Musikstreaming-App Spotify im Test (Android)

Logo Spotify

Beinahe 200 Millionen Menschen nutzen den Musikstreaming-Dienst Spotify. Nutzungsdaten gehen dabei nicht nur an Spotify und deren Partnerunternehmen, sondern auch an Facebook, Adjust und etliche andere Tracking-Dienste. Spotifiy klärt aber vergleichweise transparent darüber auf.

Version
8.4.77.779
Betriebssystem
Android
App-Store- / Weblinks
Apple App Store (iOS)
Google Play (Android)
Weblink
Veröffentlicht am
Review Autor
Schlagworte
Musik · Musik-Streaming
Drucken

Auf einen Blick

Was ist Spotify?

Spotify ist ein populärer Musikstreaming-Dienst, der sich auf dem PC und über Smartphone-Apps nutzen lässt. Nach eigenen Angaben stehen insgesamt mehr als 40 Millionen Lieder zum Streamen bereit, 191 Millionen Menschen aus 65 Ländern nutzen den Musikdienst (Stand November 2018).

Viele Nutzer greifen mobil auf Spotify zu – die Android-App rangiert im Play-Store in der Kategorie +100 Millionen Downloads und kommt auf 13 Millionen Bewertungen.

Es gibt eine kostenlose Version mit Werbeunterbrechungen zwischen einzelnen Songs sowie verschiedenen Funktionseinschränkungen. Die Bezahlversion ist werbefrei und ermöglicht es, Songs auf das Smartphone herunterzuladen, um sie offline zu hören. Nach Angaben des Unternehmens haben 46 Prozent der Nutzerinnen und Nutzer ein Bezahl-Abonnement.

Die Bezahlversion kostet, nach einem 30-tägigen Probemonat, monatlich 9,90 Euro. Ermäßigungen gibt es für Familien und Studierende.

Diensteanbieterin ist die Spotify AB im schwedischen Stockholm. Die Firmenmutter, Spotify Technology S.A., sitzt allerdings in Luxemburg.

Spotify gibt es seit 2006, das Unternehmen begann als Startup in Schweden. Im April 2018 ist Spotify Technology S.A. an die Börse gegangen. Der Marktwert liegt heute bei etwa 23 Milliarden Euro. Im Jahr 2017 hat Spotify etwa vier Milliarden Euro Umsatz gemacht.

Test der Android-App im Überblick

Spotify verzichtet darauf, bestimmte Zugriffsrechte, etwa den Zugriff auf den Standort oder das Telefonbuch, zur Bedingung zu machen. Das ist positiv.

Die Daten, die an den Hauptdienst Spotify gehen, sind plausibel: Spotify erfasst die Anmeldedaten sowie Nutzungsdaten, etwa Suchanfragen zu bestimmten Liedern oder Wiedergabelisten.

Wie viele Apps teilt auch Spotify die Daten von Nutzern mit einer Reihe von Drittanbietern. An Facebook, an die Google-Tochter Crashlytics und an den Werbedienstleister Adjust beispielsweise geht die Werbe-ID – eine eindeutige Kennnummer, mit der Nutzerprofile verknüpft werden können.

Spotify informiert in der Datenschutzerklärung transparent über die Erfassung und Verwendung von Daten, nennt allerdings nicht die eingebundenen Drittanbieter. Da könnte der Dienst noch nachbessern.

Verwirrend finden wir, dass Spotify in der Datenschutzerklärung einen Zugriff auf den genauen Standort des Smartphones erwähnt, obwohl die App diese Berechtigung gar nicht anfordert.

Unser Test im Detail

Getestet haben wir die Version 8.4.77.779, die wir aus Googles Play-Store heruntergeladen haben. Dieser Test gilt nicht für andere Versionen. Getestet wurde für die Android-Version 7.1.2

Die technische Analyse führte Mike Kuketz durch.

Übermittelte Informationen im Überblick:

Welche Berechtigungen fordert die Android-App?

Die App lässt sich im normalen Betrieb auch ohne die zustimmungspflichtigen Berechtigungen nutzen.

