir danken der Sonormed GmbH für den Hinweis auf den Fehler.

Die App bietet die Funktion „Fachpersonen vor Ort“ an, um HNO-Ärzte oder Hörtechniker zu finden. Dabei gibt man den Ort, an dem man sucht, selber ein – es wird nicht automatisch dort gesucht, wo man sich gerade befindet. Die App hat keinen Zugriff auf den eigenen Standort. Nutzt man die Funktion, überträgt die App:

  • den Ort, an dem man sucht
  • Ungefährer GPS-Daten (Längen- und Breitengrad) – abgeleitet von der gesuchten Adresse

Google: Nutzt man die Funktion „Fachpersonen vor Ort“ und tippt auf eine der angegebenen Adressen, zeigt die App die gewählte Adresse auf einer Landkarte von Google Maps an. Dazu nimmt die App Verbindung zu Google Maps auf. Hierüber erfährt Google folgende Informationen:

  • App-Name (Tinnitracks)
  • gesuchte Adresse
  • Modell und Hersteller des Gerätes
  • IP-Adresse. Bei jeder Datenübertragung über das Internet erfährt der Empfänger eine IP-Adresse des Absenders. Sonst wäre keine Kommunikation möglich. Üblicherweise verzichten wir in unseren Tests daher darauf, dies jedesmal dazu zu schreiben. Hier sei es erwähnt, weil Tinnitracks selber in der Datenschutzerklärung darauf eingeht. IP-Adressen gehören nach deutscher und EU-Rechtsauffassung zu den personenbezogenen Daten.

Es besteht die Möglichkeit, aus der Karteneinstellung heraus die App Google-Maps zu öffnen, um sich die Route zur gesuchten Adresse berechnen zu lassen. Hat man Google-Maps vorher Zugriff auf den eignen Standort gewährt, zeigt sie einem den eigenen Standort nun an. Tinnitracks erfährt diesen Standort jedoch nicht.

Wie sicher speichert die App meine Daten?

Die Anmeldedaten speichert die App lokal und unverschlüsselt auf dem Gerät. Das ist ein Sicherheitsdefizit, das der Anbieter überarbeiten sollte.

Update 07.12.2017: Die Sonormed GmbH hat angekündigt, dieses Problem beim nächsten Update zu beheben.

Was sagt die Datenschutzerklärung?

Die Datenschutzerklärung (Version 10, vom 05.07.2017) ist zum Teil erfreulich detailliert, zum Teil aber auch fehlerhaft. Sie bedarf einer Überarbeitung.

Die Erklärung informiert erfreulich konkret, welche Daten Tinnitracks erfasst. So protokolliert Tinnitracks zur Analyse jede Verbindung zu seinen Servern und erfasst dabei Zeit, IP-Adresse, übertragenes Datenvolumen und Nutzername. Diese Daten werden nach 14 Tagen wieder gelöscht. Nutzungsdaten, also wie lange Musik hört und wann, werden länger aufbewahrt.

Laut Datenschutzerklärung gibt Tinnitracks personenbezogene Nutzerdaten nur an vertraglich gebundene Dienstleister weiter.

Erstaunlich: Obwohl die App technisch keinerlei Zugriffsrechte auf die Standortdaten hat, ist in der Erklärung von einer Standorterfassung die Rede.

Update 07.12.2017: Diese Frage konnte die Sonormed GmbH beantworten: Die Datenschutzerklärung deckt auch die iOS-Version der App ab. In dieser Version ist die Standorterfassung implementiert.

Die Erklärung ist klar in zwei Teile getrennt, wobei sich der erste Teil auf die Nutzung der Internet-Seite bezieht, der zweite, explizit, auf die Nutzung der mobilen App. In diesem zweiten Abschnitt fehlt ein Hinweis auf Google-Maps. Dieser ist jedoch im Abschnitt für die Internet-Seite vorhanden und auch sehr ausführlich. Dort weist Tinnitracks auch explizit darauf hin, dass die IP-Adresse dabei an Google übertragen wird und betont, dass Google mit diesen Daten einzelne Nutzer identifizieren könne.

In dieser Darstellung müssen Nutzer klar davon ausgehen, dass Google Maps nur bei Nutzung der Internet-Seite eingebunden ist und nicht in der App. Tinnitracks stiftet hier – zweifellos unbeabsichtigt – Verwirrung uns verstößt formal gegen die eigne Datenschutzerklärung.

Die Erklärung weist auch darauf hin, dass in der App Videos von dem US-amerikanischen Videoportal Vimeo angezeigt werden können. Welche Daten dabei an Vimeo gehen, wird leider nicht erläutert. In unserem Test nahm die App keine Verbindung zu Vimeo auf. Laut Sonormed GmbH ist diese Funktion nur in „bestimmten Krankenkassenerstattungen“ aktiviert.


Sie haben einen Fehler entdeckt oder vermissen einen Artikel zu einem bestimmten Thema?
Schreiben Sie uns eine E-Mail an hinweis@mobilsicher.de!