* Anmerkung: Spotify erwähnt diese Berechtigungen in der Datenschutzerklärung, die in der App verlinkt ist. Diese Zugriffsberechtigungen sind zustimmungspflichtig. Das heißt: die App kann nur darauf zugreifen, wenn Nutzer dem über ein Dialogfenster in der App explizit zustimmen. Wir konnten bei unserem Test allerdings nicht sehen, dass die App die Berechtiungen tatsächlich anfordert.

Wohin verbindet sich Spotify?

Die gesamte Kommunikation erfolgt TLS-verschlüsselt, auf zusätzliche Sicherheit durch Cert-Pinning wird verzichtet.

Hauptdienst Spotify: Neben technischen Informationen, wie den Übertragungszeitpunkt, übermittelt die App unter anderem folgende Informationen direkt beim Start:

  • Android-Version
  • Hersteller und Modell des Smartphones
  • Sprache
  • Google Werbe-ID

Wenn man sich bei Spotify registriert, gehen folgende Daten an den Dienst:

  • E-Mail-Adresse
  • Passwort
  • Basisinformationen wie Geburtsdatum und Geschlecht
  • die Information, dass man in die Datenschutzerklärung einwilligt

Wenn man angemeldet ist, sendet die App alle Nutzungsdaten an Spotify: jedes gespielte Lied, Song und Playlist und jede Suchanfrage innerhalb der App. Während der Nutzung übermittelt die App zudem immer wieder verschiedene Basisdaten wie

  • Android-Version
  • Smartphone-Modell
  • Device ID, die Seriennummer des Geräts.

Facebook (graph.facebook.com): Die App übermittelt direkt nach dem Start und in wiederkehrenden Abständen unter anderem diese Daten an Facebook:

  • Google Werbe-ID
  • Basisdaten wie Gerätemodell, Land, Zeitzone und Bildschirmauflösung

Für den Datenfluss ist es unerheblich, ob der Nutzer der Spotify-Android-App bei Facebook ein Profil hat oder nicht.

Crashlytics: Crashlytics gehört zum Google-Konzern. Der Analysedienst für App-Abstürze übermittelt folgende Informationen an den Dienst:

  • Google Werbe-ID
  • Android-ID
  • Basisinformationen wie Gerätemodell, Build-Version und Android-Version

Die Datenübertragung passiert auch ohne dass die App abstürzt. Die Übermittlung der Google Werbe-ID sowie der Android-ID ist unserer Meinung nach für die Diensterbringung nicht notwendig.

Anbieter im Zusammenhang mit Werbeeinspielung: Die kostenlose Version der Android-App von Spotify finanziert sich über Werbung. Beim Einspielen von Werbung in die App konnten wir Datenflüsse zu folgenden Tracking- und Werbeunternehmen beobachten:

  • Scorecard Research: Der Dienst des Marktforschungsunternehmens Full Circle Studies Inc. analysiert vor allem die Internet-Nutzung mit dem Browser, durch Umfragen und mithilfe von Cookies. An den Dienst gehen Basisinformationen wie die App-Version, die Bildschirmauflösung und die Nutzungshäufigkeit der App.
  • Google Doubleclick: Doubleblick ist eine große Werbeplattform von Google. Den Datenfluss konnten wir nicht analysieren, da er durch eine zusätzliche Verschlüsselung abgeschirmt war.
  • Meetrics GmbH: Das Berliner Unternehmen überwacht die Sichtbarkeit von Anzeigen. Auch den Datenfluss zu Meetrics konnten wir nicht analysieren, da er durch eine zusätzliche Verschlüsselung abgeschirmt war.

Hinweis: Es kann nicht ausgeschlossen werden, dass Spotify noch mit weiteren Anbietern zusammenarbeitet.

Adjust: Adjust ist ein Tracking-Dienstleister, der im Auftrag der App-Betreiber Nutzerverhalten und Marketingkampagnen auswertet. Gegründet wurde Adjust von dem deutschen Unternehmer Christian Henschel, Firmensitz ist Berlin und San Francisco. Adjust ließ sich durch eine Überprüfung der Firma ePrivacyseal GmbH bestätigen, dass man in Übereinstimmung mit der EU-Datenschutzverordnung arbeitet. Adjust erhält beim Betrieb der App folgende Daten:

  • Google Werbe-ID
  • Betriebssystemversion (detailliert)
  • Android-UUID, ein einmalig generierte Identifier bei App-Installation

Der Tracker verfolgt zudem praktisch alles, was der Nutzer innerhalb der App antippt oder eingibt, beispielsweise die Suchanfragen nach einer bestimmten Band.

Google Push-Dienst: An den Google-Dienst, der benötigt wird, um Push-Nachrichten auf das Smartphone zu übermitteln (Google Cloud Messaging), gehen unter anderem

  • die Basisinformationen App-Name und App-Version

Außerdem ist laut Einstellungen der Android-App eine optionale Integration des Navigationsdienstes Waze vorgesehen, der zum Google-Konzern gehört. Die Integration ermöglicht es, Musik über Spotify innerhalb von Waze zu abzuspielen und innerhalb von Spotify den Navigationsdienst zu nutzen. In einem Mobilsicher-Test schnitt Waze aufgrund seines Datenhungers nicht gut ab.

Wie sicher speichert die App meine Daten?

Nach der Registrierung via E-Mail-Adresse legt Spotify diese lokal auf dem Gerät ab, zusammen mit einem sogenannten „Access Token“. Über den kann Spotify den Nutzer wiedererkennen und darüber eine Authentifizierung am Dienst vornehmen. Das ist ein übliches Verfahren und vermeidet die lokale Speicherung des Passworts.

Was sagt die Datenschutzerklärung?

Die im Play-Store verlinkte Datenschutzerklärung verweist auf die Webseite von Spotify. Innerhalb der App ist die Datenschutzerklärung über den Navigationspfad Einstellungen > Datenschutzerklärung erreichbar.

Die aktuelle Datenschutzerklärung ist am 25. Mai 2018 in Kraft getreten, an dem Tag, an dem in der EU die Datenschutz-Grundverordnung (DSGVO) scharf gestellt wurde. Die Erklärung ist sehr ausführlich und wäre ausgedruckt etwa 14 Textseiten lang.

Sie schildert systematisch und übersichtlich in Tabellenform die Arten von Daten, die Spotify erfasst.

In der Kategorie „Weitere mobile Daten“ schreibt Spotify, dass die App – nach expliziter Einwilligung durch die Nutzer – möglicherweise auf den genauen Standort des Smartphones zugreift. Das macht die App im Test allerdings gar nicht. Wir fragen uns, wieso Spotify diese Datenzugriffe dennoch erwähnt. Das sorgt für Verwirrung und nicht für Klarheit.

Laut Datenschutzerklärung können personenbezogene Daten an Spotify-Töchter und an externe Auftragnehmer außerhalb der EU gegeben werden.

Leider erwähnt die Datenschutzerklärung nicht, welche Drittanbieter Daten aus der App-Nutzung erhalten. Die Namen von Dienstleistern wie Crashlytics oder Adjust tauchen in der Erklärung nicht auf. In der Empfängerkategorie „Diensteanbieter und andere“ schreibt Spotify nur:

„Wir nutzen Vermarktungs- und Werbepartner, um Ihnen individueller angepasste Inhalte zu zeigen oder uns zu helfen, Ihre Nutzung des Spotify Service nachzuvollziehen, um Ihnen einen besseren Service zur Verfügung zu stellen.“

Es zählt noch lange nicht zum Standard, dass in Datenschutzerklärungen alle Empfänger von Nutzerdaten aufgezählt werden. Es gibt aber Apps, die das schon praktizieren und somit Spotify in puncto Transparenz voraus sind.


Mehr App-Tests auf mobilsicher.de

Sie haben einen Fehler entdeckt oder vermissen einen Artikel zu einem bestimmten Thema?
Schreiben Sie uns eine E-Mail an hinweis@mobilsicher.de!